Informačná a kybernetická bezpečnosť (I.)

V dnešných dňoch je azda najviac skloňovanou témou kyberbezpečnosť a informačná bezpečnosť. Je kľúčová pre manažment verejnej správy, a preto sa jej venujú mnohé školenia, odborné konferencie, webináre a roadshow. Pri prezeraní webu, sociálnych médií na nás často vyskočí krátka reklama o kyberbezpečnosti, resp. informačnej bezpečnosti. Ako sa možno na túto tému pozerať? Ako ju treba chápať? Kde treba začať?

Definovanie pojmov

V prvom rade si musíme zadefinovať pojmy, s ktorými budeme pracovať, a ktoré budeme v téme rozvíjať.

Informácia – V našom prípade je základným pojmom informácia. S informáciami narábame, pracujeme, žijeme, existujeme, sme na nich závislí. Informácie si vymieňame, spracovávame, preskupujeme, vymýšľame si ich, zneužívame, ale najmä si ich potrebujeme chrániť. Informáciu potrebuje spracovať človek, ale aj technické zariadenie.

Príklad:

Údaj sto môžeme zapísať ako 100, one hundred, cento. Zapísať ho môžeme rímskou číslicou C, v hexadecimálnom vyjadrení ako 64, binárnym číslom 1100100. Podoba údaja sto nekorešponduje s významom C, alebo 1100100 len naoko. Význam je ten istý.

K tomu, aby sme zabezpečili bezpečnosť významu informácie, a aby sme mohli ďalej s takýmto údajom ako informáciou nakladať, musíme si byť istý, že informácia je pravdivá, úplná a dostupná vtedy, keď je to potrebné. Takéto požiadavky nazývame základné atribúty bezpečnosti informácií. Ide o:

• Dôvernosť (Confidentiality): miera obmedzenia prístupu k informáciám len pre osoby alebo skupiny osôb, ktoré sú oprávnené na prístup k príslušným informáciám, resp. záruka, že údaj alebo informácia nie je prezradená neoprávneným subjektom alebo procesom.
• Dostupnosť (Availability): miera dostupnosti informácie pre používateľa a systém vo chvíli, keď je informácia potrebná a požadovaná, resp. záruka, že údaj alebo informácia je pre používateľa, informačný systém, sieť alebo zariadenie prístupné vo chvíli, keď je údaj a informácia potrebná a požadovaná.
• Celistvosť (Integrity): miera bezchybnosti informácie. Charakteristikami integrity sú: úplnosť informácie; správnosť informácie; záruka, že bezchybnosť, úplnosť alebo správnosť informácie neboli narušené.

Ďalšie dve požiadavky sa týkajú komunikácie:

• Nepopierateľnosť (Non- repudiation): záruka že pôvodca údajov nemôže neskôr poprieť svoju identitu ani účasť na spracúvaní týchto údajov.
• Zodpovednosť (Accountability): záruka, že aktivitu entity pri spracúvaní údajov možno určiť jedinečným spôsobom.

Informačná verzus kybernetická bezpečnosť

Priblížme si významy informačnej a kybernetickej bezpečnosti. Oba výrazy sú správne, avšak je dôležité pochopiť ich vzájomný vzťah. Informačná bezpečnosť sa týka dôvernosti, integrity a dostupnosti informácií a dostupnosti, spoľahlivosti a dôveryhodnosti služieb. Kybernetická bezpečnosť sa týka dôvernosti, integrity a dostupnosti informácií a dostupnosti a súvisí s celým kybernetickým priestorom. Pre lepšiu ilustráciu uvádzame ďalšie definície.

Informačná bezpečnosť:

• je zachovanie, dôvernosti, integrity a dostupnosti informácií [ISO/IEC 27032, čl. 2.33],
• znamená ochranu informácií a informačných systémov pred neoprávneným prístupom, využívaním, odhalením, zmenou, alebo zničením [ďalej podľa § 3 písm. h) zákona č. 69/2018 Z. z.].

Kybernetická bezpečnosť:

• je stav, v ktorom sú siete a informačné systémy schopné odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov [ISO/IEC 27032, čl. 4.20],
• je zachovanie dôvernosti, integrity a dostupnosti informácií v kybernetickom priestore.

Kybernetický priestor:

• je globálny dynamický otvorený systém sietí a informačných systémov, ktorý tvoria aktivované prvky kybernetického priestoru, osoby vykonávajúce aktivity v tomto systéme a vzťahy a interakcie medzi nimi [ďalej podľa § 3 písm. c) zákona č. 69/2018 Z. z.],
• je komplexné prostredie vyplývajúce z interakcie ľudí, softvéru a služieb na internete, technologických zariadení a sietí k nim pripojených, ktoré neexistujú v žiadnej fyzickej podobe [ISO/IEC 27032, čl. 4.21].

Zrejme prvú všeobecnú definíciu použil v roku 1984 v kyberpunkovom sci-fi románe Neuromancer americký spisovateľ William Ford Gibbson. V nasledujúcich rokoch sa tento výraz identifikoval najmä s počítačovými hrami a postupne prepájanými počítačovými sieťami. Časť románu Neuromancer, ktorá je zvyčajne citovaná v uvedenom kontexte, je nasledujúca: „Kybernetický priestor. Hromadná halucinácia, ktorú denne prežívajú miliardy oprávnených v každom z národov, v ktorých sa deti učia matematické pojmy... Grafické zobrazenie údajov získaných z každého počítača v ľudskom systéme. Nepredstaviteľná zložitosť. Riadky svetla rozprestierajúce sa v medzi priestore mysle, zhlukov a súhvezdí dát. Ako ustupujúce svetlá miest“ (Gibson, 1984).

Definíciu neskôr kritizoval aj autor, ktorý ju komentoval v dokumente No Maps for These Territories[1] v roku 2000 slovami: „Všetko, čo som vedel o výraze „kybernetický priestor“, keď som ho vytvoril, bolo, že sa mi to zdalo byť efektívnym módny výrazom. To slovo sa mi zdalo byť evokujúce a zároveň bezvýznamné. Bolo to čosi sugestívne, čo však nemalo skutočný sémantický význam, dokonca ani pre mňa samotného.“ Takýto opis je len umeleckou predstavou spisovateľa, navždy mu však bude patriť historické, „čestné“ miesto medzi definíciami kybernetického priestoru.

Zostaňme však v exaktných vedách a používajme technické definície. Rozsiahlu zbierku rôznych definícií udržiava napríklad thinktank „The NATO Cooperative Cyber Defence Centre of Excellence“ na svojej web stránke. V technických profesiách sa profesionáli opierajú o terminológiu, ktorá je dohodnutá na úrovni medzinárodnej normalizačnej organizácie ISO.

Podľa medzinárodnej technickej normy ISO/IEC 27032:2012 Information technology – Security techniques - Guidelines for cybersecurity (Informačné technológie – Bezpečnostné metódy – Návod na kybernetickú bezpečnosť), je kybernetický priestor definovaný ako „komplexné prostredie neexistujúce v žiadnej fyzickej forme, vyplývajúce z interakcie ľudí, softvéru a služieb na internete, pripojených prostredníctvom technologických zariadení a sietí“.

Z technicky jednoznačných definícií je vhodné spomenúť definíciu Medzinárodnej telekomunikačnej únie ITU. Táto v rovnakom význame používa namiesto výrazu kybernetický priestor termín kybernetické prostredie: „Kybernetické prostredie zahŕňa používateľov, siete, zariadenia, všetok softvér, procesy, informácie a to uložené, alebo počas prenosu, aplikácie, služby a systémy, ktoré môžu byť pripojené priamo, alebo nepriamo do siete“.[2] Na kybernetickú a informačnú bezpečnosť treba nazerať v priebehu celého životného cyklu systému a nakladania s informáciami. Ak sa niečo zanedbá na začiatku, ťažko sa to napraví neskôr.

Právna úprava kyberbezpečnosti

Predtým, ako si priblížime jednotlivé zákony a požiadavky na subjekty verejnej správy (napr. obce, školy a pod.), vytvorme si základný rámec právnych predpisov podľa ich právnej sily. Ide o:

• primárne právne akty EÚ: Záväzné zmluvy medzi členskými štátmi EÚ, Charta základných práv, Všeobecné zásady Súdneho dvora Európskej únie,
• sekundárne právne akty EÚ: Nariadenia, Smernice, Rozhodnutia, Odporúčania,
• národnú legislatívu SR: Ústava SR a ústavné zákony, Medzinárodné zmluvy a referendá so silou zákona, Medzinárodné zmluvy a referendá so silou ústavného zákona, Zákony NRSR, Vykonávacie právne predpisy (Vyhlášky), Nariadenia vlády.

V článkoch sa fokusujeme na národnú legislatívu, najmä na zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (už novelizovanú formu s NIS2) [ďalej len „zákon č. 69/2018 Z. z.] a zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 95/2019“).

Postupne si priblížime bezpečnosť, organizáciu informačnej a kybernetickej bezpečnosti, rolu manažéra, riadenie súladu, hrozby, incidenty, právne povinnosti zákonov. Predstavíme jednotný informačný systém kybernetickej bezpečnosti, samohodnotenie, audit, výstup bezpečnostnej dokumentácie, všetko v prepojení na verejnú správu.

Tab. č. 1: Národná úprava kybernetickej bezpečnosti v právnych dokumentoch slovenskej legislatívy

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti	Vyhláška NBÚ č. 164/2018 Z. z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby)
	Vyhláška NBÚ č. 165/2018 Z. z., ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov
	Vyhláška č.166/2018 o podrobnostiach o technickom, technologickom a personálnom vybavení CSIRT
	Vyhláška NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
	Vyhláška NBÚ č. 492/2022 Z. z. o audite kybernetickej bezpečnosti
	Vyhláška NBÚ č. 493/2022 Z. z., ktorou sa ustanovujú znalostné štandardy v oblasti kybernetickej bezpečnosti
Zákon č. 45/2011 Z.z. o kritickej infraštruktúre
Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe	Vyhláška ÚPVII č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
Zákon č. 18/2018 Z. z. o ochrane osobných údajov

Novelou zákona č. 69/2018 Z. z. sa budú novelizovať aj vyhlášky naviazané na zákon o KB.

Praktické rady a odporúčania pre kybernetickú bezpečnosť

Aktualizujte a obnovujte!

• Útočníci ako prvé hľadajú známe zraniteľnosti v neaktualizovaných systémoch, čiže „bezpečnostné diery“.
• Váš počítač, smartfón, wifi smerovač (router) a všetky IT zariadenia musia mať vždy nainštalované posledné verzie aktualizácií a záplat firmvéru a operačného systému.
• Potreba inštalácie aktualizácií sa týka aj internetového prehliadača a všetkých aplikácií. Nezabújte na IoT (Internet vecí – hlasoví asistenti, vysávače a pod.).

Používajte antivírus!

• Voči útoku škodlivým kódom vás ochránia najmä antivírusové aplikácie. Nainštalujte si niektorú z nich a nastavte ju tak, aby automaticky kontrolovala prístupy na webové stránky, sťahované súbory, prílohy e-mailov a pamäťové médiá.
• Zapnite si funkciu spamového filtra (ďalej k tomu v časti o e-mailoch)

Vytvárajte silné heslá!

• Silné heslá sú tie, ktoré nikto neuhádne a zároveň si ich pamätáte, napr. citát alebo text skladby, kde nahradíte aspoň jedno písmeno špeciálnym znakom a pridáte číslice.
• Reálne slová použité ako heslá útočníci dokážu zlomiť za niekoľko sekúnd.
• Používajte rôzne heslá, na každú službu alebo webovú stránku iné.
• Ak máte hesiel veľa, použite správcu hesiel.

Prihlasujte sa viacstupňovo!

• Samotné heslo už dnes nie je dostatočnou ochranou pred zneužitím prístupových práv. Ak to webová služba alebo aplikácia umožňuje, používajte na prihlasovanie tzv. dvojfaktorovú autentizáciu, napr. pomocou SMS.

Kontrolujte webové adresy!

• Podhodenie webovej adresy a presmerovanie na nebezpečnú webstránku je typickým spôsobom prípravy útoku. Pred otvorením webovej stránky najprv skontrolujte adresu. Neotvárajte a nespúšťajte neznáme adresy a odkazy. Nevyžiadaná správa elektronickej pošty, najmä ak nie je podpísaná elektronickým podpisom, nemusí byť bezpečná.
• Obsahom neznámych príloh alebo odkazov v správach je väčšinou škodlivý kód.

Nedôverujte e-mailom!

• Správa elektronickej pošty je ako korešpondenčný lístok. Nikdy nemáte istotu, že odosielateľom je ten, za koho sa vydáva. Neotvárajte e-maily od neznámych a nedôveryhodných ľudí. Ak sa správa zdá byť podozrivá, pravdepodobne aj je. Naučte sa, že e-mail nie je nástrojom riadenia.
• Obsah e-mailovej správy môže prečítať množstvo neznámych ľudí. Pokiaľ nepoužívate šifrovaný e-mail, vážte informácie, ktoré odosielate. Neposielajte citlivé informácie emailo

Zálohujte údaje!

• Aj pamäťové médiá sa občas pokazia a ich obsah sa stratí. Zároveň sa zvyšuje počet tzv. ransomware útokov, keď hackeri zašifrujú údaje a za ich vrátenie vyžadujú výkupné. Proti týmto hrozbám je účinná len obnova údajov z pravidelne vytváraných záloh.

Literatúra:

1. Gibson, W. 1984. Neuromancer. New York: Ace Books. p. 69. ISBN 978-0-441-56956-4
2. MAKATURA, I. 2023 Základy bezpečnostných opatrení. Príručka manažéra kybernetickej bezpečnosti. Žilina: EUROKÓDEX, s.r.o., 212 s. ISBN 978-80-8155-120-8
3. MAKATURA, I. 2023, Legislatíva dokáže byť (niekedy) aj užitočná, In: ZBORNÍK PREDNÁŠOK ROADSHOW 2023, Séria seminárov o kyberbezpečnosti 2023 Bratislava, Žilina, Banská Bystrica, Košice, 74 s.

[1] Zdroj: https://en.wikipedia.org/wiki/No_Maps_for_These_Territories

[2] Gibson William (1984). Neuromancer. New York: Ace Books. p. 69. ISBN 978-0-441-56956-4