Kybernetická bezpečnost

Transkript

1 UNIVERZITA OBRANY Fakulta ekonomiky a managementu Kybernetická bezpečnost Ing. Petr HRŮZA, Ph.D. Brno, 2012

2 Kybernetická bezpečnost Ing. Petr HRŮZA, Ph.D. Recenzenti: doc. Ing. Vladimír VRÁB, CSc. doc. Ing. Luděk LUKÁŠ, CSc. Tato odborná kniha byla vytvořena a financována z projektu Vzdělávání pro bezpečnostní systém státu CZ.1.07/2.2.00/ Projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. Tato odborná kniha byla doporučena k publikaci vědeckou redakcí vydavatelství DUKASE s.r.o. Obsah Úvod Kybernetická bezpečnost Základní terminologie kybernetické bezpečnosti Normy kybernetické bezpečnosti Kybernetická bezpečnost v České republice Co je kybernetický útok Příklady kybernetických útoků Předpokládané cíle kybernetických útoků Scénář kybernetického útoku Kdo jsou kybernetičtí útočníci Základní dělení kybernetických útočníků Jaká je realita mladých hackerů v dnešní době? Kybernetická bezpečnost a kritická infrastruktura Úkoly při ochraně kybernetického prostoru Řízení kybernetické bezpečnosti Jak uchránit svůj počítač Závěr Literatura Seznam zkratek Rejstřík Vydavatel: Univerzita obrany Vytiskl: DUKASE s.r.o., E. Beneše 1530, Hradec Králové Vydání první. Brno 2012 Petr HRŮZA 2012 ISBN

3 S nárůstem používání informačních technologií stoupá riziko jejich zneužití. Cílené útoky proti informačním technologiím jsou celosvětovým fenoménem a jejich dopad způsobuje rozsáhlé ekonomické škody ve veřejném i v soukromém sektoru. Co je to kybernetický útok a jaké jsou předpokládané cíle těchto útoků? Jak může vypadat scénář kybernetického útoku? Jak chránit kybernetický prostor? V knize najdete odpovědi na tyto otázky. Klíčová slova: Kybernetická bezpečnost, kybernetický útok, scénáře a cíle kybernetických útoků. Together with the increase of using the IT we can mark an increased risk of misusing these technologies. Attacks aimed against the IT assets and networks are becoming a worldwide phenomenon and their impact result to extensive economic damage throughout both public as well we private sectors. What is the cyber-attack and what are anticipated targets of such attacks? How we can protect the cyber-space? Answers to all these questions are subject elaborated in book. Key words: Cyber Security, Cyber Attack, Scenario and Target of Cyber Attack Úvod V dnešní době platí, že klíčové informace mohou mít cenu zlata. Neexistuje organizace (komerční subjekt nebo orgán veřejné správy), která by nějakými důležitými informacemi nedisponovala. Výrazný nárůst zavádění a používání informačních technologií vede k vytvoření informační společnosti, urychlení komunikace a velkému rozvoji služeb. Tím ale narůstá závislost společnosti na těchto technologiích. Se vzrůstající závislostí společnosti na informačních technologiích stoupá riziko jejich zneužívání, které může vést ke značným škodám. Obecným trendem na celém světě je kvalitní ochrana informačních technologií před útoky, které by mohly ohrozit jejich fungování. Cílené útoky proti informačním technologiím jsou celosvětovým fenoménem a jejich dopad způsobuje rozsáhlé ekonomické škody ve veřejném i v soukromém sektoru, a to jak v národním tak v globálním měřítku. V případech, kdy je útok veden proti prvkům kritické infrastruktury, může být v konečném důsledku ohrožena bezpečnost nebo samotná existence státu. S obrovským rozvojem technologií dnes lidstvo přechází do pátého rozměru, do virtuálního světa. Všechno, co se dnes děje v naší realitě, doprovázejí také aktivity ve virtuálním kyberprostoru. Proto se celosvětovým problémem stávají i rostoucí kybernetické útoky. Útoky proti informačním technologiím jsou stále sofistikovanější a komplexnější. Zajištění kybernetické bezpečnosti jednotlivých států je jednou z klíčových výzev současné doby. Bezhraničnost a všudypřítomnost kybernetických hrozeb vyžaduje intenzivní mezinárodní spolupráci a také intenzivní úsilí při zajišťování kybernetické bezpečnosti jednotlivých států. Oblast kybernetické bezpečnosti je a bude jedním z určujících aspektů bezpečnostního prostředí vyspělých zemí. Stále větší část ekonomických aktivit se přesouvá do prostředí internetu - do kyberprostoru. Vznikem sociálních sítí se z nejznámější části kyberprostoru (internetu) stává významný celospolečenský jev, jehož 4 5

4 prostřednictvím lze společnost výrazně pozitivně nebo i negativně ovlivňovat. Náležitě celou situaci vystihl ve svém vystoupení ředitel FBI Robert Swan Mueller na konferenci o bezpečnosti v San Francisku na jaře roku 2012, když řekl, že ztrácíme data, peníze, nápady a inovace. Společně prý musíme rychleji najít způsob, jak to zastavit. Existují pouze dva druhy společností. Takové, do kterých se již hackeři nabourali a takové, do nichž se teprve nabourají. Tyto dvě skupiny se velmi rychle spojují. Ve svém vystoupení dále uvedl, že v blízké době budou existovat pouze společnosti, do jejichž systémů hackeři pronikli a společnosti, do nichž proniknou znovu. V dnešní době již nemusí řešení bezpečnosti informací představovat pro firmu nebo společnost tak velký problém. K dispozici je řada standardů či doporučení pro řešení bezpečnosti informací. Existují kritéria, podle kterých lze úspěšnost navrženého řešení hodnotit. Na trhu jsou konzultantské společnosti, které jsou schopny se zajištěním ochrany informací pomoci. Přesto je však dobré vědět, co v dané oblasti existuje a s čím je možné se setkat a na co si dát pozor. Cílem této odborné publikace je poskytnout základní přehled o problematice kybernetické bezpečnosti. Publikace je především určena pro širokou odbornou veřejnost, která se chce o kybernetické bezpečnosti dozvědět základní a obecné informace. Může posloužit jako výchozí studijní materiál pro studenty na všech typech středních a vysokých škol v předmětech se zaměřením na informační a komunikační systémy a jejich bezpečnost. Kniha reaguje na fenomén dnešní doby, kterým kybernetická bezpečnost bezesporu je, a odráží aktuální aspekty této oblasti. Proto i platnost a aktuálnost informací v této publikaci je závislá na dalším vývoji popisované problematiky. Publikace je rozdělena do deseti kapitol, které na sebe bezprostředně navazují. První kapitola je věnována základní terminologii kybernetické bezpečnosti. Terminologie v oblasti kybernetické bezpečnosti je roztříštěná, nejednotná a na některých pojmech se nedokáže shodnout ani odborná veřejnost. V posledních letech se proto vytvořilo několik skupin odborníků, kteří se otázkou terminologie velice úzce zabývají. Na ter- minologii navazuje výčet základních a nejdůležitějších norem z oblasti bezpečnostních a informačních technologií. Normy v oblasti bezpečnosti informací se zabývají nastavením, řízením a posuzováním bezpečnosti informací. Normy kybernetické bezpečnosti byly vytvořeny relativně nedávno, neboť teprve v posledních letech přibývá citlivých dat uložených v počítačích, které jsou připojeny k Internetu. Závěr kapitoly se věnuje situaci kybernetické bezpečnosti v České republice od roku 2007 do současnosti. Druhá kapitola charakterizuje prostředí, ve kterém se odehrávají kybernetické útoky. Objasňuje pojmy, jako jsou kybernetický prostor, kybernetický terorismus, kybernetický zločin, kybernetický útok a kybernetická hrozba. Třetí kapitola popisuje případy kybernetických útoků, které se staly za několik posledních let. Ať už se jednalo o kybernetický útok na Estonsko, Gruzii či na samotné SCADA (Supervisory Control and Data Acquisition) systémy. Čtvrté kapitola nabízí zamyšlení nad předpokládanými cíly kybernetických útoků a pátá kapitola provádí deskripci scénářů těchto kybernetických útoků. Uvádí také nejtypičtější možný scénář kybernetického útoku. Aby mohly být státy na případný kybernetický útok připraveny, probíhají různá cvičení. Jedná o cvičení armád NATO a zemí Evropské unie. V šesté kapitole se čtenář dozví více informací o kybernetických útočnících, základním dělení kybernetických útočníků. Závěr kapitoly tvoří zamyšlení nad realitou mladých hackerů v dnešní době. Sedmá kapitola se zabývá pochopením nutnosti řešit ochranu kritické infrastruktury také před kybernetickými útoky. Poškození, narušení nebo zničení prvků kritické informační a komunikační infrastruktury může mít pro stát katastrofální následky. Zajištění kybernetické bezpečnosti státu je jednou z klíčivých aktivit každého vyspělého státu. A právě v osmé kapitole je možné se dozvědět, jaké jsou úkoly státu při ochraně kybernetického prostoru. Devátá kapitola zdůrazňuje, že jsou informace v jakékoli instituci velmi důležitým majetkem a správa citlivých informací svěřených organizaci jejími zákazníky přináší zvláštní povinnosti. Tyto informace je potřeba 6 7

5 bezpečně chránit a k tomu jim napomáhá systém řízení bezpečnosti informací. Desátá kapitola nabízí návod, jak je možné ochránit svůj počítač od jakékoli infiltrace přicházející z Internetu. Důležitým aspektem ochrany svých informací je správná volba přístupových hesel. A právě na závěr této publikace je možné se o vhodné tvorbě hesel více dozvědět. 1. Kybernetická bezpečnost S rozvojem informačních technologií se situace dramaticky změnila, neboť vzhledem ke své povaze mohou být elektronická data lehce kopírována, měněna či mazána a není ani nutné být přímo na místě jejich uložení. S nástupem moderních informačních technologií umožňujících uchovávání velkého množství informací o různé hodnotě se proto z ochrany informací stala disciplína. Dnes již bezpečnost informací představuje poměrně rozsáhlý obor, který se stal nedílnou součástí studia v oblasti informačních systémů a s rostoucím objemem zpracovávaných dat stále více roste i jeho důležitost. Bezpečnost informací si klade za cíl chránit informace v jakékoliv podobě. Není podstatné, jakou mají formu (zda listinnou či elektronickou), kde se uchovávají (jsou-li v trezoru nebo ve vzdáleném informačním systému). Podstatná je hodnota chráněných informací či případně velikost škody, která by vznikla v souvislosti s únikem či zneužitím těchto odcizených informací. Terminologie v oblasti kybernetické bezpečnosti je roztříštěná, nejednotná a na některých pojmech se nedokáže shodnout ani odborná veřejnost. V posledních letech se proto vytvořilo několik skupin odborníků, kteří se otázkou terminologie velice úzce zabývají. V následující kapitole uvádím nejpoužívanější základní pojmy. Vycházel jsem z běžně dostupných norem, slovníků, odborných článků a publikací. Každý termín jsem se snažil vysvětlit co nejsrozumitelněji. Existuje například velice dobře zpracovaný Výkladový slovník kybernetické bezpečnosti [47]. Ten vysvětluje velké množství pojmů z oblasti kybernetické bezpečnosti. Některá vysvětlení jsou odborná a nejsou počítačovým laikům na první pohled srozumitelná. Proto jsem vybral nejpoužívanější základní pojmy obsažené v této publikaci a pokusil jsem se je s přispěním dostupných zdrojů přiblížit široké veřejnosti. Seznam základních pojmů je uveden v abecedním pořadí Základní terminologie kybernetické bezpečnosti Adware (Advertising Supported Software) jedná se o softwarový produkt znepříjemňující práci s počítačem vnucenou nevyžádanou reklamou. Cílem je předání reklamního sdělení většinou proti vůli 8 9

6 uživatele systému. Typickým příznakem jsou vyskakující reklamní okna během surfování na Internetu. Většinou není přímo pro uživatele nebezpečný. Aktivní hrozba (Active Threat) - jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti dat. Následkem toho může dojít k modifikaci zpráv, vložení falešných zpráv, odmítnutí služby nebo vydávání se za někoho jiného. Analýza hrozeb (Threat Analysis) - zkoumá činnosti a události, které by mohly negativně ovlivnit kvalitu služby informačních technologií nebo samotná data [47]. Analýza zranitelnosti (Vulnerability Analysis) - systematické analyzování systému a provozovaných služeb vzhledem k bezpečnostním slabinám systému. Analyzují se také bezpečnostní opatření [47]. Analýza počítačového viru (Virus Analysis) jedná se o soubor činností zahrnující ucelený rozbor chování počítačového viru (šíření, skrývání, způsobené škody), zkoumání kódu viru a jeho následné odstranění [26]. Antivirový program (Antivirus Program) - program pro vyhledávání počítačových virů, léčení napadených souborů, zálohování a obnovu systémových oblastí na disku, ukládání kontrolních informací o souborech na disku [26]. Bezpečnost informací (Information Security) - zachování důvěrnosti, integrity a dostupnosti informací a dalších vlastností informací (např. autentičnosti, odpovědnosti, nepopíratelnosti a spolehlivosti). Uplatnění obecných bezpečnostních opatření a postupů k ochraně informací před jejich ztrátou nebo kompromitací [47, 26]. Bezpečnostní manažer (Security Manager) zaměstnanec organizace nebo firmy odpovědný za bezpečnost systému. Má jasně definované odpovědnosti a pravomoce [47, 26]. Bot jedná se o parazitní program, který je bez vědomí uživatele nainstalován na jeho počítači. Umožňuje neautorizovanému uživateli (hackerovi) vzdáleně tento počítač ovládat a využívat ho pro plnění různých příkazů [26]. Brána (Gateway) je název pro místo vstupu do informačního systému, které je většinou vybaveno zvláštními bezpečnostními prvky (např. firewallem, autentizací přístupu, šifrováním vstupů a výstupů). CCD COE (Cooperative Cyber Defence Centre of Excellence) NATO středisko pro spolupráci v kybernetické obraně (sídlo: Tallinn, Estonsko, [26]. CERT (Computer Emergency Response Team) představuje tým bezpečnostních specialistů pro okamžitou reakci na počítačové incidenty. Tato střediska již existují ve většině vyspělých států světa [26]. Certifikace (Certification) - proces ověřování způsobilosti informačního systému k nakládání s utajovanými informacemi, schválení této způsobilosti a vydání certifikátu. Celý proces provádí třetí strana [26]. CIRC (Computer Incident Response Capability) schopnost rychlé a efektivní reakce na rizika, zranitelnosti v systémech a na počítačové incidenty [26]. CSIRT (Computer Security Incident Response Team) odborný tým osob zabývající se prevencí a řešením bezpečnostních incidentů vzniklých v informačních systémech a počítačových sítích [26]. Cyberstalking jedná se o nejrůznější druhy stopování a obtěžování s využitím elektronického média (zejména prostřednictvím elektronické pošty), jejichž cílem je například vzbudit v oběti pocit strachu. Informace o oběti pachatel nejčastěji získává z webových stránek, fór nebo chatovacích místností ( chat je způsob on-line komunikace více osob prostřednictvím Internetu). Červ (Worm) - jedná se o samostatný program schopný vytvářet své kopie, které rozesílá do dalších počítačových systémů či sítí. Zde vyvíjí další činnost, pro kterou byl naprogramován. Často slouží k vyhledávání bezpečnostních skulin v systémech nebo v poštovních programech. DDoS Distribuované odmítnutí služby (Distributed Denial of Service) jedná se o druh útoku na internetové služby nebo stránky, při němž dochází k přehlcení požadavků a pádu nebo minimálně nefunkčnosti a nedostupnosti služby pro ostatní uživatele. Útok je veden z několika počítačů najednou (v jednom časovém intervalu) [47, 26]

7 Důvěrnost (Confidentiality) jedná se o stav, kdy informace není dostupná neoprávněným uživatelům nebo není odhalena neautorizovaným přístupem. Hacking - neoprávněný průnik do informačního systému, provedený zvnějšku (zpravidla ze vzdáleného počítače). Samotný průnik je podmínkou pro další neautorizovanou činnost v rámci cílového systému. Pachatel se zpravidla nepřipojuje k objektu útoku (počítači) přímo, ale přes jeden či více internetových serverů v různých částech světa. Cílem takového postupu je podstatné snížení možnosti identifikace skutečného umístění počítače, ze kterého byl útok primárně veden. Integrita (Integrity) - zajištění správnosti, celistvosti a úplnosti informací [47]. Kybernetická bezpečnost (Cyber Security) souhrn právních, organizačních, technických a fyzických opatření, která umožňují odolávat úmyslně i neúmyslně vyvolaným kybernetickým útokům a zmírňovat či napravovat jejich následky. Nejčastěji se dává do souvislosti s finančně, politicky či vojensky motivovanými útoky. Důležitým aspektem kybernetické bezpečnosti je ochrana před krádeží identity [26, 47]. Kybernetický prostor (Cyber Space) lze ho vnímat jako digitální prostředí tvořené informačními a komunikačními technologiemi, ve kterých informace vznikají, jsou zpracovávány a dochází k jejich výměně. Kybernetický prostor lze také chápat jako metaforu vyjádření virtuálního (nefyzického) prostředí vytvořeného propojením počítačových systémů v síti. V kybernetickém prostoru probíhá vzájemné působení mezi subjekty stejně jako v reálném světě, ovšem bez nutnosti fyzické aktivity [26, 47]. Kybernetický terorismus (Cyber Terrorist) nezákonný útok proti počítačům, počítačovým sítím a v nich uloženým informacím, při kterém je záměrem útočníka získat informace, negativně je ovlivnit nebo převzít kontrolu nad prvky infrastruktury systému [26, 47]. Management rizik (Risk Management) chápeme jako činnost sloužící k řízení a kontrole organizace s ohledem na rizika. Je nedílnou součástí systematického řízení organizace. Jeho cílem je analyzovat současná i budoucí rizika a vhodnými opatřeními zmenšovat pravděpodobnost výskytu a závažnost jejich možných nežádoucích následků [26, 47]. Malware (Škodlivý software) tímto pojmem se označuje jakýkoli software, který při svém spuštění zahájí činnost ke škodě systému, ve kterém se nachází. Jeho vnější projevy mohou být časovány nebo mohou reagovat na konkrétní naprogramovanou spouštěcí událost (např. na okamžik, kdy oprávněný uživatel otevře zprávu v rámci elektronické pošty). Narušení (Breach) situace, kdy došlo k narušení nebo spíše k prolomení důvěrnosti, integrity nebo dostupnosti informačního systému v důsledku překonání bezpečnostních opatření. Nevyžádaná pošta (Spam) - masové šíření nevyžádaného sdělení. V nejčastějším případě se jedná o reklamu nejrůznějšího charakteru. Není-li systém dostatečně zabezpečen, může nevyžádaná pošta tvořit značnou část elektronické korespondence. Ohrožení (Exposure) dá se vysvětlit jako skutečnost existence zranitelnosti, která může být zneužita hrozbou [26]. Opatření / Protiopatření (Countermeasure) činnost na úrovni fyzické, logické nebo administrativní bezpečnosti, která snižuje zranitelnost a chrání systém před danou hrozbou [26]. Phishing - metoda usilující o zcizení digitální identity uživatele (například jeho přihlašovacích jmen, hesel, čísel bankovních karet a účtů) za účelem jejího následného zneužití. Jedná se většinou o vytvoření podvodné zprávy, šířené elektronickou poštou. V této zprávě se snaží zmíněné údaje z uživatele vylákat. Zprávy mohou být maskovány tak, aby co nejvíce imitovaly důvěryhodného odesílatele (například banku). Riziko (Risk) jedná se o pravděpodobnost, že hrozba zneužije zranitelnost systému a způsobí narušení jeho důvěrnosti, integrity nebo dostupnosti [26]. Spyware - je program, který využívá Internetu k odesílání dat z počítače bez vědomí jeho uživatele. Skrytě monitoruje chování oprávněného uživatele počítače nebo systému. Zjištěné informace průběžně zasílá určenému uživateli, který tyto informace dále zpracovává. Spyware představuje z hlediska bezpečnosti dat velkou hrozbu, protože odesílá různé informace z počítače bez vědomí uživatele [26, 47]

8 Trojský kůň (Trojan Horse) - jedná se o program implantovaný do informačního systému bez vědomí oprávněného uživatele, který monitoruje specifické činnosti, o které projevuje útočník zájem. Jedná se například o znaky, které oprávněný uživatel stiskl na klávesnici (zejména hesla) nebo stránky, které navštívil. Tyto údaje předává útočníkovi k dalšímu zpracování. Ten tak může získat přístupové informace k navštíveným webovým stránkám, bankovním účtům nebo kontům elektronické pošty. Útok (Attack) - je pokus o zničení, vystavení hrozbě, změně, vyřazení z činnosti, zcizení nebo získání neautorizovaného přístupu do počítače nebo počítačových sítí. Vir (Virus) - parazitující škodlivý kód, který se připojí k určitým programům nebo systémovým oblastem a pozmění je. Může se nekontrolovatelně rozšiřovat nebo po svém spuštění zahájit destrukční procesy (poškození, změnu či zničení dat, degradaci funkce operačního systému, stahování dalšího malware atd.) [26]. Warez výroba a rozšiřování pirátského software. Zadní vrátka (Backdoors) jsou to skryté kódy, které po instalaci na cílový počítač umožňují jeho vzdálené řízení. Zranitelnost (Vulnerability) - vlastnost nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou [26, 47] Normy kybernetické bezpečnosti V kterékoliv době byly, jsou a budou primárním předmětem ochrany informace. Čím větší hodnotu informace mají, tím by se měla věnovat větší pozornost jejich zabezpečení. Důležitým aspektem kybernetické bezpečnosti je ochrana před krádeží identity. Pro vhodné nastavení bezpečnosti informací byly vytvořeny normy. Norma (standard) je definován jako směrnice nebo pravidlo, jehož zachování je obvykle závazné, např. mravní, právní, technické. Technická norma přesně stanovuje požadované vlastnosti, provedení, tvar nebo uspořádání opakujících se předmětů nebo způsobů a postupů práce, popř. vymezuje všeobecně užívané technické pojmy. Normy v oblasti bezpečnosti informací se zabývají nastavením, řízením a posuzováním bezpečnosti informací. Normy kybernetické bezpečnosti byly vytvořeny relativně nedávno, neboť teprve v posledních letech přibývá citlivých informací uložených v počítačích, které jsou připojeny k Internetu. Instituce a firmy mají zvýšenou potřebu k zajištění informační (počítačové) bezpečnosti, neboť potřebují chránit své obchodní tajemství, důvěrné informace a osobní údaje (například o jejich partnerech, zákaznících anebo zaměstnancích). Normy v oblasti kybernetické bezpečnosti lze rozdělit do několika skupin podle jejich zaměření (i když hranice tohoto rozdělení nejsou vždy jednoznačné). První skupinou jsou normy pro oblast řízení bezpečnosti informací (ISO/IEC 27001, ISO/IEC TR 13335). Druhou skupinu tvoří osvědčené bezpečnostní praktiky (ISO/IEC 27002) a třetí skupinou to jsou normy pro posuzování bezpečnostních vlastností jednotlivých komponent informačních systémů (například ISO/IEC ). V zásadě lze říci, že manažery by měly více zajímat první dvě skupiny. Třetí skupina norem je především určena pro organizace vyvíjející komponenty pro informační a komunikační technologie nebo pro architekty speciálně zaměřených informačních systémů (například vojenských). Pro řešení bezpečnosti informací v organizaci, kde se kromě elektronických nosičů informací vyskytují i neelektronické (například v listinné podobě), je tedy nezbytné zabezpečit všechny formy informací, je nejvhodnějším normou pro oblast řízení bezpečnosti norma ČSN ISO/IEC a pro praktické zavedení pak ČSN ISO/IEC Pokud je potřeba řešit pouze bezpečnost konkrétního informačního systému, lze opět použít normy výše uvedené, nebo použít normu ČSN ISO/IEC TR 13335, případně (ale to již s pomocí znalých odborníků) se obrátit například k normě ITSEC nebo ČSN ISO/IEC (známé také pod názvem Common Criteria). Nyní k jednotlivým normám v oblasti kybernetické bezpečnosti podrobněji. V poslední době nejvíce diskutovanou skupinou norem jsou ISO normy rodiny 27k (27000, 27001, ). Rodina norem 27k má pomoci organizacím zavést a provozovat systém ISMS (Information Security Management System - systém managementu bezpečnosti informací). Organizace mohou použitím rodiny norem 27k vyvinout 14 15

9 a implementovat rámce pro řízení bezpečnosti svých bezpečnostních aktiv a připravit nezávislé ohodnocení svého systému managementu bezpečnosti informací. ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Přehled a slovník. Norma ČSN ISO/IEC poskytuje přehled systémů řízení bezpečnosti informací, které tvoří předmět rodiny norem 27k a definuje souvisící termíny. Termíny a definice uvedené v této normě se týkají termínů a definic obecně použitých v rodině norem 27k, nikoliv všech termínů a definic [8]. ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky. Norma ČSN ISO/IEC řeší posuzování bezpečnosti informací a specifikuje požadavky na ISMS (systém managementu bezpečnosti informací) tak, aby byla dosažena požadovaná úroveň bezpečnosti informací a informačních systémů a účinného a efektivního řízení informací v organizaci. Cílem je poskytnout doporučení, jak správně aplikovat ČSN ISO/IEC (dříve ISO/EIC 17999). Interpretace a implementace se může lišit v návaznosti na rozsahu systému, druhu a způsobu zpracování dat, jejich hodnotě, atd. Norma ČSN ISO/IEC je určena všem organizacím, které chtějí chránit svá informační aktiva s vysokou hodnotou a tím minimalizovat ztráty způsobené jejich únikem. Ti, kdo nakládají s citlivými informacemi nebo osobními údaji mohou touto cestou předejít finančním postihům a trestům, vyplývajících ze zákona, při úniku informací nebo neoprávněným nakládáním s osobními údaji [9]. ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky. Norma ČSN ISO/IEC poskytuje doporučení a obecné principy pro vymezení, zavedení, udržování a zlepšování systému managementu bezpečnosti informací v organizaci (ISMS). Norma prosazuje přijetí procesního přístupu k řešení ISMS, zavádí model známý jako Plánuj-Dělej- Kontroluj-Jednej (Plan-Do-Check-Act nebo PDCA), který může být aplikován na všechny procesy ISMS definovanými touto normou (o modelu PDCA je možné se podrobněji dočíst v některý z následujících kapitol). V hlavní části normy jsou specifikovány požadavky na vybudování, zavedení, provoz, monitorování, přezkoumání, udržování, zlepšování a případnou certifikaci zdokumentovaného systému managementu bezpečnosti informací. Jsou zde specifikovány požadavky na výběr a zavedení bezpečnostních opatření chránících informační aktiva. Norma obsahuje celkem 11 základních oddílů bezpečnosti, které jsou dále rozděleny do 39 kategorií bezpečnosti (počet je uvedený v závorce za názvem oddílu) [10]: Bezpečnostní politika (1). Organizace bezpečnosti (2). Klasifikace a řízení aktiv (2). Bezpečnost lidských zdrojů (3). Fyzická bezpečnost a bezpečnost prostředí (2). Řízení komunikací a řízení provozu (10). Řízení přístupu (7). Vývoj, údržba a rozšíření informačního systému (6). Zvládání bezpečnostních incidentů (2). Řízení kontinuity činností organizace (1). Soulad s požadavky (3). Každá z 39 kategorií bezpečnosti obsahuje cíl (kontrolního) opatření, který určuje, čeho má být dosaženo a jedno nebo více opatření použitelných k dosažení stanoveného cíle opatření. Norma obsahuje celkem 133 základních opatření, která se ve skutečnosti dále rozpadají na stovky specifických bezpečnostních opatření. Cíle opatření poskytují kvalitní základ pro definici bezpečnostní politiky organizace. Norma nepřikazuje, která opatření musí být bezpodmínečně aplikována, ale ponechává rozhodnutí na organizaci. Vhodná opatření jsou vybírána na základě hodnocení rizik a jejich implementace je závislá na konkrétní situaci. Cílem není implementovat vše, co norma popisuje, ale spíše naplnit všechny aplikovatelné cíle opatření. Tento přístup zajišťuje, že norma je široce aplikovatelná a dává uživatelům velkou flexibilitu při implementaci [10]

10 ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Směrnice pro implementaci systému řízení bezpečnosti informací. Norma ČSN ISO/IEC obsahuje doporučení pro ustanovení a implementaci systému řízení bezpečnosti informací (ISMS) v souladu s požadavky normy ČSN ISO/IEC Norma je použitelná pro všechny typy organizací, které zavádějí ISMS. Norma vysvětluje proces návrhu a implementace ISMS pomocí popisu zahájení, definování a plánování projektu implementace ISMS. Výsledkem tohoto procesu je finální plán implementace projektu ISMS. Na základě tohoto plánu lze v organizaci realizovat projekt implementace ISMS. Norma popisuje proces plánování implementace ISMS v pěti etapách: 1. získání souhlasu vedení organizace se zahájením projektu ISMS, 2. definování rozsahu, hranic a politiky ISMS, 3. provedení analýzy požadavků bezpečnosti informací, 4. provedení hodnocení rizik a plánování zvládání rizik, 5. návrh ISMS. Konkrétní finální plán implementace projektu ISMS organizace je hlavním výstupem 5. etapy. Zahrnuje návrh organizace bezpečnosti informací, bezpečnosti informačních a komunikačních technologií, fyzické bezpečnosti a návrh dalších opatření naplňujících specifické požadavky ISMS (jako je například plán přezkoumání ISMS vedením organizace nebo návrh programu vzdělávání, školení a zvyšování povědomí v oblasti bezpečnosti informací). V přílohách této normy jsou pak uvedeny kontrolní seznam činností potřebných k ustanovení a implementaci ISMS, popis rolí a odpovědností bezpečnosti informací, informace o interním auditování, struktury politik a informace o monitorování a měření bezpečnosti informací [11]. ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Řízení bezpečnosti informací - Měření. Norma ČSN ISO/IEC obsahuje doporučení pro vývoj a používání metrik a pro měření účinnosti zavedeného systému řízení bezpečnosti informací (ISMS) a účinnosti opatření nebo skupin opatření, jak je uvedeno v ČSN ISO/IEC Implementace těchto doporučení je předmětem programu měření bezpečnosti informací. Program měření bezpečnosti informací zahrnuje procesy rozvoje metrik a měření, provádění měření, analýzu dat a hlášení výsledků měření a dále proces vyhodnocení a zlepšování programu měření bezpečnosti informací. V příloze normy jsou pak uvedeny příklady konceptů měření pro určitá opatření nebo procesy ISMS [12]. ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací. Norma ČSN ISO/IEC poskytuje doporučení pro řízení rizik bezpečnosti informací v rámci organizace, podporuje obecný koncept specifikovaný v ČSN ISO/IEC Je strukturována, aby dostatečně podporovala implementaci informační bezpečnosti založené na přístupu řízení rizik. Nicméně tato mezinárodní norma nenabízí konkrétní metodiku pro řízení rizik bezpečnosti informací. Záleží jen na organizaci, jaký přístup k řízení rizik zvolí (například v závislosti na rozsahu ISMS, kontextu řízení rizik, průmyslovém odvětví). Norma je určena manažerům a pracovníkům, kteří jsou v rámci organizace odpovědní za řízení rizik bezpečnosti informací a tam, kde je to relevantní, také externím subjektům. Je aplikovatelná na všechny typy organizací (např. komerční společnosti, vládní organizace, neziskové organizace), které mají v úmyslu řídit rizika, která mohou narušit bezpečnost informací organizace [13]. ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací. Norma ČSN ISO/IEC specifikuje požadavky a poskytuje doporučení pro orgány provádějící audit a certifikaci systému řízení bezpečnosti informací (ISMS) a doplňuje tak požadavky obsažené v ČSN ISO/IEC a ČSN ISO/IEC Norma je primárně určená k podpoře procesu akreditace certifikačních orgánů poskytujících certifikace systému řízení bezpečnosti informací [14]. ČSN ISO/IEC Zdravotnická informatika - Systémy řízení bezpečnosti informací ve zdravotnictví využívající ČSN ISO/IEC Norma ČSN ISO/IEC definuje obecné zásady pro podporu interpretace a implementace zdravotnické informatiky ČSN ISO/IEC 18 19

11 Tato norma specifikuje soubor podrobných kontrol pro řízení bezpečnosti zdravotnických informací a poskytuje směrnice pro prověřené postupy v oblasti bezpečnosti zdravotnických informací. Zavedením této normy budou zdravotnické organizace a ostatní správci zdravotnických informací schopni zajistit nezbytnou minimální úroveň zabezpečení, která odpovídá poměrům v organizaci a zachová důvěrnost, integritu a dostupnost osobních zdravotních informací [15]. ČSN ISO/IEC Informační technologie - Management služeb část 1: Specifikace. ČSN ISO/IEC Informační technologie - Management služeb část 2: Soubor postupů. Norma ČSN ISO/IEC řeší systém managementu služeb informačních technologií procesním přístupem. Tento přístup je základní nutností u všech organizací, které mají systém zaveden a následně certifikován. Mezi základní požadavky patří i neustálé zlepšování kvality, zvyšování efektivity a snížení nákladů u procesů informačních technologií. Pomocí této normy může organizace vhodně identifikovat a uspořádat všechny činnosti a procesy v organizaci, stanovit jasné pravomoci a odpovědnosti. ČSN ISO/IEC popisuje integrovanou sadu procesů řízení pro poskytování služeb informačních technologií a obsahově se řídí ustanoveními Information Technology Infrastructure Library (ITIL 1 ). Poslední verze normy ČSN ISO/IEC část 1 byla vydaná v dubnu 2011 [16, 17]. ČSN ISO/IEC TR Informační technologie - Management služeb (Část 1 4 v češtině, část 5 je pouze v angličtině). Norma ČSN ISO/IEC TR je rozdělena do čtyř částí. První část řeší pojetí a modely bezpečnosti informačních technologií, druhá část řízení a plánování bezpečnosti informačních technologií. Třetí část normy obsahuje techniky pro řízení bezpečnosti informačních technologií a čtvrtá část řeší výběr ochranných opatření. ČSN ISO/IEC TR Pojetí a modely bezpečnosti informačních technologií. Norma v této části poskytuje přehled základních pojetí a modelů, použitých k popisu řízení bezpečnosti informačních technologií. Tento materiál je vhodný pro manažery odpovědné za bezpečnost informačních technologií a pro ty, kdo jsou odpovědní za bezpečnost v organizaci. ČSN ISO/IEC TR Řízení a plánování bezpečnosti informačních technologií. Norma v této části popisuje řídící a plánovací aspekty. Tato část má význam pro manažery s odpovědnostmi souvisejícími se systémy informačních technologií organizace. Jedná se především o manažery informačních technologií, kteří jsou odpovědni za dohled nad návrhem, implementací, testováním, pořízením nebo provozováním systémů informačních technologií nebo manažery, kteří jsou odpovědni za činnosti, které využívají podstatným způsobem systémy informačních technologií. ČSN ISO/IEC TR Techniky pro řízení bezpečnosti informačních technologií. Norma v této části popisuje bezpečnostní techniky vhodné pro použití pracovníky, kteří jsou zapojeni do manažerských činností v průběhu životního cyklu projektu, jako je plánování, návrh, implementace, testování, získání nebo provozování. ČSN ISO/IEC TR Výběr ochranných opatření. Norma v této části poskytuje směrnice pro výběr ochranných opatření s ohledem na potřeby činnosti organizace a problémy bezpečnosti. Dále pak uvádí, jakým způsobem může být tento výběr podporován použitím základních modelů a kontrol. Popisuje proces výběru ochranných opatření podle bezpečnostních rizik, problémů a specifického prostředí organizace. Ukazuje, jak dosáhnout odpovídající ochrany a jak může být tento proces podporován aplikací základní úrovně bezpečnosti. ISO/IEC TR Information technology -- Guidelines for the management of IT Security -- Part 5: Management guidance on network security (Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 5: Ochranná opatření pro externí spojení) - jako ČSN zatím nevyšla. 1 ITIL - jedná se o soubor (knihovnu) konceptů a postupů, které umožňují lépe plánovat, využívat a zkvalitňovat využití informačních technologií a to jak ze strany dodavatelů služeb informačních technologií, tak i z pohledu zákazníků. Od roku 2007 je platná verze 3 (označovaná jako ITIL V3). ČSN ISO/IEC Informační technologie - Bezpečnostní techniky - Kritéria pro hodnocení bezpečnosti IT - Část 2: Bezpečnostní funkční komponenty

12 Norma ČSN ISO/IEC definuje požadovanou strukturu a obsah bezpečnostních funkčních komponent pro účely hodnocení bezpečnosti. Bezpečnostní funkční komponenty vyjadřují bezpečnostní požadavky, jejichž cílem je čelit hrozbám v předpokládaném provozním prostředí a pokrýt jakékoliv identifikované organizační bezpečnostní politiky a předpoklady. Bezpečnostní funkční komponenty jsou základem pro bezpečnostní funkční požadavky. Tato norma poskytuje normalizovanou metodu k pochopení a využití bezpečnostních požadavků. ISO Societal security - Business continuity management systems - Requirements. Norma ISO je první mezinárodní standard pro certifikaci systémů řízení kontinuity činnosti. Norma specifikuje požadavky pro plánování, ustavení, zavedení, provozování, monitorování, udržování a trvalé zlepšování dokumentovaného systému připravenosti na mimořádné události. Norma má pomoci organizacím chránit, připravit se a reagovat na neočekávané události. Je první normou, která byla připravena v souladu s doporučením ISO/Guide 83 (jedná se o nový obsahový formát norem). Tato norma dnem nahradila normu BS Kybernetická bezpečnost v České republice Na pražském summitu NATO konaném v roce 2002 se poprvé v Evropě oficiálně veřejně mluvilo o počítačové (kybernetické) bezpečnosti. Na základě vzrůstajícího nebezpečí (útoky na estonskou vládu v roce 2007) byl v lednu 2008 Severoatlantickou aliancí vydán dokument Cyber Defense Policy (dokument objasňuje politické a provozní mechanismy reakce NATO na kybernetické útoky). Na summitu NATO v Lisabonu členské státy přijaly Strategic Concept, který posiluje a modernizuje teritoriální obranu včetně centralizované kybernetické ochrany. V březnu 2011 byla ministry obrany členských států NATO schválena Koncepce kybernetické obrany NATO a v červnu 2011 pak Politika kybernetické obrany NATO spolu s Akčním plánem pro implementaci jednotlivých opatření. Politika kybernetické obrany NATO mimo jiné stanovuje základní principy k dosažení koordinovaného přístupu k zajištění kybernetické obrany (prevence a odolnost, zamezení duplicitám, sdílení a bezpečnost informací). Z těchto dokumentů vyplývá, že pro systémy NATO bude vytvořen centralizovaný systém jejich ochrany. Pro zabezpečení kybernetické obrany má NATO vypracované i další koncepční i provozní dokumenty (např. NATO CIRC Concept of Operations, NATO Computer Incident Response Capability, Handbook of NCIRC). V České republice (ČR) mělo (až do roku 2007) řešení problematiky kybernetické (informační) bezpečnosti ve své kompetenci Ministerstvo informatiky. To bylo v roce 2007 zrušeno a část ministerstva zabývající se kybernetickou bezpečností se sloučila s Ministerstvem vnitra. Ministerstvo vnitra svoji úlohu gestora kybernetické bezpečnosti v ČR nezvládalo podle závazků, a proto byl gestorem problematiky kybernetické bezpečnosti v ČR v roce 2011 ustanoven Národní bezpečnostní úřad (konkrétně jeho součást Národní centrum kybernetické bezpečnosti). Je potřeba ještě zmínit několik dokumentů, které vedly až ke vzniku Národního centra kybernetické bezpečnosti v ČR jako součásti Národního bezpečnostního úřadu. Vláda České republiky dne 19. října 2005 schválila usnesení č o Národní strategii informační bezpečnosti České republiky a o zřízení Výboru pro informační bezpečnost České republiky. Národní strategie informační bezpečnosti České republiky stanovila úkoly v oblasti vytváření důvěryhodných informačních a komunikačních systémů v podmínkách České republiky. Na tento dokument navazuje Akční plán realizace opatření Národní strategie informační bezpečnosti České republiky a návrh nařízení vlády k realizaci úkolů stanovených Národní strategií informační bezpečnosti České republiky ze strany orgánů a organizací veřejné správy a subjektů kritické infrastruktury. Tento dokument definoval konkrétní úkoly, které měly směřovat k zajištění informační bezpečnosti v České republice [45]. Vláda České republiky dne 15. března 2010 schválila usnesení č. 205 o řešení problematiky kybernetické bezpečnosti. V tomto usnesení schválila řešení problematiky kybernetické bezpečnosti České republiky a ustanovila Ministerstvo vnitra České republiky gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast [41]

13 Dne 24. května 2010 Vláda České republiky přijala usnesení č V tomto usnesení zřídila Meziresortní koordinační radu pro oblast kybernetické bezpečnosti. Koordinační rada je nástrojem pro zajištění gesční a koordinační role Ministerstva vnitra v oblasti zajišťování kybernetické bezpečnosti České republiky [42]. Dne 9. prosince 2010 podepsalo Ministerstvo vnitra České republiky se sdružením CZ.NIC 2 Memorandum o Computer Security Incident Response Team České republiky, kterým byl zřízen Národní CSIRT (Computer Security Incident Response Team). Národní CSIRT má plnit roli Point of Contact (PoC) pro oblast informačních technologií a má se podílet na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných na území České republiky do doby, než bude zřízen Vládní CSIRT (předpoklad vzniku v roce 2015). Náklady s provozem Národního CSIRT neslo sdružení CZ.NIC a Ministerstvo vnitra se na financování přímo nepodílelo [34]. Dne 20. července 2011 Vláda České republiky přijala usnesení č. 564, jímž schválila Strategii pro oblast kybernetické bezpečnosti České republiky na období a Akční plán opatření ke Strategii pro oblast kybernetické bezpečnosti České republiky na období Strategie navazuje na Bezpečnostní strategii České republiky a definuje záměry České republiky v oblasti kybernetické bezpečnosti. Za cíl si stanovila především ochranu před hrozbami, kterým jsou informační a komunikační systémy vystaveny, a snížení potenciálních škod způsobených v případě útoků na tyto informační a komunikační systémy. Současně se strategií byl přijat také akční plán, který je rozčleněn do jednotlivých oblastí. Každá oblast obsahuje úkoly k naplňování jednotlivých strategických cílů strategie do projektů a úkolů orgánů veřejné správy, které jsou věcně v jejich gesci. Dne 19. října 2011 Vláda České republiky přijala usnesení č. 781, jímž ustavila Národní bezpečnostní úřad gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou pro tuto oblast. Důvodem změny 2 Sdružení CZ.NIC je zájmové sdružení právnických osob sdružující významné právnické osoby působící v ČR v oblasti služeb elektronických komunikací a zabývá se počítačovou bezpečností. gestora bylo neplnění úkolů kladených na dosavadního gestora (Ministerstvo vnitra). Příčinou bylo velké finanční zatížení ministerstva a neschopnost obsadit místa vyškoleným a zkušeným personálem [40]. Na základě přijatého usnesení vzniklo Národní centrum kybernetické bezpečnosti (NCKB), jako součást Národního bezpečnostního úřadu, se sídlem v Brně. Úlohou centra je koordinovat spolupráci na národní i mezinárodní úrovni při předcházení kybernetickým útokům. Centrum má napomáhat při návrhu a přijímání opatření při řešení incidentů i proti probíhajícím útokům. Hlavní oblastí činnosti tohoto centra 3 je provozovat Vládní CERT České republiky a připravovat bezpečnostní standardy pro jednotlivé kategorie organizací v ČR. V neposlední řadě se podílet na osvětě a podpoře vzdělávání v oblasti kybernetické bezpečnosti a provádět výzkum a vývoj v oblasti kybernetické bezpečnosti [2]. Prvním úkolem NBÚ bylo připravit zákon o kybernetické bezpečnosti, který by měl být přijat na konci roku Celou akci Národní bezpečnostní úřad začal vydáním Návrhu věcného záměru zákona o kybernetické bezpečnosti, ke kterému se měla možnost vyjádřit i široká veřejnost. Návrh věcného záměru zákona o kybernetické bezpečnosti byl volně ke stažení na internetových stránkách NBÚ a byl rozeslán do meziresortního připomínkového řízení. Dne 30. května 2012 Vláda České republiky schválila návrh věcného záměru zákona o kybernetické bezpečnosti. Práce na paragrafovém znění zákona by měly probíhat do poloviny roku 2013 [45]. Ministerstvo obrany dne 20. dubna 2012 jako první ministerstvo v ČR schválilo dokument Koncepce kybernetické obrany rezortu Ministerstva obrany. Tato koncepce obsahuje návrh řešení kybernetické obrany rezortu MO (Ministerstva obrany). Koncepce například definuje kybernetickou obranu jako souhrn bezpečnostních opatření, která brání inteligentním protivníkům dosahovat pomocí kybernetických útoků cílů, které nejsou v souladu se zájmy ČR. [42, s. 10]. Pro zásadní určení priorit kybernetické obrany je potřeba podle tohoto dokumentu vydefinovat kritické komunikační a informační infrastruktury rezortu MO. Hlavním úkolem kybernetické obrany před kybernetickými hrozbami je ochrana

14 komunikační a informační infrastruktury rezortu MO a provozovaných systémů před kybernetickými útoky. K plnění tohoto úkolu kybernetické obrany je využíváno procesů v souladu s cyklem plánuj dělej kontrolujjednej (Plan Do Check Act PDCA) dle standardů ISO. Pro řešení kybernetické obrany rezortu MO má Ministerstvo obrany od roku 2010 vytvořenu Radu pro kybernetickou obranu. Rada pro kybernetickou obranu je orgánem pro řízení výstavby systému a orgánů kybernetické obrany a poradním a koordinačním orgánem ministra obrany v oblasti kybernetické obrany. Rada je složena ze zástupců složek rezortu MO. V rámci Ministerstva obrany je prvkem kybernetické bezpečnosti středisko CIRC MO. Jeho úkolem je proaktivní identifikace bezpečnostních hrozeb a incidentů, jejich analýza a následné odesílání zjištěných událostí a postupů řešení k relevantním partnerům. Středisko CIRC MO napomáhá k ochraně informací a dat, která jsou uložena v informačních systémech a k ochraně technických prostředků pro velení a řízení v rámci plnění úkolů Ministerstva obrany [26]. 2. Co je kybernetický útok Kybernetický útok se odehrává v kybernetickém prostoru. Kybernetický prostor (Cyberspace) lze chápat jako metaforu vyjádření virtuálního (nefyzického) prostředí vytvořeného propojením počítačových systémů v síti. V kybernetickém prostoru probíhá vzájemné působení mezi subjekty stejně jako v reálném světě, ovšem bez nutnosti fyzické aktivity. Informace jsou sdíleny v reálném čase či s určitým zpožděním, lidé mohou nakupovat zboží, sdílet zkušenosti, prozkoumávat obsah, provádět výzkum, pracovat nebo si hrát [33]. Protože kybernetický prostor nezná hranic a není tedy pouze otázkou teritoriální, je nutné kybernetické útoky řešit z pohledu mezinárodního společenství [45]. Kybernetický terorismus je chápán jako prostředek pro dosažení cílů pomocí počítače a počítačových systémů, kterými je prováděn útok a tento útok vyúsťuje v podobě způsobení ztráty na straně nebojových cílů, tj. musí se odrazit v kybernetickém násilí proti jedinci nebo společnosti. Lze ho také chápat jako nezákonný útok nebo nebezpečí útoku proti počítačům, počítačovým sítím a informacím v nich uložených. Kybernetický zločin je oproti tomu chápán jako prostředek k získání přístupu k datům, které je možné pozměnit či zcizit. Podmínkou pro kybernetický terorismus je úspěšné provedení útoku, při kterém je zaznamenána ztráta na straně cílů [48]. Kybernetický útok je činnost, při které je záměrem útočníka získat, modifikovat nebo zničit data (informace), negativně ovlivnit nebo převzít kontrolu nad prvky infrastruktury systému kybernetického prostoru. Kybernetické útoky se stávají stale častějšími a organizovanějšími. Odstraňování jejich následků a škod je stále nákladnější. Takto způsobené škody mohou dosáhnout úrovně, která může ohrozit prosperitu, bezpečnost a stabilitu státu nebo organizace (případně jedince). Základem kybernetické obrany systémů je dohled prvků infrastruktury systémů kybernetického prostoru, management bezpečnostních incidentů, pravidelné provádění auditů, hodnocení zranitelností systémů kybernetického prostoru nebo provádění penetračních testů [44]

15 Kybernetický útok je veden na řídící prvky technologie, které mohou vážně ohrozit životy lidí nebo vážně ohrozit nějakou výrobu, technologii či službu. Kybernetický útok proto lze definovat také jako útok na infrastrukturu informačních technologií za účelem způsobit poškození nebo získat citlivé či strategicky důležité informace. Nejčastěji je spojován s politicky či vojensky motivovanými útoky [47]. Organizovaný zločin v kyberprostoru v dnešní době vytváří větší zisky s menším rizikem, že bude hacker vystopován a souzen. Ministerstva a vládní agentury na celém světě čelí stovkám či tisícům útoků každý den. Jejich bezpečnost ohrožují hackeři sponzorovaní z peněz cizích států a organizací. Orientují se přitom také na mezinárodní firmy, které často nejsou ochotny s policií či FBI v případě napadení kyberzločinci spolupracovat (důvodem je větší obava z dlouhého a náročného vyšetřování) [21]. Jaký je dopad počítačové trestné činnosti? Souhrnné údaje o skutečném výskytu kybernetické kriminality nejsou k dispozici. Podle předních firem na internetovou bezpečnost objem a škody způsobené počítačovou kriminalitou rostou. Nové způsoby online podvodů nebo kybernetických útoků se objevují pravidelně skoro denně. Nezadržitelný pokrok v oblasti informačních technologií je obtížné předvídat, proto i techniky zločinců budou zaměstnávat v budoucnosti čím dál více osob. Počítačové útoky se v posledních letech stávají jasným nástrojem politické moci. Rozsáhlý útok na estonskou vládu v roce 2007 poukázal na nutnost obrany informačních systémů a dat na úrovni států. Národní bezpečnost se proto stává předmětem diskuzí příslušných vládních organizací. V případě kybernetické války proti státu se již nejedná o klasické hackery, ale o organizovanou skupinu osob či dokonce o malou armádu. Ta je na rozdíl od té fyzicky existující armády kompletně virtuální a její umístění může být kdekoliv na světě. A to je také hlavním rizikem. Díky tomu, na rozdíl od přesunů tanků u hranic, opravdu do poslední chvíle nemusí stát o útoku vůbec vědět. Tyto skupiny osob nejsou oficiální běžnou armádou, ale jsou to super tajné organizované skupiny osob, které často o sobě ani vůbec nevědí [21]. Předmětem kybernetické bezpečnosti je proto nutnost zajistit bezpečí v kyberprostoru. Tu lze chápat jako ochranu dat před zničením, krádeží a zneužitím zločinnými hackery (státními, ale i soukromými a prioritou je také ochrana osob, jichž se tyto data týkají). V nevědeckých filmech bývá podoba kybernetických útoků značně nadnesená, kdy jsou kybernetické útoky provedeny pouze pomocí počítačových červů a virů. Ve skutečnosti divák vidí pouze nesrozumitelné řádky počítačového kódu. Počítačový červ a vir patří do kategorie škodlivého softwaru. Zatímco se počítačový vir musí připojit k jinému programu, počítačový červ se šíří v systému sám o sobě jako zvláštní program. Existuje mnoho metod, jak se útočníci dostávají do systému, ale princip je vždy stejný. Útočník musí najít díru neboli programovací nedostatek. Jedna z velmi známých metod, která se používá při kybernetických útocích, je takzvaný buffer overflow. Je to vlastně přetečení vnitřní paměti uvnitř serveru. Útočník, když se mu podaří takovéto přetečení vnitřní paměti na serveru docílit, tak většinou tímto způsobem může přepsat část kódu a díky tomu se dostat do počítače. Vzhledem k tomu, že naprogramování systémů je nesmírně složité, řádově desítky až stovky tisíc řádků kódu, tak potom se tam samozřejmě nějaká chyba najde. Proto se po několika dnech, týdnech či měsících po uvedení nového operačního systému na trh objevují různé záplaty. Dnešní škodlivý kód (malware) je většinou produktem skupiny počítačových specialistů. Tato skupina může být nejrůznějšího charakteru. Známé jsou třeba skupiny vojenské. To jsou speciální informační jednotky, které používají armády proto, aby vytvářely útočný a obranný software. Útočný a obranný software je v současnosti nezbytnou součástí každé vyspělé armády, i když se o něm veřejně nemluví (například ve Spojených státech musí povolení k použití útočného softwaru dávat prezident nebezpečnost takového softwaru se tudíž klade na úroveň atomové zbraně) [28]

16 Některé typické útoky hackerů (jedná se v současné době o nejpoužívanější typy útoků): Bombing útok založený na zahlcování služby pakety. Defacement nahrazení konkrétních stránek jejich ideologickou či zesměšňující variantou (nejčastěji se tento útok vyskytuje jako reakce na politickou situaci v regionu nebo ve světě). DoS (Denial of Service) tento typ útoku nepatří mezi útoky průniku do sítě, ale jde jen o vyřazení sítě z provozu. Útočník úmyslně zaplaví přístupový bod sítě svým vysíláním tak, že dojde k zahlcení datového kanálu. Výsledkem je buď významné zpomalení, nebo úplné zablokování provozu sítě, která není schopna navazovat požadované spojení nebo přenášet další data. DDoS (Distributed DoS) forma DoS útoku, který je prováděn z velkého počtu počítačů v jednom časovém úseku. MITM (Man in the Middle) snaha útočníka odposlouchávat komunikaci mezi účastníky tak, že se stane aktivním prostředníkem. Phreaking bezplatné využívání telefonních linek (hovory na účet někoho jiného nebo jiné telekomunikační firmy). Phishing získávání a zneužití personálních a osobních údajů z napadeného počítače za účelem technického či osobního zneužití. Ransomware útok při němž útočník skrze vzdálený přístup napadne počítač, zašifruje soubory nebo přímo soubory systému a následně vyžaduje za odšifrování výkupné. Spoofing útok založený na falšování identity zdroje. Útoky na klíčové uzly Internetu. Zejména se jedná o útoky na doménové servery. Jaké mohou být typické projevy použití hackerských útoků, které ukazují na pravděpodobný útok: nečekané zatížení procesoru, nedostupnost síťové služby, zvýšený síťový provoz, ztráta nebo modifikace dat, úbytek diskového prostoru, změna webových stránek, podezřelé nebo neznáme procesy, smazané/změněné/zmenšené logy, noví uživatelé v systému, cílová strana informuje, že je námi napadána, destabilizace systému. Zdroj počítačového útoku je většinou těžké odhalit, proto je komplikované případné zacílení odvety. Se zvyšováním množství síťového propojování jednotlivých systémů se stávají aktiva systémů více a více cílem mnoha typů hrozeb. Hrozba může být cokoliv, co nějakým způsobem může vést k nežádoucí změně informací, upravit chování systému nebo ovlivnit jeho parametry [24]. Za kybernetickou hrozbu způsobenou člověkem je možné považovat úmyslnou (například průnik útočníka do systému) nebo neúmyslnou (například chybou operátora, uživatele nebo systému) potenciální schopnost člověka způsobit nežádoucí incident v kybernetickém prostoru. Úmyslné hrozby lze dále dělit na pasivní hrozby a aktivní hrozby. Pod pojmem pasivní hrozba si lze představit například monitorování provozu za účelem zjišťování obsahu předávaných informací. Při pasivní hrozbě nedochází ke změně obsahu přenášených informací. Pod pojmem aktivní hrozba lze chápat například již útok na systém. Dále Jirovský kybernetické hrozby dělí na základní, aktivační a podkladové. Základní hrozby odrážejí čtyři hlediska bezpečnosti informačního systému. Jsou to únik informace (informace je prozrazena nebo odhalena), narušení integrity (vytvoření nových dat, změny nebo vymazání stávajících dat), potlačení služby (známé například jako DDoS útoky) a nelegitimní použití (informační systém je používán neautorizovaným subjektem). Aktivační hrozby aktivují základní hrozby. Jejich význam spočívá v tom, že jejich realizace vede k bezprostřednímu vytvoření základní hrozby a následně k přímému ohrožení bezpečnostních parametrů systému. Lze je dále možné dělit na penetrační hrozby (například maškaráda, obejití řízení či narušení autorizace) a na implementační hrozby (například trojský kůň a zadní vrátka). Podkladové hrozby jsou takové hrozby, které způsobují realizaci několika základních hrozeb současně [24]

17 Nejčastější hrozby, které mohou ohrozit informační systém, jsou: Selhání dodávky energie - selhání dodávky energie může způsobit problémy z hlediska integrity a následně může způsobit i další poruchy (například selhání hardware). Selhání dodávky se samozřejmě netýká jen vlastního hardwaru, ale také klimatizace, celého síťového prostředí, zálohování a podobně. Škodlivý software - škodlivý software může způsobit zneužití, modifikaci nebo ztrátu dat. V konečném důsledku může zapříčinit zničení informačního systému. Selhání hardwaru - technické poruchy, např. v síti, mohou zničit dostupnost jakékoliv informace, která je uchovávána nebo zpracovávána v této síti. Mezi nejčastější příčiny selhání hardware patří například nedostatečná údržba, nevhodné prostředí umístění hardwaru (například vlhkost, prach, výkyvy teploty). Selhání komunikačních služeb - chyby a poruchy komunikačních zařízení a služeb ohrožují dostupnost informací přenášených prostřednictvím těchto služeb. Obecně lze kybernetickou hrozbu chápat jako potenciální schopnost způsobit nežádoucí incident, který může mít za následek poškození systému nebo organizace a jejích aktiv. Kybernetická hrozba se může velmi rychle a nečekaně změnit v reálný kybernetický útok na systémy a způsobit jejich zničení nebo nefunkčnost (např. zničení dat a informací, jejich zpřístupnění, modifikaci, nedostupnost nebo ztrátu). K poškození aktiv systémů využívá hrozba jejich zranitelnost. Kybernetické hrozby mohou být jak náhodné (např. výmaz souboru, nesprávné směřování, různá opomenutí apod.), tak úmyslné (např. hacking systému, malware, odposlech, špionáž apod.). Kybernetické hrozby by měly být předem jednoznačně identifikovány, což je obvykle velice obtížné. Zároveň by měla být odhadnuta jejich úroveň a pravděpodobnost. Měly by být navrženy způsoby a postupy eliminace možných škod, pokud vzniknou. Při zajišťování důvěrnosti, integrity informací a dostupnosti služeb je nezbytné se orientovat na proaktivní způsob řízení rizik. Tím lze dosáhnout minimální vznik bezpečnostních incidentů. Proaktivní způsob řízení rizik znamená identifikovat potenciální hrozby a v případě jejich dopadu na ně rychle a efektivně reagovat. Pro klasifikaci a eliminaci hrozeb sehrává významnou roli prostředí a kultura organizace. Každá kybernetická hrozba má svá specifika, která o samotné hrozbě poskytují identifikační informace (například zdroj, motivace, četnost výskytu a sílu) [7]. Charakter hrozby a cíl hrozby jsou dány motivací a zkušenostmi pachatele nebo útočníka. Variabilita motivací je značná (například od osobních, náboženských přes obchodní až po vojenské). Kybernetickou hrozbu je obtížné bez specifických znalostí a možností vysledovat, zadržet nebo dokonce ovládnout. Pravděpodobnost úspěšného útoku lze snížit lepší ochranou systému. Žádný informační systém ale není absolutně bezpečný. Největší hrozbou je nespokojený zaměstnanec

18 3. Příklady kybernetických útoků Mezi cíle kybernetických útoků patří například omezení činnosti napadeného subjektu (nepřístupnost webů, tzv. hacktivismus ) či politický aktivismus (změna informací, dezinformace, šíření poplašných zpráv), s čímž souvisí i tzv. perception management (vliv na veřejné mínění pomocí manipulovaných informací pro cílové subjekty). Tyto cíle jsou tedy odlišné od běžných cílů hackerů, crackerů či elektronických sprejerů, kteří útočí na weby zpravidla jen kvůli demonstraci svých schopností. V kybernetické válce se jedná o koordinované aktivity cíleně zaměřené na jiný stát či skupinu obyvatel. Jedním z prvních velkých útoků proti státu, který nebyl přímo ve válečném konfliktu, se stala událost z května roku 2007, kdy se Estonsko stalo obětí kyberterorismu. Byly mu totiž dálkově vypnuty internetové sítě administrativy a některých státních podniků. Jednalo se o série on-line DoS (Denial-of-Service) útoků, které vážně ohrozily celou infrastrukturu Estonska (napadeny byly hlavně bankovní a vládní organizace). Jak někteří experti tvrdí, celá akce byla nejspíše dílem ruské skupiny hackerů, jejichž motiv byl převážně politického rázu. Celá událost začala přibližně 27. dubna 2007 a trvala necelý měsíc. Byla odstrašujícím příkladem toho, jak mohou velkoplošné internetové útoky paralyzovat celý stát. Estonsko ihned vyzvalo spojence z EU a NATO, aby se důrazněji zasadili proti podobným kybernetickým útokům [37]. Co tomuto útoku předcházelo? Dne 27. dubna 2007 totiž přesunuly estonské úřady sochu rudoarmějce z centra Tallinu na vojenský hřbitov. Přesunutí sovětského pomníku oslavujícího neznámého vojáka, který padl v boji proti nacistům, podnítilo nepokoje etnických Rusů žijících v Estonsku a vyústilo v blokádu estonské ambasády v Moskvě. A právě tato událost odstartovala období masivních kybernetických útoků na estonské státní webové stránky, které vážně ohrozily celou infrastrukturu Estonska. Výsledkem tohoto útoku bylo, že během jedné noci a následujícího dopoledne se povedlo hackerům narušit veškerou informační strukturu státu (veškeré bankovní transakce a služby e-govermentu). Od 19. do 20. července 2008 probíhaly útoky na gruzínské weby a oficiální webová sídla Gruzie, přičemž v době napadení Jižní Osetie byla intenzita 34 35

19 útoků největší. Útok podporovalo Rusko, a jedním z nástrojů byla distribuce adres gruzínských webů, které měly být napadeny (pro rusky hovořící např. stopgeorgia.ru), a poskytnutí jednoduchých nástrojů na zahlcení webu. V období od 9. do 10. srpna 2008 byla většina webů již nedostupná. Gruzie tedy žádala o pomoc jiné země, které by pomohly hostovat její servery (aby mohli prezentovat své oficiální stanovisko). Tuto žádost podpořily především Spojené státy americké, a navíc se do konfliktu zapojili i američtí hackeři, kteří začali jako odvetu napadat ruské servery. Je evidentní, že kybernetická válka je málokdy jen lokální, a konflikt se může velmi snadno a rychle rozšířit i mezi další státy. Podobným útokům lze nicméně jen těžko předejít. Podobné útoky využívají nejrůznější skupiny k propagaci své ideologie. Jsou známé i útoky teroristických skupin, které pomocí defacementu (záměna obsahu webu za svou verzi) rekrutují další teroristy. Tyto webové stránky jsou například defacementem skupiny Ainab, která bojuje za nezávislost Kašmíru. Do konce minulého století se většina kybernetických útoků zaměřovala spíše na uživatele a jednalo se o klasický typ podvodů, jako je například krádež či vymazání dat z počítače. Řízení a monitorování technologií zajišťují řídicí systémy SCADA (Supervisory Control and Data Acquisition). Jedná se o počítačový program, který umožňuje automaticky řídit výrobní procesy a pomocí síťového propojení vzdáleně ovládat některá zařízení. Současně umožňuje komunikaci člověka se strojem. Monitor počítače zobrazuje celý proces a zároveň jsou na něm ovládací prvky. Příkazy neboli informace předává systém pomocí komunikační sítě stroji, který vykonává to, co se po něm požaduje. Dnes už si ani neuvědomujeme, jak nás SCADA systémy obklopují. Kromě rozsáhlých technologických komplexů, jaké jsou v automobilkách, potravinářském průmyslu nebo jaderných elektrárnách, se tento software využívá také v dopravních prostředcích, řídí naše inteligentní domy, ale může také ovládat pouze větší kopírku. U SCADA systémů se pro přenos informací mezi řídícím počítačem a vzdálenějšími ovládanými prvky používají komunikační sítě. Mezi ně patří samozřejmě také Internet. Není tedy nemožné ovládat třeba elektrárnu až z druhé strany polokoule [28]. Jirovský 4 v televizní rozpravě ke kybernetickým útokům ( kyberneticke-utoky/) řekl: Obvykle se SCADA systémy, které pracují vzdáleně a pracují tak, že jsou připojeny přes síť internet, chrání tak, že se vytvoří v síti internet takzvaný tunel, což je virtuální privátní síť, která je šifrovaná, která může jít jenom danou cestou, která má celou řadu dalších opatření proto, aby byla bezpečná, ale samozřejmě prochází divokým prostředím internetu a tam není nikdy, nikdy nic jistého. [28]. Irán K nejznámějším příkladům kybernetického útoku na SCADA systém patří napadení uskutečněné prostřednictvím červa Stuxnet. Ten pozastavil spuštění íránské jaderné elektrárny ve městě Búšehr. Útok byl veden na závod na obohacování uranu v Natanzu, kde se pro tuto jadernou elektrárnu připravuje palivo. Červ Stuxnet 5 se samozřejmě šířil po celém světě a kromě šedesáti tisíc zjištěných případů v Íránu, je také znám milion případů v Číně [28]. Odborníci odhadují pracnost kódu červa Stuxnet na šedesát člověkoměsíců. Z analýzy kódu proto odborníci usuzují na jeho vznik. Někteří se domnívají, že byl připraven speciální izraelskou informační jednotkou Unit 8200, jiní tvrdí, že za jeho výrobou stojí NATO nebo Spojené státy. Mnoho kybernetických útoků ale nikdy nebylo publikováno [38]. Kybernetický útok cílený na přípravnu jaderného paliva v závodě na obohacování uranu v Natanzu měl přímo fyzický dopad. Červ se dostal do systému pomocí flash disku a jeho šířením se rozkolísaly mechanické vlastnosti centrifug, které se pro tuto výrobu používají. Stuxnet vyřadil několik stovek centrifug tím, že změnil jejich otáčky. Roztočil je nad povolenou hranici a poté jejich otáčky snížil tak, že se točily naopak příliš pomalu. 4 doc. Ing. Václav Jirovský, CSc. je vedoucím Ústavu bezpečnostních technologií a inženýrství, ČVUT Praha 5 Stuxnet je počítačový červ objevený v červnu 2010 běloruskou firmou VirusBlokAda. Je zajímavý tím, že to je první známý červ, který se soustředí na kontrolu průmyslových systémů. Byl naprogramován, aby útočil na systémy SCADA. Umí přeprogramovat programovatelné logické automaty a své změny skrýt

20 V průběhu roku 2012 byl objeven nový Stuxnet. W32.Flamer (jak se nazývá) je schopen získat informace z infikovaných systémů. Analýza společnosti Symantec ukazuje, že pokročilý malware byl vytvořen dobře organizovanou a financovanou skupinou. Hrozba působí nenápadně už více než dva roky a jejím cílem bylo krást dokumenty, screenshoty obrazovek počítačů uživatelů, šířit se prostřednictvím externích USB disků, vypínat bezpečnostní produkty a šířit se do dalších systémů. Hrozba pravděpodobně dokáže zneužívat již známé a záplatované zranitelnosti v systému Windows, a tím se lépe šířit po síti. Podle počátečních průzkumů se cíle této hrozby nacházely především v palestinském Západním břehu Jordánu, v Maďarsku, Íránu a Libanonu. Další cíle byly v Rusku, Rakousku, Hong Kongu a Spojených arabských emirátech [38]. USA Kybernetický útok na podzim v roce 2011 v americkém Springfieldu zničil čerpadlo v tamější síti veřejných vodovodů. Hacker přitom použil počítač s IP adresou náležící do Ruska a získal přístup do systému SCADA pro řízení zmíněného čerpadla. Vodní čerpadlo v zařízení ve Springfieldu údajně vyhořelo poté, co útočníci používali svůj přístup do systému SCADA k tomu, aby nepřetržitě čerpadlo vypínali a zapínali. I když neustálé zapínání a vypínání motoru čerpadla může způsobit jeho přehřátí, měly se tenkrát aktivovat vestavěné kontrolní mechanizmy teploty a tlaku a bezpečně čerpadlo odpojit. To se ale nestalo. Odborníci se dodnes dohadují, jak mohli mít útočníci přes Internet přístup k relé navrženému pro ochranu motoru před přetížením a spálením. V dnešní době roste počet systémů SCADA připojených k Internetu, což je činí o mnoho zranitelnějšími z externích míst. Nedávno hacker pr0f tvrdil, že se naboural do systému SCADA pro užitkovou vodu v dalším velkém americkém městě. Stačilo pouze překonat tříznakové heslo, které bylo použito pro ochranu zmíněného zařízení. V budoucnu lze očekávat mnohem více takových útoků. Jižní Korea Jižní Korea vyhlásila v březnu 2011 stav pohotovosti v kyberprostoru. Webové stránky 40 vládních a dalších institucí totiž napadli hackeři. Oznámila to Korejská komunikační komise (KCC). Podle mluvčího KCC šlo o útok typu DDoS (Distributed Denial of Service), kdy je na cílové servery vysláno nadměrné množství požadavků, které počítače při dané kapacitě nezvládají a odmítají přístup. Terčem útoku se staly mimo jiné stránky prezidentského úřadu, ministerstev zahraničí, obrany a sjednocení, jihokorejské rozvědky, amerických sil v zemi či jihokorejského daňového úřadu. Hackeři zaútočili i na internetové stránky sedmi velkých bank. Závažnost útoku zatím KCC neupřesnila, uvedla jen, že vláda úzce spolupracuje s internetovými bezpečnostními agenturami, aby problém vyřešila. Uživatele internetu vyzvala, aby si stáhli antivirové programy. Již v červenci 2009 zaznamenaly Jižní Korea a Spojené státy masivní útoky proti desítkám internetových stránek včetně ministerstva zahraničí, Bílého domu či Pentagonu. Jihokorejská rozvědka z těchto útoků tehdy obvinila komunistickou Severní Koreu. Izrael Izrael čelil podle agentury RIA Novosti v souvislosti s operací v Pásmu Gazy v listopadu 2012 několika miliónům kybernetických útoků. Izraelští představitelé na začátku prosince 2012 uvedli, že bezpečnostní experti doposud odhalili a zastavili více než 44 miliónů pokusů o útok na vládní webové stránky za měsíc listopad Za částí těchto útoků stojí skupina Anonymous, která vyhlásila v reakci na izraelskou kampaň v Gaze operaci OpIzrael a vydala seznam 650 izraelských webových stránek, které se staly nebo se stanou jejím cílem

21 4. Předpokládané cíle kybernetických útoků Kybernetičtí útočníci se zaměřují hlavně na politicky motivované útoky, demonstraci kybernetické války a vysoce cílené útoky na firmy fungující v určitém oboru. Budou tak pokračovat trendy z předcházejících let a počty útoků budou mít stoupající tendenci. Hlavním cílem kybernetických útočníků bude testování možností těchto útoků. Až dosud vlády vyspělých zemí chránily především své vládní a vojenské počítačové sítě. V současné době by si měly uvědomit i míru škod, které mohou způsobit akce proti další kritické infrastruktuře, zejména rozvodným sítím a bankovnictví. Jedná se o typy útoků, které způsobí problémy a škodu zejména v každodenním životě všech uživatelů, tedy státu, právnických osob, ale i jednotlivců. Mezi hlavní rizika spojená s nečinností při zabezpečení kybernetické bezpečnosti se řadí nárůst kybernetických útoků, výrazné materiální škody, ohrožení kritické infrastruktury státu a v neposlední řadě i neplnění mezinárodních závazků států včetně závazků plynoucích ze smluv o ochraně investic. Velice vážně je potřeba brát útoky na systémy rozvodných sítí. Jedná se o systémy, na nichž závisí velké množství lidí v každodenním životě. Bude narůstat zatížení ového provozu tzv. legálními spamy. Množství spamu díky lepší ochraně ových účtů sice klesá, nicméně toto místo zaplní tzv. inzerenti, kteří budou houfně používat seznamy adres, jejichž uživatelé dali (vědomě či nevědomě) k zasílání souhlas (samozřejmě za vydatné spolupráce hackerů). Výrazně v budoucích letech vzroste také množství útoků na mobilní bankovnictví. Většina lidí v dnešní době věnuje pouze minimální nebo spíše nevěnuje žádnou pozornost zabezpečení svých chytrých telefonů. Příkladem může být napadení více jak klientů bank a 32 různých bank z celé Evropy na podzim Největší škody prý nezvaný počítačový návštěvník napáchal v Německu, Itálii, Španělsku a Holandsku. Jak k tomu tenkrát došlo? Jednalo se o velice sofistikovaný útok. Hackerům se podařilo kromě samotných počítačů infikovat také chytré telefony uživatelů. Tím získali naprostou kontrolu nad jejich bankovními účty. Jednalo se o virus Eurograbber. Ve chvíli, kdy se virus zabydlel bez 40 41

22 vědomí uživatele v počítači, sledoval probíhající komunikaci na síti. Přesněji řečeno vyčkával, až uživatel bude provádět nějakou platbu na internetu. Tím získal jeho telefonní číslo. Na mobil pak zaslal podvodnou zprávu, která se tvářila jako zpráva z banky. Ta uživateli tvrdila, že musí aktualizovat systém v mobilním telefonu kvůli přístupu k internetovému bankovnictví. Ve chvíli, kdy ji uživatel potvrdil, nainstaloval si škodlivý kód i do mobilního telefonu, čímž jej zcela zpřístupnil útočníkovi. Právě chytré mobilní telefony s operačním systémem umožnily hackerům provádět platby na internetu. Jak se zdá, éra chytrých telefonů s sebou přináší i stinnou stránku. Hloupý telefon vám nikdo totiž nezaviruje [20]. Podle informací ze serveru a společnosti Symantec jsou chytré telefony s operačním systémem Android napadány virem. Android.Counterclank je trojský kůň, který po instalaci do telefonu s Androidem sbírá data a informace z přístroje (včetně záložek a kontaktů). Zároveň je také schopen modifikovat domovskou stránku uživatele. Vir je obsažen v celkem 13 aplikacích nabízených třemi dodavateli na Android marketu. Nejde však o nějaké podstrčené aplikace, ale jsou to skutečné a původní aplikace s přidruženým virem. Podle informací společnosti Symantec je odhadem již více než 5 milionů uživatelů zasažených tímto virem [30]. Hackeři se dále více zaměří na vestavěné systémy (v automobilech, lékařských zařízeních, GPS) a na virtuální měny, tedy na on-line peněženky, kreditní karty a prováděné internetové obchody. Tyto transakce a přístup k příslušným účtům často nebývají dostatečně chráněny, proto pro útočníky může být výnosnější získat virtuální měnu a až tuto dále směnit za peníze či zboží. K dalším trendům bude patřit využívání podvržených digitálních certifikátů. Více útoků bude propojeno s politickými aktivitami. Více než dříve budou tyto akce mířit proti politikům, soudům, policejním složkám, ale i vrcholovým manažerům. Dá se předpokládat, že také dojde k prvním ukázkovým akcím v oblasti kybernetické války. Jedním z příkladů je operace OpIzrael v listopadu Izrael čelil podle agentury RIA Novosti v souvislosti s operací v Pásmu Gazy v listopadu 2012 více než 44 miliónům kybernetických útoků (podrobněji popsáno na konci předcházející kapitoly). Připomeňme si také útoky na české parlamentní strany. Aktivistům Anonymous se v sobotu 28. dubna 2012 před jedenáctou hodinou dopoledne podařilo zablokovat internetové stránky parlamentních stran TOP 09, ODS, ČSSD a KSČM. Na následujícím obrázku je zobrazen obsah internetové stránky parlamentní strany TOP 09 v době incidentu. Internetové stránky ostatních parlamentních stran nebyly vůbec přístupné. Internetová stránka parlamentní strany ČSSD byla jako první funkční od 12:38 hodin. Internetové stránky ostatních parlamentních stran byly ještě několik hodin nedostupné. Obrázek 1 - Internetová stránka parlamentní strany TOP 09 v době incidentu (Zdroj: ww.top09.cz [51]). Jiným příkladem je dále popsaný útok na českou politickou stranu. Na internetu se v dubnu 2012 opět objevil seznam členů ODS, který tentokrát obsahoval navíc rodná čísla, čísla mobilních telefonů, ové adresy, údaje o členství, přihlašovací údaje a hesla. K úniku dat se přihlásilo sdružení pod názvy Anonymous a #TrollSec. K tomuto kroku je prý vedl nezájem politiků o názor občanů České republiky. Stránky ODS se staly terčem hackerského útoku už v únoru Hackeři tenkrát podrobný seznam více jak členů strany s osobními údaji (funkce ve straně, adresy bydliště či ové kontakty) rozeslali redakcím médií a připojili k němu výzvu českým politikům, aby odmítli mezinárodní smlouvu proti padělání ACTA 6 (Anti-Counterfeiting Trade Agreement neboli Obchodní dohoda proti padělatelství) je kontroverzní vícestranná mezinárodní obchodní dohoda s trestněprávními prvky, jejímž účelem je vytvoření mezinárodního systému pro vynucování práv v oblasti duševního 6 ACTA Anti Counterfeiting Trade Agreement 42 43