Připadáte si dnes bezpečně? Máte představu, kolik toho o vás vědí Google, Facebook, Apple či Microsoft? A kolik toho vědí o vaší společnosti a jejích nejcitlivějších datech nejen poskytovatelé cloudových služeb, ale také nejrůznější vládní organizace, nebo třeba zjevná i neznámá konkurence?
Skvělé zamyšlení na toto téma v osobní i byznysové rovině nabídla minulý týden přednáška Mariana Kechlibara z Circle Tech, nazvaná příznačně „Nová éra nedůvěry“, která se uskutečnila takřka na závěr konference Smart Cards & Devices Forum 2014. Marián Kechlibar v ní připomněl nejen historii NSA a „bod zlomu“, k němuž došlo v 70. letech, kdy si zpravodajské (SIGINT) služby pěti západních zemí začaly navzájem vyměňovat informace o svých občanech, aby tak obešly legislativní omezení, která jim v tom bránila, ale také zásadní chyby v jejich přístupu (my máme právo vědět vše, ale ostatní nemají vědět nic), rozsahu (v USA má prověrku „tajné“ na 2,8 milionu lidí) a důsledcích jejich jednání (oslabování bezpečnostních funkcí v oblasti informačních technologií), které vedou, světe div se, k opačným důsledkům – zejména celkovému zhoršování úrovně bezpečnosti.
Žijeme tak ve světě, kde je průmyslová špionáž ničící technologickou inovaci běžným jevem. Ve světě, kde jsou bezpečnostní produkty záměrně oslabovány buď výrobcem, nebo na cestě k zákazníkovi (Cisco se v minulém týdnu v dopise prezidentu Obamovi ohradilo proti praktikám NSA, jež vybraná zařízení na cestě k zákazníkům vylepšovala o backdoor!). Ostatně pro podobné příklady nemusíme chodit příliš daleko – je to jen pár týdnů, kdy jsme i v Observeru informovali o tom, jak si slovenská SIS napsala potřebné zákony sama sobě „na tělo“, aby měla přístup doslova ke všem bezpečnostním technologiím prodávaným v SR včetně digitálních podpisů a certifikačních autorit.
Otázka je, komu věřit. Cisku, jehož routery si upravuje NSA? Bezpečnostním firmám, jako je Kaspersky Lab, jejímž zakladatelem a CEO je bývalý sovětský důstojník vzdělávaný KGB, který se netají svou náklonností směrem ke Kremlu? Intelu, jenž se před časem bránil, aby byly v linuxových distribucích používány alternativní generátory náhodných čísel namísto toho vestavěného v CPU? Open source komunitě, která roky pracovala s OpenSSL „vylepšeným“ chybou heartbleed?
Ruská FSB se prý raději vrátila ke psacím strojům. To my si dovolit nemůžeme. Nezbývá tak, než prostě a jednoduše nevěřit nikomu, a je-li to jen trochu možné, pak cíleně vytvářet informační mlhu.
Komu věříte vy? Máte pocit, že vás ochrání nějaká konkrétní technologie, postup nebo politika?