Kdybyste náhodou k něčemu potřebovali databázi padesáti milionů Turků, můžete si ji od pondělka stáhnout z webu. Jméno, datum narození, adresa, místní ekvivalent rodného čísla a pár dalších maličkostí.
Není tam sice nic vysloveně třaskavého jako e-mailová adresa, číslo bankovního účtu či kreditní karty, ale i tak jde o datový únik jako hrom. Přesněji řečeno, šlo by o něj, kdyby neměli hackeři smůlu na nejhorší možné načasování; vedle Panama Papers působí turecká záležitost vlastně velmi krotce a neškodně.
Možná by se na to člověk ale díval jinak, kdyby byl tureckým občanem. Tentokrát zřejmě žádné bezprostřední úhony nedojde, ale co příště? Příběh totiž obsahuje několik poučení. Zkusme si je probrat postupně.
Zaprvé – a je to triviální konstatování, leč nezbytné – cokoli je jednou v digitální podobě, to je automaticky v nebezpečí. Bezpečnostní opatření mohou vypadat sebelépe, ale nějaká chyba se v nich většinou najde.
A když ne, tak se najde škůdce uvnitř systému. Data se kradou a krást budou: z ryzí bravury, z politických důvodů, ale především pro peníze. To se týká turecké databáze obyvatel stejně jako seznamu čtyř milionů amerických státních zaměstnanců (takzvaný OPM únik v roce 2015). Může se to v budoucnu týkat kterékoli velké databáze u nás včetně chystané EET nebo centrální evidence dat zdravotních pojišťoven.
V zemi, kde běžně vybuchují bomby na ulicích, je tento způsob boje vlastně gentlemanský. Ale stejně jako bomby postihuje nevinné lidi.
Zadruhé, pokud hackeři nelžou, byla turecká data zabezpečena až neuvěřitelně špatně. Podobný incident by se nejspíš měl rozebírat mezinárodně, stejně jako se zveřejňují výsledky vyšetřování každé letecké havárie. Jenže způsoby utajení se většinou utajují, sdílení a poučení nepadá v úvahu. O to snazší to budou mít útočníci i příště.
Zatřetí hackerům se nedá věřit ani slovo. Turecká data jsou stará, pocházejí z roku 2008 a podle všeho se už internetem toulají pár let. Že je teď někdo vytáhl, to není výsledek průlomu v posledních dnech, spíše jde o součást kampaně proti Erdoganovu režimu, který, jak známo, vůči opozici v posledních týdnech hodně přitvrdil.
V zemi, kde s nepříjemnou pravidelností vybuchují bomby na ulicích velkoměst, je tenhle způsob boje vlastně ještě gentlemanský. Avšak stejně jako ty bomby si bere za rukojmí a vedlejší oběti nevinné lidi.
Začtvrté čím větší databázi kdo spravuje, tím větší závazek a odpovědnost má. Tedy na prvním místě stát.
Je dobře, že máme zákon o kybernetické bezpečnosti, je dobře, že se – podle toho, co zaznělo například tento týden na konferenci ISSS v Hradci Králové – ten zákon bere velmi vážně.
Centralizace dat sama o sobě nemusí být špatná, naopak. Ve velkých datových centrech lze zpravidla docílit lepšího zabezpečení než ve stovkách malých, což je dnešní stav. Je ale potřeba vědět, že když něco bouchne centrálně, pak to bouchne pořádně. Pět z osmi Turků už ví své.
Autor je analytikem IT
Čtěte také:
Ankara chce zbavovat občanství stoupence terorismu, chystá nový zákon
Za kritiku útoku proti Kurdům zaplatíte, varuje akademiky Erdogan