Pět pochybení v oboru IT a IT bezpečnosti. 15-20 let staré omyly, které mají vliv na občany a firmy i dnes. Navíc tyto omyly stály firmy již mnoho miliadr USD.
2. Obsah
● Náklady na cyber bezpečnost
● Závyslost uživatelů na IT
● Kde se stala chyba
● Pět tragických pochybení
● Rozdílný přístup
● Tři kroky k vyřešení problémů
3. Náklady na bezpečnost
Uživatelé, banky, firmy i úřady vydaly za počítačovou
bezpečnost v minulých letech mnoho miliard US
dolarů.
● Stále podobné problémy a útoky, se opakují
● Základní problémy nebyly stále vyřešeny
● Proti sofistikovanému útoku zatím není obrana
4. Závyslost všech uživatelů
● Banky, obchodní společnosti i výrobní firmy jsou
závyslé na bezproblémovém fungování IT
● Hackerské útoky neznají hranice
● Sofistikovaný útok může být upraven a pak útočit
zpět na svého původního autora
5. Problémy PC, mobilů a dalších
● PC a počítačové viry
● Za 25 let nebyly vyřešeny problémy s viry v PC
● Skoro 10 let používáme chytré telefony
● Malé krabička, malá obrazovka
● Stejné problémy jako v prostředí PC
● Problémy v PC a v mobilech nejsou vyřešeny a už
se objevují problémy v IoT, SCADA a automobilech
6. Kde se stala chyba ?
● Kritizujeme výrobce potravin za koňské maso, ...
● Kritizujeme Volkswagen za to, že jeho motory čoudí
a špatně spalují naftu
● Ostýcháme se kritizovat velké výrobce SW, přestože
je programování čistě lidská práce
7. 5 tragických pochybení
1) Software je stále posuzován jako autorské dílo, ale
chybí odpovědnost tvůrců za vlastní práci
2) Software prý nejde vytvořit lépe
3) Největší hrozbou pro bezpečnost IT jsou prý nezkušení
uživatelé
4) Vytváří se normy, standardy a zákony, ale neřeší a
nerevidují se chyby v základech IT
5) 15 let jsou vychováváni noví IT specialisté, kteří se
učí jediný správný pohled na počítačovou
bezpečnost
8. Pochybení č. 1
SW je stále posuzován jako autorské dílo, ale chybí
odpovědnost tvůrců za vlastní práci
● Tvorba SW je výsledkem pouze lidské práce
● Programování je exaktní obor, kde je možné vše jasně
popsat, naprogramovat a otestovat
● SW firmy hledají sw inženýry, analytiky, testery. To je
podobné jako u jiných firem, které vyvíjejí a vyrábějí
nějaký výrobek, za který jsou odpovědné
9. Pochybení č. 1 porovnání
SW je stále posuzován jako autorské dílo, ale chybí
odpovědnost tvůrců za vlastní práci
● Konstruktéři mostů i motorů musí respektovat různou
roztažnost materiálů
● U léků se zkoumají vedlejší účinky, ale od lidského těla
neexistuje „manuál“ podle, kterého by se ověřilo co nová
látka může ovlivnit
10. Chyba č. 1
Chybou je, že běžní uživatelé (st. úředníci, CEO,
právníci, atd.) zatím stále tolerují názor :
SW firmy a programátoři nemusí odpovídat za
svojí špatnou práci
11. Pochybení č. 2
SW prý nejde vytvořit lépe
● Každý výrobek je možné zdokonalit a vyrobit lépe, to je
základ pokroku
● Tvorba SW je pouze lidská práce, ale přesto tvůrci tvrdí,
že to lépe udělat nejde
12. Pochybení č. 2 porovnání
SW prý nejde vytvořit lépe
● V non-IT oborech jsou zákaznící a kontrolní orgány velmi
nároční na kvalitu a bezpečnost
● Non-IT výrobci musí vydávat velké částky na aplikovaný
a často i základní výzkum z oblasti fyziky, chemie, atd.
13. Chyba č. 2
Uživatelé (politici, CEO, novináři, právníci, atd.)
tolerují názor, že prý nejde vytvářet operační
systémy lépe, bez chyb a zadních vrátek.
14. Pochybení č. 3
Největší hrozbou pro bezpečnost IT jsou prý
nezkušení uživatelé. Tato výmluva se používá již 20
let.
● Pokud se za 20 let nezměnilo chování uživatelů, tak se
něco dělalo špatně
● Pokud není možné změnit chování a návyky zákazníků,
tak se musí změnit výrobek
15. Pochybení č. 3 porovnání
Automobilky vědí, že řidiči jsou za volentem
nepozorní a chybují
● Automobilky nesvádí odpovědnost na nezkušené řidiče,
například na řidiče - IT odborníky
● Automobilky poznaly, že chování řidičů nezmění. Takže
převzali iniciativu a nové automobily vybavují systémy,
které hlídají chování a chyby řidičů
16. Chyba č. 3
Chybou je, že IT odborníci víc jak 15 let spoléhají
na změnu chování uživatelů, místo toho, aby se
chopili iniciativy. Podobně jak to dělají výrobci
automobilů.
17. Pochybení č. 4
Vytváří se normy, standardy a zákony, ale neřeší a
nerevidují se chyby v základech IT
● Mnoho lidí, firem i úřadů věnuje svoji energii vytváření
nových norem
● Stejní lidé, pak zažívají deziluzi po úspěšném
sofistikovaném útoku, kterému normy nedokázaly zabránit
● Málo úsilí se věnuje základům tvorby SW
18. Pochybení č. 4
● Při porovnání je vidět velký nepoměr mezi počtem
norem a pravidel pro uživatele nebo administrátory a
počtem pravidel pro tvůrce SW
● Současná situace vytváří falešný dojem, že jsou
problémy s viry a hackery řešeny i normami a
zákony
● Ve skutečnosti normy a zákony řeší pouze následky,
nikoliv příčiny problémů.
19. Chyba č. 4
Chybou je, že se normami a zákony nezačíná u
tvůrců SW podobně, jak to platí například u
letadel (ISO 9120) nebo automobilů (ISO 16949)
● Současné normy a zákony řeší následky a nezabývají se
skutečnými příčinami, které jsou spojené s počítačovými
viry a hackerskými útoky.
20. Pochybení č. 5
15 let jsou vychováváni noví IT specialisté, kteří se
učí jediný správný pohled na počítačovou
bezpečnost
● Jednostranná výchova souvisí s chybnými názory
● Autoři SW prý nemohou odpovídat za svoji práci
● SW prý není možné napsat lépe
● Největší hrozbou pro bezpečnost IT jsou prý uživatelé
● Vše je řešeno v normách, vzhláškách a zákonech
21. Chyba č. 5
Při tvorbě SW naprosto chybí kritický pohled na práci
tvůrců programů. Tyto zkreslené názory následně
přebírají novináři i politici.
Výchova nových IT odborníků v mnoha ohledech
připomíná výchovu mladé generace ve Východním
bloku před rokem 1989. Tehdy byl lidem také vnucován
jediný správný pohled na problém, na život a na svět.
22. Řešení
● Řešení existuje!! To je hlavní a podstatná informace.
● Tvorba SW je čistě lidská práce, kterou je možné
jasně popsat, naprogramovat a otestovat.
23. Rozdílný přístup
● Program Apollo - za 8 let připravena cesta na Měsíc
●
Vyřešeno mnoho nových úkolů
● Z raketové techniky
● Orientace v meziplanetárním prostoru
● Ochrana lidí a elektroniky před zářením
● Mnoho objevů z různých oborů přírodních věd
● Tvorba počítačových programů – za víc jak 15 let nevyřešeno
● Čistě lidská práce
● Exaktní obor ke je možné vše jednoznačně popsat
24. Odpovědnost výrobců
● Výrobci dětských hraček, potravin nebo domácích
spotřebičů jsou odpovědni za své výrobky.
● Automobilka Volkswagen je odpovědná za své čoudící TDI
motory
25. Řešení – krok č. 1
● Tvorba SW je čistě lidská práce. Chyba v programu je
výsledkem špatné práce člověka
● Prosazení stejně kritického pohledu na SW jako na
automobily, hračky nebo potraviny
26. Řešení – krok č. 2
Ověření originality, původu a neporušenosti systémových
souborů
● Pro řešení mohou být využita „Tři pravidla Cyber
bezpečnosti“
● Jedná se o podobné řešení jaké platí v letectví,
při sledování náhradních dílů od
výrobce až po instalaci do letounu
27. Řešení – krok č. 3
● Pyramida počítačové bezpečnosti
● Spolehlivé ověřování systémových souborů je nutnost
● Stejně kritický přístup k automobilům i programům je nutnost
ale tyto dva kroky nastačí
● Je nutné prosadit pravidelné testování SW podobně jako crash
testy automobilů
● Tvůrci SW musí převzít iniciativu podobně jako
výrobci automobilů
28. Shrnutí
● EXISTUJE řešení 20 let trvajících problémů s viry a hackery
● Základ řešení je ve změně uvažovaní uživatelů. Nároky na
tvůrce SW by měly být podobné jako nároky na výrobce
potravin nebo automobilů
● Technickou stránku opatření je možné prosadit a
realizovat téměř ihned
29. Závěr
● Tvorba SW je čistě lidská práce
● Tvorba SW je exaktní obor, ve kterém je možné vše jasně
nadefinovat, naprogramovat a otestovat
● Změna základů pomůže vyřešit naprostou většinu
problémů s počítačovými viry a hackerskými útoky
30. O autorovi
Jiří Nápravník (*1968)
https://cz.linkedin.com/in/napravniksalamandr
● 1997 – 2002 soudní znalec, počítačová kriminalita
● 2003 pomohl dopadnout prvního vykradače bankovních účtů přes
internetbanking
● Popsal a vyzkoušel útok na zaručený elektronický podpis
● Popsal a vyzkoušel útok na čipovou kartu s privátním klíčem
● 2014 definoval Tři pravidla cyber bezpečnosti
● 2015 definoval Pyramidu cyber bezpečnosti