KYBERNETICKÁ A INFORMAČNÍ VÁLKA Téma č. 9 OCHRANA A OBRANA PROTI KYBERNETICKÝM ÚTOKŮM mjr. Ing. Petr STODOLA, Ph.D. Univerzita obrany Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky Operační program: Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: 1.01/2.2.00/15.0070)
Osnova • Úvod • Základní pojmy • Kybernetické útoky a hrozby • Bezpečnostní politika • Nástroje a prostředky pro podporu bezpečnosti • Stav realizace kybernetické bezpečnosti v ČR • Stav realizace kybernetické bezpečnosti ve světě • Závěr • Literatura
Úvod • Současným celosvětovým trendem je nárůst používání • • • • •
komunikačních a informačních technologií To vede k urychlení komunikace, velkému rozmachu dostupných služeb a rozvoji informační společnosti Rapidně však narůstá závislost společnosti na těchto informačních technologiích S rostoucí závislostí výrazně roste riziko jejich zneužití Sofistikovaně vedený útok na informační technologie společnosti může vést k potenciálně značným škodám Útoky jsou stále sofistikovanější a komplexnější
Úvod • Ze sféry ekonomického prospěchu individuálních útočníků
•
• • •
se útoky přesouvají do oblasti organizované kybernetické průmyslové špionáže a kybernetického terorismu Dopady útoků tak mohou být nejen ekonomické (ve veřejném i soukromém sektoru), ale také politické (na národní i mezinárodní úrovni) Pokud je útok veden proti prvkům kritické infrastruktury, je ohrožena bezpečnost nebo samotná existence státu Obecným trendem je kvalitní ochrana informačních technologií před zásahy, které mohou ohrozit jejich chod Oblast kybernetické bezpečnosti je jedním z určujících aspektů bezpečnostního prostředí všech vyspělých států
Základní pojmy • Kybernetický útok • Kybernetická hrozba • Kybernetická obrana • Bezpečnostní politika • Bezpečnostní cíle • Bezpečnostní funkce • Bezpečnostní mechanismy • Kritická infrastruktura • Ochrana kritické infrastruktury
Základní pojmy • Kybernetický útok • Promyšlené škodlivé jednání útočníků zaměřené proti komunikačním a informačním technologiím s cílem způsobit škody nebo naplnit určitý sociální, ideologický, náboženský, politický nebo jiný záměr • Kybernetická hrozba • Potenciální možnost zneužití informačních technologií • Škody plynoucí ze zneužití těchto technologií jsou nejčastěji způsobené únikem informací, narušením integrity, potlačením služeb nebo nelegitimním použitím systémů
Základní pojmy • Kybernetická obrana • Realizace bezpečnostních opatření na informačních technologiích, které slouží k ochraně před kybernetickými útoky • Bezpečnostní politika • Soubor bezpečnostních zásad a předpisů s cílem minimalizovat rizika kybernetických útoků • Bezpečnostní cíle • Požadavky definující minimální úrovně rizik, při kterých bude zaručeno požadované zabezpečení informačních technologií
Základní pojmy • Bezpečnostní funkce • Funkce prosazující plnění stanovených bezpečnostních cílů • Mohou být fyzické, technické, logické nebo administrativní povahy • Bezpečnostní mechanismy • Techniky pro implementaci bezpečnostních funkcí nebo jejich částí • Patří sem prevence útoků, detekce útoků, opravné mechanismy
Základní pojmy • Kritická infrastruktura • Jedná se o výrobní a nevýrobní systémy a služby, jejichž nefunkčnost má závažný dopad na bezpečnost státu, ekonomiku, veřejnou správu a zabezpečení základních životních potřeb obyvatelstva • Ochrana kritické infrastruktury • Souhrn opatření, která při zohlednění možných rizik kybernetických útoků směřují k zabránění jejího narušení
Kybernetické útoky a hrozby • Kybernetické útoky na kritickou infrastrukturu státu mohou
mít zásadní dopad na jeho funkčnost, ekonomiku, bezpečnost, zabezpečení životních potřeb obyvatel apod. • Mezi klíčové systémy kritické infrastruktury patří: • Energetický průmysl • Zdravotnictví • Telekomunikační a poštovní služby • Obranný průmysl • Dopravní infrastruktura • Finanční a bankovní sektor • Zemědělství • Chemický průmysl apod.
Kybernetické útoky a hrozby • Spektrum útočníků je různorodé, stejně tak jejich
motivace a rozsah záměrů • Potenciálními kybernetickými útočníky mohou být: • Vnitřní útočníci • Počítačové kriminální skupiny • Autoři počítačových virů • Hackeři • Kybernetičtí teroristé • Zpravodajské služby • Zahraniční armády • Vojenské organizace • apod.
Kybernetické útoky a hrozby • Kybernetické útoky jsou vedeny na používané informační
technologie za účelem získání citlivých informací, porušení jejich integrity, nebo vyřazení služeb z činnosti • Nejčastějšími formami útoku jsou: • Neautorizovaný přístup do systému za účelem získání citlivých
informací nebo zneužití služeb systému • Implantace škodlivého softwaru (počítačové viry, červi, trojské koně), který se šíří v počítačových sítích • Útoky na potlačení služeb systému (Denial of Service, DoS) často v distribuované podobě (DDoS)
Bezpečnostní politika • Soubor bezpečnostních zásad a předpisů s cílem
minimalizovat rizika útoků • Bezpečnostní politika je realizována prostřednictvím bezpečnostních funkcí • Bezpečnostní politika bývá uspořádána hierarchicky: • Politika činnosti organizace • Finanční politika organizace • Personální politika organizace • Provozní politika organizace • Bezpečnostní politika organizace • Softwarová bezpečnostní politika organizace • Hardwarová bezpečnostní politika organizace
• a další.
Bezpečnostní politika Typy bezpečnostních politik • Vojenská (vládní) bezpečnostní politika • Slouží primárně k zajištění důvěrnosti informací, tzn. utajení citlivých informací podle kategorie důvěrnosti (PT, T, D, V) • Nejznámější model: Bell-LaPadula • Obchodní bezpečnostní politika • Slouží primárně k zajištění integrity informací, tzn. k zamezení falšování dat (např. v bankovním sektoru) • Nejznámější modely: Biba integrity model, Lipner’s integrity matrix model, Clark-Wilson integrity model • Hybridní bezpečnostní politika • Zajištění důvěrnosti a integrity informací v určitém poměru • Nejznámější modely: Chinese Wall model, Clinical information systems security policy, Role-based access model
Bezpečnostní politika Fáze tvorby bezpečnostní politiky • Jedná se o cyklický kontinuální proces • Jednotlivé fáze jsou: • Analýza a správa rizik • Specifikace bezpečnostní politiky • Implementace a správa bezpečnostní politiky • Testování a audit • Krizové plány • Dokumentace
Bezpečnostní politika Analýza a správa rizik • Riziko představuje pravděpodobnost, že bezpečnostní hrozba
bude uplatněna na zranitelném místě • Bezpečnostní politika je užitečná, pokud přínos snížení rizik se vyrovná nákladům na návrh, implementaci a provoz bezpečnostních mechanismů • Chybně provedená analýza rizik má za následek chybně zvolená bezpečnostní opatření • Postup při analýze rizik: • Identifikace aktiv a stanovení jejich hodnoty • Identifikace hrozeb pro aktiva • Identifikace zranitelných míst aktiv • Odhad rizik a pravděpodobností útoků • Odhad očekávaných ztrát • Vypracování přehledu použitelných opatření a jejich cen • Odhad úspor aplikací zvolených opatření
Bezpečnostní politika Specifikace bezpečnostní politiky • Jedná se o vyjádření o vyžadovaných funkcích systému • Formy vyjádření: matematické, verbální • Výstupem analýzy rizik je seznam aktiv s popisem • • • •
odhadovaných rizik Při specifikaci jsou definovány bezpečnostní požadavky vedoucí ke snížení rizik na akceptovatelnou míru Bezpečnostní požadavky jsou realizovány prostřednictvím bezpečnostních opatření Bezpečnostní opatření plní bezpečnostní procedury, které popisují techniky pro implementaci bezpečnostních funkcí Účinnost bezpečnostních procedur musí být v souladu s bezpečnostní politikou
Bezpečnostní politika Implementace a správa bezpečnostní politiky • Nejprve je třeba rozhodnout, jaká opatření budou
implementována (hotové produkty nebo na zakázku) • Každé objevené riziko je nutné řešit prostřednictvím jedné ze strategií řízení rizik: • Přijetí rizika: akceptování veškerých důsledků plynoucích z hrozby • Zmírnění rizika: snížení hrozby pro aktiva nebo redukce závislosti
organizace na tomto aktivu • Přenesení rizika: přenesení části rizika na třetí stranu • Vyhnutí se riziku: úplné zabránění riziku odstraněním zdroje hrozby nebo závislosti organizace na ohroženém aktivu • Správné provozování systému požaduje kontinuální
provádění správy a inovace bezpečnostní politiky
Bezpečnostní politika Testování a audit • Ověřování realizovaných bezpečnostních opatření • Analýza uskutečněných útoků, způsobených škod,
zneužitých slabin a zodpovědných činitelů • Audit může být interní nebo externí (zajištěn cizí firmou) • Komponenty auditního systému: • Logovací mechanismus: záznam informací získaných testováním
bezpečnostních opatření • Analyzátor: analýza dat z logovacích souborů za účelem detekce určité události nebo problému • Upozorňovací mechanismus: zpracování a prezentace výsledků auditu na základě provedené analýzy, popř. realizace předem definovaných kroků k zabezpečení objeveného problému
Bezpečnostní politika Krizové plány (Business Continuity Plans, BCP) • Krizové plány slouží pro případ útoku nebo havárie
systému a definují bezprostřední kroky a postupy • Plán činnosti po útoku • Postupy poskytování služeb při zjištěném útoku • Náhradní řešení při vyřazení provozních prostředků z provozu • Fáze reakce na útok: • První reakce: zjištění situace a kontaktování odpovědného pracovníka • Řešení incidentu: posouzení důsledků a omezený provoz systému • Obnova informačních technologií: obnova systému do původního stavu • Analýza incidentu: dokumentace, zhodnocení řešení, návrh změn
• Plán obnovy po havárii • Postupy při obnově činnosti po havárii • Havárie způsobuje nejčastěji výpadky provozních prostředků
Bezpečnostní politika Dokumentace • Dokumentace je důležitá součást bezpečnostní politiky • V dokumentaci jsou obsaženy informace týkající se: • Specifikace systému: stručný popis architektury systému a definice jeho činnosti • Manuály systému: popis hardwarových a softwarových komponent systému a návody, jak tyto komponenty konfigurovat a provozovat • Provozní procedury: popis provozu konkrétního systému a jeho možné konfigurace, odpovědných osob za komponenty systému, postupy a chování personálu v konkrétních situacích apod.
Nástroje pro podporu bezpečnosti • Autentizace osob • Kryptografie • Monitorovací systémy • Řízení přístupu (autorizace) • Další nástroje a prostředky
Nástroje pro podporu bezpečnosti Autentizace osob • Ověření identity uživatele s požadovanou mírou záruky • Uživatelé mají přiřazení práva k provádění operací • Možné formy autentizace: • Hesla a piny • Nejčastější forma autentizace, výhodou je snadná implementace • Nevýhody: špatné nakládání osob s hesly, používání slabých hesel
• Biometrika • Využití jednoznačných vlastností živých organismů k ověření totožnosti • Možnosti: otisk prstu, vzor oční duhovky nebo sítnice, srovnání obličeje,
geometrie ruky, verifikace hlasu aj. • Tokeny • Využití unikátních identifikátorů k ověření totožnosti • Možnosti: magnetické a čipové karty, autentizační kalkulátory
Nástroje pro podporu bezpečnosti Kryptografie • Kryptografie (šifrování) je nauka o metodách převodu
zpráv do podoby čitelné jen se speciální znalostí • Velmi často používaná metoda pro zajištění důvěrnosti, integrity a autenticity dat (na HW i SW úrovni) • Používané formy kryptografie: • Hašovací funkce: jednosměrný výpočet kontrolního součtu ze
zprávy nebo většího množství dat ke kontrole jejich integrity (např. MD5, SH-1, SH-2) • Elektronický podpis: metoda pro zajištění integrity dokumentu a ověření jejího autora • Symetrické šifrování: pro šifrování i dešifrování je použit stejný klíč (např. AES, DES, IDEA, Triple DES) • Asymetrické šifrování: pro šifrování se využije veřejný klíč, pro dešifrování soukromý klíč (např. SSL, SSH, RSA, EIGamal)
Nástroje pro podporu bezpečnosti Monitorovací systémy • Monitorování systému za účelem detekce a identifikace
útoku, popř. lokalizace jeho zdroje • Existují dvě základní kategorie monitorování: • Fyzické zabezpečení objektů (např. požární senzory, pohybové
senzory, bezpečnostní kamery apod.) • Zabezpečení informačních technologií (monitorování útoků na počítače, informační systémy, poskytované služby apod.) • Formy monitorování informačních technologií: • Protokolování: záznam všech událostí souvisejících s bezpečností • Systém detekce narušení: pokusy o detekci síťových průniků (vnitřních i vnějších) a reakce na ně (zápis do logu, upozornění administrátora, odpojení napadeného prostředku apod.)
Nástroje pro podporu bezpečnosti Řízení přístupu (autorizace) • Při autorizaci dochází k ověření práv uživatele při jeho
přístupu k daným zdrojům a entitám (objektům) systému • Řízení přístupu by mělo podporovat princip nejmenších privilegií (uživatelé by měli mít povolený přístup pouze k objektům a operacím s nimi, které skutečně potřebují k plnění svých pracovních povinností • Formy přiřazení přístupových práv: • Matice přístupových práv: tabulka udávající přístupová práva
uživatelů (subjektů) k objektům systému • Seznamy přístupových práv: seznam oprávnění připojený k objektům systému (např. souboru), tzn. určuje kdo má právo přistupovat k objektu a jaké operace s ním může provádět
Nástroje pro podporu bezpečnosti Další nástroje a prostředky • Antivirový software • Software pro detekci, identifikaci a eliminaci počítačových virů a škodlivého softwaru (malware) • Firewall • Síťové zařízení pro řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti anebo zabezpečení • Zálohování dat • Pravidelné nebo nepravidelné ukládání dat systému na záložní média jako prevence jejich ztráty nebo poškození
Nástroje pro podporu bezpečnosti Další nástroje a prostředky • Záložní zdroje energie • UPS (Uninterruptible Power Supply) je zařízení pro zajištění souvislé dodávky energie klíčovým prostředkům systému • Aktualizace softwaru • Každý software obsahuje bezpečnostní chyby, kterých je možné zneužít a které se ukáží až v okamžiku útoku • Proto je nutná jeho kontinuální aktualizace, která nejčastěji ve formě tzv. záplat zabezpečuje opravu všech zjištěných chyb • Testovací prostředí • Systém určený pro první nasazení nových aplikací a posouzení jejich možných vedlejších vlivů v rámci celého systému
Stav kybernetické bezpečnosti v ČR • Dosavadní vývoj řešení národní kybernetické bezpečnosti
byl v ČR předmětem vládních koncepčních dokumentů a iniciativ soukromého a akademického sektoru • Klíčové dokumenty a usnesení vlády v časovém sledu: • 2001: Koncepce boje proti trestné činnosti v oblasti IT • 2005: Národní strategie informační bezpečnosti České republiky • 2007: Akční plán realizace opatření Národní strategie informační
bezpečnosti České republiky • 2010: Zřízení Meziresortní koordinační rady pro oblast kybernetické bezpečnosti • 2011: Strategie pro oblast kybernetické bezpečnosti České republiky na období 2011-2015 • 2012: Koncepce kybernetické obrany resortu Ministerstva obrany
Stav kybernetické bezpečnosti v ČR • Současným klíčovým dokumentem je Strategie pro oblast
kybernetické bezpečnosti ČR na období 2011-2015 • Dokument řeší především ochranu před hrozbami útoků na informační technologie a snížení potenciálních škod • Vybraná opatření plynoucí z dokumentu: • Vytvoření legislativního rámce pro oblast kybernetické bezpečnosti • Zajištění posilování kybernetické bezpečnosti kritické infrastruktury • • • •
a v informačních systémech veřejné správy Vybudování vládního pracoviště CERT (Computer Emergency Response Team) Podpora mezinárodní spolupráce v oblasti kybernetické bezpečnosti Spolupráce státu, soukromé a akademické sféry Zvyšování povědomí o kybernetické bezpečnosti
Stav kybernetické bezpečnosti v ČR • V roce 2011 přešla gesce nad kybernetickou bezpečností •
• • •
na Národní bezpečnostní úřad (NBÚ) Ve stejném roce byla zřízena Rady pro kybernetickou bezpečnost (poradním orgán předsedy vlády pro oblast kybernetické bezpečnosti) Do roku 2015 je plánován vznik Národního centra kybernetické bezpečnosti Součástí tohoto centra bude vládní koordinační místo pro okamžitou reakci na počítačové incidenty (tzv. CERT) V současné době v ČR funguje na soukromé a akademické bázi několik týmů typu CERT (CESNETCERTS, CSIRT.CZ, CZ.NIC-CSIRT, CSIRT-MU)
Stav kybernetické bezpečnosti ve světě • Belgie: služby národního CERT v Belgii zajišťuje tým
CERT.be provozovaný Sítí národního výzkumu BELNET • Dánsko: kybernetickou bezpečnost zajišťuje tým DK.CERT založený v roce 1991 • Litva: kybernetická bezpečnost je v gesci Ministerstva vnitra, které nedávno vydalo dokument Program rozvoje kybernetické bezpečnosti na období 2011-2019 • Německo: problematikou se zabývá dokument Strategie pro kybernetickou bezpečnost, který je postaven na činnosti Centra pro kybernetickou obranu a Rady kybernetické bezpečnosti
Stav kybernetické bezpečnosti ve světě • Nizozemsko: zde funguje tým NCSC-NL, který • • •
•
zabezpečuje Ministerstvo bezpečnosti a spravedlnosti Norsko: vojenský i národní CERT (NorCERT) vznikl v roce 2006 a je v podřízenosti NBÚ Rakousko: v Rakousku figuruje národní CERT tým pod názvem CERT.at Estonsko: nemá speciální právní úpravu problematiky kybernetické bezpečnosti, ale vychází ze Strategie v oblasti kybernetické bezpečnosti Polsko: kybernetickou bezpečnost formálně upravuje vládní program ochrany kyberprostoru Polské republiky
Stav kybernetické bezpečnosti ve světě • Španělsko: zde existují tři základní instituce řešící
kybernetickou bezpečnost (Národní kryptologické centrum, CCN-CERT, Národní centrum pro ochranu kritické infrastruktury) • Velká Británie: Britské ministerstvo vnitra se řídí novou národní Strategií kybernetické bezpečnosti do roku 2015 • USA: kybernetické bezpečnosti je zde věnována velká pozornost, existuje množství dokumentů, které se tématem zabývají (např. International Strategy for Cyberspace z roku 2011) a existuje několik agentur, které mají kybernetickou bezpečnost ve své gesci (US Cyber Command, National Security Agency, Department of Homeland Security, US-CERT)
Závěr • Kybernetický střet je charakteristický svou asymetrií • Útoky jsou realizovány rychle, náhle a efektivně • Moderní informační a komunikační technologie jsou nejen
nástrojem útoků, ale také cílem, proti kterým je útok veden • Obrana proti kybernetickým útokům je nezbytná, potenciální škody mohou být katastrofální • Stav řešení kybernetické ochrany v ČR není stále na odpovídající úrovni • V současnosti existuje v ČR množství koncepčních a strategických dokumentů zabývající se oblastí kybernetické bezpečnosti, ovšem většina jejich cílů zatím nebyla splněna
Literatura • ČSN ISO/IEC TR 13335-1,2. Informační technologie: • • • • •
Směrnice pro řízení bezpečnosti IT, 1. a 2. část. 2000. ČSN ISO/IEC 17799. Informační technologie: Bezpečnostní techniky. 2006. TUČEK, P. Bezpečnostní politika pro rozsáhlé uživatelské počítačové infrastruktury. 2007. Národní bezpečnostní úřad. Věcný záměr zákona o kybernetické bezpečnosti. 2011. Usnesení vlády ČR. Strategie pro oblast kybernetické bezpečnosti České republiky na období 2011-2015. 2011. Ministerstvo obrany. Koncepce kybernetické obrany resortu Ministerstva obrany. 2012.
Literatura • US Army Training and Doctrine Command. Critical • • • • • •
Infrastructure: Threats and Terrorism. 2006. CEPS Task Force Report. Protecting Critical Infrastructure in the EU. 2010. USA. Cyberspace Policy Review. 2009. GLASER, CH. L. Deterrence of Cyber Attacks and U.S. National Security. 2011. USA. International Strategy for Cyberspace. 2011. USA. National Strategy for Trusted Identities in Cyberspace. 2011. Internet (Wikipedia, vyhledávání na Google.com)
Dotazy?
Děkuji za pozornost
