1 Co je kybernetická bezpečnost? Jiří Peterka nezávislý konzultant a publicista pedagog na MFF UK
2 co bychom si měli ujasnit? základní pojmy kybernetický (adjektivum) kyberprostor (substantivum) aktivum důvěrnost, integrita, dostupnost, … prvek, systém, infrastruktura rizika zranitelnost hrozba, dopad událost, incident malware, hacking, DOS, DDOS, botnet, … obrana/techniky: firewall DPI (Deep Packet Inspection) IDS/IPS, DLP monitoring, behaviorální analýza nástroje log management SIEM/ISMS, systémy řízení bezpečnosti informací dohledová centra orgány CIRC CERT, CSIRT zákon ZoKB, vyhlášky, gesce NBÚ kritická (komunikační a informační) infrastruktura významný informační systém vládní/národní CERT/CSIRT NCKB ….
3 co je „kyberprostor“ co znamená „kybernetický“ (jako adjektivum) ? a potom: co je kybernetický prostor, alias kyberprostor? raději: neztrácejme čas s exaktními definicemi je jich mnoho a stejně se vzájemně liší zjednodušme si to: kybernetický = počítačový kybernetický prostor (kyberprostor) = prostor, vytvářený počítači spíše se zajímejme o to: co všechno „kyberprostor“ zahrnuje, jaké má vlastnosti, …. co „kyberprostor“ ohrožuje, jak zajistit jeho bezpečnost „to“, co vzniká díky počítačům je to „samostatný svět“
4 co všechno „kyberprostor“ zahrnuje? intuitivně: je to „to, co vytváří klasické počítače“ například: počítače v datových centrech, počítače v domácnostech, firmách a institucích ve skutečnosti může jít (a jde) také o: zařízení obdobná počítačům jako jsou tablety, mobily, hrací konzole, periferie (tiskárny, modemy, ….. ) „chytrá“ (domácí/osobní) zařízení, sloužící primárně jiným účelům TV, různé přehrávače … ledničky, pračky, myčky, …. hračky ale třeba také kardiostimulátory, lékařská zařízení, …. řídící systémy v průmyslu, v dopravě, v telekomunikacích, utilitách …. stroje, průmyslová zařízení, přístroje ve výrobě, v distribuci, …… obecně: všechno, co je řízeno (počítačovým) programem protože změnou programu zle změnit chování/fungování
5 kyberprostor není jen Internet !! pozor: kyberprostor není (ani zdaleka) to samé, jako Internet !! i když: významná část hrozeb přichází právě „z Internetu“ není to: „něco souvislého“ (například jedna hodně velká síť – Internet) ale může to být: více samostatných (vzájemně oddělených) oblastí/prostorů pozor: je (velkou) chybou myslet si, že když nejste připojeni k Internetu, že vám nic nehrozí !!! hrozby a „nákazy“ se nemusí šířit jen po Internetu ale prakticky jakkoli, například přes fyzické nosiče (USB klíčenky, SD karty) v Íránu by mohli vyprávět (viz virus Stuxnet, šířený přes tiskárny)
6 jaké zákony platí v kyberprostoru? zákony matematiky, logiky … platí stále fyzikální zákony: některé platí bez konektivity/možnosti přenosu se neobejdete bez napájení (přísunu energie) dlouho nevydržíte …. jiné nikoli: fyzické (geografické) vzdálenosti přestávají existovat zůstává jen přenosové zpoždění (latence) právo, zákony, morálka …. pro vás platí nadále !!! pro druhou stranu barikády neplatí !!! „ekonomické“ zákony „poměrové“ zákony neplatí zdatným soupeřem giganta může být i trpaslík příklad: USA vs. Severní Korea zdatným soupeřem celých týmů může být i jednotlivec či malá skupinka
7 co jsou aktiva? aktivum (sing.), aktiva (plurál): neformálně: cokoli, čeho si nějak ceníme a nechceme o to přijít může to mít fyzickou podobu / být hmotné: počítače, periferie, zařízení, stroje, …. suroviny, energie, zboží, ….. přenosové cesty, sítě, prostředky komunikace nemusí to mít fyzickou podobu / může to být nehmotné informace, znalosti (know-how) ….. data (databáze), programy ….. schopnost, dostupnost, funkčnost …. schopnost řádně fungovat schopnost poskytovat služby reputace, prestiž, obraz (image) protistrana se snaží je od nás získat protistrana se snaží omezit protistrana se snaží je pozměnit protistrana se snaží pokazit protistrana se snaží ukrást, poškodit …. nesmíme
8 co (a jak) lze narušit (u dat) co je možné narušit: důvěrnost (privacy) … aby se někdo nedozvěděl to, co se dozvědět nemá ….. data lze chránit např. pomocí šifrování …… celistvost (integrity) … aby někdo nezměnil něco, co by se měnit nemělo ….. nebo alespoň: aby se spolehlivě poznalo, že došlo k nějaké změně lze využít např. elektronický podpis dostupnost (availability) …. aby to, co má být dostupné, skutečně dostupné bylo …. aby to fungovalo tak, jak má …….. možné způsoby narušování: průnik/prolomení/hacking překonání bariér použití malware obecně: škodlivý kód např. virus, trojský kůň, ….. „přetěžování“ vznáším velké množství jinak legitimních požadavků, s cílem zahltit/přetížit zvolený cíl útoky DOS, DDOS (pomocí botnet-ů) sociální inženýrství snažím se přimět někoho jiného k něčemu, co by normálně neudělal cílenou manipulací, podvodem, uvedením v omyl, pomocí $$ … phishing, whaling, …. „old“ „new“
9 jak se lze bránit dříve (se ještě dalo): postavit na hranici hlídače který kontroloval každého, kdo chtěl projít „dovnitř“ v počítačové terminologii: mezi veřejnou a privátní síť postavit tzv. firewall který analyzuje procházející data (datové pakety) vyhledává v nich „charakteristické vzorky“ (otisky) dnes už to (moc) nepomáhá: hlídač není schopen (spolehlivě) poznat útok/útočníka/hrozbu protože jejich charakteristiky („otisky“) se mění příliš rychle hlídač nemá šanci se o nich včas (či: vůbec) dozvědět dnes je účinnější tzv. behaviorální analýza monitorování a analýza chování přímo v chráněné síti zda „nedělají neplechu“ (něco podezřelého, nestandardního, …..)
10 co je nutné – pro ochranu a obranu musíte se chránit i bránit – ale sami se neubráníte je nezbytné spolupracovat s dalšími stranami !!! sdílet informace, postupovat koordinovaně, poskytovat si součinnost, pomáhat si, ….. důsledek: k ochraně a obraně potřebujete určité nástroje nelze to dělat „holýma rukama“ vzájemná spolupráce musí být určitým způsobem organizovaná neformálně (na bázi dobrovolnosti), ale i formálně (na bázi povinnosti) institucionálně: formou zákona CERT, CSIRT, CIRC, …. zákon č. 181/2014 Sb., o kybernetické bezpečnosti událost, incident, varování, opatření, …... prvek, systém, infrastruktura, …. log management, SIEM/ISMS, systémy řízení bezpečnosti informací, dohledová centra, ….
11 událost, incident, opatření, …. terminologie zákona o kybernetické bezpečnosti: (kybernetická bezpečnostní) událost: „něco, co hrozí ….“ co „může narušit bezpečnost“ informací, služeb nebo sítí princip: události se detekují (povinné) subjekty jsou povinny detekovat kyb. bezpečnostní události (kybernetický bezpečnostní) incident: „něco, co se už stalo ….“ co „je narušením bezpečnosti“ informací, služeb nebo sítí princip: incidenty se hlásí (povinné) subjekty jsou povinny hlásit kyb. bezpečnostní incidenty podle své působnosti buď vládnímu CERTu nebo národnímu CERTu (CSIRTu) vymezení incidentů a způsob hlášení stanovuje vyhláška opatření (v oblasti kyb. bezpečnosti): „něco, co by se mělo udělat“ princip: opatření se ukládají ukládá je Úřad (NBÚ) (povinné) subjekty jsou povinny je provádět Opatření varování reaktivní opatření ochranné opatření Opatření varování reaktivní opatření ochranné opatření lepší termín by asi byl „hrozba“
12 CERT, CSIRT, CIRC, ….. jak označovat týmy (skupiny lidí), které se starají o (kybernetickou) bezpečnost? CERT: Computer Emergency Response Team doslova: tým, reagující na výjimečné počítačové situace jde o registrovanou ochrannou známku Carnegie Mellon University v USA !!! název CERT nelze používat bez jejího svolení !!!! v ČR mají toto svolení 3 týmy: „národní“ tým (CSIRT.CZ), DHL CERT, „vládní“ tým (GovCERT.CZ) CSIRT: Computer Security Incident Response Team doslova: tým, reagující na incidenty v oblasti počítačové bezpečnosti CIRC: Computer Incident Response Capability další možné označení pro tým + vybavení (instituci, útvar, orgán, ….) například Armáda ČR má Centrum CIRC ( např. ve vojenství
13 nástroje lidé, kteří se starají o kybernetickou bezpečnost, nemohou pracovat „holýma rukama“ již jen proto, že musí pracovat s obrovským množstvím informací ale také proto, že by nestíhali tyto informace vyhodnocovat a také včas a řádně hlásit incidenty, provádět opatření atd. proto potřebují nástroje, které: zvládají obrovská kvanta informací mají určitou „vlastní inteligenci“ nutnou pro (rutinnější) vyhodnocování bezpečnostních informací terminologie: jde o systémy řízení bezpečnosti informací SIEM: Security Information and Event Management ISMS: Information security management systém ……. na to by ještě mohly stačit nástroje pro „log management“
14 filosofie zákona Úřad (NBÚ) Národní centrum kybernetické bezpečnosti (NCKB) vládní CERT (GovCERT.CZ) vládní CERT (GovCERT.CZ) národní CERT (CSIRT.CZ) národní CERT (CSIRT.CZ) subjekt dle § 3 odst. 1 písm. a subjekt dle § 3 odst. 1 písm. b subjekt dle § 3 odst. 1 písm. c subjekt dle § 3 odst. 1 písm. d subjekt dle § 3 odst. 1 písm. e poskytovatel služby el. komunikací subjekt zajišťující síť el. komunikací orgán nebo osoba zajišťující významnou síť správce informačního systému kritické informační infrastruktury správce komunikačního systému kritické informační infrastruktury správce významného informačního systému povinnosti privátní subjektyprivátní i veřejnoprávní subjekty veřejnoprávní subjekty „míra povinností“
15 děkuji za pozornost Jiří Peterka