NOVINKA: Kurz kybernetické bezpečnosti s akreditací MŠMT, nyní již od 0 Kč. Staň se žádaným profesionálem. Zjisti více:
NOVINKA: Staň se datovým analytikem a získej jistotu práce, lepší plat a nové kariérní možnosti. Více informací:

Lekce 1 - Základní pojmy a zásady kybernetické bezpečnosti

Další

Vítejte u první lekce on-line kurzu o kybernetické bezpečnosti. V kurzu se budeme učit posuzovat a zohledňovat bezpečnostní rizika při návrhu softwaru, porozumíme matematickým základům kryptografie a poté se budeme zabývat současnými kryptografickými algoritmy a jejich reálnou aplikací.

  • Symetrické šifrování – ilustrační schéma - Kybernetická bezpečnost a NIS2
  • Kleopatra a šifrování souborů - Kybernetická bezpečnost a NIS2
  • Okno Windows firewallu – povolení aplikace Postman - Kybernetická bezpečnost a NIS2
  • Ilustrační obrázek síly hesla - Kybernetická bezpečnost a NIS2
  • Ukázka podvodné stránky napodobující Raiffeisenbank - Kybernetická bezpečnost a NIS2

Minimální požadavky

K tomuto kurzu nepotřebujete žádné speciální znalosti, stačí běžná práce s počítačem 🙂

Proč se zajímat o kybernetickou bezpečnost

Snad každá literatura o kybernetické bezpečnosti začíná tím, jak její význam stoupá v době, kdy se stále více důležitých záležitostí řeší elektronicky a jak je toto téma stále systematicky podceňováno. To všechno je pravda, a proto bezpečnost považujeme za zvlášť perspektivní obor do budoucna. Každý dnes potřebuje chránit minimálně své peníze v elektronické podobě.

Příklad z praxe

Na úvod začneme příkladem z praxe. Jak myslíte, že je složité zjistit, kolik peněz má na bankovních účtech relativně velká a úspěšná IT firma? Asi si říkáte, že by to byl velký hackerský počin – bankovní služby musí být přeci špičkově zabezpečené. To je dnes už víceméně pravda, ale asi byste žasli, jak tomu bylo po dlouhé roky dříve.

V praxi stačilo poslat e-mail s tímto dotazem jedné zaměstnankyni. Tento e-mail měl v hlavičce Mail from: uvedenou adresu někoho z vedení oné firmy, v hlavičce Reply to: e-mail útočníka, kam poté skutečně přišla odpověď. A milá a aktivní zaměstnankyně zařídila zbytek.

Podvrhnout e-mail tímto způsobem je velmi jednoduché a zvládne to i začátečník pomocí několika řádků kódu nebo běžně dostupných nástrojů. Co z toho vyplývá?

Každé bezpečnostní řešení je jen tak bezpečné, jak bezpečný je jeho nejslabší článek. A nejslabším článkem každého počítačového systému je tradičně člověk (běžný uživatel či administrátor).

Hrozby v kybernetické bezpečnosti

Že jsme měli informaci utajit zjistíme většinou až ve chvíli, kdy dojde k jejímu úniku a je z toho malér. Informace, které unikly, se již nedají vzít zpátky. Nicméně, i kdybychom opravdu neměli co tajit, setkáme se ve svém životě minimálně s některým z následujících útoků:

  • Sociální inženýrství – Jedná se o klasický podvod, který z nás má vylákat nějakou informaci, přimět nás udělat něco, co bychom jinak neudělali. Pouze jsou při něm použity elektronické prostředky jako v příkladu z praxe výše.
  • Ztráta dat – Telefon či počítač nám může někdo odcizit, můžeme vyhořet, jednoduše se nám poškodí disk nebo zapomeneme či ztratíme přístupová hesla k šifrovaným souborům.
  • Malware (škodlivý kód) – Ať už z infikované aplikace, e-mailu, či webových stránek. Ten pak může dělat víceméně cokoli, například odchytávat hesla, sledovat naši polohu nebo číst naši komunikaci. Obzvlášť oblíbeným se stává tzv. ransomware, který zašifruje naše data a za rozšifrování požaduje výkupné.
  • Pomluvy a dezinformace – Protože může na internet přispívat každý, a to čímkoliv ho napadne, nalezneme zde spoustu "smetí a nesmyslů". Rozhodně už dávno neplatí, že co je někde napsáno, musí být vždy pravda (a to včetně videí). Cílené pomluvy zase najdeme nejčastěji na sociálních sítích.
  • Krádež identity – Někdo zneužije naši identitu k odesílání e-mailu, podpisu smlouvy o půjčce a podobně. Velmi obtížně se pak prokazuje, že jsme to skutečně nebyli my.

Ne každý si je vědom faktu, že podle zákona se může stát odpovědným za trestný čin z nedbalosti, pokud neměl zabezpečený svůj počítač a někdo ho využil ke spáchání trestného činu (nejčastěji se stane součástí tzv. BOTNETu a bude použit k DDoS útoku).

Základní principy kybernetické bezpečnosti

Na rozdíl od běžné trestné činnosti nás v této oblasti policie často nedokáže účinně ochránit. Útočníci navíc bývají obtížně dohledatelní, pokud neudělají chybu. O to důležitější je rozumět tomu, co přesně chceme chránit a na jaké oblasti se při zabezpečení zaměřit.

Kybernetická bezpečnost se proto opírá o několik základních principů:

  • Confidentiality (důvěrnost) – V podstatě jde o to, aby se ke konkrétním informacím (dokumentům, mailům, videím, ale třeba i hovorům) dostal jen ten, kdo je k tomu oprávněn.
  • Integrity (celistvost) – Zjednodušeně řečeno to znamená, aby někdo neoprávněný nemohl informace (z)měnit.
  • Availability (dostupnost) – Naopak chrání, aby k informacím neztratily přístup osoby oprávněné. Do toho spadá i ztráta informací nebo útoky typu (D)DOS. Ty způsobí výpadek služby jejím přetížením.
  • Authenticity (ověřitelnost, důvěryhodnost) – Zde jde o prokazatelnost toho, že daná informace skutečně pochází od uvedeného autora či zdroje. To, že někdo pod e-mail jednoduše napíše David Janko ještě vůbec nedokazuje, že jsem to byl skutečně , protože to může udělat každý. Druhou věcí je, jak důvěryhodný je samotný autor (což striktně vzato nespadá do kybernetické bezpečnosti, ale v praxi je to také důležité).
  • Utility (použitelnost) – Není dost dobře možné chtít třeba po sekretářce, aby každou čtvrthodinu zadávala dvacetimístné heslo, když se chce vrátit k rozepsanému dokumentu, zatímco si odběhla uvařit kávu. To samé platí například i pro mobilní telefon. Obecně je problém po někom chtít, aby si zapamatoval více než jedno složitější heslo. Proto v praxi budeme vždy nuceni hledat kompromis mezi úrovní zabezpečení a praktickou použitelností daného řešení.

Hlavní zásady

Při hledání a implementaci řešení se budeme držet několika následujících zásad.

Oddělovat, oddělovat a oddělovat

Všeobecně pro administrátory a bezpečnostní architekty platí nutnost oddělování sítí, serverů, služeb, skupin uživatelů a další infrastruktury. Nás však bude zatím zajímat především rozlišení podle úrovně zabezpečení:

Stupeň (Class) zabezpečení Laický popis Běžné označení v komerční sféře Označení podle zákona č. 412/2005
C0 Jedná se o informace, které sice nemusely být nutně zveřejněné, ale kdyby k tomu došlo, nic by se nestalo. Veřejné Veřejné
C1 Tyto informace zveřejnit rozhodně nechceme, na druhou stranu, život by se nám kvůli tomu také nezhroutil. Citlivé Vyhrazené (Restricted)
C2 Únik takových informací by byl osudový. Odolnost proti běžným hackerům a policii (při běžném vyšetřování) :) Interní Důvěrné (Confidential)
C3 Únik informací z této kategorie by už mohl někoho stát život. Od této úrovně bychom řešili i například to, že nás někdo může mučit, abychom mu informace poskytli. Odolnost proti profesionálním hackerům či tajným službám. Chráněné Tajné (Secret)
C4 Zde platí totéž jako v úrovni C3. / Přísně tajné (Top Secret)

V tomto on-line kurzu si vystačíme se zabezpečením do úrovně C2.

Automatizace postupů

Vědomá znalost je fajn, když je naší primární činností bezpečnost. Většina uživatelů má jinou pracovní náplň, na kterou se musí soustředit. V takovém případě vědomí často chybuje a zapomíná, protože se soustředí na něco jiného. Základní bezpečnostní návyky je tedy potřeba dostat do podvědomí, aby je člověk dělal automaticky (jako čištění zubů před spaním :) ). To se dělá nejčastěji opakováním určité činnosti.

Typickým příkladem je občasné vynucené zadání hesla i tam, kde se běžně přihlašujeme biometricky (například na mobilním telefonu), abychom heslo nezapomněli.

Pomocí (post)hypnotické sugesce lze dosáhnout i toho, že si člověk heslo vědomě nepamatuje a je schopen ho zadat pouze na klávesnici. A to ještě jen tehdy, pokud je u zadávání sám! Některé techniky kybernetické bezpečnosti nám zabíhají třeba i do psychologie.

Tam, kde to jde, samozřejmě využíváme automatického zpracovávání pomocí programů a skriptů.

Minimalizace instalovaného softwaru

Čím méně softwaru a služeb na počítači provozujeme, tím snižujeme počet potenciálních bezpečnostních děr, které je možné k průniku využít. Striktně tuto zásadu uplatňujeme na firemních pracovních stanicích. U osobních počítačů je to samozřejmě trochu problém a úplnou bezpečnostní noční můru pak představuje mobilní telefon, kde se instalace nových a nových aplikací stala (mezi)národním sportem.

Operační systém iOS je na tom o trochu lépe než Android, nicméně nejbezpečnějším řešením je zkrátka nepoužívat mobilní telefon k práci vyžadující vyšší stupeň bezpečnosti než C1. Pro osobní počítače a notebooky si ukážeme, jak v případě potřeby použít tzv. SandBox, virtuální počítač nebo samostatný operační systém spouštěný například z flashdisku. Jedná se o princip oddělení.

Životní cyklus kybernetické bezpečnosti

Profesionální kybernetická bezpečnost není stav nebo produkt, ale neustále se opakující proces Analýza -> Realizace opatření -> Monitoring a kontrola -> Detekce a identifikace nových hrozeb. My si zde vystačíme s aktualizacemi systému, aplikací a občasnou kontrolou, zda nám funguje správně zálohování.

Koncepce End-to-end (E2E) ochrany

Koncepce ochrany koncových zařízení, zpravidla šifrováním, vychází z předpokladu, že jediné, čemu můžeme skutečně věřit, jsme my sami a naše vlastní zařízení. Víceméně odpadá starost o to, jak jsou na tom zařízení ostatní či cesta mezi nimi (například zda je dostatečně zabezpečená místní Wi-Fi nebo zda naše e-maily nečte správce serveru, hovory neodposlouchává operátor nebo nějaká státní instituce).

Jde o tak účinný způsob ochrany, že se i v některých demokratických státech, jako je například Německo, objevují hlasy volající po povinném zabudovávání zadních vrátek (backdoors) do elektroniky, aby ji stát mohl v případě potřeby prolomit. My zde proto budeme preferovat lokálně běžící aplikace.

Uživatelskou nevýhodou této koncepce je omezení při zpracovávání či ukládání dat na jiném počítači než našem. Jde například o dokumenty Google, různá webová rozhraní pro e-mail a podobně.

Koncepce open source

Open source znamená, že jsou k dané aplikaci veřejně přístupné zdrojové kódy a každý (kdo dokáže číst zdrojový kód) si může zkontrolovat, že daná aplikace skutečně dělá pouze to, co autor či firma uvádí. To je samozřejmě velké bezpečnostní plus, a proto zde budeme preferovat open source aplikace, zejména v případě, kdy mají přístup k našim heslům. Bavíme se zde o správci hesel, šifrovacích aplikacích a dalších.

Nicméně fakt, že je nějaká aplikace open source ještě automaticky neznamená, že je bezpečná! V praxi vybíráme takové aplikace, které jsou už delší dobu na trhu a používá je větší počet uživatelů.

V příští lekci, Symetrická a asymetrická kryptografie, se podíváme na rozdíly symetrické a asymetrické kryptografie a jejího využití v praxi. Dále se budeme zabývat digitálními podpisy, certifikáty a certifikačními autoritami.


 

Všechny články v sekci
Kybernetická bezpečnost a NIS2
Přeskočit článek
(nedoporučujeme)
Symetrická a asymetrická kryptografie
Článek pro vás napsal David Janko
Avatar
Uživatelské hodnocení:
318 hlasů
Autor se věnuje poradenství převážně v oblasti kybernetické bezpečnosti.
Aktivity