UNIVERZITA OBRANY Fakulta ekonomiky a managementu
Arch: 1 Strana: A
Kybernetická bezpečnost Ing. Petr HRŮZA, Ph.D.
Brno, 2012
Kybernetická bezpečnost
Obsah
Ing. Petr HRŮZA, Ph.D.
Úvod ............................................................................................................... 5 1.
Tato odborná kniha byla doporučena k publikaci vědeckou redakcí vydavatelství DUKASE s.r.o.
Základní terminologie kybernetické bezpečnosti ................... 9
1.2.
Normy kybernetické bezpečnosti ............................................ 14
1.3.
Kybernetická bezpečnost v České republice .......................... 22
2.
Co je kybernetický útok .................................................................... 27
3.
Příklady kybernetických útoků ....................................................... 35
4.
Předpokládané cíle kybernetických útoků .................................... 41
5.
Scénář kybernetického útoku........................................................... 47
6.
Kdo jsou kybernetičtí útočníci ......................................................... 53 6.1.
Základní dělení kybernetických útočníků .............................. 54
6.2.
Jaká je realita mladých hackerů v dnešní době? .................... 59
7.
Kybernetická bezpečnost a kritická infrastruktura ....................... 61
8.
Úkoly při ochraně kybernetického prostoru ................................. 65
9.
Řízení kybernetické bezpečnosti ..................................................... 69
10.
Jak uchránit svůj počítač ................................................................... 75
Závěr............................................................................................................. 79 Literatura ..................................................................................................... 81 Seznam zkratek ........................................................................................... 87 Rejstřík ......................................................................................................... 89
Vydavatel: Univerzita obrany Vytiskl: DUKASE s.r.o., E. Beneše 1530, 500 12 Hradec Králové Vydání první. Brno 2012 © Petr HRŮZA 2012 ISBN 978-80-7231-914-5
2
3
Strana: A
Tato odborná kniha byla vytvořena a financována z projektu „Vzdělávání pro bezpečnostní systém státu“ CZ.1.07/2.2.00/15.0070. Projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky.
1.1.
Arch: 2
Recenzenti: doc. Ing. Vladimír VRÁB, CSc. doc. Ing. Luděk LUKÁŠ, CSc.
Kybernetická bezpečnost .................................................................... 9
Together with the increase of using the IT we can mark an increased risk of misusing these technologies. Attacks aimed against the IT assets and networks are becoming a worldwide phenomenon and their impact result to extensive economic damage throughout both public as well we private sectors. What is the cyber-attack and what are anticipated targets of such attacks? How we can protect the cyber-space? Answers to all these questions are subject elaborated in book. Key words: Cyber Security, Cyber Attack, Scenario and Target of Cyber Attack
V dnešní době platí, že klíčové informace mohou mít cenu zlata. Neexistuje organizace (komerční subjekt nebo orgán veřejné správy), která by nějakými důležitými informacemi nedisponovala. Výrazný nárůst zavádění a používání informačních technologií vede k vytvoření informační společnosti, urychlení komunikace a velkému rozvoji služeb. Tím ale narůstá závislost společnosti na těchto technologiích. Se vzrůstající závislostí společnosti na informačních technologiích stoupá riziko jejich zneužívání, které může vést ke značným škodám. Obecným trendem na celém světě je kvalitní ochrana informačních technologií před útoky, které by mohly ohrozit jejich fungování. Cílené útoky proti informačním technologiím jsou celosvětovým fenoménem a jejich dopad způsobuje rozsáhlé ekonomické škody ve veřejném i v soukromém sektoru, a to jak v národním tak v globálním měřítku. V případech, kdy je útok veden proti prvkům kritické infrastruktury, může být v konečném důsledku ohrožena bezpečnost nebo samotná existence státu. S obrovským rozvojem technologií dnes lidstvo přechází do pátého rozměru, do virtuálního světa. Všechno, co se dnes děje v naší realitě, doprovázejí také aktivity ve virtuálním kyberprostoru. Proto se celosvětovým problémem stávají i rostoucí kybernetické útoky. Útoky proti informačním technologiím jsou stále sofistikovanější a komplexnější. Zajištění kybernetické bezpečnosti jednotlivých států je jednou z klíčových výzev současné doby. Bezhraničnost a všudypřítomnost kybernetických hrozeb vyžaduje intenzivní mezinárodní spolupráci a také intenzivní úsilí při zajišťování kybernetické bezpečnosti jednotlivých států. Oblast kybernetické bezpečnosti je a bude jedním z určujících aspektů bezpečnostního prostředí vyspělých zemí. Stále větší část ekonomických aktivit se přesouvá do prostředí internetu - do kyberprostoru. Vznikem sociálních sítí se z nejznámější části kyberprostoru (internetu) stává významný celospolečenský jev, jehož
4
5
Strana: A
Klíčová slova: Kybernetická bezpečnost, kybernetický útok, scénáře a cíle kybernetických útoků.
Úvod
Arch: 3
S nárůstem používání informačních technologií stoupá riziko jejich zneužití. Cílené útoky proti informačním technologiím jsou celosvětovým fenoménem a jejich dopad způsobuje rozsáhlé ekonomické škody ve veřejném i v soukromém sektoru. Co je to kybernetický útok a jaké jsou předpokládané cíle těchto útoků? Jak může vypadat scénář kybernetického útoku? Jak chránit kybernetický prostor? V knize najdete odpovědi na tyto otázky.
prostřednictvím lze společnost výrazně pozitivně nebo i negativně ovlivňovat.
6
7
Strana: A
V dnešní době již nemusí řešení bezpečnosti informací představovat pro firmu nebo společnost tak velký problém. K dispozici je řada standardů či doporučení pro řešení bezpečnosti informací. Existují kritéria, podle kterých lze úspěšnost navrženého řešení hodnotit. Na trhu jsou konzultantské společnosti, které jsou schopny se zajištěním ochrany informací pomoci. Přesto je však dobré vědět, co v dané oblasti existuje a s čím je možné se setkat a na co si dát pozor. Cílem této odborné publikace je poskytnout základní přehled o problematice kybernetické bezpečnosti. Publikace je především určena pro širokou odbornou veřejnost, která se chce o kybernetické bezpečnosti dozvědět základní a obecné informace. Může posloužit jako výchozí studijní materiál pro studenty na všech typech středních a vysokých škol v předmětech se zaměřením na informační a komunikační systémy a jejich bezpečnost. Kniha reaguje na fenomén dnešní doby, kterým kybernetická bezpečnost bezesporu je, a odráží aktuální aspekty této oblasti. Proto i platnost a aktuálnost informací v této publikaci je závislá na dalším vývoji popisované problematiky. Publikace je rozdělena do deseti kapitol, které na sebe bezprostředně navazují. První kapitola je věnována základní terminologii kybernetické bezpečnosti. Terminologie v oblasti kybernetické bezpečnosti je roztříštěná, nejednotná a na některých pojmech se nedokáže shodnout ani odborná veřejnost. V posledních letech se proto vytvořilo několik skupin odborníků, kteří se otázkou terminologie velice úzce zabývají. Na ter-
Arch: 4
Náležitě celou situaci vystihl ve svém vystoupení ředitel FBI Robert Swan Mueller na konferenci o bezpečnosti v San Francisku na jaře roku 2012, když řekl, že ztrácíme data, peníze, nápady a inovace. Společně prý musíme rychleji najít způsob, jak to zastavit. Existují pouze dva druhy společností. Takové, do kterých se již hackeři nabourali a takové, do nichž se teprve nabourají. Tyto dvě skupiny se velmi rychle spojují. Ve svém vystoupení dále uvedl, že v blízké době budou existovat pouze společnosti, do jejichž systémů hackeři pronikli a společnosti, do nichž proniknou znovu.
minologii navazuje výčet základních a nejdůležitějších norem z oblasti bezpečnostních a informačních technologií. Normy v oblasti bezpečnosti informací se zabývají nastavením, řízením a posuzováním bezpečnosti informací. Normy kybernetické bezpečnosti byly vytvořeny relativně nedávno, neboť teprve v posledních letech přibývá citlivých dat uložených v počítačích, které jsou připojeny k Internetu. Závěr kapitoly se věnuje situaci kybernetické bezpečnosti v České republice od roku 2007 do současnosti. Druhá kapitola charakterizuje prostředí, ve kterém se odehrávají kybernetické útoky. Objasňuje pojmy, jako jsou kybernetický prostor, kybernetický terorismus, kybernetický zločin, kybernetický útok a kybernetická hrozba. Třetí kapitola popisuje případy kybernetických útoků, které se staly za několik posledních let. Ať už se jednalo o kybernetický útok na Estonsko, Gruzii či na samotné SCADA (Supervisory Control and Data Acquisition) systémy. Čtvrté kapitola nabízí zamyšlení nad předpokládanými cíly kybernetických útoků a pátá kapitola provádí deskripci scénářů těchto kybernetických útoků. Uvádí také nejtypičtější možný scénář kybernetického útoku. Aby mohly být státy na případný kybernetický útok připraveny, probíhají různá cvičení. Jedná o cvičení armád NATO a zemí Evropské unie. V šesté kapitole se čtenář dozví více informací o kybernetických útočnících, základním dělení kybernetických útočníků. Závěr kapitoly tvoří zamyšlení nad realitou mladých hackerů v dnešní době. Sedmá kapitola se zabývá pochopením nutnosti řešit ochranu kritické infrastruktury také před kybernetickými útoky. Poškození, narušení nebo zničení prvků kritické informační a komunikační infrastruktury může mít pro stát katastrofální následky. Zajištění kybernetické bezpečnosti státu je jednou z klíčivých aktivit každého vyspělého státu. A právě v osmé kapitole je možné se dozvědět, jaké jsou úkoly státu při ochraně kybernetického prostoru. Devátá kapitola zdůrazňuje, že jsou informace v jakékoli instituci velmi důležitým majetkem a správa citlivých informací svěřených organizaci jejími zákazníky přináší zvláštní povinnosti. Tyto informace je potřeba
1. Kybernetická bezpečnost
Terminologie v oblasti kybernetické bezpečnosti je roztříštěná, nejednotná a na některých pojmech se nedokáže shodnout ani odborná veřejnost. V posledních letech se proto vytvořilo několik skupin odborníků, kteří se otázkou terminologie velice úzce zabývají. V následující kapitole uvádím nejpoužívanější základní pojmy. Vycházel jsem z běžně dostupných norem, slovníků, odborných článků a publikací. Každý termín jsem se snažil vysvětlit co nejsrozumitelněji. Existuje například velice dobře zpracovaný „Výkladový slovník kybernetické bezpečnosti“ [47]. Ten vysvětluje velké množství pojmů z oblasti kybernetické bezpečnosti. Některá vysvětlení jsou odborná a nejsou počítačovým laikům na první pohled srozumitelná. Proto jsem vybral nejpoužívanější základní pojmy obsažené v této publikaci a pokusil jsem se je s přispěním dostupných zdrojů přiblížit široké veřejnosti. Seznam základních pojmů je uveden v abecedním pořadí.
1.1. Základní terminologie kybernetické bezpečnosti Adware (Advertising Supported Software) – jedná se o softwarový produkt znepříjemňující práci s počítačem vnucenou nevyžádanou reklamou. Cílem je předání reklamního sdělení většinou proti vůli
8
9
Strana: A
S rozvojem informačních technologií se situace dramaticky změnila, neboť vzhledem ke své povaze mohou být elektronická data lehce kopírována, měněna či mazána a není ani nutné být přímo na místě jejich uložení. S nástupem moderních informačních technologií umožňujících uchovávání velkého množství informací o různé hodnotě se proto z ochrany informací stala disciplína. Dnes již bezpečnost informací představuje poměrně rozsáhlý obor, který se stal nedílnou součástí studia v oblasti informačních systémů a s rostoucím objemem zpracovávaných dat stále více roste i jeho důležitost. Bezpečnost informací si klade za cíl chránit informace v jakékoliv podobě. Není podstatné, jakou mají formu (zda listinnou či elektronickou), kde se uchovávají (jsou-li v trezoru nebo ve vzdáleném informačním systému). Podstatná je hodnota chráněných informací či případně velikost škody, která by vznikla v souvislosti s únikem či zneužitím těchto odcizených informací.
Arch: 5
bezpečně chránit a k tomu jim napomáhá systém řízení bezpečnosti informací. Desátá kapitola nabízí návod, jak je možné ochránit svůj počítač od jakékoli infiltrace přicházející z Internetu. Důležitým aspektem ochrany svých informací je správná volba přístupových hesel. A právě na závěr této publikace je možné se o vhodné tvorbě hesel více dozvědět.
Brána (Gateway) – je název pro místo vstupu do informačního systému, které je většinou vybaveno zvláštními bezpečnostními prvky (např. firewallem, autentizací přístupu, šifrováním vstupů a výstupů).
Aktivní hrozba (Active Threat) - jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti dat. Následkem toho může dojít k modifikaci zpráv, vložení falešných zpráv, odmítnutí služby nebo vydávání se za někoho jiného.
CCD COE (Cooperative Cyber Defence Centre of Excellence) – NATO středisko pro spolupráci v kybernetické obraně (sídlo: Tallinn, Estonsko, http://www.ccdcoe.org) [26].
Analýza zranitelnosti (Vulnerability Analysis) - systematické analyzování systému a provozovaných služeb vzhledem k bezpečnostním slabinám systému. Analyzují se také bezpečnostní opatření [47]. Analýza počítačového viru (Virus Analysis) – jedná se o soubor činností zahrnující ucelený rozbor chování počítačového viru (šíření, skrývání, způsobené škody), zkoumání kódu viru a jeho následné odstranění [26]. Antivirový program (Antivirus Program) - program pro vyhledávání počítačových virů, léčení napadených souborů, zálohování a obnovu systémových oblastí na disku, ukládání kontrolních informací o souborech na disku [26]. Bezpečnost informací (Information Security) - zachování důvěrnosti, integrity a dostupnosti informací a dalších vlastností informací (např. autentičnosti, odpovědnosti, nepopíratelnosti a spolehlivosti). Uplatnění obecných bezpečnostních opatření a postupů k ochraně informací před jejich ztrátou nebo kompromitací [47, 26]. Bezpečnostní manažer (Security Manager) – zaměstnanec organizace nebo firmy odpovědný za bezpečnost systému. Má jasně definované odpovědnosti a pravomoce [47, 26].
Certifikace (Certification) - proces ověřování způsobilosti informačního systému k nakládání s utajovanými informacemi, schválení této způsobilosti a vydání certifikátu. Celý proces provádí třetí strana [26]. CIRC (Computer Incident Response Capability) – schopnost rychlé a efektivní reakce na rizika, zranitelnosti v systémech a na počítačové incidenty [26]. CSIRT (Computer Security Incident Response Team) – odborný tým osob zabývající se prevencí a řešením bezpečnostních incidentů vzniklých v informačních systémech a počítačových sítích [26]. Cyberstalking – jedná se o nejrůznější druhy stopování a obtěžování s využitím elektronického média (zejména prostřednictvím elektronické pošty), jejichž cílem je například vzbudit v oběti pocit strachu. Informace o oběti pachatel nejčastěji získává z webových stránek, fór nebo chatovacích místností („chat“ je způsob on-line komunikace více osob prostřednictvím Internetu). Červ (Worm) - jedná se o samostatný program schopný vytvářet své kopie, které rozesílá do dalších počítačových systémů či sítí. Zde vyvíjí další činnost, pro kterou byl naprogramován. Často slouží k vyhledávání bezpečnostních skulin v systémech nebo v poštovních programech.
Bot – jedná se o parazitní program, který je bez vědomí uživatele nainstalován na jeho počítači. Umožňuje neautorizovanému uživateli (hackerovi) vzdáleně tento počítač ovládat a využívat ho pro plnění různých příkazů [26].
DDoS Distribuované odmítnutí služby (Distributed Denial of Service) – jedná se o druh útoku na internetové služby nebo stránky, při němž dochází k přehlcení požadavků a pádu nebo minimálně nefunkčnosti a nedostupnosti služby pro ostatní uživatele. Útok je veden z několika počítačů najednou (v jednom časovém intervalu) [47, 26].
10
11
Strana: A
Analýza hrozeb (Threat Analysis) - zkoumá činnosti a události, které by mohly negativně ovlivnit kvalitu služby informačních technologií nebo samotná data [47].
CERT (Computer Emergency Response Team) – představuje tým bezpečnostních specialistů pro okamžitou reakci na počítačové incidenty. Tato střediska již existují ve většině vyspělých států světa [26].
Arch: 6
uživatele systému. Typickým příznakem jsou vyskakující reklamní okna během surfování na Internetu. Většinou není přímo pro uživatele nebezpečný.
Důvěrnost (Confidentiality) – jedná se o stav, kdy informace není dostupná neoprávněným uživatelům nebo není odhalena neautorizovaným přístupem.
Kybernetická bezpečnost (Cyber Security) – souhrn právních, organizačních, technických a fyzických opatření, která umožňují odolávat úmyslně i neúmyslně vyvolaným kybernetickým útokům a zmírňovat či napravovat jejich následky. Nejčastěji se dává do souvislosti s finančně, politicky či vojensky motivovanými útoky. Důležitým aspektem kybernetické bezpečnosti je ochrana před krádeží identity [26, 47]. Kybernetický prostor (Cyber Space) – lze ho vnímat jako digitální prostředí tvořené informačními a komunikačními technologiemi, ve kterých informace vznikají, jsou zpracovávány a dochází k jejich výměně. Kybernetický prostor lze také chápat jako metaforu vyjádření virtuálního (nefyzického) prostředí vytvořeného propojením počítačových systémů v síti. V kybernetickém prostoru probíhá vzájemné působení mezi subjekty stejně jako v reálném světě, ovšem bez nutnosti fyzické aktivity [26, 47]. Kybernetický terorismus (Cyber Terrorist) – nezákonný útok proti počítačům, počítačovým sítím a v nich uloženým informacím, při kterém je záměrem útočníka získat informace, negativně je ovlivnit nebo převzít kontrolu nad prvky infrastruktury systému [26, 47]. Management rizik (Risk Management) – chápeme jako činnost sloužící k řízení a kontrole organizace s ohledem na rizika. Je nedílnou součástí systematického řízení organizace. Jeho cílem je analyzovat současná i budoucí rizika a vhodnými opatřeními zmenšovat pravděpodobnost výskytu a závažnost jejich možných nežádoucích následků [26, 47].
12
Nevyžádaná pošta (Spam) - masové šíření nevyžádaného sdělení. V nejčastějším případě se jedná o reklamu nejrůznějšího charakteru. Není-li systém dostatečně zabezpečen, může nevyžádaná pošta tvořit značnou část elektronické korespondence. Ohrožení (Exposure) – dá se vysvětlit jako skutečnost existence zranitelnosti, která může být zneužita hrozbou [26]. Opatření / Protiopatření (Countermeasure) – činnost na úrovni fyzické, logické nebo administrativní bezpečnosti, která snižuje zranitelnost a chrání systém před danou hrozbou [26]. Phishing - metoda usilující o zcizení digitální identity uživatele (například jeho přihlašovacích jmen, hesel, čísel bankovních karet a účtů) za účelem jejího následného zneužití. Jedná se většinou o vytvoření podvodné zprávy, šířené elektronickou poštou. V této zprávě se snaží zmíněné údaje z uživatele vylákat. Zprávy mohou být maskovány tak, aby co nejvíce imitovaly důvěryhodného odesílatele (například banku). Riziko (Risk) – jedná se o pravděpodobnost, že hrozba zneužije zranitelnost systému a způsobí narušení jeho důvěrnosti, integrity nebo dostupnosti [26]. Spyware - je program, který využívá Internetu k odesílání dat z počítače bez vědomí jeho uživatele. Skrytě monitoruje chování oprávněného uživatele počítače nebo systému. Zjištěné informace průběžně zasílá určenému uživateli, který tyto informace dále zpracovává. Spyware představuje z hlediska bezpečnosti dat velkou hrozbu, protože odesílá různé informace z počítače bez vědomí uživatele [26, 47].
13
Strana: A
Integrita (Integrity) - zajištění správnosti, celistvosti a úplnosti informací [47].
Narušení (Breach) – situace, kdy došlo k narušení nebo spíše k prolomení důvěrnosti, integrity nebo dostupnosti informačního systému v důsledku překonání bezpečnostních opatření.
Arch: 7
Hacking - neoprávněný průnik do informačního systému, provedený zvnějšku (zpravidla ze vzdáleného počítače). Samotný průnik je podmínkou pro další neautorizovanou činnost v rámci cílového systému. Pachatel se zpravidla nepřipojuje k objektu útoku (počítači) přímo, ale přes jeden či více internetových serverů v různých částech světa. Cílem takového postupu je podstatné snížení možnosti identifikace skutečného umístění počítače, ze kterého byl útok primárně veden.
Malware (Škodlivý software) – tímto pojmem se označuje jakýkoli software, který při svém spuštění zahájí činnost ke škodě systému, ve kterém se nachází. Jeho vnější projevy mohou být časovány nebo mohou reagovat na konkrétní naprogramovanou spouštěcí událost (např. na okamžik, kdy oprávněný uživatel otevře zprávu v rámci elektronické pošty).
Vir (Virus) - parazitující škodlivý kód, který se připojí k určitým programům nebo systémovým oblastem a pozmění je. Může se nekontrolovatelně rozšiřovat nebo po svém spuštění zahájit destrukční procesy (poškození, změnu či zničení dat, degradaci funkce operačního systému, stahování dalšího malware atd.) [26]. Warez – výroba a rozšiřování pirátského software. Zadní vrátka (Backdoors) – jsou to skryté kódy, které po instalaci na cílový počítač umožňují jeho vzdálené řízení. Zranitelnost (Vulnerability) - vlastnost nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou [26, 47].
1.2. Normy kybernetické bezpečnosti V kterékoliv době byly, jsou a budou primárním předmětem ochrany informace. Čím větší hodnotu informace mají, tím by se měla věnovat větší pozornost jejich zabezpečení. Důležitým aspektem kybernetické bezpečnosti je ochrana před krádeží identity. Pro vhodné nastavení bezpečnosti informací byly vytvořeny normy. Norma (standard) je definován jako směrnice nebo pravidlo, jehož zachování je obvykle závazné, např. mravní, právní, technické. Technická norma přesně stanovuje požadované vlastnosti, provedení, tvar nebo uspořádání opakujících se předmětů nebo způsobů a postupů práce, popř. vymezuje všeobecně užívané technické pojmy. Normy v oblasti bezpečnosti informací se zabývají nastavením,
14
Normy v oblasti kybernetické bezpečnosti lze rozdělit do několika skupin podle jejich zaměření (i když hranice tohoto rozdělení nejsou vždy jednoznačné). První skupinou jsou normy pro oblast řízení bezpečnosti informací (ISO/IEC 27001, ISO/IEC TR 13335). Druhou skupinu tvoří osvědčené bezpečnostní praktiky (ISO/IEC 27002) a třetí skupinou to jsou normy pro posuzování bezpečnostních vlastností jednotlivých komponent informačních systémů (například ISO/IEC 15408-2). V zásadě lze říci, že manažery by měly více zajímat první dvě skupiny. Třetí skupina norem je především určena pro organizace vyvíjející komponenty pro informační a komunikační technologie nebo pro architekty speciálně zaměřených informačních systémů (například vojenských). Pro řešení bezpečnosti informací v organizaci, kde se kromě elektronických nosičů informací vyskytují i neelektronické (například v listinné podobě), je tedy nezbytné zabezpečit všechny formy informací, je nejvhodnějším normou pro oblast řízení bezpečnosti norma ČSN ISO/IEC 27001 a pro praktické zavedení pak ČSN ISO/IEC 27002. Pokud je potřeba řešit pouze bezpečnost konkrétního informačního systému, lze opět použít normy výše uvedené, nebo použít normu ČSN ISO/IEC TR 13335, případně (ale to již s pomocí znalých odborníků) se obrátit například k normě ITSEC nebo ČSN ISO/IEC 15408 (známé také pod názvem Common Criteria). Nyní k jednotlivým normám v oblasti kybernetické bezpečnosti podrobněji. V poslední době nejvíce diskutovanou skupinou norem jsou ISO normy rodiny 27k (27000, 27001, 27002 …). Rodina norem 27k má pomoci organizacím zavést a provozovat systém ISMS (Information Security Management System - systém managementu bezpečnosti informací). Organizace mohou použitím rodiny norem 27k vyvinout
15
Strana: A
Útok (Attack) - je pokus o zničení, vystavení hrozbě, změně, vyřazení z činnosti, zcizení nebo získání neautorizovaného přístupu do počítače nebo počítačových sítí.
řízením a posuzováním bezpečnosti informací. Normy kybernetické bezpečnosti byly vytvořeny relativně nedávno, neboť teprve v posledních letech přibývá citlivých informací uložených v počítačích, které jsou připojeny k Internetu. Instituce a firmy mají zvýšenou potřebu k zajištění informační (počítačové) bezpečnosti, neboť potřebují chránit své obchodní tajemství, důvěrné informace a osobní údaje (například o jejich partnerech, zákaznících anebo zaměstnancích).
Arch: 8
Trojský kůň (Trojan Horse) - jedná se o program implantovaný do informačního systému bez vědomí oprávněného uživatele, který monitoruje specifické činnosti, o které projevuje útočník zájem. Jedná se například o znaky, které oprávněný uživatel stiskl na klávesnici (zejména hesla) nebo stránky, které navštívil. Tyto údaje předává útočníkovi k dalšímu zpracování. Ten tak může získat přístupové informace k navštíveným webovým stránkám, bankovním účtům nebo kontům elektronické pošty.
a implementovat rámce pro řízení bezpečnosti svých bezpečnostních aktiv a připravit nezávislé ohodnocení svého systému managementu bezpečnosti informací.
ČSN ISO/IEC 27000 - Informační technologie - Bezpečnostní techniky Systémy řízení bezpečnosti informací - Přehled a slovník.
ČSN ISO/IEC 27001 - Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Norma ČSN ISO/IEC 27001 řeší posuzování bezpečnosti informací a specifikuje požadavky na ISMS (systém managementu bezpečnosti informací) tak, aby byla dosažena požadovaná úroveň bezpečnosti informací a informačních systémů a účinného a efektivního řízení informací v organizaci. Cílem je poskytnout doporučení, jak správně aplikovat ČSN ISO/IEC 27002 (dříve ISO/EIC 17999). Interpretace a implementace se může lišit v návaznosti na rozsahu systému, druhu a způsobu zpracování dat, jejich hodnotě, atd. Norma ČSN ISO/IEC 27001 je určena všem organizacím, které chtějí chránit svá informační aktiva s vysokou hodnotou a tím minimalizovat ztráty způsobené jejich únikem. Ti, kdo nakládají s citlivými informacemi nebo osobními údaji mohou touto cestou předejít finančním postihům a trestům, vyplývajících ze zákona, při úniku informací nebo neoprávněným nakládáním s osobními údaji [9].
ČSN ISO/IEC 27002 - Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Norma ČSN ISO/IEC 27002 poskytuje doporučení a obecné principy pro vymezení, zavedení, udržování a zlepšování systému managementu bezpečnosti informací v organizaci (ISMS). Norma prosazuje přijetí procesního přístupu k řešení ISMS, zavádí model známý jako Plánuj-DělejKontroluj-Jednej (Plan-Do-Check-Act nebo PDCA), který může být aplikován na všechny procesy ISMS definovanými touto normou (o modelu PDCA je možné se podrobněji dočíst v některý z následujících kapitol).
16
Bezpečnostní politika (1). Organizace bezpečnosti (2). Klasifikace a řízení aktiv (2). Bezpečnost lidských zdrojů (3). Fyzická bezpečnost a bezpečnost prostředí (2). Řízení komunikací a řízení provozu (10). Řízení přístupu (7). Vývoj, údržba a rozšíření informačního systému (6). Zvládání bezpečnostních incidentů (2). Řízení kontinuity činností organizace (1). Soulad s požadavky (3).
Každá z 39 kategorií bezpečnosti obsahuje cíl (kontrolního) opatření, který určuje, čeho má být dosaženo a jedno nebo více opatření použitelných k dosažení stanoveného cíle opatření. Norma obsahuje celkem 133 základních opatření, která se ve skutečnosti dále rozpadají na stovky specifických bezpečnostních opatření. Cíle opatření poskytují kvalitní základ pro definici bezpečnostní politiky organizace. Norma nepřikazuje, která opatření musí být bezpodmínečně aplikována, ale ponechává rozhodnutí na organizaci. Vhodná opatření jsou vybírána na základě hodnocení rizik a jejich implementace je závislá na konkrétní situaci. Cílem není implementovat vše, co norma popisuje, ale spíše naplnit všechny aplikovatelné cíle opatření. Tento přístup zajišťuje, že norma je široce aplikovatelná a dává uživatelům velkou flexibilitu při implementaci [10].
17
Strana: A
Arch: 9
Norma ČSN ISO/IEC 27000 poskytuje přehled systémů řízení bezpečnosti informací, které tvoří předmět rodiny norem 27k a definuje souvisící termíny. Termíny a definice uvedené v této normě se týkají termínů a definic obecně použitých v rodině norem 27k, nikoliv všech termínů a definic [8].
V hlavní části normy jsou specifikovány požadavky na vybudování, zavedení, provoz, monitorování, přezkoumání, udržování, zlepšování a případnou certifikaci zdokumentovaného systému managementu bezpečnosti informací. Jsou zde specifikovány požadavky na výběr a zavedení bezpečnostních opatření chránících informační aktiva. Norma obsahuje celkem 11 základních oddílů bezpečnosti, které jsou dále rozděleny do 39 kategorií bezpečnosti (počet je uvedený v závorce za názvem oddílu) [10]:
ČSN ISO/IEC 27003 - Informační technologie - Bezpečnostní techniky - Směrnice pro implementaci systému řízení bezpečnosti informací.
získání souhlasu vedení organizace se zahájením projektu ISMS, definování rozsahu, hranic a politiky ISMS, provedení analýzy požadavků bezpečnosti informací, provedení hodnocení rizik a plánování zvládání rizik, návrh ISMS.
Konkrétní finální plán implementace projektu ISMS organizace je hlavním výstupem 5. etapy. Zahrnuje návrh organizace bezpečnosti informací, bezpečnosti informačních a komunikačních technologií, fyzické bezpečnosti a návrh dalších opatření naplňujících specifické požadavky ISMS (jako je například plán přezkoumání ISMS vedením organizace nebo návrh programu vzdělávání, školení a zvyšování povědomí v oblasti bezpečnosti informací). V přílohách této normy jsou pak uvedeny kontrolní seznam činností potřebných k ustanovení a implementaci ISMS, popis rolí a odpovědností bezpečnosti informací, informace o interním auditování, struktury politik a informace o monitorování a měření bezpečnosti informací [11].
ČSN ISO/IEC 27004 - Informační technologie - Bezpečnostní techniky Řízení bezpečnosti informací - Měření.
ČSN ISO/IEC 27005 - Informační technologie - Bezpečnostní techniky Řízení rizik bezpečnosti informací.
Norma ČSN ISO/IEC 27005 poskytuje doporučení pro řízení rizik bezpečnosti informací v rámci organizace, podporuje obecný koncept specifikovaný v ČSN ISO/IEC 27001. Je strukturována, aby dostatečně podporovala implementaci informační bezpečnosti založené na přístupu řízení rizik. Nicméně tato mezinárodní norma nenabízí konkrétní metodiku pro řízení rizik bezpečnosti informací. Záleží jen na organizaci, jaký přístup k řízení rizik zvolí (například v závislosti na rozsahu ISMS, kontextu řízení rizik, průmyslovém odvětví). Norma je určena manažerům a pracovníkům, kteří jsou v rámci organizace odpovědní za řízení rizik bezpečnosti informací a tam, kde je to relevantní, také externím subjektům. Je aplikovatelná na všechny typy organizací (např. komerční společnosti, vládní organizace, neziskové organizace), které mají v úmyslu řídit rizika, která mohou narušit bezpečnost informací organizace [13].
ČSN ISO/IEC 27006 - Informační technologie - Bezpečnostní techniky Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací.
Norma ČSN ISO/IEC 27006 specifikuje požadavky a poskytuje doporučení pro orgány provádějící audit a certifikaci systému řízení bezpečnosti informací (ISMS) a doplňuje tak požadavky obsažené v ČSN ISO/IEC 17021 a ČSN ISO/IEC 27001. Norma je primárně určená k podpoře procesu akreditace certifikačních orgánů poskytujících certifikace systému řízení bezpečnosti informací [14].
Norma ČSN ISO/IEC 27004 obsahuje doporučení pro vývoj a používání metrik a pro měření účinnosti zavedeného systému řízení bezpečnosti informací (ISMS) a účinnosti opatření nebo skupin opatření, jak je uvedeno v ČSN ISO/IEC 27001. Implementace těchto doporučení je předmětem programu měření bezpečnosti informací. Program měření bezpečnosti
Norma ČSN ISO/IEC 27799 definuje obecné zásady pro podporu interpretace a implementace zdravotnické informatiky ČSN ISO/IEC
18
19
ČSN ISO/IEC 27799 - Zdravotnická informatika - Systémy řízení bezpečnosti informací ve zdravotnictví využívající ČSN ISO/IEC 27002.
Strana: A
1. 2. 3. 4. 5.
Arch: 10
Norma ČSN ISO/IEC 27003 obsahuje doporučení pro ustanovení a implementaci systému řízení bezpečnosti informací (ISMS) v souladu s požadavky normy ČSN ISO/IEC 27001. Norma je použitelná pro všechny typy organizací, které zavádějí ISMS. Norma vysvětluje proces návrhu a implementace ISMS pomocí popisu zahájení, definování a plánování projektu implementace ISMS. Výsledkem tohoto procesu je finální plán implementace projektu ISMS. Na základě tohoto plánu lze v organizaci realizovat projekt implementace ISMS. Norma popisuje proces plánování implementace ISMS v pěti etapách:
informací zahrnuje procesy rozvoje metrik a měření, provádění měření, analýzu dat a hlášení výsledků měření a dále proces vyhodnocení a zlepšování programu měření bezpečnosti informací. V příloze normy jsou pak uvedeny příklady konceptů měření pro určitá opatření nebo procesy ISMS [12].
Norma ČSN ISO/IEC 20000 řeší systém managementu služeb informačních technologií procesním přístupem. Tento přístup je základní nutností u všech organizací, které mají systém zaveden a následně certifikován. Mezi základní požadavky patří i neustálé zlepšování kvality, zvyšování efektivity a snížení nákladů u procesů informačních technologií. Pomocí této normy může organizace vhodně identifikovat a uspořádat všechny činnosti a procesy v organizaci, stanovit jasné pravomoci a odpovědnosti. ČSN ISO/IEC 20000 popisuje integrovanou sadu procesů řízení pro poskytování služeb informačních technologií a obsahově se řídí ustanoveními Information Technology Infrastructure Library (ITIL1). Poslední verze normy ČSN ISO/IEC 20000 část 1 byla vydaná v dubnu 2011 [16, 17].
ČSN ISO/IEC TR 13335 - Informační technologie - Management služeb (Část 1 – 4 v češtině, část 5 je pouze v angličtině).
Norma ČSN ISO/IEC TR 13335 je rozdělena do čtyř částí. První část řeší pojetí a modely bezpečnosti informačních technologií, druhá část řízení a plánování bezpečnosti informačních technologií. Třetí část normy obsahuje techniky pro řízení bezpečnosti informačních technologií a čtvrtá část řeší výběr ochranných opatření. 1
ITIL - jedná se o soubor (knihovnu) konceptů a postupů, které umožňují lépe plánovat, využívat a zkvalitňovat využití informačních technologií a to jak ze strany dodavatelů služeb informačních technologií, tak i z pohledu zákazníků. Od roku 2007 je platná verze 3 (označovaná jako ITIL V3).
20
ČSN ISO/IEC TR 13335-2 - Řízení a plánování bezpečnosti informačních technologií. Norma v této části popisuje řídící a plánovací aspekty. Tato část má význam pro manažery s odpovědnostmi souvisejícími se systémy informačních technologií organizace. Jedná se především o manažery informačních technologií, kteří jsou odpovědni za dohled nad návrhem, implementací, testováním, pořízením nebo provozováním systémů informačních technologií nebo manažery, kteří jsou odpovědni za činnosti, které využívají podstatným způsobem systémy informačních technologií. ČSN ISO/IEC TR 13335-3 - Techniky pro řízení bezpečnosti informačních technologií. Norma v této části popisuje bezpečnostní techniky vhodné pro použití pracovníky, kteří jsou zapojeni do manažerských činností v průběhu životního cyklu projektu, jako je plánování, návrh, implementace, testování, získání nebo provozování. ČSN ISO/IEC TR 13335-4 - Výběr ochranných opatření. Norma v této části poskytuje směrnice pro výběr ochranných opatření s ohledem na potřeby činnosti organizace a problémy bezpečnosti. Dále pak uvádí, jakým způsobem může být tento výběr podporován použitím základních modelů a kontrol. Popisuje proces výběru ochranných opatření podle bezpečnostních rizik, problémů a specifického prostředí organizace. Ukazuje, jak dosáhnout odpovídající ochrany a jak může být tento proces podporován aplikací základní úrovně bezpečnosti. ISO/IEC TR 13335-5 Information technology -- Guidelines for the management of IT Security -- Part 5: Management guidance on network security (Informační technologie - Směrnice pro řízení bezpečnosti IT Část 5: Ochranná opatření pro externí spojení) - jako ČSN zatím nevyšla.
ČSN ISO/IEC 15408-2 - Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT - Část 2: Bezpečnostní funkční komponenty.
21
Strana: A
ČSN ISO/IEC 20000-1 Informační technologie - Management služeb – část 1: Specifikace. ČSN ISO/IEC 20000-2 Informační technologie - Management služeb – část 2: Soubor postupů.
ČSN ISO/IEC TR 13335-1 - Pojetí a modely bezpečnosti informačních technologií. Norma v této části poskytuje přehled základních pojetí a modelů, použitých k popisu řízení bezpečnosti informačních technologií. Tento materiál je vhodný pro manažery odpovědné za bezpečnost informačních technologií a pro ty, kdo jsou odpovědní za bezpečnost v organizaci.
Arch: 11
27002. Tato norma specifikuje soubor podrobných kontrol pro řízení bezpečnosti zdravotnických informací a poskytuje směrnice pro prověřené postupy v oblasti bezpečnosti zdravotnických informací. Zavedením této normy budou zdravotnické organizace a ostatní správci zdravotnických informací schopni zajistit nezbytnou minimální úroveň zabezpečení, která odpovídá poměrům v organizaci a zachová důvěrnost, integritu a dostupnost osobních zdravotních informací [15].
Norma ISO 22301 je první mezinárodní standard pro certifikaci systémů řízení kontinuity činnosti. Norma specifikuje požadavky pro plánování, ustavení, zavedení, provozování, monitorování, udržování a trvalé zlepšování dokumentovaného systému připravenosti na mimořádné události. Norma má pomoci organizacím chránit, připravit se a reagovat na neočekávané události. Je první normou, která byla připravena v souladu s doporučením ISO/Guide 83 (jedná se o nový obsahový formát norem). Tato norma dnem 1. 11. 2012 nahradila normu BS 25999-2.
1.3. Kybernetická bezpečnost v České republice Na pražském summitu NATO konaném v roce 2002 se poprvé v Evropě oficiálně veřejně mluvilo o počítačové (kybernetické) bezpečnosti. Na základě vzrůstajícího nebezpečí (útoky na estonskou vládu v roce 2007) byl v lednu 2008 Severoatlantickou aliancí vydán dokument „Cyber Defense Policy“ (dokument objasňuje politické a provozní mechanismy reakce NATO na kybernetické útoky). Na summitu NATO v Lisabonu členské státy přijaly „Strategic Concept“, který posiluje a modernizuje teritoriální obranu včetně centralizované kybernetické ochrany. V březnu 2011 byla ministry obrany členských států NATO schválena „Koncepce kybernetické obrany NATO“ a v červnu 2011 pak „Politika kybernetické obrany NATO“ spolu s „Akčním plánem pro implementaci jednotlivých opatření“. Politika kybernetické obrany NATO mimo jiné stanovuje základní principy k dosažení koordinovaného přístupu k zajištění kybernetické obrany (prevence a odolnost, zamezení duplicitám, sdílení
22
V České republice (ČR) mělo (až do roku 2007) řešení problematiky kybernetické (informační) bezpečnosti ve své kompetenci Ministerstvo informatiky. To bylo v roce 2007 zrušeno a část ministerstva zabývající se kybernetickou bezpečností se sloučila s Ministerstvem vnitra. Ministerstvo vnitra svoji úlohu gestora kybernetické bezpečnosti v ČR nezvládalo podle závazků, a proto byl gestorem problematiky kybernetické bezpečnosti v ČR v roce 2011 ustanoven Národní bezpečnostní úřad (konkrétně jeho součást Národní centrum kybernetické bezpečnosti). Je potřeba ještě zmínit několik dokumentů, které vedly až ke vzniku Národního centra kybernetické bezpečnosti v ČR jako součásti Národního bezpečnostního úřadu. Vláda České republiky dne 19. října 2005 schválila usnesení č. 1340 o „Národní strategii informační bezpečnosti České republiky“ a o zřízení Výboru pro informační bezpečnost České republiky. „Národní strategie informační bezpečnosti České republiky“ stanovila úkoly v oblasti vytváření důvěryhodných informačních a komunikačních systémů v podmínkách České republiky. Na tento dokument navazuje Akční plán realizace opatření Národní strategie informační bezpečnosti České republiky a návrh nařízení vlády k realizaci úkolů stanovených Národní strategií informační bezpečnosti České republiky ze strany orgánů a organizací veřejné správy a subjektů kritické infrastruktury. Tento
dokument definoval konkrétní úkoly, které měly směřovat k zajištění informační bezpečnosti v České republice [45]. Vláda České republiky dne 15. března 2010 schválila usnesení č. 205 o řešení problematiky kybernetické bezpečnosti. V tomto usnesení schválila řešení problematiky kybernetické bezpečnosti České republiky a ustanovila Ministerstvo vnitra České republiky gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast [41].
23
Strana: A
ISO 22301 - Societal security - Business continuity management systems - Requirements.
a bezpečnost informací). Z těchto dokumentů vyplývá, že pro systémy NATO bude vytvořen centralizovaný systém jejich ochrany. Pro zabezpečení kybernetické obrany má NATO vypracované i další koncepční i provozní dokumenty (např. NATO CIRC Concept of Operations, NATO Computer Incident Response Capability, Handbook of NCIRC).
Arch: 12
Norma ČSN ISO/IEC 15408-2 definuje požadovanou strukturu a obsah bezpečnostních funkčních komponent pro účely hodnocení bezpečnosti. Bezpečnostní funkční komponenty vyjadřují bezpečnostní požadavky, jejichž cílem je čelit hrozbám v předpokládaném provozním prostředí a pokrýt jakékoliv identifikované organizační bezpečnostní politiky a předpoklady. Bezpečnostní funkční komponenty jsou základem pro bezpečnostní funkční požadavky. Tato norma poskytuje normalizovanou metodu k pochopení a využití bezpečnostních požadavků.
Dne 24. května 2010 Vláda České republiky přijala usnesení č. 380. V tomto usnesení zřídila „Meziresortní koordinační radu pro oblast kybernetické bezpečnosti“. Koordinační rada je nástrojem pro zajištění gesční a koordinační role Ministerstva vnitra v oblasti zajišťování kybernetické bezpečnosti České republiky [42].
Dne 19. října 2011 Vláda České republiky přijala usnesení č. 781, jímž ustavila Národní bezpečnostní úřad gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Důvodem změny
2 Sdružení CZ.NIC je zájmové sdružení právnických osob sdružující významné právnické osoby působící v ČR v oblasti služeb elektronických komunikací a zabývá se počítačovou bezpečností.
24
Ministerstvo obrany dne 20. dubna 2012 jako první ministerstvo v ČR schválilo dokument „Koncepce kybernetické obrany rezortu Ministerstva obrany“. Tato koncepce obsahuje návrh řešení kybernetické obrany rezortu MO (Ministerstva obrany). Koncepce například definuje kybernetickou obranu jako „souhrn bezpečnostních opatření, která brání inteligentním protivníkům dosahovat pomocí kybernetických útoků cílů, které nejsou v souladu se zájmy ČR.“ [42, s. 10]. Pro zásadní určení priorit kybernetické obrany je potřeba podle tohoto dokumentu vydefinovat kritické komunikační a informační infrastruktury rezortu MO. Hlavním úkolem kybernetické obrany před kybernetickými hrozbami je ochrana 3 http://www.govcert.cz/cs/
25
Strana: A
Dne 20. července 2011 Vláda České republiky přijala usnesení č. 564, jímž schválila „Strategii pro oblast kybernetické bezpečnosti České republiky na období 2011 – 2015“ a „Akční plán opatření ke Strategii pro oblast kybernetické bezpečnosti České republiky na období 2011 – 2015“. Strategie navazuje na „Bezpečnostní strategii České republiky“ a definuje záměry České republiky v oblasti kybernetické bezpečnosti. Za cíl si stanovila především ochranu před hrozbami, kterým jsou informační a komunikační systémy vystaveny, a snížení potenciálních škod způsobených v případě útoků na tyto informační a komunikační systémy. Současně se strategií byl přijat také akční plán, který je rozčleněn do jednotlivých oblastí. Každá oblast obsahuje úkoly k naplňování jednotlivých strategických cílů strategie do projektů a úkolů orgánů veřejné správy, které jsou věcně v jejich gesci.
Prvním úkolem NBÚ bylo připravit zákon o kybernetické bezpečnosti, který by měl být přijat na konci roku 2013. Celou akci Národní bezpečnostní úřad začal vydáním „Návrhu věcného záměru zákona o kybernetické bezpečnosti“, ke kterému se měla možnost vyjádřit i široká veřejnost. Návrh věcného záměru zákona o kybernetické bezpečnosti byl volně ke stažení na internetových stránkách NBÚ a byl rozeslán do meziresortního připomínkového řízení. Dne 30. května 2012 Vláda České republiky schválila návrh věcného záměru zákona o kybernetické bezpečnosti. Práce na paragrafovém znění zákona by měly probíhat do poloviny roku 2013 [45].
Arch: 13
Dne 9. prosince 2010 podepsalo Ministerstvo vnitra České republiky se sdružením CZ.NIC2 „Memorandum o Computer Security Incident Response Team České republiky“, kterým byl zřízen Národní CSIRT (Computer Security Incident Response Team). Národní CSIRT má plnit roli Point of Contact (PoC) pro oblast informačních technologií a má se podílet na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných na území České republiky do doby, než bude zřízen Vládní CSIRT (předpoklad vzniku v roce 2015). Náklady s provozem Národního CSIRT neslo sdružení CZ.NIC a Ministerstvo vnitra se na financování přímo nepodílelo [34].
gestora bylo neplnění úkolů kladených na dosavadního gestora (Ministerstvo vnitra). Příčinou bylo velké finanční zatížení ministerstva a neschopnost obsadit místa vyškoleným a zkušeným personálem [40]. Na základě přijatého usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB), jako součást Národního bezpečnostního úřadu, se sídlem v Brně. Úlohou centra je koordinovat spolupráci na národní i mezinárodní úrovni při předcházení kybernetickým útokům. Centrum má napomáhat při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům. Hlavní oblastí činnosti tohoto centra3 je provozovat Vládní CERT České republiky a připravovat bezpečnostní standardy pro jednotlivé kategorie organizací v ČR. V neposlední řadě se podílet na osvětě a podpoře vzdělávání v oblasti kybernetické bezpečnosti a provádět výzkum a vývoj v oblasti kybernetické bezpečnosti [2].
2. Co je kybernetický útok
Protože kybernetický prostor nezná hranic a není tedy pouze otázkou teritoriální, je nutné kybernetické útoky řešit z pohledu mezinárodního společenství [45]. Kybernetický terorismus je chápán jako prostředek pro dosažení cílů pomocí počítače a počítačových systémů, kterými je prováděn útok a tento útok vyúsťuje v podobě způsobení ztráty na straně nebojových cílů, tj. musí se odrazit v kybernetickém násilí proti jedinci nebo společnosti. Lze ho také chápat jako nezákonný útok nebo nebezpečí útoku proti počítačům, počítačovým sítím a informacím v nich uložených. Kybernetický zločin je oproti tomu chápán jako prostředek k získání přístupu k datům, které je možné pozměnit či zcizit. Podmínkou pro kybernetický terorismus je úspěšné provedení útoku, při kterém je zaznamenána ztráta na straně cílů [48]. Kybernetický útok je činnost, při které je záměrem útočníka získat, modifikovat nebo zničit data (informace), negativně ovlivnit nebo převzít kontrolu nad prvky infrastruktury systému kybernetického prostoru. Kybernetické útoky se stávají stale častějšími a organizovanějšími. Odstraňování jejich následků a škod je stále nákladnější. Takto způsobené škody mohou dosáhnout úrovně, která může ohrozit prosperitu, bezpečnost a stabilitu státu nebo organizace (případně jedince). Základem kybernetické obrany systémů je dohled prvků infrastruktury systémů kybernetického prostoru, management bezpečnostních incidentů, pravidelné provádění auditů, hodnocení zranitelností systémů kybernetického prostoru nebo provádění penetračních testů [44].
26
27
Strana: A
Kybernetický útok se odehrává v kybernetickém prostoru. Kybernetický prostor (Cyberspace) lze chápat jako metaforu vyjádření virtuálního (nefyzického) prostředí vytvořeného propojením počítačových systémů v síti. V kybernetickém prostoru probíhá vzájemné působení mezi subjekty stejně jako v reálném světě, ovšem bez nutnosti fyzické aktivity. Informace jsou sdíleny v reálném čase či s určitým zpožděním, lidé mohou nakupovat zboží, sdílet zkušenosti, prozkoumávat obsah, provádět výzkum, pracovat nebo si hrát [33].
Arch: 14
komunikační a informační infrastruktury rezortu MO a provozovaných systémů před kybernetickými útoky. K plnění tohoto úkolu kybernetické obrany je využíváno procesů v souladu s cyklem plánuj‐dělej‐kontroluj‐ jednej (Plan‐Do‐Check‐Act – PDCA) dle standardů ISO. Pro řešení kybernetické obrany rezortu MO má Ministerstvo obrany od roku 2010 vytvořenu Radu pro kybernetickou obranu. Rada pro kybernetickou obranu je orgánem pro řízení výstavby systému a orgánů kybernetické obrany a poradním a koordinačním orgánem ministra obrany v oblasti kybernetické obrany. Rada je složena ze zástupců složek rezortu MO. V rámci Ministerstva obrany je prvkem kybernetické bezpečnosti středisko CIRC MO. Jeho úkolem je proaktivní identifikace bezpečnostních hrozeb a incidentů, jejich analýza a následné odesílání zjištěných událostí a postupů řešení k relevantním partnerům. Středisko CIRC MO napomáhá k ochraně informací a dat, která jsou uložena v informačních systémech a k ochraně technických prostředků pro velení a řízení v rámci plnění úkolů Ministerstva obrany [26].
Jaký je dopad počítačové trestné činnosti? Souhrnné údaje o skutečném výskytu kybernetické kriminality nejsou k dispozici. Podle předních firem na internetovou bezpečnost objem a škody způsobené počítačovou kriminalitou rostou. Nové způsoby online podvodů nebo kybernetických útoků se objevují pravidelně skoro denně. Nezadržitelný pokrok v oblasti informačních technologií je obtížné předvídat, proto i techniky zločinců budou zaměstnávat v budoucnosti čím dál více osob. Počítačové útoky se v posledních letech stávají jasným nástrojem politické moci. Rozsáhlý útok na estonskou vládu v roce 2007 poukázal na nutnost obrany informačních systémů a dat na úrovni států. Národní bezpečnost se proto stává předmětem diskuzí příslušných vládních organizací. V případě kybernetické války proti státu se již nejedná o klasické hackery, ale o organizovanou skupinu osob či dokonce o malou armádu. Ta je na rozdíl od té fyzicky existující armády kompletně virtuální a její umístění může být kdekoliv na světě. A to je také hlavním rizikem. Díky tomu, na rozdíl od přesunů tanků u hranic, opravdu do poslední chvíle nemusí stát o útoku vůbec vědět. Tyto skupiny osob nejsou oficiální běžnou armádou, ale jsou to super tajné organizované skupiny osob, které často o sobě ani vůbec nevědí [21].
28
V nevědeckých filmech bývá podoba kybernetických útoků značně nadnesená, kdy jsou kybernetické útoky provedeny pouze pomocí počítačových červů a virů. Ve skutečnosti divák vidí pouze nesrozumitelné řádky počítačového kódu. Počítačový červ a vir patří do kategorie škodlivého softwaru. Zatímco se počítačový vir musí připojit k jinému programu, počítačový červ se šíří v systému sám o sobě jako zvláštní program. Existuje mnoho metod, jak se útočníci dostávají do systému, ale princip je vždy stejný. Útočník musí najít díru neboli programovací nedostatek. Jedna z velmi známých metod, která se používá při kybernetických útocích, je takzvaný „buffer overflow“. Je to vlastně přetečení vnitřní paměti uvnitř serveru. Útočník, když se mu podaří takovéto přetečení vnitřní paměti na serveru docílit, tak většinou tímto způsobem může přepsat část kódu a díky tomu se dostat do počítače. Vzhledem k tomu, že naprogramování systémů je nesmírně složité, řádově desítky až stovky tisíc řádků kódu, tak potom se tam samozřejmě nějaká chyba najde. Proto se po několika dnech, týdnech či měsících po uvedení nového operačního systému na trh objevují různé záplaty. Dnešní škodlivý kód (malware) je většinou produktem skupiny počítačových specialistů. Tato skupina může být nejrůznějšího charakteru. Známé jsou třeba skupiny vojenské. To jsou speciální informační jednotky, které používají armády proto, aby vytvářely útočný a obranný software. Útočný a obranný software je v současnosti nezbytnou součástí každé vyspělé armády, i když se o něm veřejně nemluví (například ve Spojených státech musí povolení k použití útočného softwaru dávat prezident – nebezpečnost takového softwaru se tudíž klade na úroveň atomové zbraně) [28].
29
Strana: A
Organizovaný zločin v kyberprostoru v dnešní době vytváří větší zisky s menším rizikem, že bude hacker vystopován a souzen. Ministerstva a vládní agentury na celém světě čelí stovkám či tisícům útoků každý den. Jejich bezpečnost ohrožují hackeři sponzorovaní z peněz cizích států a organizací. Orientují se přitom také na mezinárodní firmy, které často nejsou ochotny s policií či FBI v případě napadení kyberzločinci spolupracovat (důvodem je větší obava z dlouhého a náročného vyšetřování) [21].
Předmětem kybernetické bezpečnosti je proto nutnost zajistit bezpečí v kyberprostoru. Tu lze chápat jako ochranu dat před zničením, krádeží a zneužitím zločinnými hackery (státními, ale i soukromými a prioritou je také ochrana osob, jichž se tyto data týkají).
Arch: 15
Kybernetický útok je veden na řídící prvky technologie, které mohou vážně ohrozit životy lidí nebo vážně ohrozit nějakou výrobu, technologii či službu. Kybernetický útok proto lze definovat také jako útok na infrastrukturu informačních technologií za účelem způsobit poškození nebo získat citlivé či strategicky důležité informace. Nejčastěji je spojován s politicky či vojensky motivovanými útoky [47].
Některé typické útoky hackerů (jedná se v současné době o nejpoužívanější typy útoků):
Jaké mohou být typické projevy použití hackerských útoků, které ukazují na pravděpodobný útok:
nečekané zatížení procesoru, nedostupnost síťové služby, zvýšený síťový provoz, ztráta nebo modifikace dat, úbytek diskového prostoru,
30
Zdroj počítačového útoku je většinou těžké odhalit, proto je komplikované případné zacílení odvety. Se zvyšováním množství síťového propojování jednotlivých systémů se stávají aktiva systémů více a více cílem mnoha typů hrozeb. Hrozba může být cokoliv, co nějakým způsobem může vést k nežádoucí změně informací, upravit chování systému nebo ovlivnit jeho parametry [24]. Za kybernetickou hrozbu způsobenou člověkem je možné považovat úmyslnou (například průnik útočníka do systému) nebo neúmyslnou (například chybou operátora, uživatele nebo systému) potenciální schopnost člověka způsobit nežádoucí incident v kybernetickém prostoru. Úmyslné hrozby lze dále dělit na pasivní hrozby a aktivní hrozby. Pod pojmem pasivní hrozba si lze představit například monitorování provozu za účelem zjišťování obsahu předávaných informací. Při pasivní hrozbě nedochází ke změně obsahu přenášených informací. Pod pojmem aktivní hrozba lze chápat například již útok na systém. Dále Jirovský kybernetické hrozby dělí na základní, aktivační a podkladové. Základní hrozby odrážejí čtyři hlediska bezpečnosti informačního systému. Jsou to únik informace (informace je prozrazena nebo odhalena), narušení integrity (vytvoření nových dat, změny nebo vymazání stávajících dat), potlačení služby (známé například jako DDoS útoky) a nelegitimní použití (informační systém je používán neautorizovaným subjektem). Aktivační hrozby aktivují základní hrozby. Jejich význam spočívá v tom, že jejich realizace vede k bezprostřednímu vytvoření základní hrozby a následně k přímému ohrožení bezpečnostních parametrů systému. Lze je dále možné dělit na penetrační hrozby (například maškaráda, obejití řízení či narušení autorizace) a na implementační hrozby (například trojský kůň a zadní vrátka). Podkladové hrozby jsou takové hrozby, které způsobují realizaci několika základních hrozeb současně [24].
31
Strana: A
změna webových stránek, podezřelé nebo neznáme procesy, smazané/změněné/zmenšené logy, noví uživatelé v systému, cílová strana informuje, že je námi napadána, destabilizace systému.
Arch: 16
Bombing – útok založený na zahlcování služby pakety. Defacement – nahrazení konkrétních stránek jejich ideologickou či zesměšňující variantou (nejčastěji se tento útok vyskytuje jako reakce na politickou situaci v regionu nebo ve světě). DoS (Denial of Service) – tento typ útoku nepatří mezi útoky průniku do sítě, ale jde „jen“ o vyřazení sítě z provozu. Útočník úmyslně zaplaví přístupový bod sítě svým vysíláním tak, že dojde k zahlcení datového kanálu. Výsledkem je buď významné zpomalení, nebo úplné zablokování provozu sítě, která není schopna navazovat požadované spojení nebo přenášet další data. DDoS (Distributed DoS) – forma DoS útoku, který je prováděn z velkého počtu počítačů v jednom časovém úseku. MITM (Man in the Middle) – snaha útočníka odposlouchávat komunikaci mezi účastníky tak, že se stane aktivním prostředníkem. Phreaking – bezplatné využívání telefonních linek (hovory na účet někoho jiného nebo jiné telekomunikační firmy). Phishing – získávání a zneužití personálních a osobních údajů z napadeného počítače za účelem technického či osobního zneužití. Ransomware – útok při němž útočník skrze vzdálený přístup napadne počítač, zašifruje soubory nebo přímo soubory systému a následně vyžaduje za odšifrování výkupné. Spoofing – útok založený na falšování identity zdroje. Útoky na klíčové uzly Internetu. Zejména se jedná o útoky na doménové servery.
Nejčastější hrozby, které mohou ohrozit informační systém, jsou:
Obecně lze kybernetickou hrozbu chápat jako potenciální schopnost způsobit nežádoucí incident, který může mít za následek poškození systému nebo organizace a jejích aktiv. Kybernetická hrozba se může velmi rychle a nečekaně změnit v reálný kybernetický útok na systémy a způsobit jejich zničení nebo nefunkčnost (např. zničení dat a informací, jejich zpřístupnění, modifikaci, nedostupnost nebo ztrátu). K poškození aktiv systémů využívá hrozba jejich zranitelnost. Kybernetické hrozby mohou být jak náhodné (např. výmaz souboru, nesprávné směřování, různá opomenutí apod.), tak úmyslné (např. hacking systému, malware, odposlech, špionáž apod.). Kybernetické hrozby by měly být předem jednoznačně identifikovány, což je obvykle velice obtížné. Zároveň by měla být odhadnuta jejich úroveň a pravděpodobnost. Měly by být navrženy způsoby a postupy eliminace možných škod, pokud vzniknou. Při zajišťování důvěrnosti, integrity informací a dostupnosti služeb je nezbytné se orientovat na proaktivní způsob řízení rizik. Tím lze dosáhnout minimální vznik bezpečnostních incidentů. Proaktivní způsob řízení rizik znamená identifikovat potenciální hrozby a v případě jejich dopadu na ně rychle a efektivně reagovat. Pro klasifikaci a eliminaci
32
33
Strana: A
Charakter hrozby a cíl hrozby jsou dány motivací a zkušenostmi pachatele nebo útočníka. Variabilita motivací je značná (například od osobních, náboženských přes obchodní až po vojenské). Kybernetickou hrozbu je obtížné bez specifických znalostí a možností vysledovat, zadržet nebo dokonce ovládnout. Pravděpodobnost úspěšného útoku lze snížit lepší ochranou systému. Žádný informační systém ale není absolutně bezpečný. Největší hrozbou je nespokojený zaměstnanec.
Arch: 17
Selhání dodávky energie - selhání dodávky energie může způsobit problémy z hlediska integrity a následně může způsobit i další poruchy (například selhání hardware). Selhání dodávky se samozřejmě netýká jen vlastního hardwaru, ale také klimatizace, celého síťového prostředí, zálohování a podobně. Škodlivý software - škodlivý software může způsobit zneužití, modifikaci nebo ztrátu dat. V konečném důsledku může zapříčinit zničení informačního systému. Selhání hardwaru - technické poruchy, např. v síti, mohou zničit dostupnost jakékoliv informace, která je uchovávána nebo zpracovávána v této síti. Mezi nejčastější příčiny selhání hardware patří například nedostatečná údržba, nevhodné prostředí umístění hardwaru (například vlhkost, prach, výkyvy teploty). Selhání komunikačních služeb - chyby a poruchy komunikačních zařízení a služeb ohrožují dostupnost informací přenášených prostřednictvím těchto služeb.
hrozeb sehrává významnou roli prostředí a kultura organizace. Každá kybernetická hrozba má svá specifika, která o samotné hrozbě poskytují identifikační informace (například zdroj, motivace, četnost výskytu a sílu) [7].
3. Příklady kybernetických útoků
Od 19. do 20. července 2008 probíhaly útoky na gruzínské weby a oficiální webová sídla Gruzie, přičemž v době napadení Jižní Osetie byla intenzita
34
35
Strana: A
Jedním z prvních velkých útoků proti státu, který nebyl přímo ve válečném konfliktu, se stala událost z května roku 2007, kdy se Estonsko stalo obětí kyberterorismu. Byly mu totiž dálkově vypnuty internetové sítě administrativy a některých státních podniků. Jednalo se o série on-line DoS (Denial-of-Service) útoků, které vážně ohrozily celou infrastrukturu Estonska (napadeny byly hlavně bankovní a vládní organizace). Jak někteří experti tvrdí, celá akce byla nejspíše dílem ruské skupiny hackerů, jejichž motiv byl převážně politického rázu. Celá událost začala přibližně 27. dubna 2007 a trvala necelý měsíc. Byla odstrašujícím příkladem toho, jak mohou velkoplošné internetové útoky paralyzovat celý stát. Estonsko ihned vyzvalo spojence z EU a NATO, aby se důrazněji zasadili proti podobným kybernetickým útokům [37]. Co tomuto útoku předcházelo? Dne 27. dubna 2007 totiž přesunuly estonské úřady sochu „rudoarmějce“ z centra Tallinu na vojenský hřbitov. Přesunutí sovětského pomníku oslavujícího neznámého vojáka, který padl v boji proti nacistům, podnítilo nepokoje etnických Rusů žijících v Estonsku a vyústilo v blokádu estonské ambasády v Moskvě. A právě tato událost odstartovala období masivních kybernetických útoků na estonské státní webové stránky, které vážně ohrozily celou infrastrukturu Estonska. Výsledkem tohoto útoku bylo, že během jedné noci a následujícího dopoledne se povedlo hackerům narušit veškerou informační strukturu státu (veškeré bankovní transakce a služby e-govermentu).
Arch: 18
Mezi cíle kybernetických útoků patří například omezení činnosti napadeného subjektu (nepřístupnost webů, tzv. „hacktivismus“) či politický aktivismus (změna informací, dezinformace, šíření poplašných zpráv), s čímž souvisí i tzv. „perception management“ (vliv na veřejné mínění pomocí manipulovaných informací pro cílové subjekty). Tyto cíle jsou tedy odlišné od běžných cílů hackerů, crackerů či elektronických sprejerů, kteří útočí na weby zpravidla jen kvůli demonstraci svých schopností. V kybernetické válce se jedná o koordinované aktivity cíleně zaměřené na jiný stát či skupinu obyvatel.
Řízení a monitorování technologií zajišťují řídicí systémy SCADA (Supervisory Control and Data Acquisition). Jedná se o počítačový program, který umožňuje automaticky řídit výrobní procesy a pomocí síťového propojení vzdáleně ovládat některá zařízení. Současně umožňuje komunikaci člověka se strojem. Monitor počítače zobrazuje celý proces a zároveň jsou na něm ovládací prvky. Příkazy neboli informace předává systém pomocí komunikační sítě stroji, který vykonává to, co se po něm požaduje. Dnes už si ani neuvědomujeme, jak nás SCADA systémy obklopují. Kromě rozsáhlých technologických komplexů, jaké jsou v automobilkách, potravinářském průmyslu nebo jaderných elektrárnách, se tento software využívá také v dopravních prostředcích, řídí naše inteligentní domy, ale může také ovládat pouze větší kopírku. U SCADA systémů se pro přenos informací mezi řídícím počítačem a vzdálenějšími ovládanými prvky používají komunikační sítě. Mezi ně patří samozřejmě také Internet. Není tedy nemožné ovládat třeba elektrárnu až z druhé strany polokoule [28].
36
Irán K nejznámějším příkladům kybernetického útoku na SCADA systém patří napadení uskutečněné prostřednictvím červa Stuxnet. Ten pozastavil spuštění íránské jaderné elektrárny ve městě Búšehr. Útok byl veden na závod na obohacování uranu v Natanzu, kde se pro tuto jadernou elektrárnu připravuje palivo. Červ Stuxnet5 se samozřejmě šířil po celém světě a kromě šedesáti tisíc zjištěných případů v Íránu, je také znám milion případů v Číně [28]. Odborníci odhadují pracnost kódu červa Stuxnet na šedesát člověkoměsíců. Z analýzy kódu proto odborníci usuzují na jeho vznik. Někteří se domnívají, že byl připraven speciální izraelskou informační jednotkou „Unit 8200“, jiní tvrdí, že za jeho výrobou stojí NATO nebo Spojené státy. Mnoho kybernetických útoků ale nikdy nebylo publikováno [38]. Kybernetický útok cílený na přípravnu jaderného paliva v závodě na obohacování uranu v Natanzu měl přímo fyzický dopad. Červ se dostal do systému pomocí flash disku a jeho šířením se rozkolísaly mechanické vlastnosti centrifug, které se pro tuto výrobu používají. Stuxnet vyřadil několik stovek centrifug tím, že změnil jejich otáčky. Roztočil je nad povolenou hranici a poté jejich otáčky snížil tak, že se točily naopak příliš pomalu.
4
doc. Ing. Václav Jirovský, CSc. je vedoucím Ústavu bezpečnostních technologií a inženýrství, ČVUT Praha 5 Stuxnet je počítačový červ objevený v červnu 2010 běloruskou firmou VirusBlokAda. Je zajímavý tím, že to je první známý červ, který se soustředí na kontrolu průmyslových systémů. Byl naprogramován, aby útočil na systémy SCADA. Umí přeprogramovat programovatelné logické automaty a své změny skrýt.
37
Strana: A
Podobné útoky využívají nejrůznější skupiny k propagaci své ideologie. Jsou známé i útoky teroristických skupin, které pomocí defacementu (záměna obsahu webu za svou verzi) rekrutují další teroristy. Tyto webové stránky jsou například defacementem skupiny Ainab, která bojuje za nezávislost Kašmíru. Do konce minulého století se většina kybernetických útoků zaměřovala spíše na uživatele a jednalo se o klasický typ podvodů, jako je například krádež či vymazání dat z počítače.
Jirovský4 v televizní rozpravě ke kybernetickým útokům (http://www.ceskatelevize.cz/porady/10121359557-port/739kyberneticke-utoky/) řekl: „Obvykle se SCADA systémy, které pracují vzdáleně a pracují tak, že jsou připojeny přes síť internet, chrání tak, že se vytvoří v síti internet takzvaný tunel, což je virtuální privátní síť, která je šifrovaná, která může jít jenom danou cestou, která má celou řadu dalších opatření proto, aby byla bezpečná, ale samozřejmě prochází divokým prostředím internetu a tam není nikdy, nikdy nic jistého.“ [28].
Arch: 19
útoků největší. Útok podporovalo Rusko, a jedním z nástrojů byla distribuce adres gruzínských webů, které měly být napadeny (pro rusky hovořící např. stopgeorgia.ru), a poskytnutí jednoduchých nástrojů na zahlcení webu. V období od 9. do 10. srpna 2008 byla většina webů již nedostupná. Gruzie tedy žádala o pomoc jiné země, které by pomohly hostovat její servery (aby mohli prezentovat své oficiální stanovisko). Tuto žádost podpořily především Spojené státy americké, a navíc se do konfliktu zapojili i američtí hackeři, kteří začali jako odvetu napadat ruské servery. Je evidentní, že kybernetická válka je málokdy jen lokální, a konflikt se může velmi snadno a rychle rozšířit i mezi další státy. Podobným útokům lze nicméně jen těžko předejít.
Izrael Izrael čelil podle agentury RIA Novosti v souvislosti s operací v Pásmu Gazy v listopadu 2012 několika miliónům kybernetických útoků. Izraelští představitelé na začátku prosince 2012 uvedli, že bezpečnostní experti doposud odhalili a zastavili více než 44 miliónů pokusů o útok na vládní webové stránky za měsíc listopad 2012. Za částí těchto útoků stojí skupina Anonymous, která vyhlásila v reakci na izraelskou kampaň v Gaze operaci OpIzrael a vydala seznam 650 izraelských webových stránek, které se staly nebo se stanou jejím cílem.
Jižní Korea Jižní Korea vyhlásila v březnu 2011 stav pohotovosti v kyberprostoru. Webové stránky 40 vládních a dalších institucí totiž napadli hackeři. Oznámila to Korejská komunikační komise (KCC). Podle mluvčího KCC
38
39
Strana: A
šlo o útok typu DDoS (Distributed Denial of Service), kdy je na cílové servery vysláno nadměrné množství požadavků, které počítače při dané kapacitě nezvládají a odmítají přístup. Terčem útoku se staly mimo jiné stránky prezidentského úřadu, ministerstev zahraničí, obrany a sjednocení, jihokorejské rozvědky, amerických sil v zemi či jihokorejského daňového úřadu. Hackeři zaútočili i na internetové stránky sedmi velkých bank. Závažnost útoku zatím KCC neupřesnila, uvedla jen, že vláda úzce spolupracuje s internetovými bezpečnostními agenturami, aby problém vyřešila. Uživatele internetu vyzvala, aby si stáhli antivirové programy. Již v červenci 2009 zaznamenaly Jižní Korea a Spojené státy masivní útoky proti desítkám internetových stránek včetně ministerstva zahraničí, Bílého domu či Pentagonu. Jihokorejská rozvědka z těchto útoků tehdy obvinila komunistickou Severní Koreu.
Arch: 20
V průběhu roku 2012 byl objeven nový Stuxnet. W32.Flamer (jak se nazývá) je schopen získat informace z infikovaných systémů. Analýza společnosti Symantec ukazuje, že pokročilý malware byl vytvořen dobře organizovanou a financovanou skupinou. Hrozba působí nenápadně už více než dva roky a jejím cílem bylo krást dokumenty, screenshoty obrazovek počítačů uživatelů, šířit se prostřednictvím externích USB disků, vypínat bezpečnostní produkty a šířit se do dalších systémů. Hrozba pravděpodobně dokáže zneužívat již známé a záplatované zranitelnosti v systému Windows, a tím se lépe šířit po síti. Podle počátečních průzkumů se cíle této hrozby nacházely především v palestinském Západním břehu Jordánu, v Maďarsku, Íránu a Libanonu. Další cíle byly v Rusku, Rakousku, Hong Kongu a Spojených arabských emirátech [38]. USA Kybernetický útok na podzim v roce 2011 v americkém Springfieldu zničil čerpadlo v tamější síti veřejných vodovodů. Hacker přitom použil počítač s IP adresou náležící do Ruska a získal přístup do systému SCADA pro řízení zmíněného čerpadla. Vodní čerpadlo v zařízení ve Springfieldu údajně vyhořelo poté, co útočníci používali svůj přístup do systému SCADA k tomu, aby nepřetržitě čerpadlo vypínali a zapínali. I když neustálé zapínání a vypínání motoru čerpadla může způsobit jeho přehřátí, měly se tenkrát aktivovat vestavěné kontrolní mechanizmy teploty a tlaku a bezpečně čerpadlo odpojit. To se ale nestalo. Odborníci se dodnes dohadují, jak mohli mít útočníci přes Internet přístup k relé navrženému pro ochranu motoru před přetížením a spálením. V dnešní době roste počet systémů SCADA připojených k Internetu, což je činí o mnoho zranitelnějšími z externích míst. Nedávno hacker pr0f tvrdil, že se naboural do systému SCADA pro užitkovou vodu v dalším velkém americkém městě. Stačilo pouze překonat tříznakové heslo, které bylo použito pro ochranu zmíněného zařízení. V budoucnu lze očekávat mnohem více takových útoků.
4. Předpokládané cíle kybernetických útoků
Bude narůstat zatížení emailového provozu tzv. legálními spamy. Množství spamu díky lepší ochraně emailových účtů sice klesá, nicméně toto místo zaplní tzv. inzerenti, kteří budou houfně používat seznamy adres, jejichž uživatelé dali (vědomě či nevědomě) k zasílání souhlas (samozřejmě za vydatné spolupráce hackerů). Výrazně v budoucích letech vzroste také množství útoků na mobilní bankovnictví. Většina lidí v dnešní době věnuje pouze minimální nebo spíše nevěnuje žádnou pozornost zabezpečení svých chytrých telefonů. Příkladem může být napadení více jak 30.000 klientů bank a 32 různých bank z celé Evropy na podzim 2012. Největší škody prý nezvaný počítačový návštěvník napáchal v Německu, Itálii, Španělsku a Holandsku. Jak k tomu tenkrát došlo? Jednalo se o velice sofistikovaný útok. Hackerům se podařilo kromě samotných počítačů infikovat také chytré telefony uživatelů. Tím získali naprostou kontrolu nad jejich bankovními účty. Jednalo se o virus Eurograbber. Ve chvíli, kdy se virus zabydlel bez
40
41
Strana: A
Mezi hlavní rizika spojená s nečinností při zabezpečení kybernetické bezpečnosti se řadí nárůst kybernetických útoků, výrazné materiální škody, ohrožení kritické infrastruktury státu a v neposlední řadě i neplnění mezinárodních závazků států včetně závazků plynoucích ze smluv o ochraně investic. Velice vážně je potřeba brát útoky na systémy rozvodných sítí. Jedná se o systémy, na nichž závisí velké množství lidí v každodenním životě.
Arch: 21
Kybernetičtí útočníci se zaměřují hlavně na politicky motivované útoky, demonstraci kybernetické války a vysoce cílené útoky na firmy fungující v určitém oboru. Budou tak pokračovat trendy z předcházejících let a počty útoků budou mít stoupající tendenci. Hlavním cílem kybernetických útočníků bude testování možností těchto útoků. Až dosud vlády vyspělých zemí chránily především své vládní a vojenské počítačové sítě. V současné době by si měly uvědomit i míru škod, které mohou způsobit akce proti další kritické infrastruktuře, zejména rozvodným sítím a bankovnictví. Jedná se o typy útoků, které způsobí problémy a škodu zejména v každodenním životě všech uživatelů, tedy státu, právnických osob, ale i jednotlivců.
Hackeři se dále více zaměří na vestavěné systémy (v automobilech, lékařských zařízeních, GPS) a na virtuální měny, tedy na on-line peněženky, kreditní karty a prováděné internetové obchody. Tyto transakce a přístup k příslušným účtům často nebývají dostatečně chráněny, proto pro útočníky může být výnosnější získat virtuální měnu a až tuto dále směnit za peníze či zboží. K dalším trendům bude patřit využívání podvržených digitálních certifikátů. Více útoků bude propojeno s politickými aktivitami. Více než dříve budou tyto akce mířit proti politikům, soudům, policejním složkám, ale i vrcholovým manažerům. Dá se předpokládat, že také dojde k prvním ukázkovým akcím v oblasti kybernetické války. Jedním z příkladů je operace OpIzrael v listopadu 2012. Izrael čelil podle agentury RIA Novosti v souvislosti s operací v Pásmu Gazy v listopadu 2012 více než 44 miliónům kybernetických útoků (podrobněji popsáno na konci předcházející kapitoly).
42
Strana: A
Podle informací ze serveru www.computerworld.com a společnosti Symantec jsou chytré telefony s operačním systémem Android napadány virem. „Android.Counterclank“ je trojský kůň, který po instalaci do telefonu s Androidem sbírá data a informace z přístroje (včetně záložek a kontaktů). Zároveň je také schopen modifikovat domovskou stránku uživatele. Vir je obsažen v celkem 13 aplikacích nabízených třemi dodavateli na Android marketu. Nejde však o nějaké podstrčené aplikace, ale jsou to skutečné a původní aplikace s přidruženým virem. Podle informací společnosti Symantec je odhadem již více než 5 milionů uživatelů zasažených tímto virem [30].
Připomeňme si také útoky na české parlamentní strany. Aktivistům Anonymous se v sobotu 28. dubna 2012 před jedenáctou hodinou dopoledne podařilo zablokovat internetové stránky parlamentních stran TOP 09, ODS, ČSSD a KSČM. Na následujícím obrázku je zobrazen obsah internetové stránky parlamentní strany TOP 09 v době incidentu. Internetové stránky ostatních parlamentních stran nebyly vůbec přístupné. Internetová stránka parlamentní strany ČSSD byla jako první funkční od 12:38 hodin. Internetové stránky ostatních parlamentních stran byly ještě několik hodin nedostupné.
Arch: 22
vědomí uživatele v počítači, sledoval probíhající komunikaci na síti. Přesněji řečeno vyčkával, až uživatel bude provádět nějakou platbu na internetu. Tím získal jeho telefonní číslo. Na mobil pak zaslal podvodnou zprávu, která se tvářila jako zpráva z banky. Ta uživateli tvrdila, že musí aktualizovat systém v mobilním telefonu kvůli přístupu k internetovému bankovnictví. Ve chvíli, kdy ji uživatel potvrdil, nainstaloval si škodlivý kód i do mobilního telefonu, čímž jej zcela zpřístupnil útočníkovi. Právě chytré mobilní telefony s operačním systémem umožnily hackerům provádět platby na internetu. Jak se zdá, éra chytrých telefonů s sebou přináší i stinnou stránku. Hloupý telefon vám nikdo totiž nezaviruje [20].
Obrázek 1 - Internetová stránka parlamentní strany TOP 09 v době incidentu (Zdroj: ww.top09.cz [51]). Jiným příkladem je dále popsaný útok na českou politickou stranu. Na internetu se v dubnu 2012 opět objevil seznam členů ODS, který tentokrát obsahoval navíc rodná čísla, čísla mobilních telefonů, e-mailové adresy, údaje o členství, přihlašovací údaje a hesla. K úniku dat se přihlásilo sdružení pod názvy Anonymous a #TrollSec. K tomuto kroku je prý vedl
nezájem politiků o názor občanů České republiky. Stránky ODS se staly terčem hackerského útoku už v únoru 2012. Hackeři tenkrát podrobný seznam více jak 30.000 členů strany s osobními údaji (funkce ve straně, adresy bydliště či emailové kontakty) rozeslali redakcím médií a připojili k němu výzvu českým politikům, aby odmítli mezinárodní smlouvu proti padělání ACTA6 (Anti-Counterfeiting Trade Agreement neboli Obchodní dohoda proti padělatelství) je kontroverzní vícestranná mezinárodní obchodní dohoda s trestněprávními prvky, jejímž účelem je vytvoření mezinárodního systému pro vynucování práv v oblasti duševního 6 ACTA ‐ Anti‐Counterfeiting Trade Agreement
43
vlastnictví. Cílem ACTA mělo být vytvoření nového mezinárodního rámce, k němuž se mohou země přidat).
V následujících letech se očekává prudký nárůst počtu infikovaných zařízení tzv. ransomware, který nejprve zašifruje některé soubory na disku uživatele a následně za klíč k nim vyžaduje vysoké „výkupné“. Ve světě se již vyskytly i případy, kdy za klíč bylo požadováno několik tisíc dolarů s výhružkou, že v případě nezaplacení budou zašifrovaná data zaslána nezašifrovaná policii. Pro běžného uživatele je tento typ malware jen těžko odhalitelný. Dá se proto předpokládat alarmující nárůst tohoto trendu v oblasti kyberkriminality [36].
44
45
Strana: A
Hackeři neustále zdokonalují svoje techniky, pomocí kterých se snaží propašovat škodlivé programy do cizích počítačů. Zatímco v minulých letech se snažili nalákat uživatele na cenové výprodeje, v současnosti jsou v kurzu dárkové certifikáty. Nedávno se totiž objevily spamové e-maily s podvodnými dárkovými certifikáty. V příloze tohoto e-mailu je totiž přiložen soubor s ikonou Adobe PDF a koncovkou EXE. Této maličkosti si málokterý uživatel všimne. Podvržený soubor tedy vypadá na první pohled jako PDF soubor. Ve skutečnosti se ale jedná o spustitelný soubor. Ve chvíli, kdy jej uživatel otevře, nainstaluje si do svého počítače trojského koně.
Dnešní útočník se nejdříve bude snažit získat data z firemního počítače přímo. Pokud ho má firma správně zabezpečený, tak to nebude mít zas tak jednoduché. Pokusí se nabourat do systému společnosti a probíjet se přes technologické bezpečnostní prvky, které jsou postavené v několika řadách za sebou. Když se mu to nepodaří, tak na to půjde druhou cestou. Což je dnes z pohledu útočníka někdy jednoduší, když chce získat citlivá data nebo informace z firemního počítače. Říká se tomu „zahrát si hru“ a získat přístup přímo přes člověka uvnitř organizace. Proto je důležité myslet při ochraně firemních citlivých dat také na své zaměstnance.
Arch: 23
Počítačoví piráti neustále zdokonalují své triky, které jim pomáhají propašovat nejrůznější škodlivé kódy do cizích počítačů. Při tomto útoku využívají technik sociálního inženýrství. Adresátovi zašlou elektronickou fakturu k uhrazení částky 700 USD (přesněji 699,99 USD) za pohlednice. Počítají s tím, že takto vysokou sumu nebude chtít jejich oběť zaplatit a naopak se bude snažit objednávku stornovat. V emailu je uvedeno několik odkazů. Jeden z nich je odkaz ke zrušení objednávky. Jakmile uživatel na odkaz klikne, aktivuje se Blackhole Exploit kit, který se pokusí stáhnout malware, který dokáže zneužít chyby v produktech Oracle Java, Adobe Flash Player, Adobe Reader a napadnout počítač. Pokud se nepodaří zneužít počítač pomocí Blackhole Exploit kit, výše uvedená stránka přímo navede na stažení aktualizované verze prohlížeče, který stáhne do počítače malware. Malware totiž zaznamenává stisknuté klávesy a odesílá je útočníkovi. Ten se pak díky tomu může snadno dostat do internetového bankovnictví nebo emailu, který je na napadeném počítači používán [35].
Bezpečnostní firma McAfee upozorňuje na svých internetových stránkách na rostoucí trendy v roce 2013. Podle firmy budou hackeři škodit nejen kvůli získání informací a finančním krádežím, ale i pro potěšení. Kvůli rozmachu mobilních technologií upozorňuje na bezpečnostní rizika v několika směrech, předpokládají nárůst útoků právě na mobilní platební aplikace. Dojde také ke zvýšené frekvenci útoků na průmyslové firmy. Podvržení falešných digitálních certifikátů. Hackeři se pravděpodobně zaměří na systémy internetových peněz, které nejsou zatím dostatečně zabezpečeny a na vestavěný hardware v autech, garážích, routerech, v kamerách a televizích. A v poslední řadě dojde k migraci trojských koňů (například Zeus a SpyEye) z osobních počítačů do mobilních zařízení [49].
5. Scénář kybernetického útoku
Kybernetický útok musí být zákonitě skrytý nebo alespoň do poslední chvíle skrývaný. Opravdový cíl nesmí být odhalen dříve, než se vytvoří dostatečné předpolí pro jeho efektivní zasažení. Zde je samozřejmě vidět paralela s běžnou válečnou taktikou a hacker, i když útočí jinými zbraněmi, je v tomto smyslu stejným bojovníkem jako voják v poli. Principy boje se tak podobají klasické konvenční válce. Proto se lze v budoucích konfliktech připravit na to, že vedle klasického válečného konfliktu bude docházet i k útokům na významné komunikační a informační body daného státu. Jako příklad lze uvést útoky skupiny Anonymous ze začátku dubna 2012 na stovky čínských oficiálních stránek. Podařilo se jim změnit jejich obsah. Hackeři je napadali na protest proti tomu, že Peking podle nich prosazuje cenzuru Internetu. V rámci kybernetického boje bude docházet k útokům do oblasti e-govermentu, tj. na aplikace propojující stát s občany. Útoky budou maskované a budou přicházet přes počítače běžných uživatelů v napadeném státě. Napadeny a vyřazeny budou veškeré aplikace ministerstev, dojde k průnikům do jednotlivých řídicích informačních systémů ministerstev. Další skupina profesionálních hackerů bude útočit taktikou souběžného útoku na všechny banky státu, včetně banky národní. Tím dojde k úplné-
46
47
Strana: A
Pokud se začne mluvit o cílech kybernetického útoku, většina lidí se domnívá, že se to jejich osoby vůbec netýká, a že je to problém státu, respektive institucí mající vztah k obraně či bezpečnosti státu. Takovéto myšlení je však v rámci kybernetických hrozeb vážným rizikem.
Arch: 24
Kyberterorismus jako jedna z podskupin terorismu představuje v současné době jednu z nejaktuálnějších forem globálních hrozeb, proto jej lze právem považovat za fenomén tohoto tisíciletí. Vystupuje stále více do popředí oproti klasickým konfliktům. Exponenciální nárůst jeho hrozby je stále aktuálnější, neboť rozšiřující se globálnost tohoto nebezpečí potvrzuje skutečnost, že podstatná část světa již byla zasažena nebo je ohrožena kyberterorismem, tedy nějakou formou kybernetického útoku nebo řadou kybernetických útoků. Dalším závažným důsledkem této skutečnosti je stále náročnější prevence kyberterorismu, neboť její účinnost je snižována neustálým nárůstem nových forem kybernetických útoků [32].
Nejtypičtější scénář kybernetického útoku může zjednodušeně vypadat následovně. Nejdříve si útočník vybere cíl. Nejčastěji z veřejně dostupných zdrojů a s pomocí metody sociálního inženýrství zjišťuje podrobné informace o cíli. Pak následuje sniffing7 (odposlech datové komunikace) a skenování cíle. Zjištěné informace útočník analyzuje a na základě provedené analýzy zjišťuje úroveň zabezpečení. Následně dochází k získání administrátorskému přístupu a administrátorských práv v napadeném systému. Již nic nebrání nahrát na cíl malware. Správný hacker ještě zamete po sobě stopy o jakémkoliv vstupu do systému. Teď již může dojít k realizaci samotného kybernetického útoku. Jak reaguje Evropská unie a NATO na takovéto kybernetické útoky či scénáře? Co proti kybernetickým útokům Evropská unie a NATO podniká a co lze očekávat? Jak testuje svoji odolnost proti kybernetickým útokům? Jak se chrání a jaká je obrana proti těmto útokům?
7 Sniffing je technika, při které dochází k ukládání a následnému čtení TCP paketů. Používá se zejména při diagnostice sítě, zjištění používaných služeb a protokolů a odposlechu datové komunikace.
48
Evropská unie přijala v roce 2012 obecnou vizi, jak posílit bezpečnost v kybernetickém světě. Proto v současné době připravuje Evropská služba pro vnější činnost (ESVČ) celoevropskou strategii kybernetické bezpečnosti. Komplexní přístup ke kybernetické bezpečnosti bude řešen za účasti veřejných orgánů, ale i soukromého sektoru, který vlastní a provozuje převážnou většinu kybernetické infrastruktury. Tato strategie se bude zabývat řadou politických oblastí, na něž mohou mít rizika a hrozby kybernetické bezpečnosti nepříznivý vliv. Bude zahrnovat opatření týkající se mimo jiné ochrany infrastruktury a kyberkriminality, jakož i vnějších aspektů, jako jsou úloha kyberprostoru v demokratických hnutích a budování kapacit ve třetích zemích. V březnu 2012 Komise navrhla, aby bylo v roce 2013 vytvořeno Evropské centrum pro boj proti kyberkriminalitě (EC3), jež pomůže chránit evropské občany a podniky před narůstajícími hrozbami kyberkriminality. Evropské centrum pro boj proti kyberkriminalitě se bude zabývat nezákonnou činností na internetu prováděnou organizovanými zločineckými skupinami, zejména útoky zaměřenými na elektronické bankovnictví a jiné finanční aktivity na internetu. Centrum se bude rovněž snažit nalézt způsoby, jak lépe chránit profily na sociálních sítích před elektronickými útoky, a bude zajišťovat informace a analýzy pro orgány jednotlivých států zodpovědných za bezpečnost kybernetického prostoru. Tyto orgány tak budou moci pomáhat v boji proti zneužívání totožnosti na internetu, pohlavnímu zneužívání a vykořisťování dětí a proti kybernetickým útokům poškozujícím evropskou kritickou infrastrukturu a informační systémy.
49
Strana: A
Dalším úkolem kyberválečníků bude zasadit poslední drtivý úder telekomunikační síti státu (mobilní operátoři, zprostředkovatelé internetových služeb, apod.) a uzlovým bodům jednotlivých existujících sítí. Tím budou narušeny komunikační, bezpečnostní a podpůrné role v kyberprostoru státu. Možnou variantou kybernetického útoku bude pouhé narušení měnového a finančního systému státu spojeného s dezinformační kampaní.
Evropská unie V září 2010 předložila Evropská komise návrh směrnice pro potírání nových typů kyberkriminality, například rozsáhlých kybernetických útoků. Návrh stanoví konkrétní opatření včetně kriminalizace vytváření a prodeje škodlivého softwaru, jakož i zlepšování evropské policejní spolupráce. Cílem návrhu bylo posílit schopnost evropské reakce na případy kybernetického narušení a zavést nové typy přitěžujících okolností a vyšší trestní sankce. Je tak možné účinněji bojovat s rostoucími hrozbami a se zvyšujícím se počtem velkoplošných útoků na informační systémy.
Arch: 25
mu zastavení obchodů a zablokování bankovních služeb státu, v rámci dalších aktivit bude pokračovat rozsáhlý kybernetický útok na silová ministerstva a zdravotnictví se snahou vyřadit kompletně jejich informační systémy (policejní registry, řídicí informační systémy, zdravotnické zabezpečení apod.). Dojde k částečnému narušení informační role v kyberprostoru státu, k odstavení zdrojů elektrické energie, (např. imitací havárie na jaderném bloku, vzdáleným přebráním správy zařízení, apod.). Narušení sítě integrovaného záchranného systému vyvolá všeobecnou paniku souběžně s narušením hromadných sdělovacích prostředků.
NATO Pokud jde o nárůst využití kyberprostoru a s tím související nárůst kybernetických útoků, nezůstává Severoatlantická aliance stranou. Jedním z prvních případů, kdy byly kybernetickým útokům vystaveny počítačové sítě NATO, byla kosovská krize na jaře 1999. Během níž hackeři zaútočili na webové stránky a také přímo na počítače NATO. Lze také připomenout nejznámější útok na jaře 2007 na celý členský stát NATO - Estonsko. Tyto útoky nejspíše pocházely z Ruska, stejně jako v případě útoku na Gruzii v létě 2008, při němž byly napadeny stránky vládních institucí i médií, či naposledy začátkem roku 2009 v Kyrgyzstánu, v němž hackeři ochromili skoro celou síť. Reakcí na tyto události bylo v roce 2008 vytvoření Centra výzkumu kybernetických hrozeb v estonském Talinu (Cooperative Cyber Defence - Centre of Excellence – CCD-COE). Přes třicet počítačových expertů tohoto centra zkoumá nekonečné toky informací, hledá potenciální hrozby a zjišťuje, jak se jim bránit. Také poskytují nutné školení ostatním členským zemím NATO. Druhým orgánem, který vzniká
Pro ověření připravenosti jednotlivých států či organizací na zvládání kybernetických útoků se konají cvičení k ověření zabezpečení komunikačních a informačních systémů, kritické informační infrastruktury a k ověření připravenosti na zvládání kybernetických útoků. Cvičení se provádějí jak na vojenské úrovni (členské země NATO) tak i na úrovni Evropské unie většinou i v součinnosti s ostatními zeměmi (například USA). V posledních letech se tato cvičení uskutečňují skoro pravidelně a to nejméně jednou ročně. Nebudu zmiňovat všechna cvičení, zmínil bych se pouze o nejvýznamnějších cvičeních EU a NATO v posledních letech. Cvičení EU pod názvem „Cyber Europe 2010“. Evropští odborníci na kybernetickou bezpečnost testovali během tohoto cvičení své reakce na první cvičnou simulaci celoevropského počítačového útoku v historii. Během cvičení Cyber Europe 2010 se snažili reagovat na simulované pokusy hackerů o vyřazení z provozu nejdůležitějších on-line služeb v několika členských státech EU, přičemž nejhorším namodelovaným případem bylo vyřazení z provozu všech hlavních přeshraničních spojení v Evropě. Podle scénáře cvičení měly během jednoho dne všechny země EU čím dál větší problémy s přístupem k on-line službám. Všechny členské státy musely spolupracovat, společně na fiktivní krizi reagovat a snažit se co nejrychleji obnovit spojení se zbytkem světa. Smyslem testu kybernetické bezpečnosti bylo pomoci členským státům lépe pochopit řešení počítačových incidentů a prověřit komunikační spojení a postupy v případě skutečného velkého počítačového incidentu [5].
8 Europol je organizace patřící pod Evropskou unii, která se zabývá prevencí a potíráním organizované trestné činnosti. Snaží se zefektivnit spolupráci jednotlivých členských zemí, a to zejména svojí informační i vzdělávací činností a policejním a soudním poradenstvím.
Cvičení EU a USA pod názvem „Cyber Atlantic 2011“. Jednalo se o první společné cvičení EU a USA v oblasti počítačové bezpečnosti. Ve čtvrtek 3. 11. 2011 se v Bruselu konalo první společné cvičení Evropské unie a USA v oblasti počítačové bezpečnosti Cyber Atlantic 2011, a to s podporou Evropské agentury pro bezpečnost sítí a informací (ENISA) a Ministerstva vnitřní bezpečnosti USA. Cvičení bylo pouze jednodenní s využitím simulovaných scénářů počítačové krize. Cílem cvičení bylo ověřit, jak by členské státy EU a USA postupovaly a vzájemně spolupracovaly
50
51
Strana: A
Hlavním úkolem Evropského střediska pro boj proti kyberkriminalitě je narušit provoz organizovaných zločineckých sítí v kyberprostoru. Středisko bude shromažďovat informace z různých zdrojů, což mu umožní identifikovat největší hrozby. Středisko bude součástí systému včasného varování a bude rozvíjet společný standard pro potírání počítačové kriminality v EU. Středisko bude také odpovídat na dotazy ohledně počítačové kriminality vyšetřovatelům, státním zástupcům a soudcům, jakož i soukromému sektoru o konkrétních technických a forenzních otázkách v rámci celé EU.
a jehož smyslem je mj. zastřešit a pospojovat existující schopnosti kybernetické ochrany v rámci Aliance, je NATO Cyber Defence Management Authority (CDMA – úřad NATO pro správu kybernetické ochrany).
Arch: 26
Centrum EC3 má být zprovozněno v lednu 2013 se sídlem v Haagu. Centrum zahrnuje výstavbu laboratoře pro kybernetickou kriminalitu, vytvoření přibližně 30 míst na plný pracovní úvazek a navazování kontaktů s členskými státy, které centru přispějí svými odborníky. V roce 2012 také Europol8 významně zvýšil praktickou podporu vyšetřování kyberkriminality v členských státech.
Dalším významným cvičení pro AČR byla cvičení „CMX 2012“ a „Cyber Coalition 2012“. Cvičení „CMX 2012 - Crisis Management Exercise 2012“ bylo zaměřeno na prověření aliančních postupů krizového řízení, na plánování a rozhodování na strategické politicko-vojenské úrovni. Cvičení CMX se v roce 2012 uskutečnilo souběžně s probíhajícím cvičením kybernetické obrany Cyber Coalition 2012, které bylo zaměřeno na řešení krizové situace vzniklé v důsledku kybernetických útoků na informační a komunikační systémy NATO a na kritickou infrastrukturu některých členských zemí Aliance. Cvičný scénář byl postaven na řešení složité mezinárodní krizové situace, která vznikla v důsledku dlouhotrvajících konfliktů mezi dvěma fiktivními ostrovními státy v Indickém oceánu, a v důsledku ohrožení některých členských států Severoatlantické aliance agresivními aktivitami dvou nepřátelských zemí. Modelová situace zahrnovala stupňující se hrozbu chemických, biologických a radiačních útoků a široký rozsah kybernetických útoků [3]. Tohoto cvičení jsem se jako pozorovatel osobně zúčastnil.
52
První hackeři se objevovali tam, kde byly první počítače. Právě ve Spojených státech amerických musíme hledat skutečné kořeny dnešních hackerů. S objevem osobních počítačů se teenageři kolem patnácti let sedící ve svých dětských pokojících pokoušejí pronikat do počítačových sítí americké armády. Zjistili, že i na jejich počítačích může běžet systém BBS9, díky kterému se k nim mohou po telefonu připojovat ostatní hackeři a diskutovat s nimi, vyměňovat si soubory, posílat si elektronickou poštu. Hackeři získali přístup do armádních systémů, sítí telefonních společností a informačních systémů komerčních organizací. Většinou věděli o zabezpečení systému více, než sami lidé, kteří ho zabezpečovali. Většina hackerů podnikala své průniky pouze pro vlastní potěšení a pro vlastní zábavu, z obyčejné zvědavosti. Nejlepší hackeři nikdy nezískávali peníze přes počítač a nezabývali se podvody s kreditními kartami. Byli však i lidé, kteří likvidovali celé systémy ve jménu boje proti počítačovému monopolu vlády a velkých společností. A samozřejmě se přidali i zloději, kteří na počítačových podvodech vydělávali desetitisíce nebo prodávali informace získané z nabouraných počítačů [39]. Definice vlastností hackera a znalost jeho úmyslů a způsobu plánování, přípravy, testování, provádění a zahlazování stop po kybernetickém útoku je základním předpokladem pro aplikaci účinných bezpečnostních opatření. Hacker je osoba, která proniká do chráněných systémů. Jeho cílem je prokázat vlastní kvalitu. Za nejdůležitější považuje překonání ochranné bariéry a zveřejnění tohoto úspěchu. Jedná se většinou o uživatele dobře vybaveného technologickými znalostmi, které získal zejména samostudiem. Hacker může být také osoba, která mění internetové stránky, snaží se narušit informační systémy nebo získává choulostivé osobní údaje jiných uživatelů. Hacker neřeší žádný problém vícekrát a k vyřešenému problému se již nevrací. Morální povinností společnosti hackerů je sdílení získaných informací. Jejich svět je založen a principu dobré reputace. Nejnebezpečnějším hackerem je nespokojený zaměstnanec [24].
9 Buletin Board System ‐ elektronická vývěska
53
Strana: A
Česká republika se 15. až 18. listopadu 2010 se poprvé ve své historii zúčastnila cvičení kybernetické obrany NATO „Cyber Coalition 2010“. Armáda České republiky (AČR) se v rámci scénáře cvičení účastnila mírové operace v blíže nespecifikované zemi fiktivního kontinentu CEURASIA. Počítače na napadené systémy aliance byly smyšlené, bezpečnostní analytici NATO a Cyber Defence Centre of Excellence v Estonsku připravili skutečné viry a kopie infikovaných serverů, u kterých museli čeští vojenští analytici zjistit způsob napadení, možný únik informací a původce útoku. Virus napadl i počítače spojeneckých států a zlikvidování útoku proto vyžadovalo těsnou spolupráci a výměnu informací mezi všemi členy aliance i střediskem kybernetické obrany NATO CIRC. Nejsložitější útok na utajené sítě NATO v operaci vyřešili čeští vojenští analytici jako první ze třinácti států NATO [6].
6. Kdo jsou kybernetičtí útočníci
Arch: 27
v případě vážných počítačových útoků na jejich klíčové informační infrastruktury. Během cvičení proběhly dva simulované útoky. Prvním byl obtížně zjistitelný počítačový útok, který se pokoušel nepozorovaně ukrást a na Internetu následně zveřejnit tajné informace bezpečnostních agentur členských zemí EU. Druhý simulovaný útok byl zaměřen na narušení systémů SCADA v elektrárenských zařízeních [4].
6.1. Základní dělení kybernetických útočníků
Motivací k tomuto druhu jednání je snaha o nalezení vzrušení a především uznání a slávy v rámci „hackerské“ komunity. Pro seberealizaci v tomto směru je ochoten udělat téměř cokoliv. U tohoto druhu útočníka neexistují typizované cíle jeho útoků, protože se snaží útočit na cokoliv bez ohledu na smysluplnost daného napadení a to proto, aby získal pomyslnou trofej a uznání v rámci hackerské skupiny. Hacker-profesionál Hacker-profesionál je znalec informačních technologií preferující typickou myšlenku hackerství mluvící o svobodném přístupu a sdílení všech informací. Většinou se jedná o člověka, který neuznává osobní vlastnictví, zákony a normy, autorská práva a autority. Jeho motivací je tzv. internetový exhibicionismus, což je snaha o překonání intelektuálních výzev a psychologicky motivovaná až dětinská radost z překonávání překážek. Druhotným cílem je snaha o zajištění přístupnosti informací pro všechny. Typické provedení jeho útoků je založeno na specifickém spolupodílnictví, protože nechce nést přímou vinu za útok a proto zpracovává programové skripty, které pak nechává šířit pomocí ostatních uživatelů v počítačové síti, popřípadě skrze ambiciózní začátečníky v oboru (hacker-začátečník).
54
Cílem virových tvůrců jsou počítačové systémy a veškeré počítačové sítě. Virový tvůrce prostě útočí kdykoliv a na cokoliv. Vnitřní nepřítel Jednou z nejzákeřnějších forem útočníků je tzv. vnitřní nepřítel, což představuje nejčastěji „zrazeného“ zaměstnance firmy či organizace, který cítí určitý stav (pozici) ve firmě jako osobní křivdu a hodlá zneužít svých pravomocí k odplatě vůči dané organizaci či společnosti. Většinou se jedná o odborníka introvertního typu, často egocentrický člověk s nedostatkem empatie a schopnosti mezilidské komunikace. A právě pocit nedoceněnosti, křivdy nebo méněcennosti je hybnou silou jeho aktivit. Typicky využívá velmi dobře maskované útoku pomocí malware vedoucí často k likvidaci či vysokým finančním ztrátám pro cílovou společnost, bez většího faktického zisku pro útočníka. Další velkou motivací kyberútočníků je snaha o finanční zisk, popř. finanční ztrátu pro cílový objekt. Přímé útoky na bankovní konta sice dnes již nejsou tak časté, ale pokusy o odposlechy přihlašovacích údajů do jednotlivých systémů bank (phishing) jsou dnes popsány v desítkách variant.
55
Strana: A
Hacker-začátečník Jedná se o začátečníka v oblasti informačních technologií s minimálními znalostmi a dovednostmi, využívající volně dostupných programových nástrojů z Internetu. Většinou se jedná o nadšence, který funguje jako mezistupeň mezi hackerem-profesionálem a běžným uživatelem. Je to právě tento nováček, který zcela nepokrytě rozšiřuje malware do počítačů uživatelů a podporuje tak přímo či nepřímo činnost hackera-profesionála.
Virový tvůrce Virový tvůrce je typický odborník na informační technologie, většinou programátor s hlubokými znalostmi z oblasti bezpečnosti informačních technologií a počítačových sítí. Jedná se o velmi specifický druh lidí, kteří jsou buďto „zrazenými idealisty“ nebo „nedoceněnými odborníky“. To vede k jejich uzavření se světu a případnému začleňování se do různých, podobně orientovaných skupin, kde mohou získat jak docenění, tak možnost realizace svých motivací. Cílem je většinou pomsta vůči společnosti nebo konkrétní skupině či organizaci, popřípadě snaha dokázat sobě nebo světu svou sílu a „dokonalost“. Druhotnou motivací může být překonávání intelektuálních výzev.
Arch: 28
Motivace útočníků (kyberteroristů) je samozřejmě různorodá – od finančního zisku přes slávu a snahu o publicitu a veřejné uznání až po realizaci pomsty proti konkrétní společnosti či skupině lidí. Samozřejmě nejde zcela detailně a striktně veškeré kyberteroristy zařadit do nějaké skupiny, ale je možné typově a motivačně dané útočníky rozdělit do 9 různých skupin [22].
Druhou možnou motivací útočníků v kyberprostoru je realizace pomsty vedené buď proti konkrétní firmě, organizaci nebo zájmové skupině lidí. Většinou se jedná o skupinu zkušených lidí nebo odborníků z oblasti informačních technologií.
Informační válečník Jedná se o profesionála zabývajícího se primárně ochranou informačních systémů před narušiteli. Daný odborník většinou má hluboké technologické znalosti a speciální trénink, díky čemuž se stává velmi těžkým protivníkem a ideálním útočníkem.
Zloděj Zloděj je útočník s průměrnými znalostmi informačních technologií, jenž touží především po finančním prospěchu bez zbytečné slávy a publicity. Průběžně se zkušenostmi mění jeho znalosti informačních technologií a postupně se zdokonaluje až na úroveň profesního kriminálníka. Jeho motivací je nenasytnost po finančním zisku, pro který udělá cokoliv. K typickým druhům útoků, které používá, jsou právě odposlech přihlašovacích údajů (phishing) do informačních systémů bank či k účtům nebo útoky vedené na platební karty klientů těchto zařízení. Profesní kriminálník Je profesionál, který se dal na cestu zločinu a své znalosti z oblasti informačních technologií plně využívá k uskutečnění svých protizákonných aktivit. Může být i najímán různými zločinnými organizacemi a maximálně se vyhýbá střetům se státními institucemi. Psychicky se jedná o velmi odolného jedince, jehož jediným cílem jsou peníze nebo finanční prospěch. Popularita je pro jeho aktivity rizikem, protože vždy svým jednáním porušuje zákony. Typické útoky profesionálních kriminálním jsou vedeny také na účty či platební karty klientů finančních domů. Jejich snahou je vždy získání všech finančních prostředků, nespokojí se pouze s nějakou jeho částí.
56
Politický aktivista Po informačním válečníkovi se jedná o druhý nejhorší druh útočníka. Většinou jde o znalce z oblasti informačních technologií, jehož snahou je skrze kyberprostor reagovat na aktuální politické dění. Často se jedná o fanatika nebo idealistu zastávajícího extrémní politické názory, za které vášnivě bojuje. Motivací k útokům mu je aktuální politické dění na úrovni mezinárodní nebo národní politiky. Ke svým útokům využívá plně svých znalostí. Pro dosažení politických cílů může využívat široké spektrum různorodých metod – od propagandistického defacementu po přímé napadení a likvidaci státních informačních systémů. White hat (Bílý klobouk) - Etický hacker White hat hacker nenapadá zabezpečení za účelem způsobit škodu hacker tak může například zkoumat zabezpečení svého operačního systému. Termín „white hat“ se v internetovém slangu dá přeložit jako „etický hacker“. Tato klasifikace odpovídá i osobám, jež se zabývají testy průniku do daného softwaru a zranitelnosti v rámci smluvních ujednání. Black hat (Černý klobouk) Black Hat je hacker, který narušuje počítačovou bezpečnost třeba jen ze škodolibosti nebo k osobnímu prospěchu. Tento typ hackera vzbuzuje ve veřejnosti názor, že všichni hackeři jsou kriminálníci. Tito hackeři proni-
57
Strana: A
Typické útoky jsou vedeny za účelem destabilizace a poškození integrity dat či nabourání informačních systémů, především na úrovni kontroly rozhodovacích procesů. K dosažení cíle využívá tradiční i netradiční metody, postupy a technologie, vycházející z jeho hlubokého porozumění a zkušenostem z oblasti bezpečnosti informačních systémů.
K jeho typickým útokům patří defacement webových stránek (záměna webu za svou verzi), krádeže a zneužití platebních karet, personálních údajů a telekomunikační podvody.
Arch: 29
Motivací tohoto typu útočníka je buď ve vlastenectví nebo sounáležitost s náboženskou, sociální či jinou entitou (typicky názorově blízký ideologii teroristické skupiny). Extrémní motivací může však být i finanční zisk či snaha o finanční likvidaci protivníka.
Kybernetický chuligán Většinou hrdý egoista s vyššími znalostmi v oblasti informačních technologií, často programující vlastní skripty, které fungují na úrovni webových technologií. Výběr cílů provádí tak, aby podpořil upoutání pozornosti médií, často proto útočí na státní instituce či polostátní organizace. Jeho jedinou touhou je sláva a snaha o medializaci svých činů. Někdy dochází k paradoxu, kdy se díky výběru cílů může na určitý čas stát „hrdinou médií“.
kají do zabezpečených sítí s úmyslem zničit data nebo vyřadit síť z provozu pro ostatní (normální) uživatele. Gray hat (Šedý klobouk)
Některé hackerské skupiny vyžadovaly od svých členů jisté prokázání dovedností. Sociální status „elitního hackera“ odpovídal nejzkušenějším členům. Jedná se tedy o velice zkušeného hackera. Skriptové dítě Amatér, který pronikne do počítačového systému pomocí automatizovaného nástroje, který napsal někdo jiný. Obvykle mají malé znalosti základní koncepce. Pod termínem skriptové si lze představit předem připravený plán nebo soubor činností. Blue Hat (Modrý klobouk) Blue hat je někdo, kdo stojí mimo počítačové firmy zabývající se bezpečností a nechá se najímat pro ladění a testování systému před jeho uvedením na trh. Cracktivista Cracktivista je hacker, který využívá technologii pro oznámení sociálního, ideologického, náboženského či politického sdělení. Obecně platí, že většina útoků se provádí jako zkreslení webové stránky nebo omezení přístupu k dané službě (Denial of Service). Kybernetické útoky dnes nejsou většinou aktem jednotlivců. Pokud si někdo chce virus vytvořit, není problémem si stáhnout program, který ho vytvoří za něj. Pojem hacker, který je někdy mylně považován za původce útoků, označoval nesmírně zručného člověka. Cílem hackera je vyzrát nad technologií, proniknout do počítače a nezanechat za sebou stopy.
58
Pro hackery jsou počítače a Internet tím nejdůležitějším na světě. Levy Steven ve své knize o hackerech uvádí, že veřejnost hackery vnímá buď jako hloupé sociální vyvrhely nebo neprofesionální programátory. Ve skutečnosti to jsou podle autora knihy dobrodruzi, vizionáři nebo umělci. Jejich filozofií je touha po sdílení informací, otevřenost a decentralizace [29].
59
Strana: A
Elitní hacker
Mládež tráví u počítačů stále více volného času. Získávají tím sice spoustu užitečných informací, ale přitom se pohybují v nebezpečném prostředí. Neuvědomují si, kolik osobních dat a různých datových stop po sobě zanechávají. Každý z nich ještě vlastní minimálně jeden „chytrý telefon“, který jim nabízí další možnosti využití moderních technologií. Nesmíme zapomenout také na přenosná média, herní zařízení a na chytré televizní přijímače. A právě mezi touto mládeží se v poslední době objevují hackeři. Rodiče mladých hackerů nemají o aktivitách svých potomků ani ponětí. Dělají si starosti spíš s pornografií a nedokážou zjistit, zda se jejich syn či dcera nepohybují mezi hackery. Proto jejich rodiče nemají žádné obavy a rádi nechávají své ratolesti sedět doma v pokoji. Jsou rádi, že děti sedí u počítače místo toho, aby se poflakovaly po ulicích a tropily výtržnosti. Většinou je ani nenapadne mít nějaké podezření. Na škodách páchanými mladistvými hackery má svůj podíl i vzdělávací systém. Nedokáže je totiž naučit odpovědnosti za své činy páchané na Internetu a odpovědnému používání komunikačních a informačních technologií. I dnes je potřeba konstatovat, že po tolika letech není v oblasti základního a středoškolského vzdělávání věnována pozornost této problematice. Hackeři též z hloubi duše věří, že jejich aktivita je docela legitimní, protože Internet by měl být zdrojem informací zdarma a pro všechny. Nabourat se do cizího počítače a zkopírovat odtud data nepovažují za zločin. Víra v to, že informace by měly být dostupné všem, kdo o ně má zájem, přivedla do vězení již nejednoho hackera. Kdo vlastně jsou mladiství hackeři? Hackeři jsou novodobými objeviteli. Někteří z nich neznají zábrany a nezastaví se před ničím. Mají touhu dosáhnout nových objevů. Potřebují si dokázat to, co podle ostatních neexistuje a není možné. Na druhou stranu ale osobnosti, které uměly takhle přemýšlet, daly světu již v minulosti mnoho velkých objevů [33, 34].
Arch: 30
Gray hat hacker je kombinací Black Hat a White Hat. Tento hacker může surfovat po Internetu a proniknout do počítačového systému pouze za účelem informování administrátora, že jejich systém byl hacknutý. Například mu také může za poplatek nabídnout opravu chyby, kterou pro útok zneužil.
6.2. Jaká je realita mladých hackerů v dnešní době?
7. Kybernetická bezpečnost a kritická infrastruktura
Zajištění bezpečnosti státu, fungování ekonomiky ve výrobních i nevýrobních systémech a službách, fungování veřejné správy a zabezpečení základních životních potřeb obyvatelstva je závislé na konkrétních infrastrukturách, které označujeme vzhledem k jejich významu jako kritické (životně důležité) infrastruktury. Jejich narušení má negativní dopad na několik úrovní, a to na národní úrovni ovlivňuje zajištění základních funkcí státu a na krajské a místní úrovni má vliv na zajištění základních funkcí území. Poškození, narušení nebo zničení kritické infrastruktury může být způsobeno přírodními katastrofami a vlivem činnosti lidského faktoru, který se váže na selhání techniky a technologických postupů a na úmyslné akce zahrnující terorismus a organizovaný zločin, a to jak jednotlivců, tak skupin. Ochrana kritické infrastruktury je proces, který je zaměřen na takové zajištění fungování subjektů kritické infrastruktury a objektů, které vlastní nebo provozují, tak aby nedocházelo k jejich selhání při zohlednění všech možných rizik a hrozeb. Smyslem ochrany kritické infrastruktury musí být proto minimalizace dopadů výpadku činnosti těchto infrastruktur tak, aby narušení funkcí, činností nebo služeb bylo krátkodobé, málo četné, zvladatelné přinejmenším provizorním nebo alternativním způsobem
60
61
Strana: A
Primárním cílem kybernetického terorismu jsou součásti kritické infrastruktury, jejichž zneškodněním lze dosáhnout maximálního devastujícího účinku za cenu minimálních nákladů. „Kritickou infrastrukturou se rozumí výrobní a nevýrobní systémy a služby, jejichž nefunkčnost by měla závažný dopad na bezpečnost státu, ekonomiku, veřejnou správu, zabezpečení základních životních potřeb obyvatelstva a další oblasti nezbytné pro zachování základních funkcí státu.“ [46]. Subjektem kritické infrastruktury jsou vybrané subjekty výrobní i nevýrobní sféry provozující zařízení a objekty nebo poskytující služby popřípadě vytvářející produkty ve stanovených oblastech kritické infrastruktury. Subjektem kritické infrastruktury je vlastník nebo provozovatel objektů kritické infrastruktury. Česká republika zákonem č. 430/2010 Sb. zahrnuje krizová opatření pro krizové situace a definuje kritickou infrastrukturu v důležitých oblastech.
Arch: 31
Komunikace mezi hackery je velice obtížně zjistitelná. Nejpoužívanější a také nejznámější technikou je steganografická technika ukrývání informace. Steganografie není šifrovací metoda. Jedná se o nenápadné vložení utajené informace do jiné, nevinně vypadající informace (například na místo nepodstatného šumu v souborech se zvuky, obrázky a videem). Zpráva je ukryta tak, aby si pozorovatelé neuvědomili, že komunikace vůbec probíhá. Síla této komunikace stojí a padá na jejím utajení. Aby ani v tomto případě nedošlo k prozrazení obsahu zprávy, zpravidla se kombinuje s dalšími metodami šifrování. Kromě šifrování emailové komunikace existují další šifrovací postupy. Příkladem za všechny může být „One Time Pad Encryption“. V podstatě jde o provedení operace XOR mezi bity tajené informace a bity jiného řetězce bitů. V praxi existuje spousta dalších šifrovacích metod (asymetrické šifry, symetrické šifry, kvantová distribuce klíčů nebo polarizace fotonů).
a územně omezené tak, aby postihlo co nejmenší počet obyvatelstva. Ochranu kritické infrastruktury lze chápat také jako souhrn opatření, která při zohlednění možných rizik směřují k zabránění jejího narušení.
Problematika kybernetické bezpečnosti kritické infrastruktury není komplexně řešena mezinárodním právem ani právem EU. Existuje ale celá řada mezinárodních dokumentů upravujících oblast kybernetické bezpečnosti kritické infrastruktury, problematiku služeb elektronických komunikací, oblast kritické infrastruktury a oblast ochrany soukromí v odvětví elektronických komunikací [45]. Každý stát i subjekt ve státě chrání svoji kritickou infrastrukturu. V roce 2007 byl v ČR vypracován Národní program ochrany kritické infrastruktury a harmonogram jeho naplnění. Ve Věcném záměru zákona o kybernetické bezpečnosti je pro ČR stav rozsáhlého kybernetického útoku na kritickou infrastrukturu charakterizován jako zvláštní režim stavu kybernetického nebezpečí. Stav
62
Prvky kritické komunikační a informační infrastruktury jsou definovány v obecné rovině po jednotlivých systémech. Vzhledem k charakteru této publikace a citlivosti konkrétních údajů nemohu vyjmenovat lokality, objekty, budovy, technologická centra, serverová pracoviště, datová úložiště atd., které jsou začleněny do kritické komunikační a informační infrastruktury ČR. Na příkladu Estonska je možné si představit, jak jsou útoky na kritickou informační infrastrukturu nebezpečné. Pro Estonsko byly tyto útoky zvlášť nebezpečné právě proto, protože právě Estonsko je ve využívání internetu na světové špičce. A fungování celé země je tedy na internetu závislé více než v jiných státech. Na jaře 2007 došlo k masivním kybernetickým útokům na estonské státní webové stránky. Tyto útoky vážně ohrozily celou infrastrukturu Estonska. Výsledkem tohoto útoku bylo, že během jedné noci a následujícího dopoledne se povedlo hackerům narušit veškerou informační infrastrukturu státu (veškeré bankovní transakce a služby e-govermentu). Právě zde se ukázalo, že kybernetické útoky mohou být mnohem větším problémem, než se předpokládalo, a hlavně že i kybernetický útok na nevojenská zařízení a sítě může mít vážné dopady na společnost i celý stát, včetně bezpečnostních aspektů. 10 Zákon č. 458/2000 Sb. ‐ energetický zákon a související předpisy
63
Strana: A
Informační a komunikační systémy jsou součástí kritické infrastruktury jako jedno z jejích odvětví. Kybernetická část kritické infrastruktury je nedílnou součástí kritické infrastruktury. Pomocí informačních technologií jsou dnes vytvářeny, zpracovávány, přenášeny a ukládány téměř všechny informace důležité pro chod státu i komerčních organizací. Z toho vyplývá, že v případě ohrožení nebo napadení špatně zabezpečeného řídícího informačního systému má za následek vyřazení z provozu. To může způsobit nedostupnost jinak běžných služeb, zastavení výroby či distribuce energií. Nejedná se však pouze o teroristické útoky, které ohrožují důvěrnost, dostupnost a integritu dat, ale existuje celá řada tzv. standardních rizik, proti kterým je nutno přijímat bezpečnostní opatření. V tomto případě se fungování informačního systému jeví jako životně důležité jak pro státní správu, tak i pro soukromý sektor či obyvatelstvo.
Arch: 32
„Bezpečnost informací je důležitá z hlediska ochrany kritické infrastruktury a to jak v soukromém, tak ve státním sektoru. V obou sektorech je bezpečnost informací důležitá pro existenci některých služeb, například e-govermentu nebo e-komerce a zároveň kvůli vyhnutí se nebo snížení relevantních rizik. Propojení veřejných a privátních sítí i sdílení informačních zdrojů zvyšuje obtížnost řízení přístupu.“ [10, s. 10].
kybernetického nebezpečí ale bude upraven mimo krizový zákon obdobně jako stav nouze (podle zákona 458/2000 Sb.10). A kdo by měl stav kybernetického nebezpečí v České republice vyhlásit? To přesně uvádí Věcný záměr zákona o kybernetické bezpečnosti: „Stav kybernetického nebezpečí bude vyhlašovat předseda vlády České republiky na návrh ředitele NBÚ, přičemž jeho rozhodnutí musí do 24 hodin schválit vláda (v opačném případě se rozhodnutí o vyhlášení stavu kybernetického nebezpečí ruší uplynutím této lhůty). Stav kybernetického nebezpečí bude možno vyhlásit nejvýše na dobu sedmi dnů. Prodloužení stavu kybernetického nebezpečí na dobu dalších sedmi dnů, a to i opakovaně, může provést vláda. Po vyhlášení stavu kybernetického nebezpečí svolá ředitel NBÚ Komisi pro kybernetickou bezpečnost, která bude poradním orgánem ředitele NBÚ, kterému bude navrhovat opatření k ochraně českého kyberprostoru a zajišťovat komunikaci s dotčenými tuzemskými a zahraničními subjekty.“ [40, s. 74].
8. Úkoly při ochraně kybernetického prostoru
Zajištění kybernetické bezpečnosti státu je jednou z klíčových aktivit každého státu. Lisabonský summit NATO (konaný v roce 2010) mimo jiné zdůraznil nutnost řešení této problematiky jak na mezinárodní úrovni, tak i na národní úrovni. Kybernetický prostor nezná hranice a spuštění kybernetického útoku není časově ohraničené [45]. K zajištění kybernetické bezpečnosti a odpovídajícímu zajištění práva na informační sebeurčení prostřednictvím přístupu k fungujícím službám informační společnosti je nutno zpracovávat informace o výskytu kybernetických bezpečnostních událostí z co největšího množství zdrojů. Ze stejného důvodu je třeba koordinovat ochranná opatření. Služby informační společnosti se totiž vyznačují svým síťovým charakterem, přičemž i rozsahem nepatrný prvek sítě může závažným způsobem ovlivňovat její ostatní části, a to dokonce často i bez ohledu na geografickou blízkost. Podle Veselého [44] jsou to tyto úkoly: Koordinace protiopatření pro případ bezpečnostních incidentů v kritické infrastruktuře. Sběr informací o závažných bezpečnostních incidentech. Koordinace vyplňování bezpečnostních děr v kritických počítačových systémech.
64
65
Strana: A
Každý počítač nebo počítačová síť je tak bezpečná, jak je bezpečná jeho nejslabší část. Největší riziko představuje připojení počítače do počítačové sítě. Rizikem vyspělé informační společnosti je nebezpečí vytvoření závislosti na informačních a komunikačních systémech. Stát, který má vysokou úroveň informatizace svého řízení, je výrazně zranitelnější než stát, který má slabou úroveň informatizace. Kybernetická válka je pro tyto vyspělé státy proto reálným a hmatatelným pojmem. Probíhá v naší blízkosti a kdokoliv z nás se může stát jejím aktérem i obětí. Moderní technologie nám na jednu stranu usnadňují život, ale na druhou stranu zvyšují riziko zneužitelnosti. To znamená, že nejmodernější státy jsou výrazně snadněji paralyzovatelné právě na úrovni digitálního zpracování a výměny informací. Proto nejmodernější státy s moderní armádou nemohou přehlížet ochranu kybernetického bezpečnosti státu.
Arch: 33
Bezpečnost kritické komunikační a informační infrastruktury je nutné zajišťovat na fyzické, personální a technologické úrovni. Kritická komunikační a informační infrastruktura je ovlivňována vnějším i vnitřním okolím a proto je nezbytné mít vytvořeny podmínky pro eliminaci rizik přenosu, pořizování, zpracování a ukládání dat v systémech kritické komunikační a informační infrastruktury.
Z uvedeného je zřejmé, že bezpečnost informací (resp. procesy s ní spojené) zahrnuje všechny složky organizace až na úroveň jednotlivých pracovníků a nelze si proto myslet, že bezpečnost informací je záležitostí pouze bezpečnostního manažera organizace. Čím větší hodnotu informace mají, tím by se měla věnovat větší pozornost jejich zabezpečení. Důležitým aspektem kybernetické bezpečnosti je ochrana před krádeží identity. Pro vhodné zabezpečení informací byly vytvořeny normy, které je potřeba zavádět a přísně dodržovat. Optimální řešení zabezpečení informací spočívá v použití osvědčených praktik a návodů (norem), které dovolují nejen relativně bezproblémové zavedení bezpečnosti, ale také její řízení, monitorování a zlepšování. Takové řešení má pak nárok i na to, aby bylo porovnáno s požadavky použitého standardu a pokud je organizace splní, může být certifikována nezávislým certifikačním orgánem. Podrobněji o těchto normách již bylo napsáno v kapitole 1.2 této knihy.
V první řadě je potřeba nejprve dodržovat bezpečnost informací. Koho by tedy měla bezpečnost informací nejvíce v organizacích zajímat? Dosažení potřebné úrovně bezpečnosti informací v jednotlivých organizacích je především závislé na vůli managementu organizace a jejich vrcholových
66
67
Strana: A
zaměstnancích. Jako všechna restriktivních opatření i ta bezpečnostní mají více či méně obtěžující charakter a od zaměstnanců je vyžadováno plnění těchto povinností navíc (aspoň si to tak většina zaměstnanců myslí). Pokud tedy má být řešení bezpečnosti účinné, je nezbytné, aby vedení organizace bylo srozuměno s nutností zavedení, udržování, monitorování a zlepšování bezpečnosti v organizaci. Vedoucí pracovníci musí vyžadovat od svých podřízených plnění povinností ve vztahu k bezpečnosti informací a podřízení musí mít možnost (tedy vědomosti a prostředky) tyto povinnosti plnit.
Arch: 34
Řešení informačně-bezpečnostních incidentů ve spolupráci s vlastníky a provozovateli postižených částí, telekomunikačními operátory, poskytovateli internetových služeb a se státními orgány. Budování a rozšiřování znalostí veřejnosti ve vybraných oblastech informační a kybernetické bezpečnosti. Kooperace se zahraničními organizacemi a prezentace České republiky v oblasti informační bezpečnosti na mezinárodní úrovni. Vybudování schopnosti bránit se kybernetickým útokům. Dosažení mezinárodního konsensu o normách chování v kyberprostoru. Omezení zranitelnosti vládních systémů a kritické infrastruktury. Podpora výuky profesionálů v oblasti kybernetické bezpečnosti. Posilování vymahatelnosti práva v oblasti kybernetické bezpečnosti. Zlepšení prevence a vybudování obecného povědomí. Zvýšení povědomí v privátním sektoru. Vytváření personálu odborné správy v oblasti bezpečnostních systémů informačních a komunikačních technologií. Porozumět taktikám útočníků, jejich technikám a procedurám, které umožní přetvořit obranná opatření do vhodných podob. Být připraven zabránit útoku či odpovědět tak rychle, jak je možné v případě kompromitace. Existence nouzových plánů k tomu, co dělat v případě, když se stanete obětí kybernetického útoku. Přesvědčit se, zda dodavatelé v rámci kritických infrastruktur nejsou kompromitováni a mít k dispozici vhodná opatření v případě, že jejich systémy budou narušeny. Národní kritická infrastruktura nesmí být plně závislá na internetu, ale musí být operabilní i v případech, kdy přijde krize kybernetické bezpečnosti.
9. Řízení kybernetické bezpečnosti
„Bezpečnost informací je zaměřena na širokou škálu hrozeb a zajišťuje tak kontinuitu činností organizace, minimalizuje obchodní ztráty a maximalizuje návratnost investic a podnikatelských příležitostí. Bezpečnosti informací lze dosáhnout implementací soustavy opatření, která mohou existovat ve formě pravidel, postupů, procedur, organizační struktury, programových a hardwarových funkcí. Tato opatření musí být ustavena, zavedena, provozována, monitorována, přezkoumávána a zlepšována proto, aby bylo dosaženo specifických bezpečnostních cílů organizace. Toto všechno by mělo být prováděno v souladu s ostatními řídícími procesy organizace.“ [10, s. 10]. Systémy řízení bezpečnosti informací nabízejí systematický přístup k minimalizaci rizika neoprávněného přístupu či ztrátě informací, a to včetně zajištění efektivní správy zavedených ochranných opatření. Poskytují firmám a organizacím rámec pro řízení souladu s právními a jinými požadavky a zlepšují jejich výkonnost při bezpečné správě informací. Systém řízení napomáhá snížení nákladů na informační a komunikační
68
69
Strana: A
Cílem bezpečnosti informací je chránit data a informace od velkého množství hrozeb tak, aby byla zajištěna jejich bezpečnost. Největší ztráty informací v organizaci jsou způsobeny vlastním managementem organizace (tyto ztráty se odhadují v rozmezí 50-80%). Další ztráty jsou způsobeny vlastními zaměstnanci organizace (tyto ztráty se odhadují v rozmezí 10-40%). Pouze do 10 % jsou ztráty informací způsobeny vnějšími vlivy, jako jsou například počítačové útoky. Pokud se jedná o informace uložené v informačních systémech organizace, jsou nejrizikovějšími faktory ovlivňující bezpečnost informací specifičtí vlastní zaměstnanci (administrátoři, správci a vývojoví pracovníci informačních systémů).
Arch: 35
Informace jsou v jakékoli organizaci a administrativě velmi důležitým aktivem a správa citlivých informací svěřených firmě (organizaci) jejími zákazníky přináší pro firmu zvláštní povinnosti. Neoprávněný přístup k důležitým informacím nebo jejich ztráta může mít významný negativní dopad na celou organizaci. Hrozí přerušení podnikatelské kontinuity, ztráta strategických výhod, organizace je zranitelná vzhledem k možným podvodům, a navíc má firma poškozenou pověst.
Plánuj (ustavení ISMS) - Ustavení politiky ISMS, cílů, procesů a postupů souvisejících s managementem rizik a zlepšováním bezpečnosti informací tak, aby poskytovaly výsledky v souladu s celkovou politikou a cíli organizace [9]. Dělej (zavádění a provozování ISMS) - Zavedení a využívání politiky ISMS, opatřeni, procesů a postupů [9]. Kontroluj (monitorování a přezkoumání ISMS) - Posouzení, kde je to možné i měření výkonu procesu vůči politice ISMS, cílům a praktickým zkušenostem a hlášení výsledků vedení organizace k přezkoumání [9]. Jednej (udržování a zlepšování ISMS) - Přijetí opatření k nápravě a preventivních opatření, založených na výsledcích interního auditu ISMS a přezkoumání systému řízení ze strany vedení organizace tak, aby bylo dosaženo neustálého zlepšování ISMS [9].
11 Model PDCA byl původně vytvořen Walterem Shewhartem v roce 1930. Následně model PDCA pro zlepšování jakosti využil a rozpracoval Edwards Deming. Model PDCA byl připraven především pro efektivní řešení a zlepšování výrobních aktivit, procesů a systému.
70
Podle ČSN ISO/IEC 27002 jsou požadavky na bezpečnost stanoveny za pomoci metodického hodnocení bezpečnostních rizik. Výdaje na bezpečnostní opatření by měly odpovídat ztrátám způsobeným narušením bezpečnosti. Výsledky hodnocení rizik pomohou určit vedení organizace odpovídající kroky i priority pro řízení bezpečnostních rizik u informací a pro realizaci opatření určených k zamezení jejich výskytu. Hodnocení rizik by mělo být prováděno periodicky, aby bylo možné včas reagovat na jakékoliv změny v bezpečnostních požadavcích. V rámci hodnocení rizik by měla být identifikována a kvantifikována rizika. Dále by měl být určen význam jednotlivých rizik s ohledem na kritéria pro jejich akceptaci a cíle organizace. Výstupem z hodnocení rizik by měla být doporučení a priority řízení jednotlivých rizik a priority implementace vybraných opatření na ochranu proti těmto rizikům. Součástí hodnocení rizik by měl být také systematický přístup k odhadu velikosti rizika (analýza rizik) a proces porovnání odhadnutých rizik se stanovenými kritérii pro určení jejich důležitosti (vyhodnocení rizik). Hodnocení rizik by mělo být prováděno v pravidelných intervalech [10]. Podle ČSN ISO/IEC 27005 by mělo být řízení rizik bezpečnosti informací nepřetržitým procesem. Řízení rizik analyzuje, co se může stát a jaké
71
Strana: A
Systém řízení bezpečnosti informací (ISMS - Information Security Management System) je část celkového systému řízení organizace, která je založena na přístupu organizace k rizikům činností a je zaměřena na ustanovení, zavádění, provoz, monitorování, přezkoumání, údržbu a zlepšování bezpečnosti informací. Systém řízení bezpečnosti informací je podobně jako ostatní systémy řízení založen na modelu PDCA11 (Plan, Do, Check, Act - Plánuj, Dělej, Kontroluj, Jednej). Tento model zavádí kontinuální systém řízení bezpečnosti informací v organizaci. Jeho jednotlivé kroky zaručují, že zavedení systému nebude jen jednorázovou aktivitou, ale neustálým koloběhem [9].
Mnoho informačních systémů nebylo od samého začátku navrženo tak, aby byly bezpečné. Bezpečnost, která může být dosažena technickými prostředky, nemusí být vždy nedostačující a měla by být doplněna odpovídajícím řízením a odpovídajícími postupy. Řízení bezpečnosti informací proto vyžaduje spoluúčast všech zaměstnanců organizace. Jak ale stanovit bezpečnostní požadavky? Je nezbytné, aby si každá organizace určila své bezpečnostní požadavky. K tomu existují podle ČSN ISO/IEC 27002 tři hlavní zdroje. Prvním zdrojem je hodnocení rizik, která organizaci hrozí. V rámci hodnocení rizik se identifikují hrozby působící vůči aktivům, které mohou být hrozbami využity (musíme počítat i s pravděpodobností jejich výskytu). Pak se provádí odhad jejich potenciálního dopadu. Druhým zdrojem jsou požadavky zákonů a podzákonných norem, smluvní ujednání a místní zvyklosti, které organizace, její obchodní, smluvní partneři a poskytovatelé služeb musí splňovat. Třetím zdrojem jsou konkrétní principy, cíle a požadavky na zpracování informací, které si organizace vytvořila pro podporu své činnosti [10].
Arch: 36
technologie a celkově přispívá k efektivitě procesů. Je výraznou oporou v rozhodovacích procesech na úrovni managementu organizace. Vrcholový management organizace by měl stanovit jasný směr a aktivně podporovat bezpečnost v rámci organizace, schválit politiku bezpečnosti informací, přiřadit role v oblasti bezpečnosti informací a koordinovat implementaci bezpečnosti v organizaci.
mohou být případné důsledky, co by se mělo provést, kdy a za jakým účelem. Proces řízení rizik bezpečnosti informací se skládá ze stanovení kontextu, hodnocení rizik, zvládání rizik, akceptace rizik, komunikace rizik, monitorování a přezkoumávání rizik [13].
Vrcholem správného zavedení ISMS je certifikovaný systém řízení informační bezpečnosti. Certifikovaný systém řízení informační bezpečnosti demonstruje závazek organizace k ochraně informací a podporuje důvěru v to, že tento nehmotný majetek je správně chráněn. Budoucí vývoj řízení v oblasti informačních technologií bude poznamenán ekonomickou krizí. To znamená, že se budou prosazovat takové nástroje, které prokazatelně uspoří náklady vynakládané do oblasti informačních technologií. Konkrétně se posiluje systémový pohled na architekturu informačního systému. Tato nová koncepce zdůrazňuje potřebu komplexního popisu všech klíčových prvků podnikových struktur a jejich vazeb. Současně uplatňuje dynamický pohled na architekturu informačního systému organizace. Architektura je tak zároveň produktem i procesem. Tento trend je podporován virtualizací v poskytování služeb informačních technologií (nevyužívají se zdroje uživatelů, ale zdroje poskytovatelů) - cloud. Cloud computing je způsob poskytování sdílených škálovatelných zdrojů (například výpočetní kapacita, úložiště,
72
73
Strana: A
V ČSN ISO/IEC 27002 se uvádí, že jakmile jsou identifikovány bezpečnostní požadavky a rizika, a bylo rozhodnuto, jakým způsobem bude se zjištěnými riziky naloženo, měla by být vybrána a implementována opatření zajišťující snížení rizik na přijatelnou úroveň. Výběr konkrétních opatření je na rozhodnutí každé organizace. Rozhodnutí je založeno na kritériích určujících akceptaci nebo zvládání rizika a celkovém přístupu organizace k řízení rizik. Při výběru opatření by měla být zohledněna příslušná národní a mezinárodní legislativa a regulace [10].
Arch: 37
Hodnocení rizik určuje hodnotu informačních aktiv, identifikuje možné hrozby a zranitelnosti, které existují nebo by mohly existovat, identifikuje stávající opatření a jejich účinek na identifikované riziko, určuje potenciální dopady a nakonec stanoví prioritu určených rizik a řadí je proti kritériím vyhodnocení rizik určeným ve stanovení kontextu. Hodnocení rizik se často provádí opakovaně [13].
služby, aplikace), k nimž je přistupováno skrz síť (například Internet) a které jsou uživateli k dispozici ihned na vyžádání. Mezi hlavní výhody cloudu bezesporu patří vysoká škálovatelnost a spolehlivost. Ta umožňuje uživatelům rychle změnit výpočetní zdroje dle potřeby s tím, aby se uživatelé v budoucnu mohli ke svému softwaru připojit kdekoliv po celém světě. Počítačový odborníci sice věří, že cloud povede k větší efektivitě a úsporám, ale zároveň mají obavy spojené s bezpečností dat a služeb. Firmy představují konkrétní řešení široké problematiky bezpečnosti v cloudu s tím, že je možno dojít k vysokému zabezpečení infrastruktury i dat. Ale nedůvěra zatím brání dalšímu rozvoji cloudu. Data uložená v cloudu budou zabezpečená do té doby, než je někdo neoprávněně získá. Toto je velmi diskutované téma dnešní doby.
10. Jak uchránit svůj počítač
3. Nespouštět odkazy na neznámé nebo podezřelé stránky a ani se po těchto webech raději nepohybovat. 4. Při zadávání přístupových hesel na internetových stránkách je nutné vždy zkontrolovat, zda je web zabezpečený. To poznáte například podle ikonky zámečku na liště internetového prohlížeče, nebo tak, že adresa webové stránky začíná zkratkou https, kde „s“ znamená bezpečná. 5. Používat antivirový a ideálně i antispywarový software, který je schopen nejen zastavit již probíhající infekci, ale v případě správné funkčnosti a nastavení rovněž předejít nakažení počítače. 6. Používejte firewall. Ten pomáhá lépe chránit operační systém. Méně
zkušení uživatelé by jej rozhodně neměli vypínat. Při nedostatečných znalostech je vhodné jej nechat pracovat v automatickém režimu. 7. Používat vždy nejaktuálnější verzi operačního systému vždy s instalovanými opravnými balíčky. Důležité jsou pravidelné aktualizace celého počítače. Ty je nutné stahovat pro operační systém, bezpečnostní bránu (firewall), antivirus i další programy.
74
75
Strana: A
1. Neotvírat přílohy e-mailů s neočekávaným nebo neznámým typem přiložených souborů, jejichž obsah není přesně znám. Škodlivé programy se často šíří prostřednictvím nevyžádané pošty. Pokud nevíte, od koho e-mail je, nikdy nestahujte jeho přílohu a neklikejte na žádné odkazy. 2. Pozor je nutné si dávat na e-maily, v nichž odesílatel požaduje, abyste se přihlásili na nějakou webovou stránku a aktualizovali informace o vašem účtu. Pokud je to možné, tak takovou aktualizaci raději neprovádějte.
Arch: 38
V podstatě neexistuje ucelený návod, jak uchránit svůj počítač (soukromý nebo firemní) od jakékoli infiltrace přicházející z Internetu. Vezmeme-li však v úvahu omezené možnosti šíření počítačových virů, vyvodil jsem několik jednoduchých kroků, jak se těmto a mnohým podobným infiltracím zcela vyhnout.
Žebříček nejpoužívanějších hesel u českých uživatelů vytvořila společnost „Splash Data“ z několika tisíců přihlašovacích údajů, které hackeři ukradli běžným uživatelům. Tyto seznamy si hackeři často vyměňují mezi sebou, případně je zveřejňují na Internetu, aby ukázali svoji zručnost. Mezi nejrozšířenější hesla podle společnosti „Splash Data“ patří kromě slova „heslo“ (u mladších uživatelů i jeho anglický překlad „password“) také číselné postupky „123456“ a „12345678“. Do první desítky kombinací, které by podle bezpečnostních expertů lidé vůbec k zabezpečení svých účtů neměli používat, se dostaly také slova jako opice (monkey), pusť mě dovnitř (letmein) či drak (dragon) [31].
Hesla složená jen z malých písmen abecedy Počet znaků 4 8 12
Počet kombinací 456 976 208 827 064 576 95 428 956 661 682 200
Potřebný čas na prolomení 1,5 minuty 2,5 hodiny 121 let
Jak je z této tabulky patrné, delší hesla se prolamují pochopitelně hůře. Většina lidí bohužel používá jako heslo například jméno svého domácího mazlíčka, jména dětí či partnera. Případně nějaké známé slovo, které se jim dobře pamatuje. Čtyřmístné heslo tak není pro hackera žádný problém. Druhá následující tabulka uvádí, že nejlépe vaše data a soukromí ochrání alespoň osmimístná hesla, která je zpravidla dobré kombinovat s číslicemi a různými znaky, aby se nejednalo pouze o běžně používaná slova [31]. Tabulka 2 – Počet všech kombinací hesla a čas na jeho prolomení (Zdroj: [31]).
Hesla složená ze všech existujících znaků Počet znaků 4 8 12
Počet kombinací 268 435 456 72 057 594 037 927 900 19 342 813 113 834 100 000 000 000
Potřebný čas na prolomení 4 minuty 91 let 24,5 miliardy let
V následující tabulce je zobrazeno, kolik různých kombinací z čísel a malých i velkých písmen je možné vytvořit. Pro představu je u každého údaje napsán i přibližný čas, který hacker potřebuje na to, aby toto heslo prolomil [31].
Jak je z tabulky patrné, delší hesla složená ze znaků v kombinaci s číslicemi a různými znaky se prolamují pochopitelně hůře. V dobrém hesle by neměly být použité jen běžné znaky. Čím větší množinu znaků v hesle použijete, tím je složitější heslo prolomit. K dispozici máte 10 číslic, 26 základních písmen abecedy (a-z), které můžete zdvojnásobit použitím velkých a malých písmen a nakonec i interpunkční znaménka ( . , : ; - ? ! ...) a spoustu speciálních znaků ( @ # & $ ^ _ * ...). Dohromady tedy máte k dispozici přes 80 znaků relativně snadno použitelných na běžné klávesnici. Nezapomínejte však, že na internetu některé servery nepodporují použití určitých speciálních znaků (např. $, &, \, /, ', <, >, ", , ˇ) z bezpečnostních důvodů.
76
77
Uživatelé svá hesla dlouhodobě podceňují. O bezpečnosti hesla rozhoduje i jeho délka. Speciální hackerské programy dokážou čtyřmístné heslo, složené z číslic od nuly do devítky, prolomit za dvě minuty [31].
Strana: A
Samostatnou kapitolou jsou hesla. Vzhledem ke zvyšujícímu se počtu uživatelských účtů, roste i počet hesel, které tyto účty mají aspoň částečně chránit. Pro uživatele je stále složitější si všechna tato hesla zapamatovat. To je také důvodem, proč si uživatelé hesla píší na lístečky, vkládají si papírky s hesly do peněženek a k dokladům. Přitom prolomení hesla je jednou z nejjednodušších hackerských úloh. Programy, které to umějí, jsou totiž volně ke stažení na Internetu.
Tabulka 1 – Počet znaků hesla jen z písmen a čas na jeho prolomení (Zdroj: [31]).
Arch: 39
8. V internetových kavárnách a na cizích počítačích se nikdy nepřihlašujte do internetového bankovnictví. V počítači mohou být nainstalován keylogger (jedná se o software, který snímá stisky jednotlivých kláves). 9. Ostražitost je nutná při připojení k nezašifrovaným bezdrátovým sítím (WiFi a GSM). Ty totiž může kdokoliv odposlouchávat a získat tak přístup ke všem datům v cizím počítači. 10. Pravidelně provádějte zálohy svých dat a bezpečně je ukládejte.
Závěr Bezpečnost informací představuje poměrně rozsáhlý obor, který se stal nedílnou součástí studia v oblasti informačních systémů a s rostoucím objemem zpracovávaných dat stále více roste i jeho důležitost. Čím větší hodnotu informace mají, tím by se měla věnovat větší pozornost jejich zabezpečení. Důležitým aspektem kybernetické bezpečnosti je ochrana před krádeží identity.
Kybernetický útok se odehrává v kybernetickém prostoru. Kybernetický prostor lze chápat jako virtuální prostředí vytvořené propojením počítačových systémů v síti. V kybernetickém prostoru probíhá vzájemné působení mezi subjekty stejně jako v reálném světě, ovšem bez nutnosti fyzické aktivity. Kybernetický prostor nezná hranic a není tedy pouze otázkou teritoriální. Kybernetický terorismus je chápán jako prostředek pro dosažení cílů pomocí počítače a počítačových systémů. Jedná se o nezákonný útok nebo nebezpečí útoku proti počítačům, počítačovým sítím a informacím v nich uložených. Kybernetický zločin je oproti tomu chápán jako prostředek k získání přístupu k datům, které je možné pozměnit či zcizit. Podmínkou pro kybernetický terorismus je úspěšné provedení útoku, při kterém je zaznamenána ztráta na straně cílů. Organizovaný zločin v kyberprostoru v dnešní době vytváří větší zisky s menším rizikem, že bude hacker vystopován a souzen. Kybernetický útok je zpravidla veden na řídící prvky technologie, které mohou vážně ohrozit životy lidí nebo vážně ohrozit nějakou výrobu, technologii či službu. Kybernetický útok proto lze definovat také jako útok na infrastrukturu informačních technologií za účelem způsobit poškození nebo získat citlivé či strategicky důležité informace. Nejčastěji je spojován s politicky či vojensky motivovanými útoky.
78
79
Strana: A
Pro vhodné nastavení bezpečnosti informací byly vytvořeny normy. Normy v oblasti bezpečnosti informací se zabývají nastavením, řízením a posuzováním bezpečnosti informací. Normy kybernetické bezpečnosti byly vytvořeny relativně nedávno, neboť teprve v posledních letech přibývá citlivých informací uložených v počítačích, které jsou připojeny k Internetu.
Arch: 40
Obecně se za bezpečné heslo považuje takové heslo, které obsahuje velká a malá písmena, číslice, speciální znaky, je dostatečně dlouhé a nemá vztah k uživateli nebo prostředí, ve kterém se nachází. Za silné nelze považovat heslo obsahující opakující se znaky a posloupnosti, ať už číselné, abecední nebo posloupnosti odpovídající rozložení kláves na klávesnici. Ideální heslo tvoří minimálně 12 a více znaků a obsahuje různé typy a kombinace znaků (velká a malá písmena, číslice a speciální znaky). A ještě jedna rada na konec. Svá hesla si dobře chraňte, nikde nezveřejňujte, ale hlavně si je pamatujte!!!
[1]
[2] [3]
[4]
[5]
Pro zásadní určení priorit kybernetické obrany každého státu je potřeba vydefinovat kritické komunikační a informační infrastruktury státu. Hlavním úkolem kybernetické obrany států před kybernetickými hrozbami je ochrana komunikační a informační infrastruktury státu a státem provozovaných systémů před kybernetickými útoky. K plnění tohoto úkolu kybernetické obrany je využíváno procesů v souladu s cyklem plánuj‐dělej‐kontroluj‐jednej (Plan‐Do‐Check‐Act – PDCA) dle standardů ISO.
[7]
Cílem bezpečnosti informací je chránit data a informace od velkého množství hrozeb tak, aby byla zajištěna jejich bezpečnost.
[8]
[6]
[9]
[10]
80
CALCE, Michael a Craig SILVERMAN. Mafiaboy: A Portrait of the Hacker as a Young Man. 1. vydání. Kanada: Viking. 2008. ISBN 978-07627-7055-7. Co je NCKB. [online] [cit. 2012-11-23]. Dostupné z WWW: http://www.govcert.cz/cs/ Cvičení CMX 2012 a Cyber Coalition 2012. [online] [cit. 2012-12-18]. Dostupné z WWW: http://www.acr.army.cz/vycvik-anasazeni/vycvik-vojsk/2012/cviceni-cmx-2012-a-cyber-coalition2012--77206/ Cyber Atlantic 2011: první společné cvičení EU a USA v oblasti počítačové bezpečnosti. [online] [cit. 2012-12-18]. Dostupné z WWW: http://www.cesnet.cz/sdruzeni/napsali-onas/2011/11/20111108_ITPoint.html Cyber Europe 2010: evropská kybernetická bezpečnost prověřena. [online] [cit. 2012-12-18]. Dostupné z WWW: http://www.cesnet.cz/sdruzeni/napsali-onas/2010/11/20101108_ITPoint.html Česká republika na cvičení NATO Cyber Coalition 2010. [online] [cit. 2012-12-18]. Dostupné z WWW: http://www.mocr.army.cz/informacni-servis/zpravodajstvi/ceskarepublika-na-cviceni-nato-cyber-coalition-2010-49559/ ČSN ISO/IEC TR 13335‐1:1999 Informační technologie – Směrnice pro řízení bezpečnosti IT – Část 1: Pojetí a modely bezpečnosti IT ČSN ISO/IEC 27000 ČSN ISO/IEC 27000 - Informační technologie Bezpečnostní techniky - Systémy řízení bezpečnosti informací Přehled a slovník. ČSN ISO/IEC 27001 - Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací Požadavky. ČSN ISO/IEC 27002 - Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací – Požadavky.
81
Strana: A
Podle bezpečnostních expertů jsou útoky hackerů z hnutí Anonymous jen prvním náznakem toho, co nás čeká. Podobné ideologické útoky se totiž budou rozmáhat stále častěji. Takzvaný hacktivismus, tedy aktivita hackerů v on-line světě, se bude týkat stále častěji většího množství firem i státních organizací. Kyberzločinci v současnosti dokáží stejně jako reklamní agentury dovedně využívat současné trendy a události. Vědí, co je zrovna v kurzu a zneužívají toho k internetovým podvodům. Často k tomu používají metody sociálního inženýrství, aktuálního fenoménu mezi počítačovými hrozbami.
Literatura
Arch: 41
Kybernetické útoky budou brzy větší hrozbou než terorismus. Veřejný a soukromý sektor se usilovně snaží bránit své kritické informační a komunikační infrastruktury proti jedné z největších hrozeb 21. století, kybernetickým útokům. A právě západní země v posledních letech dávají rok co rok více finančních prostředků na vzdělávání svých občanů v oblasti ochrany proti kybernetickým útokům.
[11]
[12]
[14]
[16] [17] [18]
[19]
[20]
[21]
[22]
82
[24]
[25]
[26] [27]
[28]
[29]
[30]
[31]
[32] [33] [34]
JIRÁSEK, Petr, Luděk NOVÁK a Josef POŽÁR. Výkladový slovník kybernetické bezpečnosti. 1. oficiální vyd. Praha: Policejní akademie ČR v Praze, 2012, 132 s. ISBN 978-80-7251-378-9. JIROVSKÝ, Václav. Kybernetická kriminalita: nejen o hackingu, crackingu, virech a trojských koních bez tajemství. 1. vyd. Praha: Grada, 2007, 284 s. ISBN 978-80-247-1561-2. KAMAL, Ahmad. The Law of Cyber-Space. United Nations Institute for Training and Research, New York, 2005, 81 s. ISBN: 92-9182-0388 Koncepce kybernetické obrany rezortu obrany. Praha: Ministerstvo obrany. 2012. KONRÁD, Jakub. Kyberprostor aneb Nové válečné území [online]. Aktualizováno 2009-07-02 [cit. 2012-08-21]. Dostupné z WWW: http://www.info-koktejl.cz/it-a-technika/pocitacovakriminalita/kyberprostor-aneb-nove-valecne-uzemi/ Kybernetické útoky. [online] [cit. 2012-10-12]. Dostupné z WWW: http://www.ceskatelevize.cz/porady/10121359557-port/739kyberneticke-utoky/ LEVY, Steven. Hackers: Heroes of the Computer Revolution - 25th Anniversary Edition. 1. vydání. USA: O’Reilly Media. 2010. ISBN 9781-449-38839-3 Massive Android malware op may have infected 5 million users. [online] [cit. 2012-12-08]. Dostupné z WWW: http://www.computerworld.com/s/article/9223777/Massive_And roid_malware_op_may_have_infected_5_million_users?taxonomyId =17 Nejhloupější hesla, která lidé používají na internetu. [online] [cit. 2012-12-09]. Dostupné z WWW: http://www.novinky.cz/internet-apc/250913-nejhloupejsi-hesla-ktera-lide-pouzivaji-na-internetu.html MC 0571 - NATO Cyber Defence Concept. 23 April 2008. McQUADE III., Samuel. Encyclopedia of Cybercrime. Westport: Greenwood. 2008. Memorandum o Computer Security Incident Response Team České republiky. Praha: Ministerstvo vnitra České republiky. 2010. s. 4. Čj. MV-106696 OKB-2010.
83
Strana: A
[15]
[23]
Arch: 42
[13]
ČSN ISO/IEC 27003 - Informační technologie - Bezpečnostní techniky - Směrnice pro implementaci systému řízení bezpečnosti informací. ČSN ISO/IEC 27004 - Informační technologie - Bezpečnostní techniky - Řízení bezpečnosti informací - Měření. ČSN ISO/IEC 27005 - Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací. ČSN ISO/IEC 27006 - Informační technologie - Bezpečnostní techniky - Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací. ČSN ISO/IEC 27799 - Zdravotnická informatika - Systémy řízení bezpečnosti informací ve zdravotnictví využívající ISO/IEC 27002. ČSN ISO/IEC 20000-1 Informační technologie - Management služeb – část 1: Specifikace. ČSN ISO/IEC 20000-2 Informační technologie - Management služeb – část 2: Soubor postupů. DENNING, D. E. Activism, Hacktivism, and Cyberterrorism: The Internet as a Tool for Influencing Foreign Policy. [online] [cit. 2012-1023]. Dostupné z WWW: http://www.nautilus.org/infopolicy/workshop/papers/denning.h tml DOUCEK, Petr. Řízení bezpečnosti informací: 2. rozšířené vydání o BCM. 2., přeprac. vyd. Praha: Professional Publishing, 2011, 286 s. ISBN 978-80-7431-050-8. Hackeři vysáli z bankovních účtů téměř miliardu korun díky jedinému viru. [online] [cit. 2012-12-10]. Dostupné z WWW: http://www.novinky.cz/internet-a-pc/bezpecnost/287190-hackerivysali-z-bankovnich-uctu-temer-miliardu-korun-diky-jedinemuviru.html Jak by mohl vypadat kybernetický útok na ČR. [online] [cit. 2012-1102]. Dostupné z WWW: http://tm.m.idnes.cz/blog/clanek.248339.idn JANOUŠEK, Michal. Kyberterorismus: terorismus informační společnosti. Obrana a strategie, Brno, 2006, roč. 6, č. 2, s. 60-66. ISSN 1214-6463.
[35]
[36]
[39]
[40]
[41]
[42]
[43] [44]
84
[46]
[47]
[48]
[49]
[50]
[51]
Věcný záměr zákona o kybernetické bezpečnosti. [online] [cit. 201212-10]. Dostupné z WWW: http://www.govcert.cz/cs/informacniservis/aktuality/vlada-schvalila-navrh-vecneho-zameru-zakona-okyberneticke-bezpecnosti/ Vláda ČR. Oblasti kritické infrastruktury v ČR. Usnesení vlády ČR č. 1436 ze dne 19. prosince 2007 (usnesení BRS ze dne 3. července 2007 č. 30). Výkladový slovník kybernetické bezpečnosti. [online] [cit. 2012-1012]. Praha: Policejní akademie ČR v Praze a Česká pobočka AFCEA. 2012. Dostupné z WWW: http://www.cybersecurity.cz/data/slovnik_v150.pdf WODA, Krzysztof. Cyber Warfare and Cyber Terrorism. London : Idea Group Publishing, 2007. The Analysis of Money Laundering Techniques, s. 138-145. 2012 Threats Predictions. [online] [cit. 2012-12-09]. Dostupné z WWW: http://www.mcafee.com/us/resources/reports/rpthreat-predictions-2012.pdf LUKÁŠ, Luděk, Petr HRŮZA a Milan KNÝ. Informační management v bezpečnostních složkách. 1. vyd. Praha: Ministerstvo obrany České republiky, 2008, 214 s. ISBN 978-80-7278-460-8. TOP 09 [online] [cit. 2012-04-28]. Dostupné z WWW: http://www.top09.cz
85
Strana: A
[38]
[45]
Arch: 43
[37]
Piráti vymysleli nový způsob, jak se lidem dostat do počítače. [online] [cit. 2012-12-18]. Dostupné z WWW: http://www.novinky.cz/internet-a-pc/bezpecnost/287466-pirativymysleli-novy-zpusob-jak-se-lidem-dostat-do-pocitace.html Ransomware, tzv. malware vyžadující výkupné, doznají prudkého nárůstu v roce 2013. [online] [cit. 2012-12-10]. Dostupné z WWW: http://www.govcert.cz/cs/informacniservis/aktuality/ransomware-tzv-malware-vyzadujici-vykupnedoznaji-prudkeho-narustu-v-roce-2013/ ŘEHÁK, David, Pavel FOLTIN a Richard STOJAR. Vybrané aspekty soudobého terorismu. 1. vydání. Praha: Ministerstvo obrany České republiky - Agentura vojenských informací a služeb, 2008, 143 s. ISBN 978-80-7278-443-1. Stuxnet. [online] [cit. 2012-11-18]. Dostupné z WWW: http://cs.wikipedia.org/w/index.php?title=Stuxnet&oldid=815463 1 ŠÍPEK, Jan. Zásek do živýho. [online] [cit. 2012-12-10]. Dostupné z WWW: http://eldar.cz/kangaroo/zasek_do_zivyho/zasek_do_zivyho.pdf Usnesení Vlády České republiky ze dne 19. října 2011 č. 781 o ustavení Národního bezpečnostního úřadu gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. 2011. Usnesení Vlády České republiky ze dne 15. března 2010 č. 205 o řešení problematiky kybernetické bezpečnosti České republiky. 2010. Usnesení Vlády České republiky ze dne 24. května 2010 č. 380 o zřízení Meziresortní koordinační rady pro oblast kybernetické bezpečnosti. 2010. VERTON, Dan. The Hacker Diaries: Confessions of Teenage Hackers. 1. vydání. USA: The McGraw-Hill. 2002. ISBN 0-07-222364-2. VESELÝ, Josef. Kybernetické útoky. In Kybernetické útoky na informační systémy. Praha: Policejní akademie České republiky v Praze, 2012. ISBN 978-80-7251-371-0.
Seznam zkratek
EU FBI GPS GSM https ISMS ISO/IEC KCC KSČM MO
86
87
Strana: A
ENISA
Vysvětlení Anti-Counterfeiting Trade Agreement Armáda České republiky Cooperative Cyber Defence Centre o Excellence Distributed Denial of Service Denial of Service Cyber Defence Management Authority Computer Emergency Response Team Computer Incident Response Capability Crisis Management Exercise Computer Security Incident Response Team Česká republika Česká technická norma Česká strana sociálně demokratická České vysoké učení technické European Network and Information Security Agency - Evropské agentury pro bezpečnost sítí a informací Evropská unie Federal Bureau of Investigation - Federální úřad pro vyšetřování Global Positioning System Groupe Spécial Mobile - Globální Systém pro Mobilní komunikaci Hypertext Transfer Protocol Secure Information Security Management Systém Systém řízení bezpečnosti informací International Organization for Standardization / International Electrotechnical Commission Korejská komunikační komise Komunistická strana Čech a Moravy Ministerstvo obrany
Arch: 44
Zkratka ACTA AČR CCD COE DDoS DoS CDMA CERT CIRC CMX CSIRT ČR ČSN ČSSD ČVUT
Zkratka NATO
Rejstřík Důvěrnost ............................................. 12
A
E
ACTA .................................................... 43 Adware ................................................... 9 Aktivní hrozba ..................................... 10 Analýza hrozeb ................................... 10 Analýza rizik........................................ 10 Anonymous ........................ 39, 43, 47, 80 Antivirový program ............................ 10
Elitní hacker .......................................... 58 Estonsko .......................................... 11, 35 Etický hacker ........................................ 57
F G
Bezpečnost informací9, 10, 19, 23, 66, 67 Bezpečnostní manažer ........................ 10 Bílý klobouk ......................................... 57 Black hat ............................................... 57 Blue Hat ................................................ 58 Bombing ............................................... 29 Brána ..................................................... 11
GPS ........................................................ 42 Gray hat ................................................. 58
H Hacker6, 28, 29, 35, 36, 38, 41, 47, 53, 54, 57, 58, 59, 80 Hacker-profesionál .............................. 54 Hacker-začátečník ................................ 54 Hacking ................................................. 12 Hodnocení rizik .................. 17, 18, 71, 72
C CERT ............................................... 11, 25 Certifikace ............................................ 11 CIRC ........................................... 11, 23, 26 Cloud .................................................... 73 Cracktivista .......................................... 58 CSIRT .............................................. 11, 24 Cyberstalking ....................................... 11 CZ.NIC ................................................. 24
I Informace5, 9, 12, 14, 15, 18, 27, 28, 33, 36, 37, 53, 59, 62, 65, 67, 75, 79 Informační válečník ............................. 56 Integrita ................................................. 12 ISMS ............................... 16, 18, 19, 70, 72 ITIL ........................................................ 20 Izrael ................................................ 39, 42
Č Černý klobouk ..................................... 57 Červ ................................................. 11, 37 ČSN ISO/IEC15, 16, 18, 19, 20, 21, 81, 82 ČSSD ............................................... 43, 87
J Jižní Korea ............................................. 38
K
D
Kritická infrastruktura5, 23, 41, 61, 62, 66, 85 KSČM .................................................... 43
DDoS .................................... 12, 30, 38, 87 Defacement .................................... 29, 57 DoS .................................................. 30, 35
88
89
Strana: A
FBI ............................................................ 6
B
Arch: 45
NBÚ ODS PDCA PDF PoC SCADA USA USD
Vysvětlení North Atlantic Treaty Organization Severoatlantická aliance Národní bezpečnostní úřad Občanská demokratická strana Plan-Do-Check-Act Portable Document Format Point of Contact Supervisory Control and Data Acquisition United States of America - Spojené státy americké United States Dollar - Americký dolar
Kybernetická bezpečnost1, 2, 4, 5, 6, 9, 12, 14, 15, 22, 23, 24, 25, 26, 28, 41, 61, 62, 63, 65, 66, 67, 79, 83, 84, 85 Kybernetický boj ................................. 47 Kybernetický chuligán........................ 57 Kybernetický prostor ......... 12, 27, 65, 79 Kybernetický terorismus ......... 27, 61, 79 Kybernetický útok4, 27, 37, 47, 48, 62, 65, 66, 79 Kyberterorismus ....................... 12, 47, 82 Kyberterorista ...................................... 54
Riziko ..................................................... 13
Ř Řízení rizik ................................ 19, 72, 82
M Malware . 13, 14, 29, 32, 37, 44, 54, 55, 84 Management rizik ............................... 13 Ministerstvo obrany ................. 25, 83, 84 Mládež .................................................. 59 Modrý klobouk .................................... 58
Š Šedý klobouk ........................................ 58 Škodlivý kód ................................... 29, 42
N Narušení ........................ 10, 13, 48, 61, 62 NATO ...................... 11, 22, 35, 37, 65, 83 Nevyžádaná pošta ............................... 13
T TOP 09 ................................................... 43 Trojský kůň ........................................... 14
O ODS ....................................................... 43 Ohrožení ............................................... 13 Opatření ................................................ 13 Organizovaný zločin ..................... 28, 79 Osetie .................................................... 35
U USB ........................................................ 37 Útok ..................................... 12, 14, 36, 37
V
P
Vir .......................................................... 14 Virový tvůrce ........................................ 55 Vnitřní nepřítel ..................................... 55
PDCA ................................... 17, 26, 70, 80 Phishing ................................................ 13 Počítačové útoky ................................. 28 Politický aktivismus ............................ 35 Politický aktivista ................................ 57 Poškození ............................................. 61 Profesní kriminálník ........................... 56
W White hat ............................................... 57
Z
R
Zloděj ..................................................... 56 Zranitelnost ........................................... 14
Ransomware .................................. 30, 84
90
Strana: A
SCADA ............................................ 36, 37 Skriptové dítě ....................................... 58 Sniffing .................................................. 30 Spoofing ................................................ 30 Standardy kybernetické bezpečnosti .. 7, 15, 79 Stav kybernetického nebezpečí .......... 63 Stuxnet ............................................. 37, 84 Symantec ............................................... 37
Arch: 46
S
Arch: 47
Strana: A
Arch: 48
Strana: A
Arch: 49
Strana: A
