‚Pochopit to museli i technicky méně zdatní.‘ Vnitro změkčilo kybertesty pro zaměstnance
Je to jedna z vládních priorit. Zvýšit ochranu před hackery se tak loni snažili i na ministerstvu vnitra, kde zaměstnanci museli absolvovat test kybernetické bezpečnosti. Klíčový resort kontrolující bezpečnostní složky ale narazil na nečekaného nepřítele: odboráře. Prověrky podle nich byly příliš přísné, požadovali proto snížení jejich náročnosti. Na bezpečnostní opatření se iROZHLAS.cz ptal státních institucí s ohledem na úniky e-mailů a hesel.
„Řešila se jeho náročnost, srozumitelnost i délka, do kdy ho musí zaměstnanci splnit. Šlo o to, aby byl podán tak, aby ho pochopili i technicky méně zdatní pracovníci. Aby to byl návod, jak získat správné základní návyky,“ řekl serveru iROZHLAS.cz ke kurzu kybernetické bezpečnosti šéf odborářů ministerstva vnitra David Hubený.
Hesel se nezbavíme, říká bezpečnostní expert Špaček. K lepšímu zabezpečení pomůže i papírový notýsek
Číst článek
Jeho slova potvrzuje i místopředsedkyně odborové organizace Martina Krátká: „Bylo to přísné. Nebylo rozlišeno, v jaké oblasti resortu zaměstnanec pracuje a jaké by na něj měly být kladeny nároky.“
Test byl podle Krátké jednotný pro všechny zaměstnance, tudíž nerozlišoval, zda jde například o pracovníka IT nebo spisové služby.
Výhrady odborářů přitom přišly v době, kdy se vede debata o tom, zda jsou státní instituce před hackery dostatečně zabezpečeny. Server iROZHLAS.cz v posledních dnech přinesl zprávy o únicích služebních e-mailů a hesel tisíců politiků, státních úředníků a pracovníků justice.
Redakce se celou věcí začala zabývat po aféře v Německu, kde se na internetu objevily osobní údaje a dokumenty stovek německých politiků a známých osobností, a to včetně adres, čísel kreditních karet či soukromé korespondence.
Ukázalo se, že masivní úniky informací se nevyhnuly ani Česku. Ministerstvo vnitra však tlaku odborové organizace přesto ustoupilo a laťku kybertestů, nastavenou bezpečnostními manažery, snížilo.
Studijní volno i snížení náročnosti
O kybernetické prověrce odboráři na vnitru jednali se státním tajemníkem. „Na základě jeho rozhodnutí bylo zaměstnancům poskytnuto studijní volno na prostudování materiálů, předpisů a e-learningového kurzu, aby test, který se skládal ze 14 bloků, zvládli,“ uvedla pro iROZHLAS.cz místopředsedkyně odborové organizace Krátká.
Úniky ve státní správě
Server iROZHLAS.cz se aféře uniklých e-mailů a hesel systematicky věnuje. V uplynulých dech přinesl následující zprávy:
- na internetu kolují přihlašovací údaje i desítky prominentních funkcionářů: Poslanci Farský a Zaorálek, soudce Šámal. E-maily a hesla stovek politiků a úředníků lze koupit za 60 korun
- rozhovor s poslancem STAN Janem Farským o úniku jeho hesla: Poslanec Farský k úniku svého hesla: Možná ještě někde zůstalo, čekal bych varování od úřadů
- tipy, jak se chránit na internetu před hackery: Hesel se nezbavíme, říká bezpečnostní expert Špaček. K lepšímu zabezpečení pomůže i papírový notýsek
- anketa mezi zákonodárci, jak se na internetu chrání před hackery: Jediné heslo i speciální sešítek. Jak se zákonodárci na internetu chrání proti útokům hackerů?
Také finální podoba testů se nakonec podle šéfa odborářů Hubeného upravila. „Bylo to komplikované. V návaznosti na vzájemná jednání se ale podařilo najít vhodné řešení,“ doplnil. Snížila se podle něj třeba procentuální hranice pro úspěšné složení zkoušky. Upravily se i některé formulace, podle Krátké byly matoucí.
Přestože původní znění testů odboráři kritizují, vnitro oficiálně jejich výtky nepřiznalo. Testování zaměstnanců v kybernetické bezpečnosti podle něj proběhlo bez problémů.
„Na vybraném reprezentativním vzorku zaměstnanců bylo provedeno ověření obtížnosti a schopnosti absolvování tohoto školení. Výsledek ověření byl 100 procent,“ řekl mluvčí Ondřej Krátoška.
To, že odboráři mluví do zabezpečení ministerstva, přitom stojí podle bezpečnostního experta Michala Špačka minimálně za pozornost. Na druhé straně ale říká, že pokud by ochrana před úniky informací byla příliš složitá, nepřinesla by kýžený efekt.
„Zabezpečení se dělá kvůli uživatelům, a pokud se bude uživatelům zdát něco těžké, najdou si způsob, jak to překonat,“ popsal.
Pepajaro, pepaleto…
Nemusí proto podle Špačka fungovat ani příliš časté vynucování změny přístupového hesla. „Můžou si pak udělat heslo, které se dá lehce předpovědět. Třeba pepajaro, pak pepaleto, pak pepazima. Je potřeba, aby bezpečáci s uživateli komunikovali, jinak k tomu zabezpečení ve výsledku nedojde,“ pokračoval.
Špaček doporučuje také využívat správce hesel, program by podle něj měly instituce mít jako jeden z pracovních benefitů. Ministerstvo se k tomu ale na dotaz redakce nevyjádřilo.
Poslanci Farský a Zaorálek, soudce Šámal. E-maily a hesla stovek politiků a úředníků lze koupit za 60 korun
Číst článek
Školení o kybernetické bezpečnosti proběhlo na vnitru – s odkazem na stejnojmenný zákon z roku 2014 – loni vůbec poprvé. Podle náměstka pro státní službu Josefa Postráneckého se ho museli zúčastnit všichni pracovníci fungující podle služebního zákona, kteří pracují s „výpočetní technikou“. „Proces byl e-learningový, využívala se platforma připravená Národním úřadem pro kybernetickou a informační bezpečnost,“ popsal.
Kurzem od úřadu pro kybernetickou bezpečnost prošli loni povinně také třeba zaměstnanci ministerstva zahraničí, podobně je na tom i Český statistický úřad. „Interní kurz je zakončen testem, jeho absolvování bude pro zaměstnance povinné a periodicky opakováno,“ řekl mluvčí Tomáš Chrámecký.
Heslo s alespoň 12 znaky
Předpisy o kybernetické bezpečnosti se zpřísňují také v Bruselu. V tuzemsku se to promítlo v podobě vyhlášky platné od loňského května. Ta státním institucím třeba ukládá, jak likvidovat citlivé údaje, hlásit případné incidenty nebo podobu bezpečnostních opatření. V dokumentu se píše například i o tom, jak má vypadat přihlašovací heslo. U běžných uživatelů má mít minimálně 12 znaků a měnit se nejpozději jednou za 18 měsíců.
Uniklé e-maily a hesla
- Redakce nahlédla do obří databáze, která obsahuje miliony uniklých adres. Mezi nimi našla hned deset prominentních funkcionářů včetně poslance STAN Jana Farského nebo předsedy Nejvyššího soudu Pavla Šamála. Seznam také obsahuje přes čtyři tisíce e-mailů, které nesou adresu některého z ministerstev či dalších státních institucí.
- U necelé tisícovky těchto e-mailů jsou pak uvedena i pravděpodobně znějící hesla. Ta ovšem nemusí nutně odemknout právě zmíněnou e-mailovou schránku. Může jít o heslo, které někdo společně s daným e-mailem použil třeba pro registraci na sociální síti nebo v e-shopu.
- Hesla unikala ze služeb jako Dropbox nebo Adobe, část přihlašovacích údajů se ale na veřejnost dostala poté, co jednoho hackera naboural jiný a zveřejnil jeho databázi. K únikům tedy pravděpodobně nedocházelo ze státních systémů.
Ještě přísnější pravidla ochrany před hackery, než vyžaduje daná vyhláška, má třeba podle mluvčího Vojtěcha Bílého ministerstvo zemědělství. „Detailnější údaje ale nemůžeme poskytnout, bylo by to v rozporu s bezpečností informací,“ uvedl s tím, že interní předpisy obsahují „ucelenou sadu 16 směrnic.“
Ovšem e-mailové adresy s koncovkou resortu a přihlašovací hesla se v hackerské databázi také objevily. V evidenci, do které redakce nahlédla, jich byly desítky. Ověřit to lze v monitorovacím nástroji haveibeenpwned.com/. „O tomto webu víme a o možných únicích přihlašovacích údajů nás úřad pro kybernetickou bezpečnost informoval,“ řekl k tomu mluvčí.
„Na základě toho jsme nejdříve porovnali seznamy adres se seznamem platných mailů – ve výrazné většině případů šlo o adresy zaměstnanců, kteří už na ministerstvo nepracovali. Zaměstnance, kterých se podezření na únik týkalo, jsme vyzvali změnit hesla,“ popsal Bílý z ministerstva zemědělství.
Podobně se vyjádřilo i ministerstvo spravedlnosti či Český úřad zeměměřický a katastrální. „Dotčeným zaměstnancům bylo doporučeno změnit heslo do domény, byli poučeni o nevyužívání úředních e-mailových adres pro soukromé účely, o bezpečném formátu hesel a pravidelné změně hesla,“ popsal předseda úřadu Karel Večeře.
