Co je kybernetická bezpečnost?

Jiří Peterka
nezávislý konzultant a publicista
pedagog na MFF UK

co bychom si měli ujasnit?
• základní pojmy




kybernetický (adjektivum)
kyberprostor (substantivum)
aktivum
důvěrnost, integrita, dostupnost, …
prvek, systém, infrastruktura

• rizika



• nástroje
• log management
• SIEM/ISMS, systémy řízení
bezpečnosti informací
• dohledová centra

• orgány
• CIRC
• CERT, CSIRT

zranitelnost
hrozba, dopad
• zákon
událost, incident
• ZoKB, vyhlášky, gesce NBÚ
malware, hacking, DOS, DDOS, botnet, … • kritická (komunikační a
informační) infrastruktura
• obrana/techniky:
• významný informační systém
• firewall
• vládní/národní CERT/CSIRT
• DPI (Deep Packet Inspection)
• NCKB ….
• IDS/IPS, DLP
• monitoring, behaviorální analýza

co je „kyberprostor“
• co znamená „kybernetický“ (jako adjektivum) ?
• a potom: co je kybernetický prostor, alias kyberprostor?

• raději: neztrácejme čas s exaktními definicemi
• je jich mnoho a stejně se vzájemně liší 

• zjednodušme si to:

„to“, co vzniká
díky počítačům

• kybernetický = počítačový
• kybernetický prostor (kyberprostor) = prostor, vytvářený počítači

• spíše se zajímejme o to:

je to „samostatný svět“

• co všechno „kyberprostor“ zahrnuje, jaké má vlastnosti, ….
• co „kyberprostor“ ohrožuje, jak zajistit jeho bezpečnost

co všechno „kyberprostor“ zahrnuje?
• intuitivně:
• je to „to, co vytváří klasické počítače“
• například: počítače v datových centrech, počítače v domácnostech, firmách
a institucích, …..

• ve skutečnosti může jít (a jde) také o:
• zařízení obdobná počítačům
• jako jsou tablety, mobily, hrací konzole, periferie (tiskárny, modemy, ….. )

• „chytrá“ (domácí/osobní) zařízení, sloužící primárně jiným účelům
• TV, různé přehrávače, … ledničky, pračky, myčky, …. hračky
• ale třeba také kardiostimulátory, lékařská zařízení, ….

• řídící systémy
• v průmyslu, v dopravě, v telekomunikacích, utilitách ….

protože změnou
programu zle
změnit
chování/fungování

• stroje, průmyslová zařízení, přístroje
• ve výrobě, v distribuci, ……

obecně: všechno, co je řízeno
(počítačovým) programem

kyberprostor není jen Internet !!
• pozor:
• kyberprostor není (ani zdaleka) to samé, jako Internet !!
• i když: významná část hrozeb přichází právě „z Internetu“

• není to:
• „něco souvislého“ (například jedna hodně velká síť – Internet)

• ale může to být:
• více samostatných (vzájemně oddělených) oblastí/prostorů
• pozor: je (velkou) chybou myslet si, že když nejste připojeni
k Internetu, že vám nic nehrozí !!!
• hrozby a „nákazy“ se nemusí šířit jen po Internetu
• ale prakticky jakkoli, například přes fyzické nosiče (USB klíčenky, SD karty)
• v Íránu by mohli vyprávět (viz virus Stuxnet, šířený přes tiskárny)

jaké zákony platí v kyberprostoru?
• zákony matematiky, logiky …
• platí stále

• fyzikální zákony:
• některé platí
• bez konektivity/možnosti přenosu
se neobejdete
• bez napájení (přísunu energie)
dlouho nevydržíte
• ….

• jiné nikoli:
• fyzické (geografické) vzdálenosti
přestávají existovat
• zůstává jen přenosové zpoždění
(latence)

• právo, zákony, morálka ….
• pro vás platí nadále !!!
• pro druhou stranu barikády
neplatí !!!

• „ekonomické“ zákony
• „poměrové“ zákony neplatí
• zdatným soupeřem giganta
může být i trpaslík
• příklad: USA vs. Severní Korea

• zdatným soupeřem celých týmů
může být i jednotlivec či malá
skupinka

co jsou aktiva?
• aktivum (sing.), aktiva (plurál):

nesmíme

• neformálně: cokoli, čeho si nějak ceníme a nechceme o to přijít
• může to mít fyzickou podobu / být hmotné:
• počítače, periferie, zařízení, stroje, ….
• suroviny, energie, zboží, …..
• přenosové cesty, sítě, prostředky komunikace

protistrana se snaží
ukrást, poškodit ….

• nemusí to mít fyzickou podobu / může to být nehmotné
• informace, znalosti (know-how) …..
protistrana se snaží je od nás získat
protistrana se snaží je pozměnit
• data (databáze), programy …..
• schopnost, dostupnost, funkčnost ….
• schopnost řádně fungovat
• schopnost poskytovat služby

protistrana se snaží omezit

• reputace, prestiž, obraz (image)

protistrana se snaží pokazit

co (a jak) lze narušit (u dat)
• co je možné narušit:
• důvěrnost (privacy)
• … aby se někdo nedozvěděl to, co
se dozvědět nemá …..
• data lze chránit např. pomocí
šifrování ……

• celistvost (integrity)
• … aby někdo nezměnil něco, co by
se měnit nemělo …..
• nebo alespoň: aby se spolehlivě
poznalo, že došlo k nějaké
změně
• lze využít např. elektronický
podpis

• dostupnost (availability)
• …. aby to, co má být dostupné,
skutečně dostupné bylo ….
• aby to fungovalo tak, jak má

• ……..

• možné způsoby narušování:

„old“

• průnik/prolomení/hacking
• překonání bariér

• použití malware
• obecně: škodlivý kód
• např. virus, trojský kůň, …..

• „přetěžování“
• vznáším velké množství jinak
legitimních požadavků, s cílem
zahltit/přetížit zvolený cíl
• útoky DOS, DDOS (pomocí botnet-ů)

• sociální inženýrství
• snažím se přimět někoho jiného
k něčemu, co by normálně neudělal
• cílenou manipulací, podvodem,
uvedením v omyl, pomocí $$ …
• phishing, whaling, ….

„new“

jak se lze bránit
• dříve (se ještě dalo):
• postavit na hranici hlídače
• který kontroloval každého, kdo chtěl projít „dovnitř“

• v počítačové terminologii:
• mezi veřejnou a privátní síť postavit tzv. firewall
• který analyzuje procházející data (datové pakety)
• vyhledává v nich „charakteristické vzorky“ (otisky)

• dnes už to (moc) nepomáhá:
• hlídač není schopen (spolehlivě) poznat útok/útočníka/hrozbu
• protože jejich charakteristiky („otisky“) se mění příliš rychle
• hlídač nemá šanci se o nich včas (či: vůbec) dozvědět

• dnes je účinnější tzv. behaviorální analýza
• monitorování a analýza chování přímo v chráněné síti
• zda „nedělají neplechu“ (něco podezřelého, nestandardního, …..)

co je nutné – pro ochranu a obranu
• musíte se chránit i bránit – ale sami se neubráníte
• je nezbytné spolupracovat s dalšími stranami !!!
• sdílet informace, postupovat koordinovaně, poskytovat si součinnost,
pomáhat si, …..

• důsledek:

log management, SIEM/ISMS,
systémy řízení bezpečnosti
informací, dohledová centra, ….

• k ochraně a obraně potřebujete určité nástroje
• nelze to dělat „holýma rukama“

CERT, CSIRT,
CIRC, ….

• vzájemná spolupráce musí být určitým způsobem organizovaná
• neformálně (na bázi dobrovolnosti), ale i formálně (na bázi povinnosti)
• institucionálně: formou zákona
událost, incident, varování, opatření, …...

zákon č. 181/2014 Sb.,
o kybernetické bezpečnosti

prvek, systém, infrastruktura, ….

událost, incident, opatření, ….
• terminologie zákona o kybernetické bezpečnosti:
• (kybernetická bezpečnostní) událost: „něco, co hrozí ….“
lepší termín by
• co „může narušit bezpečnost“ informací, služeb nebo sítí
asi byl „hrozba“
• princip: události se detekují
• (povinné) subjekty jsou povinny detekovat kyb. bezpečnostní události

• (kybernetický bezpečnostní) incident: „něco, co se už stalo ….“
• co „je narušením bezpečnosti“ informací, služeb nebo sítí
• princip: incidenty se hlásí
• (povinné) subjekty jsou povinny hlásit kyb. bezpečnostní incidenty
• podle své působnosti buď vládnímu CERTu nebo národnímu CERTu (CSIRTu)

• vymezení incidentů a způsob hlášení stanovuje vyhláška

• opatření (v oblasti kyb. bezpečnosti): „něco, co by se mělo udělat“
• princip: opatření se ukládají
• ukládá je Úřad (NBÚ)
• (povinné) subjekty jsou povinny je provádět

Opatření
• varování
• reaktivní opatření
• ochranné opatření

CERT, CSIRT, CIRC, …..
• jak označovat týmy (skupiny lidí), které se starají
o (kybernetickou) bezpečnost?
• CERT: Computer Emergency Response Team
• doslova: tým, reagující na výjimečné počítačové situace
• jde o registrovanou ochrannou známku Carnegie Mellon University v USA
• !!! název CERT nelze používat bez jejího svolení !!!!
• v ČR mají toto svolení 3 týmy:
• „národní“ tým (CSIRT.CZ), DHL CERT, „vládní“ tým (GovCERT.CZ)

• CSIRT: Computer Security Incident Response Team
• doslova: tým, reagující na incidenty v oblasti počítačové bezpečnosti

• CIRC: Computer Incident Response Capability

např. ve vojenství

• další možné označení pro tým + vybavení (instituci, útvar, orgán, ….)
• například Armáda ČR má Centrum CIRC (http://circ.army.cz/)

nástroje
• lidé, kteří se starají o kybernetickou bezpečnost, nemohou
pracovat „holýma rukama“
• již jen proto, že musí pracovat s obrovským množstvím informací
• ale také proto, že by nestíhali tyto informace vyhodnocovat
• a také včas a řádně hlásit incidenty, provádět opatření atd.

• proto potřebují nástroje, které:
• zvládají obrovská kvanta informací
• mají určitou „vlastní inteligenci“

na to by ještě mohly stačit
nástroje pro „log management“

• nutnou pro (rutinnější) vyhodnocování bezpečnostních informací

• terminologie: jde o systémy řízení bezpečnosti informací
• SIEM: Security Information and Event Management
• ISMS: Information Security Management System
• …….

filosofie zákona

Úřad (NBÚ)

Národní centrum kybernetické
bezpečnosti (NCKB)
vládní CERT
(GovCERT.CZ)

národní CERT
(CSIRT.CZ)
povinnosti
subjekt dle § 3
odst. 1 písm. a

poskytovatel
služby el.
komunikací
subjekt
zajišťující síť el.
komunikací

subjekt dle § 3
odst. 1 písm. b

orgán nebo
osoba
zajišťující
významnou síť

privátní subjekty
„míra povinností“

povinnosti
subjekt dle § 3
odst. 1 písm. c

správce
informačního
systému
kritické
informační
infrastruktury

subjekt dle § 3
odst. 1 písm. d

správce
komunikačního
systému
kritické
informační
infrastruktury

privátní i veřejnoprávní subjekty

subjekt dle § 3
odst. 1 písm. e

správce
významného
informačního
systému

veřejnoprávní
subjekty

děkuji za pozornost

Jiří Peterka
http://jiri.peterka.cz
http://www.earchiv.cz
http://www.bajecnysvet.cz
http://www.muzeuminternetu.cz