„Vážení přátelé, dnes mi volala kolegyně, že jí z mé adresy přišel mail požadující peníze. Oznamuji, že žádný mail podobného obsahu jsem nikomu nerozesílala a že se jedná o zneužití mé elektronické adresy. Vše jsem nahlásila, ale víc v tomto směru bohužel udělat nemohu,“ píše znechucená pisatelka svým blízkým a známým. Bohužel, fenomén dnešní doby Jako přes kopírák popisují své obdobné osobní zkušenosti i četní další uživatelé internetu. Současná situace je alarmující. Kybernetičtí zločinci vybírají bankovní účty, zastavují montážní linky, nebo si dokonce podmaňují zdravotnická zařízení. Podle Policie České republiky nárůst jednotlivých druhů kyberkriminality ovlivňuje již prakticky život každého z nás. Přibývají například podvodné inzeráty (nabízející prodej automobilů, elektroniky, živých zvířat nebo i pronájmy bytů), sbírky a v neposlední řadě jednání známé jako tzv. nigerijské podvody. Do daných aktivit lze zahrnovat také právě podvody prostřednictvím podvržených e-mailů nebo krádeže peněz z bankovních účtů za pomoci takzvaného phishingu. Hacking, sniffing Patří sem i hacking – neoprávněný přístup k počítačovému systému a nosičům informací. Typickým příkladem je získání údajů oběti, s nimiž může pachatel dál libovolně nakládat. Součástí těchto jednání bývá mimo jiné šíření škodlivých kódů, implementace tzv. backdoorů do volně přístupných softwarů. Stále častější formou je napadení e-mailových účtů, účtů na sociálních sítích, účtů internetového bankovnictví, které má za následek průnik do soukromí, získávání citlivých informací s možností jejich poškození či zničení nebo získání finančního prospěchu. S tím souvisí další navazující trestná činnost (vydírání, nebezpečné pronásledování). Součástí tohoto druhu trestné činnosti jsou i kybernetické útoky (například DDoS) nebo vydírání prostřednictvím ransomwaru. Další formou může být sniffing, kdy pachatel zachytává probíhající komunikaci v síti a získává tak citlivé údaje nejen o provozu, ale též obsahu. Děje se tak často na nezabezpečených Wi-Fi připojeních, na straně zmanipulovaných e-mailových serverů a poslední dobou i napadením domácích routerů. Pachatelé se pak dostávají k citlivým údajům, jako jsou hesla, platební údaje či citlivý osobní, případně intimní obsah, který pak využívají k nátlaku na oběť se snahou o vlastní finanční obohacení nebo alespoň poškození pověsti oběti. Blagging Prostřednictvím internetu se šíří též velké množství různých podvodů, které mimo jiné využívají sociálního inženýrství. Riziku jsou zde vystaveni nejen jednotlivci, ale také obchodní společnosti. Jedním z mnoha typů podvodů na internetu, který využívá sociálního inženýrství, je tzv. CEO – tedy Command Executive Order. Jde o fiktivní příkaz oprávněné osoby k provedení nějaké činnosti, v tomto případě platby na účet. Tyto typy podvodů jsou ve většině případů vytvořeny na základě velmi dobrých znalostí trhu, struktury a zákazníků dané společnosti. Získané informace bývají zneužívány k přesvědčivé argumentaci, aby byly oběti snáze zmanipulovány k provádění požadovaných aktivit. Jedním z typických scénářů je, že se pachatelé pro navázání kontaktu vydávají třeba za ředitele firmy (prezident, CEO, CFO) nebo důvěryhodného partnera (právníci, notáři, auditoři, účetní) společnosti. Pod touto záminkou pak kontaktují konkrétního zaměstnance firmy s tím, že byli kontaktováni výkonným ředitelem ve věci splatnosti nějaké pohledávky či uzavření smlouvy, a přimějí tak zaměstnance firmy k žádoucí interakci. Podvodné e-shopy, mravnostní trestné činy Obliba nákupů přes internet prostřednictvím e-shopů neustále roste. Vzrůstající tendenci mají jak počty provedených nákupů, tak objem tržeb internetových obchodů. Nakupování přes internet je rychlé, mnohdy za výhodnější cenu než v kamenném obchodě a s možností doručení na adresu, kterou uvede zákazník. Přesto by kupující měli být opatrní zvláště při nakupování u neověřených e-shopů, při neobvykle nízké ceně zboží a především při požadavku e-shopu na platbu předem (u podvodných obchodů zpravidla jediná možnost platby). V poslední době se objevují případy nabídek brigády spočívající v zakládání inzerátů, případně přeposílání plateb, kde figurují naivní oběti. Tyto osoby pak pro pachatele zakládají bankovní účty, na které jsou přeposílány platby z podvodných e-shopů, a následně se finanční prostředky přeposílají či jiným způsobem předávají pachatelům. Svým jednáním se však tito brigádníci dopouštějí sami trestného činu legalizace výnosů z trestné činnosti, kterého se lze dopustit i nedbalostním jednáním dle trestního zákoníku, nebo také trestného činu podílnictví. Přibývají mravnostní trestné činy, kdy dochází ke kontaktování dětí mladších 18 let ve snaze získat jejich intimní fotografie či videa, případně je vylákat na osobní schůzku. Nejčastějším prostředím pro kontakt jsou chaty, sociální sítě a on-line hry. Takto získané materiály jsou pak šířeny či směňovány v uzavřených diskusních fórech zejména v síti onion, e-mailovými zprávami nebo P2P sítěmi. Bylo by možné jmenovat i trestné činy proti autorskému právu, zejména ve sdílení hudebních skladeb, filmů a softwaru v rozporu s autorským právem šířeným v rámci webových velkokapacitních úložišť nebo P2P sítí a četné další projevy kyberkriminality. Zájem o veletrh it-sa Není divu, že o veletrh, který se touto tematikou na norimberském výstavišti v Německu každoročně zabývá, je nebývalý zájem. Třeba loňský rok zaznamenal nová rekordní čísla: 698 vystavovatelů a 14 290 odborných návštěvníků a manažerů s rozhodovací pravomocí. Původně se tento veletrh etabloval jako „bezpečnostní hala“ v rámci bývalého veletrhu „Systemes“ a v současnosti patří vedle veletrhů Infosecurity Europe a RSA Conference k již celosvětově nejvýznamnějším událostem na téma bezpečnosti IT. Letos poprvé it-sa obsadí čtyři haly, aby se vyhovělo dále rostoucí poptávce. Doprovodný kongresový program Congress@it-sa začíná den předem, a to i letos výročním zasedáním pracovníků spolkových zemí a obcí zodpovídajících za zabezpečení IT. Rovněž už 7. října se koná UP19@it-sa, která dá zazářit start-upům, a druhá edice CyberEconomy Match-upu u příležitosti veletrhu it-sa. Nomenklaturní zaměření Cílem it-sa je seznámit odborníky, podílející se na budování a řízení informační bezpečnosti, s riziky v oblasti ochrany dat a s možnostmi, jak tato rizika snížit. V tomto rámci budou prezentovány metody a nástroje k efektivnímu zajištění bezpečnosti informačních a komunikačních systémů. Podle sdělení představitelů společnosti NürnbergMesse bude tento jeho úspěšný koncept nadále zachován. Až po fyzickou ochranu výpočetních středisek pokryje it-sa 2019 celé spektrum aktuálních řešení pro zabezpečení IT v oblasti hardwaru a softwaru, výzkumu a poradenských služeb. Příspěvky vystavovatelů na otevřených fórech doplní nabídku informací o praktické znalosti, know- -how z oboru a diskuze k aktuálním otázkám kybernetické bezpečnosti. Ani letos nebudou chybět témata obsahově zaměřená na kyberbezpečnost, mobilní bezpečnost, bezpečnost v cloudu (pronajímání), na ochranu a bezpečnost dat, bezpečnost na internetu a na síti, bezpečnost hardwaru, na ukládání dat, bezpečnost datových center, průmyslovou bezpečnost IT, certifikaci v oblasti informačních technologií a další témata. Zaměřeno diferencovaně na cílové skupiny Vystavující podniky představí nabídku produktů a informací, kterou se veletrh zaměřuje na návštěvníky ze všech hospodářských odvětví, mimo jiné na tyto cílové skupiny: výrobci a poskytovatelé hardwaru a softwaru, system houses, reselleři, orgány státní správy a (obecní) samosprávy, banky a finanční sektor, pojišťovnictví, zdravotnictví, výroba a průmysl a IT poradenské firmy. V nabídce jsou i zvláštní plochy, kde se budou prezentovat vysoké školy a začínající podniky. Rovněž zvláštní plochy k tématům Identity and Access Management a bezpečnost datových center. Workshopy a další doprovodný program Lze předpokládat, že také v letošním ročníku návštěvníci projeví zájem o otevřená fóra. V jejich programu bude kolem 350 očekávaných přednášek. V každé ze čtyř hal se budou konat četné krátké přednášky vystavovatelů na téma zabezpečení IT z pohledu managementu a technologií. K vrcholům budou patřit položky programu, které jsou označeny jako „it-sa insights“ – produktově neutrální přednášky a diskuze expertů z asociací a organizací, jakož i „mezinárodní fórum“ jako ryze anglickojazyčné přednáškové pódium. Mezi příspěvky na fórech budou mít zvláštní místo také právní otázky a trendy v oblasti bezpečnosti IT, jako je zabezpečení IT pro čtvrtou průmyslovou revoluci. Magnetem budou pro publikum denní ukázky live hackingu i příspěvky na toto téma přizvaných odborníků. Proběhnou zde rovněž četné doprovodné akce a workshopy, kterých se mají zúčastnit pracovníci odpovědní za bezpečnost, aby se dozvěděli o novinkách z oboru a navazovali kontakty. Dodatečné know-how nabízí kongresový program Congress@it-sa. Tady v řadě přednášek a prezentací odborníci poskytnou informace o aktuálních otázkách, strategiích a technických řešeních. Doprovodný kongresový program bude zahájen 7. října. Výroční zasedání pracovníků spolkových zemí a obcí zodpovídajících za zabezpečení IT opět učiní Congress@ it-sa významnou informační platformou pro odborníky ve veřejné správě. Zaměří se na mýtus umělé inteligence. (Otázka, zda využívání umělé inteligence způsobí revoluci v zabezpečení IT, je dnes koneckonců jedním z nejdiskutovanějších témat v komunitě IT security.) Součástí kongresového programu během it-sa 2019 je opět výroční zasedání pracovníků spolkových zemí a obcí zodpovídajících za zabezpečení IT, které je každoročně pořádáno Spolkovou akademií veřejné správy ve spolupráci s Radou pro plánování IT, stejně jako Den základního zabezpečení IT Spolkového úřadu pro bezpečnost v oblasti informačních technologií. Další informace k doprovodnému programu a Congress@it-sa lze nalézt na www.it-sa.de/en/events. Milan Bauman