Základní principy a motivace
Proti těmto kyberkriminálníkům je nutné se bránit a tato série vzdělávacích materiálů by čtenářovi měla ukázat, že základy kyberbezpečnosti zvládne každý.
1. Úvod
Internet je jen dalším prostředím, které lidé využívají stejně jako běžný reálný svět, kde se pohybujeme po pevninách, vodních plochách, apod. Každé prostředí je trochu jiné, ale jedno mají společné – vyskytují se v nich lidé, takže ve všech zmíněných prostředích lze potkat příbuzné, přátele, lidi slušné i obhroublé, ale také různé podvodníky a kriminální živly. V prostředí Internetu je zažitým zvykem všemu přidávat předponu uj„kyber“, proto se zde můžete setkat například s pojmy kyberpodvodník nebo kyberkriminálník.
Každý považuje za zřejmé, že proti běžným kriminálníkům a podvodníkům se bráníme zamykáním svých domovů, existencí policejních sborů, cíleným nenavštěvováním pochybných lokalit apod. Stejně bychom se tedy měli bránit i proti kyberkriminálníkům – základy kybersebeobrany nebo kyberbezpečnosti (někdy je používán i pojem kybernetická bezpečnost) nejsou nijak složité a dokáže je zvládnout každý. Pojďme se nejprve podívat na základní principy (kyber)bezpečnosti.
2. Základní principy
V kybersvětě se vše točí kolem informací, kterým se také občas říká data, proto jistě nepřekvapí, že kyberbezpečnost má za úkol zajistit dostupnost, důvěrnost a integritu těchto dat. Dostupností dat se rozumí situace, kdy jsou data v každém okamžiku k dispozici. Důvěrnost zase zajistí, že tato data jsou dostupná pouze těm systémům nebo osobám, které je buď vlastní nebo na ně mají nárok (z osobního nebo pracovního zařazení). A nakonec integrita říká, zda data jsou v nezměněném či nepoškozeném stavu.
Nejen v kybernetické bezpečnosti platí tzv. princip nejslabšího článku, jehož název vychází ze známého faktu, že řetěz je tak pevný, jak je pevný jeho nejslabší článek (který se, jak známo, přetrhne jako první). Poměrně hezky popisuje skutečnost, že (kyber)útočník si může vybrat, jakou cestou se vydá k cíli. Chceli mu v dosažení cíle obránce zabránit, musí současně chránit všechny cesty, protože útočníci si zásadně vybírají tu nejsnadnější. Jednotlivými články řetězu mohou být v případě kyberbezpečnosti technická opatření, jako antivirové programy, firewally (o tom více v dalších kapitolách) nebo samotní uživatelé.
Plán útočníka na získání důvěrné informace v informačním systému, ke kterému má uživatel přístup:
- Získání informace od uživatele manipulativním dotazem.
- Získání hesla uživatele pomocí phishingu.
- Přečtení informace z opuštěného počítače, kde je uživatel přihlášen.
- Ovládnutí („hacknutí“) informačního systému.
Pokud útočníkovi chceme zabránit v provedení útoku a dáme mu do cesty jednu překážku, existuje určitá šance, že ji překoná. Pokud však musí postupně překonat překážek více, stává se útok komplikovanějším a šance na jeho úspěšnou realizaci se snižuje. Tomuto principu se říká vícestupňová obrana. Hezkou demonstraci nám poskytují architekti středověkých hradů. Není použita jen hradba, ale třeba i vodní příkop před ní, a v kritických místech jsou k vidění i další hradby – útočník tak musí na dané cestě překonat všechna opatření.
Současné použití více způsobů pro zabránění spuštění viru z přílohy v emailové zprávě:
- Antivirová kontrola na poštovním serveru odstraňuje zavirované přílohy.
- Poučený uživatel pochybnou přílohu vůbec neotevře.
- Antivirový program běžící na stanici (obvykle od jiného výrobce než ten na poštovním serveru) blokuje pokusy o spuštění viru.
3. Cena za bezpečnost
Jak to tak na světě chodí, nic není zadarmo, a tedy i bezpečnostní opatření vždy něco stojí (peníze, čas, vyžadování určitých úkonů, přizpůsobení se, vzdělávání apod.). Cenu je ale potřeba srovnávat s tím, co tato opatření chrání (například knowhow, výsledky práce, peníze, prestiž). Při určování úrovně kybernetické bezpečnosti je nutné vzít v potaz všechny aspekty, takže výsledek je kompromisem mezi náklady nutnými pro její nasazení a používání, mírou rizika a možnými důsledky útoku.
Pokud máme doma hotovost v řádech tisíců korun, nemá smysl pořizovat trezor za několik desítek tisíc. Pokud se ale již jedná o rodinné zlato v hodnotě statisíců nebo milionů, jistě se trezor za uvedenou částku vyplatí.
Obvykle lidé bohužel vnímají (kyber)bezpečnostní opatření jako nepotřebná. Důvodem je, že pokud jsou opatření dobře nastavená, fungují a zabraňují vzniku problémů, aniž by se to navenek projevilo. Také se často objevují názory, že investovat do bezpečnosti je zbytečné plýtvání – faktem je, že (kyber)bezpečnostní opatření sama o sobě nikdy nic nevydělají, ale v případě problémů mohou ušetřit velmi mnoho. V soukromém životě si o volbě bezpečnostních opatřeních rozhodujeme zpravidla sami a neseme si za svá rozhodnutí zodpovědnost. Pokud jsme ale součástí většího celku, organizace, kde svým chybným rozhodnutím můžeme ovlivnit mnoho dalších lidí a třeba i osud celé organizace, je rozhodování z dobrého důvodu svěřováno odborníkům. Ostatní zaměstnanci pak musí akceptovat výsledky jejich analýzy a podřídit se potřebám organizace, které mohou být v rozporu s jejich názorem na věc.
V nedespotických organizacích jsou tak často viděny diskuse na typická témata, jako jsou:
- omezení přístupu na některé webové stránky,
- omezení přístupu k některým službám z Internetu (SSH, RDP apod.),
- omezení doby platnosti hesla,
- používání definované složitosti hesla.
Potřeby organizace jako celku jsou však důležitější než potřeby jednotlivců a je potřeba se s tím smířit.
4. Prevence
Nejen v IT, ale i obecně platí, že je lepší problémům předcházet, než je řešit, proto např. zamykáme byty, domy, auta, rozhlížíme se na přechodu apod. Předcházení problémům je zkrátka levnější než jejich následné řešení. Vhodná preventivní opatření mohou snižovat pravděpodobnost výskytu problému nebo snižovat dopad události. U problémů, jejichž vzniku nelze efektivně zabránit nebo by měly velký dopad, ale jsou současně málo pravděpodobné, je vhodným řešením pojištění, čímž je přeneseno riziko na někoho jiného.
Ransomware je škodlivý kód šířený různými způsoby (emailem, přenosnými úložišti). Po jeho spuštění dochází k zašifrování, a tedy k znečitelnění souborů. Po zašifrování se zpravidla následně zobrazí informační stránka s pokyny k zaplacení výkupného. Proti tomuto typu útoku se můžeme bránit:
- Zálohováním – při zašifrování souborů je obnovíme ze zálohy (snížení dopadu).
- Technickými prostředky – zabraňují spuštění škodlivého kódu (snížení pravděpodobnosti výskytu).
- Pojištěním – uhradíme výkupné z pojistného plnění (přenesení odpovědnosti).
Poměrně zásadní roli v prevenci hrají lidé, tedy uživatelé, jejichž znalosti a schopnost správné reakce umožní vyhnout se mnoha problémům. Vzdělávání uživatelů by tedy nemělo být v žádném případě opomíjeno – v mnoha případech jsou uživatelé tou jedinou nebo v případě vícestupňové obrany jedinou spolehlivou překážkou. Naopak, nevzdělaný uživatel se snadno stane nejslabším článkem.
5. Řešení problémů
I při sebelepší prevenci může čas od času k problémům dojít a je potřeba být připraven. V ideálním případě je vhodné mít havarijní plány pro pravděpodobné druhy problémů, které si v klidu předem připravíme a v krizové situaci je jen použijeme.
V běžném životě jde například o návod, jak se chovat při dopravní nehodě nebo při haváriích vody nebo plynu. Často jsou například v bytových domech na veřejných nástěnkách kontakty na havarijní služby. Pro uživatele IT je nejdůležitější informací kontakt na jejich uživatelskou podporu. Jak se tedy chovat při mimořádné události (problému) v oblasti IT?
- Zachovat klid, nezatajovat informace, spolupracovat
- Kontaktovat někoho, kdo mi dokáže pomoci (přátelé, spolupracující, lokální IT správce, uživatelská podpora – HelpDesk)
- Vždy je potřeba předat maximum informací, zvlášť důležité informace jsou:
- Jak se mimořádná událost projevuje (mizí soubory, soubory jsou nečitelné, počítač je výrazně zpomalen, konto někdo zneužívá, apod.)
- Co mu předcházelo (obdržení podezřelého emailu, podezřelý telefonát, použití nalezeného usb disku, apod.)
- Jak se mimořádná událost stala (otevření přílohy z podezřelého emailu, vyplnění přihlašovacích údajů do podezřelé stránky, apod.)
- Přesné, případně přibližné, časové údaje
- Kdy jste zapli počítač
- Kdy jste se přihlásili
- Kdy vám přišel email
- Kdy jste otevřeli přílohu
- Kdy jste zpozorovali problém
- Následovat doporučení odborníků (vypnout PC, změnit si heslo, apod.)
- Ptát se na vše, co vás zajímá
- Poučit se a vyhnout se stejnému problému v budoucnu
Přestože vše, co se stalo, může mít nepříjemné dopady, vždy je třeba celou situaci analyzovat, poučit se, zavést nápravná opatření a zamezit tak zbytečnému opakování těch samých chyb. Úplně stejně postupují také pracovníci IT oddělení při správě IT prostředí – na základě nahlášených problémů neustále něco zlepšují, aby příště zmírnili dopad mimořádné události nebo jí třeba i zamezili zcela.
Poučení z vlastních chyb je nezbytné, ale často bolestivé, proto je mnohem příjemnější a zábavnější poučit se z chyb jiných. Proto není ztráta času navštěvovat vhodná školení, přednášky nebo si přečíst doporučení od lidí, kteří už se s chybami setkali. Tato série vzdělávacích dokumentů je právě takovým vhodným školením, kde v následujících devíti kapitolách získáte znalosti o bezpečnosti z různých oblastí IT světa, které Vám umožní vyhnout se drtivé většině problémů v kyberprostoru.
6. Shrnutí
V úvodní kapitole jste se dozvěděli o obecně platných principech, které budou využívány v dalších kapitolách tohoto vzdělávacího kurzu.
V první řadě víte, že kyberbezpečnost se snaží zajistit dostupnost, důvěrnost a integritu dat v kyberprostoru a používá k tomu různé přístupy. Z těch obecných byste si měli zapamatovat zejména dva klíčové principy – princip nejslabšího článku a vícestupňovou obranu, které jsou platné nejen pro počítačovou bezpečnost.
Také už víte, že bezpečnost vždy něco stojí a přitom nikdy nic nevydělá, ale v případě problémů dokáže ušetřit velmi mnoho. Vzhledem k tomu, že je efektivnější problémům předcházet než je později řešit, je nezbytné věnovat se prevenci – výběr opatření vychází z uvážení hrozících rizik a cílem je snížit pravděpodobnost výskytu nebo snížit vzniklé dopady. Opatření však nemohou být vždy 100% účinná, proto je potřeba vědět, jak reagovat na vzniklé problémy.