Moje přednáška na odborném vzdělávacím semináři s názvem "Základy kybernetické bezpečnosti pro vedoucí pracovníky", který pořádala česká pobočka AFCEA při příležitosti veletrhu IDET 2015. Jejím cílem bylo seznámit (co nejsrozumitelnější formou) posluchače se základy kybernetické bezpečnosti, včetně její terminologie.
Originál této prezentace, stejně jako další mé příspěvky z různých konferencí, najdete v mém archivu, na adrese http://www.earchiv.cz/i_paper.php3
1. 1
Co je kybernetická bezpečnost?
Jiří Peterka
nezávislý konzultant a publicista
pedagog na MFF UK
2. 2
co bychom si měli ujasnit?
• základní pojmy
• kybernetický (adjektivum)
• kyberprostor (substantivum)
• aktivum
• důvěrnost, integrita, dostupnost, …
• prvek, systém, infrastruktura
• rizika
• zranitelnost
• hrozba, dopad
• událost, incident
• malware, hacking, DOS, DDOS, botnet, …
• obrana/techniky:
• firewall
• DPI (Deep Packet Inspection)
• IDS/IPS, DLP
• monitoring, behaviorální analýza
• nástroje
• log management
• SIEM/ISMS, systémy řízení
bezpečnosti informací
• dohledová centra
• orgány
• CIRC
• CERT, CSIRT
• zákon
• ZoKB, vyhlášky, gesce NBÚ
• kritická (komunikační a
informační) infrastruktura
• významný informační systém
• vládní/národní CERT/CSIRT
• NCKB ….
3. 3
co je „kyberprostor“
• co znamená „kybernetický“ (jako adjektivum) ?
• a potom: co je kybernetický prostor, alias kyberprostor?
• raději: neztrácejme čas s exaktními definicemi
• je jich mnoho a stejně se vzájemně liší
• zjednodušme si to:
• kybernetický = počítačový
• kybernetický prostor (kyberprostor) = prostor, vytvářený počítači
• spíše se zajímejme o to:
• co všechno „kyberprostor“ zahrnuje, jaké má vlastnosti, ….
• co „kyberprostor“ ohrožuje, jak zajistit jeho bezpečnost
„to“, co vzniká
díky počítačům
je to „samostatný svět“
4. 4
co všechno „kyberprostor“ zahrnuje?
• intuitivně:
• je to „to, co vytváří klasické počítače“
• například: počítače v datových centrech, počítače v domácnostech, firmách
a institucích, …..
• ve skutečnosti může jít (a jde) také o:
• zařízení obdobná počítačům
• jako jsou tablety, mobily, hrací konzole, periferie (tiskárny, modemy, ….. )
• „chytrá“ (domácí/osobní) zařízení, sloužící primárně jiným účelům
• TV, různé přehrávače, … ledničky, pračky, myčky, …. hračky
• ale třeba také kardiostimulátory, lékařská zařízení, ….
• řídící systémy
• v průmyslu, v dopravě, v telekomunikacích, utilitách ….
• stroje, průmyslová zařízení, přístroje
• ve výrobě, v distribuci, …… obecně: všechno, co je řízeno
(počítačovým) programem
protože změnou
programu zle
změnit
chování/fungování
5. 5
kyberprostor není jen Internet !!
• pozor:
• kyberprostor není (ani zdaleka) to samé, jako Internet !!
• i když: významná část hrozeb přichází právě „z Internetu“
• není to:
• „něco souvislého“ (například jedna hodně velká síť – Internet)
• ale může to být:
• více samostatných (vzájemně oddělených) oblastí/prostorů
• pozor: je (velkou) chybou myslet si, že když nejste připojeni
k Internetu, že vám nic nehrozí !!!
• hrozby a „nákazy“ se nemusí šířit jen po Internetu
• ale prakticky jakkoli, například přes fyzické nosiče (USB klíčenky, SD karty)
• v Íránu by mohli vyprávět (viz virus Stuxnet, šířený přes tiskárny)
6. 6
jaké zákony platí v kyberprostoru?
• zákony matematiky, logiky …
• platí stále
• fyzikální zákony:
• některé platí
• bez konektivity/možnosti přenosu
se neobejdete
• bez napájení (přísunu energie)
dlouho nevydržíte
• ….
• jiné nikoli:
• fyzické (geografické) vzdálenosti
přestávají existovat
• zůstává jen přenosové zpoždění
(latence)
• právo, zákony, morálka ….
• pro vás platí nadále !!!
• pro druhou stranu barikády
neplatí !!!
• „ekonomické“ zákony
• „poměrové“ zákony neplatí
• zdatným soupeřem giganta
může být i trpaslík
• příklad: USA vs. Severní Korea
• zdatným soupeřem celých týmů
může být i jednotlivec či malá
skupinka
7. 7
co jsou aktiva?
• aktivum (sing.), aktiva (plurál):
• neformálně: cokoli, čeho si nějak ceníme a nechceme o to přijít
• může to mít fyzickou podobu / být hmotné:
• počítače, periferie, zařízení, stroje, ….
• suroviny, energie, zboží, …..
• přenosové cesty, sítě, prostředky komunikace
• nemusí to mít fyzickou podobu / může to být nehmotné
• informace, znalosti (know-how) …..
• data (databáze), programy …..
• schopnost, dostupnost, funkčnost ….
• schopnost řádně fungovat
• schopnost poskytovat služby
• reputace, prestiž, obraz (image)
protistrana se snaží je od nás získat
protistrana se snaží omezit
protistrana se snaží je pozměnit
protistrana se snaží pokazit
protistrana se snaží
ukrást, poškodit ….
nesmíme
8. 8
co (a jak) lze narušit (u dat)
• co je možné narušit:
• důvěrnost (privacy)
• … aby se někdo nedozvěděl to, co
se dozvědět nemá …..
• data lze chránit např. pomocí
šifrování ……
• celistvost (integrity)
• … aby někdo nezměnil něco, co by
se měnit nemělo …..
• nebo alespoň: aby se spolehlivě
poznalo, že došlo k nějaké
změně
• lze využít např. elektronický
podpis
• dostupnost (availability)
• …. aby to, co má být dostupné,
skutečně dostupné bylo ….
• aby to fungovalo tak, jak má
• ……..
• možné způsoby narušování:
• průnik/prolomení/hacking
• překonání bariér
• použití malware
• obecně: škodlivý kód
• např. virus, trojský kůň, …..
• „přetěžování“
• vznáším velké množství jinak
legitimních požadavků, s cílem
zahltit/přetížit zvolený cíl
• útoky DOS, DDOS (pomocí botnet-ů)
• sociální inženýrství
• snažím se přimět někoho jiného
k něčemu, co by normálně neudělal
• cílenou manipulací, podvodem,
uvedením v omyl, pomocí $$ …
• phishing, whaling, ….
„old“
„new“
9. 9
jak se lze bránit
• dříve (se ještě dalo):
• postavit na hranici hlídače
• který kontroloval každého, kdo chtěl projít „dovnitř“
• v počítačové terminologii:
• mezi veřejnou a privátní síť postavit tzv. firewall
• který analyzuje procházející data (datové pakety)
• vyhledává v nich „charakteristické vzorky“ (otisky)
• dnes už to (moc) nepomáhá:
• hlídač není schopen (spolehlivě) poznat útok/útočníka/hrozbu
• protože jejich charakteristiky („otisky“) se mění příliš rychle
• hlídač nemá šanci se o nich včas (či: vůbec) dozvědět
• dnes je účinnější tzv. behaviorální analýza
• monitorování a analýza chování přímo v chráněné síti
• zda „nedělají neplechu“ (něco podezřelého, nestandardního, …..)
10. 10
co je nutné – pro ochranu a obranu
• musíte se chránit i bránit – ale sami se neubráníte
• je nezbytné spolupracovat s dalšími stranami !!!
• sdílet informace, postupovat koordinovaně, poskytovat si součinnost,
pomáhat si, …..
• důsledek:
• k ochraně a obraně potřebujete určité nástroje
• nelze to dělat „holýma rukama“
• vzájemná spolupráce musí být určitým způsobem organizovaná
• neformálně (na bázi dobrovolnosti), ale i formálně (na bázi povinnosti)
• institucionálně: formou zákona
CERT, CSIRT,
CIRC, ….
zákon č. 181/2014 Sb.,
o kybernetické bezpečnosti
událost, incident, varování, opatření, …...
prvek, systém, infrastruktura, ….
log management, SIEM/ISMS,
systémy řízení bezpečnosti
informací, dohledová centra, ….
11. 11
událost, incident, opatření, ….
• terminologie zákona o kybernetické bezpečnosti:
• (kybernetická bezpečnostní) událost: „něco, co hrozí ….“
• co „může narušit bezpečnost“ informací, služeb nebo sítí
• princip: události se detekují
• (povinné) subjekty jsou povinny detekovat kyb. bezpečnostní události
• (kybernetický bezpečnostní) incident: „něco, co se už stalo ….“
• co „je narušením bezpečnosti“ informací, služeb nebo sítí
• princip: incidenty se hlásí
• (povinné) subjekty jsou povinny hlásit kyb. bezpečnostní incidenty
• podle své působnosti buď vládnímu CERTu nebo národnímu CERTu (CSIRTu)
• vymezení incidentů a způsob hlášení stanovuje vyhláška
• opatření (v oblasti kyb. bezpečnosti): „něco, co by se mělo udělat“
• princip: opatření se ukládají
• ukládá je Úřad (NBÚ)
• (povinné) subjekty jsou povinny je provádět
Opatření
• varování
• reaktivní opatření
• ochranné opatření
lepší termín by
asi byl „hrozba“
12. 12
CERT, CSIRT, CIRC, …..
• jak označovat týmy (skupiny lidí), které se starají
o (kybernetickou) bezpečnost?
• CERT: Computer Emergency Response Team
• doslova: tým, reagující na výjimečné počítačové situace
• jde o registrovanou ochrannou známku Carnegie Mellon University v USA
• !!! název CERT nelze používat bez jejího svolení !!!!
• v ČR mají toto svolení 3 týmy:
• „národní“ tým (CSIRT.CZ), DHL CERT, „vládní“ tým (GovCERT.CZ)
• CSIRT: Computer Security Incident Response Team
• doslova: tým, reagující na incidenty v oblasti počítačové bezpečnosti
• CIRC: Computer Incident Response Capability
• další možné označení pro tým + vybavení (instituci, útvar, orgán, ….)
• například Armáda ČR má Centrum CIRC (http://circ.army.cz/)
např. ve vojenství
13. 13
nástroje
• lidé, kteří se starají o kybernetickou bezpečnost, nemohou
pracovat „holýma rukama“
• již jen proto, že musí pracovat s obrovským množstvím informací
• ale také proto, že by nestíhali tyto informace vyhodnocovat
• a také včas a řádně hlásit incidenty, provádět opatření atd.
• proto potřebují nástroje, které:
• zvládají obrovská kvanta informací
• mají určitou „vlastní inteligenci“
• nutnou pro (rutinnější) vyhodnocování bezpečnostních informací
• terminologie: jde o systémy řízení bezpečnosti informací
• SIEM: Security Information and Event Management
• ISMS: Information Security Management System
• …….
na to by ještě mohly stačit
nástroje pro „log management“
14. 14
filosofie zákona Úřad (NBÚ)
Národní centrum kybernetické
bezpečnosti (NCKB)
vládní CERT
(GovCERT.CZ)
národní CERT
(CSIRT.CZ)
subjekt dle § 3
odst. 1 písm. a
subjekt dle § 3
odst. 1 písm. b
subjekt dle § 3
odst. 1 písm. c
subjekt dle § 3
odst. 1 písm. d
subjekt dle § 3
odst. 1 písm. e
• poskytovatel
služby el.
komunikací
• subjekt
zajišťující síť el.
komunikací
• orgán nebo
osoba
zajišťující
významnou síť
• správce
informačního
systému
kritické
informační
infrastruktury
• správce
komunikačního
systému
kritické
informační
infrastruktury
• správce
významného
informačního
systému
povinnosti povinnosti
privátní subjekty privátní i veřejnoprávní subjekty
veřejnoprávní
subjekty
„míra povinností“
15. 15
děkuji za pozornost
Jiří Peterka
http://jiri.peterka.cz
http://www.earchiv.cz
http://www.bajecnysvet.cz
http://www.muzeuminternetu.cz