BAKALÁ ŘSKÁ PRÁCE. Bezpečnost a ochrana dat v účetnictví vedeném na počítači. Security and data protection of computer based accounting

Transkript

1 .

2 BAKALÁ ŘSKÁ PRÁCE Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer based accounting Vojtěch Adam Rychlíček

3 Unicorn College 2011 Unicorn College, V kapslovně 2767/2, Praha 3, Název práce v ČJ: Bezpečnost a ochrana dat v účetnictví vedeném na počítači Název práce v AJ: Security and data protection of computer based accounting Autor: Vojtěch Adam Rychlíček Akademický rok: 2011 Kontakt: vojtarych@seznam.cz Tel.: (+420)

4 Bakalářská práce Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer based accounting 1. ZADÁNÍ 4

5 Bakalářská práce Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer based accounting 2. ABSTRAKT Bakalářská práce je vypracována na téma Bezpečnost a ochrana dat v účetnictví vedeném na počítači. Ze začátku zmiňuji hlavně fyzickou ochranu dat v papírové formě a následně historii vzniku počítačů a internetu. V další části se zaměřuji na popisování kryptografie, což je matematický obor, který se zabývá kódovacími a šifrovacími algoritmy. Dále zde popisuji substituční šifry a permutační šifry a jejich způsob vytváření a dekódování. Celou kapitolu uzavírá kyberprostor, který definuji jako: Virtuální svět vytvořený moderními technologickými prostředky (např. počítačem). Cílem této části je obeznámit čtenáře o základních pojmech kryptografie a seznámení s kyberprostorem. V druhé části se již naplno zaměřuji na ochranu dat na počítači. Zmiňuji zde množství útočníků, kteří nás mohou připravit o důležitá data. Jsou jimi na příklad: Hacker, Cracker, White Hats, Black Hats, apod. Rovněž zmiňuji i základní způsoby útoků a virů. Cílem je představit čtenáři hrozby, které mohou jeho počítač napadnout, při připojením na internet bez adekvátní ochrany dat. Elektronický podpis nám představuje způsob ochrany dat proti zneužití neoprávněnou osobou. Třetí část se zabývá právní stránkou ochrany dat. Zmiňuji zde zákony a nařízení, které mají zajistit právní ochranu při případném zcizení dat. Pro příklad bych uvedl zákon č. 101/2000 Sb., v platném znění o ochraně osobních údajů. Cílem této kapitoly je obeznámit čtenáře s jeho právními nároky, aby zjistil, zdali byla jeho práva porušena a jaký státní orgán má v kompetenci bezpečnost a ochranu dat. Poslední teoretickou částí je ochrana dat v účetnictví, kde nejdříve popisuji, jak se účetnictví vyvíjelo, dále popisuji průběh auditu a nakonec zmiňuji důležité rady pro firmy, které uvažují nad pořízením účetního systému. To je také hlavní cíl této kapitoly. Poslední kapitola se týká praktické části. Popisoval jsem 2 podnikatelské subjekty. ČSOB Leasing a.s. a Alcatel-Lucent Czech, s.r.o. Cílem této kapitoly je představit čtenáři obě firmy z pohledu zabezpečení dat. Popisuji rozdílnosti, které jsou zapříčiněné různým zaměřením podnikání a velikostí společnosti. Klíčová slova: Bezpečnost, obecná ochrana, ochrana dat v počítači, data, účetnictví, právo, ochrana dat mimo počítač, bezpečnost ve firmě Alcatel-Lucent Czech, s.r.o. a ČSOB Leasing a.s.. 5

6 Bakalářská práce Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer based accounting 3. ABSTRACT This bachelor's thesis addresses the issue of Data Integrity and Protection in Computerized Accounting. In an initial section, I briefly outline the main forms of physical protection of hardcopy data, and a historical overview of the evolution of computers and of the Internet. This is followed by a section focusing on cryptography a mathematical discipline concerned with encoding and enciphering algorithms. It is here that I describe substitution ciphers and permutation ciphers, how they are created, and how they can be decoded. This chapter closes with the "cyberspace", which I define as follows: a virtual world created by means of modern technology (e.g. computers). The objective of this part of my paper is to familiarize the reader with basic cryptographic terms and with cyberspace. The second part of the paper is then fully devoted to data protection on computers. I describe the variety of attackers who may defraud us of important data, among them e.g. hackers, crackers, white hats, black hats, and the like. I also mention the basic forms of attacks and viruses. The objective here is to present the reader with the risks to which their computer is exposed if they are connected to the Internet without adequate data protection measures. Electronic signatures represent a form of protection against abuse by unauthorized individuals. A third section is concerned with the legal aspects of data protection. I describe laws and regulations aimed at legal protection from data theft for instance, the Data Protection Act (act No. 101/2000 Coll., as amended) on the protection of personal data. This chapter wants to introduce the reader to their legal rights and claims, so that they may ascertain whether their rights have been violated, and to the government authorities who are in charge of data integrity and protection. A last theoretical part is devoted to the protection of accounting data. Here, I first give an overview of how book-keeping developed over time, then describe the stages of an audit procedure, and finally present important advice for firms which contemplate the acquisition of a new accounting system which is also the main objective of this chapter. The last chapter is of a practical nature. For this purpose, I identified two global entities: ČSOB Leasing a.s., and Alcatel-Lucent Czech s.r.o., with the objective to present these two firms to the reader under the aspect of data protection. In this part, I describe the differences brought about by the different focus and scope of business operations and the different size of each company. 6

7 Bakalářská práce Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer based accounting Key words: security, general protection, data protection on computers, data, accounting, law, protection of data outside computers, data integrity at Alcatel-Lucent Czech s.r.o. and ČSOB Leasing a.s. 7

8 Bakalářská práce Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer based accounting 4. PROHLÁŠENÍ Prohlašuji, že svou bakalářskou práci na téma Bezpečnost a ochrana dat v účetnictví vedeném na počítači jsem vypracoval samostatně pod vedením vedoucího bakalářské práce a s použitím odborné literatury a dalších informačních zdrojů, které jsou v práci citovány a jsou též uvedeny v seznamu literatury a použitých zdrojů. Jako autor uvedené bakalářské práce dále prohlašuji, že v souvislosti s vytvořením této bakalářské práce jsem neporušil autorská práva třetích osob, zejména jsem nezasáhl nedovoleným způsobem do cizích autorských práv osobnostních a jsem si plně vědom následků porušení ustanovení 11 a následujících autorského zákona č. 121/2000 Sb. V Praze dne.. Jméno Příjmení 8

9 Bakalářská práce Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer based accounting 5. PODĚKOVÁNÍ Děkuji zaměstnancům firem Alcatel-Lucent Czech, s.r.o. a ČSOB Leasing a.s. za pomoc, ochotu a neocenitelné informace, díky nimž jsem mohl úspěšně dokončit práci. 9

10 Bakalářská práce Bezpečnost a ochrana dat v účetnictví vedeném na počítači Security and data protection of computer based accounting 6. Obsah 10

11 7. ÚVOD Bakalářské práce na téma Bezpečnost a ochrana dat v účetnictví vedeném na počítači se zaměřuje na základní způsoby ochrany dat s důrazem na účetní souvislosti. Nejdříve vymezím základní principy fyzické ochrany, která zahrnuje ochranu dat v papírové formě. Následně budu popisovat historii vzniku počítačů i internetu. Na první pohled se může zdát, že to nemá s ochranou příliš co dočinění. Zmiňuji se o nich hlavně proto, že bez vývoje těchto technologií, bychom virtuální ochranu dat vůbec nepotřebovali a stačila by nám jen fyzická. V další části mé Bakalářské práce se budu zmiňovat a popisovat základní druhy kryptografie. Je to obor, který se zabývá šifrovacími a kódovacími algoritmy. Zde budu popisovat jeho základní druhy od dob Caesara až po dnešek. Další téma, které v úvodu popíši je kyberprostor, jeho definice a možné nebezpečí. Budu zde popisovat, kolik dokážou státy investovat do bezpečnostních systémů. Přičemž využiji statistiku názorů občanů ohledně využívání hackerů státy, jenž mohou být potencionální hrozbou. Následně budu detailně popisovat bezpečnost a ochranu dat na počítači, protože v dnešní době se účetnictví provádí pouze ve specializovaných programech prostřednictvím počítače. Proto se domnívám, že popis ochrany dat na samotném počítači je velmi důležitá část. Popisuji zde, jakým způsobem se můžeme chránit, ale spíše se zaměřuji na útočníky a způsoby jejich útoků. Elektronický podpis bude ryze IT část před čistě účetní částí. Elektronický podpis se v dnešní době hojně využívá v rutinních operacích v rámci společnosti a v účetnictví. Je to způsob jak ochráníme posílaná data před případnými hrozbami. Právo je důležitou součástí ochrany dat. Budu popisovat jaké zákony musíme dodržovat a do jaké míry jsou zákony o ochraně dat rozšířené i mimo Českou republiku. Právní část bude obsahovat EU směrnice, zákony, listinu základních práv a svobod. Kapitol uzavřu Zákonem o účetnictví. Poslední částí před praktickým úsekem je samotná ochrana dat v účetnictví. Budu popisovat, jakým způsobem se v historii účetnictví vyvíjelo. Dále budu rozebírat principy auditu a základní rady společnosti při výběru účetního softwaru. Shrnu zde i obecné požadavky na software a co od něj firmy očekávají. Poslední část se bude týkat praktické aplikace bezpečnostních pravidel ve 2 firmách. Vybral jsem si firmy ČSOB Leasing a.s. a Alcatel-Lucent Czech, s.r.o. Obě firmy působí mezinárodně a budu popisovat jejich interní pravidla a směrnice ohledně zabezpečení jejich dat obecně i v účetnictví. 11

12 8. ÚVOD DO BEZPEČNOSTI A OCHRANY DAT Nacházíme se ve světě, který se díky počítačům a internetu neustále modernizuje a sbližuje. S tímto fenoménem se objevují také různá nebezpečí, která nás mohou poškodit. Počítač je úložiště různých druhů informací. Obyčejná data, profesní data, ale i soukromá a osobní data mohou být v ohrožení ihned, jak se připojíme na internet nebo do sítě, či nedáme pozor na přístup k počítači. Proto se musíme chránit před vniknutím do PC a před způsobením jakékoliv škody. Pokud by naše ochrana nebyla dostatečná, pak tyto informace mohou být zničeny nebo odcizeny. Vznikají tedy mnohá nebezpečí, jimž se musíme vyhnout. V dnešní době se veškerá data digitalizují, a proto se instituce zaměřují hlavně na ochranu proti hackerům apod. Nicméně papírová ochrana dat existuje již mnoho let, protože jiný způsob uchovávání informací do vzniku počítačů nebyl. Papírové listiny, tedy spíše pergamenové listiny, se uchovávaly a strážily už ve starověkém Římě. Od té doby se neustále vymýšlí 100% způsob ochrany listinné formy dokumentů. Dnes se ve firmách stále používají papírové formy dokumentů. Pro příklad: faktury, dodací listy, samotné zaměstnanecké smlouvy apod. Firma je musí chránit před vlivy z nitra firmy. Problémem jsou veřejné kopírky na chodbách firem, šanony plné smluv apod. Mnohá bezpečnostní rizika se již daří úspěšně ošetřovat ve většině firem. Veřejné kopírky jsou dnes buď chráněné pin kódem, nebo speciální identifikační kartou. Šanony jsou uzamčené ve skříních a mohou se k nim dostat pouze lidé s klíčem. Velmi důležité dokumenty jsou v trezorech a servery jsou bezpečně uzamčeny ve speciální místnosti. Firma má za povinnost veškeré písemnosti archivovat. Obrázek č. 1: Přenos dat elektronickou vs. papírovou formou ( ) 12

13 Obrázek č. 1 popisuje využití internetu a ulehčení práce za použití Internetu. Pokud využijeme Internet k přenášení faktur, pak bude celý proces dodávání mnohem jednodušší a rychlejší. Nicméně obecným zvykem je, že se posílají spíše v papírové podobě, aby se mohly fyzicky archivovat. 1 Ochrana dat v papírové formě Archivace účetních dokumentů je upravena dle 31 zákona o účetnictví (zákon č. 563/1991 Sb.). Dle tohoto ustanovení se musí účetní závěrka a výroční zpráva uschovávat po dobu 10 let počínajících koncem účetního období, kterého se týkají. Ostatní účetní doklady, účetní knihy apod. se uschovávají po dobu 5 let počínajících koncem účetního období, kterého se týkají. Tyto povinnosti se týkají všech účetních jednotek. Porušení povinnosti uschovávat účetní záznamy je sankcionováno. Účetní jednotce, která poruší povinnost uschovávat účetní záznamy, může být uložena pokuta až do výše 3 % hodnoty aktiv celkem. Pro účely vyměření pokuty se hodnota aktiv zjišťuje z účetní závěrky za účetní období, ve kterém k porušení právní povinnosti došlo. 2 Firmy mají vnitřní směrnice, které má firemní zaměstnanec povinnost dodržovat. Ve směrnicích jsou zmíněna základní pravidla bezpečnosti. Neodcházet od neuzamčených šanonů nebo počítače. Nepůjčovat své osobní identifikační karty apod. Rovněž je definováno, kdo může dokumenty vytvářet a jak lze tyto dokumenty archivovat. Velký pokrok v technologii nám nepřináší jen prosperitu, ale i možná rizika. Dnes firmy nemohou ignorovat největší riziko, které bohužel nelze ani omezit, a to vlastnictví mobilních telefonů s fotoaparátem. Pomocí fotek může pachatel vynést citlivé informace týkající se firemních klientů, firmy samotné. 2 Historie ochrany dat na počítači Ještě před několika desítkami let žádná ochrana v rámci počítačových sítí nebyla nutná, protože žádný počítač ani internet nebyly. Počítače se dají historicky rozdělit na 4 druhy. Někdy se těmto druhům říká Generace. Tabulka č. 1 : Generace počítačů Generac e Rok Konfigurace Rychlost (operací) Součástky Velký počet skříní Jednotky Relé Desítky skříní Elektronky do 10 skříní Tisíce Tranzistory do 5 skříní Desetitisíce Integrované obvody 3 ½ skříň Statisíce Integrované obvody (LSI) Integrované obvody skříň desítky milionů (VLSI) 2 ( ) 13

14 3 Obrázek popisuje, jak se v letech vyvíjely počítačové sestavy. Můžeme zde názorně vidět, že v dnešní době jsou již mnohem sofistikovanější, než byly před 50 lety. Bezpečnost začala být potřeba až při vytvoření sítí a Internetu a tehdy se začala transferovat data mezi počítači nejdříve v rámci místnosti/budovy a pak mezi státy či kontinenty. Internet jako takový začala vyvíjet armáda USA v době studené války a nazýval se ARPANET vznik ARPANET vytvoření jednotné normy komunikace TCP/IP konečná podoba protokolů TCP/IP více než 1000 uzlů v ARPANETU vzniká NFSNET uzlů milion uzlů první služba GOPHER (předchůdce www stránek) 1991 v listopadu připojeno ČSFR v Praze na ČVUT 1992 komerční využití 4 V roce 1990 se tehdejší Československo připojilo k počítačové síti EARN. Byl to počátek opravdového síťování u nás. Konečně bylo Československo připojeno "online" do mezinárodní sítě. 5 3 Kryptologie Vědecká disciplína, která se přímo zaměřuje na ochranu dat před neoprávněným vstupem, se nazývá kryptologie. Kryptologie je matematický vědní obor, který se zabývá šifrovacími a kódovacími algoritmy 6. Kryptologii rozdělujeme na 2 základní části: kryptografii a kryptoanalýzu. 3 ( ) 4 ( ( ) 5 ( ) 6 (Tomáš Doseděl, Computer press 2004, str. 4) 14

15 Kryptografie Je to obor, který se zabývá šifrováním a kódováním dat. Ač se zdají pojmy šifrování a kódování stejné, nejsou. 1. Šifrování sdělujeme tak určité utajené informace adresátům, jenž umí zprávu rozluštit. Máme mnoho druhů šifer. Šifry se objevují již v dávné historii. První zmínka, která by se dala požadovat za šifru, je z roku 1900 př.n.l., kdy neznámý egyptský písař vytvořil naprosto odlišné postavení hieroglyfů. Z roku 1500 př.n.l. se dochovala i nejstarší šifra na výrobu glazury na hrnce. Takto bychom mohli pokračovat dále, nicméně šifry se začaly masově využívat až v 2. polovině 1. století př.n.l., kdy Římané šifrovali své zprávy substituční šifrou. Od té doby se začaly šifry využívat a zdokonalovat. Asi nejznámějším přístroj na šifrování zpráv je Enigma používaná německou armádou za 2. světové války. Šifry rozdělujeme na 3 základní typy: 7 A. Substituční jak již bylo řečeno, vymysleli ji Římané. Principem substituční šifry je fakt, že nahrazujeme jednotlivá písmena jinými písmeny či znaky. Pro příklad: Tabulka č. 2: Příklad substituční šifry Originální zpráva Šifrovaná zpráva AHOJ BCHPK 8 Tabulka ukazuje, jak v praxi fungovala substituční šifra. Prolomení šifry nebylo příliš složité, ikdyž pro cizince by bylo prolomení kódu složitější díky písmenům př.: ch, ž, š atd. Uvedl jsem pro příklad slovo AHOJ, které jsem šifroval pomoc následujících písmen v abecedě. AHOJ A, B, C, D, - BCHPK. Místo A jsem dal následující B. Kvůli pozdější lehké prolamovatelnosti se v 16. století vylepšila šifra na polyalfabetickou substituční šifru. Tato šifra vychází z více, než jedné abecedy nebo druhů znaků. Díky tomu se stala mnohem obtížnější. B. Permutační šifra zde se šifra rozdělí na předem stanovené části textu a tyto části se podle vytvořeného klíče navzájem promíchají. Pro příklad bych uvedl: Tabulka č. 3: Příklad permutační šifry Text: UNICOR NCOLLE GEDAYS Klíč Šifra NOURO CLNEL EYGSA 7 předmět SEC, 12. Přednáška, autor David Hartman ( ) 8 předmět SEC, 12. Přednáška, autor David Hartman 15

16 Text: UNICOR NCOLLE GEDAYS 9 Pokud chceme dešifrovat permutaci, pak musíme použít inverzní permutaci. C. Polygrafická substituční šifra tato šifra využívá rozdělení šifrovaného textu na jednotlivé bloky, ale nyní nenahrazuje jednotlivá písmena ale rovnou celé bloky. Názorným příkladem je Hillova šifra, která využívá nahrazování písmen čísly. Pro příklad to je A = 20, B = 30 apod. 2. Kódování používá se, pokud posíláme zprávu, jež je pro veřejnost utajená. Využíváme přitom mnoho způsobů, jakými ji můžeme předat. V historii se vyvinuly specifická typy kódování, jako jsou: 10 A. Morseova abeceda která se používala hlavně při telegrafování. Vymyslel ji sochař a malíř Samuel Horse a již v roce 1844 se pomocí Morseovi abecedy podařilo telegrafní spojení mezi Washingtonem a Baltimorem. Při komunikaci kombinujeme dlouhé a krátké signály. Pro aplikování Morseovy abecedy je potřeba zvuků. 11 B. Znakový jazyk jenž využívají neslyšící. Vyjadřují slova pomocí mimik, tvary a pohyby ruky, pozicemi hlavy a horní části trupu. 12 C. A další jako je vlajková abeceda, televizní norma PAL apod. Velkým rozdílem mezi šifrou a kódem je, že kód je všeobecně známý. Většinou se pomocí kódu neutajuje zpráva, ale jen se přenáší. Nejsou použita hesla, ani další nástroje na kryptování, jako jsou klíče. Hlavním úkolem kryptografie je chránit data a zabránit neautorizovanému pokusu o přečtení. Šifrováním se vytvoří další data, která již jsou nečitelná pro nepověřenou osobu. Označují se jako ciphertext, což do češtiny přeložil Tomáš Doseděl, autor knihy Počítačová bezpečnost a ochrana dat, jako šifrovaný text. V dnešní době se razí směr, kdy se zveřejňují veškeré kryptografické algoritmy 9 předmět SEC, 12. Přednáška, autor David Hartman 10 předmět SEC, 12. Přednáška, autor David Hartman 11 ( ) 12 ( ) 16

17 na rozdíl od minulosti, kdy se prosazovalo přísné utajení. Pro utajené kryptografické algoritmy se vžilo označení security through obscurity, což v překladu znamená: Bezpečnost pomocí utajení. Dnes se IT bezpečnost zaměřuje na dokonalost šifer a kódů. Je mnohem lepší, pokud je bezpečnost algoritmu založena na jeho matematických vlastnostech, než na jeho utajení. 13 Kryptoanalýza je oborem, který má jako hlavní úlohu analyzovat algoritmy a rovněž analyzovat zašifrovaná data. 4 Kyberprostor Termín kybernetická kriminalita původně vychází z anglického překladu: Cybercrime. Je to kriminalita, která se odehrává v kyberprostoru, což je Virtuální svět vytvořený moderními technologickými prostředky (např. počítačem) 14 V současnosti jedinci nebo organizované skupiny, které mohou chtít prolomit naší ochranu dat, neustále zdokonalují dešifrovací umění. Neustálá evoluce v tomto odvětví je zapříčiněna a také omezena vývojem v oblasti ICT (information and communication technologies). Mezi nejznámější kyber zločiny patří incident z 27. dubna v roce 2007 v Estonsku, kdy bylo zcizeno velké množství dat z výzkumů agentury NASA. Hackeři nejčastěji využívají nepozornosti uživatelů, či slabě zabezpečených infrastruktur, jako tomu bylo v Estonsku. Dnes již není problém falšovat ové adresy, jména, což umožňují dnešní sociální sítě na Internetu, apod. Kybernetická kriminalita je nový jev, který se dostává stále více a více do popředí nejen díky způsobeným škodám a ztrátám, které jsou značné, ale hlavně obtížná zjistitelnost pachatelů, která jim zajišťuje určité bezpečí. 15 Česká republika má státní agenturu, jejímž hlavním úkolem je odhalovat pachatele útoků a pomoci při jejich eliminaci. Nazývá se BIS neboli Bezpečnostní informační služba. Podle zákona o zpravodajských službách ČR (č. 153/1994 Sb.) se Bezpečnostní informační služba zabývá získáváním, shromažďováním a vyhodnocováním následujících informací: 1. Hrozby terorismu 2. Aktivity ohrožující bezpečnost nebo významné ekonomické zájmy státu 3. Činnost cizích zpravodajských služeb na našem území 4. Záměry nebo činy mířící proti demokratickým základům, svrchovanosti a územní celistvosti ČR 5. Aktivity organizovaného zločinu 6. Činnosti ohrožující utajované informace (Tomáš Doseděl, 2004, str. 25) 14 ( ( ) 15 ( ) 17

18 Velice často skloňovaný název v souvislosti s kybernetickou kriminalitou je kybernetický terorismus. Účastníci mohou být jednotlivci, sub-státní systémy, tajní agenti a spekuluje se i o infiltraci státní moci do tohoto odvětví. Cíle kybernetického terorismu jsou různé, nejčastěji se zaměřují na získávání informací nebo podkopávání infrastruktury daného státu. Uvažuje se možnosti existence incidentu, který se nazývá Kybernetická válka (cyber war). Kybernetická válka je izolována od širšího konfliktu, odvíjí se v prostředí zcela odlišném od tradičního vedení boje a nabízí nekrvavou alternativu nebezpečí a nákladnosti moderní války. Kybernetický boj bude téměř určitě mít zcela reálný fyzický dopad. 17 Samotné podkopávání států mohou mít v úmyslu jiné země. Otázkou zůstává, kdy je tento způsob intervence do další země špatný a kdy nikoliv. Podle grafu od firmy Phoboslabs vytvořeného v roce 2010 můžeme vidět, jak lidé reagují na informační intervenci mez státy: Obrázek č. 2: Je správné špehovat nebo instalovat viry do systémů jiných zemí? 16 ( ( ) 17 ( ) 18

19 18 Jasně vidíme, že špehování a instalování naprosto schvaluje 23 % dotázaných respondentů. Absolutně odmítá jakoukoliv podobnou intervenci celých 37 % respondentů a zbytek, tedy 40 % respondentů souhlasí, jen pokud budou země ve válce. V dnešní době mnoho států jako je třeba USA, Francie, Velká Británie investuje významné částky do zlepšení a ochrany infrastruktury a obchodů v zemi před možnými útoky. Federální vláda USA v roce 2010 spustila program, který se nazývá Perfektní občan. Tento program by měl detekovat veškeré pokusy i úspěšné útoky na soukromé podnikatelské subjekty, ale i na státní úřady a státní firmy, které mohou představovat potencionální nebezpečí pro občany, jako jsou jaderné elektrárny apod. Smlouvu na celkem 100 miliónů dolarů získala ve veřejné soutěži firma Raytheon Corp. Cílem programu je vytvořit celostátní databázi útoků a následně instituce, které budou mít přístup k daným informacím. Díky tomu budou moci zefektivnit bezpečnost a ochranu dat http://online.wsj.com/article/SB html ( ) 19

20 9. BEZPEČNOST A OCHRANA POČÍTAČE Bezpečnost a ochranu dat na PC firmy zajišťují mnoha způsoby. Vlastní ochrana dat se skládá ze čtyř částí. Je potřeba ochránit fyzický přístup k nosičům dat, logický přístup k datům, ochránit uložená data a data přenášená počítačovou sítí a ochránit data před úmyslným či neúmyslným zničením. 20 Ochranu dělíme podle způsobu, jakým se mohou data ocitnout v nebezpečí. 1. Ochrana proti přírodním živlům Při umisťování počítačů musíme brát v úvahu i živelné pohromy, které mohou nenávratně zničit veškerá data. Mezi živelné události, které nám mohou poškodit PC, počítáme: požár, povodeň. Zbývající živelné katastrofy v našich zeměpisných šířkách nepřipadají do úvahy. Chráníme PC pomocí detektorů požáru, které dnes hasí oheň i plynem, takže nijak nepoškodí uložené počítače. Umístění serverovny by mělo být ve vyšším patře, aby v případě povodně byla veškerá data bezpečně v suchu. Do této kategorie počítáme i škody, které nezavinil člověk. Kolísání napětí elektrického proudu zapříčiní zkrat v PC nebo jeho samotné vznícení. Chránit se můžeme přípojkami, které absorbují toto kolísání. Další faktor, který může poškodit nebo úplně zničit počítač, je neklimatizovaná místnost. Proti přehřívání PC pomáhá mnoho inovací, jakými jsou: kvalitní prachové filtry, kvalitní izolace místnosti, aby chlad neutíkal, apod. 2. Ochrana proti neoprávněným osobám Pokud data nejsou veřejná, pak by měla mít organizace definované zaměstnance, kteří budou mít přístup k datům. Proti neoprávněným osobám rozdělujeme ochranu na fyzickou ochranu a systémovou ochranu a) Fyzická ochrana Zaměřuje se na fyzickou ochranu serverů a počítačů jako takových. Proto je potřeba zajistit bezpečnost PC proti vniknutí neoprávněných fyzických osob. Základní ochrana fyzických serverů je zámek, uzavřené neprůchodné místnosti, stráž, kódy apod. b) Systémová ochrana 21 Jejím hlavním úkolem je ochránit počítač tak, aby do něj nemohl vniknout útočník pomocí internetu nebo sítě. Nejúčinněji můžeme chránit data pomocí zašifrování. To znamená, že pokud se povede útočníkovi prolomit ochrana počítače, pak si nebude moci žádná data přečíst. Následně je musíme zálohovat do stroje nebo datového nosiče jako je Flash disk nebo CD, DVD, protože jestliže se útočník dostane do systému a nebude moci data přečíst, je zde možnost, že je bude chtít následně zničit. 20 Tomáš Doseděl, 2004, str Tomáš Doseděl, Computer press 2004, str. 7 20

21 1 Ohrožení dat Když hovoříme o útocích, pak si musíme nejdříve definovat útočníky. Ty můžeme definovat podle jejich zkušeností, záměru či způsobu prolomení ochrany počítače. Rozlišujeme základní 3 typy útočníků: 1. Amatér ti se příliš neorientují v systémech a virech a proto je jejich nebezpečnost minimální. Amatéři většinou neumí napsat skript ani vytvořit vir, a pokud prolomí obranu a dostanou se do systému, pak je to buď prakticky žádnou ochranou, nebo zafungoval faktor náhody. Proti amatérům většinou stačí i minimální zabezpečení. 2. Hackeři tyto lidé jsou již vzdělaní v daném oboru a dokážou vniknout do systému i přes dobré zabezpečení. Hackeři jsou většinou studenti IT oborů. Jsou ovšem limitováni časem a prostředky. Hackeři většinou jen sbírají informace, zkušenosti a někteří to berou jako sport. Musíme také rozlišovat pojmy Hacker a Cracker. Hacker se snaží dostat do systému prolomením ochrany. Nicméně není jeho hlavním cílem zničit nebo ukrást informace, spíše jde jen o to dostat se přes zabezpečení. Cracker ten se zaměřuje hlavně na poškozování subjektů, jejichž systémovou ochranu prolomil. Snaží se tedy zničit, ukrást informace či jinak uškodit Profesionálové sám význam slova profesionál nám ukazuje potencionální nebezpečnost profesionálního útočníka. Jsou to většinou sponzorované nebo dobře zajištěné skupiny lidí, které jsou vysoce kvalifikovaní v IT systému a velmi dobře se orientují v počítačích. Jsou vskutku nebezpeční, ale většinou se zaměřují jen na perspektivní systémy, takže koncový uživatel počítače se nemusí bát. Tyto skupiny mohou být pouze zločinné organizace nebo i státem podporované. Útočníky dále může rozdělit dle způsobu jejich útoku: 1. Vnitřní útočník útočník je většinou řadový zaměstnanec firmy, která byla napadena. Velkou výhodou je jednoduché dohledání útočníka. Kamerový systém nebo systémové zabezpečení v podobě záznamu veškerých aktivit na počítači je velmi efektivní nástroj dohledání útočníka. 2. Vnější útočník ti jsou mnohem obtížněji vypátratelní, už jen z důvodu, že mohou operovat prakticky kdekoliv na světě. Při pátrání po vnějších útočnících jsou mnohdy zapojeny i různé státy i bezpečnostní organizace jednotlivých států. Hacker má dnes význam velmi odlišný od významu, ve kterém vznikl. Původně se tak označovali programátoři, kteří měli za úkol vyhledávat chyby v systémech a opravovat je tak, aby fungovaly efektivněji a bezchybně. Tyto zásahy v systémech se nazývají v anglickém jazyce slovem Hack a odtud se odvodil název Hacker. Nejranější způsob hacku se ještě netýká počítačových systémů, ale obyčejného tkalcovského stavu. Datoval se rok 1801 ve Francii, kdy tkadlec Jacquard vymyslel tkalcovský stav natolik automatizovaný, aby potřeboval minimální lidskou sílu ( ) 21

22 Masově hack začala používat jedna z protiválečných organizací: yppies. Jejich vůdce Abbie Hoffmann se dorozumíval se svými kolegy pomocí telefonů, které nikdy nemusel neplatit. Stejně tak jako John Draper, který roku 1971 zjistil, že dokáže obelstít telefonní ústředny pomoci píšťalky. Pokud píšťalka dokáže vyloudil zvuk o frekvenci 2600 Hz, pak jeho hovor byl zdarma. Dnes nejsou hackeři a crackeři natolik neškodní, jako jejich historičtí předchůdci. Dle knihy Počítačová kriminalita, Michal Matějka, Computer press, 2002, str 44, 54, dělíme hackery a crackery do několika skupin podle jejich působnosti a hrozeb: 1. Script Kiddies ti jsou neuznávanými v hackerské komunitě a spíše jsou považovány za atrapy a špatné hackery. 2. White Hats hackeři, kteří zastávají původní smysl hacku, tedy najít chybu a upozornit na ni, případně ji opravit. Nicméně nikdy nezneužívají svých postavení a nenapadají servery a webové hostingy. 3. Gray Hats zastávají názor, že zveřejnění informací o chybě v systému napomáhá jeho bezpečnosti. Jsou to hackeři, kteří většinou jsou mezi dobrými a kriminálními hackery. 4. Black Hats kriminální hackeři, které zajímá vlastní obohacení. 5. Elite označuje se tak skupina hackerů, kteří se proslavili po celém světě. Patří sem třeba Vladimir Levin, který se pokusil převést 10,7 miliard korun českých na svůj účet z účtů banky Citibank. Vladimir Levin byl chycen a po dlouhých soudních sporech se bance Citibank vrátila téměř celá částka kromě 8 milionů korun českých. 23 Typy útoků na systémy jsou různé. Můžeme očekávat 3 typy: 1. Virus - virus 2. Spam není počítačovým virem v pravém slova smyslu, ale spíše nevyžádaná pošta. 3. Spyware sleduje činnosti uživatele programu a neustále odesílá přes internet potřebné informace tvůrci. Dnes to má hodně freeware aplikací. Viry dělíme: 1. Klasické viry ty infikují soubor, a pokud je antivir nenalezne, pak se začnou šířit do celého systému. Jsou velmi podobní biologickým virům. 2. Bootovací viry viry jsou umístěné v bootovací části počítače a spouští se vždy při načítání systému v počítači. 3. Stealth viry jsou takové, které nejsou vidět v seznamu procesů a díky tomu jsou těžce dohledatelnými. 4. Polymorfní viry jejich zdrojový kód obsahuje náhodně generované části a díky nim je pro antivirový program velmi těžké nalézt a zničit vir Michal Matějka, Computer press, 2002, str: 20,44,54 24 ( předmět SEC, 12. Přednáška, autor David Hartman, ) 22