Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Ohrožení počítačového systému

Podobné prezentace


Prezentace na téma: "Ohrožení počítačového systému"— Transkript prezentace:

1 Ohrožení počítačového systému
Dagmar Brechlerová Eva Jablonská

2 Základní typy ohrožení
ohrožení HW krádež (počítače, tiskárny, komunikačního zařízení…) ochrana: zaznamenat typ, výrobní číslo zásah neodpovědného pracovníka (porucha) znehodnocení (požár, voda, elektrické výboje) ohrožení SW vymazání programu – náhodně nebo úmyslně krádež programu poškození programu (virus, technická závada) chybami v programu

3 Základní typy ohrožení
ohrožení dat vymazání dat – náhodně nebo úmyslně krádež datových souborů chybou HW nebo SW prodání cenných dat (trestné) vydírání pod hrozbou zničení důležitých dat ochrana : zálohování!!! útoky z Internetu útoky na hesla slídění v sítích a paketech předstírání IP adresy využití sdílených knihoven

4 Počítačová kriminalita
útok na počítač, program, data, komunikační zařízení neoprávněné používání počítače a komunikačních zařízení hry (zanesení viru), soukromé účetnictví, odnesení dat ochrana : diskless počítače (bez HD i disketových mechanik), zabezpečení v síti, zákaz hraní her

5 Počítačová kriminalita
změna v datech, v programu trestný čin zákon o poškození a změně dat zneužití počítače k páchání jiné trestné činnosti v bance připisování částek na vlastní účet (zaokrouhlování na n-tém místě, úroky z velkých obnosů na meziúčtu) podvody hry letadlo, pyramida

6 Počítačová kriminalita
služby- zboží není dodáno služby- zboží dodáno a nezaplaceno telekomunikační podvody vydírání hazardní hry pornografie, pedofilie podvody a padělky při elektronických platbách softwarové pirátství počítačový odposlech porušování autorských práv fiktivní banky podvodné investiční nabídky podvody velkého rozsahu praní špinavých peněz, daňové úniky účetní podvody

7 Co přitahuje kriminální živly na Internetu a je zároveň podceněno ?
snadný přístup a dostupné informace vzdálené útoky nízké riziko, obtížně zjistitelné lze snadno dosáhnout anonymity možné obrovské účinky Proč? snadnost instalace Internetu a Intranetu je velmi zavádějící systém neumí to, co bylo demonstrováno bezpečnostní rizika jsou vždy podceněna

8 Hacker původně programátoři hledající řešení problémů pomocí nových technologií nyní místo spravování trhlin v počítačových a komunikačních systémech jejich hledání a využívání snaží se dostat do cizí sítě nebo počítače pro vlastní potěšení nebo pro zisk Crackeři útočníci, kteří vnikají do cizích systémů, aby ukradli nebo porušili data, ukradli hesla, průmyslová špionáž Phrackeři zneužití počítačů a databází telefonních společností

9 Proč vedení podceňuje nebezpečí ?
Nerozumí tomu Muselo by platit IT jim často nahání strach IT na nízké úrovni hierarchie v podniku Jaké jsou skutečné škody? Nevíme Mnoho incidentů se nezaznamená Podniky nejsou schopny průniky detekovat Nezveřejňují je

10 Bezpečnostní politika

11 Bezpečnostní politika
BP je základní východisko pro budování bezpečnosti IS Fáze vývoje bezpečnostní politiky 1. posouzení vstupních podmínek a vlivů 2. analýza rizik 3. určení bezpečnostní politiky 4. provádění a kontrola protiopatření 5. určení závěru Analýza rizik 1. identifikuji a oceňuji aktiva 2. naleznu zranitelná místa (jaká jsou rizika a hrozby) 3. odhadnu možnost útoku na tato místa 4. vypočtu ztráty 5. zjistím cenu protiopatření 6. odhadnu úsporu použitím protiopatření a stále dokola

12 Dokument bezpečnostní politiky
musí přijmout vedení organizace závazný, nutno přijmout jako normu organizace veřejný v organizaci stručný a srozumitelný písemný dokument musí se stále zdokonalovat je třeba ověřit v praxi Bezpečnostní politika Celková na 5 až 10 let, globální popis cílů organizace a jejího IS Systémová konkrétní cíle, konkrétní hrozby, konkrétní protiopatření, jak chránit, organizovat, distribuovat práva

13 Bezpečnostní politika
fyzická ochrana budov, počítačů, médií prevence krádeží prevence přírodních útoků technická šifrování dat personální hrozby od vlastních zaměstnanců od nezkušených uživatelů od hackerů, profesionálů, špionů hrozby od dodavatelů, zákazníků komunikační ochrana poštovních zásilek faxů telefonu přenosu dat hlasové komunikace IP telefonie WLAN provozní program školení detekce útoků, postupy při útocích havarijní plány preventivní bezpečnostní opatření

14 Bezpečnostní politika
malé a střední firmy bezpečnost dat stále podceňují je třeba systémový přístup k počítačové bezpečnosti je to strategická oblast podnikání ne dílčí problém IT oddělení důležité jako zálohování klíčových dat investice do zabezpečení IS zvýší firmy až po incidentu v tomto případě další náklady snížení obratu kvůli vyřazení IS náklady na odstranění infekce důležitá prevence firmy bezpečnost dat stále podceňují Computerworld 14/2006

15 Autentizace

16 Autentizace proces ověření identity, obvykle po identifikaci
identifikace rozpozná, ale neověří autentizace je ověření deklarované identity uživatel dokazuje, že je opravdu tím, za koho se vydává Princip: porovnání přístupového identifikátoru s hodnotou, která je uložena v autentizačním zařízení

17 Autentizace co vím - znalostí, obvykle hesla, PIN
co mám - vlastnictvím předmětu - karta, klíč kdo jsem - biologická identifikace - otisk prstu, snímek sítnice, tvar ruky určitá pravděpodobnost, že špatný uživatel je vpuštěn a naopak co dělám - provedení určité akce v konkrétním čase a místě - jak rychle píšu, charakteristické rysy písma kde jsem - logování pouze z určitého místa

18 Útok na heslo hádání hesla
heslo stejné jako uživatelské jméno, jméno firmy, slovo „heslo“, jméno spoofing hesla uživatel si myslí, že se hlásí normálně, ale je podstrčen jiný program poté je login přerušen a je požadováno nové přihlášení útočník má heslo a jméno kompromitování souboru hesel obrana: kryptografie kryptografická ochrana, stačí hashování, které zpomalí slovníkový útok kontrola přístupu přístupová práva, omezit přístup k souboru s hesly, zneviditelnit kombinace obou

19 Výběr hesla výběr hesla je kritické místo bezpečnosti
nemohu zcela zabránit prozrazení, ale musím zpomalit hádání změnit počáteční hesla jako manager, system atd. psát tak, aby to nikdo neviděl minimální délka hesla alespoň 6 znaků pravidelná změna hesla, udržování historie hesel nepoužívat snadno odvoditelná hesla (ne jména manželky, dětí, psů atd.) nesdělovat spolupracovníkům nepsat na monitor

20 Silné heslo je kombinací abecedy, znaků, číslic, mezer
obsahuje malá i velká písmena nemá žádné snadno domyslitelné části není odvoditelné z jména, adresy, ové adresy snadno se pamatuje (není třeba si ho zapisovat) dá se rychle napsat je měněno po 45 dnech (lze měnit jen část hesla) minimální délka hesla alespoň 6 znaků (rozumné do 14 znaků) je nutno najít kompromis mezi lidskou pamětí a komplexností hesla lze zvolit: dvě krátká slova spojená pomocí speciálního znaku, např. mezery ( ) ! % & + - * _ ? [ ] < > vlastní akronym např. sNdz*nl (sla Nanynka do zeli natrhala lupeni)

21 Zákon o právu autorském
Právo a IT Zákon o právu autorském zákon 121/2000 upravuje práva autora k jeho dílu (včetně podoby elektronické) §2) za dílo se považuje též počítačový program právo pořizovatele k jím pořízené databázi §27 Majetková práva trvají po dobu autorova života a 70 let po jeho smrti (pokud není dále stanoveno jinak)

22 Zákon o právu autorském
§35 Do práva autorského také nezasahuje škola, užije-li nevýdělečně ke své vnitřní potřebě dílo vytvořené studentem ke splnění studijních povinností vyplývajících z jeho právního vztahu ke škole (školní dílo) §37 Do práva autorského také nezasahuje knihovna, archiv atd. půjčuje-li originály či rozmnoženiny vydaných děl – nevztahuje se na počítačové programy

23 Možnosti získání SW nákup
SW se neprodává, pouze se uděluje licence k jeho používání prodávající uzavírá se zákazníkem licenční smlouvu jednouživatelská licence víceuživatelská licence síťová licence podmínky záruky, cena upgrade (nové verze) vlastní vývoj úzce specializovaného pro konkrétního uživatele časově náročné, nákladné ostatní možnosti public domain freeware shareware demo

24 Ostatní možnosti získání SW
public domain lze je používat a šířit zcela volně lze je upravovat freeware lze volně šířit existují autorská práva nesmí se měnit nesmí se používat jako součást vlastního programu shareware po vyzkoušení registrace a zaplacení poplatku demo demonstrační (na výstavách zdarma nebo za vizitku) omezené funkce

25 Zákon o ochraně osobních údajů
při zpracování osobních údajů (oú) je správce povinnen stanovit účel, k němuž mají být osobní údaje zpracovány stanovit prostředky a způsob zpracování oú zpracovávat pouze pravdivé a přesné oú v souladu s účelem, k němuž byly shromážděny shromažďovat oú odpovídající pouze stanovenému účelu a v nezbytném rozsahu nesdružovat oú, které byly získány k rozdílným účelům správce může zpracovávat oú pouze se souhlasem subjektu údajů (kromě uvedených výjimek)

26 Zákon o ochraně osobních údajů
správce musí zajistit, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k oú k jejich změně, zničení či ztrátě, neoprávněným přenosům či jinému zneužití osoby, které zpracovávají oú jsou povinni zachovávat mlčenlivost o oú i po skončení zaměstnání

27 Elektronický podpis

28 Závazné dokumenty v papírové formě v elektronické formě
ručně psaný podpis v elektronické formě digitalizovaný podpis - není vhodný elektronický podpis nelze rozlišit kopii od originálu

29 Elektronický podpis využití různých biometrických metod
otisky prstů (množství, typ a pozici podrobností) charakteristika oční duhovky charakteristika oční sítnice (rozmístění krevních cév - laserový paprsek infračerveného světla) geometrie ruky, dynamika podpisu, analýza hlasu (šum) digitální podpis principy asymetrické kryptografie

30 Šifrování - historie 1 0 0 0 v o j á
diplomatické kruhy, vojenské a špionážní služby 4000 let starý egyptský text psaný tajnými hieroglyfy místo běžně používaných Indie 300 př.n.l. - popis špionážní služby Sparta 5.stol.př.n.l. - na dřevěnou hůl se namotal pruh kůže Gaius Julius Caesar - dopisování s Kleopatrou - substituční šifra v o j á

31 Šifrování - historie Johannes Trittheim (1462-1518) kniha o šifrování
druhá světová válka Alan Turingen sestrojil počítač Colossum pro luštění německé šifry - kryptoanalýza systému Enigma konec 70. let IBM vyvinula symetrický šifrovací algoritmus DES komerční použití v průmyslu, bankovnictví a v IS 1976 Diffie a Hellman kryptosystém s veřejným klíčem 1977 asymetrický šifrovací algoritmus RSA

32 Funkce elektronického podpisu
autentizace původce dokumentu příjemce bezpečně ví, kdo je autorem nebo odesilatelem dokumentu a má jistotu, že dokument nebyl padělán nebo podvržen integrita (celistvost) dokumentu příjemce dokumentu má jistotu, že dokument nebyl během přenosu modifikován nepopiratelnost (neodmítnutelnost odpovědnosti) odesilatel nebo autor nebude moci popřít, že daný dokument s daným obsahem vytvořil nebo odeslal

33 Digitální podpis pro každého uživatele jsou vytvořeny současně dva odlišné vzájemně se doplňující klíče určité délky jeden klíč (podpisový, soukromý, tajný) lze použít pouze k vytváření digitálního podpisu druhý klíč (ověřovací, veřejný) slouží k ověření digitálního podpisu

34 Z dokumentu, se vypočítá tzv
Z dokumentu, se vypočítá tzv. hašovací funkcí krátký bitový vzorek nazývaný hash Hash je zašifrován privátním klíčem odesilatele a připojen za digitální dokument jako digitální podpis Na straně příjemce se veřejným klíčem odesilatele dešifruje podpis Tento dešifrovaný hash se porovná s hash, který si příjemce vypočítá z přeneseného digitálního dokumentu Při shodnosti obou hash má příjemce jistotu, že dokument nebyl modifikován nebo padělán

35 Hašovací funkce Bezpečná hašovací funkce musí být
nekolizní, tzn. nesmí dávat pro dva různé dokumenty stejnou hodnotu hash z dané hodnoty hash nesmí být možné odvodit původní dokument

36 Certifikační autorita (CA)
nezávislá důvěryhodná třetí strana potvrzuje, že veřejný klíč patří uvedenému vlastníku vydává certifikáty - digitální dokumenty víceúrovňové CA

37 Petr posílá Aleně zprávu:
Bezpečnost je důležitá Petr pomocí hašovací funkce vytvoří otisk zprávy Petr vytvoří digitální podpis zašifrováním otisku pomocí soukromého klíče Petr pošle Aleně zprávu a digitální podpis Alena dostane od Petra zprávu: Alena pomocí hašovací funkce vytvoří otisk obdržené zprávy, pokud je stejný jako dešifrovaný digitální podpis, je zaručeno, že zpráva nebyla během přenosu modifikována Alena dešifruje pomocí Petrova veřejného klíče digitální podpis Alena dostane zprávu a digitální podpis

38 Certifikační autorita
kvalifikovaný certifikát může vydat státem schválená certifikační autorita (tzv. e-notář) kvalifikovaný certifikát není nutný, pokud nekomunikujete s úřadem státní správy u nás má akreditaci společnost 1. certifikační (dceřinná spol. PVT) + pošta + 1 další poskytovatel s certifikátem dostanete i data pro vytváření a ověřování E podpisu (=klíče) většinou se spolu se zprávou posílá i certifikát ověření certifikátu zajišťuje aplikace

39 Public Key Infrastructure PKI
Provozní prostředí pro bezpečnou komunikaci v síťovém prostředí software hardware kryptografické technologie poskytování potřebných služeb Poskytovatelé důvěryhodných služeb TSP (Trusted Service Provider) certifikační autorita - vydává certifikáty registrační autorita depositní autorita - seznamy certifikátů vydavatel certifikačních politik - definuje technické a procedurální požadavky na vytváření a ověřování certifikátů

40 EU a ČR nezbytnost jednotného přístupu k řešení elektronického podpisu v rámci EU elektronické obchodování na společném trhu elektronická komunikace NSR Zákon o digitálním podpisu 1997 Direktiva EU k elektronickému podpisu prosinec 1999 zavedení do zákonodárství členských zemí do poloviny roku 2001 v ČR Zákon o elektronickém podpisu - červen 2000

41 Zákon ČR o elektronickém podpisu
č.227/2000 Sb nabyl účinnosti nejvyšší certifikační autoritou je Úřad pro ochranu osobních údajů uděluje akreditace pro výkon činnosti akreditovaného poskytovatele certifikačních služeb vykonává dozor nad činností poskytovatelů certifikačních služeb vydávajících kvalifikované certifikáty

42 Zákon ČR o elektronickém podpisu
zákon není právní úpravou pro obecné používání elektronického podpisu zákon o elektronickém podpisu má odlišit stupeň bezpečnosti a důvěryhodnosti elektronického podepisování dokumentů a ověřování identity odesilatele datové zprávy

43 Novela zákona o elektronickém podpisu
č. 440/2004 Sb. ze dne umožňuje používání elektronických značek použijí se např. při vydávání elektronických výpisů z úředních databází kvalifikovaných časových razítek důvěryhodným způsobem spojují data v elektronické podobě s časovým okamžikem

44 Uplatnění elektronického podpisu
styk občanů s orgány státní správy - daňové přiznání vzájemná komunikace orgánů státní správy elektronické obchodování pomocí Internetu elektronické provádění plateb elektronická výměna dat EDI hospodářské smlouvy distribuce SW - zabezpečení před modifikací virem kontrola modifikace databází

45 Uplatnění elektronického podpisu
Taoiseach Bertie Ahern TD Digital Signature fd d1 1c b2 c8 91 0a ed b3 e3 c d b b cd ae d e f c2 c1 6d f1 d6 9d 62 d7 fb c f7 aa 1b 92 8d 40 8d a a3 16 4b a1 d7 7b a7 e6 ff 52 af 9e 5f f3 c b 91 c0 96 f9 c1 b4 a9 26 8c e b5 85 d0 29 de af 51 9e fb 31 de a5 8e 49 d1 President William J Clinton Digital Signature b c9 f7 c7 da 20 b d c f e a8 5e 07 f5 36 4c 3b fd 3f 86 5b 0f 7c f4 16 c0 d6 52 d ad 42 3e e 6e c1 eb 01 1b da a4 9b f6 8c b5 5e fe c8 18 3d 97 8a f1 8d 09 ed d e 2a 23 e1 7d de 0e ab 88 d2 3b bf b 6f 6d 2b e4 b1 c ff ca e de 02 bf d2 a3

46 PKI

47 Elektronická komunikace
Problém integrity, důvěrnosti a garance původu informace důvěrnost - šifrováním integrita- podpisem neodmítnutelnost - podpisem provázání reálného člověka s digitálním podpisem- pomocí certifikačních autorit

48 Asymetrické algoritmy
PKI založen na jejich principu veřejný a tajný klíč jedním šifruji, druhým rozšifrovávám tajný uschovám, veřejný zveřejním - CA

49 Certifikát Spojuje identitu (člověk, server, firma apod.) a veřejný klíč Ověřuje identitu protějšku, v el. světě nahrazuje průkaz totožnosti Musím ale důvěřovat certifikační autoritě Certifikát: Identifikace uživatele Období platnosti Veřejný klíč Elektronický podpis certifikační autoritou

50 Certifikační autorita
CA - je to server, veřejně dostupný vystavuje veřejné klíče resp. certifikáty Certifikační autorita nemusí být stále připojena, např. kořenová certifikační autorita certifikuje nižší aut. A pak se odpojí. CA musí vydávat certifikáty a vydávat seznam zneplatněných certifikátů- CRL Důvod zneplatnění- 1. Čas 2. Prozrazen soukromý klíč apod.

51 Využití certifikátů Standard X509 verze 3
možno přesně pomocí příznaku definovat užití certifikátu bezpečný přístup na Web šifrovaná komunikace zabezpečení pošty šifrované ukládání souborů podpis kódu čipové karty, autentizace certifikátem

52 PKI Slouží pro bezpečnou komunikaci v rámci Internetu
Je to souhrn technologií a činností Zejména bankovnictví, el. Obchod Není to jen HW a SW, ale i politika, procedury, aplikace obvyklé složky: certifikační autorita, může to být strom certifikačních autorit registrační autorita bezpečnostní politika certifikační distribuční a manipulační systém aplikace

53 PKI- bezpečnostní politika
Bezpečnostní politika musí vycházet z bezp. politiky organizace Být s ní v souladu CPS- Certificate Practice Statement, postupy vytvoření a fungování cert. autority, pravidla vydávání a rušení certifikátů, generování klíčů, uložení, archivace atd. Tj. PKI musí mít vypracován detailní dokument o uvedení praktik do praxe

54 PKI- certifikační autorita
Vydává certifikáty, ruší je buď po vypršení platnosti nebo při incidentu CRL- Certification Revocation List Jedna autorita může vydávat různé druhy certifikátů

55 PKI - registrační autorita
Není povinná, ulehčuje styk s uživateli jedná se např. o prokazování totožnosti ověřují totožnost subjektu, dávají pokyn certifikační autoritě

56 PKI- certifikační distribuční a manipulační systém
Distribuce certifikátů obnova klíčů, rušení, zálohování, evidence časová razítka ochrana privátních klíčů křížové certifikace

57 PKI - aplikace Pošta VPN elektronická výměna dat webová komunikace

58 Budování PKI Jde koupit hw a sw, ale PKI se musí vybudovat
musí navazovat na ostatní HW a SW, tj. karty, HW bezpečnostní moduly atd. Řešení musí být uživatelsky příjemné Možnost přecházet postupně, po částech organizace

59 Užití certifikátů Lze téměř ve všech oblastech IS např.
bezpečná komunikace po Internetu ochrana informací v interní síti vzdálené připojení z vnější sítě

60 Vybrané právní aspekty vedení zdravotnické dokumentace a telemedicíny z českého a evropského pohledu

61 Zákon č.20/1966 Sb. o péči o zdraví lidu
Co obsahuje zdravotní dokumentace „osobní údaje pacienta v rozsahu nezbytném pro identifikaci pacienta a zjištění anamnézy a informace o onemocnění pacienta, o průběhu a výsledku vyšetření, léčení a o dalších významných okolnostech souvisejících se zdravotním stavem pacienta a s postupem při poskytování zdravotní péče“.[1] Může obsahovat rodné číslo pacienta. [1] § 2 odst. 2 zákona č. 20/1966 Sb. o péči o zdraví lidu.

62 Zákon č.20/1966 Sb. o péči o zdraví lidu
…umožňuje vést zdravotnickou dokumentaci v elektronické podobě Zápisy zdravotnické dokumentace mohou být vedeny nejprve v listinné podobě a údaje z nich pak převáděny do podoby elektronické. Zápisy zdravotnické dokumentace mohou být vedeny nejprve v elektronické podobě a pak převáděny na papírový nosič Zápisy zdravotnické dokumentace mohou být vedeny pouze v elektronické podobě.

63 Zápisy zdravotnické dokumentace mohou být vedeny pouze v elektronické podobě
V tomto případě zákon stanoví následující povinnosti: a) všechny samostatné části zdravotnické dokumentace obsahují zaručený elektronický podpis osoby, která zápis provedla b) bezpečnostní kopie datových souborů jsou prováděny nejméně jednou za pracovní den c) po uplynutí doby životnosti zápisu je zajištěn opis archivních kopií d) uložení archivních kopií, které jsou vytvářeny nejméně jedenkrát za rok, je provedeno způsobem znemožňujícím do nich provádět dodatečné zásahy Prakticky spíše nerealizovatelné, problém s podpisem, certifikační autorita atd.

64 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů.
Směrnice č. 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů Úřad pro ochranu osobních údajů. „osobním údajem jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.“[1] [1] § 4 písm. a zákona č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů. Dříve zákon zároveň obsahoval větu, že „o osobní údaj se nejedná, pokud je třeba ke zjištění identity subjektu údajů nepřiměřené množství času, úsilí či materiálních prostředků“, nicméně toto bylo novelou vypuštěno.

65 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů.
Zaveden pojem správce, zpracovatel Shromažďovat pouze skutečně nutné údaje, přesné,ve zdravotnické dokumentaci nelze mít např. osobní údaje, které s ní nesouvisejí Možno vyžádat si konzultaci na UOOU (Úřad na ochranu osobních údajů)

66 Směrnice o soukromí a elektronických komunikacích 2002/58/ES
V současné době včleňována do českého práva Povinnost zajistit důvěrný charakter komunikace

67 Zákon o elektronickém podpisu Z. 227/2000 Sb. přijatý dne 29. 6. 2000
Směrnice č. 1999/93/ES o zásadách Společenství pro elektronické podpisy Oblast elektronického podepisování byla harmonizována předpisy EU (Směrnice 1999/93/ES o zásadách Společenství pro elektronické podpisy). V  České republice danou problematiku upravuje zákon 227/2000 Sb. přijatý dne (účinný od ).

68 227/2000 Sb. Ten v první řadě definuje elektronický podpis. Jsou jím: údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě. Zaručený elektronický podpis musí zároveň splňovat následující požadavky: být jednoznačně spojen s podepisující osobou, 2. umožňovat identifikaci podepisující osoby ve vztahu k datové zprávě, 3. být vytvořen a připojen k datové zprávě pomocí prostředků, které podepisující osoba může udržet pod svou výhradní kontrolou, 4. být k datové zprávě, ke které se vztahuje, připojen takovým způsobem, že je možno zjistit jakoukoliv následnou změnu dat.

69 Elektronický podpis Certifikát je soubor informací o uživateli a jeho veřejný klíč, elektronicky podepsaný certifikační autoritou - CA. CA akreditované, ostatní Novela zákona - elektronické značky, časová razítka

70 Autorský zákon Zvláštní právo pořizovatele databáze – právní ochrana databáze ( směrnice 96/9/ES) Lze využít k ochraně zdravotnických databází

71 Trestně právní aspekty - § 257a trestního zákona.
„Poškození a zneužití záznamu na nosiči informací“: „(1) Kdo získá přístup k nosiči informací a v úmyslu způsobit jinému škodu nebo jinou újmu nebo získat sobě nebo jinému neoprávněný prospěch“ a) takových informací neoprávněně užije, b) informace zničí, poškodí, změní nebo učiní neupotřebitelnými, nebo c) učiní zásah do technického nebo programového vybavení počítače nebo jiného telekomunikačního zařízení, bude potrestán odnětím svobody až na jeden rok nebo zákazem činnosti nebo peněžitým trestem nebo propadnutím věci.

72 Neoprávněné nakládání s osobními údaji podle § 178 TZ:
(1) Kdo, byť i z nedbalosti, neoprávněně sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje o jiném shromážděné v souvislosti s výkonem veřejné správy, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti nebo peněžitým trestem. (2) Stejně bude potrestán, kdo osobní údaje o jiném získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, byť i z nedbalosti, sdělí nebo zpřístupní, a tím poruší právním předpisem stanovenou povinnost mlčenlivosti.

73 Úmluva o ochraně osob se zřetelem na automatizované zpracování osobních dat (Známá též jako Úmluva 108). Úmluva 108 stanoví základní zásady ochrany osobních údajů. Jsou to: zásada zákonnosti zpracování zásada účelu zásada časového omezení zásada nezbytnosti a přiměřenosti zásada transparentnosti zásada bezpečnostních opatření zásada práva přístupu zásada práva na nápravu a výmaz zásada nezávislého dozoru (přítomna až v dodatkovém protokolu)

74 Přehled mezinárodní a komunitární úpravy
- Směrnice č. 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů V oblasti ochrany dat jsou to: - Nařízení č. 45/2001 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány a institucemi Společenství a o volném pohybu těchto údajů - Týká se zpracování osobních údajů orgány a institucemi Společenství.

75 Přehled mezinárodní a komunitární úpravy
Rozhodnutí Komise č. 2002/2/ES podle směrnice Evropského parlamentu a Rady 95/46/ES o odpovídající ochraně osobních údajů, kterou poskytuje kanadský zákon o ochraně osobních informací a elektronických dokumentech (Personal Information Protection and Electronic Documents Act) Směrnice č. 2002/58/ES o zpracování osobních údajů a ochraně soukromí v odvětví elektronických komunikací (Směrnice o soukromí a elektronických komunikacích)

76 Přehled mezinárodní a komunitární úpravy
Charter of fundamental rights of the European Union (Official Journal C 364,18/12/2000 P – 0022) Rozhodnutí Komise č. 2001/497/ES o standardních smluvních doložkách pro předávání osobních údajů do třetích zemí podle směrnice 95/46/ES

77 Literatura Dostál O., Brechlerová D.
Vybrané právní aspekty vedení zdravotnické dokumentace a telemedicíny z českého a evropského pohledu Euromise 2004

78 Čipové karty

79 Typy karet obecně Paměťové - levné, jdou zkopírovat, dostupné, nenabízejí kryptografické funkce, bezpečné medium Mikroprocesorové (smart cards)- aktivní, procesor, OS, obsahují HW kryptografický koprocesor, HW generátor náhodných čísel aj. Kontaktní - ploška pro komunikaci karty a terminálu Bezkontaktní - komunikují pomocí elektromagnetických vln (karty pro přístup např.)

80 čipová versus s magnetickým proužkem
informace jednoznačně identifikující kartu. informace na tzv. magnetickém proužku. Ten má nevýhody – značné omezení pro množství ukládaných dat a dá se relativně snadno okopírovat. Alternativa - čipové karty. Základem čipové karty je integrovaný obvod umístěný v nosiči, obsahující kryptografický koprocesor, paměť (RAM, ROM a EEPROM) a software. Aby mohla být karta považována za čipovou, musí také splňovat podmínky standardu pro čipové platební karty, ten definuje, jak má karta vypadat, jakým způsobem má komunikovat s terminály, určuje požadavky na terminály, popisuje bezpečnostní mechanismy atd.

81 Čipová karta Dvojfaktorová bezpečnost Něco mám - kartu Něco znám - PIN
Uschované informace mnohem lépe chráněny než např. na hard disku nebo na obyčejné paměťové kartě (telefonní karta)

82 Použití Bezpečné přihlášení do systému
Bezpečné uchování informací (PIN atd.) Automatické přihlašování

83 Čipová karta ( smart card)
Problém v názvosloví, obecně čipová karta nemusí být smart, někde se to ale takhle používá Integrovaný obvod zalisovaný v nějakém nosiči a obsahující kryptografický koprocesor s pamětí (RAM, ROM, EEPROM) + SW SW je např. operační systém čipu

84 Kde bere karta energii? Nemá vlastní zdroj, bere ji ze čtečky
Pokud bezkontaktně - tak indukce elektromagn. pole ze čtečky do antény čipové karty

85 Problémy podpisu Kde uchovávat certifikát, kde privátní klíč
Lépe na mediu vně Čipová karta

86 PKI + podpis Špičkou PKI je z hlediska bezpečnosti čipová karta
Na kartě může být generován klíčový pár (privátní, veřejný), generuje s v koprocesoru na kartě Přímo na kartě se provádějí operace Privátní klíč nikdy nepustí kartu - není možný odposlech

87 Podpis Data proudí na kartu pro podpis nebo zašifrování
Provede se vše na kartě Ven jen výsledek

88 EEPROM V této paměti (dostatečně velké) se mohou ukládat digitální certifikáty Použití certifikátů: pro autentizaci, šifrování, podpis Čím větší paměť, tím více informací, možno uložit i odvolané certifikáty Možno i hesla

89 Rozšíření Magnetický proužek Natištěné informace Čárový kód

90 Bezpečnost Bezpečné medium Přístup přes PIN Lze omezit počet pokusů
Eliminovat slovníkové útoky Nelze sledovat komunikaci mezi prvky na kartě Lze zkombinovat s dalšími prvky bezpečnostní politiky. Sejf, atd.

91 Útoky FIPS 140-1 level 2 Generování klíčů na kartě
Zneužití nikoli v informací na kartě. Ale při přenosu Spyware či Trojský kůň, odchytne zadávaný PIN

92 Normy Normy řady ISO / IEC Např. ISO/IEC 14443 bezkontaktní
ISO/IEC kontaktní aj. Velmi rychlý vývoj


Stáhnout ppt "Ohrožení počítačového systému"

Podobné prezentace


Reklamy Google