Kybernetická bezpečnost

Počítačová bezpečnost, kybernetická bezpečnost neboli bezpečnost informačních technologií (IT bezpečnost), resp. bezpečnost informačních a komunikačních technologií (ICT bezpečnost), je obor informatiky, který se zabývá ochranou počítačových systémů a sítí před neoprávněným přístupem k systémům – informacím, a před počítačovou kriminalitou – krádeží nebo poškozením hardwaru, softwaru nebo elektronických údajů, jakož i před narušením nebo zneužitím poskytovaných služeb, před kybernetickým útokem. Hlavním cílem je zajistit spolehlivost, integritu a soukromí údajů systému.

Charakteristika

Počítačová ochrana ve třech krocích:

prevence – ochrana před hrozbami (riziky)
detekce – odhalení neoprávněných činností a slabých míst v systému
náprava – odstranění slabých míst v systému

Počítačová bezpečnost, zabezpečení informací v počítačích, tj. odhalení a zmenšení rizik spojených s používáním počítače, zahrnuje:

omezení fyzického přístupu k počítači a jeho zařízením, ochrana před neoprávněným manipulováním se zařízeními počítačového systému
umožnit přístup jen oprávněným osobám dodržujícím bezpečnostní pravidla pro práci s počítačem a údaji, ochrana před neoprávněnou manipulací s údaji
ochranu informací před krádeží, nelegální tvorbou kopií údajů nebo jejich poškozením
použití hardwarových zařízení, např. hardwarových klíčů, které vynucují bezpečnostní opatření a snížují závislost počítačové bezpečnosti na software
využití mechanismů operačního systému, které vynucují chování programů s souladu s počítačovou bezpečností
omezení množství programů, kterým je nutné důvěřovat
využití záznamů o změnách v programech a systémech (logování a verzování)
využití zabezpečení operačního systému
využití bezpečného šifrování (kryptografie) při komunikaci, práci s údaji, jejich přenosu
využití bezpečného ukládání a zálohování údajů
plánování reakce na incident, organizace přístupu k řešení a řízení následků počítačového bezpečnostního incidentu nebo poškození (kompromitace) s cílem zabránit narušení nebo zmařit kybernetický útok
zajištění autentizace, autorizace a integrity údajů

Zranitelná místa a útoky

Zranitelností chápeme citlivá místa či nedostatky systému, a mnoho chyb zabezpečení je popsáno v databázi Common Vulnerabilities and Exposures, správa slabých míst je opakující se praxe identifikace, třídění, nápravy a zmírnění zranitelností, když jsou objeveny. Využitelnou zranitelností chápeme takovou zranitelnost, pro kterou existuje alespoň jeden fungující útok nebo "Exploit".^[1] Abychom zajistili počítačový systém, je důležité znát útoky, které mohou být proti němu prováděny. Tyto hrozby jsou klasifikovány podle následujících kategorií:

Backdoors – zadní vrátka

Zadní vrátka znamenají kryptografický systém nebo algoritmus, je to metoda obcházení normální kontroly pro ověření a zabezpečení. Mohou existovat z několika důvodů, včetně původního návrhu nebo díky špatné konfiguraci. Zadní vrátka mohou být také úmyslně nainstalovány programátorem jako nástroj pro systémový debugging, nebo útočníkem za účelem škození. Avšak bez ohledu na motivy jejich existence vytváří zadní vrátka zranitelnost systému.

Denial of service (odepření služby)

Denial of service útoky jsou navrženy tak, aby zařízení nebo síťové zdroje byly nedostupné pro jeho plánované uživatele.^[2] Útočníci mohou upřít službu jednotlivým obětem, například záměrným zadáním chybného hesla tolikrát po sobě dokud způsobí uzamčení účtu oběti, nebo mohou přetížit kapacity zařízení nebo sítě a zablokovat tak všechny uživatele najednou. Zatímco síťový útok z jedné IP adresy může být blokován přidáním nového pravidla brány firewall, mnoho forem distribuovaného odmítnutí služby (DDoS) útoků častěji pochází z velkého počtu bodů - a bránit se je mnohem obtížnější. Takové útoky mohou pocházet ze zombie počítačů botnetu, ale umožňuje to i řada dalších technik, včetně odrazu a zesílení útoků, kde jsou nevinné systémy zmateny tak, že posílají provoz na oběti.

Útoky s přímým přístupem

Neoprávněný uživatel, který získá fyzický přístup k počítači, je s největší pravděpodobností z něj schopen přímo kopírovat data. Mohou také ohrozit bezpečnost vytvářením modifikací operačního systému, instalací softwarových červů, keyloggerů, odposlouchávacích zařízení nebo pomocí bezdrátových myší.^[3] I když je systém chráněn standardními bezpečnostními opatřeními, mohou být schopni je obejít bootováním jiného operačního systému nebo nástroje z disku CD-ROM nebo jiného zaváděcího média. Šifrování disku a Trusted Platform Module jsou navrženy tak, aby zabránily těmto útokům.

Odposlech

Odposlech znamená tajné poslouchání soukromých rozhovorů, typicky mezi hosty v síti. Například programy jako Carnivore a NarusInsight byly použity FBI a NSA pro odposlouchávání systémů poskytovatelů internetových služeb. Dokonce i zařízení, které fungují jako uzavřený systém (tj., bez kontaktu s okolním světem) lze odposlouchávat pomocí sledování slabých elektromagnetických přenosů generovaných hardwarem.

Spoofing

Padělání (spoofing) je obecně podvodný nebo škodlivý postup, ve kterém je komunikace odeslána z neznámého zdroje, který se tváří jako zdroj známý přijímači. Spoofing nejvíce převládají v komunikačních mechanismech, které nemají vysoký stupeň bezpečnosti.^[4]

Tampering/Zasahování

Tampering popisuje škodlivou modifikaci produktů nebo dat. Příkladem jsou takzvané "Evil Maid" útoky a bezpečnostní služby, které vkládají do směrovačů schopnost dozoru.^[5]

Elevace oprávnění

Elevace oprávnění popisuje situaci, kdy útočník s určitou mírou omezeného přístupu je schopen bez povolení zvýšit své výsady nebo úroveň přístupu. Tak například běžný počítačový uživatel může být schopen oklamat systém vložení přístupu k omezeným datům; nebo dokonce "stát se rootem" a získat tak plný neomezený přístup k systému.

Phishing

Phishing je snaha získat citlivé informace, jako jsou uživatelská jména, hesla či informace o kreditní kartě, přímo od uživatelů.^[6] Phishing se obvykle provádí pomocí falešných e-mailových zpráv nebo zneužitím instant messagingu. Často se snaží uživatele přesvdčit k zadání podrobností na falešných webových stránkách, které se zdají (téměř) totožné s legitimními stránkami. „Lovením” důvěřivých obětí lze phishing klasifikovat jako nelegální využití sociálního inženýrství.

Zero day útoky

Zero day útok není označení pro konkrétní techniku. Je to označení pro zranitelnosti softwaru, které jsou odhaleny (a případně zneužívány) ještě před vydáním aktualizace, která příslušnou chybu opravuje. Je to tedy třída velmi závažných zranitelností, protože ani zcela aktualizovaný systém není proti zneužití takových chyb odolný a až do doby vydání příslušné opravy je potřeba systém chránit jinými prostředky (např. aplikačním firewallem, úplným vypnutím některých funkcí apod.).

Clickjacking

Clickjacking, také známý jako "UI redressing nebo User Interface redressing" (převléknutí uživatelského rozhraní), je škodlivá technika ve kterém útočník oklame uživatele, aby kliknul na tlačítko nebo odkaz na webovou stránku, zatímco uživatel měl v úmyslu kliknout na vrchní úroveň stránky. To se provádí pomocí více průhledné nebo neprůhledné vrstvy. Útočník v podstatě "unese" kliknutí určené pro horní stránku a přesměruje jej je na nějaké jiné irelevantní stránky, s největší pravděpodobností ve vlastnictví někoho jiného.

Sociální inženýrství

Za sociální inženýrství je považována snaha přesvědčit uživatele, aby dobrovolně prozradil své citlivé údaje, například hesla pro přístup k soukromým službám (e-mail, sociální sítě, internetové bankovnictví, ...), čísla bankovních karet, PIN kód a podobně, například tím, že se vydává za existující instituci (banku, poskytovatele služeb,...), ale i za kamaráda, příbuzného a podobně.^[7] Typické je naléhání na rychlé "řešení", aby oběť neměla čas zjistit si o útoku podrobnosti a tím ho odhalit.

Populární a ziskový cyber podvod zahrnuje falešné e-maily odeslané na účetní a finanční oddělení. Na začátku roku 2016 ohlásil Federální úřad pro vyšetřování (FBI), že podvod stála americké firmy více než 2 miliardy dolarů v průběhu dvou let.^[8]

V květnu 2016 byl tým Milwaukee Bucks NBA obětí tohoto druhu kybernetického podvodu, pomocí zosobnění prezidenta týmu Petera Feigina, což mělo za následek předání daňových formulářů všech zaměstnanců týmu.^[9]

Motivace útočníků

Stejně jako u fyzické bezpečnosti se motivace pro narušení počítačové bezpečnosti u jednotlivých útočníků liší. Někteří jsou hledači vzrušení nebo vandalové, někteří jsou aktivisté, jiní zločinci, kteří hledají finanční zisk. Běžně dnes vidět státem podporované útočníci s dobrými zdroji, kteří začínali s amatéry, jako jsou Markus Hess, který hackoval pro KGB, jak popsal Clifford Stoll v The Cuckoo’s Egg.

Nedávné motivace útočníků lze navíc vysledovat až do extremistických organizací, které se snaží získat politickou výhodu nebo narušit sociální agendy. Růst internetu, mobilních technologií a levných počítačových zařízení vedl ke zvýšení schopností, ale také k ohrožení prostředí, která jsou považována za nezbytné pro provoz. Všechna kritická cílená prostředí jsou citlivá k ohrožení, což vedlo k řadě proaktivních studií o tom, jak migrovat riziko s ohleduplností k motivacím těchto typů aktérů. Existuje několik výrazných rozdílů mezi motivací hackerů a motivací představitelů národních států, kteří se snaží útočit na základě ideologických preferencí.

Standardní součástí modelování hrozeb pro jakýkoli konkrétní systém je identifikace toho, co by mohlo motivovat k útoku na tento systém a kdo by mohl být motivován k jeho prolomení. Úroveň a podrobnosti opatření se budou lišit v závislosti na systému, který má být zabezpečen. Domácí osobní počítač, banka a tajná vojenská síť čelí velmi odlišným hrozbám, i když základní používané technologie jsou podobné.

Bezpečnostní projekt

Aby byla ochrana počítačového systému efektivní, je potřebné vypracovat bezpečnostní projekt. Cílem tohoto projektu je docílení takového stavu, aby úsilí, riziko odhalení a finanční prostředky potřebné na narušení bezpečnostního systému byly adekvátní v porovnání s hodnotou, která je bezpečnostním systémem chráněna.

Části bezpečnostního projektu

Zabezpečení fyzického přístupu: Zabezpečení fyzického přístupu spočívá v zabránění přístupu nepovolaných osob k částem počítačového systému. Na toto zabezpečení se používají bezpečnostní prvky jako přidělení rozdílných práv zaměstnancům, elektronické zámky, poplašné zařazení, kamerové systémy, autorizační systémy chráněné hesly, čipovými kartami, autentizační systémy na snímání otisků prstů, dlaně, oční duhovky, rozpoznání hlasu, auditovací systémy na sledování a zaznamenávání určitých akcií zaměstnanců (vstup zaměstnanců do místnosti, přihlášení se do systému, kopírování údajů atd.).

Zabezpečení počítačového systému

Zabezpečení počítačového systému spočívá v zabezpečení systému před útokem crackerů, škodlivých programů (viry, červy, trojské koně, spyware, adware, ...). do této části patří i zaškolení zaměstnanců, aby se chovali v souladu s počítačovou bezpečností a dodržovali zásady bezpečného chování na síti.

Zabezpečení informací

Zabezpečení informací spočívá v bezpečném zálohování dat. Záloha dat by měla být vytvořena tak, aby ji neohrozil útočník ani přírodní živelní pohroma (požár, záplavy, pád letadla, ...). Zálohovaná data je také potřeba chránit proti neoprávněné manipulaci použitím vhodného šifrovacího systému. Záloha dat má být aktuální.

Ekonomické a právní zabezpečení

Ekonomické a právní zabezpečení spočívá ve správné motivaci a postihu zaměstnanců.

Informování o bezpečnostních incidentech ale nemá preventivní vliv.^[10]

Náklady a důsledky narušení bezpečnosti

Narušení bezpečnosti způsobilo vážné finanční škody, ale protože neexistuje žádný standardní model pro odhad nákladů na incident, jsou k dispozici pouze údaje zveřejněné dotčenými organizacemi.^[11]^[12] "Několik poradenských firem zabývajících se počítačovou bezpečností provádí odhady celkových celosvětových ztrát spojených s útoky červích virů a nepřátelskými digitálními aktivitami obecně. Odhady ztrát těchto firem za rok 2003 se pohybují od 13 miliard dolarů (pouze červi a viry) do 226 miliard dolarů (všechny formy skrytých útoků). Důvěryhodnost těchto odhadů je často zpochybňována; základní metodika je do značné míry neoficiální".^[13] Pokud se při narušení bezpečnosti ztratí i citlivá data, často to poškodí pověst společnosti.^[14]^[15]^[16]

Přiměřené odhady finančních nákladů na narušení bezpečnosti však mohou organizacím skutečně pomoci při přijímání správných investičních rozhodnutí. Podle klasického Gordon-Lebova modelu, který analyzuje optimální výši investic do informační bezpečnosti, můžeme dojít k závěru, že částka, kterou firma vynaloží na informační bezpečnost, by měla obecně představovat pouze malý zlomek očekávaných ztrát (t. Е. Očekávaná hodnota ztrát v důsledku narušení kybernetické/informační bezpečnosti).^[17]

Kariéra

Kybernetická bezpečnost je rychle se rozvíjející oblast IT, jejímž cílem je snížit riziko napadení organizací hackery nebo narušení bezpečnosti dat.^[18] Podle průzkumu společnosti Enterprise Strategy Group 46 % organizací v roce 2016 uvedlo, že mají "problematický nedostatek" kyberbezpečnostních dovedností, oproti 28 % v roce 2015.^[19]^[20]

Reference

V tomto článku byly použity překlady textů z článků Computer security na anglické Wikipedii, Počítačová bezpečnosť na slovenské Wikipedii a Computer security na anglické Wikipedii.

↑ Computer Security and Mobile Security Challenges . . Dostupné online.
↑ Distributed Denial of Service Attack online. cit. 2014-11-12. Dostupné online.
↑ AMNA. Wireless mouse leave billions at risk of computer hack: cyber security firm online. 2016-03-30 cit. 2022-05-25. Dostupné online. (anglicky)
↑ What is Spoofing? - Definition from Techopedia. Techopedia.com online. cit. 2022-05-25. Dostupné online. (anglicky)
↑ GALLAGHER, Sean. Photos of an NSA "upgrade" factory show Cisco router getting implant online. Ars Technica, May 14, 2014 cit. 2014-08-03. Dostupné online.
↑ Identifying Phishing Attempts online. Case cit. 2016-08-27. Dostupné v archivu pořízeném dne 2015-09-13.
↑ ARCOS SERGIO. Social Engineering online. Dostupné online.
↑ SCANNELL, Kara. CEO email scam costs companies $2bn. Financial Times. 24 Feb 2016. Dostupné online cit. 7 May 2016.
↑ Bucks leak tax info of players, employees as result of email scam. Associated Press. 20 May 2016. Dostupné online cit. 20 May 2016.
↑ Research reveals massive failures in US cybersecurity laws. techxplore.com online. cit. 2024-02-19. Dostupné online.
↑ Cybersecurity Trends & Statistics For 2023; What You Need To Know. www.forbes.com online. cit. 2024-02-2. Dostupné online.
↑ The Devastating Business Impacts of a Cyber Breach. hbr.org online. cit. 2024-02-2. Dostupné online.
↑ The Economic Impact of Cyber-Attacks. sgp.fas.org online. cit. 2024-02-2. Dostupné online.
↑ Data Breach. www.wallstreetmojo.com online. cit. 2024-02-2. Dostupné online.
↑ IT-Sicherheit trifft Mobilität: Wie Sie Firmenhandys sicher integrieren. blog.cortado.com online. cit. 2024-02-2. Dostupné online.
↑ How much will a data breach really damage your organisation’s reputation?. www.itpro.com online. cit. 2024-02-2. Dostupné online.
↑ The economics of information security investment. dl.acm.org online. cit. 2024-02-2. Dostupné online.
↑ Style and Statistics: The Art of Retail Analytics. onlinelibrary.wiley.com online. cit. 2024-02-2. Dostupné online.
↑ The Cybersecurity Skills Shortage Is Getting Worse. www.techtarget.com online. cit. 2024-02-2. Dostupné online.
↑ Cybersecurity Careers And Professions. www.sweetstudy.com online. cit. 2024-02-2. Dostupné online.

Související článkyeditovat | editovat zdroj

Externí odkazyeditovat | editovat zdroj

Obrázky, zvuky či videa k tématu počítačová bezpečnost na Wikimedia Commons

Zdroj:https://cs.wikipedia.org?pojem=Kybernetická_bezpečnost
Text je dostupný za podmienok Creative Commons Attribution/Share-Alike License 3.0 Unported; prípadne za ďalších podmienok. Podrobnejšie informácie nájdete na stránke Podmienky použitia.

[1] Computer Security and Mobile Security Challenges . . Dostupné online.

[2] Distributed Denial of Service Attack online. cit. 2014-11-12. Dostupné online.

[3] AMNA. Wireless mouse leave billions at risk of computer hack: cyber security firm online. 2016-03-30 cit. 2022-05-25. Dostupné online. (anglicky)

[4] What is Spoofing? - Definition from Techopedia. Techopedia.com online. cit. 2022-05-25. Dostupné online. (anglicky)

[5] GALLAGHER, Sean. Photos of an NSA "upgrade" factory show Cisco router getting implant online. Ars Technica, May 14, 2014 cit. 2014-08-03. Dostupné online.

[6] Identifying Phishing Attempts online. Case cit. 2016-08-27. Dostupné v archivu pořízeném dne 2015-09-13.

[7] ARCOS SERGIO. Social Engineering online. Dostupné online.

[8] SCANNELL, Kara. CEO email scam costs companies $2bn. Financial Times. 24 Feb 2016. Dostupné online cit. 7 May 2016.

[9] Bucks leak tax info of players, employees as result of email scam. Associated Press. 20 May 2016. Dostupné online cit. 20 May 2016.

[10] Research reveals massive failures in US cybersecurity laws. techxplore.com online. cit. 2024-02-19. Dostupné online.

[11] Cybersecurity Trends & Statistics For 2023; What You Need To Know. www.forbes.com online. cit. 2024-02-2. Dostupné online.

[12] The Devastating Business Impacts of a Cyber Breach. hbr.org online. cit. 2024-02-2. Dostupné online.

[13] The Economic Impact of Cyber-Attacks. sgp.fas.org online. cit. 2024-02-2. Dostupné online.

[14] Data Breach. www.wallstreetmojo.com online. cit. 2024-02-2. Dostupné online.

[15] IT-Sicherheit trifft Mobilität: Wie Sie Firmenhandys sicher integrieren. blog.cortado.com online. cit. 2024-02-2. Dostupné online.

[16] How much will a data breach really damage your organisation’s reputation?. www.itpro.com online. cit. 2024-02-2. Dostupné online.

[17] The economics of information security investment. dl.acm.org online. cit. 2024-02-2. Dostupné online.

[18] Style and Statistics: The Art of Retail Analytics. onlinelibrary.wiley.com online. cit. 2024-02-2. Dostupné online.

[19] The Cybersecurity Skills Shortage Is Getting Worse. www.techtarget.com online. cit. 2024-02-2. Dostupné online.

[20] Cybersecurity Careers And Professions. www.sweetstudy.com online. cit. 2024-02-2. Dostupné online.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]