Bezpečnost ICT a ochrana dat Ing. Vladimír Horák Podmínky pro splnění předmětu •Aktivní účast v hodinách • •Závěrečná ústní zkouška Řešení problémů • V případě dotazů či problémů ohledně předmětu • • - e-mail: horakv@mvso.cz • • - konzultační hodiny: po předchozí domluvě Doporučená literatura •KODL, Jindřich a Vladimír SMEJKAL. Bezpečnost ICT a ochrana dat [online]. Olomouc: Moravská vysoká škola Olomouc, 2018, 100 s. [cit. 2020-01-14]. Dostupné z: https://mvso.cz/wp-content/uploads/2018/02/Bezpe%c4%8dnost-ICT-a-ochrana-dat-studijn%c3%ad-text.pdf •SMEJKAL, Vladimír. Kybernetická kriminalita. 2. vydání. Plzeň: Aleš Čeněk, 2018, 936 s. ISBN 978-80-7380-720-7. • 1, Úvod do problematiky bezpečnosti Vývoj v oblasti bezpečnosti IS • Hlavní pointou -> zabezpečení informací • • Řešení spočívá v kombinaci vícero kategorií • - lidé, procesy a technologie Vývoj v oblasti bezpečnosti IS • Který prvek bezpečnosti informačního systému je nejslabší? Vývoj v oblasti bezpečnosti IS • Historicky kladen důraz na fyzickou ochranu • - výpočetní technika ve formě sálových počítačů • • Nyní procesní a systémová ochrana • - síťové propojení (internet) Pojem bezpečnost • V ICT chápeme jako „informační bezpečnost“ • • Jedná se komplexní zajištění ochrany všech prvků • - technologické, programové, organizační • • • Podniková bezpečnost informací • Závisí na typu podniku • • Zavádí se opatření na základě analýzy rizik • • Hlavní cíle jsou zabránění •Neoprávněnému přístupu •Odcizení dat •Zničení dat Bezpečnost ICT/IS • Nutné brát zřetel jak na HW tak SW stránku • • ICT = informační a komunikační technologie (HW,SW) • • IS = informační systém (HW,SW) Bezpečnost ICT/IS • Jaké formy zabezpečení ICT používáte? Základní hrozby ICT/IS • Výpadek výpočetního systému, • Výpadek komunikačního systému, • Ztrátu zpracovávaných dat, • Celkový výpadek informačního systému. • Základní hrozby ICT/IS • hrozby přírodní – záplavy, požáry, blesky • hrozby vyvolané lidskou činností • úmyslná činnost – krádeže zařízení, modifikace, znepřístupnění, krádeže dat jak ze strany zaměstnanců, tak i „nepřátel“ • neúmyslná činnost – chybná manipulace se zařízeními, neodborná práce s daty Právní předpisy pro ICT •Zákon č. 365/2000 Sb., o informačních systémech veřejné správy a o změně některých dal-ších zákonů, •Zákon č. 480/2004 Sb., o některých službách informační společnosti, •Zákon c. 412/2005 Sb., o ochraně utajovaných informací a bezpečnostní způsobilosti, •Zákon č. 181/2014 Sb., o kybernetické bezpečnosti, •Zákon č. 40/2009 Sb., trestní zákoník. • Technické normy pro ICT •Technické normy •ČSN ISO/IEC 27001:2014 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky; •ČSN ISO/IEC 27002:2014 Informační technologie – Bezpečnostní techniky – Soubor postupů pro řízení bezpečnosti informací; •ČSN ISO/IEC 27005:2009 – Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací • 2, Vícevrstvá bezpečnost informačních systémů Systém • Abstraktní objekt, ve kterém jsou rozlišeny části, vztahy mezi nimi a jeho vlastnosti a který vůči okolí vystupuje jako celek • • Lze jej chápat jako množinu prvků a vazeb mezi nimi, které jsou účelově definovány na nějakém objektu • • Významnou roli při fungování systémů hrají nastavená pravidla Systém – jeho definice • Každý systém se skládá z určité množiny prvků • Prvky jsou části, na které je možné a účelné systém dělit • Systém je možné členit na subsystémy • Každý systém může být součástí vyššího systému (supersystému), jehož je subsystémem • Systém – jeho definice • Systém je propojen s okolím, na které reaguje, proto hovoříme o dynamickém systému • Systém vyjadřuje interaktivnost prvků (vztahy mezi nimi) • Systém může existovat samostatně (bez určení vztahu k jinému systému) Systém – velikost dle vazeb a prvků • Složité (s velkým počtem vazeb), • Rozlehlé (s velkým počtem prvků), • Neprůhledné (s množstvím komplikovaných spletitých vazeb, v niž se nelze orientovat bez použití speciálních postupů). Informační systém jako speciální případ systémů – definice pojmů • Informace - poznatek, týkající se jakýchkoliv faktů, událostí, myšlenek nebo pojmů, které dostávají zvláštní význam díky kontextu • • Data - v informatice tvoří informaci strukturovaná data, která lze vysílat, přijímat, uchovávat a zpracovávat technickými prostředky. Data jsou vstupem či výstupem informačního systému Informační systém jako speciální případ systémů – definice pojmů • Metadata – jsou strukturovaná data o datech (katalog v knihovně) • • Informační systém – množina prvků ve vzájemných informačních a procesních vztazích. Informační systémy zpracovávají data a zabezpečují komunikaci informací mezi prvky • Informační systém typy dělení •Účel •Zpracování dat •Komunikační systémy • •Prostředí •Podnikové informační systémy •Veřejné informační systémy Informační systém typy dělení • Funkce •Dokumentografické (databáze) •Faktografické •Měřící, regulační • Režimu činnosti •Individuální zpracování požadavků •Dávkové zpracování dat •Zpracování dat v reálném čase •Zpracování dat v centralizovaných databázích Podnikový informační systém • Tvořen prostředky komunikační technologie (SW + HW) a personálem • • Zabezpečuje •Podnikové procesy •Přenos dat •Ukládání dat •Zpracování dat Podnikový informační systém • Tvořen na míru každému podniku • • Měl by sjednocovat a provazovat co nejvíce částí firmy • • Dvě roviny •Automatizovaná část •Neuatomatizovaná část Vzájemná provázanost tří základních aspektů • Bezpečnost informací v podniku záleží na: •Technologiích •Procesech •Lidech (personál podniku) • • Cílem je vytvořit ucelený systém, který je prostý bezpečnostních rizik Vzájemná provázanost tří základních aspektů - Technologie • Základním prvkem efektivního programu zabezpečení informací • • Kritické zvolit vyhovující HW a SW • Technologie – důležitost aspektů • Autentičnost, dostupnost a integritu zpracovávaných informací v podnikovém informačním systému (zajištění oprávněného přístupu, problematika neodmítnutelnosti činností uživatelů systému, zabezpečené uložení) • • Základní nástroje a metody správy systému ochrany informací Technologie – důležitost aspektů • Systém autentizace – např. elektronický podpis • • Kryptografické prostředky • • Právní aspekty, normotvorné a legislativní úpravy Vzájemná provázanost tří základních aspektů - Procesy • Definované zásady, standardy a postupy • • Tvora tzv. bezpečnostní politiky -> stanoví zásady přístupu ke klíčovým interním systémům pouze vymezenému počtu autorizovaných uživatelů • • Musí být zajištěno, aby uživatelé měli přístup k citlivým informacím pouze na základě „potřeby poznat“ Procesy – oblasti řešení • Autentizace, autorizace a správy účtů • Firewally / virtuální privátní sítě (VPN) • Škodlivý software • Řízení zranitelnosti Procesy – oblasti řešení • Detekce narušení • Prevence narušení • Filtrování obsahu • Šifrování Vzájemná provázanost tří základních aspektů – Lidé • V závislosti na velikosti a typu podniku • • Jednotlivý pracovník X organizační struktura zodpovědná za bezpečnost • • Bezpečnostní pracovníci musí pravidelně kontrolovat a aktualizovat bezpečnostní strategie Vícevrstvé hloubkové zabezpečení informačních systémů – pojmy • Brána je síťový uzel, tj. aktivní zařízení, které zajišťuje komunikaci a propojení mezi jednotlivými sítěmi či částmi vnitřní sítě podniku • • Servery jsou sdílené počítače, které poskytují funkce pro více uživatelů, například ukládání souborů nebo spuštění sdílené aplikace Bezpečnostní perimetr informačního systému • Nutné chápat bezpečnost komplexně, tak abychom pokryli všechny, i teoretické možnosti přístupu k datům 3, Bezpečnost v informačních systémech Specifika zajišťování bezpečnosti • Hlavní kategorie bezpečnostních technologií •Firewally •Antivirové systémy •Detekce narušení •Správa zranitelnosti Nejběžnější typy hrozeb • Viry • Trojské koně • Malware • Ransomware (ransom = výkupné) • Spyware Nejběžnější typy hrozeb • Cyberstalking • Brute force attack • Baiting • Worm Zajištění a správa bezpečnostních nástrojů • Tři hlavní způsoby kontroly omezení přístupu •Autentizace •Autorizace •Šifrování Autentizace • „Proces, který má zjistit, kdo jste“ • Způsob, jak identifikovat uživatele • Možnost •Fyzické autentizace •Virtuální autentizace Autentizace •Fyzická •Otisky prstu •Sken sítnice •Sken obličeje •Čipová karta • Autentizace •Virtuální •Heslo •Digitální klíč •Pin kód •Vícekrokové ověřování • • Autentizace – dělení faktorů • Něco, co známe – heslo • Něco, co máme – digitální klíč • Něco, co jste – otisk prstu • Kde jste – poloha v rámci GPS • • • Heslo – základní pravidla •Nesmí být jakýmkoliv způsobem sdělena jiné osobě •Nesmí být nikde poznamenána a musí se udržovat v tajnosti. •Nesmí být jakkoliv umožněno jiné osobě seznámit se s heslem •Jako hesla nesmí být použita jména blízkých osob, zvířat a další slova, která mohou být odhadnuta ze znalosti •Heslo musí být dostatečně silné, tak aby se nedalo jednoduše strojově nebo ručně prolomit • Heslo – Které je lepši? • •Adolfík5429. • •7KonvAli!nka • •Kokršpaněl10 Autorizace • „Schválení přístupu“ • Umožnění provedení konkrétní operace daným subjektem • Správa přístupů podle typu pracovní pozice • Nutnost pravidelných kontrol – oprávnění vždy jen u příslušných osob Šifrování • Způsob formátu dat, které nelze bez klíče odhalit • Dva typy •Symetrické •Asymetrické • Šifrování - symetrické • Obě strany využívají stejný klíč • Bezpečný a rychlý způsob • Obtížně distribuovatelný -> nebezpečí úniku • • Šifrování - asymetrické • Různý klíč pro zašifrování a dešifrování • Bezpečný a rychlý způsob • Lepší logistika -> dešifrovací klíč netřeba distribuovat • • 4, Bezpečnost v síti Internet Filtrování obsahu • Na základě vhodnosti / nebezpečí • Součástí web stránek nebo e-komunikace • Reaktivní systémy -> spoleh na databáze •klíčová slova, adresy, typy souborů,… • Důležité aktualizace • Bezpečná komunikace • E-mailová komunikace využívá tzv. protokolů • Protokol vyhodnocuje, zda je přenášený obsah OK • Zkoumání základních atributů zprávy • Existence tří základních protokolů • Protokol Kerberos • Vyvinutý na MIT • Autentizuje pouze uživatele • Zjišťuje identitu při přihlašování Protokol RÁDIUS • Používá ověřovací metodu autentizaci vzdálených uživatelů • V situacích, kdy nestačí pouze jméno a heslo • „Sofistikovanější kontrola pravosti přes separátní server “ Protokol 802.1x • Dodržování při standardu 802.11 • Využití pro lokální bezdrátové sítě • Blokovaní komunikace, dokud neproběhne autentizace uživatele • Bezdrátové vs drátové sítě • Rychlost • Stabilita • Dosah • Cena • Bezpečnost • Bezdrátové sítě • Nejedná se pouze o „WIFI“ • Také Bluetooth, NFC, mobilní síť • WPS (Wi-Fi Protected Setup) • • Bezpečnost mobilních dat vs WIFI? • Jméno WIFI sítě? Virtuální priváte sítě (VPN) • Bezpečné propojení 2 lokalit • Využití šifrování • Firemní e-mail, podnikové servery • co je VPN?; infografika 5, Bezpečnost koncových zařízení Vulnerability management – správa zranitelnosti • „Řízení chyb“ • • Síťový nástroj •Sken sítě • Hostitelský nástroj •Sken serverů IDS – Detekce narušení • Monitoruje provoz a události v síti • Zatěžují výkon serverů • Fungování •Rozpoznání dle databáze „popisu“ •Detekce anomálií IPS – prevence narušení • Systém se dělí na několik perimetrů • Pro každý perimetr bezpečnostní plán • Schopný útoky zároveň detekovat a reagovat na ně • zabránit útoku nebo ho přerušit • Vynucování bezpečnostních opatření na aplikační úrovni • Nejčastějšími útoky jsou na webové služby a elektronickou poštu • • Proti útokům na web se lze bránit •detekcí průniků, řízením přístupu, autentizací, elektronickými podpisy a šifrováním • Elektronickou poštu je možné chránit •šifrováním a elektronickými podpisy. Časté útoky • Útok DoS a DDoS • DoS •útok s cílem zabránit uživatelům přístupu • DDoS •útok na webovou stránku •zahlcení serverů Bezpečnost mobilních zařízení – zabezpečení a autentizace • Regulovaný přístup •zamítnutí vlastních zařízení • • Regulace k přístupu •omezení manipulace se zařízeními BYOD, IoT – kontrola a monitoring • Slabá místa často představují •vypalovací zařízení, tiskárny, média USB, laptopy uživatelů či chytré mobilní telefony, chytré produkty • •IoT (internet věcí) •BYOD (Bring Your Own Device) Děkuji Vám za pozornost