KYBERNETICKÁ A INFORMAČNÍ VÁLKA

Transkript

1 KYBERNETICKÁ A INFORMAČNÍ VÁLKA Téma č. 9 OCHRANA A OBRANA PROTI KYBERNETICKÝM ÚTOKŮM mjr. Ing. Petr STODOLA, Ph.D. Univerzita obrany Fakulta ekonomiky a managementu Katedra vojenského managementu a taktiky Operační program: Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: 1.01/2.2.00/ )

2 Osnova Úvod Základní pojmy Kybernetické útoky a hrozby Bezpečnostní politika Nástroje a prostředky pro podporu bezpečnosti Stav realizace kybernetické bezpečnosti v ČR Stav realizace kybernetické bezpečnosti ve světě Závěr Literatura

3 Úvod Současným celosvětovým trendem je nárůst používání komunikačních a informačních technologií To vede k urychlení komunikace, velkému rozmachu dostupných služeb a rozvoji informační společnosti Rapidně však narůstá závislost společnosti na těchto informačních technologiích S rostoucí závislostí výrazně roste riziko jejich zneužití Sofistikovaně vedený útok na informační technologie společnosti může vést k potenciálně značným škodám Útoky jsou stále sofistikovanější a komplexnější

4 Úvod Ze sféry ekonomického prospěchu individuálních útočníků se útoky přesouvají do oblasti organizované kybernetické průmyslové špionáže a kybernetického terorismu Dopady útoků tak mohou být nejen ekonomické (ve veřejném i soukromém sektoru), ale také politické (na národní i mezinárodní úrovni) Pokud je útok veden proti prvkům kritické infrastruktury, je ohrožena bezpečnost nebo samotná existence státu Obecným trendem je kvalitní ochrana informačních technologií před zásahy, které mohou ohrozit jejich chod Oblast kybernetické bezpečnosti je jedním z určujících aspektů bezpečnostního prostředí všech vyspělých států

5 Základní pojmy Kybernetický útok Kybernetická hrozba Kybernetická obrana Bezpečnostní politika Bezpečnostní cíle Bezpečnostní funkce Bezpečnostní mechanismy Kritická infrastruktura Ochrana kritické infrastruktury

6 Základní pojmy Kybernetický útok Promyšlené škodlivé jednání útočníků zaměřené proti komunikačním a informačním technologiím s cílem způsobit škody nebo naplnit určitý sociální, ideologický, náboženský, politický nebo jiný záměr Kybernetická hrozba Potenciální možnost zneužití informačních technologií Škody plynoucí ze zneužití těchto technologií jsou nejčastěji způsobené únikem informací, narušením integrity, potlačením služeb nebo nelegitimním použitím systémů

7 Základní pojmy Kybernetická obrana Realizace bezpečnostních opatření na informačních technologiích, které slouží k ochraně před kybernetickými útoky Bezpečnostní politika Soubor bezpečnostních zásad a předpisů s cílem minimalizovat rizika kybernetických útoků Bezpečnostní cíle Požadavky definující minimální úrovně rizik, při kterých bude zaručeno požadované zabezpečení informačních technologií

8 Základní pojmy Bezpečnostní funkce Funkce prosazující plnění stanovených bezpečnostních cílů Mohou být fyzické, technické, logické nebo administrativní povahy Bezpečnostní mechanismy Techniky pro implementaci bezpečnostních funkcí nebo jejich částí Patří sem prevence útoků, detekce útoků, opravné mechanismy

9 Základní pojmy Kritická infrastruktura Jedná se o výrobní a nevýrobní systémy a služby, jejichž nefunkčnost má závažný dopad na bezpečnost státu, ekonomiku, veřejnou správu a zabezpečení základních životních potřeb obyvatelstva Ochrana kritické infrastruktury Souhrn opatření, která při zohlednění možných rizik kybernetických útoků směřují k zabránění jejího narušení

10 Kybernetické útoky a hrozby Kybernetické útoky na kritickou infrastrukturu státu mohou mít zásadní dopad na jeho funkčnost, ekonomiku, bezpečnost, zabezpečení životních potřeb obyvatel apod. Mezi klíčové systémy kritické infrastruktury patří: Energetický průmysl Zdravotnictví Telekomunikační a poštovní služby Obranný průmysl Dopravní infrastruktura Finanční a bankovní sektor Zemědělství Chemický průmysl apod.

11 Kybernetické útoky a hrozby Spektrum útočníků je různorodé, stejně tak jejich motivace a rozsah záměrů Potenciálními kybernetickými útočníky mohou být: Vnitřní útočníci Počítačové kriminální skupiny Autoři počítačových virů Hackeři Kybernetičtí teroristé Zpravodajské služby Zahraniční armády Vojenské organizace apod.

12 Kybernetické útoky a hrozby Kybernetické útoky jsou vedeny na používané informační technologie za účelem získání citlivých informací, porušení jejich integrity, nebo vyřazení služeb z činnosti Nejčastějšími formami útoku jsou: Neautorizovaný přístup do systému za účelem získání citlivých informací nebo zneužití služeb systému Implantace škodlivého softwaru (počítačové viry, červi, trojské koně), který se šíří v počítačových sítích Útoky na potlačení služeb systému (Denial of Service, DoS) často v distribuované podobě (DDoS)

13 Bezpečnostní politika Soubor bezpečnostních zásad a předpisů s cílem minimalizovat rizika útoků Bezpečnostní politika je realizována prostřednictvím bezpečnostních funkcí Bezpečnostní politika bývá uspořádána hierarchicky: Politika činnosti organizace Finanční politika organizace Personální politika organizace Provozní politika organizace Bezpečnostní politika organizace Softwarová bezpečnostní politika organizace Hardwarová bezpečnostní politika organizace a další.

14 Bezpečnostní politika Typy bezpečnostních politik Vojenská (vládní) bezpečnostní politika Slouží primárně k zajištění důvěrnosti informací, tzn. utajení citlivých informací podle kategorie důvěrnosti (PT, T, D, V) Nejznámější model: Bell-LaPadula Obchodní bezpečnostní politika Slouží primárně k zajištění integrity informací, tzn. k zamezení falšování dat (např. v bankovním sektoru) Nejznámější modely: Biba integrity model, Lipner s integrity matrix model, Clark-Wilson integrity model Hybridní bezpečnostní politika Zajištění důvěrnosti a integrity informací v určitém poměru Nejznámější modely: Chinese Wall model, Clinical information systems security policy, Role-based access model

15 Bezpečnostní politika Fáze tvorby bezpečnostní politiky Jedná se o cyklický kontinuální proces Jednotlivé fáze jsou: Analýza a správa rizik Specifikace bezpečnostní politiky Implementace a správa bezpečnostní politiky Testování a audit Krizové plány Dokumentace

16 Bezpečnostní politika Analýza a správa rizik Riziko představuje pravděpodobnost, že bezpečnostní hrozba bude uplatněna na zranitelném místě Bezpečnostní politika je užitečná, pokud přínos snížení rizik se vyrovná nákladům na návrh, implementaci a provoz bezpečnostních mechanismů Chybně provedená analýza rizik má za následek chybně zvolená bezpečnostní opatření Postup při analýze rizik: Identifikace aktiv a stanovení jejich hodnoty Identifikace hrozeb pro aktiva Identifikace zranitelných míst aktiv Odhad rizik a pravděpodobností útoků Odhad očekávaných ztrát Vypracování přehledu použitelných opatření a jejich cen Odhad úspor aplikací zvolených opatření

17 Bezpečnostní politika Specifikace bezpečnostní politiky Jedná se o vyjádření o vyžadovaných funkcích systému Formy vyjádření: matematické, verbální Výstupem analýzy rizik je seznam aktiv s popisem odhadovaných rizik Při specifikaci jsou definovány bezpečnostní požadavky vedoucí ke snížení rizik na akceptovatelnou míru Bezpečnostní požadavky jsou realizovány prostřednictvím bezpečnostních opatření Bezpečnostní opatření plní bezpečnostní procedury, které popisují techniky pro implementaci bezpečnostních funkcí Účinnost bezpečnostních procedur musí být v souladu s bezpečnostní politikou

18 Bezpečnostní politika Implementace a správa bezpečnostní politiky Nejprve je třeba rozhodnout, jaká opatření budou implementována (hotové produkty nebo na zakázku) Každé objevené riziko je nutné řešit prostřednictvím jedné ze strategií řízení rizik: Přijetí rizika: akceptování veškerých důsledků plynoucích z hrozby Zmírnění rizika: snížení hrozby pro aktiva nebo redukce závislosti organizace na tomto aktivu Přenesení rizika: přenesení části rizika na třetí stranu Vyhnutí se riziku: úplné zabránění riziku odstraněním zdroje hrozby nebo závislosti organizace na ohroženém aktivu Správné provozování systému požaduje kontinuální provádění správy a inovace bezpečnostní politiky

19 Bezpečnostní politika Testování a audit Ověřování realizovaných bezpečnostních opatření Analýza uskutečněných útoků, způsobených škod, zneužitých slabin a zodpovědných činitelů Audit může být interní nebo externí (zajištěn cizí firmou) Komponenty auditního systému: Logovací mechanismus: záznam informací získaných testováním bezpečnostních opatření Analyzátor: analýza dat z logovacích souborů za účelem detekce určité události nebo problému Upozorňovací mechanismus: zpracování a prezentace výsledků auditu na základě provedené analýzy, popř. realizace předem definovaných kroků k zabezpečení objeveného problému

20 Bezpečnostní politika Krizové plány (Business Continuity Plans, BCP) Krizové plány slouží pro případ útoku nebo havárie systému a definují bezprostřední kroky a postupy Plán činnosti po útoku Postupy poskytování služeb při zjištěném útoku Náhradní řešení při vyřazení provozních prostředků z provozu Fáze reakce na útok: První reakce: zjištění situace a kontaktování odpovědného pracovníka Řešení incidentu: posouzení důsledků a omezený provoz systému Obnova informačních technologií: obnova systému do původního stavu Analýza incidentu: dokumentace, zhodnocení řešení, návrh změn Plán obnovy po havárii Postupy při obnově činnosti po havárii Havárie způsobuje nejčastěji výpadky provozních prostředků

21 Bezpečnostní politika Dokumentace Dokumentace je důležitá součást bezpečnostní politiky V dokumentaci jsou obsaženy informace týkající se: Specifikace systému: stručný popis architektury systému a definice jeho činnosti Manuály systému: popis hardwarových a softwarových komponent systému a návody, jak tyto komponenty konfigurovat a provozovat Provozní procedury: popis provozu konkrétního systému a jeho možné konfigurace, odpovědných osob za komponenty systému, postupy a chování personálu v konkrétních situacích apod.

22 Nástroje pro podporu bezpečnosti Autentizace osob Kryptografie Monitorovací systémy Řízení přístupu (autorizace) Další nástroje a prostředky

23 Nástroje pro podporu bezpečnosti Autentizace osob Ověření identity uživatele s požadovanou mírou záruky Uživatelé mají přiřazení práva k provádění operací Možné formy autentizace: Hesla a piny Nejčastější forma autentizace, výhodou je snadná implementace Nevýhody: špatné nakládání osob s hesly, používání slabých hesel Biometrika Využití jednoznačných vlastností živých organismů k ověření totožnosti Možnosti: otisk prstu, vzor oční duhovky nebo sítnice, srovnání obličeje, geometrie ruky, verifikace hlasu aj. Tokeny Využití unikátních identifikátorů k ověření totožnosti Možnosti: magnetické a čipové karty, autentizační kalkulátory

24 Nástroje pro podporu bezpečnosti Kryptografie Kryptografie (šifrování) je nauka o metodách převodu zpráv do podoby čitelné jen se speciální znalostí Velmi často používaná metoda pro zajištění důvěrnosti, integrity a autenticity dat (na HW i SW úrovni) Používané formy kryptografie: Hašovací funkce: jednosměrný výpočet kontrolního součtu ze zprávy nebo většího množství dat ke kontrole jejich integrity (např. MD5, SH-1, SH-2) Elektronický podpis: metoda pro zajištění integrity dokumentu a ověření jejího autora Symetrické šifrování: pro šifrování i dešifrování je použit stejný klíč (např. AES, DES, IDEA, Triple DES) Asymetrické šifrování: pro šifrování se využije veřejný klíč, pro dešifrování soukromý klíč (např. SSL, SSH, RSA, EIGamal)

25 Nástroje pro podporu bezpečnosti Monitorovací systémy Monitorování systému za účelem detekce a identifikace útoku, popř. lokalizace jeho zdroje Existují dvě základní kategorie monitorování: Fyzické zabezpečení objektů (např. požární senzory, pohybové senzory, bezpečnostní kamery apod.) Zabezpečení informačních technologií (monitorování útoků na počítače, informační systémy, poskytované služby apod.) Formy monitorování informačních technologií: Protokolování: záznam všech událostí souvisejících s bezpečností Systém detekce narušení: pokusy o detekci síťových průniků (vnitřních i vnějších) a reakce na ně (zápis do logu, upozornění administrátora, odpojení napadeného prostředku apod.)

26 Nástroje pro podporu bezpečnosti Řízení přístupu (autorizace) Při autorizaci dochází k ověření práv uživatele při jeho přístupu k daným zdrojům a entitám (objektům) systému Řízení přístupu by mělo podporovat princip nejmenších privilegií (uživatelé by měli mít povolený přístup pouze k objektům a operacím s nimi, které skutečně potřebují k plnění svých pracovních povinností Formy přiřazení přístupových práv: Matice přístupových práv: tabulka udávající přístupová práva uživatelů (subjektů) k objektům systému Seznamy přístupových práv: seznam oprávnění připojený k objektům systému (např. souboru), tzn. určuje kdo má právo přistupovat k objektu a jaké operace s ním může provádět

27 Nástroje pro podporu bezpečnosti Další nástroje a prostředky Antivirový software Software pro detekci, identifikaci a eliminaci počítačových virů a škodlivého softwaru (malware) Firewall Síťové zařízení pro řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti anebo zabezpečení Zálohování dat Pravidelné nebo nepravidelné ukládání dat systému na záložní média jako prevence jejich ztráty nebo poškození

28 Nástroje pro podporu bezpečnosti Další nástroje a prostředky Záložní zdroje energie UPS (Uninterruptible Power Supply) je zařízení pro zajištění souvislé dodávky energie klíčovým prostředkům systému Aktualizace softwaru Každý software obsahuje bezpečnostní chyby, kterých je možné zneužít a které se ukáží až v okamžiku útoku Proto je nutná jeho kontinuální aktualizace, která nejčastěji ve formě tzv. záplat zabezpečuje opravu všech zjištěných chyb Testovací prostředí Systém určený pro první nasazení nových aplikací a posouzení jejich možných vedlejších vlivů v rámci celého systému

29 Stav kybernetické bezpečnosti v ČR Dosavadní vývoj řešení národní kybernetické bezpečnosti byl v ČR předmětem vládních koncepčních dokumentů a iniciativ soukromého a akademického sektoru Klíčové dokumenty a usnesení vlády v časovém sledu: 2001: Koncepce boje proti trestné činnosti v oblasti IT 2005: Národní strategie informační bezpečnosti České republiky 2007: Akční plán realizace opatření Národní strategie informační bezpečnosti České republiky 2010: Zřízení Meziresortní koordinační rady pro oblast kybernetické bezpečnosti 2011: Strategie pro oblast kybernetické bezpečnosti České republiky na období : Koncepce kybernetické obrany resortu Ministerstva obrany

30 Stav kybernetické bezpečnosti v ČR Současným klíčovým dokumentem je Strategie pro oblast kybernetické bezpečnosti ČR na období Dokument řeší především ochranu před hrozbami útoků na informační technologie a snížení potenciálních škod Vybraná opatření plynoucí z dokumentu: Vytvoření legislativního rámce pro oblast kybernetické bezpečnosti Zajištění posilování kybernetické bezpečnosti kritické infrastruktury a v informačních systémech veřejné správy Vybudování vládního pracoviště CERT (Computer Emergency Response Team) Podpora mezinárodní spolupráce v oblasti kybernetické bezpečnosti Spolupráce státu, soukromé a akademické sféry Zvyšování povědomí o kybernetické bezpečnosti

31 Stav kybernetické bezpečnosti v ČR V roce 2011 přešla gesce nad kybernetickou bezpečností na Národní bezpečnostní úřad (NBÚ) Ve stejném roce byla zřízena Rady pro kybernetickou bezpečnost (poradním orgán předsedy vlády pro oblast kybernetické bezpečnosti) Do roku 2015 je plánován vznik Národního centra kybernetické bezpečnosti Součástí tohoto centra bude vládní koordinační místo pro okamžitou reakci na počítačové incidenty (tzv. CERT) V současné době v ČR funguje na soukromé a akademické bázi několik týmů typu CERT (CESNET- CERTS, CSIRT.CZ, CZ.NIC-CSIRT, CSIRT-MU)

32 Stav kybernetické bezpečnosti ve světě Belgie: služby národního CERT v Belgii zajišťuje tým CERT.be provozovaný Sítí národního výzkumu BELNET Dánsko: kybernetickou bezpečnost zajišťuje tým DK.CERT založený v roce 1991 Litva: kybernetická bezpečnost je v gesci Ministerstva vnitra, které nedávno vydalo dokument Program rozvoje kybernetické bezpečnosti na období Německo: problematikou se zabývá dokument Strategie pro kybernetickou bezpečnost, který je postaven na činnosti Centra pro kybernetickou obranu a Rady kybernetické bezpečnosti

33 Stav kybernetické bezpečnosti ve světě Nizozemsko: zde funguje tým NCSC-NL, který zabezpečuje Ministerstvo bezpečnosti a spravedlnosti Norsko: vojenský i národní CERT (NorCERT) vznikl v roce 2006 a je v podřízenosti NBÚ Rakousko: v Rakousku figuruje národní CERT tým pod názvem CERT.at Estonsko: nemá speciální právní úpravu problematiky kybernetické bezpečnosti, ale vychází ze Strategie v oblasti kybernetické bezpečnosti Polsko: kybernetickou bezpečnost formálně upravuje vládní program ochrany kyberprostoru Polské republiky

34 Stav kybernetické bezpečnosti ve světě Španělsko: zde existují tři základní instituce řešící kybernetickou bezpečnost (Národní kryptologické centrum, CCN-CERT, Národní centrum pro ochranu kritické infrastruktury) Velká Británie: Britské ministerstvo vnitra se řídí novou národní Strategií kybernetické bezpečnosti do roku 2015 USA: kybernetické bezpečnosti je zde věnována velká pozornost, existuje množství dokumentů, které se tématem zabývají (např. International Strategy for Cyberspace z roku 2011) a existuje několik agentur, které mají kybernetickou bezpečnost ve své gesci (US Cyber Command, National Security Agency, Department of Homeland Security, US-CERT)

35 Závěr Kybernetický střet je charakteristický svou asymetrií Útoky jsou realizovány rychle, náhle a efektivně Moderní informační a komunikační technologie jsou nejen nástrojem útoků, ale také cílem, proti kterým je útok veden Obrana proti kybernetickým útokům je nezbytná, potenciální škody mohou být katastrofální Stav řešení kybernetické ochrany v ČR není stále na odpovídající úrovni V současnosti existuje v ČR množství koncepčních a strategických dokumentů zabývající se oblastí kybernetické bezpečnosti, ovšem většina jejich cílů zatím nebyla splněna

36 Literatura ČSN ISO/IEC TR ,2. Informační technologie: Směrnice pro řízení bezpečnosti IT, 1. a 2. část ČSN ISO/IEC Informační technologie: Bezpečnostní techniky TUČEK, P. Bezpečnostní politika pro rozsáhlé uživatelské počítačové infrastruktury Národní bezpečnostní úřad. Věcný záměr zákona o kybernetické bezpečnosti Usnesení vlády ČR. Strategie pro oblast kybernetické bezpečnosti České republiky na období Ministerstvo obrany. Koncepce kybernetické obrany resortu Ministerstva obrany

37 Literatura US Army Training and Doctrine Command. Critical Infrastructure: Threats and Terrorism CEPS Task Force Report. Protecting Critical Infrastructure in the EU USA. Cyberspace Policy Review GLASER, CH. L. Deterrence of Cyber Attacks and U.S. National Security USA. International Strategy for Cyberspace USA. National Strategy for Trusted Identities in Cyberspace Internet (Wikipedia, vyhledávání na Google.com)

38 Dotazy? Děkuji za pozornost