Information for libraries

  • na webu

Visual

Nacházíte se zde: Úvod Archiv 2021 / 02 Informace a konference Knihovna jako potenciální terč kybernetického útoku

Knihovna jako potenciální terč kybernetického útoku

Mgr. David Kudrna / oddělení vzdělávání Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB)
Mgr. Ondřej Hudeček, Ph.D. / Městská knihovna v Praze

Úvod

Česká republika se pyšní unikátní sítí knihoven. Je zřejmé, že role a úlohy knihovny základní, krajské či specializované se liší. Všechny typy knihoven však spojuje důraz na digitalizaci interních procesů i veřejných služeb. Málokterou činnost dnešní knihovník vykonává bez zapojení digitálních technologií, ať už se jedná o akvizici, půjčování knih, jejich katalogizaci, referenční a rešeršní služby, komunikaci s uživateli knihovny nebo cokoliv dalšího. Pokud však hovoříme o digitalizaci knihovního prostředí, je vždy nutné mít na zřeteli také otázky kybernetické bezpečnosti.

V praxi se ale ukazuje, že kybernetická bezpečnost představuje pro řadu uživatelů digitálních technologií abstraktní pojem, pod kterým si nedokáží představit konkrétní kybernetické hrozby či svoji vlastní roli, a celou problematiku tak zlehčují. Proto se v tomto prakticky orientovaném příspěvku pokusíme pracovníkům knihoven přiblížit kybernetickou bezpečnost v kontextu knihovnické praxe, vyvrátit časté mýty a přinést prakticky použitelné rady a doporučení. Rádi bychom také objasnili, proč i knihovny mohou být atraktivním terčem pro různé typy kybernetických útoků.

Nejedná se totiž „pouze“ o osobní údaje uživatelů knihovny, které by někdo mohl mít zájem odcizit a dále zneužívat. Knihovny jsou většinou veřejnými institucemi, symboly vzdělanosti a šíření osvěty, s vysokou mírou důvěry společnosti, institucemi, jež pomáhají stírat společenské rozdíly a podílejí se na rozvoji společnosti. Knihovníci také usilují o udržování vysokého standardu etiky knihovnické profese a zajištění rovného přístupu občanů k informacím. Pokud se podaří nepovolané osobě získat nadvládu nad sociálními sítěmi nebo webem knihovny a zneužít je třeba pro šíření dezinformační kampaně, zcela jistě to knihovnu poškodí. Stejně tak knihovnu dokáže poškodit zrealizovaný kybernetický útok, který jí zabrání v poskytování jejích základních služeb. V zahraničí se například řešily útoky na knihovny v období sčítání lidu. Do sčítání, které probíhalo hlavně online formou sebesčítání, byly aktivně zapojeny i knihovny. V tomto čase na ně byla zaznamenána vyšší intenzita kybernetických útoků.

V rámci logiky kybernetických útoků může být výhodné vybrat si za cíl knihovnu také z důvodu zapojení desítek počítačů v jejím informačním systému, v knihovnách krajských či národních až stovek počítačů a jiných digitálních zařízení. Existují kybernetické útoky, jejichž cílem je získat nadvládu nad těmito zařízeními a rafinovaně jejich výpočetní výkon nebo jeho část zneužít pro kybernetické útoky na další instituce. Úspěšný útok na informační systémy knihoven může vést i ke znehodnocení interních databází knihovny jako jsou katalogy knihovního fondu či digitální knihovny a digitalizované dokumenty, které mohou být nevratně zašifrovány. Záleží pak na kvalitě zabezpečení IT služeb v konkrétní knihovně, na nastavení zálohování atp., které rozhodnou o tom, zda knihovna dokáže původní databázi alespoň částečně či úplně obnovit nebo nikoli.

Mezi další činnosti/služby knihoven patří zprostředkování přístupu k vědeckým či patentovým databázím. Ty mohou být pro útočníky zajímavé samy o sobě. Kybernetické útoky na ně mohou knihovnu poškodit mj. tím, že dojde k odcizení přihlašovacích údajů uživatelů, jejich zveřejnění, nebo zveřejnění či ilegální kopírování digitálních dokumentů, které jsou vázány autorským právem. To může knihovnu poškodit nejenom v morální, ale i trestněprávní rovině. Tyto příklady jasně ukazují, že není na místě téma kybernetické bezpečnosti zlehčovat.

Faktem je, že velká část kybernetické bezpečnosti organizace závisí na nastavení bezpečnostních a IT politik, které zajišťují odborníci na kybernetickou bezpečnost a informační technologie. Klíčovým článkem pro zajištění kybernetické bezpečnosti je a bude poučený zaměstnanec, pro něhož je kybernetická bezpečnost představitelná a konkrétní. Dále proto navrhujeme konkrétní rady a doporučení, které lze v knihovní praxi využít.

1. Frázová hesla

Zásadou dlouhodobě a opakovaně vysvětlovanou, bohužel stále opomíjenou, je mít dostatečně silné heslo k uživatelskému účtu. Různé on-line služby nás často nutí, aby hesla splňovala řadu požadavků jako třeba velká a malá písmena, čísla nebo speciální znaky (?, +, / atp.), a to z našich hesel pak činí jen obtížně zapamatovatelný řetězec. Většina běžných uživatelů navíc umístí ve svém heslu velké písmeno na první a speciální znak nebo číslo na poslední místo řetězce, což jsou předvídatelné pozice. Tím útočníkům nevědomky pomáhají, protože to pak mohou mít matematicky jednodušší. V odborných kruzích se proto stále častěji a důrazněji doporučují hesla tzv. frázová, která sama o sobě fungují jako mnemotechnická pomůcka. Příklad frázového hesla: NoepvýpaBr,tedo15.st neboli Nový epochální výlet pana Broučka, tentokrát do XV. století. Nemusíme si pamatovat mnoho, jen nějakou „hlášku“ a klíč, kterým ji skládáme. V tomto případě jsou to dva počáteční znaky každého slova. Ale ani frázové heslo nás neochrání před útokem, kterému říkáme phishing (viz dále).

obr-1.png

2. Phishing

Phishing je kybernetický útok, jehož záměrem je získat od uživatele důvěrné údaje, nejčastěji jeho přihlašovací jméno a heslo pro vstup do nějaké on-line služby. Zpravidla se s tímto útokem můžeme setkat v e-mailu, messengeru nebo jiné službě určené pro posílání zpráv. Phishingová zpráva láká ke kliknutí k přiloženému odkazu a přihlášení se. V posledních letech se tato praktika značně zdokonalila. Na zprávu jako „uživatel knihovnik1 s vámi sdílí soubor Plán 2021, přihlaste se k editaci“, „spustili jsme nový modul systému pro evidenci uživatelů, přihlaste se stávajícími údaji“ nebo „jsi na tomto videu opravdu ty?“ zareaguje více lidí než na zprávu o rozsáhlém dědictví od strýčka z USA. Využít pro tento útok se dá i řada informací z webu samotné instituce, na niž útok směřuje. Může jít o akce ve veřejném kalendáři, jména zaměstnanců atp. Také proto na phishingové zprávy častěji nesprávně zareagují noví zaměstnanci či stážisté, kteří neznají souvislosti uvnitř organizace.

Úspěšnost takového útoku může vzrůstat, pokud phishingovou zprávu čteme na mobilním telefonu. Mobilní zobrazení bývají jednodušší, některé informace automaticky neukazují a samozřejmě toho také více přehlédneme. Je třeba zbystřit, pokud zpráva přichází třeba ve tři hodiny ráno, dát pozor na přesmyčky, které signalizují, že něco není v pořádku (například „m“ a „rn“ lze snadno přehlédnout). Proto je dobré mít aktivované také dvoufaktorové přihlašování (viz dále).

obr-2.png

3. Dvoufaktorové ověřování

Výraz dvoufaktorové ověřování zní složitě, ale znamená to jen tolik, že pokud se přihlašujeme do nějaké on-line služby, zadáme své přihlašovací jméno, heslo a poté ještě potřebujeme další potvrzení, např. SMS kód, který opisujeme při přihlašování se do internetového bankovnictví. Aktivovat dvoufaktorové ověřování lze u řady dalších služeb, nabízí ho například většina sociálních sítí. Nemusí to znamenat, že s každým přihlašováním děláme krok navíc, jde třeba o to, že pokud se k našemu účtu přihlašuje někdo mimo naše časové pásmo a z neobvyklé geografické polohy, jsme dotázáni, zda jsme to my a přístup povolujeme.

Druhý faktor může být navázán i na otisk prstu nebo další ochranné prvky tohoto typu. Je to dobrá pojistka pro případ, kdy někdo nepovolaný získá přístup k našim přihlašovacím údajům – třeba pomocí phishingu. Nebo kvůli tomu, že službě, kde máme založený účet, nějaká data uniknou na internet, to se může stát. Tuto radu, nastavit si dvoufaktorové ověřování, zařazujeme především z toho důvodu, že i malé základní knihovny na sociálních sítích mívají svůj účet a dvoufaktorové ověřování může být nápomocné v zájmu ochrany před útokem.

obr-3.png

4. Nebezpečné přílohy

Přílohy jsou běžnou součástí e-mailů, ale i častým nástrojem kybernetických útoků. Je to překvapující, ale zahájit úspěšný kybernetický útok mohou i tolik využívané dokumenty typu Word nebo Excel a Powerpoint. Záludná mohou být tzv. makra. Makra jsou pokročilá pravidla, soubor příkazů, která nejsou sama o sobě špatná. Pokročilí uživatelé je mohou vytvářet a zjednodušit si s jejich pomocí rutinní práci. Makra však mohou být zneužitelná a soubor příkazů připraven tak, aby po jejich povolení začal „dělat paseku“. Pokud tedy nečekaně a od neznámé osoby obdržíme v příloze e-mailu třeba dokument Excel a ten si vynucuje spuštění makra, například pod záminkou správného fungování souboru, nepovolujeme ho.

Prvním vodítkem může být samotná přípona souboru (soubor.docm = s makrem, soubor.docx = bez makra, to analogicky platí i u dalších souborů Microsoft Office). Potenciálně nebezpečných přípon u příloh může být celá řada, myslíme si však, že právě k výše uvedeným typům souborů jsou uživatelé méně pozorní než k nějaké zvláštní příponě, kterou nikdy neviděli, a proto na toto nebezpečí upozorňujeme.

obr-4.png

5. Aktualizace

Aktualizace je vylepšení nebo oprava nějakého programu či aplikace. To se často může týkat i bezpečnosti. Aktualizace totiž fungují také jako náplasti na tzv. zranitelnosti, tedy slabá místa, kterých útočník může využít pro průnik do systému a jeho poškození či zneužití. Neútočí přímo typicky na systém konkrétní knihovny, ale útočí na všechny systémy s touto konkrétní zranitelností. A tyto systémy může využívat i knihovna. Aktualizace v organizaci a jejich systémové řízení zajišťují odborníci na kybernetickou bezpečnost a informační technologie, o nichž jsme se již zmínili. Znamená to, že pokud se začne objevovat upozornění na novou aktualizaci a výzva k její instalaci, neměli bychom tento úkon odkládat, ale raději ho co nejdříve provést.

obr-5.png

 

Závěr

Digitální technologie jsou a ve stále větší míře budou klíčovou součástí knihovnické praxe, knihovních procesů i služeb. Je proto velmi důležité, aby digitalizace šla ruku v ruce se zajištěním kybernetické bezpečnosti. Uživatel digitálních technologií je důležitou součástí tohoto digitálního ekosystému a poučený uživatel může předejít velkým problémům a poškozením, jejichž náprava je drahá.

Další rady a doporučení lze získat v bezplatném online kurzu Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB), který nabízí Moravská zemská knihovna na svém portálu: https://kurzy.knihovna.cz/. Účastník po absolvování kurzu získá certifikát. Doporučujeme také navštívit osvětový portál NÚKIB, kde se nachází řada bezplatných kurzů a vzdělávacích aktivit: https://osveta.nukib.cz/.

01.03.2022




Vyhledávání
Proměny Klementina ve fotografiích

Termín: od 5. 8. 2024

Místo: Hala služeb, Národní knihovna ČR, Klementinum 190, Praha 1

Vybrané fotografie zachycují podobu Klementina od konce 19. století do cca poloviny 20. století. Vyprávějí dávno zapomenuté příběhy, připomínají místa, která zanikla nebo v souvislosti s přestavbou Klementina pro potřeby tehdejší Veřejné a universitní knihovny změnila svou podobu.

Výstava Bibliotheca Atronomica

Termín: 18. 10. - 18. 12. 2024

Místo: Galerie Klementinum, výstavní sál

ba2024_vystava.png

Týden pro digitální Česko

Termín: 18. 11. - 24. 11. 2024

více informací o akci

tdč-black-transparent.png

Archivy, knihovny, muzea v digitálním světě

Termín: 27. - 28. 11. 2024

Místo: Národní archiv v Praze, Archivní 4, Praha 4 Chodovec

Zájemci o přednesení odborných příspěvků mohou své příspěvky (název příspěvku, stručná anotace) ohlásit do 30. 9. 2024 na adresau vit.richter@nkp.cz

více informací

Lublaňský manifest o čtení

Lublaňský manifest o čtení, český překlad

plný text