Nabourání účtu premiéra Petra Fialy na síti X z minulého týdne a okolnosti zveřejnění falešných příspěvků jeho jménem vyšetřuje policie. Omezila se zatím jen na oznámení kvalifikace prověřovaného trestného činu (neoprávněný přístup k počítačovému systému a neoprávněný zásah do počítačového systému nebo nosiče informací), aniž by uvolnila podrobnosti ke způsobu provedení. Sám Fiala uvedl, že útoky mířily ze zahraničí.
Navzdory důkladným bezpečnostním opatřením, včetně dvoufaktorového ověření, byly ze zahraničí cíleně napadeny naše účty na sociální síti X. Útočníkům se podařilo proniknout do profilů a zveřejnit falešné příspěvky.
— Petr Fiala (@P_Fiala) April 8, 2025
Aktivně spolupracujeme s Policií České republiky na vyšetření…
Z vyjádření premiérovy mluvčí víme, že účet byl zabezpečen dvoufaktorovým ověřením. To znamená, že nestačilo znát pouze heslo, ale bylo nutné použít dodatečný bezpečnostní prvek. Síť X na svém webu uvádí, že aktuálně podporuje tři druhy vícefaktorové autentizace: kód zaslaný v textové zprávě na registrované číslo, autentizační aplikaci a token s tajným klíčem.
Všechny tři způsoby efektivně brání tomu, aby jedno heslo bylo sdíleno k přístupu mezi více lidmi. Přesto je pravděpodobné, že takový přístup lidé kolem premiéra, kteří se mu o sociální sítě starají, mají. Mohou to být zaměstnanci tiskového oddělení nebo vyčlenění specialisté přímo na sociální sítě. Dá se předpokládat, že budou využívat některý z k tomu určených nástrojů třetích stran. Ty si k síti X zřizují přístup skrze API.
Síť X i u tohoto rozhraní podporuje několik úrovní zabezpečení, od základní autentizace přes jméno a heslo pro ověřování požadavků a generování dalších přístupových tokenů až po využití protokolu OAuth 2.0. A s tím se liší i míra zajištění bezpečnosti těchto údajů. Je důležité podotknout, a Muskova síť na to výslovně vývojáře upozorňuje, že jednou vygenerované tokeny a klíče neexpirují, a lze je využívat do té doby, než jsou vygenerovány znovu. Vyzývá proto k bezpečnému uložení těchto dat.
Naproti tomu, pokud aplikace žádá o možnost provádět akce jménem jiného účtu, pro vygenerování samostatné sady přístupových tokenů je předepsán třístupňový OAuth. Ve výchozím nastavení takto vytvořený přístupový token platný pouze dvě hodiny. Ale je možné jej prodloužit parametrem offline.access. Čili i pro nástroje třetích stran přes API lze zajistit obdobnou úroveň zabezpečení jako pro přímý přístup.
Autenticita jako čtvrtý pilíř bezpečnosti
Evropská směrnice NIS2 vychází z toho, že ověřování identity a pravosti informací v digitálním prostředí je bolavou patou původní koncepce informační bezpečnosti. Ta byla před více než padesáti lety definována americkou Národní bezpečnostní agenturou (NSA) třemi základními pilíři: důvěrností (Confidentiality), integritou (Integrity) a dostupností (Availability), zkráceně se pro to používá označení triáda CIA. Co však splňovalo nároky pro analogové prostředí, přestalo s nástupem digitální transformace stačit.
Proto NIS2 v článku 6 zmiňuje autenticitu jako samostatný bezpečnostní cíl, když definuje bezpečnost sítí a informačních systémů jako schopnost „odolávat s určitou spolehlivostí veškerým událostem, které mohou narušit dostupnost, autenticitu, integritu nebo důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb, které jsou nabízeny prostřednictvím sítí a informačních systémů nebo které jsou jejich prostřednictvím přístupné.“
V článku 21 potom směrnice ukládá členským státům, aby zajistily přijetí „vhodných a přiměřených“ opatření k řízení bezpečnostních rizik, které budou zahrnovat mimo jiné tři klíčové oblasti:
- politiky a postupy týkající se používání kryptografie a šifrování,
- bezpečnost lidských zdrojů, postupy kontroly přístupu a správu aktiv
- a používání vícefaktorových autentizačních řešení nebo trvalých autentizačních řešení.
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) jako tvůrce návrhu kybernetického zákona si s touto povinností poradil tak, že ji místo do zákona včlenil do obou prováděcích vyhlášek o bezpečnostních opatřeních poskytovatele regulované služby, tedy zvlášť pro režim vyšších a nižších povinností. Jedná se o opatření v § 20 u první, resp. § 9 druhé z vyhlášek.
Představa NÚKIBu je taková, že v ideálním případě bude k ověřování uživatelů a administrátorů použita vícefaktorová autentizace alespoň se dvěma různými druhy faktorů. Pokud to z jakéhokoliv důvodu nebude možné, dočasně lze využít kryptografické klíče nebo certifikáty, a nejméně preferovaným autentizačním nástrojem pak je identifikátor účtu a heslo o určené délce, složitosti a frekvence obnovy.
Uvedené přitom platí pro subjekty pod oběma úrovněmi regulace, avšak s tím rozdílem, že instituce s přísnějším dohledem bude muset vést evidenci aktiv nesplňujících požadavek na vícefaktorovou autentizaci spolu s odůvodněním, proč ji zatím nelze zavést.
Pokročilé nástroje zapojují umělou inteligenci
Zatímco multifaktorové ověřování uživatelů a administrátorů je pro regulátora dle představených vyhlášek maximem dosažitelného, jakýmsi svatým grálem, v praxi už se uplatňují hybridní modely řízení autenticity podle směrnice NIS2. Jedná se o dynamické vyhodnocování chování uživatele, stavu zařízení nebo geolokace, spojené s detekcí neobvyklých aktivit. Stále častěji jsou také zapojeny nástroje umělé inteligence pro odhalení nejrůznějších anomálií.
K detekci podvodných aktivit se používá třeba behaviorální biometrie. To je AI analýza jedinečných vzorců chování uživatele, jako jsou pohyby myši, navigační návyky nebo dokonce rytmus psaní či síla stisku na mobilním zařízení. Pokročilé systémy jsou schopny detekovat odchylky od normálu s přesností převyšující 92 %. Pokud umělá inteligence zaznamená odchylku od známého vzorce chování, reaguje na to vygenerováním požadavku na opětovné ověření.
Vrátíme-li se zpátky k případu hacknutého premiérova účtu na síti X, pokud lze věřit tomu, že používal dvoufaktorovou autentizaci, pak splnil nejvyšší požadavek sektorového regulátora na ověřování identity. A přesto k úspěšnému napadení účtu došlo.
Vysoce pravděpodobně však vektorem útoku nebyl premiérův mobilní telefon a překonání vícefaktorového zabezpečení v něm, jako spíše přístup k jeho účtu „postranním vchodem“, přes API zřízené pro publikaci ze strany členů jeho týmu. A tady visí otazník nad tím, jakého druhu tento přístup byl, i jak vysokou úroveň zabezpečení používal. Jestliže šlo o jednorázově vygenerované klíče a tokeny platné až do jejich opětovného znovuvytvoření, měli útočníci poměrně hodně času přijít na způsob, jak se jich zmocnit.
- Chcete mít Lupu bez bannerů?
- Chcete dostávat speciální týdenní newsletter o zákulisí českého internetu?
- Chcete mít k dispozici strojové přepisy podcastů?
- Chcete získat slevu 1 000 Kč na jednu z našich konferencí?
Staňte se naším podporovatelem
ČLÁNKY DO MAILU