komerční speciál komerční speciál ict

komerční

speciál

komerční

speciál

ict

ict

II/III Omezené možnosti. Uživatel počítače a internetu si musí ochranu svých dat zabezpečit především sám, ale často úroveň bezpečnosti závisí na programátorech a administrátorech využívaných služeb, jejichž práci zkrátka není možné osobně ovlivnit

Přílohu připravili: Vlastimil Poliačik, editor

Dan Ledvinka, manažer přílohy Foto profimedia.cz, foto na titulní straně profimedia.cz

Ochraňte svá data Počítače jsou vám bližší, než si možná připouštíte. Svěřujete jim osobní nebo citlivé firemní informace, které by nikdo jiný neměl vidět. Jak efektivně data v počítači ochránit před zvědavci či zloději?

O

chrana dat a  soukromí v  dnešním propojeném světě není nic jednoduchého, jedinou univerzální radu nelze čekat. Cílem článku je nastínit možné scénáře úniku vašich dat a  co možná nejvíce ztížit zvědavcům, nebo rovnou útočníkům, jejich získání a  přečtení. Často navíc úroveň bezpečnosti nezávisí jen na vás, ale i  na programátorech a  administrátorech vámi využívaných služeb, jejichž práci zkrátka neovlivníte.

Heslo jako základ Bezpečnost stojí a  padá s  korektní autentizací. Jde o  proces identifikace uživatele – ověření, že je skutečně tím, za koho se vydává. Způsobů autentizace existuje nepřeberné množství, o těch nejznámějších si přečtete v  boxíku na protější straně. Základním způsobem

je však již od nepaměti heslo, které zná nebo alespoň by měl znát, pouze daný uživatel. Avšak právě při tvorbě hesel uživatelé často velmi chybují. Vyjma administrátorů majících přístup k  citlivým datům přitom nelze mít nikomu za zlé, že si nepamatuje třeba velmi silné heslo Isoer,79d.§rix12.dR!. Uživatelům ale lze mít za zlé následující: Používání krátkých hesel, tzn. s méně než 8 znaky. Používání snadno odhadnutelných hesel, viz boxík 25 nejpoužívanějších hesel v roce 2013. Používání stejných hesel napříč různými službami. Používání zjistitelných správných odpovědí na kontrolní otázky. Lze jednoznačně stanovit, kolik znaků stačí pro bezpečné heslo? Nelze,

vždy totiž záleží na možnostech útoku vedoucího k jeho odhalení. Rozlišujeme dva druhy útoků: Útok hrubou silou (Brute Force) – zkoušení všech kombinací hesel. Pomalejší, ale jistý způsob odhalení hesla. Slovníkový útok (Dictionary Attack) – výběr a  zkoušení pouze nejpoužívanějších hesel. Nezaručuje úspěch, avšak odhalení může být velmi rychlé, jelikož uživatelé hesla jako aaa, ahoj, abc, heslo, 123 a jejich obměny v daném jazyce velmi často používají. Pokud je například nějaká webová služba nastavena tak, že po třech neúspěšných pokusech o  zadání hesla zablokuje účet na dalších 10 hodin, výrazně se prodlužuje doba pro úspěšný útok hrubou silou i u krátkého pětiznakového hesla. Pokud ale administrátor této služby umožní nekonečné a ne­omezené

zkoušení hesla, bude útok dříve nebo později úspěšný. Jde jen o  to, kde leží ono „později“. Útok obvykle probíhá kombinovaně, nejprve se zkouší slovníková hesla a  po neúspěchu přichází hrubá síla. Problém nastává ve chvíli, kdy se útočník zmocní celé databáze hesel uživatelů. A že se tak děje, dokazují nedávné útoky na Sony, Adobe nebo Dropbox. Hesla jsou obvykle zašifrovaná, i tak je lze prolomit.

Od složitosti k jednoduchosti Parametry bezpečného hesla dříve splňovalo heslo s  délkou alespoň osm znaků kombinujících velká a  malá písmena, číslice i  speciální znaky. Mnoho služeb takové heslo stále vyžaduje a nutno podotknout, že se hůře pamatují. Lze si pomoci berličkou: různá písmena lze nahradit podobnou číslicí, některé písmeno uděláte velké a  přidáte speciální znak. Například dobře odhadnutelné heslo Computer lze zaměnit za

C0mpu!3r, které bude útoku hrubou silou odolávat výrazně déle. Útočníci však obvyklé záměny o → 0, e → 3, i → ! a podobné znají a přidávají je do svých slovníků. Právě z  tohoto důvodu se v  posledních letech od složitého hesla upouští a doporučuje se klidně jednodušší, zato co možná nejdelší heslo. Zatímco C0mpu!3r je dlouhý 8 znaků, computerjecasopis má již 17 znaků. Teoreticky by mohlo heslo rychle podlehnout slovníkovému útoku, ovšem za předpokladu, že by takový slovník byl v češtině a především obsahoval i logické fráze. Stačí ale mírná modifikace na C0mputerIsCasak!, a přestože je heslo o znak kratší, vykáže díky nahrazení českého slova je za anglické is odolnost proti slovníkovému útoku a současně zahrnutím velkých písmen, číslic a  speciálních znaků vzroste odolnost proti útoku hrubou silou. Dlouhé frázové heslo navíc obvykle napíšete na klávesnici mnohem rychleji než heslo krátké, z nesmyslně složených znaků. Vyzkoušejte si to. Druhým velkým prohřeškem je používání stejných hesel napříč různými službami. Použít stejné heslo do diskuzního fóra o  autech, které vytvořil a spravuje samouk a  nadšenec Franta Vonásko, a do internetového bankovnictví, je nejlepší cestou, jak o  úspory přijít. Řešení je prosté a  účinné, pro různé služby si vymyslete příhodná frázová hesla: radjezdimautem a penizevbezpeci. Zvýšení bezpečnosti těchto hesel máte za domácí úkol. Tip: Chcete vědět, jak silná jsou vaše hesla? Služba Microsoftu na jdi.zive.cz/ heslo vám to po jeho zadání prozradí. Jako nejsilnější bude označeno heslo s alespoň 14 znaky, současně obsahující velké písmeno, číslici a speciální znak. Spousta služeb také stále využívá kontrolní otázky, na které je uživatel dotázán při zapomenutí nebo při špatném zadání hesla. Problém tkví v tom, že spousta uživatelů zde logicky zadává pravdivé informace: rodné jméno vaší matky nebo město, kde jste se narodili, jsou informace, které lidé ve vašem okolí znají. Své by o tom mohla vyprávět Paris Hiltonová, jejíž telefonní seznam a  pár lechtivých fotografií uniklo do vln internetu v  únoru 2005. Útočník se zde do uživatelské služby T-Zones amerického T-Mobilu dle některých zdrojů dostal

Čas potřebný k prolomení hesla hrubou silou délka hesla složení hesla:

počet možných znaků 26

6

8

10

12

14

jen malá písmena 0,3 s 3 min 39 h 3r 2 045 r malá a velká 52 20 s 15 h 5 r 12 394 r 33 515 075 r písmena malá a velká písme62 57 s 61 h 27 r 102 304 r 393 257 529 r na, číslice malá a velká písme12 17 134 795 154 640 721 95 77 d 1 898 r na, číslice, znaky min r tisíciletí Současná průměrná grafická karta je schopna generovat zhruba miliardu MD5 hashů za vteřinu, nejsilnější grafické karty i více než desetkrát. Výsledky jsou zaokrouhleny

poté, co na kontrolní otázku „jméno vašeho domácího mazlíčka“ zadal jméno čivavy, kterou Paris často a ráda vystavovala objektivům fotoaparátů. Kontrolní otázky nejsou v  principu špatnou ochranou, špatné je odpovídat na ně pravdivě. Vymyslete si vlastní odpovědi, zcela nesmyslné a neodhadnutelné, avšak zároveň takové, které si zapamatujete.

Šifrování vybraných dat Doposud jsme řešili pouze to, jak zabránit neautentizovaným osobám přístup k vašim datům. Nastal čas data skutečně chránit, a to lze jedině šifrováním. Problematika šifrování by vystačila na samostatný článek, poradíme vám však první kroky. Rozlišujeme základní dva druhy šifrování: synchronní a asynchronní. První způsob hůře odolává útoku hrubou silou, vykazuje však až tisíckrát vyšší rychlost než šifrování asynchronní, které naopak nabízí vysokou úroveň zabezpečení. Šifrování proto probíhá následně: pomocí asynchronního šifrování jsou zabezpečeny synchronní klíče, které se používají pro šifrování dat na disku. Jak je patrné, nejslabší místo řetězce představuje bezpečné uložení asynchronních šifrovacích klíčů. To jsme ale v  teoretické úrovni, kterou neovlivníte. Podíváme se na praktické postupy zabezpečení dat.

EFS: Šifrování adresářů a souborů Technologie EFS sloužící k  šifrování dat je stejně stará, jako NTFS, tedy již od Windows 2000. Bohužel však ani dnes není podporována ve všech Windows: Vista od Business, 7 od Professional a 8.1 od verze Pro výše. EFS lze použít právě

25 nejpoužívanějších hesel v roce 2013 Server SplashData News (splashdata. blogspot.cz) každý rok uvádí Top 25 nejpoužívanějších hesel. Databázi sestavuje z úniků databází, které hackeři vystavili veřejně na internetu. Ročník 2013 značně ovlivnil únik více než 38 milionů uživatelských účtů společnosti Adobe, to kdybyste se divili, proč je v Top 25 na desátém místě heslo adobe123 a na patnáctém místě photoshop. Hezký příklad toho, že vytvářet hesla relevantní k dané službě není dobrým nápadem.   1   2   3   4   5   6   7   8   9 10 11 12 13

123456 password 12345678 qwerty abc123 123456789 111111 1234567 iloveyou adobe123 123123 admin 1234567890

14 15 16 17 18 19 20 21 22 23 24 25

letmein photoshop 1234 monkey shadow sunshine 12345 password1 princess azerty trustno1 000000

pouze se souborovým systémem NTFS, používáte-li například na flashdisku FAT32 nebo ExFAT, budou sem zkopírované zašifrované soubory dešifrovány. Jelikož se data šifrují vaším osobním certifikátem a klíčem uloženým v počítači, nemůžete bez jejich přenesení data rozšifrovat na jiném počítači. Výhodou EFS je jednoduchost použití. Vytvoříte jednoduše adresář, do kterého budete ukládat zašifrovaná data.

Šifrování pevného disku Heslo do počítače ani heslo do operačního systému neochrání data uložená na disku. Zloděj či útočník může vyjmout disk a připojit jej k počítači jiné-

komerční

speciál

mu, čímž obě zabezpečení obejde. Řešením je standardní šifrování veškerého obsahu disku. Dříve tento proces ukrojil z výkonu procesoru, dnes však zpomalení nezaznamenáte. Zároveň pamatujte: pokud heslo k disku zapomenete, můžete se nadobro rozloučit se svými daty. Šifrování disku nabízí řada programů, ve Windows Vista a  7 (verze Ultimate a Enterprise) a Windows 8.1 (Pro a výše) však máte k dispozici systémový nástroj BitLocker. Majitelé jablečných počítačů mají již od verze 10.3 Panther takzvaný FileVault, standardní šifrování a dešifrování dat na disku za běhu. První verze uměly šifrovat jen domovskou složku uživatele, od OS X Lion však již lze šifrovat celý disk. Šifrování zapnete v Předvolby systému – Zabezpečení a soukromí – FileVault. V  případě Windows je aktivace šifrování mírně složitější. BitLocker totiž standardně vyžaduje základní desku s  tzv. TPM (Trusted Platform Module) čipem, který slouží k bezpečnému uchovávání šifrovacích klíčů. Bývá standardem u  byznysových notebooků, běžné základní desky ani domácí notebooky jej obvykle neobsahují. BitLocker ale můžete používat i bez TPM, ale za cenu nižší bezpečnosti. Neprovádí se například kontrola integrity systémových souborů při startu systému, kdy ještě nevládne klasický antivirový program. Šifrování disku je řešením i  při krádeži notebooku – k datům se nikdo bez znalosti hesla nedostane ani po vyjmutí disku a jeho připojení k jinému počítači. Nelze jej však považovat za všelék, data jsou v bezpečí ve stavu vypnutí a v hibernaci, avšak po spánku a probuzení heslo vyžadováno není. Údajně však existují postupy, jak lze BitLocker obejít, a  dle některých spekulací se špitá i o zadních vrátkách pro americkou Agenturu pro bezpečnost NSA. Pokud ale obchodujete s  dětskou výživou a  ne plutoniem a svá data chcete chránit před zvědavou konkurencí, poslouží šifrování skvěle. Pamatujte také na skutečnost, že zašifrovaný disk neochrání vaše data před viry a  další havětí, která řádí během spuštěného operačního systému, kdy jsou data přístupná. Neochrání proti malwaru, který sleduje úhozy na klávesnici a hledá hesla k vašim službám či k internetovému bankovnictví.

ict

IV/V

Používejte šifrování disku. Aktualizujte operační systém, nainstalujte kvalitní antivirový program. Elektronickou poštu zasílejte výhradně přes zabezpečené připojení.  Nepoužívejte stejná hesla pro různé služby, ke službám se připojujte výhradně přes HTTPS.

Používejte raději delší fráze než krátká komplikovaná hesla. Nezadávejte pravdivé odpovědi na kontrolní otázky. Nenavštěvujte podezřelé weby, neotvírejte podezřelé přílohy e-mailů.

Když nepomohou Windows Zatím jsme využívali standardní funkce operačních systémů, v  případě Windows však jen u  těch vyšších verzí. Účinně šifrovat a skrývat data však mohou všichni bez rozdílu verze OS, bez pomoci aplikací třetích stran to však nepůjde. Šifrovacích programů existuje řada, král je však jen jediný: TrueCrypt. Důvodů, proč je král, je hned několik. Vyjma ověřené bezpečnosti programu to jsou některé unikátní funkce. Především existuje kromě pro Windows i pro OS X a Linux a zašifrovaná data můžete otevřít napříč platformami. Dále podporuje dvojitý skrytý prostor. Zvažme scénář, kdy po vás někdo pod jakoukoli výhrůžkou vyžaduje heslo právě pro dešifrování vašich dat v  TrueCryptu. Sdělíte primární heslo k  datům, která mohou vypadat důvěryhodně, ale nejsou pravdivá. Útočník nemá možnost zjistit, zda druhý, skrytý oddíl vůbec existuje. Vy se do něj dostanete použitím jiného hesla. Výsledný soubor má navíc pevně danou velikost, neplní se tedy postupně, jak do něj ukládáte citlivá data. Jedná se o účel, útočník nezjistí, kolik dat zkrátka soubor obsahuje a zda jste mu skutečně ukázali vše. První kroky s  programem najdete v samostatném boxíku.

Na hesla zapomeňte Zapamatovat si extrémně dlouhá a pro každou službu unikátní hesla samozřejmě v  praxi nelze. Existují však správci hesel, a  to v  podobě programů i  různých služeb. Myšlenka je prostá: pod jediným velmi silným heslem se uloží a  zašifrují všechny ostatní vaše přístupové údaje. Můžete je členit do kategorií a nechybí praktický generátor silných hesel. Za všechny zmiňme vynikající a zdarma dostupný KeePass (keepass.info).

V  současné době, kdy takřka každý používá více zařízení, se do popředí dostávají multiplatformní aplikace, jako OnePassword, LastPass, Dashlane či český StickyPassword, které umožňují synchronizaci hesel prostřednictvím cloudu. Navíc díky integraci do webového prohlížeče zpříjemňují obsluhu, nemusíte otevírat peněženku a  přihlašovací údaje se vyplňují automaticky. Některé jsou placené, jiné jsou v základu zdarma a  teprve za synchronizaci požadují roční poplatek. Vězte ale, že jde o velmi dobře utracené peníze. Nechcete-li žádné další programy používat, vytvořte si textový soubor a uložte jej do šifrovaného souboru pomocí TrueCryptu. Komfort použití bude sice nižší, avšak data zůstanou v bezpečí.

Dvoufázové ověřování Dvoufázové ověřování vyžaduje vyjma tradičního hesla ještě jeden způsob ověření. Může to být například SMS zaslaná na vaše telefonní číslo. Vyjma bankovních domů toto po posledním útoku nabízí i Dropbox nebo Microsoft. Další možností je přihlášení pomocí autentizačního klíče s  dočasnou platností. Nabízí se aplikace Authenticator od Googlu, která funguje jednoduše: služba (Google, Microsoft, Facebook…) vygeneruje QR kód, který v aplikaci vyfotíte. Při přihlášení do libovolné služby budete požádáni nejen o tradiční heslo, ale i o toto šestimístné číslo, které zjistíte jen z  vlastního telefonu. Útočník, který získá vaše primární heslo, se do služby bez současné znalosti ověřovacího kódu, a tedy i vlastnictví telefonu, k  vašim datům nedostane. Vhodné je samozřejmě následně ochránit i  telefon, například vstupním heslem nebo gestem. Jiří Kuruc Časopis Computer

speciál

Svatoslav Novák: Vyspělé technologie jsou stejně důležité jako např íklad energetická infrastruktura Přestože se poslední dobou v České republice realizovala různá opatření v oblasti bezpečnosti kyberprostoru, v internetové ekonomice či v eGovernmentu je podle prezidenta ICT UNIE Svatoslava Nováka stále co dohánět. E15: Můžete zhodnotit situaci na poli kybernetické bezpečnosti v  tuzemsku? Brání se Česká republika vůči kybernetickým hrozbám dostatečně účinně? Pozitivně vnímáme skutečnost, že před několika měsíci byla přijata Národní strategie kybernetické bezpečnosti ČR na období let 2015 až 2020. Uvedený materiál celkem zdařile formuluje hlavní cíle, jichž má být v oblasti kyberbezpečnosti v  Česku dosaženo. Neméně podstatný bude připravovaný akční plán, který na strategii naváže. Je patrné, že odpovědné instituce si v  poslední době začaly uvědomovat míru současných hrozeb a  důležitost ochrany kyberprostoru. Zároveň však platí, že u informačních systémů veřejné správy – i přes řadu opatření realizovaných pro zajištění jejich bezpečnosti – zatím neexistuje jednotná bezpečnostní politika. Tedy určitý standard, který by se uplatňoval ve veřejném sektoru napříč všemi rezorty. Dosud jsou v tomto směru realizovány spíše jednotlivé dílčí projekty. E15: Jak si český stát, resp. vládní kabinet, stojí v  dalších oblastech souvisejících s ICT? Nakolik intenzivně podporuje digitální ekonomiku či rozvoj eGovernmentu například ve srovnání s  vládami sousedních zemí?

Koaliční vláda při svém vzniku zařadila doslova na poslední chvíli – i  díky koordinovanému úsilí ICT UNIE a  průmyslu – mezi své hlavní priority v  programovém prohlášení rozvoj internetové ekonomiky a další kroky nezbytné pro plné využití potenciálu ICT v Česku. Navzdory tomu však realita pokulhává. Konkrétních opatření pro akceleraci této oblasti bylo v praxi realizováno jen málo. Tuzemský HDP v posledních měsících sice roste, ale pokud by se podařilo vhodnými způsoby stimulovat digitální ekonomiku v ČR, mohl by růst být ještě výraznější a  hlavně postavený na pevném základu i  značné perspektivě do budoucna. Také v  oblasti elektronizace veřejné správy, tedy eGovernmentu, zatím není vidět mnoho hmatatelných výsledků, pokud pominu úspěšné a  hotové projekty Czech Point a datové schránky. To je patrné třeba ve srovnání s  okolními zeměmi, například Německem, Rakouskem nebo i Slovenskem, které této oblasti věnují mnohem větší pozornost. Pro řízení eGovernmentu tam obvykle fungují specializované instituce s  dostatečně silnými pravomocemi a  kompetencemi. Oblast eGovernmentu musí konečně přinést užitečné služby a úsporu času lidem v jejich vztahu se státem. E15: Co by se v  přístupu domácích politiků k  digitální agendě mělo změnit? Domnívám se, že v převážné většině dosud nedokázali docenit význam digitální agendy v dnešním globalizovaném světě a zejména s ohledem na budoucnost. Plně nevnímají skutečnost, že vyspělé technologie jsou stejně (a možná nyní už i více) důležité jako energetická infrastruktura nebo dálniční síť. To si dostatečně uvědomuje Evropská komise, a  tak podporuje vznik jednotného digitálního trhu apod. Čeští politici přes veškeré proklamace v těchto záležitostech zaostávají, respektive dosud je „nepřetavili“ do konkrétních činů.

E15: ICT UNIE vloni kritizovala skutečnost, že výstavba sítí pro vysokorychlostní přístup k internetu je u nás velmi pomalá a  nákladná, zatížená mnoha byrokratickými povinnostmi. Změnilo se v této oblasti něco k lepšímu? A proč je vůbec masivní rozšíření rychlého internetu tak důležité? Začnu významem vysokorychlostního internetu. Přináší řadu benefitů pro regiony a  jejich rozvoj, pro podnikání a  samozřejmě i  pro občany a  domácnosti. Vyšší rychlost internetu zvyšuje osobní produktivitu a  umožňuje větší flexibilitu organizace práce, otevírá nové možnosti pro sofistikovanější práci doma jako náhradu nebo doplněk běžného zaměstnání, zvyšuje růst ekonomiky i průměrný příjem domácností. V  rámci schváleného Operačního programu Podnikání a inovace pro konkurenceschopnost (OPPIK) bude do projektů výstavby vysokorychlostních sítí v Česku směřovat dohromady 14 miliard korun. To dává reálnou naději, že přístup k rychlému internetu se zejména ve venkovských oblastech, podaří výrazně zlepšit. Vlády už mohly udělat dost pozi-

dokumentů. Pracovní skupiny ICT UNIE pokrývají klíčové oblasti a témata související s rozvojem ICT v tuzemsku. Mnoho našich návrhů bylo odpovědnými rezorty přijato a  zapracováno. Nyní je třeba začít je reálně uvádět do praxe.

Foto ict unie

Rychlé tipy k vyššímu bezpečí

komerční

tivních kroků pro usnadnění a akceleraci výstavby optických sítí, a to bez investic. Pouze změnami v  legislativě. Přetrvávající problémy by se daly řešit novelou stavebního zákona nebo včasnou transpozicí evropské směrnice, která definuje opatření ke snížení nákladů na budování vysokorychlostních sítí, do prostředí Česka. Nerozumím tomu, proč se přešlapuje na místě. Asi se bojí pustit zmíněných 14 miliard korun do ekonomiky.

E15: V  letošním roce ICT UNIE oslavila pátý rok své existence. Můžete shrnout, co se vám dosud podařilo? ICT UNIE si vydobyla respektované postavení reprezentanta ICT průmyslu, spolupracuje s  řadou státních institucí a  úřadů, jmenujme alespoň ministerstvo vnitra, MPO nebo Český telekomunikační úřad. Připomínkovali jsme různé zákony, předložili jsme vlastní strategické materiály, vytvořili řadu pozičních

E15: Jaké plány máte do budoucna? V obecné rovině se chceme dál podílet na rozvoji informační společnosti v Česku a  efektivním fungování veřejné správy. Nedávno jsme například vytvořili několik pracovních skupin. První se zaměřuje na problematiku rozvoje sdílených služeb a datových center, další se věnuje tématu eIDAS, tedy nařízení EU „o elektronické identifikaci a  službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu“. Jde mimo jiné o  to, aby veškeré výhody z  těchto služeb mohl využít daňový poplatník nejen v  komunikaci se státem, ale zejména v běžném obchodním a  spotřebitelském styku. Dále budeme pokračovat v  úsilí, které bude namířeno na využívání elektronické fakturace ve státní správě. Velkým dílem bude zahájení výstavby sítí nové generace. Michal Král inzerce

A150001673

ČD - Telematika rozšíří své služby o implementaci bezpečnosti informací firem ČD - Telematika začne svým zákazníkům poskytovat služby v oblasti bezpečnosti. Od června bude svým zákazníkům z řad velkých společností i státní správy vedle bezpečného uložení dat poskytovat i komplexní služby v oblasti řízení bezpečnosti informací od počáteční analýzy stavu po implementaci samotnou. Tyto služby v oblasti IT security se týkají technického zabezpečení, zabezpečení personální odpovědnosti, zabezpečení dat a ochrany klíčových dat, jako jsou CRM společností aj. ČD - Telematika je přední český poskytovatel telekomunikačních, datových a servisních služeb infrastruktury. ČD - Telematika začne služby poskytovat nejen svým zákazníkům v drážním segmentu, ale také telekomunikačním hráčům a IT. Těm služba pomůže zvýšit jejich kvalifikaci pro řadu státních zakázek a posílí jejich bezpečnostní standardy, tak jak je vyžaduje legislativa, například zákon o kybernetické bezpečnosti nebo zákon o ochraně utajovaných informací. „Naše komplexní analýza bezpečnosti pomůže zákazníkovi zjistit aktuální rizika a míru jejich závažnosti. Díky tomu mu umožní racionálně a ve správném pořadí efektivně investovat do potřebného zabezpečení a pomůže mu rizika snížit na přijatelnou úroveň neohrožující firmu,“ říká Pavel Dobiš, specialista pro IT bezpečnost ČD - Telematiky.

Mezi poskytované služby IT security patří: systém managementu bezpečnosti informací: umožní efektivní zřízení, zavedení, provoz, monitorování, přezkoumávání, udržování a zlepšování stavu bezpečnosti informací v organizaci vycházející z normy ČSN ISO/IEC 27001; soulad se zákonem kybernetické bezpečnosti v organizaci: součástí je i návrh zvládání kybernetických bezpečnostních incidentů a útoků; soulad se zákonem o ochraně utajovaných informací: návrh a realizace informačních systémů umožňujících zpracování informací až do stupně utajení „Tajné“ včetně. Zákazníci si budou moci zvolit i libovolnou kombinaci služeb z oblastí bezpečnostních analýz i bezpečnostní dokumentace na základě individuálních potřeb.

www.cdt.cz

ict

VI/VII

Kybernetická bezpečnost a uživatel V poslední době je hodně zmiňována kybernetická bezpečnost, což jistě souvisí se zákonem o kybernetické bezpečnosti a jeho dopadem na správce kritické informační infrastruktury a významných informačních systémů.

Autoritativní zdroj dat Důležité je rozhodnout, co bude autoritativním zdrojem dat o uživatelích. Standardně bývá autoritativním zdrojem dat – tedy informací o zaměstnancích (uživatelích) – personální systém. V  něm jsou vedeny informace, kdo je zaměstnancem, kdy nastoupil, změnil pracovní pozici,  případně skončil pracovní poměr. Status každého je zde určitě aktualizován. Každá firma nebo úřad si hlídá alespoň tuto část svých IT systémů, jsou za tím přece mandatorní povinnosti jako například platby sociálního a  zdravotního pojištění a podobně.

Úřady vedou

Foto profimedia.cz,

Týká se to především úřadů státní a veřejné správy, ale v dnešním moderním světě „bez hranic“ rovněž mnoha dalších subjektů. Opravdovou centrální správu uživatelů a kontrolu jejich přístupu zatím implementovalo pouze několik málo úřadů. Přitom se v  posledních letech do ICT prostředí úřadů investovaly nemalé prostředky. Na správu uživatelů se zřejmě jaksi zapomnělo. Co s tím? V  první řadě je dobré si udělat analýzu současného stavu – jaké systémy vlastně provozuji, které z  nich budu provozovat i nadále, v jakém jsou stavu, mají smluvní podporu dodavatele, existuje k nim vůbec dokumentace, mají nějaké rozhraní a podobně. Dále je dobré zvážit, které systémy budu provozovat i nadále, respektive musím je ze zákona provozovat a které ne.

centrální správy uživatelů je totiž logování každého přístupu uživatele k systému nebo aplikaci.

Etapy implementace Zavedení centrální správy uživatelů v  rámci orgánu veřejné moci (městský úřad, krajský úřad, ministerstvo apod.) je složitý proces. Uživatelé těchto subjektů přistupují velmi často nejenom k systémům a aplikacím vlastního úřadu, ale také k aplikacím jimi zřizovaných organizací nebo k  informačním systémům veřejné správy. Proto je vhodné proces implementace rozvrhnout na několik etap. V  žádném případě nelze doporučit implementaci správy uživatelů napříč všemi systémy a aplikacemi úřadu na jeden zátah. Nám se osvědčilo jít cestou dvou až tří etap. První etapa je přitom zcela zásadní pro další vývoj celého projektu. V průběhu etapy vznikají základní prvky centrální správy uživatelů. Vytvoření centrálního adresáře, napojení na autoritativní zdroj dat a integrace se třemi až čtyřmi vybranými systémy. Již v  této etapě jsou do projektu zapojeni uživatelé. Jejich spokojenost je přitom základním předpokladem úspěchu celého projektu. Oni jsou totiž koncovými uživateli nové služby – centrální správy uživatelů. Pro uživatele to musí být srozumitelné, procesně zvládnutelné a musí jim to šetřit čas.

V  průběhu druhé a  třetí etapy pak přijde řada postupně na další systémy a  aplikace, které byly vybrány v  rámci analýzy. Často se stává, že některé systémy jsou aktualizovány, případně nahrazeny modernějšími. Není překvapením, že dosud je provozováno mnoho starých aplikací, ke kterým neexistuje žádná dokumentace, a poslední pracovník IT oddělení, který ji alespoň trochu znal, již v úřadě nepracuje.

Přínosy centrální správy uživatelů Je zřejmé, že hlavním přínosem je eliminace rizik a zajištění bezpečnosti ICT prostředí „proti jeho nezodpovědným uživatelům“. Místo mnoha jednoúčelových uživatelských účtů má uživatel jeden univerzální, dokonce s  možností vícefaktorové autentizace použitím jednorázového hesla nebo certifikátu. Uživatel pak nemá problém si pamatovat své přístupové údaje, účet používá pro  přístup k  aplikacím úřadu, informačním systémům veřejné správy či dokonce k  aplikacím organizací zřízených úřadem. Tím nejdůležitějším přínosem je ale neodmítnutelnost odpovědnosti uživatele za provedený úkon. Součástí

V  úvodu jsem uvedl, že skutečnou centrální správu uživatelů reálně nasadilo pouze pár úřadů. Ovšem je potřeba uvést, že státní a  veřejná správa má díky legislativě a  eGov projektům proti komerčním firmám docela náskok. Díky projektu Czech Point si práci s  uživatelským účtem využívajícím pro přihlášení kromě hesla i  komerční certifikát již vyzkoušelo více než 100 tisíc úředníků. A to není vše. Součástí Czech Pointu je Jednotný identitní prostor (JIP) jeho uživatelů, což není nic jiného než sofistikovaný systém centrální správy a  kontroly přístupu uživatelů. S  tím rozdílem, že spravuje uživatele ne jednoho, ale zhruba osm tisíc úřadů! Obsahuje rozhraní webových služeb pro připojení dalších informačních systémů, které pak mohou využívat jeho autentizačních a autorizačních služeb.

Lokální řešení Některé úřady jdou dále a místo centrální správy uživatelů budují rovnou Lokální Jednotný identitní prostor, tedy jakýsi klon toho z Czech Pointu. Výhodou tohoto řešení správy uživatelů je možnost jeho propojení s JIP Czech Pointem včetně obousměrné synchronizace dat uživatelů. Zablokování uživatelského účtu v Lokálním JIP je pak propagováno až do systému Czech Point, takže se nestane, že by na jedné nebo druhé straně zůstávaly „mrtvé duše“. Řešení správy uživatelů prostřednictvím Lokálního JIP je univerzální a  lze je „řetězit“, tedy propojovat jednotlivé lokální identitní prostory mezi sebou. Například od JIP Czech Point přes Lokální JIP krajského úřadu, Lokální JIP obce s  rozšířenou působností (tedy města v kraji) až po zřizované organizace. Je to cesta k dosažení centrální správy uživatelů ve státní a  veřejné správě, stejně jako dobrý příklad pro komerční firmy.   Martin Řehořek jednatel NEWPS.CZ

komerční

speciál

Zprávy z oblasti IT bezpečnosti CZ.NIC je na stopě botnetu z napadených routerů Podle zjištění bezpečnostních expertů ze sdružení CZ.NIC zjevně existuje aktivní botnet fungující na napadených domácích routerech. Principiálně jednoduchá analýza odhalila, že napadené routery zkouší otevírat další. Jak velký je rozsah botnetu, se zatím neví. Na odhalení existence botnetu postaveného z  napadených routerů se podílely routery projektu Turris. Ty jsou vybaveny různými sledovacími funkcemi, které slouží pro monitoring bezpečnosti v  českých sítích. Jedna z  nových funkcí umožňuje detekci síťových útoků a sleduje, s jakými hesly se útočník snaží ke správě routeru proniknout. Zdánlivě malá okrajová informace vedla k  zajímavým zjištěním. Útočníci pochopitelně nejčastěji zkoušejí nejrozšířenější hesla, jako je admin, ale najdou se i specifické

výjimky, jako například „J8UbVc5430“. Když se ale takové unikátní heslo najednou začne objevovat v  útocích pravidelně, dá se snadno odhalit, že jde o  seznam hesel vytvořený jedním uživatelem.

DARPA hledá software, který sám odhalí chyby Americká obranná agentura DARPA se pouští do dalšího soutěžního klání a  spustila registraci do CGC – Cyber Grand Challenge. Vychází z  formátu bezpečnostní konference Def Con, na které mezi sebou soupeří specialisté a navzájem se pokoušejí proniknout do svých systémů. CGC touží po tomtéž, člověka ale nahradí program. Jelikož se má první soutěžní klání odehrát už příští rok, v DARPA pro začátek vytvořili velmi jednoduchý operační systém. Říkají mu DECREE a právě v něm

se bude útočit. DECREE má mnohem méně rozhraní než klasický OS a jeho autoři mu vytvořili i vlastní binární formát spustitelných programů. Cílem DARPA je vyvinout takový program, který odhalí bezpečnostní chyby bez pomoci analytika, který by mu skrze virovou definici říkal, co je vlastně špatně. Program by na to měl přijít sám.

Čínští hackeři ukradli v USA data milionů lidí Osobní data zmizela ze serverů amerických úřadů a to zejména z úřadu spravujícího osobní údaje federálních zaměstnanců. Republikánská senátorka Susan Collinsová podle AP prohlásila, že úřady podezírají z  provedení útoku čínské hackery. Čínské ministerstvo zahraničí označilo zmíněná obvinění vznesená vůči Pekingu bez důkladného vyšetření případu za nezodpovědná.

Zranitelnost starších Maců Výzkumník Pedro Vilaça odhalil zranitelnost nultého dne v zabezpečení starších počítačů Mac. Umožňuje privilegovaným uživatelům instalovat EFI rootkity. Upozorňuje na to zpráva Národního centra kybernetické bezpečnosti. Zranitelnost spočívá v chybné implementaci režimu spánku. Po probuzení zůstávají některé oblasti paměti v rozhraní EFI otevřené pro zápis. Podle Vilaça by mohla být tato chyba zneužita i vzdáleně, což by ji činilo mnohem nebezpečnější. Útočník může přepsat obsah EFI nebo nainstalovat rootkit, což je druh malwaru, který je jen velmi obtížně detekovatelný. Ohrožené jsou MacBook Pro Retina, MacBook Pro 8.2 a MacBook Air. Doporučuje se aktualizovat firmware nebo nenechávat stroj přejít do režimu spánku, ale vždy jej rovnou vypínat.  Využito materiálu z časopisu Computer

A151007068

inzerce

nez trÁcej te kontak ak s klient y takt S NAŠIMI SLUŽBAMI PRO KOMUNIKACI SE ZÁKAZNÍKY BUDE VAŠE PODNIKÁNÍ KOMPLETNÍ Vyberte si ty nejmodernější služby pro komunikaci s klienty, které nejlépe odpovídají potřebám vašeho byznysu. Bezplatná zelená linka, automatický hlasový systém nebo blesková SMS o stavu objednávky podstatně zvýší váš náskok před konkurencí! Vyberte si profi řešení na t-mobile.cz/profirmy Vy rozumíte podnikání, my komunikaci

Reliable security systems

®

CNC

CCTV

Chraňte svůj majetek, dříve než bude pozdě! Kamerová sestava pro váš dům, byt, chatu i garáž – rychlé, levné a funkční řešení Pro vás v ceně: > > > > > > >

2x kamera 1x rekordér 2x20m kabelů pro napájení a přenos včetně redukcí Napájecí zdroj + rozbočovač Objekt monitorován kamerovým systémem – praktická samolepka On-line přístup k záběrům kamery – vidíte co se u vás děje On-line hlášení o pohybu – Nejste doma, kamery detekují pohyb a vám je okamžitě odesílán email

Sleva 20% pro vás

Platí 7 dní od vydání, do vyprodání! Objednejte raději hned s kódem E1520.

cctv.inshop.cz

774 833 233