14.1.2015

Všeobecně se má za to, že když se nic neděje a procesy na úřadu nebo ve firmě fungují, jak mají, vše je v pořádku. Nicméně v jedné oblasti to úplně neplatí. Tou oblastí je tzv. „kybernetická bezpečnost“ a to je téma, které je v poslední době velice často propíráno odbornou i laickou veřejností.

Můžeme si např. připomenout neuhasínající hvězdu všech mezinárodních médií, Edwarda Snowdena. Nebo třeba loni v září kybernetický řízený útok na centrální IT systém pražské nemocnice Bulovka. Spousty útoků, které se dnes a denně dějí, nejsou vůbec viditelné a v médiích se o nich již moc nehovoří. Kdo by také chtěl sdělovat médiím takto citlivá data.

 Pomoci firmám a úřadům v rámci kritické infrastruktury státu kybernetické hrozby monitorovat, evidovat a následně na ně adekvátně reagovat má Zákon o kybernetické bezpečnosti č. 181 Sb. Tento zákon podepsal dne 13. srpna 2014 prezident republiky Miloš Zeman a platnosti nabyl vyhlášením ve Sbírce zákonů dne 29. srpna 2014. Účinný bude od 1. ledna 2015.

 Zákon o kybernetické bezpečnosti je poměrně komplikovaný a zaslouží pozornost všech, kteří jakoukoli ICT infrastrukturu mají, nebo ji využívají. Zájemce se dozví, jak je nutné bezpečnost mít a jak si jí může „koupit“, popřípadě čeho se má obávat.

 Otázkou zde ale není, do které škatulky „spadne“ váš úřad nebo firma, ale jak k této oblasti přistoupíte. Základem pro nákup bezpečnostních technologií a produktů je určení toho, co máte v rámci ICT bezpečnosti dobře nastaveno, nebo nakoupeno a co třeba vůbec ne. Jde o pohled na tzv. komplexní ICT bezpečnost. V rámci komplexní ICT bezpečnosti je totiž nutností se od základu podívat na fungování daného úřadu nebo firmy a zjištění, ve které fázi a stavu se firma nachází. Komplexní ICT bezpečnost nezajistíte ani akčním nákupem populární technologie SIEM[1] nejnovější verze antiviru.

 Komplexní bezpečnost je postavena na čtyřech pilířích:    Procesní řízení neboli Business Process Management (BPM);  Právní ochrana, nastavení a zajištění smluvních podmínek dotýkajících se ICT   technologií a služeb, produktů;  Nastavení ICT technologií a služeb jak z pohledu technického tak   i lidského;  Monitoring aktivit týkajících se nebo ovlivňujících bezpečnost firmy.

 Základem kvalitní komplexní bezpečnosti je dobře zmapovat všechny ICT komunikační platformy i jejich propojení a to z důvodu nastavení bezpečnostní politiky. Většina úřadů a firem totiž tento základní předpoklad bezpečnosti opomíjí.

 Na začátku by mělo být posouzení všech druhů bezpečnosti a nastavení určitých rolí ve struktuře úřadu či firmy.

 Optimální struktura bezpečnostní politiky organizace je budována s pomocí specialistů, zodpovědných za tuto oblast a hlavně za účasti vrcholového vedení.

 Nové povinnosti, nové funkce

 Bezpečnostní politika je důležitým základem, který následně určí odpovědnostní role jednotlivých zaměstnanců a také manažerů. Víte, kdo je zodpovědný za bezpečnost nejen ICT ve vašem úřadu nebo firmě a co máte dělat, když vám někdo ukradne služební telefon, usb disk, notebook nebo data? Víte, co máte dělat a komu zavolat třeba ve tři hodiny ráno?

 Je zcela evidentní, že v některých organizacích i na našem trhu práce chybí lidé typu manažera kybernetické bezpečnosti, architekta kybernetické bezpečnosti nebo auditora kybernetické bezpečnosti, tedy lidé v těchto rolích, kteří mají pomoci naplňovat zákon o kybernetické bezpečnosti na straně úřadů a firem. Vzhledem k tomu, že zákon o kybernetické bezpečnosti nepopisuje tyto role detailně z pohledu potřebného vzdělání, zkušeností apod., probíhá z iniciativy Českého institutu manažerů informační bezpečnosti (ČIMIB[2]) aktivita, jejímž cílem je tuto mezeru zaplnit a to zavedením těchto rolí do Národní soustavy povolání a na ni navazující Národní soustavy kvalifikací. Zmíněné role byly ČIMIBem doplněny o další tři – technolog kybernetické bezpečnosti, analytik kybernetické bezpečnosti a pracovník dohledového centra. I tyto role budou zavedeny do Národní soustavy povolání a Národní soustavy kvalifikací.

 

Elektronická tsunami

 Jedním z posledních případů aktuální bezpečnostní hrozby je nová nebezpečná forma DDoS útoku (Distributed Denial of Service), pod pracovním názvem „Tsunami SYN Flood Attack“. Během pouhých 48 hodin zaznamenali specialisté z týmu Radware’s Emergency Response Team (ERT) dva masivní útoky ze dvou různých kontinentů. Útok reprezentuje nový způsob, který má potenciál napadnout naprostou většinu současných bezpečnostních řešení. Byl navržen tak, aby překonal obranu systému během několika sekund. Data jsou obsažena v každém paketu a mimořádná je zejména jejich velikost. Tento útok konkrétně cílil na Internet Service Providera a datacentrum společnosti poskytující herní aplikace. V obou případech útoku (každý z jiného kontinentu) se velikost toku útoku rovnala 4–5 Gbps. Název Tsunami SYN Flood útok koresponduje s masivností útoku. Dle dostupných informací bylo použito asi 1000 bajtů v každém paketu. To je mimořádné číslo, pokud jej srovnáme se standardním útokem, který využívá maximálně 40 až 60 bajtů paketu. Tento druh DDoS útoku také využívá protokol TCP místo UDP. Je pravděpodobné, že útočníci, kteří stojí za útokem Tsunami SYN Flood používali botnet a Crawley. Takový druh útoků by mohl být identifikován a zmírněn použitím behaviorálních algoritmů.

 

Jak je z výše uvedeného zřejmé, před bezpečnostními hrozbami je důležité nezavírat oči, sledovat vše bedlivým okem pozorovatele a být připraven – zcela v duchu zásady: kdo je připraven, není překvapen. Z hlediska historie a aktuálního politického stavu ve východní Evropě je pravděpodobné, že útoků bude přibývat. V dnešní době již nejde útočníkům pouze o data, ale ve většině případů o zjištění citlivosti daného systému na určitý typ útoků. V podstatě daný stav je takový, že pokud na vaše systémy standardně útočí a vy se bráníte, je vše v pořádku. Pokud na Vás nikdo neútočí, buďte v pozoru, možná už je útočník dávno u Vás a zákon nezákon…

 

Poznámky  

SIEM – (Security Information and Event Management), termín SIEM   roku 2005 vytvořili Mark Nicolett a Amrit Williams ze společnosti Gartner   v souvislosti s popisem produktu schopného shromažďovat, analyzovat a   prezentovat informace ze sítě a bezpečnostních zařízení, pomáhat spravovat   identity a přístupy, ohrožená místa, shody s bezpečnostními politikami atd. 

ČIMIB – (Český institut manažerů informační bezpečnosti)   je profesní sdružení, které si klade za cíl sdružovat odborníky z oblasti   informační bezpečnosti. Historie sahá do roku 2007, kdy byl ČIMIB založen.   Členskou základnu tvoří přes 100 odborníků z více než   80 institucí. Jedná se převážně o subjekty státní správy, utility,   finanční instituce, komerční subjekty a technologické dodavatele.

 

Autor je šéfredaktorem společnosti Averia Ltd., která je vydavatelstvím odborných magazínů ICT Security, NetGuru, Corporate ICT a tištěného speciálu ICT Network News.

Zdroj: www.dvs.cz, P.Smolník