„K účtům má přístup jen úzký tým.“ Chrání vláda, prezident i resorty své sociální sítě?
VLÁDNÍ KYBERBEZPEČNOST
Dvoufázové ověření, notifikace při přihlášení z neznámých zařízení i silná hesla. Klíčová strategická ministerstva i kancelář prezidenta republiky se shodují, že využívají „veškeré bezpečnostní funkce“, které lze na sociálních sítích používat, včetně školení zaměstnanců, kteří mají k sítím přístup. Deník Echo24 je oslovil v návaznosti na hybridní útok na účet premiéra Petra Fialy (ODS) a koalice Spolu na síti X.
Účty premiéra Petra Fialy a koalice Spolu na síti X byly napadeny v úterý ráno, objevily se na nich falešné příspěvky, které informovaly o útoku na české vojáky ruskou armádou nebo odvetách za americká cla. Mluvčí vlády Lucie Michut Ješátková pro Echo24 řekla, že na vyšetření incidentu a identifikaci viníků úřad vlády aktivně spolupracuje s příslušnými orgány, včetně Policie ČR. „Samotný útok jsme analyzovali a přijali jsme taková opatření, aby se nemohl opakovat,“ řekla Ješátková. Na dotaz, zda po útoku zváží premiér odchod ze sítě X, uvedla, že nikoliv. „Sociální síť X je důležitým prostředkem ke komunikaci s občany a médii. V tuto chvíli o odchodu neuvažujeme,“ uvedla mluvčí.
Na doplňující dotaz pak řekla, že zabezpečení profilu je pro premiérův tým prioritou. „Opatření jako například dvoufázové ověření je nezbytnou samozřejmostí. Ke správě profilu pana premiéra má přístup velmi omezený okruh lidí, který je v rámci bezpečnosti řádně proškolen,“ řekla Ješátková.
Deník Echo24 se zároveň v této souvislosti obrátil na tým prezidenta Petra Pavla, ale také na strategicky významná ministerstva s dotazem, jakým způsobem řeší zabezpečení profilů na svých sociálních sítích. Mluvčí prezidentské kanceláře Filip Platoš pro Echo24 řekl, že KPR používá odpovídající zabezpečení. „Všechny komunikační kanály, které využívá prezident republiky i KPR používáme s ohledem na citlivost přenášených informací, včetně odpovídajícího zabezpečení. To platí pro přenos utajovaných, interních i veřejně dostupných informací,“ řekl Platoš.
Mluvčí ministerstva zahraničí Mariana Wernerová pro Echo24 řekla, že jak MZV, tak ministr zahraničí Jan Lipavský (nestr.) při správě svých sociálních sítích využívají veškeré bezpečnostní funkce, které jsou na sítích dostupné. „Jedná se například o dvoufázové ověření uživatele, potřebu notifikace při přihlášení z neznámých zařízení, silná hesla a další formy zabezpečení,“ řekla Wernerová. Pracovníci, kteří mají přístup k účtům, disponují podle ní platnou bezpečnostní prověrkou od Národního bezpečnostního úřadu a prochází pravidelným povinným školením kybernetické bezpečnosti, které se problematice sociálních sítí rovněž věnuje.
Ministerstvo obrany v rámci svých sociálních sítích podle svého mluvčího Davida Šímy „samozřejmě využívá maximální množství bezpečnostních funkcí, které platformy umožňují“. „To je například dvoufázové ověření, složitost hesla, notifikace o přihlášení z neznámých zařízení a další. Zaměstnanci resortu pravidelně prochází školením na téma kybernetické bezpečnosti, které se mimo jiné problematice věnuje,“ uvedl pro Echo24 Šíma.
Ministr Vlček nemá nainstalovaný TikTok
MPO používá u sociálních sítí také několikafázové ověření. „Přístup má omezený okruh pracovníků, kteří se řídí doporučeními IT oddělení a Národního úřadu pro kybernetickou bezpečnost,“ řekl Echu mluvčí MPO Marek Vošahlík. „Pokud jde o sociální sítě pana ministra (Lukáše Vlčka – STAN), tak u nich se všude používá několikafázové ověření, přístup má pan ministr a správce jeho sociálních sítí. Z bezpečnostních důvodů nemá pan ministr ani nikdo z jeho týmu nainstalovanou aplikaci TikTok na svém telefonu, přístup na účet pana ministra je z externího zařízení pro to určeném,“ řekl Vošahlík.
Správa sociálních sítí ministerstva financí probíhá podle mluvčího Stefana Fouse v souladu s interními bezpečnostními pravidly a standardy informační bezpečnosti. „Přístup k účtům má pouze omezený okruh prověřených osob, které jsou pravidelně školeny v oblasti bezpečného nakládání s přístupovými údaji a digitální bezpečnosti obecně,“ řekl Fous redakci.
Veškerých zmíněných dostupných bezpečnostních prvků, které jednotlivé platformy nabízejí, je využíváno i v rámci přístupu k sociálním sítím ministerstva vnitra je využíváno. „Zaměstnanci také pravidelně absolvují školení na kybernetickou bezpečnost,“ řekl Echu mluvčí Ondřej Krátoška.
Expert: Pravidly je potřeba se rigidně řídit
Expert na kybernetickou bezpečnost Jan Kopřiva pro Echo24 řekl, že vzhledem k tomu, že dle dostupných informací nelze útok na premiéra Fialu připsat žádné skupině, tím méně státu, sám by byl relativně opatrný při používání pojmu hybridní „válka“. „Nemění to však nic na tom, že o hybridní ‚útok‘, tedy aktivitu kombinující kybernetické působení a dezinformační kampaň, bezpochyby šlo,“ uvedl Kopřiva.
„Takzvané vícefaktorové ověřování, funguje tak – pokud situaci drobně zjednodušíme – že pro přihlášení k účtu bylo nezbytné vedle správného hesla (tzv. první faktor) zadat ještě dodatečný kód z aplikace v mobilním telefonu nebo vložit do počítače speciální fyzický klíč (tzv. druhý faktor). I kdyby se tak útočníkům hypoteticky podařilo uhádnout nebo ukrást platné heslo k danému účtu, stále by k němu neměli přístup,“ uvedl Kopřiva s tím, že jak a zda jej získali se lze v současnosti pouze dohadovat.
„Za pravděpodobnou bych však označil buď variantu, že útočníkům se podařilo přimět některou z osob oprávněných přistupovat k premiérovu účtu, aby se přihlásila k jimi provozovaným podvodným stránkám sítě X, v důsledku čehož získali jak správné heslo, tak správný ověřovací kód, nebo variantu, že útočníci kompromitovali počítač či telefon jedné z osob, které k danému účtu měly přístup, a toto zařízení útočníci přímo využili k publikaci oněch dezinformačních zpráv,“ dodal expert s tím, že první uvedenou možnost přitom považuji za pravděpodobnější.
„Teoreticky je možné, že útočníci mohli zneužít dosud neznámou zranitelnost v síti X, která by jim umožnila publikovat příspěvky bez přihlášení ke konkrétnímu účtu. Tuto variantu pokládám na základě aktuálně dostupných informací za méně pravděpodobnou, nicméně nelze ji vyloučit. I v takovém případě by však úspěch útoku pravděpodobně závisel na tom, zda legitimní uživatel otevřel odkaz zaslaný útočníkem nebo navštívil škodlivou stránku. A ani tento scénář by tedy neměl být úspěšný, pokud by byla zavedena odpovídající bezpečnostní opatření,“ uvedl dále Kopřiva.
Stran vhodného zabezpečení profilů vysoce postavených politiků na sociálních sítích je podle něj na místě zmínit, že vedle dostatečně dlouhých hesel a výše zmíněného vícefaktorového ověření identity, které by měli bezesporu používat (nejen) všichni politici, by bylo určitě žádoucí mít nastavené i dostatečně bezpečné procesy pro umožnění přístupu k těmto účtům, a rigidně řídit, kdo k nim přístup má.
„Za vhodné bych mimo jiné považoval umožňovat přístup k podobně citlivému účtu pouze ze specifických, dobře zabezpečených zařízení – například z konkrétního k tomu určeného telefonu či počítače – rozhodně ne z běžného telefonu užívaného pro běžnou komunikaci nebo z počítače, který daná osoba využívá pro každodenní práci,“ uvedl Kopřiva.
„Přestože se takový postup může zdát až zbytečně rigidní, vzhledem k tomu jakou důležitost v moderním světě sociální sítě mají, a jaké dopady mohou mít situace podobné té úterní, musí být účty vrcholových politiků na jakékoliv sociální síti považované za strategicky významné a v tomto kontextu by měly být i chráněny,“ dodal Kopřiva.
Nastínil zároveň otázku, zda jsou pro jakoukoli oficiální komunikaci politické reprezentace s občany tyto sítě principiálně vhodné. „Mimo jiné vzhledem k tomu že většina masově využívaných sociálních sítí je provozovaná soukromými společnostmi se sídlem v zahraničí, a tyto společnosti tak fakticky mají nad těmito sítěmi plnou kontrolu,“ poukázal Kopřiva.
