Informační bezpečnost - její klíčové aspekty, hrozby a minimalizace rizika

Informační bezpečnost zahrnuje ochranu všech informací bez rozdílu nosiče po celý jejich životní cyklus. V současné době je spojována především s informacemi komunikovanými skrze informační technologie. Informační bezpečnost lze charakterizovat jako praktický obor, jež vznikl za účelem ochrany informací, kterých fyzická či právnická osoba využívá při své činnosti. Jedná se o ochranu před narušením integrity, důvěrnosti či dostupnosti informace.[1]

Historie

Informační bezpečnost vzniká spolu s informacemi, které bylo potřeba chránit. Určité mechanismy ochrany informací - především ve formě přeměny otevřeného textu na šifrovaný - začaly vznikat již v antice v podobě kryptologických šifer. Rozvoj šifrování nastal po vynálezu telegrafu v roce 1845 a vyvrcholil za 2. světové války šifrovacími stroji jako byla Enigma. Výrazným milníkem byl vznik moderní kryptografie, jejíž duchovní otec Claude Shannon během 2. světové války vypracoval za účelem bezpečnosti přenosu informací koncept matematické kryptografie. [2]

Šifrování

Během 70. let vznikají první symetrické (s privátním klíčem) šifrovací algoritmy jako DES (data encryption standard), jež byl později nahrazen AES (Advanced encryption standard). Symetrická kryptografie pracuje pouze s jedním klíčem, který se používá jak pro zašifrování, tak pro rozšifrování textu.

V roce 1976 byla vynalezena metoda asymetrického šifrování Diffie-Helman, jež spočívala v matematickém propojení klíčů. Všechny komunikující strany zkonstruují jeden klíč a nikdy není poslán v otevřené formě. Takto se může první část klíče odtajnit bez rizika ohrožení informací. Tuto metodu využívá např. šifrování RSA (podle autorů Rivest, Shamir a Adleman). Vznik oboru informační bezpečnosti jako takového se datuje do 80. let, kdy se ještě obor jmenoval počítačová bezpečnost a jednalo se především o bezpečnost počítačových sítí. V této době také začínají v odborných periodikách vycházet články s touto tematikou.

Další funkce pro převod dat

Během 50. let se začala používat tzv. hashovací funkce. Tato funkce využívá algoritmus pro převod vstupních dat do relativně malého čísla. Výstupem je výtah (fingerpritn či hash). Pro kryptografii se používají jednosměrné a bezkolizní funkce, u nichž není možné zjistit z hodnoty původní zprávu a zároveň je nemožné odvodit dvě původní zprávy.[3]

Na základě asymetrických algoritmů pracuje digitální (či elektronický) podpis, jež označuje specifická data, která v počítači nahrazují klasický vlastnoruční podpis. Je vytvořen pro konkrétní data a jeho součástí je i informace o tom, kdo jej vytvořil, a tedy je možná nepopiratelná identifikace. Vytváří se ve dvou krocích - nejdříve se vytvoří otisk (hash) dokumentu a poté je zašifrován autorovým privátním klíčem.

V devadesátých letech přišel velmi rychlý vývoj tohoto oboru, který se postupně začal ubírat směrem k Internetu. Počítačová bezpečnost se začala přesouvat do školství, soukromé sféry i akademickým účelům. Spolu s rozmachem oboru se začínají objevovat snahy o standardizaci.

Standardizace informační bezpečnosti[4]

Informační bezpečnost v současné době zaopatřuje řada norem ISO 27000. Základní normy informační bezpečnosti jsou:

  • ČSN ISO/IEC 27002:2014 Informační technologie -Bezpečnostní techniky - Soubor postupů pro opatření bezpečnosti informací
  • ČSN ISO/IEC 27001:2014 Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Požadavky

Organizace informační bezpečnosti

Efektivní organizace informační bezpečnosti v různě velkých právnických subjektech je možno dosáhnout za pomoci dodržování systému řízení bezpečnosti informací (ISMS, z anglického Information Security Management System). Základní model ISMS je popsán v normě ISO/IEC 27001. Interpretace a implementace jednotlivých doporučení se však může výrazně lišit podle rozsahu systému, počtu uživatelů, způsobu zpracování dat, jejich hodnoty a především podle reálných bezpečnostních rizik.

Zranitelnost informačních systémů

Zranitelnost je obecnou vlastností informačních systémů. Dá se posuzovat ze dvou hledisek: z hlediska organizačního a logického prostředí. Zjednodušeně řečeno se jedná o lidské zdroje a samotné technické zdroje (hardware i software). Je určena mírou rizika, jež se rovná pravděpodobnosti uplatnění některých ze zranitelných či obecných rizik.

Rizika informačních systémů

Nejpravděpodobnější hrozba pramení z hrozby organizačního prostředí. Systém je buď dodán, instalován nebo používán způsobem, který není bezpečný.

Napadení informačního systému

  • Nedostupnost služby - tzv. DoS útoky (Denial of Service) - způsobí, že případná služba, na kterou byl prováděn útok přestane být funkční - může dojít i k "zatuhnutí", případně restartu serveru apod.
  • Neoprávněný přístup - výsledkem útoku může být to, že útočník neoprávněně získá plný nebo částečný přístup k zařízení, a to mu následně umožní provádět neautorizované změny v konfiguraci, mazání nebo modifikaci souborů apod. Často bývá takto napadený server využíván jako základna pro provádění útoků na další zařízení.
  • Získání důvěrných informací - výsledkem útoku může být získání citlivých informací - např. seznam uživatelských jmen a hesel apod.

Zabezpečení informačního systému

Při ochraně informací využíváme základní bezpečností mechanismy[5]:

  • Logické bezpečnostní mechanismy (softwarové bezpečnostní mechanismy) - princip řízení přístupu v daném operačním systému, kryptografie, standardy pro návrh, kódování, testování, údržbu programů, ochranné nástroje v operačních systémech, např. ochrana paměti, ochrana souborů řízením přístupu, obecná ochrana objektů (přístupové matice, přístupové seznamy, hesla, autentizace přístupu k terminálu, mechanismy určené pro autentizaci zpráv).
  • Technické bezpečnostní mechanismy (hardwarové bezpečnostní mechanismy) - šifrovače a autentizační a identifikační karty.
  • Fyzické bezpečnostní mechanismy - stínění, trezory, zámky, protipožární ochrana, generátory náhradní energie, chráněná místa pro záložní kopie dat a programů.
  • Organizační bezpečnostní mechanismy - výběr důvěryhodných osob, hesla, právní normy, zákony, vyhlášky, předpisy.

Mezi bezpečnostní mechanismy patří i ochranné nástroje v aplikačních systémech.

Logické a technické bezpečnostní mechanismy

Prevence a minimalizace technických a logických rizik je nejdůležitější podmínkou jejich zvládnutí. K tomtu účelu slouží řada automatizovaných nástrojů:

  • Antivirus - bezpečnostní software určený pro boj s malwarem (škodlivý programový kód).
  • Firewall - technický prvek informační infrastruktury, který je určen k bezpečnému propojení dvou a více počítačových sítí.
    • Web Application Firewall (WAF) - ochrana síťového provozu na protokolech HTTP a HTTPS.
  • Systém prevence úniku (Intrusion Prevention System) - nástroje určené pro detekci neautorizovaných a škodlivých aktivit v síťové infrastruktuře organizace a na obranu proti nim.
  • Analýza chování sítě (Network Behavior Analysis) - detekce nežádoucích vzorů chování na síti slouží k odhalování útoků proti sítím a systémům za použití inteligentní analýzy statistik síťového provozu.

Organizační bezpečnostní mechanismy

V rámci dobře zabezpečeného informačního systému je nutné myslet i na lidský faktor, kvůli kterému vzniká mnoho bezpečnostních problémů. Kontrolu nad uživateli hrajícími libovolnou roli lze nejsnadněji dosáhnout pomocí přesně stanovené odpovědnosti včetně jejich oprávnění pro přístup do systému a postupy schvalování mimořádných požadavků a událostí. Řízení přístupu k datům - klíčové faktory[6]:

  • identifikace uživatele skrze jeho autentizaci
  • autorizace zajišťující kontrolu oprávnění daného uživatele k provedení určité operace s daty

Hrozby ze strany lidských zdrojů[7]:

  • Nespokojení zaměstnanci - tito uživatelé jsou náchylní, jak k cíleným kolapsům tak k prozrazením citlivých informací třetí straně.
  • Nedostatečně kvalifikovaní zaměstnanci.
  • Outsourcing - v případě využívání externích firem je třeba dbát zvýšené pozornosti a omezení informačních toků na minimum
  • Sociální inženýrství - podvodný způsob manipulace lidí za účelem provedení určité akce nebo získání informace.
    • Phising - rozesílání podvodných e-mailových zpráv tvářících se důvěryhodně.
    • Pretexting - technika využívající částečně pravdivé informace za účelem vymámení osobních údajů.
    • Baiting - umístění média s infikovaným obsahem na veřejně dostupném místě (tato technika se spoléhá na zvědavost, kdy uživatel dané médium spustí a infikuje tak svůj přístroj či celou síť).
    • Quid pro quo - vytáčení náhodných čísel a představování se např. jako pracovník technické podpory.

Odkazy

Reference

  1. ČANDÍK, Marek. Informační bezpečnost. Praha, 2010. Dostupné z: http://www.cybersecurity.cz/data/candik2.pdf
  2. ŽILKA, Radek. Bezpečnost informací. Dostupné z: http://www.vtpup.cz/cs/download/vavpropraxi/vav-prezentace/15-bezpecnost-informaci.pdf
  3. KLÍMA, V. Hašovací funkce, principy, příklady a kolize [Online] [Cit.: 11. 6. 2015]. Dostupné z: http:// cryptography.hyperlink.cz/2005/cryptofest_2005.htm.
  4. BUDÍN, Emil. Využití automatizovaných nástrojů pro řízení bezpečnosti informací dle norem řady ČSN ISO/IEC 27000. Brmo, 2014. Dostupné z: https://is.muni.cz/th/212378/ff_m/Diplomova_prace.pdf. Diplomová práce. Masarykova univerzita v Brně. Vedoucí práce Petr Škyřík.
  5. ČANDÍK, Marek. Bezpečnost informačních technologií. Praha, 2010. Dostupné z: http://www.cybersecurity.cz/data/candik.pdf
  6. TOMEK, Michal. Lidský faktor v bezpečnosti IS. System online: S přehledem ve světě informačních technologií [online]. 2004, (3) [cit. 2015-06-14]. Dostupné z: http://www.systemonline.cz/clanky/lidsky-faktor-v-bezpecnosti-is.htm
  7. STOKLÁSKA, Ondřej. Lidský faktor v bezpečnosti IS/IT a sociotechnika. Praha, 2006. Dostupné z: https://www.vse.cz/vskp/320_lidsky_faktor_v_bezpecnosti_is_it_a_sociotechnika. Bakalářská práce. Vysoká škola ekonomická v Praze. Vedoucí práce Petr Doucek.