Souãasná situace na „boji‰ti“Svět ICT do značné míry kopírujeostatní sféry lidské činnosti. I zde jsou„ti dobří“, kteří by rádi s informačnímitechnologiemi řádně pracovali podledaných pravidel, ale i „ti zlí“, kteří hle-dají cesty, jak informační technologiezneužít, obohatit se na úkor druhýchnebo jednoduše provést něco nepěk-ného. A před těmi se musíme co nej-účinněji bránit. Někteří odborníci jiždlouho nepokrytě označují tuto skupinujako „kybernetický zločin“. A nutno říci,že vůbec nepřehánějí.Stejně jako se vyvíjejí a zdokonalujíinformační a komunikační technologie,zdokonalují i tito zločinci svoje metody,postupy a nástroje. Zatímco v počátcíchpočítačů a internetových služeb, jako jeweb, e-mail nebo instant messaging bylyjejich aktivity spíše jen obtěžující, nyníse s nimi potýkáme jako s vážným prob-lémem a působí nám vážné ekonomickéztráty. Výše výdělků z těchto nelegálníchaktivit se jen velice těžko vyčísluje a jepouze předmětem spekulací, nicméně seodhaduje, že dnes tímto způsobem zlo-činci vydělávají více než např. drogovýmbyznysem.Zatímco dříve jsme se setkávali spíšes plošnými útoky nebo různými pokusyo podvodné aktivity na internetu, dnesjiž je naprostá většina útoků přesněcílena do poměrně malého rozsahu.Zatímco dříve byl výnos zločince z jehojednotlivé aktivity většinou malý (napří-klad šíření spamu), dnešní vysoce adapti-bilní kybergangy dokáží svůj útokpřesně zacílit a vytěžit z něj častonemalé částky. Ukázkovým příklademmohou být nedávné krádeže v řádechstovek milionů korun ze systému emis-ních povolenek v několika různých stá-tech EU. Zde se ukázalo, že komplexnízabezpečení informací je nezbytné nejenpo technické, ale také organizační

stránce a jeho podcenění může véstk citelným finančním ztrátám.V poslední době můžeme pozorovatpostupnou profesionalizaci a zvyšující seefektivitu kyberzločinců. Důkazemmůže být např. i nedávný náhlý poklesšíření spamu z některých botnetů (bot-net = síť počítačů s tajně nainstalova-ným škodlivým programem, kterýumožňuje vzdálené ovládání zločincembez vědomí právoplatného uživatele),který někteří odborníci považují zaznámku přesunu některých kybergangůk efektivnějším (tzn. výnosnějším) čin-nostem.Každá organizace by měla věnovatdostatečnou pozornost zabezpečenísvých informačních aktiv a vycházetpřitom z existujících rizik tak, aby jimbyla schopna účinně čelit. Rizika všaknepředstavují pouze kyberzločincia další vnější útočníci, ale řada z nich seskrývá přímo uvnitř organizace. Mezi

největší vnitřní rizika patří samotní uži-vatelé, kteří mohou být zdrojem nejenúmyslných útoků, ale i neúmyslnýchchyb, jejichž dopad může být neméněbolestný.Jakým způsobem bychom tedy ve světlesoučasné situace měli řídit a zajišťovatinformační bezpečnost své organizace?

Celkov˘ pfiístup k informaãní bezpeã-nostiI když systémy řízení informační bez-pečnosti (ISMS – Information SecurityManagement System) na základě noremISO/IEC řady 27000 v našich zeměpis-ných šířkách již dávno zdomácněly, způ-

sob jejich návrhu a implementace sepostupně mění. Nemalý vliv na to jistěmají požadavky byznysu dané organi-zace, které se i do oblasti informačníbezpečnosti prosazují čím dál tím více.Tato skutečnost je na jedné straně zcelajistě pozitivní, co jiného než samotnápodstata existence většiny komerčníchfirem by se mělo promítat do všechjejích oblastí, informační bezpečnostnevyjímaje. A platí to nejen prokomerční organizace, ale i pro organi-zace neziskové a organizace státní správya samosprávy. I zde je nutné si uvědo-mit, že primárním cílem musí býtnaplnění účelů, pro něž byla organizacezřízena.Nutno však poznamenat, že snahybyznysu o prosazení svých požadavkův oblasti informační bezpečnosti můžebýt (a také v praxi často bývá) značněsebedestruktivní. Snaha o maximální

přizpůsobení obchodních procesů potře-bám zákazníka může být v přímém roz-poru s požadavky na zabezpečeníinformací a informačních technologiíorganizace.Typickým příkladem z praxe může býtnapříklad tato reálná situace, kdy jebudována nová internetová aplikace, dokteré budou přistupovat klienti organi-zace a budou zde zadávat svoje poža-davky na služby, transakce apod.Byznys, který navrhoval obchodní pro-cesy související s tímto novým prodej-ním kanálem, se zcela vážnou tváříprosazoval nedostatečnou formu auten-tizace klienta (přihlášení pouze uživatel-

Nûkteré souãasné trendyv informaãní bezpeãnostiV souvislosti s rÛzn˘mi zmûnami i novinkami také oblast bezpeãnosti procházíneustál˘m v˘vojem. Pohled na technické i organizaãní zabezpeãení se mûnís mnoha rÛzn˘mi faktory, mj. se zmûnami ekonomické situace, pfiíchodemnov˘ch technologií, nov˘mi typy útokÛ atd. Jaké aktuální otázky nyní bezpeã-nostní specialisté fie‰í? Jaké bezpeãnostní technologie jsou nyní v organizacíchnovû implementovány? Na co by si organizace mûly dát pozor, aby bezpeãnostníincidenty komplikovaly jejich fungování co nejménû?

www.parlamentnimagazin.cz

e G O V E R N M E N T

„Mezi nejvût‰í vnitfiní rizika patfií samotní uÏivatelé, ktefiímohou b˘t zdrojem nejen úmysln˘ch útokÛ, ale i neúmysln˘ch

chyb, jejichÏ dopad mÛÏe b˘t neménû bolestn˘.“

34 Par lamentn í magaz ín

e G O V E R N M E N T

ským jménem a heslem o maximálnídélce 4 znaků – hlavní argument:„Krátká hesla jsou pro klienty sexy –delší hesla budou zapomínat…“). I kdyžv dané organizaci existovala pozice bez-pečnostního manažera a byly zde zave-deny funkční bezpečnostní procesyv duchu ISMS, přesto se zmíněný návrhdostal v této podobě až k programáto-rům. A to všechno v důsledku toho, žeinformační bezpečnost, respektive bez-pečnostní manažer, nebyl přizvánk návrhu obchodních procesů dané apli-kace. Přitom i řada „obyčejných“ uživa-telů s průměrnou znalostí základůinformační bezpečnosti ví, že prolomeníčtyřznakového hesla je v dnešní doběvíce než jednoduché.V tomto konkrétním případě se naštěstíbezpečnostní manažer organizace donávrhu aplikace zapojil ještě relativněvčas a dokázal do procesů i celkovéhonávrhu aplikace prosadit alespoňzákladní bezpečnostní požadavky.

V praxi se však poměrně často setká-váme s podobnými případy, kdy oblastbezpečnosti není řešena vůbec a nedos-tatky jsou objeveny až v závěrečnýchvývojových fázích při provádění bezpeč-nostních prověrek a penetračních tes-tech. Náprava identifikovanýchbezpečnostních nedostatků je všakv těchto fázích vývoje zpravidla až něko-likanásobně finančně náročnější. Pokudje bezpečnost řešena ex-post, tak navícmálokdy u aplikace dosáhneme takovéúrovně bezpečnosti, jako kdyby bylařešena již v počátečních fázích návrhuaplikace.Pokud organizace nemá sama k dispo-zici potřebné specialisty, nezbývá jí nežse poohlédnout po dostatečně erudova-ných externistech, případně tuto oblastoutsourcovat od externího dodavatele.

Nezastupitelná role bezpeãnostníhopovûdomí uÏivatelÛI když v poněkud přeneseném významu,je i z výše uvedeného příkladu jasněvidět, jak důležité je bezpečnostní pově-domí organizace i jednotlivých uživa-telů-zaměstnanců. Nedostatečná úroveňbezpečnostního povědomí častovýznamně degraduje i jinak vysokouúroveň technického zabezpečení. Ať senám to líbí nebo ne, uživatel byl, jea bude nejslabším článkem bezpečnostikaždého informačního systému, a i když

se budeme hodně snažit a investovatnemalé částky do technických prvkůzabezpečení, jeho negativní vliv nikdyzcela neodstraníme.Proto je potěšující, že stále více organi-zací si tuto známou pravdu uvědomujea začíná soustřeďovat odpovídajícípozornost také na pravidelné vzděláváníuživatelů svých informačního systému.Školení informační bezpečnosti můžebýt realizováno jak prezenční, tak i e-learningovou formou. Možné je i anga-žování externího školitele. V rámci jehonáplně je vhodné uživatele seznámits možnými hrozbami, které na němohou v praxi působit, jako jsou napří-klad často využívané útoky metodamisociálního inženýrství. Dále by v obsahuškolení rozhodně nemělo chybět sezná-mení se stávajícími bezpečnostními pra-vidly organizace, jako jsou např. pravidlapro nakládání s informacemi, pravidlapro používání výpočetní techniky,zásady zabezpečení notebooků, mobil-

ních zařízení, datových médií atd. atd.V mnoha organizacích mohou být takévelmi důležitým aspektem pravidla pronakládání s osobními údaji (např. kli-entů) nebo pravidla pro manipulacis daty zákazníků.I když témata probíraná v rámci tako-vého školení jsou zpravidla míněna

velmi vážně, z vlastní zkušenosti vím, žeřada uživatelů z nich má spíše legraci.Proto je velmi vhodné školení doplnito nějakou formu testu odolnosti uživa-telů organizace vůči vybraným typůmútoků. Zpravidla se jedná o fiktivníútoky vedené metodami sociálního inže-nýrství prostřednictvím telefonu, e-mailu nebo externích médií, případněkombinovaně. Provedení těchto testůpřed školením uživatelů dokáže upoutatpozornost zaměstnanců a současně jimv praxi ukáže reálnost tohoto typuútoků. Pokud se testy provádějí po ško-lení, jsou prostředkem pro ověření jehoúčinnosti.

Bezpeãnost nezná hranicStejně jako jsou významná bezpečnostníopatření v organizační a personálníoblasti, z nichž některé jsme zmínilivýše, jsou dnes neméně aktuální takéněkteré nové bezpečnostní technologie,jako je např. Network Behaviour Analy-sys (NBA), Data Loos Prevention (DLP)nebo Security Information and EventManagement (SIEM), které takévýznamně pomáhají v udržení potřebnébezpečnostní úrovně organizace. Aleo těchto technologiích snad až někdypříště…

Petr Nádeníček,Senior IT Security Consultant

AEC, spol. s r.o.,člen skupiny Cleverlance Group

„Nedostateãná úroveÀ bezpeãnostního povûdomíãasto v˘znamnû degraduje i jinak vysokou úroveÀ

technického zabezpeãení.“

Par lamentn í magaz ín 35