Sborník Evropského měsíce kybernetické bezpečnosti 2014: Obsah Příspěvky Kuchařík Šesták, Krulík Krulík, Krulíková, Požár Babulík, Stodůlka

Transkript

1 Kuchařík Šesták, Krulík Krulík, Krulíková, Požár Babulík, Stodůlka Kouřimský, Kubek Chmel Harašta Bagge, Pačka Soudková Sborník Evropského měsíce kybernetické bezpečnosti 2014: Obsah Příspěvky Sborník ECSM 2014: Slovo úvodem Aktuální trendy informační kriminality v rámci šetřených případů PČR Informační bezpečnost a ochrana kritické informační infrastruktury jako priorita bezpečnostního výzkumu v rámci České republiky Informační kriminalita a její trendy optikou významných think-tanků Data mining, zpravodajské služby, sociální sítě Sociální sítě a hráčská subkultura Koncoví uživatelé mohou výrazně přispět ke zvýšení kybernetické bezpečnosti Soukromí v éře kybernetické bezpečnosti Národní strategie kybernetické bezpečnosti České republiky ECSM výsledky průzkumu Přílohy Soudková Prezentace: ECSM 2014 Kuchařík Prezentace: Aktuální trendy informační kriminality v rámci šetřených případů PČR Krulík Prezentace: Aktuální priority bezpečnostního výzkumu ČR Stodůlka, Babulík Prezentace: Data-mining Šavel Prezentace: Kybernetický útok a jak se bránit v podnikových sítích Habich Prezentace: Vzdělávání v oblasti kybernetické kriminality - pohled PČR Padrta Prezentace: Zamyšlení nad aktuálními bezpečnostními problémy Čoupek, Jindrová Prezentace: Bezpečně na internetu Tejkalová Prezentace: Pedofilie v kyberprostoru Špidla Prezentace: Přechod do bezpečného kyberprostoru Gřivna Prezentace: Kybernetická kriminalita v judikatuře českých soudů Braunšleger Prezentace: Stará láska nerezaví Kvasnička Prezentace: Sofistikované cílené hrozby Řezníčková Prezentace: AFCEA Čegan Prezentace: Phishingové útoky v KYPO Kropáčová Prezentace: Aktuální rizika pro uživatele internetu Klimeš Prezentace: Secure CyberSpace - principy integrované obrany Hrůza Prezentace: Studentský klub AFCEA Požár Prezentace: Kybernetická kriminalita páchaná na dětech NBÚ Zpráva: CYBER CZECH 2014 NCBI Infografika: ECSM 2014

2 Sborník Evropského měsíce kybernetické bezpečnosti 2014 Slovo úvodem Bezpečí na internetu, na sociálních sítích a obecně při online komunikaci, prevence a řešení kyberkriminality, související činnost orgánů činných v trestním řízení, aktivity neziskových organizací, role bezpečnostních týmů, legislativa spojená s kyberbezpečností státu to je jen zlomek témat, kterým byl zasvěcen letošní měsíc říjen. Již potřetí se Česká republika zapojila do mezinárodní kampaně Evropský měsíc kybernetické bezpečnosti (European Cyber Security Month, ECSM) na národní úrovni koordinované Národním centrem bezpečnějšího internetu (NCBI, Stěžejní myšlenkou je připomenout veřejnosti, že informační bezpečnost není jednou provždy daná, že zde existuje celá řada výzev, které mohou fungování moderní společnosti informací významně ohrozit, říká Oldřich Krulík z Fakulty bezpečnostního managementu Policejní akademie České republiky v Praze, která se do kampaně také aktivně zapojila. Kampaň Evropský měsíc kybernetické bezpečnosti je inspirovaná podobnými projekty v USA a Austrálii, kde se měsíc říjen již stal synonymem pro aktivity spojené s podněcováním bezpečnějšího a zodpovědnějšího chování v kyberprostoru. Letošní ročník proběhl pod záštitou Mgr. Vladimíra Rohela, ředitele Národního centra kybernetické bezpečnosti a JUDr. Miroslava Antla, předsedy Ústavně-právního výboru Senátu Parlamentu ČR, který v souvislosti s ECSM uvedl: K počítačové bezpečnosti máme zcela nový zákon o kybernetické bezpečnosti. Samotný zákon naši kyberbezpečnost nevyřeší a sebelepší legislativa bude vždy pokulhávat nad vynalézavostí kyberzločinců. Na aktuální nebezpečí a incidenty je nutno ihned a rázně zareagovat, vzájemně se informovat, pomáhat si a k tomu organizovat různé vzdělávací akce, intenzivní kampaně, přednášky, semináře, besedy, resp. kulaté stoly. I proto jsem velice rád jako předseda Ústavně-právního výboru Senátu Parlamentu ČR (ale i jako čestný předseda Poradního sboru NCBI) převzal záštitu nad letošními akcemi Národního centra bezpečnějšího internetu v rámci Evropského měsíce kybernetické bezpečnosti. Role počítačů a Internetu je v dnešní společnosti zásadní. Internet dnes slouží nejen jako zdroj zábavy, ale především je zdrojem informací, umožňuje snadné a rychlé obchodování, komunikaci a spoustu dalších věcí. Podle některých studií přináší Internet jen do české ekonomiky přibližně 350 miliard korun ročně a má také šestiprocentní podíl na celkové zaměstnanosti v této zemi. To samozřejmě přitahuje pozornost nejrůznějších individuí, která se snaží z této sítě získat profit i nelegální cestou, vysvětlil Pavel Bašta, bezpečnostní analytika sdružení CZ.NIC, které provozuje Národní bezpečnostní tým CSIRT.CZ.

3 Online bezpečnost čelí novým hrozbám V měsíci říjnu se uskutečnilo také první národní kybernetické cvičení CYBER CZECH Jeho přípravu a realizaci koordinoval Národní bezpečnostní úřad prostřednictvím Národního centra kybernetické bezpečnosti. Na přípravě scénářů se podílel rovněž Národní CSIRT.CZ. Cílem jednodenního netechnického cvičení bylo formou diskuze procvičit schopnost spolupráce při zvládání kybernetických bezpečnostních incidentů a ověřit komunikační kanály, které se při řešení používají. V rámci scénářů museli sezvaní cvičící coby zaměstnanci IT oddělení fiktivního ministerstva reagovat na rozsáhlé DDoS útoky a cílené phishingové zprávy. Skupinu cvičících tvořenou zástupci ministerstev, ČNB, ČTÚ, ÚOOÚ a NBÚ doplňovala dvanáctičlenná odborná porota. Do ní zasedli zástupci bezpečnostního týmu CSIRT.CZ, Masarykovy univerzity, poskytovatele internetových služeb ACTIVE 24, nejvyššího státního zastupitelství, PČR, zpravodajských služeb a odborníci na právo IT z Masarykovy univerzity a NBÚ. Cílem Evropského měsíce kybernetické bezpečnosti (ECSM) je podpořit diskusi témat týkajících se kybernetické bezpečnosti a osvětu v této oblasti mezi evropskými občany. Je třeba upozornit na problém bezpečnosti, jako na problém, který se týká všech a dopadá na všechny. Nejedná se jen o strach obyčejných lidí z možnosti zneužití např. elektronického bankovnictví a soukromých bankovních účtů, ale i o hrozby mající přímý dopad na každodenní životy nás všech, např. omezením dodávek elektrické energie a jiné formy kyberútoků na kritickou infrastrukturu, zdůraznila Jitka Sládková z Network Security Monitoring Cluster. Ing. Tomáš Přibyl, ředitel společnosti Corpus Solutions doplnil: Naše civilizace je využívání cyber prostoru životně závislá a jeho vyřazení nás může ohrozit v základních potřebách. Díky sérii akcí a iniciativ uskutečněných v rámci ECSM 2014 v České republice, do kterých se zapojili partneři ze státního, soukromého i neziskového sektoru, došlo jednak k prohloubení komunikace a spolupráce mezi zainteresovanými subjekty, podnícení debaty mezi odborníky, tak k navázání spolupráce s dalšími organizacemi a upozornění veřejnosti na aktuální rizika v kyberprostoru, uvedla Šárka Soudková z Národního centra bezpečnějšího internetu. Hned úvodní Kulatý stůl ECSM přilákal řadu expertů i novinářů. A navštěvované byly i další akce. Jen na konferenci KYBERPSYCHO v hledáčku policie přišlo přes 200 posluchačů. A i další události, ať už pořádané Národním centrem bezpečnějšího internetu či dalšími organizacemi dosáhly vysoké návštěvnosti. Například na semináře pro studenty, které se uskutečnily na Univerzitě Obrany v Brně a na Policejní akademii České republiky v Praze dorazilo celkem přes sto studentů z oborů věnující se bezpečnosti a obraně státu. Nejprestižnější a největší akcí zařazenou do ECSM 2014 byla zřejmě třídenní mezinárodní konference Future Crises zastřešená organizací AFCEA. Ta přilákala pozornost více než 300 expertů z 31 zemí světa.

4 Součástí kampaně nebyly však jen odborné konference a semináře. Připraveno bylo například divadelní představení Generace FB výpověď současné mladé generace o tom, jakou pozici v jejich životech zaujímají sociální sítě a obecně svět online. Celý měsíc měla široká veřejnost též možnost zúčastnit se vědomostní soutěže o hodnotné ceny, jehož součástí byl též průzkum (ne)bezpečného online chování, jehož výsledky Vám též ve sborníku přinášíme. Sborník obsahuje příspěvky autorů, kteří v rámci ECSM vystoupili na některé z akcí pořádané Národním centrem bezpečnějšího internetu a svolili s publikací a další relevantní materiály. Sborník je vydáván za podpory Fakulty bezpečnostního managementu, katedry managementu a informatiky Policejní akademie České republiky v Praze, které patří velké díky za veškerou součinnost. Věříme, že informace obsažené ve sborníku Vám přinesou nejen užitek, ale také chuť zapojit se do kampaně Evropský měsíc kybernetické bezpečnosti v dalších ročnících. Ediční poznámka Sborník Evropského měsíce kybernetické bezpečnosti 2014 obohatil zároveň výzkumné aktivity na Policejní Akademii České Republiky v Praze, její Fakulty bezpečnostního managementu, která pořádá odborná setkání na bezpečnostních seminářích spolu s Pracovní skupinou kybernetické bezpečnosti České pobočky AFCEA. V současné době je realizován Výzkumný projekt PA ČR na léta "Analýza bezpečnostních rizik společnosti a jejich transfer do teorie bezpečnostních systémů, jež probíhá ve 4 integrovaných výzkumných úkolech. Integrovaným úkolem č. 4 je Analýza a predikce vybraných aktuálních problémů veřejné správy (odpovědný řešitel Mgr. Oldřich Krulík, Ph.D.). Kybernetické bezpečnosti se týkají zejména 2 ze 7 dílčích úkolů: Informační bezpečnost a kybernetická kriminalita v organizaci odpovědný řešitel: doc. RNDr. Josef Požár, CSc. Systém řízení státních organizací, jeho charakter a základní problémy odpovědný řešitel: Ing. Milan Kný, CSc. --- Další informace: PhDr. Šárka Soudková, Ph. D. Národní centrum bezpečnějšího internetu soudkova@saferinternet.cz Ing. Milan Kný, CSc. Policejní Akademie České Republiky v Praze kny@polac.cz

5 Aktuální trendy informační kriminality v rámci šetřených případů PČR plk. Mgr. Karel Kuchařík Pro sjednocení pojmosloví pojímáme informační kriminalitu jako trestnou činnost, která je páchána v prostředí informačních technologií včetně počítačových sítí, kdy předmětem útoku je samotná oblast informačních technologií nebo je páchána tato kriminalita za výrazného využití informačních technologií, jakožto prostředku k jejímu páchání. Jedná se tedy o definici skupiny trestných činů, která v sobě zahrnuje určitý společný faktor popisující způsob spáchání. V současnosti se zejména jedná o zneužívání celosvětové počítačové sítě internet. V oblasti potírání informační kriminality je jako součást získávání poznatků provozována tzv. Internet Hotline PČR, což je fakticky on-line formulář Hlášení kyberkriminality, který je veřejnosti zpřístupněn na internetových stránkách Prostřednictvím tohoto formuláře mohou občané jednoduše hlásit závadný obsah a závadové aktivity v síti internet. Odborné pracoviště Hotline PČR je součástí odboru informační kriminality úřadu služby kriminální policie a vyšetřování Policejního prezidia České republiky a jeho pracovníci evidovali k 29. říjnu 2014 celkem 5946 podnětů směřovaných právě do oblasti kybernetického prostředí. Současně mimo získané poznatky v rámci tzv. Internet Hotline PČR, lze poukázat na vývoj trestné činnosti v rámci statistických údajů Policie ČR, kde je detekováno místo spáchání trestného činu síť internet, anebo informační technologie. V této oblasti je zřejmý poměrně masivní nárůst trestné činnosti, kdy ve srovnávaném údobí ½ roku 2013 byl nárůst oproti předchozímu údobí ½ roku 2012 ve výši 34% a v meziročním srovnání ½ roku 2014 již tento nárůst činí 45%, viz grafické znázornění níže.

6 grafy: meziroční srovnání informační kriminality vždy za ½ pololetí roku 2012, 2013 a 2014 Největším objemem a nárůstem jsou trestné činy spojené s podvodným jednáním ve snaze získání finančního profitu a souběžně s tím lze poukázat na nárůst trestné činnosti v sociálních sítích. Toto souvisí s čím dál větší penetrací služeb sociálních sítí ve společnosti, kam tím pádem směřují i aktivity pachatelů. V sociálních sítích pak jsou zneužívány krádeže identit, za účelem kompromitace subjektů anebo využití jejich identity jako legendy pro páchání zejména podvodných jednání. Masivně jsou na vzestupu útoky formou tzv. phishingu (zaznamenávání přístupových kódů, sloužících zejména k podvodnému přístupu na bankovní účty, z nichž jsou pak neoprávněně odčerpávány finanční prostředky), a to navíc za souběžného zneužití předem vytvořeného prostředí ve formě tzv. botnetů či proxy serverů jako např. TOR, tj. útokem vytvořených cílových stanic, určených přes rozličné architektury sítí k páchání dalších kriminálních aktivit. Na našem území původně nebyl častý výskyt organizátorů takovéhoto jednání a vyskytovali se spíše tzv. bílí koně emules, kteří mají za úkol převzít na svůj účet neoprávněně odčerpané prostředky z účtu poškozeného a ty jiným platebním kanálem poslat dále tak, jak jsou instruováni. V současnosti však je předpoklad dle operativních informací, že se na naše území přesouvají i samotné některé články organizátorů. V letošním roce jsou téměř permanentně zaznamenány distribuce phishingových útoků na elektronické bankovnictví, které souběžně s hackerskými technikami útočí na prostředí uživatelů a to jak v prostředí počítačů uživatelů, tak souběžně i na prostředí mobilních komunikačních zařízení, přes něž jsou prováděny nejčastěji autorizace přístupů do účtů. Nově u podvodných jednání je zaznamenáván nárůst vyvádění a transferu finančních prostředků rovněž do virtuálních měn. Tyto měny jsou často využívány i k platbám za ochody s nedovoleným zbožím a to nejčastěji v rámci ochodů sjednávaných v síti TOR. Pokud jde o oblast porušování autorských práv v prostředí informačních technologií, zůstává trend přesunu do segmentu datových úložišť. Výjimkou ve výměnných sítích zůstává stále aktivní tzv. torrentová služba. Celý segment se jinak rozdrobil do velké masy drobných útoků, což znemožňuje účinný postup proti takovému jednání. Rovněž tak je zřejmé prolnutí nových technologií tzv. cloudových

7 služeb, primárně určených ke sdílení elektronických dat mezi jednotlivými technickými zařízeními uživatele či určené pro potřeby vzájemné sdílení úzce komunitních a firemních skupin. V rámci šíření zakázaných forem pornografie je evidentní technická vyspělost uzavřených komunit. Dané materiály jsou pak šířeny s větší latencí a to stále přes elektronickou poštu, úložný prostor a přes přímou výměnu instant messengerů. Zaznamenávána je v souvislosti s dětmi, snaha pachatelů získávat cestou sítě Internet materiály intimního až pornografického charakteru, zejména fotografií, přímo od dětí. Rovněž tak jsou zaznamenány i aktivity profesionálního pořizování a zpřístupňování velkého objemu hraničních materiálů naturistického charakteru směřujících právě ke klientele odebírající dětskou pornografii za úplatu. Je na místě rovněž poukázat na legislativní proces přijetí zákona o kybernetické bezpečnosti, který bude účinný od 1. ledna V tomto zákoně je pojímána kybernetická bezpečnost jako celek a je nutné očekávat zvýšený objem detekcí kybernetických incidentů a událostí, přičemž velká většina z nich bude primárně úmyslnou aktivitou osob a bude na místě se s tímto zviditelněním latentní kriminality vypořádat. Ve všech zmiňovaných oblastech je nutné zintenzivnění a zajištění užší spolupráce organizací působících v oblasti zákona elektronické komunikaci tak i zákona o některých službách informační společnosti. Do této oblasti samozřejmě spadají i subjekty poskytovatelů připojení sítě internet, internetových portálů, portálů s e- commerce i bankovních institucí. Závěrem lze konstatovat, že uváděné údaje jsou ve vztahu k existující kriminalitě v prostředí sítě internet jen určitým zastoupením typů, nikoliv však faktické četnosti. Informační kriminalita je dle různých analýz nejlatentnější kriminalitou vůbec, kdy jen v útocích a přípravě na průniky do počítačových systémů se odhaduje, ať již automatizovaných, anebo cílených, cca 200 tis. útoků denně do oblasti naší jurisdikce. Současně je na místě konstatovat, že informační kriminalita není jediným typem trestné činnosti, v níž jsou informační technologie v rámci páchání trestné činnosti zneužívány, ale technologický rozvoj zasahuje téměř do všech typů trestné činnosti. plk. Mgr. Karel Kuchařík je vedoucím odboru informační kriminality Úřadu služby kriminální policie a vyšetřování Policejního prezidia ČR. Od roku 1995 je policistou Policie ČR, kde začínal v rámci vyšetřování hospodářské trestné činnosti. Následně se věnoval vyšetřování rozsáhlé hospodářské trestné činnosti a vyšetřování organizovaného zločinu. Po vzniku specializace informační kriminality u Policie ČR přešel na tento úsek, kde je od roku Vystudoval Policejní akademii v Praze a Akadémii policajného zboru SR.

8 Absolvoval mnoho zahraniční výcvikových kurzů specializovaných na problematiku informačních technologií zneužívaných při páchání trestné činnosti. Aktivně se účastní specializovaných konferencí, přednášek a má i publikační aktivity zaměřené na oblast bezpečnosti v informačních technologiích a na zejména tzv. kyberzločin. Kontakt: uskpv.oik99@pcr.cz

9 Informační bezpečnost a ochrana kritické informační infrastruktury jako priorita bezpečnostního výzkumu v rámci České republiky Prof. Ing. Bedřich Šesták, DrSc.; Mgr. Oldřich Krulík, Ph.D. Jeden z možných rámců dalšího směřování České republiky v oblasti vědy a výzkumu představuje usnesení Vlády České republiky ze dne 19. července 2012 č. 552, o Národních prioritách orientovaného výzkumu, experimentálního vývoje a inovací. Jeho text pochází z dílny Technologické agentury České republiky. 1 Nakolik se nejedná o strategický dokument jediný (další existují nebo se připravují přímo v rámci Ministerstva vnitra České republiky 2 ), není od věci se s jeho obsahem seznámit. Tématem, které nás přitom bude zajímat nejvíce, jsou otázky informační bezpečnosti, respektive ochrany kritické informační infrastruktury. Stávající priority aplikovaného výzkumu (Biologické a ekologické aspekty udržitelného rozvoje, Molekulární biologie a biotechnologie, Energetické zdroje, Materiálový výzkum, Konkurenceschopné strojírenství, Informační společnost, Bezpečnost a obrana, Priority rozvoje společnosti) nejsou nadále definovány jako cíle, ale jako oblasti zájmu. Struktura dokumentu je nyní rozdělena do šesti oblastí (skupin cílů či úkolů): Konkurenceschopná ekonomika založená na znalostech. Udržitelnost energetiky a materiálových zdrojů. Prostředí pro kvalitní život. Sociální a kulturní výzvy. Zdravá populace. Bezpečná společnost. Tyto pasáže jsou dále strukturovány do podkapitol, respektive podúkolů. 1 2 Priority 2030: Foresight v České republice do roku 2030 < Technologická agentura České republiky < Meziresortní koncepce bezpečnostního výzkumu a vývoje České republiky do roku Ministerstvo vnitra České republiky < Bezpečnostní výzkum. Ministerstvo vnitra České republiky < 1

10 Zmínky o tématu informační bezpečnosti a ochrany kritické informační infrastruktury, obsahuje nejprve oblast č. 3: Prostředí pro kvalitní život. Jeho kapitola 2 (Globální změny) konstatuje, že Globální změny, ke kterým ve světě dochází a které ovlivňují užití přírodních zdrojů, je možné nahlížet z různých úhlů pohledu vedle ekonomického nebo informačního, také z hlediska změny klimatu. Kapitola 5 (Člověk, věda a nové technologie) k tomu dodává: Patrně nejpronikavějším výsledkem vědecko-výzkumných aktivit jsou výstupy v oblasti tzv. vyspělých technologií, jež prostupují veškeré sféry života od každodennosti po způsoby vzdělání, práce i zábavy (bio-, nano- a informační technologie). Rozvoj komunikačních technologií podstatně ovlivňuje vývoj společnosti a má zásadní socioekonomické důsledky pro dostupnost informací, možnosti jejich využívání a zároveň potřebu jejich důslednější ochrany, ale i pro převažující formy komunikace mezi lidmi (fenomén sociálních sítí apod.). Protože množství informací, které k lidem prostřednictvím informačních technologií a médií přichází je enormní, je třeba určitým způsobem tyto informace filtrovat, resp. dbát na jejich kvalitu a korektnost. V této snaze by zároveň neměly být omezovány svobody jedince a jeho možnosti projevovat vlastní názor. Daleko nejdetailněji téma informační bezpečnosti sleduje oblast č. 6: Bezpečná společnost. Jeho kapitola 1. (Bezpečnost občanů, podoblast 1.2: Ochrana před kriminalitou, extremismem a terorismem) konstatuje následující: Objem zjištěné trestné činnosti v České republice setrvale klesá 3, nicméně celá oblast vyžaduje trvalé úsilí. Kriminální scéna prochází permanentním procesem adaptace na nové sociální a technologické impulsy... Lze se i důvodně domnívat, že objem celkové trestné činnosti je podstatně vyšší než zjištěný. Veřejnost řadu případů neoznamuje a mnoho případů latentní kriminality (např. kriminalita proti duševnímu vlastnictví, korupce) je obecně tolerováno. Organizované zločinecké skupiny, extremisté a teroristé patří k nejprogresivnějším uživatelům moderních informačních a komunikačních technologií. V této oblasti lze mj. očekávat nárůst kybernetických útoků ze strany mezinárodních organizovaných skupin a vzrůst rizik spojených se zneužíváním osobních údajů, záznamů a digitální identity uživatelů, či s jejich vývozem za hranice České republiky. Kapitola 2 v rámci stejné oblasti (Bezpečnost kritických infrastruktur a zdrojů, podoblast 2.1: Ochrana, odolnost a obnova kritických infrastruktur) k tomu dodává: Zajištění funkčnosti kritických infrastruktur spočívá na všech třech faktorech, kterými jsou ochrana kritických infrastruktur, odolnost kritických infrastruktur a obnova 3 V době vypracování dokumentu tomu tak sice bylo, dnes (2014) je situace odlišná, nemluvě o objemné kriminalitě nehlášené a statisticky nepodchycené. MAREŠOVÁ, Alena; KRULÍK, Oldřich. Latence kriminality a nejčastejší důvody neoznamování případů podezření na spáchání trestného činu nebo přestupku. In: Bezpečnostní situace v České republice. Ed. Marešová, Alena. Praha: odbor bezpečnostní politiky Ministerstva vnitra České republiky, 2012, CD-ROM. ISBN

11 funkce kritických infrastruktur po přerušení její funkce Smyslem ochrany kritických infrastruktur je snížení zranitelnosti působením vnějších vlivů, jedná se o ochranu proti účinkům přírodních pohrom a úmyslných antropogenních činů. Smyslem zvyšování odolnosti je zajištění robustnosti systémů kritických infrastruktur proti výskytu přírodních, technologických a antropogenních (včetně chyb obsluhy) hrozeb. Děje se tak zahrnutím robustnosti (včetně zajištění alternativních a náhradních mechanismů) do procesů navrhování, výstavby, obsluhy a údržby systémů kritických infrastruktur s cílem zabezpečení alespoň určité nouzové úrovně služeb. Zajištění obnovy kritických infrastruktur spočívá v úsilí o minimalizace doby obnovy tak, aby se s ohledem na dopady přerušení funkce kritických infrastruktur zabránilo rozvoji krizové situace (její vážnost narůstá obvykle exponenciálně v závislosti na době přerušení funkce kritických infrastruktur) S obsahem kapitoly souvisí následující stěžejní cíl č. 2.1 (sestávající ze čtyř odrážek): Zajištění funkčnosti kritických infrastruktur s cílem zamezit rozvinutí nežádoucích stavů vzniklých v důsledku vnějších vlivů, zahrnujících přírodní pohromy a úmyslné antropogenní činy, do kritických situací. Rozvoj metodik a aplikačních postupů rizikových analýz (stanovení relevantních hrozeb, analýza a kvantifikace rizik), metodik a aplikačních postupů navrhování a výběru preventivních opatření (včetně analýzy nákladů a užitků) k odvrácení hrozeb pro jednotlivé druhy kritické infrastruktury. Aplikace managementu kontinuity činností organizací kritické infrastruktury. Vývoj nových technologických řešení, která zahrnují metody získávání klíčových informací ze všech dostupných zdrojů k účinné detekci a identifikaci možných nebezpečí metody řešení nastalých incidentů při kybernetických útocích nebo výpadcích informační infrastruktury. Několik dalších cílů avizuje kapitola 3 (Krizové řízení a bezpečnostní politika, podoblast 3.3: Systémy analýzy, prevence, odezvy a obnovy): Dílčí cíl 3.3.1: Zlepšení systémů získávání a třídění bezpečnostních informací: Zlepšení systému získávání a třídění bezpečnostně relevantních informací všech typů pro ochranu obyvatelstva i kritických infrastruktur: identifikace zdrojů, systémy ukládání, ochrany a zpřístupnění dat, mezinárodní spolupráce, interoperabilita. Zdokonalování spolupráce bezpečnostních složek a státní správy a samosprávy při identifikaci, předávání informací a informačních zdrojů. Dílčí cíl 3.3.2: Analýza bezpečnostních informací: Vyvinout nové metody analýzy informací bezpečnostního charakteru, kombinace strukturovaných a nestrukturovaných informací (databáze, web, text, mluvená řeč), data mining, knowledge engineering, odvozování znalostí (reasoning). Hodnocení aktuálnosti 3

12 a relevance informací a to i v mezinárodním kontextu. Identifikace vhodných příjemců analyzovaných a agregovaných výstupů. Dílčí cíl 3.3.3: Zdokonalování účinnosti bezpečnostního systému a krizového řízení: Průběžná analýza informačních potřeb. Nastavení rozhodovacích a informačních procesů a zodpovědností všech složek. Zabezpečení informačních toků při prevenci i v krizových situacích. Propojení technologií a rozhodovacích procesů státní správy. Návaznost informačního systému na složky krizového řízení. Analýza účinnosti preventivních opatření vzhledem k informačnímu systému, analýza průběhu krizových situací, hodnocení dopadů dostupnosti informací. Opatření pro odstranění nedostatků a zvýšení odolnosti informačního systému v technologické i organizační oblasti. Poslední relevantní částí oblasti 6 je kapitola 4. (Obrana, obranyschopnost a nasazení ozbrojených sil, podoblast 4.1, Rozvoj schopností ozbrojených sil; dílčí cíl 4.1.4, Rozvoj komunikačních a informačních systémů a kybernetická obrana): Cílem je rozvoj vojenských komunikačních a informačních systémů a zvyšování jejich odolnosti proti kybernetickým hrozbám a vytváření podmínek pro přenos utajovaných informací. Tolik k výstupům Technologické agentury. Nyní nahlédněme, zda a nakolik jsou v souladu s Meziresortní koncepcí bezpečnostního výzkumu a vývoje České republiky do roku Bezesporu je tu zřejmá značná synergie. Priority Koncepce jsou totiž naplňovány prostřednictvím následujících výzkumných aktivit, vycházejících z přesně vymezených potřeb a požadavků státní správy (výběr): Vyvinout nové metody a nástroje pro odhalování a vyšetřování případů kybernetické kriminality a ochrany informačních systémů před kybernetickými hrozbami. Zvýšit úroveň ochrany společnosti před teroristickými útoky novými metodami a prostředky pro potírání organizované kriminality. Zkvalitnit ochranu obyvatelstva v případě rizik vyplývajících z průmyslových havárií, včetně radiačních, živelních pohrom nebo teroristických útoků na základě specifikace priorit, nových postupů, mechanismů, metod, technologií a technických prostředků ochrany zdraví a životů lidí, majetku a životního prostředí. Provést výzkum nově vznikajících trendů při užívání internetu a jeho online technologií a rozvinutí problematiky predikce vážnosti hrozby (threat assessment), stanovit postupy a zavést je do bezpečnostní praxe. Aktualizovat a zvýšit bezpečnost informačních a komunikačních technologií, specifikovat nové požadavky na výstavbu nových informačních systémů, stanovit 4 Meziresortní koncepce bezpečnostního výzkumu a vývoje České republiky do roku Ministerstvo vnitra České republiky < 4

13 zásady a doporučení pro řízení havarijních a krizových stavů při přerušení kontinuity zpracování dat v informačním systému. Mgr. Oldřich Krulík, Ph.D. Absolvent politologie Fakulty sociálních věd University Karlovy, kde v letech působil i jako pedagog. Mezi lety 2001 až 2009 pracovník odboru bezpečnostní politiky Ministerstva vnitra (boj proti terorismu, informační bezpečnost atd.). Od roku 2010 je akademickým pracovníkem Policejní akademie České republiky v Praze, od roku 2013 ve funkci proděkana pro vědu a výzkum Fakulty bezpečnostního managementu. Kontakt: krulik@polac.cz Prof. Ing. Bedřich Šesták, DrSc. Titul profesor mu byl udělen roku 1988 v rámci Českého vysokého učení technického v oboru fyzika plazmatu. Od roku 2002 působí v rámci Policejní akademie České republiky v Praze, aktuálně na pozici prorektora pro vědu a výzkum a vedoucího Katedry krizového řízení. Kontakt: sestakb@polac.cz 5

14 Priority bezpečnostního výzkumu v České republice v rámci stejného dokumentu co se týče informační bezpečnosti a ochrany informační kritické infrastruktury byly stanoveny takto: A. Základní priority 1. Bezpečnost občanů Terorismus, organizovaná kriminalita a další formy závažné kriminality ohrožující bezpečnost státu. Ochrana obyvatelstva. Kybernetická kriminalita, on-line vyšetřování. 2. Bezpečnost kritických infrastruktur hlavní priority Komunikační a informační systémy služby pevných telekomunikačních sítí, služby mobilních telekomunikačních sítí, radiová komunikace a navigace, satelitní komunikace, televizní a radiové vysílání, přístup k internetu a datovým službám, poštovní a kurýrní služby. Bankovní a finanční sektor správa veřejných financí, bankovnictví, pojišťovnictví, kapitálový trh. vedlejší priority Automatické identifikace podezřelého chování v kritických infrastrukturách. Spojení mezi různými infrastrukturami. B. Priority podpůrné (průřezové) ve vztahu k prioritám základním 5. Situační připravenost (informovanost) Nová pravidla a nové technologie pro podporu sdílení informací identifikace adekvátních metod pro sdílení informací. Rámec mezinárodní spolupráce týkající se fúze datových zdrojů. Zpravodajské sledování. Bezpečné a spolehlivé komunikační metody mezi bezpečnostními složkami. 6. Identifikace lidí a prostředků Metody utajení informací. Namísto závěru je možné konstatovat, že oba přístupy se do jisté míry překrývají. Je pouze otázkou, zda a nakolik tomu bude i po roce 2015, kdy se u druhého jmenovaného dokumentu očekává určitá aktualizace. 6

15 Literární prameny Bezpečnostní výzkum. Ministerstvo vnitra České republiky. [online] < (citováno 12. října 2014). MAREŠOVÁ, Alena; KRULÍK, Oldřich. Latence kriminality a nejčastejší důvody neoznamování případů podezření na spáchání trestného činu nebo přestupku. In: Bezpečnostní situace v České republice. Ed. Marešová, Alena. Praha: odbor bezpečnostní politiky Ministerstva vnitra České republiky, 2012, CD-ROM. ISBN Meziresortní koncepce bezpečnostního výzkumu a vývoje České republiky do roku Ministerstvo vnitra České republiky. [online] < meziresortnikoncepce-bezpecnostniho-vyzkumu-a-vyvoje-cr-do-roku-2015.aspx> (citováno 12. října 2014). Priority 2030: Foresight v České republice do roku [online] < (citováno 12. října 2014). Technologická agentura České republiky. [online] < (citováno 12. října 2014). 7

16 Informační kriminalita a její trendy optikou významných think-tanků Mgr. Oldřich Krulík, Ph.D.; Mgr. Zuzana Krulíková; doc. RNDr. Josef Požár, CSc. V předchozím příspěvku zazněla informace o tom, jakým způsobem priority bezpečnostního výzkumu v oblasti informační bezpečnosti a ochrany kritické informační infrastruktury deklarují stěžejní vládní respektive meziresortní dokumenty v České republice. Protože se však jedná o téma, které se vyvíjí zřejmě dynamičtěji, než většina jiných výzkumných priorit, není od věci věnovat pozornost výstupům zahraničních či nadnárodních bezpečnostních vizionářů v oblasti cybersecurity. Je přitom zarážející, nakolik jsou si různé odhady podobné, když různými slovy popisují prakticky totéž. 1 A nyní již k některým vizím, z nichž některé se prokazují již dnes. Šifrování jako standard: Předpokládá se větší používání šifrování, stejně jako pečlivější pozornost věnovaná údržbě a správné konfiguraci existujících šifrovacích systémů, a to zřejmě jak co se týče útočníků, tak s ohledem na obránce. Nutnost sledování datového pohybu uvnitř organizace: Behaviorální analytické technologie umožňují podnikům (firmám, institucím) sledovat uživatele v rámci firmy i koncové uživatele. To jim může přinášet upozornění na podezřelé chování, které by mohlo být krádeží dat nebo napadení prostřednictvím škodlivého software. Významnou vnitřní hrozbou je znepokojující trend rostoucí akceptace modelu přineste vlastní zařízení" (bring your own device, BYOD). Počítačoví zločinci v rostoucí míře tento trend využijí, aby pronikli do cílových společností (nejprve infikují osobní zařízení zaměstnanců, kteří nezavedli přísná bezpečnostní opatření a pak jejich prostřednictvím nasadí trojského koně, který infikuje sítě, s nimiž jsou taková zařízení spojena). Nejednoznačná pozice cloudů: Řada uživatelů si udržuje od užívání cloudů odstup. I když tato možnost nabízí nemalá pozitiva pro firmy i koncové uživatele, odvrácenou stranou mince je bezpečnostní stránka věci. Rok 2014 a další budou zřejmě ve znamení kompromitace některých poskytovatelů cloudových služeb. 1 Cybersecurity Trends for Cherry Bekaert. 2. X < 2014/>. CICCATELLI, Amanda. Top 5 Cybersecurity Trends for InsideCounsel. 27. XII < CAPONI, Steven. Cybersecurity Trends for Corporate Compliance Insights. 21. II < Dokáže se Evropa postavit organizovanému kyberzločinu?. Evropské hodnoty, 23. III < LAUSCHMANN, Jindřich. Čeští kyberzločinci, třeste se. Půjde po vás Europol. Ty Internety. 3. IX < Action against Economic Crime: Cybercrime. Council of Europe. < 1

17 Útoky s cílem ničit: Některé ideologicky vyprofilované skupiny hacktivistů avizují, že se budou i nadále pokoušet o destruktivní útoky proti zájmům určitých společností či veřejných institucí. Chytré telefony jako bezpečnostní slabina: Přehlédnout nelze rostoucí úroveň a kreativitu škodlivého softlware, určeného pro útoky proti systémům a aplikacím Android, iphone a dalším. V současné době neexistuje adekvátní zabezpečení pro ochranu jejich uživatelů před těmito hrozbami. Tradiční phishing nezmizí: Klasický phishing a hacking neztrácí na popularitě. Zločinci v něm vidí, a to často oprávněně, jak prostřednictvím lidské důvěřivosti překonat sofistikovaná bezpečnostní opatření. Specifickou roli v rostoucím objemu bude sehrávat cílený phishing, mířící na management (spear-phishing), stejně jako zneužívání informací, které o sobě a instituci zaměstnanci uvolní na sociálních sítích. Nedostatek lidí pro kontrolu strojů: Firmy naléhavě shánějí odborníky na informační bezpečnost. Na trhu práce jich totiž není dost. To platí jak v České republice, tak ve většině států euroatlantické civilizace. 2 Rozpad internetu na ty internety : Vyloučit nelze ani konec internetu jako celosvětové sítě, jak ji známe dnes a její rozpad do několika regionálních či dokonce národních segmentů, s nemalým dopadem na související průmysl. Sofistikované úniky dat na objednávku: Aktuálním tématem je perspektiva úniků údajů ze zdravotnických databází (s cílem zneužít tato data pro reklamní či jiné účely). Mnoho zásilkových firem, poučených případem firmy Target z roku 2013, posiluje svá bezpečnostní opatření. 3 Zlatý věk průmyslové špionáže trvá: Farmacie, stejně jako konkrétní oblasti průmyslu, avizují nárůst počtu pokusů o průnik do databází o stovky procent. Odhaduje se, že velké procento z těchto kybernetických útoků se pokouší o krádež duševního vlastnictví a obchodního tajemství. Nikdo nesmí bezpečnost ignorovat: Úspěšný útok může poškozený subjekt stát obrovské sumy peněz, zničit jeho pověst a roky práce. Výsledkem je negativní publicita, odliv zákazníků i pokles ceny akcií. Protože je toho tolik v sázce, je naprosto nezbytné brát bezpečnostní opatření vážně. Přístup typu proč by se to muselo stát zrovna mě není na místě. Nikdo si nemůže být jist, že právě jeho firma není v hledáčku kybernetických zločinců. Poškozený zákazník se nezajímá o to, že firma, ze které unikal jeho data, je také oběť. 2 OBERMAN, Ethan. A Lack of Communication on Cyber Security Will Cost Your Business Big. Enterpreneur. 2. VII < Lack of Computer Security Experts Weighs Heavy on U.S. Cyber Defense. Help Net Security. 20. VII < 3 SEĎOVÁ, Stáňa. S kartotékami pacientů se čile obchoduje. Novinky.cz. 8. X < VĚTVIČKA, Václav. Lékařské tajemství v nebezpečí. E IX < clanek/mlada-fronta-zdravotnicke-noviny-zdn/lekarske-tajemstvi-v-nebezpeci >. RODRIGUEZ, Veronika. Stát porušil zákon, když sbíral osobní data pacientů. Aktuálně.cz. 19. VI < Target Confirms Unauthorized Access to Payment Card Data in U.S. Stores. Target Inc. 19. XII < 2

18 Neposkytne jí druhou šanci. Okamžitě se přesouvá jinam, kde ho přesvědčí, že u nich by se to stát nemohlo. Oddělení pro vyřizování stížností se v řadě firem chtě-nechtě změní na IT bezpečnostní specialisty. Pasivní obrana nestačí: Namísto ní je potřeba proaktivní monitoring situace venku i uvnitř firmy. Právní prostředí na rozcestí: S obsahem přechozího odstavce úzce souvisí možnost vleklých právních sporů, a to zejména právě mezi firmami, které nedokázaly odolat útokům a jejich klienty, jejichž data nebyla ochráněna. Sama kvantifikace ceny za škodu je problémem sama o sobě a je vůbec možné chtít odškodné po firmě, která, jak již zaznělo, je také obětí? Ale co nám zbývá, když pachatel je neznámý? Dobrovolné se stane povinným: Nelze vyloučit, že konkrétní selhání povedou k tomu, že určitá dobrovolně přijímaná opatření se stanou povinným standardem (například instalace a aktualizace software, testování systémů proti zranitelnostem a podobně). Nedávný případ úniku dat z portálu Sony Gaming Networks vedl v rámci Spojených států amerických k soudnímu rozhodnutí v tom smyslu, že společnosti tohoto typu musí přijmout odpovídající síťové zabezpečení aby ochránily osobní údaje svých klientů. Zákon o osobní a firemní odpovědnosti je plný doporučení a osvědčených postupů, které zpočátku nebyly právně závazné, ale které se staly závaznými de facto. Literární prameny Action against Economic Crime: Cybercrime. Council of Europe. [online] < (citováno 17. října 2014). CAPONI, Steven. Cybersecurity Trends for Corporate Compliance Insights. 21. II [online] < 2014/> (citováno 17. října 2014). CICCATELLI, Amanda. Top 5 Cybersecurity Trends for InsideCounsel. 27. XII [online] < 2014> (citováno 17. října 2014). Cybersecurity Trends for Cherry Bekaert. 2. X < (citováno 17. října 2014). Dokáže se Evropa postavit organizovanému kyberzločinu? Evropské hodnoty. 23. III [online] < Lack of Computer Security Experts Weighs Heavy on U.S. Cyber Defense. Help Net Security. 20. VII [online] < (citováno 17. října 2014). LAUSCHMANN, Jindřich. Čeští kyberzločinci, třeste se. Půjde po vás Europol. Ty Internety. 3. IX [online] < (citováno 17. října 2014). 3

19 OBERMAN, Ethan. A Lack of Communication on Cyber Security Will Cost Your Business Big. Enterpreneur. 2. VII [online] < (citováno 17. října 2014). RODRIGUEZ, Veronika. Stát porušil zákon, když sbíral osobní data pacientů. Aktuálně.cz. 19. VI [online] < (citováno 17. října 2014). SEĎOVÁ, Stáňa. S kartotékami pacientů se čile obchoduje. Novinky.cz. 8. X [online] < (citováno 17. října 2014). Target Confirms Unauthorized Access to Payment Card Data in U.S. Stores. Target Inc. 19. XII [online] < (citováno 17. října 2014). VĚTVIČKA, Václav. Lékařské tajemství v nebezpečí. E IX [online] < clanek/mlada-fronta-zdravotnicke-noviny-zdn/lekarske-tajemstviv-nebezpeci > (citováno 17. října 2014). Mgr. Oldřich Krulík, Ph.D. Absolvent politologie Fakulty sociálních věd University Karlovy, kde v letech působil i jako pedagog. Mezi lety 2001 až 2009 pracovník odboru bezpečnostní politiky Ministerstva vnitra (boj proti terorismu, informační bezpečnost atd.). Od roku 2010 je akademickým pracovníkem Policejní akademie České republiky v Praze, od roku 2013 ve funkci proděkana pro vědu a výzkum Fakulty bezpečnostního managementu. Kontakt: krulik@polac.cz Mgr. Zuzana Krulíková Absolventka Pedagogické fakulty University Jana Evangelisty Purkyně, Ústí nad Labem, obory Anglický jazyk, literatura a metodologie; Český jazyk, literatura a metodologie; Psychologie a pedagogika. Zapojení do projektů Evropské unie realizovaných formou tzv. twinningu v rámci programů Phare 2003 a Transition Facility 2005 (obchod s lidmi, závažná finanční kriminalita). V současnosti působí jako překladatelka a tlumočnice, se specializací na bezpečnostní terminologii. Kontakt: z.krulikova@ .cz 4

20 RNDr. Josef Požár, CSc. Děkan Fakulty bezpečnostního managementu Policejní akademie České republiky v Praze, kde působí od roku Vyučuje následující témata: ochrana počítačových dat, informační bezpečnost, manažerská informatika a informační teorie bezpečnosti. Vystudoval Přírodovědeckou fakultu v Brně, obor matematika a fyzika. Titul docenta v oboru bezpečnostních služeb získal na Akademii policejního sboru v Bratislavě. Je autorem řady vysokoškolských učebnic, dalších monografií, článků a příspěvek ve sbornících. Kontakt: pozar@polac.cz 5

21 Data-mining, sociální sítě a zpravodajství Marek Babulík; Martin Stodůlka V samotném úvodu této práce bychom rádi specifikovali naši výzkumnou činnost. Jsme studenti Policejní akademie České republiky v Praze, a mimo jiné nás velice zaujala možnost být součástí mezinárodního studentského spolku AFCEA, jež se zaměřuje především na oblast kybernetické bezpečnosti. Přestože oba studujeme rozdílné studijní programy, dokázali jsme i tak nalézt společnou průsečnici našich oborů, kdy každý z nás přináší odlišný diskurz na zkoumanou problematiku. Z rozdílného akademického zaměření dochází k diverzifikaci názorů, které však vedou ke konkrétnějšímu a potenciálně progresivnějšímu výsledku. V této spolupráci oba spatřujeme obrovský potenciál v rámci společné koordinace činností obou fakult, což by mohlo vést k dalšímu rozvoji vědecké činnosti na naší Alma mater. V současné době se zabýváme výzkumem v oblasti Data-miningu, jakožto metody získávání volně dostupných informací zpravodajskými službami. Současně s tím se snažíme upozornit na množství informací, které za sebou uživatelé zanechávají v podobě své internetové stopy. Moto: Okhrana, carský předchůdce GPU, údajně vynalezl systém evidence, ve kterém byl každý podezřelý zaznamenán na velké kartě, v jejíž středu bylo jeho jméno označeno červeným kruhem; jeho političtí přátelé byli označeni menšími červenými kruhy a jeho nepolitické známosti se označily kruhy zelenými; hnědé kruhy značily osoby, které jsou v kontaktu s přáteli podezřelého, ale ne přímo se samotným podezřelým; křížové vztahy mezi přáteli podezřelého - politickými a nepolitickými, a přáteli jeho přátel, byly zaznačeny linií mezi příslušnými kruhy. Je zřejmé, že omezení této metody jsou stanovena pouze velikostí těchto jednotlivých karet, avšak teoreticky by jeden gigantický list mohl ukázat jednotlivé vztahy v celé populaci. A to je utopický cíl totalitní tajné policie. Volný překlad: Arendt, Hanna, Origins of Totalitarianism. Doba, ve které žijeme, je charakteristická svým značným technologickým pokrokem a urychlováním všech možných činností, jež člověk ve svém osobním i profesním životě vykonává. Jedním ze základních požadavků na moderního člověka je právě rychlost. Doprava, výroba, komunikace toto je pouze pár základních oblastí, které trend urychlování naplno zasáhl. V souvislosti s komunikací rychlost předávání/získávání informací do značné míry ovlivnily sociální sítě, jež jsou obrovským hitem několika posledních let, a jejichž popularita mezi jednotlivými uživateli vyletěla obrovskou rychlostí do internetových výšin. Velmi snadný způsob komunikace z kteréhokoliv místa na planetě Zemi, kde se vyskytuje internetový signál, je velkým lákadlem pro milióny nových uživatelů. Takto obrovské množství lidí

22 zapojených v projektu sociálních sítí sebou však přináší řadu otázek, z nichž nemalé množství zpochybňuje bezpečnost těchto sítí a nezneužitelnost informací o samotných uživatelích. Každý z nás si musí uvědomit, že ve světě, kde žijeme, jsou informace až na prvním místě. Pod pojmem data-mining, neboli dolování dat, se ukrývá značné množství různorodých definic, a to zejména dle toho, v jakém odvětví se tato metoda použije. Obecná definice tohoto pojmu uvádí, že se jedná o analytickou metodu, která umožňuje nalézt různé druhy informací a specifických dat, jež jsou skryté ve velkých objemech dat soustředěných na jednom místě. Tato definice pokrývá obecné charakteristiky data-miningu. Určuje však tento pojem úplně? Dle našeho společného názoru lze za dolování dat považovat mnohem větší spektrum činností nežli jen řízené vyhledávání pomocí IT technologií. Vezměme si kupříkladu odposlech mobilního zařízení pomocí IMSI catcheru. Zjištěné informace o mobilním telefonu, hovoru, textové zprávě či přesné lokace volajícího jsou přenášeny ve formě dat. Jedná se tedy také o určitou odnož analytické metody data-miningu. Na obdobném principu je postaveno také monitorování osob pomocí průmyslových kamer nebo průzkum potenciálního zákazníka ze strany společností zabývajících se činností v oblasti reklamy a marketingu. Jestliže se pokusíme sami vydefinovat pojem Data-minig, docházíme k následující tezi: Za Data-mining se dá považovat jakákoliv forma analytické práce, která dokáže výstupní data přeměnit na konkrétní informace odpovídající zájmům zadavatele. Open source intelligence: Předvídavost je nástrojem nejjasnějšího vládce, nejmoudřejšího vojevůdce, jímž tito předčí protivníka a vynikají nad ostatní. Předvídavosti se nám ovšem nedostane od bohů a duchů nezískáme ji hloubáním o minulosti, nevyčteme ji z postavení hvězd. Nezískáme ji jinak, než od lidí, kteří vědí, co je v nepříteli. A k tomu je tu pět druhů zvědů. (Sun Tzu Umění války) Jedná se o zpravodajské informace získané z otevřených zdrojů. Ty jsou dostupné široké veřejnosti. Až 95% informací v oblasti zpravodajství pochází z otevřených zdrojů těmi mohou být: média (TV, rádio, noviny apod.), internet (sociální sítě, blogy, folksonomie, videoservery apod.), různé formy rejstříků, reportů, literatury (včetně šedé). Výčet OSINT zdrojů rozhodně není uzavřený. S obrovským arzenálem možností se však pojí jedno hlavní negativum. Tím je potenciální přehlcení informacemi, které může vést například k přehlédnutí signifikantní zpravodajské informace. V našem případě jsme se zaměřili na dolování dat ze sociálních sítí. Ty zažily v poslední dekádě obrovský boom. Z mini sítí fungujících pro uzavřenou skupinu lidí postupně vznikli giganti ovlivňující každodenní život nezanedbatelné části populace. S rychlým nárůstem popularity přicházejí také vedlejší negativní jevy, převážné v oblasti ochrany osobních údajů. Bohužel na tak rapidní rozvoj nestihla společnost zareagovat osvětou, jakým způsobem se na sítích chovat. Shrnuto do jednoduché myšlenky na ulici osobní data nesdělíme, kdežto on-line poskytujeme citlivé a mnohdy mnohem osobnější data i bez žádání. Malé děti pochopily, že od cizince se neberou sladkosti. Teď je na řadě, aby nejen mladí pochopili, že USB flash disk nalezený na ulici do

23 počítače nepatří. Open source intelligence jsou hodně využívány také v soukromém sektoru. Existuje celá řada programů (např. Maltego), které jsou určeny jak pro vlastní potřebu, tak i pro korporace, většinou pak firmy působící v oblasti konkurenčního zpravodajství (Competitive Intelligence). Sociální sítě: Jako výborný nástroj, sloužící k poskytování informací, se v posledních letech ukázaly být sociální sítě. Vidina tak snadno zjistitelných informací o milionech uživatelů po celém světě byla pouze pár let zpátky považována za nereálnou, v lepším případě za vysoce nepravděpodobnou. Ovšem s tím, jak se vyvíjí technologie, se vyvíjí i společnost a její smýšlení. S možností sdílení informací v globálním měřítku začali mít lidé potřebu jít s dobou a užívat globální sociální sítě (Facebook, Twitter, Myspace, Instagram, Flickr). Obrovský společenský boom, uživatelské možnosti a určitý prvek mainstreamové přitažlivosti za krátký čas oslovili velké množství nových uživatelů. Přidávání videí, fotek, nových přátel, navštívených míst. Vyplňování osobních informací o bydlišti, telefonním čísle, rodinných příslušnících. Psaní statusů o tom, co právě dělám, co si myslím nebo kde se právě nacházím. Zveřejňování oblíbených knih, filmů, muziky. Označování nepřeberně dlouhého seznamu stránek tlačítkem To se mi líbí. Uživatel byl samotnou sociální sítí a jejími nabídkami na zodpovězení různorodých dotazů dotlačen k tomu, aby zveřejnil informace, jež by za normálních okolností cizí osobě na ulici v žádném případě nesdělil. Nemluvě o tom, že zde po dlouhou dobu probíhal jakýsi souboj mezi jednotlivými uživateli, kdo bude mít například víc přátel, kdo bude mít víc zveřejněné oblíbené muziky a kdo bude psát více a více statusů každý den. Zlatý důl pro jakoukoliv zpravodajskou organizaci byl na světě. Jestli byl před tím někdo výstřední, protože měl profil někde na webu a sdílel své osobní informace volně s ostatními návštěvníky, pak teď nastala přesně opačná situace. Pojem normalita dostal z hlediska sociálních sítí nový význam. Profil na nějaké sociální síti má více než 3 miliardy lidí s tím, že určité množství nepoužívá pouze jednu. V souvislosti s tímto obrovským počtem uživatelů, jenž na sebe každý den prozradí velmi citlivé informace, vyvstává otázka bezpečnosti těchto sítí a jejich zneužitelnosti. Jak již bylo řečeno, sociální sítě tvoří důležitý zdroj pro zisk osobních informací. Uživatelé prozrazují velké množství informací, které mohou být snadno zneužity. Typickým nešvarem je oznamování o cestě na dovolenou, kdy ve své podstatě lidé oznamují, kdy bude jejich bydliště neosídleno. Zpravodajské služby bezesporu využívají sociální sítě k zisku osobních údajů nebo k prostému prověření osob. I pro civilisty je na internetu dostupná řada nástrojů, která pomáhá sesbírat důležitá data o konkrétní osobě a dokáže vytvořit formu vztahového diagramu. Zmínil bych například dostupnou webovou stránku, která z nahrané fotografie poskytne technické údaje o obrázku, včetně typu kamery, data a místa pořízení, někdy včetně přesné GPS polohy. Našim cílem je ale naopak možnost zkreslených údajů. K výsledkům jsme došli jednoduchým průzkumem.

24 Navzájem jsme si vytvořili profil osobnosti z informací poskytnutých na sociální síti Facebook. Přestože oba nejsme zrovna sdílní uživatelé, dokázali jsme vytěžit poměrně důležité informace o osobním i profesním životě. Teď se však dostáváme k tomu, jakým způsobem jsou informace zkreslené. Největší množství příspěvků shodně objevujeme v období, kdy došlo k založení účtu. Jak bylo předesláno v předchozím textu, jedná se o důsledek práce s novým fenoménem, možným zařazením do chtěné skupiny, snaha o sdílení detailů našeho sociálního života. Po roce užívání nacházíme menší podíl sdílených informací a mizí statusy popisující víkendové povyražení. Po nástupu na vysokou školu dochází téměř zcela k omezení psaných statusů a postupnému snižování aktivity na síti. Každopádně rozhodli jsme se vytvořit potenciální profil osobnosti, jak by nás vnímal např. personalista při výběrovém řízení. Přestože došlo k postupné neaktivitě, stará data zůstala dostupná. Proto zcela jistě můžeme říct podrobnosti o ukončení středoškolského vzdělání, nástupu na vysokou školu, tam však další podrobnosti nenajdeme. Stejně tak osobní zájmy - středoškolské období bylo na sdílení opět bohaté, naše hodnoty se však změnily. Z aktuálnějšího období lze pochopit pouze zálibu v cestování, a to díky sdílení fotek. I to se však přesunulo na jiné sociální sítě. Když jsme shrnuli sdílené poznatky, došli jsme s trochou nadsázky k závěru, že jsme pravděpodobně věční studenti vysoké školy, kteří žijí hlavně pátečními večery a cestováním. To se v mnohém od reality odlišuje. Poučení pak přichází pro obě strany. Ti, kdo se spoléhají na data uveřejněná na Facebooku, musí počítat s mírou zkreslení, změnou strategie práce na sítí, neochotou sdělovat signifikantní události apod. Naopak uživatelé by měli zhodnotit a upravit svou Facebookovou stopu, aby nedošlo ke špatnému porozumění ze strany třetích osob. Závěr: Z našeho úhlu pohledu vnímáme potenciál data mining jako výbornou metodu, které k dokonalosti chybí kooperace s doplňujícími metodami, jež by vytěžená data pomáhaly verifikovat. Respektive data mining by mohl být nasazen ke zpětné podpoře informací. V oblasti zisku zpravodajských dat z otevřených zdrojů hrozí přesycenost informacemi, jež mohou mít za následek snížení efektivity práce, také však možné přehlédnutí důležité vazby, pomocí níž by se mohla zpravodajská služba dostat k významnému závěru. Pracují-li analytici se sociálními sítěmi, musí brát v úvahu zkreslenost údajů, které mohou být spojeny s uživatelovou on-line aktivitou. Osoby mají tendenci tvořit svůj vlastní virtuální život, jenž často neodpovídá realitě. Proto musíme na údaje získané ze sociální sítě nahlížet s vysokou mírou opatrnosti. Rádi bychom se do budoucna věnovali právě oblastí sociálních sítí, kdy vnímáme potřebu osvěty uživatelů v oblasti ochrany osobních údajů. Na to navážeme také výzkumem v oblasti zkreslení osobních údajů na internetu, což může být prospěšné jak pro lidi ve státním, tak i soukromém sektoru.

25 Martin Stodůlka je studentem Fakulty bezpečnostního managementu, oboru "Bezpečnostní management ve veřejné správě" a Marek Babulík je studentem Fakulty bezpečnostně právní, oboru "Strategická studia. Kontakty: 100doll@seznam.cz, BabulikMarek@seznam.cz

26 Sociální sítě a hráčská subkultura Bc. Radek Kouřimský; Jan Kubek Hraní počítačových/konzolových her (dále jen her), volnočasová aktivita, která ještě do nedávné doby byla záležitostí poměrně marginální skupiny populace, se v posledních letech těší svému vzestupu a pozitivnějšímu vnímání ze stran široké veřejnosti. Tento fakt může být způsoben větší digitalizací distribuce her, která následovala trendu rozmachu internetu. Celosvětové pokrytí internetem společně s vysokorychlostním přenosem dat umožnily téměř naprostou likvidaci fyzických kopií her a přechod velkých vydavatelství na elektronickou distribuci. Výhodou takové distribuce je zbavení se nákladů na výrobu, transport, skladování a prodej fyzických kopií. Díky snížení nákladů je v dnešní době možné si za cenu jedné krabicové hry pořídit her 5 8 během slevových akcí právě u internetových distributorů. Společnost pomalu začíná nahlížet na hraní, jako na legitimní způsob trávení volného času. Existence specializovaných internetových stránek věnovaných čistě a jenom hrám už v dnešní době nikoho nepřekvapí a ani se nejedná o něco nového. Zajímavé jsou ale statistiky v tomto odvětví. Služba uvádí, že měla za rok 2013 průměrně 540 tisíc diváků během prime time, což tuto službu staví mezi giganty starých médií jako je MTV (465 tisíc) nebo Syfy (464 tisíc). Twitch se specializuje výhradně na streamování herního obsahu (turnaje, zápasy, ligy, recenze, talk show).1 Tato služba byla tento rok prodána společnosti Amazon za astronomických 970 milionu dolarů.2 Dalším příkladem může být druhá největší wikipedie na světě, tou je wikipedie o hře World of Warcraft, která má více jak článků a navštíví jí měsíčně 5 milionu uživatelů.3 Momentálně digitální distribuci dominují 3 největší vydavatelství. Xbox Live 48 milionu účtů (Výrobce konzole Xbox One) Steam 65 milionu aktivních účtů (Počítačový distributor) 26. října hráčů online 1 Twitch statistická kniha < 2 Vyjádření CEO společnosti Twitch o prodeji společnosti < 3 Přednáška Jane McGonigal < 1

27 PlayStation network 110 milionu účtů (Výrobce konzole PlayStation 4) S pohledem na tato čísla však musíme brát v potaz, že je tu určitá pravděpodobnost zdvojení účtů jednoho člověka na více platformách. Nicméně takové služby nenabízejí pouze možnosti nákupu her. Společnosti jsou orientované na zákazníka, tudíž vytvářejí pro svoje zákazníky svou vlastní sociální síť s nejrůznějšími technickými doplňky. Ať už se jedná o messenger, možnost komentovat obsah na implementovaných fórech, hodnotit vydané produkty, sdružovat se do skupin, uskutečňovat telekonference a mnoho dalších. Pro vydavatelství je logickým krokem vytvořit komunitu svých zákazníků a dobře ji spravovat. Problém nastává v tomto momentě, kde distribuční síť se stává de facto sociální sítí a jako taková je potenciálně zajímavá pro možné útočníky. Tato hrozba správci služby však není vůbec zohledňována a naopak se chovají poměrně nezodpovědně v jejím předcházení. Například služba STEAM podporuje své uživatele, aby do svých virtuálních profilů doplnili reálné jméno, spojili svůj profil s profilem na Facebooku, přidali se do skupiny, přidali přítele, atd.. Tento krok vidím jako mimořádně nebezpečný, neboť při špatném nastavení soukromí jsou tyto účty viditelné z webového rozhraní společně s dalšími informacemi, které by se dali zneužít k potenciálnímu phishingovému útoku, jako je například seznam vlastněných her, počet nahraných hodin v jednotlivých hrách, seznam přidaných uživatelů jako přátel, historii přezdívek a mnoho dalších. Právě v historii přezdívek vidím další značné nebezpečí. Tato služby zaznamenává změny přezdívek svých uživatelů a rovněž je i toto přístupné z webového rozhraní bez předešlého přihlášení. Největší potenciál zneužití zde číhá v případě, kdy uživatel nedodržuje důsledně základní bezpečnostní poučku, že pro každou službu by měl mít jedinečné přihlašovací údaje. V takovém případě je pak možné pomocí brute force nástrojů kompromitovat i ostatní služby uživatele, které nemají se službou STEAM nic společného. Pokud bychom měli sestavit potenciální scénář úspěšného spear phishingového útoku, vypadal by nějak takto: 1. Vytipování uživatelů pomocí webového rozhraní. 1. Uživatel s relativně nízkou STEAM úrovní, která naznačuje, jak moc je uživatel srozuměný s vlastnostmi sociální sítě a nastavenými postupy komunikace mezi ním a zřizovatelem služby. 2

28 2. Musí mít vyšší úroveň než všichni přidaní v jeho přátelích. (Oni mohou být též terčem útoku.) 3. Uživatel, který si právě pořídil hru. 4. Uživatel, který nahrál určitý kulatý počet hodin v určité hře. 2. Průzkum u zřizovatele služby, loga, umístění hlavičky atd. 3. Vytvoření falešné ové adresy napodobující ovou adresu zřizovatele služby. 4. Oslovení oběti, potažmo i jeho kontaktů, individuálně přizpůsobeným phishingovým útokem, který nabízí refundaci posledního nákupu provedeného uživatelem. Jedinou podmínkou je verifikace uživatele pomocí jeho platební karty, kterou platbu provedl. Nepíši zde pouze o hypotetických situacích. Velké distribuční sítě již se staly v minulosti terči útoků. Primárně tedy šlo útočníkům o čísla kreditních karet a fakturační údaje, které uživatel vyplňuje při každé platbě uskutečněné přes tuto službu, ale myslím si, že jen co si útočníci uvědomí informační výtěžnost i ostatních informací, můžeme být svědky mnohem častějších útoků na takové služby. Rozhodně by se společnosti poskytující jakoukoliv formu online služby měly zamyslet nad důležitostí jimi skladovaných informací a zda jsou tyto informace v bezpečí. Myslím, že některé informace, jako třeba historie mých přezdívek, opravdu nejsou potřebné, pro správné provozování digitální distribuce počítačových her. Takové společnosti potom totiž riskují při jakémkoliv bezpečnostním incidentu poměrně velkou ztrátu důvěryhodnosti u svých zákazníků, jak ukázal i nedávný útok na internetové úložiště společnosti Apple tzv. icloud. 3

29 Použité zdroje Esa: entertainment software association. ESSENTIAL FACTS ABOUT THE COMPUTER AND VIDEO GAME INDUSTRY: 2013 SALES, DEMOGRAPHIC AND USAGE DATA[online] [cit ]. Dostupné z: THE VERGE. MCCORMICK, Rich. Steam rises to 65 million active users, eclipsing Xbox Livve[online] [cit ]. Dostupné z: million-concurrent-users STEAM. Steam & Game stats: Concurrent Steam Users [online] [cit ]. Dostupné z: MCV: THE MARKET FOR COMPUTER & VIDEO GAMES. PARFITT, Ben. Valve confirms Steam hacker attack [online] [cit ]. Dostupné z: Mana Tank. CURTIS, Dan. Steam Hacked: Information Potentially Compromised [online] [cit ]. Dostupné z: Ars technica. GOODIN, Dan. Microsoft confirms compromise of high-profile Xbox Live accounts[online] [cit ]. Dostupné z: Twitch: 2013 Retrospective. Twitch [online] [cit ]. Dostupné z: Business Insider. SHONTELL, Alyson. Twitch CEO: Here's Why We Sold to Amazon For $970 Million [online] [cit ]. Dostupné z: million TED. MCGONIGAL, Jane. Gaming can make a better world [online] [cit ]. Dostupné z: Jan Kubek a Radek Kouřimský jsou studenty Fakulty bezpečnostního managementu Policejní akademie České republiky v Praze. Kontakty: kubek.jan@pacr.eu, r.kourimsky@gmail.com 4

30 Koncoví uživatelé mohou výrazně přispět ke zvýšení kybernetické bezpečnosti Ing. Marek Chmel, MSc Koncoví uživatelé mohou výrazně přispět ke zvýšení komplexní informační bezpečnosti, pokud si uvědomí, jak by se ve virtuálním světě měli chovat. Z nejnovějšího výzkumu společnosti Enterprise Strategy Group vyplývá, že až 60 % odborníků z oblasti počítačové bezpečnosti označilo jako hlavní faktor úspěšného útoku pomocí malware neznalost koncových uživatelů. Nabízí se tedy otázka, jak můžeme chování koncových uživatelů v kybernetický prostoru změnit, aby si dávali více pozor na svá data. Koncoví uživatelé velice často zapomínají na pravidelnou aktualizaci operačních systémů nebo používají celkově zastaralejší verze. Tento fakt pak nahrává hackerům, kteří vytvářejí malware, jež cílí často na nejoblíběnější a v populaci nejpožívanější operační systémy, čímž se zvyšuje jejich úspěšnost. Navíc vytvořit a spustit takový malware, který nezachytí ani antivirový program, je celkem jednoduché. Malware může mít na první pohled podobu nevinně vypadající ikony složky. Představte si situaci, kdy například v práci naleznete paměťový disk USB, vložíte do počítače a objevíte například složky s názvem Fotky z večírku vedení či excelovou tabulku s názvem Výplaty. Kdo odolá a neklikne? Určitě v takové chvíli nikoho nenapadne, že by se v těchto složkách mohla skrývat aplikace malware. Dalším způsobem, jak lze malware jednoduše šířit, je prostřednictvím odkazů například přes sociální sítě. Pokud pomineme autorská práva, legální stránku a skutečnost, že bychom si jakýkoliv software měli legálně kupovat, nikoliv nelegálně stahovat, pak v praxi odkaz s názvem Přes tento program můžete spustit Office zdarma zcela jistě zafunguje. V obou případech získá osoba nebo skupina osob za nízké vstupní náklady mnoho cenných jednoduchých cílů a obětí, se kterými může dále pracovat ať už z hlediska získání zajímavých dat nebo jejich využití pro zapojení do botnetu a spuštění komplexnějších útoků, jako je DDOS. Koncovým uživatelům i vedení společnosti pomůže osvěta Uživatelé si bohužel často neuvědomují, že se v kybernetickém prostředí nechovají správně. Jak v korporátním, tak domácím prostředí uživatelům velmi pomůže osvěta. Větší společnosti pro své zaměstnance organizují například pravidelná školení z hlediska bezpečného chování při používání internetu nebo rozesílají pravidelné newslettery. Při osvětě pracovníků a vůbec

31 celkovém chování zaměstnanců ve virtuálním prostředí je nutná podpora nejvyššího vedení konkrétní společnosti. V praxi to znamená, že i nejvyšší představitelé konkrétních firem by měli striktně dodržovat pravidla virtuální bezpečnosti a být v této oblasti vzdělaní. Ani generální ředitel by z titulu své funkce neměl telefonicky po svém bezpečnostním administrátorovi požadovat například sdělení přístupových kódů do firemních databází. Mezi další hrozby pro moderní podnikové prostředí patří trend Bring your own device. V takovém případě mohou zaměstnanci do podnikové sítě připojit své mobilní telefony, tablety nebo notebooky. BYOD nabízí mnoho výhod, ale jsou zde i rizika způsobená nezodpovědným chováním koncových uživatelů. Tyto koncové zařízení mohou být infikovány malware a jejich připojením do podnikové sítě může být ohrožena podniková bezpečnost. Koncoví uživatelé by v takových scénářích měli brát bezpečnost jejich koncového zařízení o to seriózněji. Ing. Marek Chmel, MSc Marek vystudoval informatiku na VUT v Brně a management v ICT na Nottingham Trent University. V současné době pracuje ve společnosti AT&T na pozici SQL Server Technical Specialist a je součástí teamu odpovědného za provoz rozsáhlého prostředí. Jako konzultant a lektor má rovněž rozsáhlé zkušenosti se servery SQL, SharePoint, Exchange a Lync. Od roku 2013 je držitelem prestižního ocenění Microsoft Most Valuable Professional (MVP) v kategorii SQL Server:Architecture. Ve volných chvílích se věnuje problematice bezpečnosti a etickému hackingu, v dané oblasti je držitelem prestižní certifikace ECCouncil Certified Ethical Hacker. V neposlední řadě je velmi aktivní na diskuzních fórech. Za tuto aktivitu získal v roce 2012 ocenění Microsoft Community Contributor. Kontakt: marek.chmel@att.com

32 Soukromí v éře kybernetické bezpečnosti Mgr. Jakub Harašta I ÚVOD S nástupem informační společnosti a navazujících trendů se koncept soukromí proměnil. S internetem, počítači, chytrými telefony a dalšími přístroji využívajícími digitalizace je snadnější sdílet jakékoli informace, včetně těch osobních. Ve chvíli, kdy zásahy do osobní sféry v souvislosti s rozvojem moderních technologií ztratily na nahodilosti, vznikl pojem informačního sebeurčení. Informační sebeurčení v tomto chápání představuje klíčovou hodnotu informační společnosti jako katalog práv s primárně informační povahou. Kybernetická bezpečnost pak vychází z povinnosti státu poskytnout těmto právům (resp. jejich nositelům) adekvátní ochranu. Absolutní prioritizace kybernetické bezpečnosti by nezbytně nutně vedla k omezení práva na informační sebeurčení, čemuž se i tvůrci zákona č. 181/2014 Sb., o kybernetické bezpečnosti, chtěli vyhnout. Tendence zapomínat na toto hodnotové zakotvení kybernetické bezpečnosti je ale velice silná. V kruhu se pak vracíme k původně konstatované lehkosti s jakou dnes sdílíme informace. II INFORMAČNÍ SPOLEČNOST A INFORMAČNÍ SEBEURČENÍ Rozvoj k vyšší míře organizovanosti prostřednictvím rychlejší a snazší distribuce informací je pro společnost zcela přirozený. 1 Společnost v minulosti vždy využívala technologického pokroku zrychlujícího výměnu informací k vlastnímu vývoji. V masivním rozšíření informačních a komunikačních technologií v poslední období je možné spatřovat zatím poslední krok tohoto vývoje. Mění se charakter lidské činnosti, struktura společnosti samotné i způsob komunikace mluvíme pak o informační společnosti. Změna netkví v samotném faktu používání informací, ale právě v bezprecedentní míře, které jsme dnes svědky. Naše vědomé užívání dostupných informací není omezené pouze na institucionalizovanou podporu na národní úrovni. I mezinárodní organizace, ziskový i neziskový sektor, jednotlivci ti všichni vědomě využívají výhod rozsáhlé informatizace. Informační společnost stojí na bezprecedentní rychlosti šíření informací a vysoké míře informovanosti. Frank Webster pozoroval změny ve smyslu ekonomickém, pracovním, teritoriálním a kulturním. 2 Z hlediska vývoje konkrétních aspektů společnosti můžeme mluvit o ekonomickém, pracovním, teritoriálním či kulturním pohledu na informační společnost a také o změně v celkovém vnímání prostoru. Tímto rozdělením můžeme konkrétně zkoumat, 1 Více viz WIENER, Norbert. Kybernetika a společnost. Praha: Československá akademie věd, s. 2 WEBSTER, Frank. Theories of the Information Society. Third edition. London: Routledge, s. ISBN S. 8-9.

33 co všechno se ve společnosti změnilo a jakým způsobem. V neposlední řadě můžeme pojmenovat i dopady na příslušné aspekty života jednotlivce a života společnosti samotné. Podle některých teorií je možné mluvit o informační společnosti ve chvíli, kdy větší část ekonomické produktivity připadne informačním aktivitám (ve srovnání s tradičními odvětvími). 3 V souvislosti s ekonomickými změnami se také mluví o vzniku post-industriální společnosti, která reflektuje posun těžiště ekonomické aktivity do samostatného odvětví produkce a zpracování informací. Dle jiných je rozdíl zejména v nárůstu produkce a zpracování informací napříč všemi sektory. 4 Zásadní roli hraje informovanost na ekonomickém poli při alokaci prostředků a zdrojů. S větší mírou informovanosti je možné zasadit probíhající transakci do rámce tržního prostředí. Je možné snadno porovnat např. cenu a dosáhnout tak výhodnější nabídky. Virtuální tedy nenahrazuje skutečnosti, ale podstatně usnadňuje uskutečnitelnost. 5 Z hlediska pracovního trhu je změna spatřována v navýšení podílu zaměstnanců, kteří se zaměřují na zpracování informací, 6 a také v nárůstu poptávky po specifickém vzdělání či specifických schopnostech. Dochází k přizpůsobování existujících profesí na nové technologie, ale i ke vzniku profesí nových. Informační společnost je dále možné popsat i změnami, které přinesla z hlediska teritoriálního. Došlo k delokalizaci společenských vztahů při zachování jejich náplně a podstaty, 7 což vedlo i k narušení tradičního chápání jurisdikce. Informace se šíří rychleji, téměř nesvázané geografickými limity a hranicemi a tím problematizují uplatňování státní moci. Navíc dochází k virtualizaci společenských vztahů a v návaznosti ke změně vnímání těchto vztahů jednotlivci. Relativizace závazků vede i ke ztrátě schopnosti cenit si vlastního soukromí a osobních informací. 8 Z hlediska kulturního posunu pak můžeme pozorovat rostoucí roli médií při definici normální kultury, 9 ale i snazší sdružování kulturních odchylek na globální úrovni. 10 Popis těchto změn není vyčerpávající, ale pro účely univerzálního popsání fenoménu informační společnosti zřejmě postačí. Z kontextu takto pozorované společnosti pak plyne informační sebeurčení jednotlivce. Právo na informační sebeurčení existuje v současné době v kontextu informační společnosti jako její integrální součást. Jedná se o katalog distributivních práv s primárně informační povahou. Pojem informačního sebeurčení se objevil v Německu v první polovině osmdesátých let. Spolkový ústavní soud ve své rozhodovací praxi zohlednil tehdy se 3 WEBSTER 2006 op. cit., s DIJK, Jan van. The Network Society. 3rd edition. Thousand Oaks: Sage Publications, s. ISBN S Analogicky LÉVY, Pierre. Kyberkultura: zpráva pro Radu Evropy v rámci projektu Nové technologie: kulturní spolupráce a komunikace. Praha: Karolinum, s. ISBN S WEBSTER 2006 op. cit, s POLČÁK, Radim. Internet a proměny práva. Praha: Auditorium, s. ISBN S SULER, John. The Online Disinhibition Effect [online] [cit ]. Dostupné z: 9 DIJK 2012 op. cit., s Tamtéž, s

34 vyskytující tendence systémově zasahovat do osobní sféry. V rozhodnutí se uvádí: Ochrana základních práv zahrnuje též způsobilost člověka určit v zásadě dostupnost a užití jeho/jejích osobních údajů. 11 Pod rozsah informačního sebeurčení je v současné době možné zahrnout nejenom pasivní ochranu vlastních soukromých údajů, ale i aktivní práva na získávání, zpracování a komunikaci informací. Výrazným problémem informačního sebeurčení je neurčitost pojmu. Přesněji řečeno, jedná se o stále se rozvíjející komplex distributivních informačních práv, jejichž konkrétní obsah se mění v závislosti na používaných technologiích. V současné době je možné za součást informačního sebeurčení označit následující distributivní informační práva: svobodu projevu a vědeckého bádání ochranu soukromí, osobnosti a práva na aktivní soukromý život právo na vzdělání ochranu osobních údajů právo na informace veřejného sektoru. 12 V minulosti se pojem informačního sebeurčení objevil i v českém diskurzu, zejména v otázkách ochrany osobnosti. Ústavní soud např. konstatoval, že základní právo na čest je uplatňováno ve více sférách. V rámci sféry první, soukromé, je každý nadán absolutním informačním sebeurčením. Sám si tedy může rozhodnout, co z tohoto segmentu uvolní, a co naopak nikoli. Zvenčí pak do této sféry nelze vstupovat. Ve sféře druhé, společenské, může existovat určitý veřejný zájem. 13 Nález Ústavního soudu sp. zn. I. ÚS 453/2003 ze dne vysvětluje, že jednotlivec žije ve společenství a vstupuje s ostatními jeho členy do komunikace a skrze své chování, ba dokonce skrze své samotné bytí, ovlivňuje ostatní členy společenství. Téměř totožnou formulaci pak obsahuje i Nález Ústavního soudu IV. ÚS 23/2005 ze dne Z toho důvodu zde již tedy neplatí absolutní informační sebeurčení a veřejná moc může proporcionálně zasahovat v zájmu společnosti. V tomto kontextu je zajímavým nález Ústavního soudu ČR I. ÚS 22/10 ze dne , 14 kdy soud přiznal ochranu individuální internetové konektivitě. Přístup k internetu vyložil jako extenzi práva na vytváření a rozvíjení vztahů s dalšími lidskými bytostmi, která je integrální součástí respektování soukromého života a tím i informačního sebeurčení. Tento nález nepřestavuje exces, ale spíše utvrzení názorového proudu. Informační sebeurčení se objevilo jako pojem a hodnota i v nálezu Ústavního soudu sp. zn. Pl. ÚS 24/10 ze dne Nález Spolkového ústavního soudu ze dne , č.j. BverfGE 65, 1 [cit ]. Dostupné z: Překlad dle POLČÁK 2012 op. cit., s POLČÁK 2012 op. cit., s Nález Ústavního soudu ČR ze dne , sp. zn. II. ÚS 171/12. In: NALUS [databáze rozhodnutí Ústavního soudu]. Ústavní soud [cit ]. Dostupné z: 14 Nález Ústavního soudu ČR ze dne , sp. zn. I. ÚS 22/10. In: NALUS [databáze rozhodnutí Ústavního soudu]. Ústavní soud [cit ]. Dostupné z:

35 i ve věci přístupu orgánů činných v trestním řízení k údajům o telekomunikačním provozu podle 88a zákona č. 141/1961 Sb, trestního řádu, kdy se jednalo o nález ve věci Pl. ÚS 24/11 ze dne Soud zde dovodil, že přístup orgánů činných v trestním řízení k údajům o telekomunikačním provozu bez souhlasu uživatele představuje závažnou invazi do sféry informačního sebeurčení. I na základě toho konstatoval protiústavnost výše zmíněného ustanovení 88a. III KYBERNETICKÁ BEZPEČNOST Stejně jako informační sebeurčení vychází z informační společnosti, která je reflexí přirozených tendencí, ani kybernetická bezpečnost nestojí v systému zcela o nezávisle. Zajišťování společenské reprodukce patří mezi základní materiální funkce státu. 17 Stát této primární odpovědnosti dostává formou nedistributivních práv. Jedním z nich je právě kybernetická bezpečnost. S prostým popisem kybernetické bezpečnosti za pomoci triády CIA (důvěrnost, integrita a dostupnost) se tedy nelze spokojit. Kybernetická bezpečnost není pouze souborem bezhodnotových technických řešení pak by legitimizovala absolutní odstranění distributivních práv za bezpečnostním účelem. Při zajišťování bezpečnosti (nedistributivního práva) je nutné omezit individuální svobody jednotlivců (distributivní práva, mj. soukromí), ale toto solidární omezení musí být proporcionální. Nad mírou přípustnosti omezení osobních svobod za účelem bezpečnosti se vedou rozsáhlé diskuze napříč jurisdikcemi. Komponenty zásady proporcionality vyložil Ústavní soud v nálezu sp. zn. Pl. ÚS 4/94 ze dne jako kritérium vhodnosti, potřebnosti a porovnání závažnosti obou v konfliktu stojících práv. Doktrína v této souvislosti zmiňuje i tzv. příkaz k optimalizaci 18 jako maximální využití možných prostředků za účelem minimalizace omezení práva, které musí v konkrétním případě ustoupit v rámci testu proporcionality. Test proporcionality tedy neslouží pouze k vyloučení extrémní disproporcionality, ale opravdu k vyvážení dotčených práv v dané situaci. Test proporcionality tak musí být neoddělitelnou součástí jakékoli legislativní snahy v bezpečnostní oblasti. Příliš široce nastavené pravomoci ve prospěch exekutivy narušují distributivní práva uživatelů, mezi nimi i právo na soukromí. Na druhé straně ale absence úpravy kybernetické bezpečnosti, který by měla pevné principy a sledovala vyvážení 15 Nález Ústavního soudu ČR ze dne , sp. zn. Pl. ÚS 24/10. In: NALUS [databáze rozhodnutí Ústavního soudu]. Ústavní soud [cit ]. Dostupné z: 16 Nález Ústavního soudu ČR ze dne , sp. zn. Pl. ÚS 24/11. In: NALUS [databáze rozhodnutí Ústavního soudu]. Ústavní soud [cit ]. Dostupné z: 17 HOLLÄNDER, Pavel. Základy všeobecné státovědy. 3.vydání. Plzeň: Aleš Čeněk, s. ISBN S ŠIMÍČEK, Vojtěch (ed.). Právo na soukromí. Brno: Masarykova univerzita, Mezinárodní politologický ústav, s. ISBN S. 23.

36 dotčených práv, znemožňuje státu plnit jeho základní povinnosti. V současné době je tak právo na soukromí v informačních sítích omezováno existencí kybernetické bezpečnosti. IV SOUKROMÍ JAKO... CHYBA? Omezování distributivních práv právní regulací práv nedistributivních tak při dodržení maxim stanovených testem proporcionality nepředstavuje zásadní problém. Jako problém je ale nutné vnímat naši rostoucí ochotu spokojit se s nižším standardem ochrany soukromí, než nám test proporcionality poskytuje. Test proporcionality se sice provádí v případě přezkumu výrazných zásahů do soukromí (např. uchovávání provozních a lokalizačních údajů), ale větším problémem postupného rozkladu našeho soukromí jsou spíše sociální sítě, kam informace dáváme dobrovolně. Jak prokázali některé empirické výzkumy, náš nezájem o podmínky zpracování osobních údajů provozovateli služeb, které používáme, je znepokojivý. 19 I v případě našeho zájmu o tuto problematiku je problém naše práva byť i jen vykonávat, jak prokázal jiný výzkum 20 v oblasti práva subjektu na přístup k informacím o něm uchovávaným. Test proporcionality, kterým zabraňujeme excesivním zásahům do práva na soukromí, je zpětně formován a ovlivňován právě naší obezřetností. Není totiž důvod přiznávat ochranu něčemu, čeho si uživatelé a jednotlivci dostatečně neváží. Máme se tedy ptát, jestli není právo na soukromí přežitek minulosti, který nemá v informační společnosti své místo? Není predikce na základě sebraných dat vzhledem k charakteru hrozeb, kterým dnešní společnost čelí, přece jenom důležitější než je soukromí jednotlivce? Tyto otázky nejsou z nejpříjemnějších a staví informační společnost do poměrně nepříznivého světla. Jenže pouze hledáním odpovědí na tyto otázky a vzděláváním uživatelů je možné těmto scénářům zabránit. Právo na soukromí je totiž, přes veškerou nejasnost ve vymezení, příliš důležitou hodnotou, než aby bylo odmítnuto jako evoluční odchylka. Mgr. Jakub Harašta Jakub Harašta, nar. 1988, absolvoval v roce 2013 v magisterském programu Právo a právní věda na právnické fakultě MU. V roce 2011 absolvoval stáž na Velvyslanectví České republiky ve Vilniusu a v roce 2012 v advokátní kanceláři Valterse Gencse v Rize. Působil také jako advokátní koncipient. Je asistentem na Ústavu práva a technologií Právnické fakulty Masarykovy univerzity a externím doktorandem tamtéž. Ve své odborné činnosti se zaměřuje na oblast kybernetické bezpečnosti a kybernetické války. Kontakt: jakub.harasta@law.muni.cz 19 Např. projekt CONSENT (viz consent.law.muni.cz) 20 Projekt IRISS (viz irissproject.eu)

37 Kybernetický prostor viděn ze zahraničí: Národní strategie kybernetické bezpečnosti České republiky Daniel P. Bagge M.A., Mgr. Roman Pačka ÚVOD Zajištění kybernetické bezpečnosti státu je jednou z klíčových výzev současné doby. Závislost veřejného a soukromého sektoru na informačních a komunikačních technologiích se stává stále zřetelnější. Sdílení a ochrana informací je v dnešní době zásadní pro ochranu zájmů státu a jeho obyvatel v oblasti bezpečnosti, ekonomiky a hospodářství. Zatímco široká veřejnost se nejvíce obává finančních ztrát či ztráty svých dat a zneužití osobních údajů, realita celé problematiky kybernetické bezpečnosti je mnohem rozsáhlejší. Významnými riziky jsou kybernetická špionáž (ať průmyslová, vojenská, politická či jiná), za kterou stále častěji stojí přímo vlády, potažmo bezpečnostní struktury konkrétního státu, působení organizovaného zločinu v kyberprostoru, hacktivismus, záměrné šíření dezinformací za účelem dosažení politických a vojenských cílů, či v budoucnu i kyberterorismus. Riziko v současnosti představují nejen velmi frekventované kybernetické útoky prováděné za účelem např. ekonomického prospěchu, ale i případy narušení bezpečnosti a integrity sítí způsobené nezáměrně, např. selháním lidského faktoru, živelnou pohromou apod. Stát musí být schopen zajistit účinnou reakci na všechny současné i budoucí výzvy v prostředí neustále se měnících kybernetických hrozeb, které mohou z dynamicky se vyvíjejícího kyberprostoru přicházet a garantovat tak zabezpečený a důvěryhodný kyberprostor. S ohledem na otevřený a veřejně přístupný charakter internetu, který se vyznačuje absencí geografických hranic, vyžaduje ke svému zabezpečení a ochraně nejen iniciativu samotného státu, ale také součinnost občanů. Stát soustavně buduje a navyšuje národní kapacity v této oblasti, avšak bez kooperace se soukromým sektorem a akademickou sférou, dále bez intenzivní mezinárodní spolupráce a zejména bez zapojení samotných uživatelů, není zajištěna potřebná efektivita těchto aktivit. 1. Kybernetická bezpečnost v ČR Jak je z výše uvedeného patrné, oblast kybernetické bezpečnosti nabývá neustále na svém významu a již nyní platí za jeden z určujících aspektů bezpečnostního prostředí České republiky (ČR). Konkrétně pojem kybernetické bezpečnosti představuje v ČR souhrn organizačních, politických, právních, technických a vzdělávacích opatření a nástrojů směřujících k zajištění zabezpečeného, chráněného a odolného kyberprostoru v ČR, a to jak pro subjekty veřejného a soukromého sektoru, tak pro širokou českou veřejnost. Kybernetická bezpečnost pomáhá identifikovat, hodnotit a řešit hrozby v kyberprostoru, snižovat kybernetická rizika a eliminovat dopady kybernetických útoků, informační kriminality, kyberterorismu a kybernetické špionáže ve smyslu posilování důvěrnosti, integrity a dostupnosti dat, systémů a dalších prvků informační a komunikační infrastruktury. 1

38 V ČR byl na konci roku 2011 vládou ustaven Národní bezpečnostní úřad (NBÚ) jako gestor a zároveň národní autorita v oblasti kybernetické bezpečnosti. V rámci této snahy pak NBÚ v roce 2014 oficiálně otevřel v Brně Národní centrum kybernetické bezpečnosti (NCKB), které má v řešení kybernetické bezpečnosti v ČR zásadní roli. NCKB tedy představuje organizační složku NBÚ a skládá se z vládního CERT (GovCERT.CZ) a Oddělení teoretické podpory vzdělávání a výzkumu (OTPVV). Po svém předchůdci v této funkci (Ministerstvu vnitra) pak NBÚ převzal Strategii kybernetické bezpečnosti ČR na období , kterou aktualizoval v roce 2012 a následně úspěšně implementoval a naplnil. S blížícím se ukončením platnosti a splněním všech zásadních cílů této strategie pak v poslední době začalo NCKB pracovat na vytvoření nové národní strategie kybernetické bezpečnosti, která by plně odpovídala současným výzvám a potřebám ČR na poli kybernetické bezpečnosti. V současné době tak již čeká na schválení nová Národní strategie kybernetické bezpečnosti České republiky na období let 2015 až 2020 (dále jen Strategie ), která bude představovat základní koncepční dokument vlády České republiky pro příslušnou oblast a bude v souladu s bezpečnostními zájmy a východisky definovanými v Bezpečnostní strategii České republiky. Bude tak sloužit jako výchozí dokument pro tvorbu navazujících právních předpisů, politik či standardů, směrnic a jiných doporučení v rámci ochrany a zabezpečení kyberprostoru v ČR. 2. Základní strategický a koncepční rámec kybernetické bezpečnosti v ČR Bezpečnostní strategie ČR deklaruje základní hodnoty, zájmy, přístupy, ambice a nástroje ČR při zajišťování své bezpečnosti a formuluje principy, na nichž je bezpečnostní politika ČR založena. V této strategii jsou definovány životní, strategické a další významné zájmy ČR, bezpečnostní prostředí ČR i popis bezpečnostního systému ČR. Bezpečnostní strategie ČR je tak základním dokumentem bezpečnostní politiky ČR, který ve svém textu na obecnější úrovni akcentuje samozřejmě i bezpečnost kybernetickou. Na tuto strategii pak navazují dílčí strategie a koncepce. V rámci zajišťování kybernetické bezpečnosti jsou nejdůležitější dvě hlavní navazující strategie/koncepce. Jednak Bílá kniha o obraně, která definuje v oblasti kybernetické obrany hlavní úkoly Ministerstva obrany a jednak v současnosti stále platná celonárodní Strategie pro oblast kybernetické bezpečnosti v České republice na období , kterou od nahrazuje zde prezentovaná Národní strategie kybernetické bezpečnosti na období let 2015 až Tato nová Strategie oproti minulé verzi, která operovala spíše v obecnějších konturách a snažila se především o základní vybudování prostředků, kapacit a legislativního/strategického rámce k zajištění kybernetické bezpečnosti, řeší problematiku kybernetické bezpečnosti mnohem více komplexně a systematicky. 2

39 3. Evaluace předešlé strategie a důvody k vytvoření nové Strategie Strategie pro oblast kybernetické bezpečnosti v České republice na období měla zlepšit úroveň kybernetické bezpečnosti pro vládní instituce, kritickou infrastrukturu i pro komerční sféru, potažmo i pro obyvatele České republiky. Konkrétně bylo ve Strategii definováno devět cílů, které se konkretizovaly do 17 bodů Akčního plánu, které byly splněny, nebo je jejich plnění zajišťováno průběžně. Zdůraznit lze zejména: 1. Předložení vládě ČR návrh zákona o kybernetické bezpečnosti a o změně souvisejících zákonů, který byl následně schválen vládou i Parlamentem ČR a Prezident republiky jej podepsal dne 13. srpna 2014 (Zákon o kybernetické bezpečnosti nabude platnosti dnem vyhlášení ve Sbírce zákonů a účinný bude od 1. ledna 2015). 2. Aktivní zapojení ČR do mezinárodních cvičení kybernetické bezpečnosti. NBÚ, potažmo jeho specializované pracoviště NCKB se zúčastnilo již mnoha cvičení v oblasti kybernetické bezpečnosti, a to ať již samostatně, tak i ve spolupráci s např. vojenským CIRC, MO, MZV, Policií ČR, BIS, CZ.NIC, aj. (např. cvičení: Cyber Coalition, CMX, Locked Shield, Cyber Europe, cvičení CECSP). 3. Vybudování NCKB, tedy pracoviště zajišťující koordinaci spolupráce na národní i mezinárodní úrovni v oblasti kybernetické bezpečnosti a provádí kvalitní a efektivní systém detekce, analýzy, řešení a předpovídání kybernetických útoků. Součástí tohoto centra je i GovCERT.CZ, jehož úloha spočívá v monitorování kybernetického prostoru a odhalování a řešení kybernetických útoků, jejich prevence, apod. 4. Aktivní spolupráce s vybranými vysokými školami, se kterými NBÚ podepsalo rámcové smlouvy o spolupráci, které umožňují realizaci společných projektů v rámci kybernetické bezpečnosti. 5. Aktivně účast ČR na přípravě mezinárodní legislativy, norem, apod. a participace na dalších aktivitách týkajících se kybernetické bezpečnosti v rámci Evropské unie i mimo ní. Závěrem je pak třeba podtrhnout, že dva hlavní strategické cíle, o něž se Strategie opírala (vytvoření legislativního rámce v kybernetické bezpečnosti a vybudování Národního centra kybernetické bezpečnosti a vládního pracoviště CERT), byly úspěšně splněny a zbytek úkolů, respektive hlavních cílů Strategie byl rovněž uskutečněn, či je průběžně naplňován. Realizaci Strategie je tak na základě zde překládaného vyhodnocení možno považovat za úspěšnou a lze konstatovat, že v České republice byla od roku 2012 nezanedbatelně navýšena úroveň kybernetické bezpečnosti. Vzhledem k tomuto vyčerpání, respektive splnění cílů a úkolů a končící platnosti strategie, proto byla vytvořena zcela nová Strategie pro období

40 4. Národní strategie kybernetické bezpečnosti ČR na období let Struktura Strategie Z hlediska struktury a členění samotného textu Strategie je nejprve představena vize České republiky pro oblast kybernetické bezpečnosti, přesahující časový rámec této Strategie ( ), a následně jsou definovány základní principy, které stát následuje při zajišťování kybernetické bezpečnosti v České republice. Na tuto první obecnější část navazuje kapitola o konkrétních výzvách na poli kybernetické bezpečnosti jak pro Českou republiku, tak i pro mezinárodní prostředí, v jehož rámci se Česká republika nachází. Závěrem jsou představeny hlavní strategické cíle, které těmto výzvám čelí a ze kterých vychází konkrétní Akční plán kybernetické bezpečnosti České republiky na období let 2015 až 2020 (dále jen Akční plán) Vybrané výzvy Ve Strategii je definováno přesně 19 výzev, které ČR identifikuje v současné době jako zásadní. Jedná se o problémy a trendy, kterým ČR a její občané čelí, a na které musí stát určitým způsobem (pomocí stanovení hlavních cílů a kroků v Akčním plánu) reagovat. Za příklady lze uvést: Česká republika jako možný testovací objekt Česká republika jakožto země, využívající k zajištění bezpečnosti moderní technologie používané i dalšími státy, může sloužit útočníkům jako testovací objekt před samotným útokem na naše spojence či jiné státy s větším strategickým významem, užívající stejné technologie a zabezpečovací mechanismy a procesy jako Česká republika. Se vzrůstajícím počtem uživatelů mobilních platforem stoupá i množství mobilního malware Malá část společnosti využívá alespoň základní ochranné prvky (např. antivirové programy) ve svých chytrých telefonech a tabletech. Tohoto využívají útočníci, což dokládá každoročně se zvyšující množství malware i uskutečněných útoků na tato zařízení. Možnosti zneužití zadních vrátek hardware pro exfiltraci informací Se zvyšujícím se počtem uživatelů a dodavatelů technologií roste riziko zabudování zadních vrátek do hardware. Ta mohou být následně zneužita například pro sledování a získávání strategicky důležitých či osobních a citlivých dat. Big data, skladování dat v nových prostředích Ochrana a zabezpečení dat je pro Českou republiku velmi důležité, a to především těch, která jsou záležitostí veřejného zájmu. Ve veřejné i soukromé sféře narůstá množství dat, se kterými se pracuje a která je zapotřebí nadále skladovat. Začaly se proto využívat nové formy ukládání dat, např. cloudová úložiště. Zvýšené používání těchto online služeb a cloudů 4

41 však vede mnohdy k netransparentnímu řešení zabezpečení, jehož důvěryhodnost je minimálně sporná. Ochrana průmyslových řídicích systémů a informačních systémů ve zdravotnictví Ze sféry přímého ekonomického prospěchu útočníků se útoky přesouvají například do oblasti kybernetické průmyslové špionáže, kybernetického vandalismu a vyhledávání zranitelností prvků kritické infrastruktury a významných informačních systémů. Útočníci se stále více zaměřují na takové prvky informační infrastruktury, jakými jsou např. energetické systémy, produktovody a informační systémy ve zdravotnictví. Tyto systémy, jejichž selhání může mít fatální následky, se však vyznačují vysokou heterogenností technického řešení, s čímž přímo souvisí i technická náročnost jakýchkoliv ex post analýz. Vzrůstající závislost obranných složek státu na informačních a komunikačních technologiích Informační a komunikační technologie ve stále větší míře pronikají do systémů, sítí i samotné techniky obranných složek státu. Zranitelnosti těchto technologií a hrozby jejich narušení nebo zničení včetně působení kybernetických útoků výrazně zvyšují rizika negativního dopadu na plnění základních schopností obranných složek při obraně státu a při plnění závazků vyplývajících zejména z členství v Severoatlantické alianci a Evropské Unii. Obranné složky státu musí mít schopnost efektivně reagovat na hrozby plynoucí z kyberprostoru a aktivně participovat na jejich zneškodnění. Malware je stále sofistikovanější S vyšší sofistikovaností škodlivého softwaru i samotných útočníků jsou silně omezeny možnosti dohledání zdroje útoku, tj. možnosti reverzního inženýrství a forenzní analýzy. Tyto analytické postupy budou předmětem vzdělávání odborníků na kybernetickou bezpečnost. Botnety a DDoS/DoS útoky Botnety, pomocí nichž se provádějí velmi časté DDoS/DoS útoky, nabývají na robustnosti, odolnosti a míře svého utajení. Z těchto důvodu je nezbytné zvýšit povědomí o možnostech obrany proti DDoS/DoS útokům. Nedostatek odborníků na kybernetickou bezpečnost a nutnost revize stávajících studijních programů ve školství Český model vzdělávání a výchovy v oblasti kybernetické bezpečnosti neodpovídá v současné podobě aktuálním požadavkům a trendům. Z tohoto důvodu pak nedostatečně vzdělává a vychovává na základním a středním stupni žáky, a také v nedostatečné míře nabízí vysokoškolské programy, které by vytvářely odborníky na kybernetickou bezpečnost. Poptávka po těchto odbornících je přitom vysoká. 5

42 A dále také: Nedostatečná důvěra veřejnosti ve stát Vzrůstající počet uživatelů internetu, informačních a komunikačních technologií a narůstající kritičnost jejich selhání Hrozby a rizika spjaté s užíváním sociálních sítí na internetu Inteligentní energetické sítě Koncept internetu věcí Nárůst informační kriminality Bezpečnostní rizika spjatá s přechodem z protokolu IPv4 na IPv6 Bezpečnostní rizika spjatá s elektronizací veřejné správy (egovernment) Nedostatečné zabezpečení malých a středních podniků 4.3. Vybrané hlavní cíle: A. Zajištění efektivity a posilování všech struktur, procesů a spolupráce při zajišťování kybernetické bezpečnosti Vytvořit efektivní model spolupráce na národní úrovni mezi jednotlivými subjekty kybernetické bezpečnosti pracoviště typu CERT a CSIRT, subjekty KII apod., a posilovat jejich stávající struktury a procesy. Vytvořit národní, koordinovaný postup pro zvládání incidentů, který nastaví formát spolupráce, bude obsahovat komunikační matici, protokol postupu a definovat jednotlivé role aktérů. Vytvořit metodologii pro hodnocení rizik v České republice na úrovni státu. Udržovat jednotný postoj České republiky směrem do zahraničí, který bude koordinován s ostatními resorty zainteresovanými v oblasti kybernetické bezpečnosti. Zohledňovat odpovídajícím způsobem neustále se vyvíjející problematiku kybernetických hrozeb v rámci tvorby a aktualizací významných bezpečnostněstrategických materiálů České republiky (Bezpečnostní strategie České republiky a další). B. Aktivní mezinárodní spolupráce V rámci svého členství v Evropské Unii, Severoatlantické alianci, Organizaci spojených národů, Organizaci pro bezpečnost a spolupráci v Evropě, Mezinárodní telekomunikační unii a dalších mezinárodních organizacích se bude ČR aktivně podílet na mezinárodní diskuzi v aktivitách v rámci fór, programů, iniciativ apod. Ve středoevropském prostoru působit jako propagátor kybernetické bezpečnosti a dialogu mezi státy regionu. Navazovat a prohlubovat bilaterální spolupráci s dalšími státy. Účastnit se a organizovat mezinárodní cvičení. Účastnit se a organizovat mezinárodní školení. 6

43 Podílet se na vytváření efektivního modelu spolupráce a budování důvěry mezi pracovišti typu CERT a CSIRT na mezinárodní úrovni, mezinárodními organizacemi a akademickými centry. Podílet se na vytváření mezinárodního konsenzu v rámci oficiálních i neoficiálních kanálů ohledně právních norem a chování v kyberprostoru, zajištění otevřenosti internetu, lidských práv a svobod. C. Ochrana národní KII a VIS Pokračovat v průběžné analýze a kontinuálním sledování zabezpečení systémů KII a VIS v ČR pomocí jasně definované metodologie. Podporovat vznik dalších pracovišť typu CERT a CSIRT v České republice. Průběžně navyšovat odolnost, integritu a důvěryhodnost systémů a sítí KII a VIS. Kontinuálně provádět analýzu a monitoring hrozeb a rizik v České republice. Efektivně sdílet informace mezi státem a subjekty KII a VIS. Navyšovat technologické kapacity a schopnosti Národního centra kybernetické bezpečnosti (dále jen NCKB), potažmo GovCERT.CZ a v rovině personální neustále vzdělávat a školit zaměstnance/experty tohoto pracoviště. Důkladně a důvěryhodně zabezpečit prostředí pro skladování a práci s daty subjektů KII a VIS, které zřídí a bude spravovat stát. Pravidelně provádět kontrolu, odhalování chyb a zranitelností v informačních systémech a sítích využívaných státem, založené na principu penetračních testů v KII a VIS. Průběžně navyšovat technologické a organizační předpoklady k aktivnímu odvrácení (potlačení) kybernetických útoků. Zvyšovat národní možnosti, schopnosti a kapacity v oblasti aktivní obrany a protiopatření proti kybernetickým útokům. Vzdělávat specializované odborníky, kteří se zaměří na problematiku a možnosti aktivních protiopatření při zajišťování kybernetické bezpečnosti a obrany a na obecně ofenzivní pojetí kybernetické bezpečnosti. Zpracovat postup pro přechod mezi vyhlášeným stavem kybernetického nebezpečí dle zákona o kybernetické bezpečnosti a stavy dle ústavního zákona č. 110/1998 Sb., o bezpečnosti České republiky. D. Právní úprava pro kybernetickou bezpečnost (vytváření právního rámce). Účast na tvorbě a implementaci evropských a mezinárodních pravidel NBÚ a jeho specializované pracoviště NCKB bude průběžně sledovat, diskutovat a hodnotit plnění jednotlivých cílů ve spolupráci s ostatními zainteresovanými subjekty. V rámci každoroční Zprávy o stavu kybernetické bezpečnosti v České republice zajistí zpracování hlášení o stavu naplňování Akčního plánu ve formě přílohy. Zpráva bude vládu 7

44 i širokou veřejnost informovat o efektivitě přijímaných opatření a plnění úkolů definovaných Strategií. ZÁVĚR Od roku 2011, kdy NBÚ převzal gesci za problematiku kybernetické bezpečnosti v ČR, se úroveň kybernetické bezpečnosti v zemi navýšila a všechny hlavní cíle z přejaté původní strategie byly naplněny. Důkazem zde může být především zřízení NCKB v Brně, či přijatý Zákon o kybernetické bezpečnosti. Jak je z textu patrné, původní strategie na léta sloužila především k nastavení efektivního modelu a možností zajišťování kybernetické bezpečnosti v ČR. Nová Strategie na období pak tento model více rozšiřuje, pracuje více do hloubky, dbá na komplexnost řešení kybernetické bezpečnosti a obecně se dá říci, že oproti předešlé strategii již plně vyhovuje současnému modernímu pojetí národních strategií kybernetické bezpečnosti ve světě. Česká republika tak směřuje ke stavu, kdy se stane jedním z bezpečnějších míst v Evropě k podnikání v kyberprostoru, bude stále odolnější vůči kybernetickým útokům a Česko tak bude schopno lépe chránit své zájmy v kyberprostoru, pomáhat udržovat otevřený, dynamický a stabilní kyberprostor a v neposlední řadě zajistí kontinuální budování znalostí, dovedností a schopností v oblasti kybernetické bezpečnosti. Daniel P. Bagge M.A., Mgr. Roman Pačka Daniel vede oddělení teoretické podpory v Národním centru kybernetické bezpečnosti, NBÚ. Je zodpovědný za Národní strategii kybernetické bezpečnosti a koordinaci v mapování kritické informační infrastruktury. Roman pracuje jako specialista na kyberbezpečnostní strategii v Národním centru kybernetické bezpečnosti, NBÚ. Zabývá se též národní strategií kybernetické bezpečnosti a je styčným důstojníkem pro ENISA a OSCE. Kontakt: nckb@nbu.cz 8

45 ECSM 2014 výsledky průzkumu PhDr. Šárka Soudková, Ph.D. Průzkumu, který proběhl v rámci Evropského měsíce kybernetické bezpečnosti 2014, se zúčastnilo celkem 478 respondentů, z čehož 466 dotazníků bylo použitelných pro další zpracování. Vzorek si nečiní nárok na reprezentativnost, nicméně i přes jeho anketní charakter můžeme pozorovat trendy v oblasti přístupu veřejnosti i profesionálů k problematice kybernetické bezpečnosti. Charakteristika vzorku Zastoupení mužů a žen bylo poměrně vyrovnané 56% vzorku tvořili muži, 44% ženy. Věkové rozložení ukazuje následující tabulka. Nejvíce zastoupení byli mladí lidé do dvaceti let (dvacet let a méně bylo sedmadvaceti procentům mužských respondentů, čtyřiadvaceti procentům respondentek), ale zastoupeni byli i starší respondenti všech věkových kategorií, včetně seniorů nad 70 let. 16,00% 14,00% 12,00% 10,00% 8,00% 6,00% 4,00% 2,00% 0,00% Respondenti dle věku a pohlaví 14,01% 13,58% 12,50% 9,91% 10,13% 7,54% 7,11% 6,68% 6,03% 4,09% 3,02% 2,37% 1,29% 0,65% 0,43% 0,65% muž žena méně než 15 let let let let let let let více než 70 let Vzhledem k věkovému rozložení tedy nepřekvapí, že z hlediska socio-ekonomického statusu převažovali studenti (55%), druhou nejpočetnější skupinou byli zaměstnanci (33%). Necelých

46 Jak často přistupujete na internet? 38% respondentů se rekrutovalo z obecné (z hlediska tématu neodborné) populace, 27% se tématu kybernetické bezpečnosti věnuje v rámci své profese či studia spíše okrajově, pro 28% respondentů je to jedna z dílčích náplní jejich profese či studia a 7% respondentů má kybernetickou bezpečnost jako hlavní náplň jejich studia/profese. Život online Většina respondentů (55%) se k internetu přistupujete několikrát denně. Není však překvapením, že frekvence připojování se k internetu se mění v závislosti na věku respondentů. Mezi mladšími respondenty (do 40ti let) je naprostá většina (71%) online buď neustále, anebo se připojuje k internetu několikrát denně. Největší zastoupení neustále online má věková skupina 21 až 30 let, kde deklaruje neustálé připojení online 54% respondentů. Naopak mezi staršími věkovými kategoriemi (60 a více let) je pětina respondentů, kteří k internetu přistupují méně než jedenkrát týdně. Zde je možná opět důležité připomenout, že tato čísla zcela jistě nelze zobecňovat na celou populaci frekvence připojování se k internetu bude zřejmě naddimenzovaná zejména u starších věkových kategorií. 100% Frekvence přistupování k internetu 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 47,90% 60,19% 13,45% 17,59% 42,50% 48,44% 53,75% 43,75% 62,00% 60,00% 33,33% 20,00% 24,00% 16,00% 11,11% 20,00% méně než 15 let let let let let let více než let 70 let méně než jedenkrát týdně jedenkrát týdně téměř každý den jedenkrát za den několikrát denně jsem online neustále A která zařízení používají respondenti k připojování se k internetu nejčastěji? Nejčastější je používání kombinace dvou a více zařízení. Notebook používá k připojování se na internet

47 67% respondentů, osobní počítač a smartphone se stali k připojování se k internetu stejně populární využívá jich 65% respondentů. Tablet k tomuto účelu využívá 35% respondentů. Nejčastější kombinací (15% respondentů) byla zařízení: Osobní počítač, chytrý telefon, notebook. Opět zde lze vysledovat nepřekvapivý trend mladší generace využívá více mobilních zařízení v kategorii do 40ti let je velmi populární kombinace notebook a chytrý telefon, starší část respondentů, zejména respondenti nad 51 let, výrazně častěji odpovídají, že k přístupu na internet využívají pouze osobní počítač. Internetová bezpečnost Z hlediska bezpečnosti jsou zajímavé odpovědi na otázku Na kterých z využívaných zařízení máte nainstalován antimalware? Je potěšující, že nějakým antimalwarovým programem chrání své PC všichni respondenti, kteří je k připojování k internetu používají, taktéž uživatelé notebooků jsou v toto ohledu relativně pečliví 97% z nich své zařízení (a tím i sebe) takto chrání, nicméně u mobilnějších zařízení, tedy smartphonů a tabletů není využívání antiviru zatím zas tak populární přibližně polovina jejich uživatelů si je žádným antimalwarovým programem nechrání. Počet respondentů, kteří antimalwarový program vůbec nevyužívají je spíše mizivý 2%. Zabezpečení využívaných zařízení antimalwarem 70% 67% 65% 65% 64% 65% 60% 50% 40% 33% 35% používám k přístupu na internet 30% mám nainstalován antimalware 20% 18% 10% 0% PC notebook smartphone tablet Pokud se zaměříme na společnosti poskytující antimalwarové programy a jejich využívání našimi respondenty, zjišťujeme, že nadpoloviční většina (62%) respondentů je věrna jedné společnosti, ostatní využívají kombinace produktů dvou, tří i více společností.

48 Nejpopulárnější mezi našimi respondenty je společnost Avast, jehož produkty využívá (samostatně či v kombinacích) 52% respondentů. Popularitu ostatních společností mezi našimi respondenty ukazuje následující tabulka. Antimalware jaké společnosti používáte? 60% 52% 50% 40% 30% 20% 10% 0% 29% 21% 16% 12% 7% 2% 0% 3% Téměř každý již na vlastní kůži zažil některý z potenciálně či reálně ohrožujících nepříjemností. Osobní zkušenost s některým z (námi předložených) negativních jevů v kyberprostoru má 99% respondentů, tedy i naprostá většina dětí do 15ti let. Většina respondentů se setkala se spamem (89%), počítačovými virem (74%), ale i s dalšími negativními jevy kybersvěta se respondenti setkávali poměrně hojně. Osobní zkušenost s danými jevy 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 89% spam 74% počítačový virus 41% 23% 21% 19% 10% hoax spyware phishing scam DDoS

49 A kde se naši respondenti poprvé setkali s tématem kybernetické bezpečnosti? Samozřejmě záleží na věku. Ve věkové kategorii do 20ti let převládali odpovědi na základní škole (59%), nebo od rodičů (26%), respondenti dříve narození se logicky touto cestou s problematikou seznámit nemohli mezi jejich nejčastější odpovědi patřilo z veřejných zdrojů (televize, rozhlas, noviny, internet) (31%). Kde jste se poprvé seznámili s kybernetickou bezpečností, nebo obecně se zásadami bezpečného chování na internetu? 9,38% 1,92% 3,84% 9,81% doposud nikde a nikdy nevím jak se na internetu chovat bezpečně na konferenci nebo jiné odborné akci na střední škole 19,40% 5,76% na vysoké škole na základní škole 10,02% 32,20% od přátel či sourozenců od rodičů 7,68% při sledování veřejných zdrojů (televize, rádio, noviny, internet) při zaměstnání od svého zaměstnavatele

50 Rozložení dle věku ukazuje následující tabulka. Kde jste se poprvé setkali s kybernetickou bezpečností let let let 0,00% 0,00% 0,00% 0,00% 0,00% 0,00% 8,00% 0,00% 8,00% 0,00% 8,00% 4,00% 0,00% 3,92% 1,96% 1,96% 0,00% 22,22% 33,33% 22,22% 22,22% 32,00% 40,00% 25,49% 31,37% 15,69% 19,61% při zaměstnání od svého zaměstnavatele při sledování veřejných zdrojů (televize, rádio, noviny, internet) od rodičů od přátel či sourozenců na základní škole let 19,05% 1,59% 12,70% 3,17% 9,52% 15,87% 4,76% 0,00% 33,33% na vysoké škole na střední škole let let 7,59% 3,80% 7,59% 11,39% 13,92% 0,00% 2,53% 0,91% 10,91% 8,18% 6,36% 0,00% 11,82% 0,00% 2,73% 26,58% 26,58% 59,09% na konferenci nebo jiné odborné akci doposud nikde a nikdy nevím jak se na internetu chovat bezpečně méně než 15 let 0,00% 4,92% 6,56% 0,00% 0,82% 0,00% 2,46% 26,23% 59,02% 0,00% 10,00% 20,00% 30,00% 40,00% 50,00% 60,00% 70,00%

51 Většina našich respondentů (54%) si informace o kybernetické bezpečnosti vyhledává sama. Polovina z nich v souvislosti se svým zaměstnáním či v rámci své profesní přípravy, polovina z nich z osobního zájmu. Přístup k aktivnímu zájmu o téma kyberbezpečnosti se samozřejmě odvíjí od věku a s ním souvisejícího socio-ekonomického statusu. Následující tabulka ukazuje zájem o informace o kyberbezpečnosti dle věkových kategorií. Vyhledávání informací o kybernetické bezpečnosti 80,00% 74,17% 75,00% 70,00% 64,22% 60,00% 50,00% 56,25% 51,56% 52,00% 45,83% 44,44% 40,00% 30,00% 20,00% 10,00% 0,00% 23,33% 2,50% méně než 15 let 34,00% 33,33% 33,33% 29,36% 26,56% 23,75% 20,00% 21,88% 20,83% 22,22% 14,00% 6,42% 25,00% 0,00% let let let let let let více než 70 let aktivně nevyhledávám vyhledávám v souvislosti se svou profesí/profesní přípravou vyhledávám z osobního zájmu

52 Informace o kybernetické bezpečnosti a obecně o bezpečnosti na internetu čerpají naši respondenti nejčasteji ze specializovaných médií, jako jsou magazíny, online zdroje (50%), velká část využívá jako zdroj informací také obecná média (43%) a informuje se o této problematice u přátel, známých a kolegů (40%). Matreiály dostupné v rámci profese či profesní přípravy slouží jako zdroj informací pro 28% respondentů. Kde čerpáte informace o kyberbezpečnosti a bezpečnosti na internetu? 50% 40% 30% 20% 10% 0% 43% 50% 28% 40% 18% Pokud přetřídíme data dle odborného zaměření respondentů, zjišťujeme, že pro obecnou (neexpertní populaci) jsou nejčastějším zdrojem informací obecná média (47%), a pro ty, kteří se kyberbezpečností zabývají částečně či výhradně, nabývá důležitost čerpání informací z profesních materiálů a specializovaných médií. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Kde čerpáte informace o kyberbezpečnosti a bezpečnosti na internetu? 86% 47% 47% 46% 38% 40% 39% 33% 18% 14% 2% 18% 20% 17% 78% 64% 63% 44% 47% 22% Z obecných médií (televize, rádio, tisk) Ze specializovaných médií (magazíny, online zdroje) Z materiálů dostupných v rámci mé profese/studia Od přátel, známých, kolegů Jinde