Aktíva a informačné aktíva

Aktívum je niečo, čo má hodnotu alebo je pre školu, obecný úrad alebo firmu užitočné, pretože podporuje jej operácie alebo zabezpečuje kontinuitu činnosti. Aktíva potrebujú ochranu, resp. vhodnú správu aktív. Ak chceme niečo chrániť, musíme najskôr vedieť, čo to je. Môžeme hovoriť o zozname alebo evidencii aktív a podobne. Pomôcť nám môže vyhláška č. 179/2020 Z. z.,  ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy, Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu. V uvedenej vyhláške sa v prílohe č. 1 definuje zoznam aktív takto:

Zoznam aktív obsahuje označenie operačného systému alebo firemného softvéru a jeho aktuálne používanej verzie všetkých týchto komponentov informačných technológií verejnej správy:

a) pracovná stanica – stolová,

b) pracovná stanica – prenosná,

c) aplikačný softvér, 1. kancelársky softvér, 2. internetový prehliadač, 3. antivírusový softvér, 4. komunikačný softvér, 5. ďalší využívaný komerčný softvér,

d) všetky druhy serverov,

e) virtualizačné prostredie,

f) databázové prostredie,

g) komerčný podnikový softvér,

h) sieťový firewall,

i) sieťový router,

j) sieťový prepínač,

k) komunikačné prostredie,

l) zálohovacie prostredie,

m) mobilné zariadenia,

n) dátové úložiská,

o) ostatné zariadenia alebo sieťové prvky schopné komunikovať so zvyškom ekosystému informačných technológií verejnej správy,

p) prenosné zariadenia.

Pri aktívach nesmieme zabúdať, že k ním zaraďujeme aj papierovú dokumentáciu, v ktorej sa nachádzajú rôzne dodávateľské kontrakty, dokumenty obsahujúce osobné údaje a v neposlednom rade sú aktívom aj ľudia (zamestnanci...).

Tab. 1: Otázky spojené s aktívami

Čo zisťujeme?

-     Potrebujeme vedieť: Čo chrániť? Čo je pre nás dôležité? -     Potrebujeme vedieť: Aká je hodnota toho, čo potrebujeme chrániť? -     Potrebujeme vedieť: Kto je zodpovedný za chránenie? -     Analyzujeme riziká spojené s tým, čo je pre nás dôležité: Čo sa môže stať? -     Definujeme: Akú dlhé obdobie môže dôjsť k narušeniu (k naplneniu scenára)? -     Definujeme opatrenia (proaktívne a reaktívne – plány obnovy). -     Realizujeme v praxi a kontrolujeme.

Čo vytvárame?

-     Zoznam aktív; -     Hodnota aktív; -     Vlastník aktíva; -     Analýza rizík (dostupnosť, integrita, dôvernosť informácií); -     Business impact analysis (posúdenie dopadov); -     Opatrenia – zodpovedné osoby, KPI, termíny a časy, pričom krízové plány musia byť nacvičované; -     Kontrolujeme KPI a splnenie cieľov.

Ak si zadefinujeme skôr uvedené, dostaneme sa k mapovaniu a analýze rizík. My sa však zameriame na označovanie a klasifikáciu aktív, konkrétne na priradenie a definovanie aktív do určitej kategórie – stupňa. V praxi to znamená, že si musíme zadefinovať informačné aktíva.

Príklad:

Notebook starostu je hodnotnejší na informácie ako notebook na oddelení kultúry. Dokument obsahujúci citlivé údaje o zamestnancoch, obyvateľoch bude zaradený do vyššieho stupňa ako interná smernica alebo zmluva s dodávateľom služieb a pod.

Klasifikácia, posúdenie potrieb ochrany informačných aktív z hľadiska dostupnosti, dôvernosti, integrity, autentickosti a i. a ich následné zaradenie do klasifikačnej kategórie (triedy) zodpovedajúcej týmto potrebám upravuje vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, ktorá obsahuje nasledujúce klasifikačné stupne:

1. Klasifikačné stupne z hľadiska dôvernosti: verejné, interné, chránené, prísne chránené.
2. Klasifikačné stupne z hľadiska integrity: nízka, stredná, vysoká.
3. Klasifikačné stupne z hľadiska dostupnosti: nízka, stredná, vysoká.

Klasifikácia informačných aktív z hľadiska dôvernosti

Každá informácia musí byť zaradená do jedného zo štyroch klasifikačných stupňov dôvernosti, resp. musí byť určený stupeň jej dôvernosti.

V spoločnosti sú definované nasledujúce klasifikačné stupne dôvernosti:

• Verejné – Verejné informačné aktíva sú informačné aktíva určené pre vonkajšiu komunikáciu a tretie strany, sú získateľné z verejných zdrojov alebo z informačných aktív, ktoré sú pripravené na tento účel, alebo sú preklasifikované z inej úrovne prostredníctvom vlastníka a zahŕňajú napr. informácie z médií, povinne publikované informácie alebo všeobecne dostupné informácie.
• Interné – Interné informačné aktíva sú informačné aktíva, ktoré majú výpovednú hodnotu a význam pre organizáciu, preto sú určené len pre vnútornú potrebu organizácie, sú používané a prístupné pre všetkých používateľov v rámci organizácie bez ohľadu na ich pracovnú rolu. Na sprístupnenie týchto informačných aktív tretím stranám je potrebné schválenie zo strany vlastníka informačného aktíva. Vyžadujú si základnú úroveň ochrany (čistý stôl, primeraná miera potreby prístupu).
• Chránené – Chránené informačné aktíva sú informačné aktíva, ktoré sú používané a prístupné len určeným skupinám oprávnených osôb a ktorých neautorizované odhalenie, prezradenie alebo zničenie môže mať pre organizáciu negatívny vplyv. Prístup k údajom klasifikovaným ako „Chránené“ je riadený pomocou zásady „potreby vedieť“ a zásady „najnižších privilégií“ a je vymedzený výhradne vopred definovaným a schváleným útvarom alebo iným jasne vymedzeným skupinám osôb. Tretie strany majú k týmto údajom prístup len v nevyhnutných a jednoznačne definovaných prípadoch schválených vlastníkom.
• Prísne chránené – Prísne chránené informačné aktíva sú informačné aktíva, ktoré sú používané a prístupné len jednotlivým vybraným používateľom organizácie a ktorých neautorizované odhalenie, prezradenie alebo zničenie môže mať s vysokou pravdepodobnosťou negatívny vplyv na organizáciu. Prístup k údajom klasifikovaným ako „Prísne chránené“ je riadený pomocou zásady „potreby vedieť“ a zásady „najnižších privilégií“ a výhradne konkrétnym, vopred definovaným a schváleným osobám. Tretie strany majú k týmto údajom prístup len vo výnimočných a jednoznačne definovaných prípadoch schválených vlastníkom alebo na základe ustanovení osobitných predpisov.

Klasifikácia informačných aktív z hľadiska dostupnosti

Každá informácia musí byť na základe maximálne tolerovateľnej doby nedostupnosti zaradená do jednej z nasledujúcich stupňov dostupnosti:

• Vysoká (V) – zahŕňa vybrané kľúčové informačné aktíva, ktoré sú kritické pre činnosť organizácie a ktorých zlyhanie bezprostredne ohrozuje poskytovanie služieb zo strany organizácie, s ňou spojené aktivity a dobrú povesť organizácie.
• Stredná (S) – zahŕňa informačné aktíva, ktoré sú dôležité pre činnosť organizácie a ktorých zlyhanie môže mať dopad na kontinuitu poskytovania služieb zo strany organizácie, strategickú oblasť, trhové a operačné riziká.
• Nízka (N) – zahŕňa informačné aktíva organizácie, ktorých výpadok výrazne neohrozí služby poskytované zo strany organizácie alebo pre ktoré existujú alternatívne postupy.

Klasifikácia informačných aktív z hľadiska integrity

Na základe zaistenia dôveryhodnosti informácií, t. j. zabezpečenia ich ochrany pred neautorizovanou alebo neoprávnenou modifikáciou, alebo poškodením, musia byť informácie zaradené do jedného zo stupňov integrity.

Z hľadiská integrity sa musí každá informácia zaradiť do jedného z nasledujúcich stupňov integrity:

• Vysoká (V) – zahŕňa vybrané kľúčové informačné aktíva, ktoré sú kritické pre činnosť organizácie a ktorých chyba alebo nepresnosť bezprostredne ohrozuje činnosť organizácie, s ňou spojené aktivity a reputáciu. Neautorizovaná modifikácia údajov alebo ich nepresnosť, resp. neúplnosť môže mať veľmi vážny dopad na kritické procesy alebo aktíva organizácie s možným výskytom efektu kumulácie viacerých nepriaznivých dopadov.
• Stredná (S) – zahŕňa informačné aktíva, ktoré sú dôležité pre činnosť organizácie a ktorých chyba alebo nepresnosť môže spôsobiť dopad na kontinuitu činností organizácie alebo strategickú oblasť, v ktorej organizácia vykonáva svoje aktivity. Neautorizovaná modifikácia údajov alebo ich nepresnosť, resp. neúplnosť môže mať nepriaznivý dopad na procesy alebo aktíva organizácie, s možným výskytom efektu kumulácie viacerých nepriaznivých dopadov.
• Nízka (N) – zahŕňa informačné aktíva, ktorých chyba alebo nepresnosť výrazne neohrozí poskytovanie činností zo strany organizácie. Neautorizovaná modifikácia údajov alebo ich nepresnosť, resp. neúplnosť nemá významnejší nepriaznivý dopad na procesy alebo aktíva organizácie.

Vyhláška NBÚ č. 362/2018 Z. z. upravuje tiež kritériá kategorizácie sietí a informačných systémov:

Kategória I. zahŕňa informačné aktíva v pôsobnosti prevádzkovateľa základnej služby,

a) ktorých ohrozenie nemá žiadny negatívny dopad na poskytovanú základnú službu,

b) ktoré sú klasifikované z hľadiska dôvernosti ako verejné alebo v odôvodnených prípadoch interné,

c) ktoré sú klasifikované z hľadiska dostupnosti klasifikačným stupňom nízka alebo v odôvodnených prípadoch stredná,

d) ktoré sú klasifikované z hľadiska integrity klasifikačným stupňom nízka alebo v odôvodnených prípadoch stredná,

e) pri ktorých nie je predpoklad potreby identifikácie zodpovednosti za aktivity používateľov, alebo

f) pri ktorých nie je potrebné vykonávať kontrolnú činnosť.

Kategória II. zahŕňa informačné aktíva v pôsobnosti prevádzkovateľa základnej služby,

a) ktorých ohrozenie môže spôsobiť kybernetický bezpečnostný incident I. stupňa,

b) ktoré sú klasifikované z hľadiska dôvernosti ako interné, chránené alebo v odôvodnených prípadoch prísne chránené,

c) ktoré sú klasifikované z hľadiska dostupnosti klasifikačným stupňom stredná alebo v odôvodnených prípadoch vysoká,

d) ktoré sú klasifikované z hľadiska integrity klasifikačným stupňom stredná alebo v odôvodnených prípadoch vysoká,

e) pri ktorých je potrebné identifikovať zodpovednosť za kritické aktivity, najmä však aktivity privilegovaných používateľov,

f) pri ktorých je potrebné vykonávať kontrolnú činnosť,

g) tvoriace základné registre a/alebo referenčné registre,

h) zabezpečujúce vytváranie a vedenie agend, ktoré nepatria do I. bezpečnostnej kategórie,

i) ktoré sú agendové informačné systémy,

j) ktorými sú špecializované portály alebo

k) ktoré sú nevyhnutné na rozhodovanie orgánu štátnej moci.

Kategória III. zahŕňa informačné aktíva v pôsobnosti prevádzkovateľa základnej služby,

a) ktorých ohrozenie môže spôsobiť kybernetický bezpečnostný incident II. a III. stupňa,

a) ktoré sú klasifikované z hľadiska dôvernosti ako prísne chránené,

b) ktoré sú klasifikované z hľadiska dostupnosti klasifikačným stupňom vysoká,

c) ktoré sú klasifikované z hľadiska integrity klasifikačným stupňom vysoká,

d) pri ktorých je potrebné auditovať aktivity všetkých používateľov,

e) prostredníctvom ktorých sa poskytuje základná služba a ktorých výpadok alebo poškodenie spôsobí poškodenie alebo znemožnenie poskytovania základnej služby,

f) ktoré sú označené ako utajované skutočnosti alebo ako tajomstvo podľa osobitných predpisov,

g) ktoré sú nevyhnutné a potrebné z hľadiska plnenia úloh týkajúcich sa obrany a bezpečnosti štátu alebo

h) ktorým je ústredný portál verejnej správy.

V rámci našej práce sa budeme pohybovať v kategórii I, nanajvýš v kategórii II. Na základe praktického príkladu bude notebook starostu v zozname aktív definovaný z hľadiska dôvernosti: Interný; z hľadiska integrity: Stredný; z hľadiska dostupnosti: Stredný.

Podobným spôsobom si zadefinujeme ostatné informačné aktíva v zozname aktív (ekonomický informačný systém, Switche, Routre, Pracovné stanice a pod.).

Klasifikačné stupne opisujú citlivosť informácií, údajov alebo ďalších s nimi spojených informačných aktív z hľadiska narušenia ich dôvernosti, integrity a dostupnosti a odrážajú dôležitosť alebo hodnotu týchto aktív pre procesy organizácie.

Na správnejšie pochopenie, ako na riziká nazerať, zadefinovať ich, priradiť stupne atď. nám pomôže kyberportál – Centrálny portál kybernetickej bezpečnosti a metodiky z NBÚ, kde nájdeme rôzne usmernenia, ako napr.:

• Metodika klasifikácie informačných aktív a kategorizácie sietí a informačných systémov (MIRRI);
• Metodika analýzy rizík kybernetickej bezpečnosti - Identifikácia aktív a ich vlastníkov (NBÚ).

V neposlednom rade sa môžu štatutári obrátiť na odborníkov, ktorí im s touto problematikou pomôžu.

Praktický príklad

Aktíva sú predmetom hrozieb. Ako si chrániť aktívum, napr. PC, dokument v PC alebo informačný systém? Minimálne heslom, resp. prihlasovať so viacstupňovo, 2FA (2FA je dvojfaktorová autentizácia, napr. pomocou SMS kódu). Samotné heslo nie je už dostatočnou ochranou pred zneužitím prístupových práv. Aké silné je vaše heslo? Je vaše heslo dostatočne odolné voči kybernetickému útoku? Overte si, za aký čas vám ho dokáže útočník prelomiť

V roku 2018 autori simulovali prelomenie hesiel pomocou MD5 hašovacej funkcie „Hashcat“ na grafickej karte RTX 2020 GPU. Tieto časy kategorizovali od okamžitého prelomenia po viac než 15 miliárd rokov. S narastajúcim výpočtovým výkonom a silnejším šifrovaním v roku 2024 použili RTX 4090 (12x) a hašovaciu funkciu bcrypt (32 iterácií), čím sa síce výrazne zrýchlil výpočet, no bcrypt značne navyšuje čas potrebný na prelomenie hesiel. Výsledky sú zaznamenané v tabuľke.

Tab.: Čas, ktorý hacker potrebuje na prelomenie hesla v roku 2024

Zdroj: https://www.hivesystems.com/blog/are-your-passwords-in-the-green?utm_source=header

Najbežnejšie typy útokov na heslá

Útok hrubou silou – je typ prelomenia hesla, ktorý používa špeciálny počítačový program na generovanie a skúšanie čo najväčšieho množstva kombinácií znakov, kým nenájde správne heslo. Tento útok je veľmi časovo náročný a vyžaduje si vysoký výpočtový výkon, ale môže byť úspešný, ak má útočník dostatok času a zdrojov.

Príklad: Útočník sa pokúša prihlásiť do vášho bankového účtu tým, že postupne vyskúša všetky možné kombinácie písmen, čísiel a znakov, až kým sa mu nepodarí nájsť správne heslo.

Phishingový útok – technika, pri ktorej útočník získa citlivé údaje od používateľa (napr. heslá alebo čísla platobných kariet) tým, že sa vydáva za dôveryhodný subjekt, typicky prostredníctvom e-mailov alebo SMS správ, ktoré obsahujú odkaz smerujúci na falošné webové stránky.

Príklad: Používateľ dostane e-mail, ktorý vyzerá, že je od jeho banky a po kliknutí na odkaz v e-maile je vyzvaný, aby zadal svoje prihlasovacie údaje. V skutočnosti ich však odovzdáva útočníkovi.

Útok pomocou sociálneho inžinierstva – útočník manipulatívnymi technikami presvedčí používateľa, aby dobrovoľne prezradil svoje heslo alebo iné citlivé údaje. Tento druh útoku je úspešný najmä u ľudí, ktorí nie sú dostatočne informovaní o bezpečnostných rizikách.

Príklad: Útočník zavolá zamestnancovi spoločnosti a predstiera, že je pracovník z IT podpory, ktorý potrebuje heslo na vykonanie aktualizácie systému.

Slovníkový útok – používa zoznam slov (zvyčajne prevzatých z dostupných slovníkov) na generovanie a skúšanie možných hesiel. Útok môže byť úspešný, ak je heslom bežné slovo alebo fráza, ale je oveľa menej pravdepodobné, že útočník uspeje, ak je heslo náhodným reťazcom znakov.

Príklad: Útočník skúša heslá ako „heslo123“, „admin“ alebo „123456“ v nádeji, že používateľ používa jednoduché heslo.

Útok pomocou dúhovej tabuľky (rainbow table attack) – je typ prelomenia hesla, ktorý používa vopred vypočítanú tabuľku hash hodnôt pre veľké množstvo hesiel. Keď má útočník k dispozícii hash heslo, porovnáva ho s hash hodnotami v dúhovej tabuľke, aby zistil pôvodné heslo.

Príklad: Útočník získa databázu hash hesiel a následne použije dúhovú tabuľku na odhalenie pôvodných hesiel používateľov.

Útok naplnením používateľských práv (credential stuffing attack) – útočník používa získané prihlasovacie údaje z predchádzajúcich únikov údajov na prihlásenie sa do iných online služieb s predpokladom, že používatelia majú z pohodlnosti často rovnaké prihlasovacie údaje (používateľské mená a heslá) na viacerých platformách.

Príklad: Po úniku údajov z online obchodu útočník použije získané e-maily a heslá na prihlásenie do iných služieb, ako sú e-mailové účty alebo sociálne siete, ak si používateľ nezmenil heslo.

Keylogging útok – Keylogger je softvér alebo hardvér, ktorý zaznamenáva každé stlačenie klávesnice. Útočník ho môže použiť na zachytávanie hesiel a iných citlivých informácií bez vedomia obete.

Príklad: Útočník nainštaluje keylogger na verejný počítač v knižnici alebo kaviarni a zaznamenáva heslá používateľov, ktorí sa na tomto zariadení prihlasujú.

LITERATÚRA:

1. www.cybercompetence.sk
2. Centrálny portál kybernetickej bezpečnosti. Dostupný na: https://kyberportal.slovensko.sk/
3. Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.
4. Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.