Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Ohrožení počítačového systému Dagmar Brechlerová Eva Jablonská.

Podobné prezentace


Prezentace na téma: "Ohrožení počítačového systému Dagmar Brechlerová Eva Jablonská."— Transkript prezentace:

1 Ohrožení počítačového systému Dagmar Brechlerová Eva Jablonská

2 ohrožení HW –krádež (počítače, tiskárny, komunikačního zařízení…) ochrana: zaznamenat typ, výrobní číslo –zásah neodpovědného pracovníka (porucha) –znehodnocení (požár, voda, elektrické výboje) ohrožení SW –vymazání programu – náhodně nebo úmyslně –krádež programu –poškození programu (virus, technická závada) –chybami v programu Základní typy ohrožení

3 ohrožení dat –vymazání dat – náhodně nebo úmyslně –krádež datových souborů –chybou HW nebo SW –prodání cenných dat (trestné) –vydírání pod hrozbou zničení důležitých dat ochrana : zálohování!!! útoky z Internetu –útoky na hesla –slídění v sítích a paketech –předstírání IP adresy –využití sdílených knihoven Základní typy ohrožení

4 útok na počítač, program, data, komunikační zařízení neoprávněné používání počítače a komunikačních zařízení –hry (zanesení viru), soukromé účetnictví, odnesení dat –ochrana : diskless počítače (bez HD i disketových mechanik), zabezpečení v síti, zákaz hraní her Počítačová kriminalita

5 změna v datech, v programu –trestný čin –zákon o poškození a změně dat zneužití počítače k páchání jiné trestné činnosti –v bance připisování částek na vlastní účet (zaokrouhlování na n-tém místě, úroky z velkých obnosů na meziúčtu) podvody –hry letadlo, pyramida Počítačová kriminalita

6 služby- zboží není dodáno služby- zboží dodáno a nezaplaceno telekomunikační podvody vydírání hazardní hry pornografie, pedofilie podvody a padělky při elektronických platbách softwarové pirátství počítačový odposlech porušování autorských práv fiktivní banky podvodné investiční nabídky podvody velkého rozsahu praní špinavých peněz, daňové úniky účetní podvody Počítačová kriminalita

7 Co přitahuje kriminální živly na Internetu a je zároveň podceněno ? snadný přístup a dostupné informace vzdálené útoky nízké riziko, obtížně zjistitelné lze snadno dosáhnout anonymity možné obrovské účinky Proč? snadnost instalace Internetu a Intranetu je velmi zavádějící systém neumí to, co bylo demonstrováno bezpečnostní rizika jsou vždy podceněna

8 původně programátoři hledající řešení problémů pomocí nových technologií nyní místo spravování trhlin v počítačových a komunikačních systémech jejich hledání a využívání snaží se dostat do cizí sítě nebo počítače pro vlastní potěšení nebo pro zisk Crackeři útočníci, kteří vnikají do cizích systémů, aby ukradli nebo porušili data, ukradli hesla, průmyslová špionáž Phrackeři zneužití počítačů a databází telefonních společností Hacker

9 Proč vedení podceňuje nebezpečí ? Nerozumí tomu Muselo by platit IT jim často nahání strach IT na nízké úrovni hierarchie v podniku Jaké jsou skutečné škody? Nevíme Mnoho incidentů se nezaznamená Podniky nejsou schopny průniky detekovat Nezveřejňují je

10 Bezpečnostní politika

11 BP je základní východisko pro budování bezpečnosti IS Fáze vývoje bezpečnostní politiky 1. posouzení vstupních podmínek a vlivů 2. analýza rizik 3. určení bezpečnostní politiky 4. provádění a kontrola protiopatření 5. určení závěru Analýza rizik 1. identifikuji a oceňuji aktiva 2. naleznu zranitelná místa (jaká jsou rizika a hrozby) 3. odhadnu možnost útoku na tato místa 4. vypočtu ztráty 5. zjistím cenu protiopatření 6. odhadnu úsporu použitím protiopatření a stále dokola

12 Dokument bezpečnostní politiky musí přijmout vedení organizace závazný, nutno přijmout jako normu organizace veřejný v organizaci stručný a srozumitelný písemný dokument musí se stále zdokonalovat je třeba ověřit v praxi Bezpečnostní politika Celková na 5 až 10 let, globální popis cílů organizace a jejího IS Systémová konkrétní cíle, konkrétní hrozby, konkrétní protiopatření, jak chránit, organizovat, distribuovat práva

13 fyzická –ochrana budov, počítačů, médií –prevence krádeží –prevence přírodních útoků technická –šifrování dat personální –hrozby od vlastních zaměstnanců –od nezkušených uživatelů –od hackerů, profesionálů, špionů –hrozby od dodavatelů, zákazníků komunikační –ochrana poštovních zásilek –faxů –telefonu –přenosu dat –hlasové komunikace –IP telefonie –WLAN provozní –program školení –detekce útoků, postupy při útocích –havarijní plány –preventivní bezpečnostní opatření Bezpečnostní politika

14 malé a střední firmy bezpečnost dat stále podceňují je třeba systémový přístup k počítačové bezpečnosti –je to strategická oblast podnikání –ne dílčí problém IT oddělení důležité jako zálohování klíčových dat investice do zabezpečení IS zvýší firmy až po incidentu v tomto případě další náklady –snížení obratu kvůli vyřazení IS –náklady na odstranění infekce důležitá prevence firmy bezpečnost dat stále podceňují Computerworld 14/2006 Bezpečnostní politika

15 Autentizace

16 proces ověření identity, obvykle po identifikaci identifikace rozpozná, ale neověří autentizace je ověření deklarované identity uživatel dokazuje, že je opravdu tím, za koho se vydává Princip: porovnání přístupového identifikátoru s hodnotou, která je uložena v autentizačním zařízení Autentizace

17  co vím - znalostí, obvykle hesla, PIN  co mám - vlastnictvím předmětu - karta, klíč  kdo jsem - biologická identifikace - otisk prstu, snímek sítnice, tvar ruky určitá pravděpodobnost, že špatný uživatel je vpuštěn a naopak  co dělám - provedení určité akce v konkrétním čase a místě - jak rychle píšu, charakteristické rysy písma  kde jsem - logování pouze z určitého místa Autentizace

18 hádání hesla –heslo stejné jako uživatelské jméno, jméno firmy, slovo „heslo“, jméno spoofing hesla –uživatel si myslí, že se hlásí normálně, ale je podstrčen jiný program –poté je login přerušen a je požadováno nové přihlášení –útočník má heslo a jméno kompromitování souboru hesel obrana: –kryptografie kryptografická ochrana, stačí hashování, které zpomalí slovníkový útok –kontrola přístupu přístupová práva, omezit přístup k souboru s hesly, zneviditelnit –kombinace obou Útok na heslo

19 výběr hesla je kritické místo bezpečnosti nemohu zcela zabránit prozrazení, ale musím zpomalit hádání změnit počáteční hesla jako manager, system atd. psát tak, aby to nikdo neviděl minimální délka hesla alespoň 6 znaků pravidelná změna hesla, udržování historie hesel nepoužívat snadno odvoditelná hesla (ne jména manželky, dětí, psů atd.) nesdělovat spolupracovníkům nepsat na monitor Výběr hesla

20 je kombinací abecedy, znaků, číslic, mezer obsahuje malá i velká písmena nemá žádné snadno domyslitelné části není odvoditelné z jména, adresy, ové adresy snadno se pamatuje (není třeba si ho zapisovat) dá se rychle napsat je měněno po 45 dnech (lze měnit jen část hesla) minimální délka hesla alespoň 6 znaků (rozumné do 14 znaků) je nutno najít kompromis mezi lidskou pamětí a komplexností hesla lze zvolit: dvě krátká slova spojená pomocí speciálního znaku, např. mezery ( ) ! % & + - * _ ? [ ] vlastní akronym např. sNdz*nl (sla Nanynka do zeli natrhala lupeni) Silné heslo

21 Zákon o právu autorském zákon 121/2000 upravuje práva autora k jeho dílu (včetně podoby elektronické) §2) za dílo se považuje též počítačový program právo pořizovatele k jím pořízené databázi §27 Majetková práva trvají po dobu autorova života a 70 let po jeho smrti (pokud není dále stanoveno jinak) Právo a IT

22 §35 Do práva autorského také nezasahuje škola, užije-li nevýdělečně ke své vnitřní potřebě dílo vytvořené studentem ke splnění studijních povinností vyplývajících z jeho právního vztahu ke škole (školní dílo) §37 Do práva autorského také nezasahuje knihovna, archiv atd. půjčuje-li originály či rozmnoženiny vydaných děl – nevztahuje se na počítačové programy Zákon o právu autorském

23 nákup –SW se neprodává, pouze se uděluje licence k jeho používání –prodávající uzavírá se zákazníkem licenční smlouvu jednouživatelská licence víceuživatelská licence síťová licence –podmínky záruky, cena upgrade (nové verze) vlastní vývoj –úzce specializovaného pro konkrétního uživatele –časově náročné, nákladné ostatní možnosti –public domain –freeware –shareware –demo Možnosti získání SW

24 public domain –lze je používat a šířit zcela volně – lze je upravovat freeware –lze volně šířit –existují autorská práva nesmí se měnit nesmí se používat jako součást vlastního programu shareware –po vyzkoušení registrace a zaplacení poplatku demo –demonstrační (na výstavách zdarma nebo za vizitku) –omezené funkce Ostatní možnosti získání SW

25 při zpracování osobních údajů (oú) je správce povinnen –stanovit účel, k němuž mají být osobní údaje zpracovány –stanovit prostředky a způsob zpracování oú –zpracovávat pouze pravdivé a přesné oú v souladu s účelem, k němuž byly shromážděny –shromažďovat oú odpovídající pouze stanovenému účelu a v nezbytném rozsahu –nesdružovat oú, které byly získány k rozdílným účelům správce může zpracovávat oú pouze se souhlasem subjektu údajů (kromě uvedených výjimek) Zákon o ochraně osobních údajů

26 správce musí zajistit, aby nemohlo dojít –k neoprávněnému nebo nahodilému přístupu k oú – k jejich změně, zničení či ztrátě, neoprávněným přenosům či jinému zneužití osoby, které zpracovávají oú jsou povinni zachovávat mlčenlivost o oú i po skončení zaměstnání Zákon o ochraně osobních údajů

27 Elektronický podpis

28 Závazné dokumenty v papírové formě –ručně psaný podpis v elektronické formě –digitalizovaný podpis - není vhodný –elektronický podpis nelze rozlišit kopii od originálu

29 využití různých biometrických metod –otisky prstů (množství, typ a pozici podrobností) –charakteristika oční duhovky –charakteristika oční sítnice (rozmístění krevních cév - laserový paprsek infračerveného světla) –geometrie ruky, dynamika podpisu, analýza hlasu (šum) digitální podpis –principy asymetrické kryptografie Elektronický podpis

30 diplomatické kruhy, vojenské a špionážní služby 4000 let starý egyptský text psaný tajnými hieroglyfy místo běžně používaných Indie 300 př.n.l. - popis špionážní služby Sparta 5.stol.př.n.l. - na dřevěnou hůl se namotal pruh kůže Gaius Julius Caesar - dopisování s Kleopatrou - substituční šifra v o j á Šifrování - historie

31 Johannes Trittheim ( ) kniha o šifrování druhá světová válka Alan Turingen sestrojil počítač Colossum pro luštění německé šifry - kryptoanalýza systému Enigma konec 70. let IBM vyvinula symetrický šifrovací algoritmus DES komerční použití v průmyslu, bankovnictví a v IS 1976 Diffie a Hellman kryptosystém s veřejným klíčem 1977 asymetrický šifrovací algoritmus RSA

32 Funkce elektronického podpisu  autentizace původce dokumentu příjemce bezpečně ví, kdo je autorem nebo odesilatelem dokumentu a má jistotu, že dokument nebyl padělán nebo podvržen  integrita (celistvost) dokumentu příjemce dokumentu má jistotu, že dokument nebyl během přenosu modifikován  nepopiratelnost (neodmítnutelnost odpovědnosti) odesilatel nebo autor nebude moci popřít, že daný dokument s daným obsahem vytvořil nebo odeslal

33 pro každého uživatele jsou vytvořeny současně dva odlišné vzájemně se doplňující klíče určité délky jeden klíč (podpisový, soukromý, tajný) lze použít pouze k vytváření digitálního podpisu druhý klíč (ověřovací, veřejný) slouží k ověření digitálního podpisu Digitální podpis

34 –Z dokumentu, se vypočítá tzv. hašovací funkcí krátký bitový vzorek nazývaný hash –Hash je zašifrován privátním klíčem odesilatele a připojen za digitální dokument jako digitální podpis –Na straně příjemce se veřejným klíčem odesilatele dešifruje podpis –Tento dešifrovaný hash se porovná s hash, který si příjemce vypočítá z přeneseného digitálního dokumentu –Při shodnosti obou hash má příjemce jistotu, že dokument nebyl modifikován nebo padělán

35 Hašovací funkce Bezpečná hašovací funkce musí být –nekolizní, tzn. nesmí dávat pro dva různé dokumenty stejnou hodnotu hash –z dané hodnoty hash nesmí být možné odvodit původní dokument

36 Certifikační autorita (CA) nezávislá důvěryhodná třetí strana potvrzuje, že veřejný klíč patří uvedenému vlastníku vydává certifikáty - digitální dokumenty víceúrovňové CA

37 Petr posílá Aleně zprávu: Bezpečnost je důležitá Petr pomocí hašovací funkce vytvoří otisk zprávy Petr vytvoří digitální podpis zašifrováním otisku pomocí soukromého klíče Petr pošle Aleně zprávu a digitální podpis Alena dostane od Petra zprávu: Bezpečnost je důležitá Alena pomocí hašovací funkce vytvoří otisk obdržené zprávy, pokud je stejný jako dešifrovaný digitální podpis, je zaručeno, že zpráva nebyla během přenosu modifikována Alena dešifruje pomocí Petrova veřejného klíče digitální podpis Alena dostane zprávu a digitální podpis

38 Certifikační autorita kvalifikovaný certifikát může vydat státem schválená certifikační autorita (tzv. e-notář) kvalifikovaný certifikát není nutný, pokud nekomunikujete s úřadem státní správy u nás má akreditaci společnost 1. certifikační (dceřinná spol. PVT) + pošta + 1 další poskytovatel s certifikátem dostanete i data pro vytváření a ověřování E podpisu (=klíče) většinou se spolu se zprávou posílá i certifikát ověření certifikátu zajišťuje aplikace

39 Public Key Infrastructure PKI Provozní prostředí pro bezpečnou komunikaci v síťovém prostředí –software –hardware –kryptografické technologie –poskytování potřebných služeb Poskytovatelé důvěryhodných služeb TSP (Trusted Service Provider) –certifikační autorita - vydává certifikáty –registrační autorita –depositní autorita - seznamy certifikátů –vydavatel certifikačních politik - definuje technické a procedurální požadavky na vytváření a ověřování certifikátů

40 nezbytnost jednotného přístupu k řešení elektronického podpisu v rámci EU –elektronické obchodování na společném trhu –elektronická komunikace NSR Zákon o digitálním podpisu 1997 Direktiva EU k elektronickému podpisu prosinec 1999 zavedení do zákonodárství členských zemí do poloviny roku 2001 v ČR Zákon o elektronickém podpisu - červen 2000 EU a ČR

41 č.227/2000 Sb nabyl účinnosti nejvyšší certifikační autoritou je Úřad pro ochranu osobních údajů uděluje akreditace pro výkon činnosti akreditovaného poskytovatele certifikačních služeb vykonává dozor nad činností poskytovatelů certifikačních služeb vydávajících kvalifikované certifikáty Zákon ČR o elektronickém podpisu

42 zákon není právní úpravou pro obecné používání elektronického podpisu zákon o elektronickém podpisu má odlišit stupeň bezpečnosti a důvěryhodnosti elektronického podepisování dokumentů a ověřování identity odesilatele datové zprávy Zákon ČR o elektronickém podpisu

43 Novela zákona o elektronickém podpisu č. 440/2004 Sb. ze dne umožňuje používání –elektronických značek použijí se např. při vydávání elektronických výpisů z úředních databází –kvalifikovaných časových razítek důvěryhodným způsobem spojují data v elektronické podobě s časovým okamžikem

44 styk občanů s orgány státní správy - daňové přiznání vzájemná komunikace orgánů státní správy elektronické obchodování pomocí Internetu elektronické provádění plateb elektronická výměna dat EDI hospodářské smlouvy distribuce SW - zabezpečení před modifikací virem kontrola modifikace databází Uplatnění elektronického podpisu

45 Taoiseach Bertie Ahern TD Digital Signature fd d1 1c b2 c8 91 0a ed b3 e3 c d b b cd ae d e f c2 c1 6d f1 d6 9d 62 d7 fb c f7 aa 1b 92 8d 40 8d a a3 16 4b a1 d7 7b a7 e6 ff 52 af 9e 5f f3 c b 91 c0 96 f9 c1 b4 a9 26 8c e b5 85 d0 29 de af 51 9e fb 31 de a5 8e 49 d1 President William J Clinton Digital Signature b c9 f7 c7 da 20 b d c f e a8 5e 07 f5 36 4c 3b fd 3f 86 5b 0f 7c f4 16 c0 d6 52 d ad 42 3e e 6e c1 eb 01 1b da a4 9b f6 8c b5 5e fe c8 18 3d 97 8a f1 8d 09 ed d e 2a 23 e1 7d de 0e ab 88 d2 3b bf b 6f 6d 2b e4 b1 c ff ca e de 02 bf d2 a3 Uplatnění elektronického podpisu

46 PKI

47 Elektronická komunikace Problém integrity, důvěrnosti a garance původu informace důvěrnost - šifrováním integrita- podpisem neodmítnutelnost - podpisem provázání reálného člověka s digitálním podpisem- pomocí certifikačních autorit

48 Asymetrické algoritmy PKI založen na jejich principu veřejný a tajný klíč jedním šifruji, druhým rozšifrovávám tajný uschovám, veřejný zveřejním - CA

49 Certifikát Spojuje identitu (člověk, server, firma apod.) a veřejný klíč Ověřuje identitu protějšku, v el. světě nahrazuje průkaz totožnosti Musím ale důvěřovat certifikační autoritě Certifikát: Identifikace uživatele Období platnosti Veřejný klíč Elektronický podpis certifikační autoritou

50 Certifikační autorita CA - je to server, veřejně dostupný vystavuje veřejné klíče resp. certifikáty Certifikační autorita nemusí být stále připojena, např. kořenová certifikační autorita certifikuje nižší aut. A pak se odpojí. CA musí vydávat certifikáty a vydávat seznam zneplatněných certifikátů- CRL Důvod zneplatnění- 1. Čas 2. Prozrazen soukromý klíč apod.

51 Využití certifikátů Standard X509 verze 3 možno přesně pomocí příznaku definovat užití certifikátu bezpečný přístup na Web šifrovaná komunikace zabezpečení pošty šifrované ukládání souborů podpis kódu čipové karty, autentizace certifikátem

52 Slouží pro bezpečnou komunikaci v rámci Internetu Je to souhrn technologií a činností Zejména bankovnictví, el. Obchod Není to jen HW a SW, ale i politika, procedury, aplikace obvyklé složky: certifikační autorita, může to být strom certifikačních autorit registrační autorita bezpečnostní politika certifikační distribuční a manipulační systém aplikace PKI

53 PKI- bezpečnostní politika Bezpečnostní politika musí vycházet z bezp. politiky organizace Být s ní v souladu CPS- Certificate Practice Statement, postupy vytvoření a fungování cert. autority, pravidla vydávání a rušení certifikátů, generování klíčů, uložení, archivace atd. Tj. PKI musí mít vypracován detailní dokument o uvedení praktik do praxe

54 PKI- certifikační autorita Vydává certifikáty, ruší je buď po vypršení platnosti nebo při incidentu CRL- Certification Revocation List Jedna autorita může vydávat různé druhy certifikátů

55 PKI - registrační autorita Není povinná, ulehčuje styk s uživateli jedná se např. o prokazování totožnosti ověřují totožnost subjektu, dávají pokyn certifikační autoritě

56 PKI- certifikační distribuční a manipulační systém Distribuce certifikátů obnova klíčů, rušení, zálohování, evidence časová razítka ochrana privátních klíčů křížové certifikace

57 PKI - aplikace Pošta VPN elektronická výměna dat webová komunikace

58 Budování PKI Jde koupit hw a sw, ale PKI se musí vybudovat musí navazovat na ostatní HW a SW, tj. karty, HW bezpečnostní moduly atd. Řešení musí být uživatelsky příjemné Možnost přecházet postupně, po částech organizace

59 Užití certifikátů Lze téměř ve všech oblastech IS např. bezpečná komunikace po Internetu ochrana informací v interní síti vzdálené připojení z vnější sítě

60 Vybrané právní aspekty vedení zdravotnické dokumentace a telemedicíny z českého a evropského pohledu

61 Zákon č.20/1966 Sb. o péči o zdraví lidu Co obsahuje zdravotní dokumentace „osobní údaje pacienta v rozsahu nezbytném pro identifikaci pacienta a zjištění anamnézy a informace o onemocnění pacienta, o průběhu a výsledku vyšetření, léčení a o dalších významných okolnostech souvisejících se zdravotním stavem pacienta a s postupem při poskytování zdravotní péče“.[1] Může obsahovat rodné číslo pacienta.[1] [1] § 2 odst. 2 zákona č. 20/1966 Sb. o péči o zdraví lidu. [1]

62 Zákon č.20/1966 Sb. o péči o zdraví lidu …umožňuje vést zdravotnickou dokumentaci v elektronické podobě Zápisy zdravotnické dokumentace mohou být vedeny nejprve v listinné podobě a údaje z nich pak převáděny do podoby elektronické. Zápisy zdravotnické dokumentace mohou být vedeny nejprve v elektronické podobě a pak převáděny na papírový nosič Zápisy zdravotnické dokumentace mohou být vedeny pouze v elektronické podobě.

63 Zápisy zdravotnické dokumentace mohou být vedeny pouze v elektronické podobě V tomto případě zákon stanoví následující povinnosti: a) všechny samostatné části zdravotnické dokumentace obsahují zaručený elektronický podpis osoby, která zápis provedla b) bezpečnostní kopie datových souborů jsou prováděny nejméně jednou za pracovní den c) po uplynutí doby životnosti zápisu je zajištěn opis archivních kopií d) uložení archivních kopií, které jsou vytvářeny nejméně jedenkrát za rok, je provedeno způsobem znemožňujícím do nich provádět dodatečné zásahy Prakticky spíše nerealizovatelné, problém s podpisem, certifikační autorita atd.

64 Směrnice č. 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů Úřad pro ochranu osobních údajů. „osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.“[1][1] [1] § 4 písm. a zákona č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů. Dříve zákon zároveň obsahoval větu, že „o osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků“, nicméně toto bylo novelou vypuštěno. [1] 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů.

65 Zaveden pojem správce, zpracovatel Shromažďovat pouze skutečně nutné údaje, přesné,ve zdravotnické dokumentaci nelze mít např. osobní údaje, které s ní nesouvisejí Možno vyžádat si konzultaci na UOOU (Úřad na ochranu osobních údajů)

66 V současné době včleňována do českého práva Povinnost zajistit důvěrný charakter komunikace Směrnice o soukromí a elektronických komunikacích 2002/58/ES

67 Směrnice č. 1999/93/ES o zásadách Společenství pro elektronické podpisy Oblast elektronického podepisování byla harmonizována předpisy EU (Směrnice 1999/93/ES o zásadách Společenství pro elektronické podpisy). V České republice danou problematiku upravuje zákon 227/2000 Sb. přijatý dne (účinný od ). Zákon o elektronickém podpisu Z. 227/2000 Sb. přijatý dne

68 227/2000 Sb. Ten v první řadě definuje elektronický podpis. Jsou jím: údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě. Zaručený elektronický podpis musí zároveň splňovat následující požadavky: 1.být jednoznačně spojen s podepisující osobou, 2. umožňovat identifikaci podepisující osoby ve vztahu k datové zprávě, 3. být vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, 4. být k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat.

69 Elektronický podpis Certifikát je soubor informací o uživateli a jeho veřejný klíč, elektronicky podepsaný certifikační autoritou - CA. CA akreditované, ostatní Novela zákona - elektronické značky, časová razítka

70 Autorský zákon Zvláštní právo pořizovatele databáze – právní ochrana databáze ( směrnice 96/9/ES) Lze využít k ochraně zdravotnických databází

71 Trestně právní aspekty - § 257a trestního zákona. „ Poškození a zneužití záznamu na nosiči informací“: „(1) Kdo získá přístup k nosiči informací a v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch“ a) takových informací neoprávněně užije, b) informace zničí, poškodí, změní nebo učiní neupotřebitelnými, nebo c) učiní zásah do technického nebo programového vybavení počítače nebo jiného telekomunikačního zařízení, bude potrestán odnětím svobody až na jeden rok nebo zákazem činnosti nebo peněžitým trestem nebo propadnutím věci.

72 Neoprávněné nakládání s osobními údaji podle § 178 TZ: (1) Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném shromážděné v souvislosti s výkonem veřejné správy, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem. (2) Stejně bude potrestán, kdo osobní údaje o jiném získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, byť i z nedbalosti, sdělí nebo zpřístupní, a tím poruší právním předpisem stanovenou povinnost mlčenlivosti.

73 Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (Známá též jako Úmluva 108). Úmluva 108 stanoví základní zásady ochrany osobních údajů. Jsou to: zásada zákonnosti zpracování zásada účelu zásada časového omezení zásada nezbytnosti a přiměřenosti zásada transparentnosti zásada bezpečnostních opatření zásada práva přístupu zásada práva na nápravu a výmaz zásada nezávislého dozoru (přítomna až v dodatkovém protokolu)

74 - Směrnice č. 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů V oblasti ochrany dat jsou to: - Nařízení č. 45/2001 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů - Týká se zpracování osobních údajů orgány a institucemi Společenství. Přehled mezinárodní a komunitární úpravy

75 Rozhodnutí Komise č. 2002/2/ES podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně osobních údajů, kterou poskytuje kanadský zákon o ochraně osobních informací a elektronických dokumentech (Personal Information Protection and Electronic Documents Act) Směrnice č. 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích) Přehled mezinárodní a komunitární úpravy

76 Charter of fundamental rights of the European Union (Official Journal C 364,18/12/2000 P – 0022) Rozhodnutí Komise č. 2001/497/ES o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle směrnice 95/46/ES Přehled mezinárodní a komunitární úpravy

77 Literatura Dostál O., Brechlerová D. Vybrané právní aspekty vedení zdravotnické dokumentace a telemedicíny z českého a evropského pohledu Euromise 2004

78 Čipové karty

79 Typy karet obecně Paměťové - levné, jdou zkopírovat, dostupné, nenabízejí kryptografické funkce, bezpečné medium Mikroprocesorové (smart cards)- aktivní, procesor, OS, obsahují HW kryptografický koprocesor, HW generátor náhodných čísel aj. Kontaktní - ploška pro komunikaci karty a terminálu Bezkontaktní - komunikují pomocí elektromagnetických vln (karty pro přístup např.)

80 čipová versus s magnetickým proužkem informace jednoznačně identifikující kartu. informace na tzv. magnetickém proužku. Ten má nevýhody – značné omezení pro množství ukládaných dat a dá se relativně snadno okopírovat. Alternativa - čipové karty. Základem čipové karty je integrovaný obvod umístěný v nosiči, obsahující kryptografický koprocesor, paměť (RAM, ROM a EEPROM) a software. Aby mohla být karta považována za čipovou, musí také splňovat podmínky standardu pro čipové platební karty, ten definuje, jak má karta vypadat, jakým způsobem má komunikovat s terminály, určuje požadavky na terminály, popisuje bezpečnostní mechanismy atd.

81 Čipová karta Dvojfaktorová bezpečnost Něco mám - kartu Něco znám - PIN Uschované informace mnohem lépe chráněny než např. na hard disku nebo na obyčejné paměťové kartě (telefonní karta)

82 Použití Bezpečné přihlášení do systému Bezpečné uchování informací (PIN atd.) Automatické přihlašování

83 Čipová karta ( smart card) Problém v názvosloví, obecně čipová karta nemusí být smart, někde se to ale takhle používá Integrovaný obvod zalisovaný v nějakém nosiči a obsahující kryptografický koprocesor s pamětí (RAM, ROM, EEPROM) + SW SW je např. operační systém čipu

84 Kde bere karta energii? Nemá vlastní zdroj, bere ji ze čtečky Pokud bezkontaktně - tak indukce elektromagn. pole ze čtečky do antény čipové karty

85 Kde uchovávat certifikát, kde privátní klíč Lépe na mediu vně Čipová karta Problémy podpisu

86 PKI + podpis Špičkou PKI je z hlediska bezpečnosti čipová karta Na kartě může být generován klíčový pár (privátní, veřejný), generuje s v koprocesoru na kartě Přímo na kartě se provádějí operace Privátní klíč nikdy nepustí kartu - není možný odposlech

87 Podpis Data proudí na kartu pro podpis nebo zašifrování Provede se vše na kartě Ven jen výsledek

88 EEPROM V této paměti (dostatečně velké) se mohou ukládat digitální certifikáty Použití certifikátů: pro autentizaci, šifrování, podpis Čím větší paměť, tím více informací, možno uložit i odvolané certifikáty Možno i hesla

89 Rozšíření Magnetický proužek Natištěné informace Čárový kód

90 Bezpečnost Bezpečné medium Přístup přes PIN Lze omezit počet pokusů Eliminovat slovníkové útoky Nelze sledovat komunikaci mezi prvky na kartě Lze zkombinovat s dalšími prvky bezpečnostní politiky. Sejf, atd.

91 Útoky FIPS level 2 Generování klíčů na kartě Zneužití nikoli v informací na kartě. Ale při přenosu Spyware či Trojský kůň, odchytne zadávaný PIN

92 Normy Normy řady ISO / IEC Např. ISO/IEC bezkontaktní ISO/IEC kontaktní aj. Velmi rychlý vývoj


Stáhnout ppt "Ohrožení počítačového systému Dagmar Brechlerová Eva Jablonská."

Podobné prezentace


Reklamy Google