UNICORN COLLEGE. Katedra informačních technologií

Transkript

1 UNICORN COLLEGE Katedra informačních technologií BAKALÁŘSKÁ PRÁCE Zabezpečení účetních dat ve firmě WaveNet.cz, s.r.o. Autor BP: Tomáš Kasper Vedoucí BP: Ing. David Procházka, Ph.D. 0 Praha

2 ZADÁNÍ

3 ZADÁNÍ

4 ČESTNÉ PROHLÁŠENÍ Prohlašuji, že jsem svou bakalářskou práci na téma Zabezpečení účetních dat ve firmě WaveNet.cz, s.r.o. vypracoval samostatně pod vedením vedoucího bakalářské práce a s použitím výhradně odborné literatury a dalších informačních zdrojů, které jsou v práci citovány a jsou také uvedeny v seznamu literatury a použitých zdrojů. Jako autor této bakalářské práce dále prohlašuji, že v souvislosti s jejím vytvořením jsem neporušil autorská práva třetích osob a jsem si plně vědom následků porušení ustanovení a následujících autorského zákona č. /000 Sb. V Praze dne.....

5 PODĚKOVÁNÍ Děkuji vedoucímu bakalářské práce Ing. Davidu Procházkovi, Ph.D. za účinnou metodickou, pedagogickou a odbornou pomoc a další cenné rady při zpracování mé bakalářské práce. Děkuji také Petru Forejtkovi a kolektivu pracovníků společnosti WaveNet.cz, s.r.o. za to, že mi svým kladným přístupem umožnili tuto práci realizovat.

6 Zabezpečení účetních dat ve firmě WaveNet.cz, s.r.o. Accounting Data Security in WaveNet.cz, s.r.o. company 6

7 ABSTRAKT Cílem práce je navrhnout ucelený soubor opatření vedoucích ke zvýšení úrovně bezpečnosti a ochrany dat v obchodní společnosti, jež poskytuje účetní služby sobě a dalším subjektům. V teoretické části se zabývám kromě základní terminologie i podstatou účetních dat a výběrem nejvhodnější metodiky pro řízení bezpečnosti informací ve firmě malé velikosti, tedy s výrazně omezenou kapacitou finančních i lidských zdrojů. V praktické části zkoumám zvolenou firmu a hodnotím stávající úroveň informační bezpečnosti prostřednictvím auditu. Na základě zjištěných nedostatků dále stanovuji konkrétní opatření rozdělené do čtyř hlavních částí. Těmi jsou řízení rizik, řízení bezpečnosti procesů a technologií, řízení lidí a řízení bezpečnostních incidentů. Výsledkem je návrh ekonomicky i procesně opodstatněného zabezpečení účetních dat v reálném prostředí vybrané firmy, tak jak je popsán v bakalářské práci. Klíčová slova: Bezpečnost informací, bezpečnostní incidenty, bezpečnost účetních dat, analýza rizik 7

8 ABSTRACT The goal if this thesis is to propose a comprehensive set of measures to increase the level of security and data protection in a company that provides accounting services for themselves and others. In the theoretical part I deal with the basic terminology, substance of accounting data and selection of the most appropriate methodology for information security management in small size enterprise with significantly limited capacity of financial and human resources. The practical part explores the selected company and evaluates the current level of information security through audit. Based on revealed shortcomings I suggest further measures divided into four main parts. These include risk management, security management of processes and technology, human resources management and management of security incidents. The result is a design of procedurally and economically well-founded security of accounting data in a real environment of selected company, as described in the thesis. Keywords: Information security, security incidents, accounting data security, risk assessment 8

9 OBSAH. ÚVOD TEORETICKÁ ČÁST.... Základní pojmy bezpečnosti a ochrany dat..... Informace a data..... Informační bezpečnost..... Aktiva..... Hrozba Zranitelnost Bezpečnostní incident Autentizace a autorizace Princip důvěrnosti, dostupnosti a integrity Bezpečnost dat v cloudu.... Bezpečnost v oblasti vedení účetnictví Finanční účetnictví Zákon o účetnictví a podstata účetních dat Zákon o ochraně osobních údajů Bezpečnost účetních dat Budoucnost vedení účetnictví Řízení bezpečnosti informací ITIL..... COBIT..... ISO/IEC Metodika vyvážené informační bezpečnosti Výběr metodiky řízení bezpečnosti.... PRAKTICKÁ ČÁST Společnost WaveNet.cz, s.r.o Podnikové role ICT infrastruktura Proces vedení účetnictví Hranice řešené problematiky Audit současného stavu Úroveň závislosti podniku na IT Úroveň řízení rizik Úroveň řízení bezpečnosti procesů a technologií Úroveň řízení lidských zdrojů Úroveň řízení bezpečnostních incidentů Interpretace zjištěných výsledků.... Řízení rizik Hodnocení aktiv Hodnocení hrozeb Hodnocení zranitelností Hodnocení rizik.... Řízení bezpečnosti procesů a technologií..... Bezpečnostní perimetr..... Zabezpečení archivačních skříní..... Firemní trezor..... Fyzické zabezpečení serveru Záložní napájení... 9

10 ..6 Zálohování Údržba aktiv Likvidace aktiv Monitoring systémových a síťových zdrojů Bezpečnost a kontrola přístupového bodu WiFi Bezpečnost a kontrola serveru Bezpečnost a kontrola pracovní stanice Bezpečnost a kontrola mobilních telefonů a tabletů Bezpečnost systému pro vedení účetnictví a účetních dat Elektronická komunikace Systém souhrnných hlášení Bezpečnost datových nosičů Bezpečnostní kalendář Schvalování aplikací Tvorba silného hesla Identifikace a autentizace uživatelů Správa uživatelských účtů a hesel Segregace sítě Zásada čistého stolu a prázdné obrazovky Kryptografická ochrana Řízení lidských zdrojů Definice rolí bezpečnostní politiky Pracovní smlouvy Zahájení pracovního poměru Ukončení pracovního poměru Postihy za porušování bezpečnostní politiky Školení v oblasti bezpečnosti informací Řízení bezpečnostních incidentů Příprava a plánování Detekce a analýza Obnova po bezpečnostním incidentu Obnova serveru Obnova pracovní stanice Obnova mobilních zařízení Obnova tiskárny, přístupového bodu WiFi a přepínače Odhad časové náročnosti obnovy a výměny zařízení Zajištění procesu vedení účetnictví Dlouhodobá rekonstrukce kancelářských prostor Bezpečnostní dokumentace Ekonomická náročnost navrhovaného řešení Zhodnocení a výhled do budoucna ZÁVĚR CONCLUSION SEZNAM POUŽITÝCH ZKRATEK SEZNAM ZDROJŮ Knižní zdroje Internetové zdroje Software SEZNAM ILUSTRACÍ SEZNAM TABULEK SEZNAM PŘÍLOH

11 . ÚVOD Pro malé podniky je typické, že kvůli procesní a personální náročnosti bezpečnost dat příliš neřeší a spíše marně doufají, že se jich tato problematika netýká. To lze do určité míry pochopit. Je to však důvod, proč na jakékoli systematické řízení bezpečnosti úplně kapitulovat? Osobně si to nemyslím a proto cílem mé práce je navrhnout efektivní způsob zajištění bezpečnosti účetních dat v reálném prostředí vybrané firmy, od jejíhož vedení tento požadavek původně vzešel. Získáním podpory managementu je tak splněna základní podmínka úspěšného dosažení vytyčeného cíle. Pro lepší srozumitelnost bude práce rozdělena do několika částí tak, jak lze vidět na obrázku. Ilustrace : Struktura práce Zdroj: Vlastní zpracování Nejprve budou vymezeny důležité pojmy vyskytující se v oboru informační bezpečnosti, následně zmapovány a zváženy způsoby, jakými se tato problematika obvykle řeší. Dále bude popsána vybraná firma a proveden audit, na jehož základě budou navržena opatření vedoucí ke zvýšení celkové úrovně bezpečnosti dat. Motivací ke zpracování tématu je pro mne zájem, který ve mně vzbudil právě bezpečnostní aspekt informačních systémů a ICT infrastruktury probíraný v rámci několika předmětů vyučovaných na Unicorn College. Pro dosažení vytyčeného cíle plánuji plně využít znalostí a dovedností získaných jak praxí v oblasti správy sítí a operačních systémů, tak studiem na škole.

12 . TEORETICKÁ ČÁST. Základní pojmy bezpečnosti a ochrany dat.. Informace a data Informací rozumíme objekt nehmotné povahy, sdělení zprávy, jež u příjemce informace snižuje neurčitost. Údaje, ze kterých lze vynaložením určitého úsilí získat informaci, nazýváme data. Z uvedených faktů tedy lze odvodit, že informace jsou podmnožinou dat. Na rozdíl od informací jsou data velmi obecná a sama o sobě tak u příjemce neurčitost snižovat nemusí. Důležitou vlastností dat je jejich přirozená vhodnost pro další zpracování, ukládání či přenos... Informační bezpečnost Informační bezpečností se nazývá ucelený soubor činností, jejichž prostřednictvím se lze systematicky chránit proti rizikům, jež jsou spojeny se zpracováním dat. Mezi zmíněné činnosti se řadí mimo jiné řízení rizik, řízení procesů, řízení technologií a také řízení lidí. Vyjdeme-li z dříve uvedené definice informací a dat, lze na problematiku pohlížet i tak, že důsledným zajišťováním bezpečnosti dat zároveň zajišťujeme i bezpečnost informací... Aktiva Cokoli, co má pro firmu dostatečnou hodnotu na to, aby hledala způsob, jakým to ochránit, lze nazvat aktivem, přesněji také informačním aktivem. Typicky se jedná o počítačové soubory, síťové služby, hardware, software, procesy, produkty, ICT infrastrukturu, osoby, budovy, pozemky atd. Poškození či ztráta aktiva se zpravidla negativně projeví v jednom či více aspektech organizace, od poklesu produktivity přes finanční ztráty až po ukončení provozu. Práce se zabývá také účetnictvím, se kterým pojem aktiva velmi úzce souvisí. Účetní aktiva představují cokoli, co účetní jednotka vlastní a v budoucnu jí to přinese ekonomický prospěch, což mohou být třeba peníze, majetek, zásoby atd. Informační aktivum a účetní aktivum jsou tedy rozdílné pojmy, ale mohou představovat totéž. Jako příklad lze uvést funkční pevný disk v počítači, který byl vyřazen z evidence majetku a nemá tedy z pohledu účetnictví žádnou cenu, již není účetním aktivem. Tento disk však obsahuje citlivá data, jejichž zneužití by společnosti mohlo výrazně uškodit. Z pohledu bezpečnosti informací tak stále má vysokou cenu, a dokud nedojde k jeho bezpečné likvidaci, bude i nadále považován za ŠENOVSKÝ, P.: Bezpečnostní informatika [online]. 5. vyd. Ostrava, 00. [cit ], str. 7,

13 informační aktivum. Pro potřeby této práce se pojmem aktiva rozumí informační aktiva, pokud není uvedeno jinak. Hodnocení aktiv lze provádět pomocí dvou metod, buď kvantitativně a nebo kvalitativně. U kvantitativní metody je aktivu přidělena hodnota vyjádřená v peněžních jednotkách na základě ceny aktiva tak, jak ji vnímá sama organizace. Nemusí se tedy jednat pouze o hodnotu plynoucí výhradně z účetnictví. Při kvalitativním hodnocení jsou aktivu místo peněžních hodnot přidělovány body na základě stupnice a subjektivní hodnocení zpravidla provádí sám vlastník aktiva... Hrozba Hrozbou se nazývá jakákoli potenciální příčina negativního působení na organizaci nebo na některé z jejích aktiv. Hrozby se liší svou velikostí i velikostí napáchaných škod a v úplném počátku je lze rozdělit na úmyslné a neúmyslné. Pro úmyslné hrozby je definujícím faktorem motiv, ať už se jedná o úmysl škodit pro zábavu či kvůli finančnímu zisku. Pro neúmyslné hrozby však toto neplatí. Jejich existence není podložena motivem, ale spíše nevědomostí a nezodpovědným přístupem lidí, vyšší mocí přírodních živlů či nedokonalostí hardwaru a softwaru. Jak již bylo naznačeno, příkladem úmyslné hrozby může být obyčejný zloděj, stejně tak jako špatně anglicky hovořící pán z jihovýchodní Afriky, jenž se snaží pomocí dojemného u a vidiny tučné provize vylákat z lidí jejich těžce vydělané peníze. Úmyslné hrozby je možné ještě dále rozdělit na vnitřní a vnější, přičemž zlodějem z vnějšku bude osoba cizí, zlodějem z vnitřku třeba nespokojený zaměstnanec. Příkladem neúmyslné hrozby může být silná bouřka, která poškodí vedení vysokého napětí a zapříčiní tak dlouhotrvající výpadek elektrické energie...5 Zranitelnost Zranitelnost je definována jako slabé místo, pro které není zavedeno adekvátní bezpečnostní opatření, případně jakékoli opatření úplně chybí. Zranitelnost se neváže pouze k bezpečnosti v oblasti IT, ale ke všem složkám organizace. Pokud je zranitelnost zneužita hrozbou, může dojít k poškození nebo ztrátě jednoho či více aktiv. STEWART, J. et al.: CISSP Study Guide. 5th edition. Wiley & Sons, 0, str. 8 STEWART, J. et al.: CISSP Study Guide. 5th edition. Wiley & Sons, 0, str. 8-9

14 ..6 Bezpečnostní incident Bezpečnostní incident je jedna nebo více nechtěných nebo neočekávaných indikovaných bezpečnostních událostí, jimiž může být s vysokou pravděpodobností narušena podpora hlavních nebo podpůrných procesů organizace nebo díky nimž může dojít k narušení bezpečnosti informačního systému. S bezpečnostní událostí přichází obvykle do prvního kontaktu běžný uživatel. Na jeho schopnosti rozpoznat, zda se skutečně jedná o bezpečnostní incident, závisí rychlost reakce a včasné řešení zjištěné události...7 Autentizace a autorizace Autentizací se nazývá proces ověření či testování platnosti údajné identity. Nejtypičtějším způsobem autentizace je zadání kombinace uživatelského jména a hesla. V tomto případě hovoříme také o autentizaci znalostí. Dalším typem je autentizace vlastnictvím, kterým může být například elektronická karta zaměstnance. Zbývá ještě autentizace vlastností, neboli biometrickým faktorem. Obvykle se jedná o otisk prstu, hlasový projev, oční retinu, tvar obličeje a další.5 V praxi se často používají také kombinace zmíněných typů. Pokud se v rámci systému uživatelé prokazují právě znalostí či vlastnictvím, je nesmírně důležité zajistit tyto prostředky proti krádeži a předcházet tak zneužití identity. Autorizace je proces, kdy se ověřuje, zda-li má autentizovaná identita oprávnění k vykonání požadované akce. Příkladem může být účetní aplikace, do které je nutné se přihlásit pomocí jména a hesla. Po úspěšném přihlášení účetní zvolí k práci agendu, která však nespadá do jeho působnosti a systém mu zobrazí chybovou hlášku, že pro manipulaci s vybranou agendou nemá oprávnění. Prošel tedy procesem autentizace, nikoli však už procesem autorizace...8 Princip důvěrnosti, dostupnosti a integrity Aby bylo možné efektivně plánovat řízení rizik vázajících se k bezpečnosti dat, je důležité určit, z jakého hlediska chceme data chránit. Za tímto účelem byla definována tzv. CIA triáda sestávající z počátečních písmen anglických slov pro důvěrnost (confidentiality), integritu (integrity) a dostupnost (availability). Jedná se v podstatě o nejzákladnější soubor klíčových principů protínající celou řešenou problematiku informační bezpečnosti. Důvěrnost chápeme jako stav, ve kterém chráněné informace zůstávají utajeny. Příkladem může být databáze platebních údajů našich zákazníků, kterou se snažíme vhodným 5 DOUCEK, P.: Bezpečnostní incidenty IS/ICT a jejich řešení [online]. Praha, 005. [cit ], str. 79 STEWART, J. et al.: CISSP Study Guide. 5th edition. Wiley & Sons, 0, str. 6, 7

15 zabezpečením chránit před útočníky. Pokud zavedená bezpečnostní opatření selžou a útočník získá seznam kreditních karet klientů, dojde tak k porušení principu důvěrnosti. V takovém případě hovoříme o prozrazení utajovaných informací. K porušení principu dostupnosti může dojít například v situaci, kdy útočník zahltí databázi platebních údajů velkým množstvím nesmyslných požadavků a omezí tak schopnost uživatelů čerpat z ní požadované informace. Obdobně, pokud se útočník po úspěšném průlomu do databáze rozhodne škodit, může například odstranit vazby mezi klienty a jejich platebními kartami, čímž zcela jistě dojde přinejmenším k porušení principu integrity. Již delší dobu se mezi odborníky vede diskuze o tom, zda-li by nebylo vhodné CIA triádu dále oficiálně rozvinout, například tak, jak navrhl bezpečnostní specialista Donn B. Parker. Ten zavedením tzv. Parkerianovy hexády rozšířil koncept původní triády o další tři položky, a to konkrétně o vlastnictví (possession), autenticitu (authenticity) a užitečnost (utility). Vlastnictvím je myšlen stav, kdy nějaké aktivum skutečně vlastníme a máme nad ním kontrolu. Autenticita spočívá v ověření, zda proklamované autorství požadavku odpovídá realitě. Příkladem zde může být plná moc podepsaná notářsky či úředně ověřeným podpisem. Užitečností je pak myšlen stav, kdy jsou data v takové formě, která neznesnadňuje jejich interpretaci, např. údaje, které byly dříve reprezentovány grafem jsou nyní dostupné pouze jako čísla v tabulce, což ztěžuje schopnost člověka jim porozumět Bezpečnost dat v cloudu V posledních letech je velmi skloňován termín Cloud computing. Jedná se o spojování velkého množství počítačů v reálném čase pomocí internetu, za účelem poskytování služeb od infrastruktury (IaaS)7, přes prostředí (PaaS) až po samotné konkrétní aplikace (SaaS). Zákazník pak platí pouze za pronájem jedné či více zmíněných služeb, ke kterým přistupuje prostřednictvím internetu a veškerou zodpovědnost za provoz, údržbu a vývoj nese poskytovatel služby. Velkou výhodou cloudu je možnost flexibilně alokovat kapacitu zdrojů podle aktuální potřeby firmy, která nakonec zaplatí pouze za to, co fakticky využije. Cloud může být privátní, vytvořený společností pouze pro interní účely organizace nebo veřejný, tedy dostupný každému, kdo za službu zaplatí. Využívá se i kombinovaná forma, například privátní cloud dočasně posílený o kapacity toho veřejného. Typickými příklady cloudových služeb jsou Google Apps, Amazon Elastic Cloud, velkou oblibu si v posledních letech získal například také Dropbox. 6 7 HANÁČEK, P., STAUDEK, J.: Bezpečnost informačních systémů. Praha: ÚSIS, 000, str 7. Běžně používané zkratky pro Infrastructure as a Service, Platform as a Service, Software as a Service. 5

16 Atraktivita cloudu pro organizace všech velikostí tkví zejména v šetření nákladů spojených s provozováním vlastních IT oddělení a síťové infrastruktury, vývojem vlastních informačních systémů a zálohováním dat. Takové řešení s sebou však přináší i rizika, jež musí firma pečlivě zvážit. Pro některé může být zásadním problémem nedostupnost cloudu z důvodu výpadku internetu nebo výpadku služby přímo na straně jejího provozovatele. Pro jiné bude důležitou roli hrát otázka legislativy spojená s právní ochranou dat nahraných do cloudu. Jsou uložena v Rusku, v Německu nebo ve Spojených státech? Jaké zákony je tedy v konečném důsledku vlastně chrání? S tím pochopitelně úzce souvisí problematika zachování důvěrnosti dat, protože některé země jsou podstatně zvědavější než jiné. Při současném stavu absence mezinárodní legislativy vztahující se k datům uložených v cloudu, je tedy zajištění jejich bezpečnosti diskutabilní a do budoucna bude jistě představovat výzvu. 6

17 . Bezpečnost v oblasti vedení účetnictví Již bylo popsáno, co jsou obecně data a jaké principy je z hlediska bezpečnosti při manipulaci s nimi nutné dodržet. Pro lepší pochopení pojmu účetní data je však potřeba se blíže podívat na obor finančního účetnictví jako takový... Finanční účetnictví Účetnictví je výkazem o vnějších finančních vazbách podniku. Má poskytovat přesný a spolehlivý přehled o aktivech a pasivech, nákladech a výnosech a hospodářském výsledku za uplynulá účetní období. Základní a nejdůležitější legislativní norma upravující zásady vedení účetnictví je zákon č. 56/99 Sb., o účetnictví. Ten byl od doby svého vzniku již několikrát novelizován, zejména v důsledku nástupu masivního využívání informačních a komunikačních technologií ve firmách i domácnostech v České republice. Historicky má za sebou obor finančního účetnictví poměrně dlouhý vývoj, přičemž každá z několika etap přinesla revoluční změny, jež měly přímý dopad na rychlost, spolehlivost a nákladnost procesu vedení účetnictví 8. Konkrétně se jedná o přepisovací formy v 6. až 9. století, propisovací formy od poloviny století 9. do 0. let 0. století. Tehdy se začaly také používat stroje na děrné štítky, které se leckde udržely až do let 80. Tou dobou se však již rozvíjela skutečná automatizace prostřednictvím výpočetní techniky a došlo k nastartování éry účetnictví vedeného na počítači. Tato etapa se vyznačuje nejen rychlým vývojem v oblasti malých i větších samostatných účetních aplikací 9, ale také účetních modulů integrovaných ve velkých podnikových informačních systémech 0. S tím, jak se v průběhu času měnil charakter procesu vedení účetnictví, přicházely i nové výzvy pro samotné účetní, kterým již nestačí umět pouze skvěle počítat a precizně zapisovat čísla do účetních knih. Tyto záležitosti si však dnes již účetní aplikace interně řeší samy. Úkolem účetních je tedy zajistit správné nastavení parametrů jednotlivých agend, příprava vstupů z účetních dokladů pro zpracování účetním programem a v neposlední řadě schopnost využít údaje poskytované účetnictvím, ať už se jedná o informace pro vnitřní potřebu firmy či například pro komunikaci se státní správou. 8 MEJZLÍK, L.: Účetní informační systémy. Nakladatelství Oeconomica, 006, str U nás např. známé aplikace StormWare Pohoda či Money od společnosti Cígler Software. 0 Typickým příkladem je produkt SAP od stejnojmenné německé firmy. 7

18 .. Zákon o účetnictví a podstata účetních dat Nyní je potřeba zjistit, co vlastně jsou podle zákona data. Zákon hovoří o účetních záznamech neboli datech, která jsou záznamem veškerých skutečností týkajících se vedení účetnictví. Můžeme tedy mít bezvadně fungující informační systém pro vedení účetnictví implementovaný pomocí papíru a propisky nebo vést účetnictví jen na počítači, ale podstata účetních dat v podobě záznamů zůstane zachována. Záznamy však nejsou to jediné, co fakticky účetní data v praxi tvoří. Účetní agenda vedená v rámci účetní aplikace na počítači obsahuje ještě řadu dalších údajů, které nejsou ve smyslu zákona účetními záznamy, nicméně pro celkový kontext v dané agendě jsou velmi důležitá. Jedná se například, ale nikoli výhradně, o osobní údaje zaměstnanců. Z čeho se skládají účetní data shrnuje obrázek. Ilustrace : Podstata účetních dat Zdroj: Vlastní zpracování.. Zákon o ochraně osobních údajů Součástí ústavního pořádku České republiky je Listina základních práv a svobod. Na základě článku 0 odst. Listiny základních práv a svobod má každý právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě. Ochrana osobních údajů plynoucí z Listiny základních práv je legislativně zajištěna prostřednictvím zákona č. 0/000 Sb., o ochraně osobních údajů, jenž dále vymezuje také působnost Úřadu pro ochranu osobních údajů. Úkolem tohoto úřadu je mimo jiné dohlížet na ochranu osobních údajů a soukromí. Pokud má podezření na porušení zákona, zahájí s podezřelým subjektem správní řízení. Aktuálním případem je v tomto ohledu kauza uniklých osobních dat zájemců o penzijní produkty v internetové aplikaci MojeBanka spadající pod KB Penzijní společnost, za což jí byla uložena pokuta ve výši,8 milionu korun. I řádově nižší pokuta by pro menší společnost mohla být likvidační. Je tedy jasně vidět, že zajištění ochrany osobních údajů je důležité bez ohledu na velikost firmy. ÚŘAD PRO OCHRANU OSOBNÍCH ÚDAJŮ. Tisková zpráva. In: Uoou.cz [online] [cit. 5..0]. 8

19 Za osobní údaj je pro účely zákona považován jakýkoliv údaj, týkající se určeného nebo určitelného subjektu údajů tj. takového, jehož identitu lze přímo nebo nepřímo zjistit na základě jednoho nebo více osobních údajů, aniž by to vyžadovalo nepřiměřené úsilí. Osobní údaje zpracovává jejich správce, který pro daný účel může zmocnit i někoho dalšího, tedy například i poskytovatele účetních služeb nebo zpracovatele mezd. Zákon řeší ještě jeden důležitý termín a tím je citlivý údaj. Je to údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a jakýkoliv biometrický nebo genetický údaj subjektu. V oblasti informační bezpečnosti se také poměrně často používá termín citlivý údaj, který může, ale nemusí být totéž, co citlivý údaj podle zákona. Například tajný recept na Becherovku jistě obsahuje pro vlastníka extrémně citlivé údaje, ty jsou však z pohledu zákona o ochraně osobních údajů naprosto nezajímavé. Pro účely personální práce je možné zpracovávat osobní údaje zaměstnance bez jeho souhlasu, pokud se jedná o zpracování stanovené zvláštním zákonem, např. pro účely mzdové agendy, nebo je-li to nutné pro jednání o smluvním vztahu či plnění již uzavřené smlouvy. Jinými slovy lze říci, že ke zpracování většiny osobních údajů pro potřeby zaměstnavatele není souhlasu zaměstnance třeba, nicméně i údaje získané bez souhlasu se musí pečlivě hlídat... Bezpečnost účetních dat Je potřeba si uvědomit, že běžný počítač pro práci účetních je připojen k internetu nebo přinejmenším aspoň do místní sítě, lze do něj vložit CD či DVD, flash paměť nebo externí pevný disk. Kromě operačního systému obsahuje také řadu dalších programů, které jsou spuštěné zároveň s účetní aplikací, ať už se jedná o internetový prohlížeč, kancelářský software či konferenční aplikace. Účetní prostřednictvím počítače komunikují s klienty, informačním systémem banky, se státní správou a zpravidla k tomu využívají elektronický podpis i jiné certifikáty, přihlašují se datové schránky. Na základě těchto faktů lze prohlásit, že účetní je v dnešní době především uživatel celé řady informačních a komunikačních technologií. V rámci bezpečnostní politiky se na něj proto bude vztahovat přinejmenším taková množina opatření, která se týká běžných uživatelů v návaznosti na dané technologie. Již z předchozího krátkého výčtu týkajícího se počítače a práce účetních můžeme soudit, že na účetní data působí značné množství hrozeb spojených právě s procesy a ICT. Zákon o účetnictví říká, že účetní jednotka je povinna zajistit ochranu účetních záznamů, ČSFR. Zákon č. 56/99 Sb., o účetnictví. In: Center.cz [online] [cit. 7..0]. 9

20 použitých technických prostředků, nosičů informací a programového vybavení před jejich zneužitím, poškozením, zničením, neoprávněnou změnou, ztrátou nebo odcizením. Pokud tedy hrozba na účetní data úspěšně zapůsobí a účetní jednotka o ně nenávratně přijde, bude na ni z hlediska zákona pohlíženo tak, jako kdyby je vůbec nevedla. Z uvedených informací týkajících účetnictví a ochrany osobních údajů tedy vyplývá, že bezpečnost účetních dat je velmi zásadní a je potřeba ji řešit mimo jiné i proto, aby se podnik nedostal do rozporu se zákonem...5 Budoucnost vedení účetnictví Při současném trendu přesouvání nejrůznějších typů aplikací do cloudu nezůstává účetnictví pozadu. Již nyní je malým firmám k dispozici služba idoklad, která nabízí snadnou výměnu elektronických dokladů a umožňuje export dat z cloudu přímo do účetní aplikace na počítači. Pokud do budoucna poskytovatelé cloudových služeb dokáží zaručit vlastní důvěryhodnost, tedy že například ze dne na den neukončí svůj provoz, umístění účetních dat na území České republiky, přijatelnou úroveň jejich dostupnosti a bezpečnosti, pak lze očekávat přinejmenším částečný přesun i z robustnějších kancelářských řešení právě do cloudu. 0

21 . Řízení bezpečnosti informací Je nutné vymýšlet a zavádět mnohdy velmi složité systémy řízení bezpečnosti? Nestačilo by používat selský rozum doplněný o nějaký jednoduchý soubor opatření, které by měl člověk dodržovat? Společnost Microsoft vydává bezpečnostní příručku pro malé organizace. Ta je koncipována velmi jednoduše a povrchně, nicméně i tak obsahuje řadu velmi dobrých tipů jako pravidelně zálohujte, používejte silná hesla, používejte firewall a antivirový program, instalujte bezpečnostní záplaty, navštěvujte pouze důvěryhodné stránky, neotvírejte podezřelé přílohy v u atd. Myslím si, že kdyby uživatelé nějaký podobně zjednodušený soubor opatření opravdu důsledně dodržovali, nebylo by systémů na řízení bezpečnosti možná vůbec třeba, aspoň tedy v malých firmách. Přírodním silám poručit nelze, hardware a software je ze své podstaty nedokonalý a o spolehlivosti lidského faktoru už nelze hovořit vůbec. To dokazuje i nedávná studie společnosti Symantec týkající se právě bezpečnosti informací, ze které mimo jiné vyplývá, že zaměstnanci vynáší interní firemní data opravdu ve velkém. Dotazování se účastnilo přibližně sedm tisíc zaměstnanců na plný úvazek v průměrném věku 5 let. Více než polovina respondentů přiznala, že si firemní dokumenty přeposílá do svých soukromých ových schránek, % tvrdí, že to dělají aspoň jednou za týden. Stejné procento lidí pak firemní data stahuje do svých mobilů a tabletů, což ještě zhoršuje bezpečnostní situaci, protože tato zařízení často nejsou nijak chráněna. Velkým problémem jsou v tomto ohledu také cloudové aplikace. 7% zaměstnanců sdílí firemní data přes Dropbox a Google Docs, aniž by k tomu měli svolení zaměstnavatele. Situace by nebyla tak špatná, kdyby uživatelé po sobě soubory z těchto úložišť alespoň odstraňovali, to se však prakticky neděje. Zmíněné aplikace jsou jen tak bezpečné, jako je síla a utajení přihlašovacích údajů k nim. Jejich zneužití tak v tomto případě umožní kompletně obejít jakákoli bezpečnostní opatření, jež zaměstnavatel na ochranu svých dat podnikl. Navíc je potřeba myslet na to, že třeba právě Dropbox dokáže obnovit i smazané soubory. Zaměstnanci si často vůbec neuvědomují, že by touto činností mohli poškodit sebe i své zaměstnavatele. Většina jich dokonce ani nevěří, že to co dělají, je špatné a že se jedná o trestný čin nebo že vlastníkem dat není ten, kdo je vytvořil. Třetina říká, že jejich konání je naprosto v pořádku, pokud z toho nemají vlastní prospěch a celá polovina se hájí tím, že svou organizaci nijak nepoškozují. Někteří pak obviňují své zaměstnavatele z nedůslednosti při vynucování bezpečnostních politik a tím i nedostatečné ochrany svých dat. Uvedená zjištění MICROSOFT CORPORATION. Security Guide for Small Business [online] [cit. 7..0].

22 pak lze shrnout tak, že zaměstnanci nechápou nebo neuznávají vlastní roli, kterou v rámci zajišťování bezpečnosti firemních dat plní. Je tedy zřejmé, že řádná dávka osvěty a dalších opatření v oblasti bezpečnosti informací je prakticky nezbytností. Způsobů, jak systematicky přistoupit k informační bezpečnosti podniku, je v dnešní době více, než tomu bylo například počátkem 80. let minulého století. Zejména v posledních dvaceti letech zaznamenala tato oblast rapidní rozvoj, který vyústil v několik různých de facto a de iure standardů... ITIL ITIL neboli IT Infrastructure Library je mezinárodně uznávaným standardem v oblasti řízení IT. Vznik samotného standardu v roce 989 byl zásadním mezníkem v IT průmyslu, protože historicky poprvé došlo k souvislému vydání osvědčených postupů vytvořených na základě zkušeností velkého množství bezpečnostních expertů. První verze byla obsažena v dnes již neuvěřitelných 7 knihách, ale postupem času došlo k výrazné redukci na 7 v ITILv a pouhých 5 v ITILv, jež byla vydána v roce 007. Tato verze poskytuje obchodní a strategický rámec pro IT rozhodování a poprvé popisuje neustálé zlepšování služeb jako komplexní činnost, která přináší hodnotu zákazníkům. Spíše než na definování nějakého širokého kontrolního rámce je ITIL založen na vymezení doporučených procesních postupů pro správu a podporu IT služeb. ITIL řeší oblasti jako je podnikatelský pohled, správa aplikací a IT, dodávka a podpora IT služeb, správa IT infrastruktury řízení IT projektů. Jednotlivé oblasti jsou pokryty stejnojmennými publikacemi pro každou z nich... COBIT Cobit je známým standardem pro řízení informačních technologií vytvoření asociací ISACA a jedná se o soubor praktik, které by měly umožnit dosažení strategických cílů organizace díky efektivnímu využití dostupných zdrojů a minimalizaci IT rizik. První verze byla vydána v roce 996 a od té doby došlo k rozšíření o auditní postupy, implementační nástroje, detailní cíle a manažerské postupy. Roku 007 byla publikována verze. a v roce 0 současná verze 5. Cobit je postaven na základě zavedených rámců jako CMM Software Engineering Institute, ISO 9000, ITIL a ISO/IEC 700. I když je zaměřen na IT procesy, Cobit nezahrnuje procesní kroky a úkoly, jde spíše o kontrolní a řídící rámec než rámec procesní. Cobit se zaměřuje na to, co organizace musí udělat, ne už jak je to potřeba udělat a cílovými skupinami jsou vrcholový obchodní management, vrcholoví IT management a auditoři. SYMANTEC CORPORATION. What's Yours Is Mine. In: Symantec-corporation.com [cit. 8..0].

23 .. ISO/IEC 7000 ISO/IEC 7000 je součástí rodiny standardů systému řízení bezpečnosti informací (ISMS). Tato skupina standardů je vydávána od roku 005, kdy se objevil první a nejvýznamnější z nich, ISO/IEC 700, jenž uvádí požadavky na samotný ISMS, a podle kterého se zároveň i fakticky certifikuje. Doplňujícími normami v pořadí jsou: ISO/IEC 700 Bezpečnostní doporučení pro výkonné pracovníky ISO/IEC 700 Návod pro zavádění systému řízení bezpečnosti informací ISO/IEC 700 Měření a vyhodnocování efektivity řízení bezpečnosti ISO/IEC 7005 Techniky vytváření systému řízení bezpečnosti informací ISO/IEC 7006 Proces certifikace a registrace ISMS využívá tzv. PDCA 5 cyklus neboli soustavu čtyř fází, které se neustále periodicky opakují a v jejichž rámci organizace provádí celou řadu činností. Mezi ně patří návrh bezpečnostní politiky, definice rozsahu ISMS, analýza rizik, rozhodnutí o řízení rizik, výběr protiopatření, implementace a bezpečnostního programu. V souvislosti se zmíněnými činnostmi dále vzniká značné množství výstupů, od politiky ISMS, přes dokumentaci rozsahu, analýzu rizik, plán zvládání rizik, prohlášení o aplikovatelnosti, dokumentace implementovaných opatření a další... Metodika vyvážené informační bezpečnosti Metodika vyvážené informační bezpečnosti existuje od roku 00, kdy byla definována Ing. Davidem Králem v jeho dizertační práci zaměřené na informační bezpečnost podniku. Cílem metodiky je poskytnout malým a středně velkým podnikům konkrétní rámec pro zavedení ekonomicky i procesně přijatelného řízení bezpečnosti informací. Jakým způsobem je metodika navržena, zachycuje schéma na obrázku. Audit (pre-audit) se provádí dotazníkovým šetřením stávající úrovně řízení bezpečnosti v klíčových oblastech definovaných metodikou. V případě zjištění nedostatků jsou pak v příslušné oblasti navrhována dílčí opatření vedoucí ke zlepšení celkové situace nebo kompletní změna přístupu. Cílem první klíčové oblasti je provedení analýzy rizik prostřednictvím identifikace aktiv, hrozeb a zranitelností. Na základě vypočítaných rizik jsou následně ve třech zbývajících oblastech podniknuty takové kroky, které povedou ke snížení rizik a zlepšení úrovně řízení těchto oblastí. 5 Cyklus PDCA z anglických slov Plan, Do, Check, Act znamená v češtině Plánuj, dělej, kontroluj, jednej.

24 Řízení bezpečnosti procesů a technologií se zabývá všemi aktivy organizace, které je potřeba nějakým způsobem zabezpečit, případně zabezpečit lépe, než tomu bylo doposud. Obecně lze říci, že zde jsou navrhována taková opatření, která efektivně zabraňují ztrátě dostupnosti, důvěrnosti nebo integrity důležitých informačních aktiv. Řízení lidských zdrojů se zabývá definicí rolí bezpečnostní politky, jejich činnostmi, odpovědnostmi a přístupu k aktivům. Značné množství útoků a ztrát citlivých aktiv pramení od současných nebo bývalých zaměstnanců, a proto je nutné aplikovat opatření týkající se počátku, průběhu i skončení pracovního poměru. Řízení bezpečnostních incidentů má v systému řízení informační bezpečnosti roli záchranné brzdy. V ostatních oblastech informační bezpečnosti je cílem minimalizovat riziko a zabránit ztrátě dostupnosti, důvěrnosti nebo integrity citlivých aktiv. Bezpečnostní incident je událost, která k těmto ztrátám může vést. Naprosto bezpečný systém neexistuje a úplná eliminace výskytu těchto zhmotnělých hrozeb je prakticky nemožná. Primárním cílem této oblasti je tedy snížit dopady bezpečnostních incidentů na běh organizace na minimum. 6 Ilustrace : Metodika vyvážené informační bezpečnosti Zdroj: Metodika vyvážené informační bezpečnosti 6 KRÁL, D.: Informační bezpečnost podniku [online]. Brno, 00. [cit ]. Ph.D. Vysoké účení technické v Brně.

25 ..5 Výběr metodiky řízení bezpečnosti Dostupné informace o jednotlivých standardech a metodikách lze shrnout tak, jak je zachyceno v tabulce. Vzhledem k faktu, že ITIL nelze použít jako samostatné řešení pro řízení bezpečnosti, jinými slovy by bylo nutné zavést jej jako celek, tuto variantu zamítám. Obdobně je na tom i Cobit. Zde je navíc problém, že kvůli svému zaměření na kontrolní rámec, neposkytuje konkrétní procesní kroky a úkoly, které je potřeba k zajištění bezpečnosti pokrýt, proto ani tuto variantu nevolím. Jako solidní volba se jeví zavedení ISMS podle ISO 700, nicméně vybraná firma o certifikaci nestojí a tím pádem by pro ni byl tento standard příliš svazující a personálně velmi těžko zvládnutelný. Metodika vyvážené informační bezpečnosti proti tomu nabízí způsob řízení bezpečnosti podobný ISMS, avšak se zaměřením spíše na menší firmy. Proto právě jejím prostřednictvím navrhnu zabezpečení účetních dat ve společnosti WaveNet.cz, s.r.o. Tabulka : Přehled a srovnání dostupných řešení Parametr ITIL v COBIT 5 ISO 7000 MVIB Vznik Primárně určeno IT service management IT Governance ISMS ISMS Certifikace Ano, ISO 0000 Ne Ano, ISO 700 Ne Velikost organizace Velká, střední Velká, střední Velká Střední, malá Dokumentace zdarma Ne Částečně Ne Ano Vnímání informační bezpečnosti Součást řízení IT služeb Součást regulatorních požadavků ITG Součást regulatorních požadavků v oblastech ochrany Volitelná součást řízení pro oblast bezpečnosti Měření závislosti organizace na IT Ne Ne Ne Ano Samostatné řešení pro řízení bezpečnosti Ne Ne Ano Ano Zdroj: Vlastní zpracování na základě zdroje7 7 KRÁL, D.: Informační bezpečnost podniku [online]. Brno, 00. [cit ]. Ph.D. Vysoké učení technické v Brně. 5

26 . PRAKTICKÁ ČÁST. Společnost WaveNet.cz, s.r.o. Obchodní společnost WaveNet.cz, s.r.o. vznikla v roce 005 transformací původního sdružení fyzických osob působící pod názvem WaveNet a fakticky již od roku 00 poskytuje v Karlovarském regionu zákazníkům připojení k internetu, k čemuž později přibyla i činnost v oblasti vedení účetnictví a to jak vlastního, tak i dalších subjektů. Sídlo firmy se nachází v objektu typu rodinný dům na adrese Jáchymovská 5/a v Karlových Varech ve čtvrti Bohatice. Ve firmě figurují dva podílníci a jejím statutárním orgánem je jednatel. Společnost má poměrně stabilní zaměstnaneckou základnu v počtu devíti pracovníků na plný úvazek, čas od času však najímá také brigádníky. Obrat společnosti nepřesahuje 0 milionů korun. Standardní pracovní dobou je pondělí až pátek od 8 do 6 hodin... Podnikové role Vzhledem k nízkému počtu zaměstnanců a omezenému portfoliu služeb, jež firma nabízí, je poměrně jednoduché identifikovat následující podnikové role. Vedoucím provozu je jeden z podílníků, který je až na výjimky vždy přítomen a aktivně provádí řízení lidí a procesů společnosti. Jednatel zaujímá spíše kontrolní roli. Technici se přímo neúčastní procesu poskytování účetních služeb, jejich pracovní náplní je servis a instalace zařízení u zákazníků, jimž společnost poskytuje připojení k internetu. S nimi také podepisují smlouvy a inkasují zálohy, které následně předávají účetním. Prostory společnosti tak využívají spíše jako zázemí, nicméně i tak je potřeba s nimi v rámci bezpečnostní politiky počítat. Účetní jsou zodpovědní za výměnu účetních dat a dokumentů s klienty, vedení a zálohování účetních agend, komunikaci se zákazníky, komunikaci s bankami, komunikaci se státní správou, přijímání plateb v hotovosti, archivaci, skartaci, správu smluv a účetních či daňových dokladů... ICT infrastruktura Bez dostatečného pochopení ICT prostředí firmy nelze vůbec rozumně uvažovat o jakýchkoli bezpečnostních opatřeních. Je tedy potřeba nějakým způsobem zachytit, s jakými technologiemi se v rámci podniku pracuje a případně jak jsou mezi sebou propojeny. Na obrázku je zobrazeno propojení jednotlivých prvků. Zařízení připojená k přístupovému bodu WiFi se připojují bezdrátově prostřednictvím standardu 80.g, všechny ostatní vyznačené prvky jsou propojeny kabelem UTP 8 na stálo. To znamená, že až na výjimečné 8 Nestíněná kroucená dvojlinka, běžně používaný typ kabeláže pro síťové rozvody v interiéru. 6

27 situace, např. výměna hardwaru, se od zbytku sítě na rozdíl od mobilních zařízení nikdy neodpojují. Do kancelářských prostor vedou skrz rozvody strukturované kabeláže celkem dva UTP kabely. První je zapojen do přepínače a slouží k připojení místní sítě do internetu prostřednictvím brány poskytovatele, druhý kabel je zapojen do serveru a slouží k jeho připojení do internetu přímo. Rozvody místní sítě jsou realizovány pomocí UTP kategorie 5e a přepínač podporuje rychlost až Gbit/s. Tiskárna a přístupový bod WiFi podporují rychlost pouze 00 Mbit/s, bezdrátová část sítě pouze 5 Mbit/s. Tabulka obsahuje seznam a stručný popis identifikovaných prvků. Ilustrace : ICT infrastruktura Zdroj: Vlastní zpracování 7

28 Tabulka : Popis prvků v ICT infrastruktuře Prvek Popis Server Počítač s OS Linux poskytující běžné služby typu web, pošta, sdílení souborů, vlastní přípojka do internetu. Pracovní stanice Počítač s OS Windows 7 pro běh účetní aplikace, slouží k práci účetního. Síťová tiskárna Tiskárna s vlastní IP adresou, po instalaci ovladačů ji lze využít k síťovému tisku. Funguje zároveň jako kopírka a skener. Přístupový bod WiFi Bezdrátové zařízení propojující mobilní zařízení s místní sítí. Notebook Přenosné počítače s OS Ubuntu. pro pracovní i osobní potřebu zaměstnanců. Tablet Tablet s OS Android. pro pracovní i osobní potřebu zaměstnance. Mobilní telefon Chytrý telefon s OS Android v různých verzích pro pracovní i osobní potřebu zaměstnance. Přepínač Všechny aktivní prvky v síti jsou propojeny jediným přepínačem, do něj vede internetová přípojka. UPS Záložní zdroj napájení slouží jako podpůrné zařízení kvůli častým výpadkům proudu, zálohuje všechny prvky kromě mobilních zařízení. Zdroj: Vlastní zpracování.. Proces vedení účetnictví Účetní zpracovává účetní agendy v účetní aplikaci na pracovní stanici. S klienty komunikuje buď elektronicky nebo osobně při jejich návštěvě v kanceláři společnosti. Tento proces spočívá ve výměně podkladových materiálů mezi účetním a klienty. Typicky se jedná o příjmové a výdajové pokladní doklady, faktury a dobropisy, skladovou evidenci, účetní knihy, mzdovou evidenci, nejrůznější daňová přiznání a vyúčtování. Výměna probíhá prostřednictvím obyčejného papíru, zejména v případě účetních nebo daňových dokladů, elektronicky pomocí u nebo na datových nosičích. Těmi může být CD, DVD, flash pamět nebo externí pevný disk... Hranice řešené problematiky Řešená problematika zahrnuje kancelářské prostory společnosti ve zmíněném objektu na adrese uvedené v popisu, všechny zaměstnance a třetí osoby které se uvnitř mohou pohybovat. Fyzickou hranici tedy tvoří vnitřní a vnější zdi, dva vchody a jedno okno. Z hlediska ICT pak hranici tvoří internetová přípojka pro místní síť, dále internetová přípojka serveru a telefonní kabel pevné linky. Jakékoli technologie nacházející se na vzdáleném konci těchto kabelů již nespadají do mé kompetence. 8

29 . Audit současného stavu Cílem vstupního auditu je zjistit, jaká je stávající úroveň řízení oblastí vytyčených metodikou. Lze dopředu předpokládat, že výsledek nebude příliš slavný, což je dáno tím, že firma doposud nijak systematicky bezpečnost neřídila. Pro získání lepšího přehledu o aktuální situaci je však tento krok velmi důležitý. Firmě navíc po implementaci navržených opatření a provedení srovnávacího auditu dobře poslouží jako ukazatel úspěšnosti zavedeného systému pro řízení bezpečnosti... Úroveň závislosti podniku na IT Prvním krokem je stanovit, jak vysoká je závislost podniku na informačních technologiích, díky čemuž bude možné přesněji vyhodnotit další oblasti, kterými se audit následně zabývá. U některých položek je hodnocení poměrně přímočaré, například rozpočet nebo počet zaměstnanců. U některých položek je potřeba zvažovat, jaké hodnocení by bylo vhodné jim přidělit, aby co nejlépe odpovídalo realitě. Pokud vypadne internet, sice nebude možné některými kanály komunikovat s klienty a informačními systémy v internetu, nicméně účetní stále může pokračovat v práci na jiných agendách, které zrovna nevyžadují připojení. Na druhou stranu pokud se poškodí zdroj napájení v pracovní stanici, účetní bude muset čekat, dokud někdo problém neodstraní. Tabulka : Úroveň závislosti podniku na IT nízká, střední, vysoká, velmi vysoká Kritérium Hodnocení Roční rozpočet (< mil., <0 mil., <00 mil., >00 mil.) Počet zaměstnanců (<0, <50, <50, >50) Míra závislosti na informačních a komunikačních technologiích při poskytování výrobků či služeb zákazníkům Hodnota duševního vlastnictví organizace uložená v elektronické podobě Vliv výpadku informačního systému na chod organizace Vliv výpadku internetu na chod organizace Citlivost zákazníků či partnerů na bezpečnost a soukromí Potencionální dopad vážného bezpečnostního incidentu na pověst organizace Množství operací závislých na dodavatelích Množství citlivých dat a majetku, které by se mohly stát cílem kybernetického či fyzického útoku Zdroj: Metodika vyvážené informační bezpečnosti 9

30 .. Úroveň řízení rizik Hodnocení stávající úrovně řízení rizik bude velmi přímočaré. Společnost se jím doposud nezabývala a není tedy definována bezpečnostní politika, není provedena analýza rizik, hrozeb, ani zranitelností. Nejsou určena aktiva ani ohodnocena aktiva. Z uvedených faktů je více než zřejmé, že o jakékoli funkční bezpečnostní strategii nemůže být řeč. Tabulka : Úroveň realizace řízení rizik nerealizováno, plánováno, částečně realizováno, kompletně realizováno Kritérium Hodnocení Má organizace dokument typu Bezpečnostní politika? Provedla organizace v posledních letech analýzu rizik, aby určila klíčová aktiva, která je potřeba chránit? Používá organizace pro analýzu rizik speciální software? Má organizace určen vztah klíčových aktiv k procesům, které na nich závisí? Identifikovala organizace bezpečnostní hrozby, které jsou spojené s klíčovými aktivy? Provedla organizace analýzu zranitelnosti, tj. určení slabých míst, která by mohla být využita identifikovanými hrozbami? Má organizace oceněnu ztrátu každého z klíčových aktiv? Má organizace zdokumentovánu bezpečnostní strategii, která by určovala postupy, jak udržovat rizika na přijatelné úrovni? Má organizace zdokumentovánu bezpečnostní strategii, která by obsahovala plány, jak v budoucnu snižovat rizika spojená s klíčovými aktivy? Je tato strategie alespoň ročně aktualizována? Zdroj: Metodika vyvážené informační bezpečnosti.. Úroveň řízení bezpečnosti procesů a technologií Prostory společnosti se nacházejí na úrovni přízemí a lze do nich vstoupit dvěma vchody, vnějším z ulice a vnitřním z chodby přímo v objektu. Vnější je chráněn dřevěnými uzamykatelnými dveřmi a kovovou uzamykatelnou mříží. Vnitřní vchod chrání jedny dveře. Všechny zámky u výše zmíněných dveří jsou vybaveny základní cylindrickou vložkou. Co se dalších stavebních výplní týče, v prostorách se nachází pouze jediné dřevěné nechráněné okno. Veškeré vybavení je umístěné v prostorách společnosti, které kromě zaměstnanců navštěvují také klienti a další osoby, například poslíčci. Pro potřeby auditu lze v pracovní době všechny tyto osoby považovat za oprávněné, nicméně mimo vyznačenou pracovní dobu jsou 0

31 oprávněnými osobami pouze zaměstnanci. Společnost nepoužívá žádná identifikační zařízení na čipové karty či biometrické údaje, kamerový systém ani čidla. Objekt není pod dohledem bezpečnostní agentury. Budova jako taková nemá žádné speciální protipovodňové ani protipožární vlastnosti. Pro případ přerušení dodávky elektrické energie je z důvodu udržení provozu k dispozici benzinový generátor schopný pokrýt i dlouhodobější potřeby nepřetržitého napájení. Nevýhodou však je, že se nejedná o automatické zařízení a musí tak být někým ze zaměstnanců obsloužen. Všechny aktivní prvky jsou napájeny přes UPS. Výjimku tvoří například notebooky nebo tablety, které jsou v době nabíjení zapojeny do označených zásuvek sekundárního elektrického obvodu, jenž není externě zálohován. Pracovní stanice jsou chráněny antivirovým programem. Na serveru se žádný antivirový software nenachází, ochrana tabletů, notebooků a mobilních telefonů není nijak standardizována a jejich osud je ponechán plně na zaměstnancích. Šifrování dat není prováděno nad rámec služeb, u kterých jej lze automaticky předpokládat, tedy například při využívání protokolu HTTPS. Tabulka 5: Úroveň realizace bezpečnosti procesů a technologií nerealizováno, plánováno, částečně realizováno, kompletně realizováno Kritérium Hodnocení Jsou prostory, které obsahují zařízení pro zpracování informací, chráněny bezpečnostními perimetry či bariérami? Je do prostorů organizace, které obsahují citlivé informace nebo zařízení, povolen vstup pouze oprávněným osobám? Je organizace zajištěna proti vnějším a přírodním hrozbám? Jsou zařízení, která zpracovávají informace, chráněna před selháním napájení a před dalšími formami přerušení způsobenými poruchami podpůrných zařízení? Existuje v organizaci postup bezpečné likvidace a odstraňování majetku po autorizaci oprávněné osoby tak, aby neunikly citlivé informace? Jsou veškeré stanice v organizaci dostatečně chráněny proti škodlivým programům a kódům? Existuje v organizaci postup pravidelného a bezpečného zálohování dat? Jsou důvěrná, osobní či citlivá data šifrována a související šifrovací klíče náležitě chráněny? Jsou veškeré výměny programového vybavení a informací v rámci organizace nebo v rámci výměny s externími partnery vhodným způsobem chráněny? Obsahují smlouvy s partnery organizace dodávajícími výrobky a služby opatřeny výčtem bezpečnostních opatření a sankcemi, pokud tato opatření partneři nedodržují?

32 nerealizováno, plánováno, částečně realizováno, kompletně realizováno Kritérium Hodnocení Jsou po dostatečně dlouhou dobu zaznamenávány aktivity všech uživatelů v informačním systému organizace, výjimky a události související s bezpečností informací? Jsou zjištěné údaje analyzovány a přijímány příslušná opatření na odstranění vzniklých chyb? Je v organizaci dodržována politika čistého stolu a obrazovky? Existuje postup pro registraci uživatele do informačního systému organizace a přidělení práv pro přístup do oblastí IS dle klasifikace uživatele? Mají všichni uživatelé informačního systému jedinečný identifikátor (ID) tak, aby bylo možné dosledovat odpovědnost za jejich činnosti? Jsou uživatelé donuceni systémem tvořit pouze tzv. silná hesla? Jsou aplikovány zvláštní postupy autentizace při vzdáleném přístupu do informačního systému organizace? Jsou bezpečně chráněny porty pro vzdálenou diagnostiku a konfiguraci? Jsou stanice po určené době nečinnosti odhlášeny od systému? Existují v organizaci zásady a postupy bezpečné práce na mobilních výpočetních prostředcích a zařízeních? Zdroj: Metodika vyvážené informační bezpečnosti.. Úroveň řízení lidských zdrojů Z důvodu neexistence bezpečnostní politiky nemá firma osobu pověřenou soustavným řízením bezpečnosti a tudíž nedochází k hlášení o jejím dodržování a účinnosti. Ze stejného důvodu pak nejsou v rámci bezpečnostní politiky definovány role a odpovědnosti zaměstnanců a nemohou tak být navázány na pracovní smlouvy. Každá pracovní smlouva však obsahuje doložku o zachování mlčenlivosti týkající se citlivých informací ve smyslu know-how či obchodního styku a dále také doložku konkurenční. Při ukončení pracovního poměru nejsou stanoveny žádné odpovědnosti nad rámec ustanovení zákoníku práce a souvisejících pracovněprávních předpisů. Po odchodu zaměstnance se kromě vrácení zapůjčených věcí nic zásadního neděje. Při přijímání nových pracovníků není věnována zvláštní pozornost jejich schopnostem práce s rizikovými informacemi. Klíčové jsou zde zejména reference předchozích zaměstnavatelů a celková profesní způsobilost požadovaná na danou pozici. Firma nepořádá ani se neúčastní žádných školení tykajících se bezpečnosti informací a nemá stanovený proces disciplinárního řízení v případě porušení bezpečnostní politky a způsobení bezpečnostního incidentu.

33 Tabulka 6: Úroveň realizace lidských zdrojů nerealizováno, plánováno, částečně realizováno, kompletně realizováno Kritérium Hodnocení Je v organizaci definována osoba nebo útvar, jehož primárním úkolem je řízení bezpečnosti informací? Podává tento útvar pravidelná hlášení vedení organizace o dodržování a účinnosti stanovené bezpečnostní politiky? Má každý zaměstnanec jasně definovánu svou roli a odpovědnost v rámci bezpečnostní politiky organizace? Je tato odpovědnost písemně definována v pracovních smlouvách všech zaměstnanců? Je přezkoumávána předchozí činnost žadatelů o zaměstnání v organizaci také ve smyslu jejich schopností kvalitně pracovat s rizikovými informacemi, které budou mít na starosti? Jsou pravidelně organizována školení pro zaměstnance i uživatele třetích stran týkající se politiky bezpečnosti informací? Funguje v organizaci disciplinární proces pro zaměstnance, kteří porušili bezpečnostní politiku a způsobili bezpečnostní incident? Jsou v organizaci jasně definovány odpovědnosti při ukončení pracovního poměru nebo při změně zaměstnání? Je ve smluvním vztahu jasně definováno, že zaměstnanec je povinen před ukončením zaměstnání vrátit všechna aktiva, která měl k dispozici a odpovídal za ně? Jsou automaticky všem odcházejícím pracovníkům odejmuta všechna přístupová práva v organizaci? Zdroj: Metodika vyvážené informační bezpečnosti..5 Úroveň řízení bezpečnostních incidentů Aktuálně neexistuje žádná kategorizace bezpečnostních incidentů ani postup jejich dokumentace. Není vytvořen krizový bezpečnostní tým, jehož úkolem by bylo řešení incidentů, jejich analýza a návrh budoucích opatření. Nejsou stanoveny ani minimalistické scénáře obnovy zařízení či systémů po proběhlém incidentu. Bezpečnostní incidenty by zaměstnanci dokázali rozpoznat pouze v těch případech, kdy se jedná například o vloupání s použitím síly, tedy rozbití okna, vylomení dveří nebo v případě zásahu živelnou pohromou či za jinak očividných okolností. Bez důsledných školení týkajících se přímo bezpečnostních incidentů v oblasti kyberprostoru je pro ně velmi obtížné se v dané problematice orientovat.

34 Tabulka 7: Úroveň realizace bezpečnostních incidentů nerealizováno, plánováno, částečně realizováno, kompletně realizováno Kritérium Hodnocení Existuje ve firmě dokument, který definuje a klasifikuje potencionální bezpečnostní události a bezpečnostní incidenty, ke kterým může při chodu organizace dojít? Jsou všichni zaměstnanci povinni hlásit jakékoliv pozorované zranitelné místo v informačním systému organizace, které by mohlo znamenat vznik bezpečnostního incidentu? Probíhají v organizaci pravidelná školení pro všechny zaměstnance a účastníky třetích stran, na kterých je všem zúčastněným zvyšována úroveň bezpečnostního povědomí? Jsou všichni zaměstnanci poučeni, jak po detekování bezpečnostní události hlásit její vznik pověřené osobě či útvaru v organizaci? Jsou v organizaci jasně definovány odpovědnosti a postupy pro rychlé řešení vzniklých bezpečnostních incidentů? Existují v organizaci mechanismy pro kvantifikaci druhů a rozsahu vzniklých bezpečnostních incidentů? Existují v organizaci mechanismy pro kvantifikaci vzniklých nákladů souvisejících s odstraňováním bezpečnostních incidentů? Jsou důsledně shromažďovány a uchovávány důkazy o jednotlivých proběhlých bezpečnostních incidentech, které by mohly být využity orgány činnými v případném trestním řízení? Existují v organizaci rizikové scénáře pro případ vzniku neočekávaného nebo nezvládnutelného bezpečnostního incidentu? Jsou pravidelně bezpečnostní incidenty vyhodnocovány a přijímány závěry směrem k analýze rizik, příp. k systému řízení bezpečnostních incidentů? Zdroj: Metodika vyvážené informační bezpečnosti

35 ..6 Interpretace zjištěných výsledků Úroveň závislosti na IT činní v součtu 6 bodů, což metodika hodnotí jako stupeň Vysoká závislost. Na základě toho jsou pro každou oblast vybrány příslušné bodové intervaly. Dále je potřeba sečíst bodové hodnocení jednotlivých oblastí řízení zjištěné vstupním auditem a zaznamenat do tabulky. Následně zbývá ještě stanovit, do jakého intervalu bodový součet každé oblasti řízení spadá a přiřadit tomu odpovídající slovní interpretaci. Sumarizace a interpretace je uvedena v tabulce 8. Z uvedených výsledků vyplývá, že je nutné podniknout zásadní kroky ve všech řešených oblastech. Tabulka 8: Sumarizace a interpretace řízení jednotlivých oblastí Stupeň závislosti na IT: Vysoká závislost Oblast Body Interval Interpretace Řízení rizik 0-5 Nedostatečná ochrana Řízení procesů a technologií Nedostatečná ochrana Řízení lidských zdrojů 0- Nedostatečná ochrana Řízení bezpečnostních incidentů 0- Nedostatečná ochrana Zdroj: Vlastní zpracování 5

36 . Řízení rizik Hlavní náplní této disciplíny je identifikace aktiv, vytipování hrozeb, nalezení zranitelností a odhad s tím spojených rizik. V tomto případě však není cílem provádět rozsáhlou a vyčerpávající analýzu rizik, nýbrž pouze tzv. hrubou analýzu, která pomůže lépe určit cíle bezpečnostní politiky... Hodnocení aktiv Prvním krokem k úspěšnému zvládnutí managementu rizik je správná identifikace a ohodnocení klíčových aktiv společnosti. Aktiva budou pro lepší přehlednost a celkovou realizovatelnost analýzy seskupeny následujícím způsobem: Hardware server, pracovní stanice, notebooky, tablety, mobilní telefony, UPS. Software účetní aplikace, aplikace serveru, operační systémy, podpůrné aplikace. Sítě místní síť a připojení k internetu. Data účetní a jiná citlivá data. Dokumenty doklady a smlouvy v papírové formě. Tyto skupiny jsou následně ohodnoceny z hlediska dopadu a vlivu na firmu, případně další zainteresované strany, při porušení důvěrnosti, dostupnosti nebo integrity. V tabulce 9 je příklad kvalitativního hodnocení aktiv, další lze nalézt v příloze na stránce 9. Tabulka 9: Kvalitativní ocenění aktiv z hlediska dostupnosti Stupně dopadu: nízký, střední, vysoký, velmi vysoký Hardware Software Síť Data Dokumenty Dopad na finance Dopad na procesy Ztráta důvěry klientů Ztráta image Porušení legislativy Počet bodů Dílčí hodnota (0,) 0,50 0,60 0,50 0,75 0,55 Zdroj: Vlastní zpracování na základě Metodiky vyvážené informační bezpečnosti 6

37 .. Hodnocení hrozeb V další sérii kroků je potřeba na základě dostupných informací nebo rozumné úvahy určit a ohodnotit hrozby, jež na aktiva společnosti mohou negativně zapůsobit. V souladu s metodikou jsou hrozby rozděleny do tří základních kategorií na úmyslné, neúmyslné a přírodní. Úroveň působení může být nízká, střední, vysoká nebo velmi vysoká. U každého aktiva záleží na jeho atraktivitě a dalších faktorech. Lze předpokládat, že hrozba zemětřesení bude velmi nízká, oproti tomu zkušenosti s výpadky elektřiny v dané lokalitě má firma velmi bohaté. Pokud se náhodný zloděj vloupá do prostor společnosti, tak si pravděpodobně bude chtít odnést především počítač nebo dva bez ohledu na to, k čemu se používají. V tabulce 0 jsou zachyceny úrovně hrozeb působící na aktiva společnosti. Tabulka 0: Úroveň hrozeb působících na klíčová aktiva Hardware Software Síť Data Dokumenty Velmi vysoká Vysoká - - Vysoká - - Nízká - Velmi vysoká - - Střední Vysoká Chyba uživatele Nízká Vysoká Vysoká Vysoká - Chyba správce Střední Střední Střední Střední - Selhání hw či sw Střední Střední - Velmi vysoká - - Vysoká - - Nízká Nízká Nízká - - Požár Střední - Střední - Střední Blesk Střední - Střední - - Záplava Nízká - Nízká - Nízká Zemětřesení Nízká - Nízká - Nízká Krádež Falšování identity Odposlech Neoprávněný přístup Selhání sítě Selhání napájení Výpadek elektřiny Velmi vysoká Velmi vysoká Velmi vysoká Velmi vysoká Velmi vysoká Velmi vysoká Velmi vysoká Zdroj: Vlastní zpracování 7 -

38 .. Hodnocení zranitelností Cílem tohoto kroku je nalézt existující zranitelnosti a stručně je zdokumentovat v tabulce v příloze na stránce 9 a to včetně hrozby, která by mohla danou zranitelnost využít k útoku na některé z aktiv.... Fyzické zranitelnosti Prvním zásadním problémem je nízká odolnost stávajících zámkových vložek vchodových dveří vůči známým technikám lockpickingu a tudíž i vysoká zranitelnost. Souvisejícím problémem pak je i ztížená detekce případného bezpečnostního incidentu, jelikož při vloupání do prostor společnosti dveřmi vůbec nemusí dojít k poškození zámku. Druhý problém tvoří okno, které jde snadno rozbít a žádná jiná překážka případnému lupiči ve vstupu do objektu nebrání. Případné rozbití skla pak navíc není nijak detekováno. Problém dále tvoří také dřevěné skříně sloužící k dočasnému ukládání i archivaci účetních dokladů, smluv, mzdové agendy a dalších papírových dokumentů. Konkrétně se jedná o fakt, že nejsou samy o sobě uzamykatelné. Poslední záležitost se týká prostoru, kde je umístěn server a který není nijak viditelně označen proti neoprávněnému vstupu, což může být problém vzhledem k tomu, že se v prostorách často pohybují třetí osoby.... Zranitelnosti serveru Vzhledem k neexistenci dokumentace a nastavení služeb poskytovaných serverem nezbývá nic jiného, než provést vlastnoruční analýzu. O serveru je tedy zatím známo pouze to, že na něm běží operační systém Linux, web, elektronická pošta a sdílení souborů v místní síti. Po získání přihlašovacích údajů je možné se libovolně přihlašovat do systému a odhlašovat se z něj. Po přihlášení nás bude zajímat, co je systém vlastně zač, tedy verze jádra a pro pozdější účely dokumentace také verze linuxové distribuce. Z hlediska identifikace zranitelných míst jsou tyto informace důležité zejména proto, že například chyby v jádru či jeho modulech mohou útočníkovi za určitých okolností umožnit získat oprávnění uživatele root 9 a tím pádem i kompletní kontrolu nad systémem. Na obrázku 5 je příklad zjišťování důležitých informací o systému pomocí standardních unixových příkazů. Již z výpisu procesů si lze udělat rozumnou představu o tom, jaké služby server fakticky poskytuje. Dále je nutné dohledat veškeré konfigurační soubory k daným službám, zaevidovat jejich umístění tak, jako v tabulce, a zkontrolovat stávající nastavení v nich uložená. V případě, že umístění konfiguračních souborů není na první pohled zřejmé, 9 Typicky nejvyšší oprávnění v prostředí unixových operačních systémů. 8

39 vyplatí se nahlédnout do manuálových stránek k příslušným běžícím programům. Kontrola nastavení je důležitá proto, že nám pomůže odhalit z hlediska zabezpečení nevhodné konfigurace, a identifikovat tak nové zranitelnosti. Evidence programového vybavení nemusí být vyčerpávající, stačí mít základní přehled o tom, jaké aplikace jsou využívány, k čemu, v jaké verzi a kde lze nalézt jejich konfigurační soubory. Zdroj: Vlastní zpracování Nyní již máme přehled o tom, jaké služby server poskytuje, ale zatím není zřejmé, jakým způsobem jsou nad rámec vlastní konfigurace zabezpečeny proti útoku z internetu či z místní sítě. Nejdříve je tedy potřeba zjistit stávající síťové nastavení serveru a podívat se, zda-li a jak jsou nakonfigurována pravidla firewallu. Z analýzy programového vybavení mimo jiné vyplývá, že server pro svou ochranu nevyužívá žádný IDS 0. V serveru jsou fyzicky přítomny dvě síťové karty označené jako eth0 a eth, což je snadno možné ověřit i vizuální kontrolou zadní části skříně. Dále lze říci, že podle nastavení IP adres patří eth0 do místní sítě a eth do internetu. Z dalšího průzkumu systému vyplynulo, že například nejsou nastavena žádná pravidla firewallu, což potenciálně umožňuje útočníkům přes síť využít zranitelností služeb, ke kterým by s řádně nastaveným firewallem neměli přístup. Další nalezené zranitelnosti souvisí s uživatelskými účty, které jsou v systému aktivní, ale již dávno měly být odstraněny, případně v řízení přístupu jednotlivých aktuálních účtů do systému vůbec. Účty vyhrazené pro sdílení souborů se mohou zároveň přihlašovat do 0 Intrusion Detection/Prevention System monitoruje chování v síťovém provozu a odhaluje podezřelé aktivity. 9

40 systému, ačkoli by měly být používány výhradně pro své účely, tj. přihlašování ke službě Samba. Sdílení stejných přihlašovacích údajů mezi více uživateli je taktéž nepřípustné, protože kvůli tomu není možné vyvodit zodpovědnost za provedené akce. Uživateli root je umožněno se přihlašovat do systému přes SSH přímo, přičemž použité heslo není bezpečné. Zmíněné i další nalezené zranitelnosti jsou uvedeny příloze na stránce 9. Tabulka : Programové vybavení serveru Program Verze Funkce Nastavení Jádro.6.0 Běh systému /usr/src/linux-.6.0/.config Gentoo Base..0 Linuxová distribuce zajišťující správu balíčků a nastavení /etc/conf.d/ Apache..8 Webový server hostující firemní www stránky /etc/apache/httpd.conf /etc/passw.http (hesla) PHP 5..5 Skriptovací knihovna pro Apache /etc/php/apache-php5/php.ini MySQL Databázový server pro firemní web /etc/mysql/my.cnf Postfix..6 Poštovní server /etc/postfix/ Syslog-ng.0.6 Služba zajišťující zaznamenávání systémových a aplikačních informací. /etc/syslog-ng/syslog-ng.conf Samba.0.8 Služba pro sdílení souborů mezi OS Linux a Windows /etc/samba/smb.conf /etc/samba/smbusers Bind 9.. DNS server /etc/bind/named.conf PureFTPD.0. FTP server umožňující nahrávat nebo stahovat soubory ze serveru /etc/conf.d/pure-ftpd; /etc/pureftpd.passwd (hesla) Teapop 0..8 Aplikace pro stahování pošty ze serveru /etc/conf.d/teapop; prostřednictvím protokolu POP /etc/teapop.passwd (hesla) OpenSSH.7p Služba zajišťující přístup k příkazové řádce systému přes zabezpečený kanál /etc/ssh/sshd_config /etc/ssh/ (klíče) Cyrus SASL.. Aplikace pro autentizaci uživatelů při odesílání pošty /etc/postfix/ IPTables..8 Aplikace pro nastavování pravidel firewallu /var/lib/iptables/rules-save OpenVPN.0.7 Aplikace pro vytvoření bezpečné virtuální privátní sítě /etc/openvpn/ Zdroj: Vlastní zpracování... Zranitelnosti pracovní stanice Pracovní stanice umožňuje přístup do sytému BIOS bez hesla. Tím pádem lze i libovolně zavádět operační systémy přímo z vložených nosičů jako jsou CD, DVD, USB pamětí a pevných disků, jejichž prostřednictvím může být počítač kompromitován. Neexistence pravidelně kontrolovaného hesla systému BIOS tak může potenciálně ztížit detekci bezpečnostního 0

41 incidentu. Pracovní stanice dále po spuštění umožňuje přihlášení pomocí profilového obrázku, což může útočníkovi usnadnit průnik do počítače. Není oddělen systém od dat, všechny soubory potřebné pro běh operačního systému a aplikací jsou na jediném diskovém oddílu, což může být komplikace z hlediska zálohování systému. Je otevřen port pro přístup přes vzdálenou plochu a to i přes to, že není využíván. Není zaveden žádný postup pro filtrování a kontrolu zaznamenávaných informací. Zakoupený antivirový program sice používá rezidentní štít, ale samotné skenování systému a souborů je prováděno pouze jednou za týden. To v případě nově se šířícího škodlivého kódu, který ještě nemohl být rezidentním štítem zachycen, může podstatně zvýšit dobu mezi infiltrací a detekcí. Manuální instalace aktualizací v tomto případě není příliš vhodná, protože uživatel zpravidla není schopen fundovaně posoudit, zda-li daná aktualizace má smysl nebo ne. Obdobný problém přináší i nastavení oprávnění uživatelských účtů na úroveň správce, což může výrazně přispět ke kompromitaci systému. Jsou skrývány soubory a přípony, což může potenciálně zmást uživatele, případně skrýt před jeho zrakem podezřelé soubory, kterých by si jinak všiml.... Zranitelnosti mobilních zařízení Notebooky mají nainstalované nejnovější verze Ubuntu Linuxu, v případě mobilních telefonů a tabletů se jedná o Android verze a vyšší. Hlavní zranitelností v tomto případě ani tak není samotný operační systém či jeho aplikace, ačkoli u Androidu je problematika aplikací podstatně závažnější, ale spíš prostředí, kde jsou používány. Jedná se zejména o prostředí mimo firmu, ať už se jedná o pochybně zabezpečené domácí sítě nebo sítě veřejně přístupné. Při připojování přes tyto rizikové sítě však není využívána virtuální privátní síť (VPN), která by kryptografickými prostředky garantovala bezpečnost na úrovni. nebo. vrstvy referenčního modelu ISO/OSI. Notebooky nevyužívají firewall, což může vystavit útoku potenciálně zranitelné aplikace, které by mohly být preventivně chráněny. Obzvláště rizikové jsou pak v tomto směru právě veřejné sítě. Pro mobilní zařízení nejsou vytvořeny zásady bezpečného používání týkající se například uzamykání zařízení po určitém čase, používání antiviru ani šifrování zařízení pro případ krádeže nebo jeho ztráty....5 Zranitelnosti síťových zdrojů Neexistuje ucelený přehled o využívání infrastruktury a systémových zdrojů, který by mohl být zajištěn například monitoringem. Přístupový bod WiFi je bez opodstatnění nastaven v režimu bridge, tím pádem spojuje poměrně bezpečnou drátovou síť se značně rizikovou bezdrátovou sítí na úrovni linkové vrstvy a propouští tedy veškerou komunikaci.

42 ...6 Určení míry zranitelnosti Vzhledem k faktu, že dosud nebyl vypracován žádný přehled zranitelností, není proti nim ještě zavedeno žádné protiopatření, které by snižovalo pravděpodobnost, že daná zranitelnost bude využita hrozbou. Hodnoty zranitelností se tedy pohybují nad horní hranicí, která je metodikou stanovena na interval 75-00%. Některé zranitelnosti jsou závažnější než jiné, a proto se přiřazené hodnoty míry zranitelnosti napříč seznamem liší. Míra zranitelnosti je uvedena ve vlastním sloupci v příloze na stránce 9... Hodnocení rizik Níže uvedený vzorec zachycuje, jakým způsobem se výpočet provádí. Použitými proměnnými jsou úroveň hrozby z intervalu (0,), míra zranitelnosti z intervalu (0,) a hodnota aktiva z intervalu (0,00). Riziko = Hrozba Zranitelnost Aktivum V tabulce je pak kvantifikace rizik a jejich interpretace podle výsledku. Fakticky provedené hodnocení rizik je k dispozici v příloze na stránce 9. Tabulka : Míra rizika Riziko Nízké Střední Vysoké Velmi vysoké Kvantifikace 0,,5,5,5,5 00 Interpretace Riziko je možné přijmout Je nutné posoudit ekonomičnost možného opatření Je nutné aplikovat Je nutné okamžitě vhodné opatření na aplikovat vhodné snížení rizika opatření na snížení rizika Zdroj: Metodika vyvážené informační bezpečnosti Na základě nedostatků zjištěných vstupním auditem a provedenou analýzou rizik budou dále navrhována opatření týkající se zbývajících klíčových oblastí, tedy řízení bezpečnosti procesů a technologií, lidských zdrojů a bezpečnostních incidentů. Konkrétně se pak tato opatření budou týkat fyzického zabezpečení aktiv, bezpečnosti komunikace a bezpečnosti přístupu k aktivům. Dále vztahu zaměstnavatele a zaměstnance a zvyšování bezpečnostního povědomí pracovníků. Budou navržena opatření týkající se reakce na proběhlé bezpečnostní incidenty a následnou obnovu systémů a činností.

43 . Řízení bezpečnosti procesů a technologií.. Bezpečnostní perimetr K zabezpečení fyzického perimetru přispěje úprava dvou zámků a to konkrétně u vnitřních vchodových dveří a venkovních vchodových dveří. Úprava spočívá ve výměně základních cylindrických vložek za vložky bezpečnostní. Pozitivním důsledkem změny bude také zajištění právní ochrany profilu klíče a nebude tedy již možné libovolně vytvářet neautorizované kopie. V návaznosti je však potřeba myslet na vznik potenciální zranitelnosti při nesprávné ochraně bezpečnostní a identifikační karty. Ty budou uloženy v trezoru společnosti a přístup k nim bude mít pouze vedoucí pracovník. Další úpravou je pak zabezpečení okna instalací kovové mříže na vnější stranu zdi budovy. Dále bude nainstalován elektronický zabezpečovací systém (EZS) zahrnující obvodovou ochranu, prostorovou ochranu, ochranu majetku, ústřednu, komunikační modul a ovládací klávesnici. Klávesnice systému bude nainstalována v interiéru poblíž vstupních dveří a bude sloužit k deaktivaci alarmu při vstupu prvního a odchodu posledního zaměstnance. Obvodová ochrana bude zahrnovat senzory otevření dveří. Prostorová ochrana bude sestávat z detektorů pohybu a akustického detektoru rozbití skla a vnitřní sirény. Pro ochranu majetku bude nainstalován kouřový detektor a detektor záplavy. Komunikaci s uživateli zajistí GSM komunikátor umístěný v ústředně, protože pevná linka může být případným útočníkem snadněji narušena. Připojení do mobilní sítě bude zajištěno přes tarifní firemní SIM kartu, aby se předešlo riziku vyčerpání kreditu v případě předplacených karet. Zvoleným řešením pro realizaci EZS je bezdrátový systém Alexor od společnosti DSC, který podle normy ČSN EN 50- ed. odpovídá použití v nízkém až středním rizikovém prostředí. Vzhledem k tomu, že se jedná o bezdrátové zařízení, je potřeba mít na paměti, že kromě ústředny jsou všechny komponenty napájeny bateriemi, které je potřeba v určitých intervalech měnit a tudíž je systém náročnější na údržbu... Zabezpečení archivačních skříní Nabízí se dva způsoby řešení, přičemž prvním a výrazně nákladnějším je pořízení nových kovových uzamykatelných archivačních skříní. Druhým řešením je pořízení několika větších visacích zámků na klíč nebo číselnou kombinaci a jejich instalace na madla skříní tak, že nebude možné se bez znalosti hesla či použití klíče k dokumentům dostat, aniž by došlo k poničení samotných skříní. KELCOM INTERNATIONAL. DSC Alexor. In: Kelcom.cz [online] [cit. 7..0].

44 .. Firemní trezor Bude nainstalován firemní trezor určený jako bezpečné úložiště důležitých aktiv, z nichž některá však teprve vzniknou. Konkrétně se bude jednat o originální nosiče softwaru, nepoužívané fyzické kopie klíčů, exportovatelné zálohy certifikátů, zálohy klíčů k zašifrovaným složkám datového úložiště a záchranná média k zašifrovaným pevným diskům... Fyzické zabezpečení serveru Další opatření se týká fyzického zabezpečení serveru, který je v současné době vystaven zvýšenému riziku útoku v případě, že dojde k vloupání do prostor společnosti. Vhodným opatřením je přesun serveru do velikostně odpovídající uzamykatelné skříně upevněné ke zdi. Spolu se serverem bude do skříně umístěn i záložní zdroj napájení. KVM přepínač bude úplně odstraněn, protože se v současné době k ničemu nevyužívá a představuje tak pouze neopodstatněné riziko selhání hardwaru. Do skříně bude po drobné úpravě kabeláže umístěn také síťový přepínač...5 Záložní napájení K dispozici jsou celkem tři kusy UPS. První napájí server včetně monitoru, druhá napájí pracovní stanici včetně monitoru a třetí napájí přepínač, přístupový bod WiFi a síťovou tiskárnu. Články uvnitř UPS mají pouze omezenou životnost, je tedy potřeba jednotlivé záložní zdroje označit a pečlivě sledovat jejich stav. V artefaktu Údržba aktiv bude založena karta Baterie a články, kde budou evidovány údaje jako v tabulce. Pokud dojde k detekci nějakého nestandardního chování UPS nebo baterie, musí toto být zaznamenáno do kolonky Poznámky pro pozdější diagnostiku a případný servis. Pokud například UPS zapípá a přepne se na by-pass aniž by došlo k výpadku elektřiny či stejné reakci ostatních jednotek, ukazuje to na možné selhání článku nebo řídící elektroniky UPS. Stejný způsob evidence se pochopitelně bude vztahovat i na další nově přidávané UPS, počítače nebo baterie v jiných klíčových zařízeních. Kvůli okamžité možnosti servisu bude na skladě vyhrazena jedna souprava článků pro okamžitou výměnu v případě nečekaného selhání UPS, alespoň tři náhradní kusy CR0 baterie a osm nových AA baterií. Na obalu by vždy měl být zapsán měsíc a den, kdy byly zakoupeny, kvůli přehledu o životnosti. Výrobce u jednotlivých komponent elektronického zabezpečovacího systému uvádí velmi dlouhou výdrž, nicméně je bezpečnější počítat se spodní hranicí těchto odhadů.

45 Tabulka : Údržba článků a baterií # Typ Popis Měněno Expirace Poznámky U RBC UPS server + monitor 0/0 0/06 U RBC UPS pracovní stanice + monitor 05/0 05/06 U RBC UPS přístupový bod WiFi, přepínač, síťová tiskárna /0 /05 U RBC UPS centrálního datového úložiště 0/0 0/07 Bude pořízeno U5 RBC UPS vzdáleného datového úložiště 0/0 0/07 Bude pořízeno C x CR0, V CMOS baterie serveru 05/008 05/0 Vyměnit! C x CR0, V CMOS baterie pracovní stanice 08/0 08/05 D x CRA, V Detektor pohybu 0/0 0/00 Bude pořízen D x CRA, V Detektor pohybu 0/0 0/00 Bude pořízen D x CRA, V Detektor rozbití skla 0/0 0/09 Bude pořízen D x CR, V Dveřní senzor 0/0 0/09 Bude pořízen D5 x CR, V Dveřní senzor 0/0 0/09 Bude pořízen D6 x AA,,5V Vnitřní siréna 0/0 0/05 Bude pořízena D7 x CRA, V Detektor kouře 0/0 0/08 Bude pořízen D8 x CR, V Detektor záplavy 0/0 0/08 Bude pořízen D9 x AA,,5V Klávesnice EZS 0/0 0/05 Bude pořízena Zdroj: Vlastní zpracování..6 Zálohování Za účelem zavedení spolehlivého systému zálohování bude pořízeno síťové datové úložiště (NAS), které bude fyzicky umístěno ve skříni spolu se serverem. V tomto úložišti pak budou dva pevné mechanické SATA disky v módu RAID- (zrcadlení). Do tohoto budou ukládány zálohy všech příslušných aktiv, jež je potřeba zabezpečit. Jedná se o: Zálohování operačního systému serveru. Zálohování dat na serveru (webová aplikace společnosti). Zálohování operačního systému pracovní stanice. Zálohování dat na pracovní stanici (účetní data). Zálohování operačního systému a osobních dat na mobilních zařízeních. Zálohování nastavení přístupového bodu WiFi. Zálohování nastavení síťové tiskárny. Zálohování nastavení síťového přepínače (bude pořízen nový). 5

46 Zálohování nastavení centrálního datového úložiště (bude pořízeno). Zálohování dokumentace bezpečnostní politiky (bude vytvořena). Zálohování důležitých dokumentů skenováním na centrální datové úložiště. Zde však čelím výzvě, jak rozumně zajistit decentralizaci zálohy pro případ spuštění scénáře kontinuity činnosti organizace. Pokud by došlo v prostorách společnosti k vážnému požáru, tak sebeúžasnější záloha na inkriminovaném místě nemusí být vůbec nic platná. Je proto nutné vymyslet, jakým způsobem se bude provádět zálohování mimo prostory společnosti. Za tímto účelem bude nasazeno ještě jedno datové úložiště na utajeném místě mimo prostory společnosti. Pomocí technologie virtuální privátní sítě (VPN) pak toto vzdálené úložiště bude propojeno s centrálním datovým úložištěm. Vše, co se zálohuje v místní síti tedy bude zálohováno i decentralizovaně. Tento systém zálohování bude automatizovaný, až na samotné zálohy operačních systémů a dat mobilních zařízení, ty budou uživatelé provádět manuálně. Návrh systému zálohování je zachycen na obrázku 6. Ilustrace 6: Systém zálohování Zdroj: Vlastní zpracování 6

47 ..7 Údržba aktiv Údržba aktiv řeší zejména fyzické odstranění nečistot a kontrolu vnitřních komponent skříní, což se týká serveru a pracovní stanice. Hromadění prachu může zapříčinit selhání některé z komponent a způsobit tak bezpečnostní incident. Každých šest měsíců je tedy potřeba příslušnou skříň otevřít a zkontrolovat funkčnost aktivních větráků. Poté stroj vypnout, odpojit od elektřiny, pečlivě vyčistit pomocí stlačeného vzduchu či antistatického štětce, uvést zpět do provozu a zaznamenat informace tak, jak je uvedeno v tabulce. Jakékoli nesrovnalosti nebo postřehy pak budou zapsány do kolonky poznámka. Aby se oba přístroje musely vypnout pouze jednou, je vhodné provádět údržbu počítače zároveň s údržbou UPS. Odpovědnost za fyzickou údržbu má technik, u serveru však pouze v součinnosti se správcem. Ten zajistí přístup do serverové skříně a provede kontrolované vypnutí serveru. Při údržbě počítačů a UPS je nutno dbát kromě bezpečnostní politiky také na dodržování bezpečnosti práce v souvislosti s vyhláškou č. 50/978 Českého úřadu bezpečnosti práce a to zejména, 5 a 6. Tabulka : Fyzická údržba Stroj Poslední údržba Příští údržba Poznámky Server 05/008 0/0 Vyčistit! Pracovní stanice 08/0 0/0 Vyčistit! UPS U - 0/0 Vyčistit! UPS U - 0/0 Vyčistit! UPS U - 0/0 Vyčistit! UPS U 0/0 09/0 Zdroj: Vlastní zpracování..8 Likvidace aktiv Likvidace se týká zejména dat uložených na nosičích. Z některých typů médií lze různými technikami, zpravidla za pomoci běžně dostupných aplikací, data získat i po jejich vymazání. Pro potřeby bezpečnostní politiky se budou rozlišovat následující situace:. Citlivá data je potřeba odstranit a nosič ponechat k internímu použití (mazání).. Citlivá data je potřeba odstranit a nosič použít v nezabezpečeném prostředí (čištění).. Citlivá data je potřeba odstranit a nosič zničit (likvidace). ČSSR. Vyhláška č. 50 Českého úřadu bezpečnosti práce. In: Gov.cz [online]. 0. [cit. 9..0]. Jedná se o kvalifikaci pracovníků pro manipulaci s elektronickými zařízeními. 7

48 V prvním případě budou data jednoduše vymazána. Ve zbylých dvou případech se bude vycházet ze standardu DoD 50.-M, který specifikuje, jakým způsobem provádět likvidaci dat a nosičů. Čištění dat na mechanickém disku by se mělo například provádět tak, že se nejdříve celý obsah disku přepíše jedním znakem (. průchod), pak jeho komplementem (. průchod) a nakonec náhodným znakem (. průchod). Metody vztahující se k jednotlivým nosičům jsou uvedeny v tabulce 5. Nezabezpečeným prostředím je myšleno prostředí mimo firmu, např. pokud se jedná o předávání účetních dat klientovi na flash paměti, na které byla doposud účetní data vztahující se k jinému subjektu. Schválenými aplikacemi pro potřeby čištění a likvidaci dat jsou Diskwipe a DBAN5. Je potřeba mít na paměti, že bezpečné čištění dat na SSD disku nelze běžnými technikami stoprocentně zaručit. 6 SSD disk je tedy potřeba zašifrovat a klíč zničit (zapomenout). Nepotřebné papírové dokumenty s citlivými informacemi se budou standardně likvidovat skartací, stejně tak i účetní a mzdové dokumenty po zákonné archivační lhůtě. Data na mobilních zařízeních se systémem Android lze znehodnotit zašifrováním zařízení a následným resetem do továrního nastavení. Tabulka 5: Čistění a likvidace aktiv Nosič Čištění Likvidace Optická média (čtení i zápis) průchod, samé nuly Fyzická likvidace (rozdrtit) Optická média (čtení) - Fyzická likvidace (rozdrtit) Pevné disky průchody (jedničky, nuly, náhodný znak) Čištění + fyzická likvidace Flash disky průchody (jedničky, nuly, náhodný znak) Fyzická likvidace (rozdrtit) SSD Disk zašifrovat (AES 56-bit), klíč zničit Fyzická likvidace (rozdrtit) Paměti RAM Odpojit elektřinu, odpojit z počítače - Papírové dokumenty - Skartovat Mobilní zařízení (Android) Zašifrovat zařízení + tovární nastavení Čištění postačuje Zdroj: Vlastní zpracování WIPE SOFT. Disk Wipe.7 [software] [přístup. prosince 0]. 5 DARIK HORN. Darik's Boot and Nuke..8 [software] [přístup. prosince 0]. 6 UNIVERSITY OF CALIFORNIA. Reliably Erasing Data From Flash-Based SSDs. In: Ucsd.edu [cit...0]. 8

49 ..9 Monitoring systémových a síťových zdrojů Bude zaveden aktivní monitoring zdrojů společnosti prostřednictvím nástroje Nagios7. Jedná se o open source aplikaci v této oblasti již dlouhá léta hojně využívanou, dříve pod názvem NetSaint. Nagios bude nasazen na serveru, výstupy monitoringu bude možné sledovat v reálném čase přes webové rozhraní v rámci intranetu. Monitorovány budou vlastní zdroje serveru, síťové služby, aktivita prvků v síti a jejich dostupnost. Mezi vlastní zdroje serveru patří zaplnění pevných disků, využití paměti, využití procesoru, výpis z teplotních čidel na základní desce a počet přihlášených uživatelů. Překročení správně nastavené hranice u každého z těchto zdrojů indikuje potenciální bezpečnostní incident. Monitoringem síťových služeb se rozumí dostupnost webového serveru, poštovního serveru (SMTP), serveru pro stahování pošty (POP), databáze, webového serveru síťové tiskárny, webového serveru přístupového bodu WiFi a dostupnost sdílených adresářů síťového úložiště (bude pořízeno). V rámci monitoringu prvků pak bude sledována dostupnost jednotlivých aktivních prvků v síti. Prvky lze z hlediska aktivity rozdělit na dvě skupiny. V první skupině jsou prvky, které mají být aktivní neustále, tedy síťová tiskárna a přístupový bod WiFi. Jejich nedostupnost signalizuje výpadek, a tedy nutnost ručního zásahu, kterým může být například restart. Ve druhé skupině jsou prvky, které by měly být aktivní v pracovní době, tedy pracovní stanice, notebooky, tablety a mobilní telefony připojené přes WiFi. Interval pracovní doby bude nastaven od pondělí do pátku, od 8 do 7 hodin, tedy s hodinovou rezervou po standardní pracovní době, kdy je velmi pravděpodobné, že ještě bude přítomen někdo ze zaměstnanců. V případě, že Nagios zjistí na základě sledování vytyčených zdrojů a prvků nějakou nesrovnalost, přijde na řadu notifikace zodpovědné role. Pokud nedojde k nápravě problému ve stanoveném termínu, bude systém notifikovat konkrétní osoby, typicky vedoucího, případně i další zaměstnance. Notifikace se budou provádět přes internet pomocí SMS a doplňkově em. Je však potřeba brát v potaz situaci, kdy dojde k výpadku připojení k internetu na straně ISP či jinému selhání sítě, a Nagios nebude moci notifikace doručit. Alternativně lze problém vyřešit instalací záložní linky přes GSM bránu připojenou k serveru, nicméně na základě zkušeností s kvalitou připojení k internetu od současného poskytovatele to prozatím nebude třeba. 7 NAGIOS ENTERPRISES. Nagios.0 [software]. [přístup 6..0]. 9

50 ..0 Bezpečnost a kontrola přístupového bodu WiFi Přístupový bod WiFi je vynikajícím terčem pro útok a to ze dvou důvodů. Za prvé je možné se skrz něj prolomit do místní sítě, kde pak lze odposlouchávat síťový provoz nebo spouštět útoky vůči dalším aktivům, například prostřednictvím falšování identity 8, a to aniž by útočník musel fyzicky vstoupit do chráněných prostor společnosti. Problém je tedy v tom, že elektromagnetické záření nerozumí hranicím objektu, leda by byl vyprojektován jako obří Faradayova klec. Druhým důvodem je samotná pověst přístupových bodů WiFi, z nichž mnohé stále ještě používají zabezpečení WPAv či dokonce WEP, případně je již nastaveno WPAv, ale bylo použito jednoduché slovníkové heslo. Jak je na tom právě naše WiFi zařízení pak bude pro odhodlaného útočníka pochopitelně lákavé zjišťovat. Navrhovaná opatření jsou: Zabezpečení WPAv s algoritmem AES a silným heslem. Snížení vyzářeného výkonu na nutné minimum. Korektní nastavení času na zařízení. Vzdálené logování událostí z přístupového bodu na server. Izolace bezdrátově připojených zařízení.9 Vhodné nastavení zabezpečení podstatně znesnadní průlom do sítě. Snížení vyzářeného výkonu bude nutit útočníka přijít co nejblíže k objektu, kde si ho spíše někdo všimne, než když bude sedět opodál v autě a tvářit se nenápadně. Je potřeba dbát na to, aby manipulací s hodnotou vyzářeného výkonu nedošlo k narušení práce z autorizovaných zařízení. Správným nastavením času a vzdáleným logováním událostí bude docíleno aspoň základní úrovně kontroly nad tím, co se s přístupovým bodem děje. Takto získané údaje mohou pomoci při zpětné analýze v případě bezpečnostního incidentu. Vzájemnou izolací zařízení připojených bezdrátově lze zabránit potenciálnímu šíření některých typů škodlivého kódu, například červů. Odpovědnost za nastavení přístupového bodu WiFi má správce... Bezpečnost a kontrola serveru Bezpečnost serveru se skládá ze dvou dimenzí, lokální a síťové. Pokud se útočník prolomí do systému, ať už z vnitřní sítě nebo z internetu, pravděpodobně skončí s uživatelským účtem s omezeným oprávněním a teprve bude muset prolomit ochranu lokální, aby získal oprávnění uživatele root (escalation of privilege), a tím kompletní kontrolu nad systémem. Unixové operační systémy jsou v zásadě, díky svému vnitřnímu fungování, velmi bezpečné. Největší 8 Útok známý pod anglickým termínem Man In The Middle. 9 Známé pod anglickým názvem Wireless Client Isolation. 50

51 hrozbou tak jsou zpravidla zásahy či naopak nečinnost správce, případně nezkušeného uživatele s přístupem k administrátorskému účtu. Pro zvýšení úrovně zabezpečení serveru budou podniknuty následující opatření: Odstranění nepotřebných a nepoužívaných systémových účtů. 0 Vynucení tvorby silného hesla pro přihlášení do systému. Nastavení expirace systémových hesel po třech měsících. Automatické odhlášení uživatele po třech minutách nečinnosti. Autorizace skupin účtů, které se smí vzdáleně přihlašovat, v nastavení OpenSSH. Omezení možnosti přihlašování uživatele root přes SSH. Zavedení seznamu softwarových komponent a pravidelná kontrola jejich zranitelností. Aktualizace softwarových komponent jako je kernel, binutils, glibc a další. Odstranění nepotřebných aplikací. Dokumentace nastavení služeb vedoucí ke snížení rizika chyby při manipulaci s nimi. Kontrola škodlivých kódů prostřednictvím antiviru a antirootkitu. Korektní nastavení firewallu prostřednictvím IPTables. Instalace IDS/IPS, který bude detekovat události v síťovém provozu a reagovat na ně. Agregace informací zaznamenaných v logovacích souborech. Pravidelné zasílání agregovaných logů zodpovědným rolím (správci a vedoucímu). Omezení spamu pomocí kontroly IP adres v internetových černých listinách. Schváleným IDS/IPS je aplikace Snort. Omezení spamu bude provádět v MTA Postfix na základě kontroly černých listin. Schváleným antivirovým programem je ClamAV, antirootkitem pak Rootkit Hunter. Odpovědnost za bezpečnost a kontrolu serveru má správce. 0 NORTHCUTT, S. et al.: Inside Network Perimeter. Sams, 005, kap. 9 The Need for Host Hardening SOURCEFIRE INC. Snort [software]. [přístup 9..0]. SOURCEFIRE VRT. Clam AntiVirus 0.98 [software]. [přístup..0]. MICHAEL BOELEN. Rootkit Hunter..0 [software]. [přístup 9..0]. 5

52 .. Bezpečnost a kontrola pracovní stanice Prvním krokem pro zabezpečení pracovní stanice s Windows 7 je vytvoření silného hesla pro základní administrátorský účet. Účty vedoucího a správce smí mít oprávnění typu administrátor, ostatní existující účty musí mít oprávnění typu uživatel. Je zároveň potřeba zajistit správné fungování doposud používaných aplikací s účty přednastavenými na tuto úroveň oprávnění. Dalším krokem je nastavení úvodní obrazovky tak, aby po nastartování systému uživatel musel zadávat kromě hesla i uživatelské jméno, nikoli aby pro zadání hesla stačilo pouze kliknout na profilový obrázek. Dále bude nastaveno automatického stahování a instalace důležitých aktualizací, které se mimo jiné týkají i bezpečnostních záplat. Aktualizace se budou instalovat před nebo na začátku pracovní doby. Prostřednictvím aplikace Eventlogto-syslog bude zajištěno odesílání zaznamenávaných informací ze služby Protokol událostí systému Windows na server. Systém by měl být nastaven tak, aby sám od sebe neskrýval systémové soubory, soubory označené jako skryté a také přípony známých typů. Systém i data jsou uložena v jediném existujícím diskovém oddílu, proto bude pevný disk dodatečně rozdělen na oddíl C (systémový) a D (datový). Pracovní stanice bude automaticky vypnuta jednu hodinu po skončení pracovní doby, aby se mohlo provést denní zálohování dat a antivirová kontrola... Bezpečnost a kontrola mobilních telefonů a tabletů Při návrhu operačního systému Android autoři mysleli také na jeho bezpečnost, což je možné vidět na obrázku 7. Jeho nejpalčivějším problémem i přes to zůstává právě proces instalace aplikací. Společnosti Google se dlouhodobě nedaří zajistit bezpečnost softwaru distribuovaného přes jeho platformu Google Play. Uživateli se tak může velmi snadno stát nejen to, že si stáhne aplikaci obsahující škodlivý kód, ale při instalaci jí navíc udělí veškerá oprávnění, o které si takováto darebná aplikace řekne. Uživatel pak nemusí vůbec zjistit, co se uvnitř jeho zařízení vlastně děje, dokud nedojde k detekci bezpečnostního incidentu. Pokud k ní vůbec dojde. Daleko větší riziko pak v tomto směru mohou přinést instalační balíčky aplikací z jiných zdrojů než Google Play.5 SHERWIN FARIA. Eventlog-to-syslog.5. [software]. [přístup 7..0]. 5 TREND MICRO INC. Android Malware Spreads via Third-Party App Stores. In: Trendmicro.com [cit..0]. 5

53 Dalším problémem mobilních zařízení obecně, je přirozená náchylnost ke ztrátě či krádeži a jakmile je jednou zařízení mimo dosah autorizovaného vlastníka, nelze garantovat důvěrnost dat na něm uložených. Z toho důvodu bude bezpečnostní politikou stanoveno, že tablety a mobilní telefony musí být šifrovány. Šifrování v Androidu je vázáno na PIN či heslo, je permanentní a lze ho zrušit pouze resetováním do továrního nastavení, čímž zároveň dojde k likvidaci dat uložených na zařízení. Tím je zajištěno, že v případě ztráty telefonu či tabletu se k soukromým nebo firemním informacím nedostane nikdo nepovolaný. Schváleným antivirovým programem pro systém Android je Avira Free Android Security6. Aby bylo minimalizováno riziko napadení telefonu či tabletu, budou stanovena následující opatření: Uzamykání telefonu a tabletu pomocí PIN kódu nebo hesla. Povinnost mít telefon či tablet zašifrovaný. Automatické zamknutí telefonu či tabletu po jedné minutě. Nespouštět WiFi tethering s originálním heslem (567890). Nezviditelňovat zařízení přes Bluetooth na delší než nezbytně nutnou dobu. Zakázat technologii Near Field Communication (NFC), pokud jej zařízení podporuje. Zákaz připojování telefonů a tabletů přes USB do cizích zařízení. 6 AVIRA OPERATIONS GMBH. Avira Free Android Security.0 [software] [přístup. prosince 0]. 5

54 Zákaz instalace aplikací z jiných zdrojů než Google Play. Zákaz úpravy systému za účelem získaní oprávnění uživatele root. 7 Při instalaci aplikace hlídat zejména požadavky na plný přístup k internetu, přístup k online účtům a zasílání SMS. V případě pochybností o aplikaci se poradit se správcem. Povinnost mít spuštěný a aktualizovaný antivirový program... Bezpečnost systému pro vedení účetnictví a účetních dat K vedení účetnictví na pracovní stanici slouží firmě ekonomický systém Money S Premium. Ten se skládá ze dvou hlavních komponent, a to ze samotné spustitelné aplikace a účetních datových souborů obsahujících veškeré agendy. Obě části jsou nainstalovány do jediné složky na pevném disku v oddílu C. Tento oddíl však obsahuje i systém Windows, který je také potřeba pravidelně zálohovat, ale ideálně bez zbytečného přidaného objemu datových souborů, jež se budou zálohovat samostatně. Jejich obnovení zároveň se systémem by navíc nebylo užitečné, protože záloha systému se nebude provádět tak často a data účetních agend by tedy již byla zastaralá. Aplikace spolu s daty proto bude přesunuta na datový oddíl D a úpravou systémových registrů, případně vytvořením vhodných symbolických odkazů bude zajištěno správné fungování aplikace i po tomto zásahu. V přímé souvislosti s vedením účetních agend se budou tvořit celkem tři typy záloh. Jsou to automatické denní zálohy dat, automatické měsíční zálohy dat a manuální zálohy tvořené v rámci téhož dne. Dalším krokem je naprogramování několika jednoduchých dávkových souborů (skriptů) v PowerShellu, který je standardní součástí Windows 7. Skripty zajistí operace odpovídající navrženým typům záloh: Denní záloha účetních dat na centrální datové úložiště. Obnova nejnovější zálohy dat z datových úložišť. Obnova požadované denní zálohy dat z datových úložišť. Měsíční záloha účetních dat na centrální datové úložiště. Obnova požadované měsíční zálohy dat z datových úložišť. Manuální záloha účetních na centrální datové úložiště. Obnova požadované manuální zálohy z datových úložišť. 7 Technika známá pod anglickým termínem rooting, cílem je získat nejvyšší stupeň oprávnění. 5

55 Skripty provádějící automatickou zálohu pak budou spouštěny jednou denně či jednou měsíčně prostřednictvím plánovače úloh systému Windows. Skripty pro obnovu budou spouštěny vždy ručně, stejně tak i skript provádějící manuální zálohu. K dispozici budou na datových úložištích také jednotlivé starší použité verze samotné aplikace. V rámci údržby aktiv je nutné evidovat, jakou verzi účetní aplikace firma v tom kterém období používala a při každé aktualizaci tuto informaci doplnit. Dále je potřeba z hlediska bezpečnosti vyřešit problém s oprávněním uživatele uvnitř aplikace. Za tímto účelem bude zřízen administrátorský účet s neomezeným oprávněním, k němuž bude mít přístup pouze vedoucí pracovník. Účetní pak bude mít veškeré pravomoci kromě možnosti upravovat záznamy o provedených akcích, aby bylo možné v případě potřeby dohledat konkrétní zodpovědnost...5 Elektronická komunikace Zejména komunikace prostřednictvím u s sebou přináší řadu úskalí. Prvním z nich je velké množství spamu, od poměrně neškodných reklam, až po zákeřně konstruované pasti na nepoučené uživatele. Zpravidla je potřeba dát si pozor na otevírání nevyžádaných příloh a to i od kontaktů, které uživatel považuje za důvěryhodné (hrozí falšování identity). Dále je u přílohy nutné posoudit, zda-li se pouze netváří jako něco, co ve skutečnosti není. Může se například jednat o soubor roztomile_kotatko.jpg.exe, u kterého nepozorný uživatel místo zobrazení zábavné fotografie odsouhlasí spuštění škodlivého kódu. Zejména v systému Windows je tedy potřeba přílohu nejprve stáhnout na disk, zkontrolovat antivirovým programem a ověřit právě příponu souboru. Dále je potřeba si v tomto směru dát velký pozor na phishingové útoky 8 zaštiťující se jménem a logem známých českých bank. 9 Takové útoky přitom mohou zaskočit i zkušenější uživatele. Obecně lze říci, že žádná instituce, soukromá ani státní, by neměla sama od sebe náhodně kontaktovat uživatele s tím, že by měl někomu sdělit přístupové údaje nebo nainstalovat jakoukoli aplikaci. Co se softwarového vybavení a jiných důležitých informací týče, jsou uživatelé zpravidla upozorňováni přímo v rámci informačních systémů daných institucí. V případě, že je zaměstnanci vytvořen nový účet, je k němu zároveň vygenerováno dočasné heslo, které mu může být předáno firemní poštou, ale zároveň platí povinnost toto heslo nejpozději tentýž den změnit. Platí zákaz sdílení citlivých dat jinými kanály, než pomocí 8 Podvodná technika používaná k získávání citlivých údajů v elektronické komunikaci. 9 ČESKÁ SPOŘITELNA. Aktuality: Phishing [online]. 0. [cit. 5..0]. 55

56 nosičů k tomu určených (flash paměti, optická média, externí pevný disk). Dalším schváleným kanálem pro výměnu dokladů je bezplatná cloudová služba idoklad, kterou provozuje známá česká firma Cígler Software. Zásady elektronické komunikace lze shrnout do následujících bodů: Zákaz sdílení citlivých dat jinými kanály, než pomocí nosičů k tomu vyhrazených. Dočasně vytvořené heslo smí být cílovému uživateli předáno po firemním u. Dočasně vytvořené heslo musí být ještě v daný den změněno. Zákaz využívání soukromých ových schránek pro pracovní účely. Zákaz stahování příloh a spouštění odkazů z ů v soukromých schránkách. Zákaz instalace softwaru na základě instrukcí v předem nevyžádané poště. V případě pochybností o legitimitě elektronické komunikace kontaktovat správce...6 Systém souhrnných hlášení Server bude sloužit jako centrální sběrné místo pro informace zaznamenávané napříč systémy společnosti a to prostřednictvím Syslogu0. Nástrojem pro agregaci a periodické zasílání souhrnných hlášení je Logwatch. Hlášení se bude sestavovat a zasílat každý den po půlnoci, kdy dojde k vyhodnocení událostí za předešlý den. Hlášení bude dostávat vedoucí a správce. Systém bude nastaven tak, aby zachytával zejména nestandardní události, které by mohly indikovat bezpečnostní incident. Na obrázku 8 je tento systém zachycen. 0 Standard pro záznam programových zpráv a zároveň i stejnojmenná aplikace, která tyto zprávy zpracovává. KIRK BAUER. Logwatch 7..0 [software]. [přístup 7..0]. 56

57 Ilustrace 8: Systém souhrnných hlášení Zdroj: Vlastní zpracování..7 Bezpečnost datových nosičů Klíčovým opatřením je zajistit vhodný postup týkající se nakládání s nosiči citlivých dat. Nosičem citlivých dat se rozumí nosič pro výměnu účetních dat s klienty nebo jiných citlivých aktiv, například databázový soubor správce účtů (bude zaveden). Pro ukládání těchto nosičů je vyhrazeno bezpečné úložiště. V případě účetního jsou to uzamykatelné zásuvky v jeho stole, v případě vedoucího je to trezor instalovaný v prostorách společnosti. U nosičů citlivých dat v prostorách společnosti jsou přípustné pouze dva stavy: S nosičem se aktivně pracuje, je pod kontrolou vlastníka. S nosičem se nepracuje, je uložen v bezpečném úložišti. Pravidla vynášení citlivých dat mimo firmu se budou řídit definicemi rolí bezpečnostní politiky v rámci řízení lidských zdrojů. Jakékoli jiné nakládání s nosiči citlivých dat bude považováno za porušení bezpečnostní politiky a pracovních povinností. Každý nosič musí být pro účely evidence a likvidace označen. 57

58 ..8 Bezpečnostní kalendář V rámci nově pořízeného centrálního datového úložiště (NAS) bude zavedena a nastavena služba WebDAV s rozšířením CalDAV, jejímž prostřednictvím lze přes protokol HTTPS bezpečně sdílet kalendář mezi všemi uživateli v aplikacích Thunderbird a Sunbird, případně i dalších, které podporují komunikaci přes zmíněné protokoly. V kalendáři budou zaneseny všechny důležité termíny týkající se řízení bezpečnosti ve firmě. Odpovědnost za správu bezpečnostního kalendáře bude mít vedoucí...9 Schvalování aplikací Žádné aplikace, protokoly ani webové stránky prozatím nejsou zakázány. Před každou nově instalovanou aplikací je nutno provést konzultaci se správcem systému kvůli jejímu schválení. Schvalovací proces slouží k tomu, aby správce mohl jednak posoudit potřebnost a vhodnost požadované aplikace a dále zanést informace o aplikaci do seznamu sledovaného softwaru za účelem podchycení potenciálních zranitelností, zajištění aktualizací a dokumentaci nastavení...0 Tvorba silného hesla Všichni pracovníci musí být poučeni o tom, že mají používat bezpečná hesla, ale zároveň je povinností organizace zajistit, aby věděli, jakým způsobem to správně dělat. V rámci pravidelných bezpečnostních školení by pak tyto vědomosti měly být pravidelně osvěžovány. Vhodný postup pro vytvoření silného hesla spočívá ve využití jednoduché, snadno zapamatovatelné věty jako mnemotechnické pomůcky, z níž heslo tvoří počáteční písmeno každého slova. Z věty Moje dcera Růžena sní čtyři velké tvarohové koláče tak podle zvoleného klíče vznikne MdRsvtk. To je vynikající příklad opravdu silného hesla odolného jak proti uhodnutí, tak i vůči kombinovaným slovníkovým útokům, protože se nejedná o smysluplné slovo v žádném rozumném jazyce této planety. Důležitým pravidlem je také nepoužívat stejné heslo pro přihlašování do více různých systémů... Identifikace a autentizace uživatelů Pro každou konkrétní osobu bude zaveden jedinečný identifikátor, který bude použit pro jednoznačnou autentizaci do všech jí příslušejících systémů společnosti. Identifikátor bude mít tvar jmeno.prijmeni<cislo> (kde <cislo> je náhodně vybrané dvouciferné číslo) a pro autentizaci se bude používat v kombinaci se silným heslem. MOZILLA FOUNDATION. Mozilla Thunderbird..0 [software] [přístup 5. prosince 0]. MOZILLA FOUNDATION. Mozilla Sunbird.0 beta [software] [přístup 5. prosince 0]. STEWART, J. et al.: CISSP Study Guide. 5th edition. Wiley & Sons, 0, s

59 .. Správa uživatelských účtů a hesel Bude zavedena centralizovaná evidence uživatelských účtů prostřednictvím open source aplikace KeePass5, jež bude nadále označována pouze jako správce účtů. Ve správci účtů budou evidovány jednotlivé kategorie aktiv vyžadující autentizaci a k nim se vázající uživatelské účty. U každého účtu lze využít generátor hesel o síle dle nastavených parametrů, nastavit expiraci hesla a přidat vlastní poznámky, ve kterých bude specifikováno s jakými prostředky je daný účet autorizován nakládat. Na obrázku 9 je k nahlédnutí praktický příklad. Správce účtů bude sdílen mezi vedoucím a správcem, přičemž samotný databázový soubor bude bezpečně uložen na datovém úložišti. Aplikace má přímo zabudovanou podporu pro synchronizaci databáze6, čímž se předejde problémům s inkonzistencí záznamů. Zdroj: Vlastní zpracování.. Segregace sítě Bezpečnost pracovní stanice bude zvýšena oddělením provozu od rizikovějších mobilních zařízení v místní síti. Za tímto účelem bude instalován přepínač s podporou protokolu IEEE 80.Q (VLAN), který zajistí rozdělení místní sítě na dva logické okruhy VLAN- a VLAN-, jak je zachyceno v tabulce 6. Základní myšlenkou tohoto opatření je zařídit, aby na sebe zmíněná zařízení neviděla a to i přes to, že jsou de facto připojená prostřednictvím jediného sdíleného média, tedy kabeláže. Mobilním zařízením však bude umožněn přístup k 5 DOMINIK REICHL. KeePass. [software] [přístup. prosince 0]. 6 DOMINIK REICHL. Synchronization. In: Keepass.info [online] [cit...0]. 59