Rešerše Informačních Zdrojů Světa K Informační a Kybernetické

AMBIS vysoká škola a.s.

Regionální rozvoj

REŠERŠE INFORMAČNÍCH ZDROJŮ SVĚTA K

INFORMAČNÍ A KYBERNETICKÉ BEZPEČNOSTI

Bakalářská práce

Autor: Martin Šilhánek

Bezpečnostní management v regionech

Vedoucí práce: Ing. Vladimír Šulc, Ph.D.

Praha 2020

Prohlášení:

Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a v seznamu uvedl veškerou použitou literaturu.

Svým podpisem stvrzuji, že odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámen se skutečností, že se práce bude archivovat v knihovně VŠ AMBIS a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.

V Praze, dne 24. 10. 2020 Martin Šilhánek

ANOTACE A KLÍČOVÁ SLOVA

Anotace:

Tato bakalářská práce se zabývá základními principy ochrany informací v jejich digitální podobě, následované navržením implementací a řízením bezpečnostního systému v souladu s mezinárodně uznávanými standardy. Práce obsahuje znalosti shromážděné ze vzdělávacích materiálů publikovaných státními orgány, mezinárodními firmami a dalšími autory zabývající se konstantně vyvíjející se problematikou kybernetické bezpečnosti. Poznatky obsažené v této práci jsou přínosné pro malé organizace a každého, kdo se chce obohatit o vědomosti jak ochránit své informace.

Klíčová slova CZ:

Kybernetická bezpečnost, informační bezpečnost, řízení kvality, protiopatření, riziko

Annotation:

This bachelor thesis deals with the basic principles of information security in their digital form, followed by the implementation and management of security system according to internationally distinguished standards. The thesis contains knowledge gathered from educational materials published by authorities, international corporations and other authors working with constantly develeping matters of cyber security. The findings in this thesis are benefitial for small organizations and for those who want to learn to protect their information.

Key words:

Cybersecurity, information security, quality management, countermeasure, risk, malware

OBSAH

Úvod ...... 5 Metody a cíl práce ...... 7 Teorie...... 8 1.1 Informační bezpečnost ...... 8 1.1.1 Informace ...... 8 1.1.2 Životní cyklus informace ...... 9 1.1.3 Bezpečnostní struktura informačního systému ...... 10 1.1.4 Bezpečnostní modely ...... 11 1.1.5 Analýza rizik ...... 17 1.1.6 Zranitelnost nultého dne ...... 24 1.2 Řízení kvality ...... 25 1.3 Kybernetická bezpečnost...... 26 1.3.1 Útoky ...... 29 Praktická část ...... 32 1.4 Malware ...... 32 1.5 Bezpečnostní opatření ...... 48 1.6 Standardy a normy ...... 51 1.7 Trénink a vzdělávání ...... 52 1.8 Pokročilé malware opatření ...... 54 1.9 Dotazníkové šetření ...... 56 ZÁVĚR ...... 63 SEZNAM POUŽITÝCH ZDROJŮ...... 65 SEZNAM ZKRATEK ...... 71 SEZNAM PŘÍLOH ...... 73 OFICIÁLNÍ ZADÁNÍ BAKALÁŘSKÉ PRÁCE ...... 78

ÚVOD

V dnešní době, kdy se technologie vyvíjí rapidní rychlostí, se hrozby působící na zájmy jedinců a organizací vyvíjejí dvakrát tak rychleji. Tyto hrozby mohou mít negativní vliv na komunikační a informační technologii, které tvoří podstatnou součást života pro každého jedince i organizaci ve společnosti. Ochrana těchto zájmů je podstatná pro všechny členy společnosti, ať jsou součástí veřejného či soukromého sektoru. Zájmy, které poskytují veřejné blaho jsou poskytování bezpečnosti, fungující ekonomika a hospodářství, zatímco soukromníci mají zájem ochránit své finance, data a osobní údaje.

Informační bezpečnost má za úkol chránit informační systémy, které obsahují hodnotné i méně důležité informace. Informační systém se skládá z řad aktiv, které jsou jeho součástí a podílí se na jeho chodu. Pro efektivní zabezpečení daného informačního systému je zapotřebí zajistit bezpečnost a snížit míru zranitelnosti u každého z aktiv. V případě úmyslného nebo náhodného využití zranitelnosti může být bezpečnost informačního systému narušena, což může mít zničující dopad na chod organizace či soukromí jedince.

Kybernetická bezpečnost je podstatnou a rostoucí součástí informační bezpečnosti. Je třeba vzít v potaz, že kyberbezpečnost je stálá proměnná, kde se škodlivé programy, hacktivismus, podvody, sociální inženýrství a DDoS útoky uzpůsobují novým technologiím a s tím se mění i stále vyvíjející se bezpečnostní opatření. Vzrůstající četnost kybernetických útoků je způsobena stále narůstajícím počtem aktivit a činností, které se přesouvají z fyzického prostředí do kybernetického. Jedná se o častější komunikaci a digitalizací informací z papírové formy a snahou o automatizaci poskytování různých procesů, produktů a služeb. Podstatou kybernetické bezpečnosti je ochránit komunikační a informační systémy, které se nachází v kyberprostoru nebo se podílejí na jeho chodu. Každý člověk, organizace a zařízení s přístupem na internet, je součástí kyberprostoru, a dá se zneužít. Proto je třeba se ujistit, že každý z nich je dostatečně zabezpečený pro snížení rizika kompromitování informačního systému.

Datování počátku informační bezpečnosti nelze přesně určit, lidé vždy měli svá tajemství a strategické informace. Jedním z prvních a nejznámějších mechanismů utajování informací a jejich ochranou bylo šifrování, které se využívalo pro zabezpečení komunikace během druhé světové války. V té době se informace předávaly převážně papírově, ústně či s pomocí telegrafu a vysílačů. Okolo devadesátých let, kdy se počítače začaly propojovat skrz

internetovou sít, se informační bezpečnost stala aktuálně řešenou problematikou. Tento rozmach internetových sítí způsobil rozvoj informační bezpečnosti ve školách, institucích, obchodech i v soukromé sféře. Právě s tímto rozvojem se začala implementovat standardizace řízení informačních bezpečnostních systémů podle řízení kvality.

První část práce popisuje teorii spojenou s ochranou informací. Vysvětluje základní atributy informací, dat a informačních systémů. Teoretická část obsahuje základní informace o řízení kvality a kybernetické bezpečnosti. V druhé, praktické části práce se nachází nejběžnější typy škodlivých programů, které útočníci využívají k jejich činnostem. Druhá část této práce obsahuje praktické ukázky bezpečnostních opatření používaných proti kybernetickým útokům a další opatřením poskytující zvýšenou kvalitu ochrany.

METODY A CÍL PRÁCE

Hlavní metodou tohoto výzkumu je sběr dat, informací a rešerše informačních zdrojů o informační a kybernetické bezpečnosti. Většina informačních zdrojů pochází z webových stránek institucí zabývající ochranou informací, které pravidelně publikují články o hrozbách, opatřeních a vzdělávání.

Cílem této práce je představit souhrn důležitých informací o informační a kybernetické bezpečnosti, možných útoků a jejich protiopatření.

Dalším cílem, který je uveden v praktické části, je představení použitelné sady bezpečnostních opatření v oblasti řízení informační a kybernetické bezpečnosti ve spojením s řízením kvality. Metodou vypracování tohoto cíle je analyzování dat získaných z dotazníkového šetření s pomocí programu Microsoft Excel a programovacího jazyku R. Práce je určena zejména pro malé a střední organizace a širokou veřejnost.

TEORIE

1.1 Informační bezpečnost

Tou nejcennější komoditou na světě je hodnotná informace. Dnešní svět se vyvíjí okolo informací a informační technologie. Lidstvo je obklopeno informačními médii a nesmírným množstvím dat všude okolo. Informace poskytují lidem určitou výhodu nad těmi, co danou informaci nemají. Proto naprostá většina organizací a společností, co se chtějí udržet na trhu, potřebuje těžit stále nová data a převádět tyto data na informace a znalosti. Organizace tyto informace využívají ke generování zisku, zajištění stability, bezpečnosti, ovlivnění trendu či k pomoci druhým.

Existuje tedy souvislost mezi daty, informacemi a znalostmi? Ano, tyto tři prvky na sebe vzájemně navazují. Tuto souvislost lze metaforicky přirovnat k dortu. Data jsou základní ingrediencí, dále se k nim přidá význam a tím se vytvoří informace, pomyslné těsto. Toto těsto, informace, se může dosadit do kontextu a tím si upeče dort, znalost.

1.1.1 Informace

Data

Data jsou základním kamenem informace. Jedná se o objektivní fakta, jako písmena, symboly, čísla a slova, kterým se dá nějakým způsobem porozumět a interpretovat. Datům lze přiřadit význam. Pokud se datům přiřadí význam, z těchto dat se stanou informace

„Data jsou vlastně „surovinou“, ze které mohou vyvstávat informace. Například data 0212345678 nebo paegas jistě reprezentují něco reálného z okolního světa, ale bez dalšího popisu nebo kontextu nedávají smysl.“ (Sklenák, 2001, s. 2)

Informace

Interpretovaná data se stávají informacemi. Jedná se o data s přiřazeným významem. Co pro někoho může působit jako smysluplná informace, pro někoho jiného to může vypadat jako náhodné použití slov. Pojem informace pochází z latinského slova „informatio“, odvozené ze slova „informare“. Toto slovo znamenalo ve středověku „dát myšlence formu“. Jedná se tedy o zhmotnění myšlenky a možnost tuto myšlenku přenášet, šířit a využívat. (Souček, 2005, s. 9)

Jednoduše řečeno, informace jsou data s přidaným významem. Význam, který byl přidán s ohledem na zkušenosti, znalosti a vědomosti jedince či stroje, který daná data zpracovává.

Znalosti

Znalosti, poznání či dovednosti se formují z informací dosazených do kontextu. Tyto znalosti jsou v lidském mozku nebo úložišti připraveny k použití. (Souček, 2005, s. 9)

1.1.2 Životní cyklus informace

Informace a data musí být chráněny po celou dobu jejich existence, od vytvoření až po zničení, během skladování a udržování, používání a upravování. Šulc popisuje životní cyklus informace jako tři procesy, které je potřeba zabezpečit: (Šulc, 2018, s. 16)

- data at rest – uložená data - data in motion – přenášená data - data in use – používaná data Pokud by informace nebyly chráněny, mohlo by dojít k narušení jejich důvěrnosti, integriy a dostupnosti. Způsob a typ ochrany těchto informací se určuje podle citlivosti informace. O způsobu ochrany, udělení přístupů, povolení s nakládáním či odstranění informace by měl rozhodovat vlastník informace. Informace a data nemusí být uloženy jen v elektronické podobě na serverech, HDD, SDD, optickém disku, flash disku, cloudech, internetových úložištích a přenosných médií. Informaci je také možné uložit na papír nebo jako audio nahrávku.

Data at rest

Ochrana dat a informací v úložišti je základním prvkem informační bezpečnosti. V první řadě by měl mít k těmto datům zajištěný přístup pouze vlastník, administrátor či jiná oprávněná osoba. Fyzický přístup k úložišti by měl být také adekvátně chráněn. K zabránění narušení dostupnosti by měl být udělen oprávněným osobám heslo, klíč, přístupová karta nebo jiná forma ověření totožnosti. Dalším důležitým ochranným systémem by měly být CCTV kamery pro dohled nad fyzickou lokací úložiště. Data mohou být cílem útoku, a v případě krádeže by šifrování mohlo zabránit přístupu k těmto informacím. Zničením informace obsažené v úložišti či samotného úložiště, je možné předejít zálohou dat či dalším úložištěm v jiné fyzické lokaci. Pro zajištění správnosti a úplnosti informací je třeba zavést podepisování dat, součty či jiný kontrolní výstup, který zajistí dohled na využíváním a změnách. Další, a ne-

li poslední, preventivní opatření je bezpečná a kompletní likvidace starých a nepotřebných dat či informací. Při nedůkladném smazání mohou být data obnovena. (Šulc, 2018, s. 16)

Data in motion

Při přesunu a pohybu dat je důležité dát pozor na správnou manipulaci, aby nedošlo k poškození, odcizení, pozměnění, odposlechnutí či úniku informací. Proto je potřebné náležitý informační kanál pro přesun šifrovat či jinak fyzicky zajistit ochranu dat v pohybu. Číslování a podpis informací či dat posílaných informačním kanálem odhalí narušení integrity. V dnešní době se používá velká spousta informačních kanálů. Informace se předávají ústně, papírově, po internetu a intranetu či rádiovými vlnami.

Data in use

Manipulace s informacemi by měla probíhat se souladem s pravidly organizace. Většina chyb a incidentů je způsobeno právě lidským zapříčiněním. V případě testů či manipulace s daty by se měly data zálohovat a použít kopie. Uživatel může data zneužít, proto by měl každý uživatel mít svůj specifické přístupové údaje a jejich činnost by měla být zaznamenávána.

Konkrétní preventivní opatření by měly být vytvořeny na zhodnocení parametrů „3E“ (Půček, 2019, s. 10). Pojem „3E“ představuje 3 anglická slova, která jsou si významově podobná

- effectiveness – efektivnost: maximalizace využití - efficiency – účinnost: optimální plnění plánu - economy – hospodárnost: minimalizace nákladů

1.1.3 Bezpečnostní struktura informačního systému

Strukturu informačního systému lze rozebrat na informační aktiva, které jsou popsány následovně. Základním aktivem jsou data. Ty jsou uloženy na určitém typu média (CD, DVD, HDD, flash disk, BLU-RAY, SD, server atd.). Pro zpracování dat uložených na médiu je potřeba použít nějaký HW (počítač, laptop). Pro ovládání tohoto zařízení je potřeba nějaký software (operační systém, programy atd.). Pokud má k datům přístup více uživatelů, data se většinou přenášejí po síti (LAN, MAN, WAN). Tyto média a počítače jsou situované v nějakých prostorách k nimž mají přístup lidé. (Čermák, 2011)

Pro efektivní ochranu informačních systémů je vždy zapotřebí identifikovat aktiva, kterým bude adekvátním způsobem zajištěna ochrana. Nedílným faktorem je bezpečnost informací během jejich životního cyklu. Níže bude rozebrána ochrana výše zmíněných aktiv. (Moghaddasi, Sajjadi, Kamkarhaghighi, 2016)

Personální bezpečnost

Dle webu cleverandsmart.cz vlastní zaměstnanci způsobí až 80% bezpečnostních incidentů. Proto je důležité pečlivě vybírat zaměstnance, školit je, hodnotit, stanovovat cíle a ukončit pracovní poměr v případě nutnosti. (Cleverandsmart.cz, 2013)

Fyzická bezpečnost

Fyzická bezpečnost se zabývá ochranou hmotných aktiv před živelnými pohromami a živými útočníky. Mezi tyto aktiva spadá HW, úložiště, lidé a další média.

Logická bezpečnost

Bezpečný software, který zpracovává data, by měl mít zajištěnou důvěrnost, integritu a dostupnost. Přístup, který je udělen uživatelům, je chráněn logickou bezpečností.

Komunikační bezpečnost

Síť, po které proudí data, je třeba zabezpečit před potencionálním útočníkem.

Organizační bezpečnost

Organizační bezpečnost má na starost řízení bezpečnosti a stanovení odpovědnosti osob v organizaci. Nejvíce je využívaná formou bezpečnostní politiky.

1.1.4 Bezpečnostní modely

Informační bezpečnost pojednává o ochraně informace před zničením, zcizením či ztrátou. V další části této kapitoly budou použity termíny jako narušení důvěrnosti (C - Confidentiality) – ztráta nebo zcizení informace, narušení integrity (I – Integrity) – poškození informace a narušení dostupnosti (A – Availability) – zničení informace.

Model CIA

Model CIA jsou tři bezpečnostní atributy informačního systému. Nikoli CIA, americká Ústřední zpravodajská služba. Ztráta, poškození, modifikace či nežádoucí odhalení informace mohou vést k finanční ztrátě, poškození klientům či organizaci a v nejhorším případě ke smrti či ohrožení obyvatelstva. Právě proto je potřeba chránit nejdůležitější atributy informační bezpečnosti podle modelu CIA.

- Důvěrnost (Confidentiality) – přístup k informaci je udělen pouze oprávněným osobám - Integrita (Integrity) – informace může být pozměněna či zničena pouze oprávněnou osobou - Dostupnost (Availability) – informace je k dispozici v době potřeby Důvěrnost

„Důvěrnost je pojem z oblasti řízení bezpečnosti v organizaci. Důvěrnost znamená, že k informacím či datům mají přístup pouze oprávněné osoby.” – (Management Mania, 2018)

Spousta organizací zpracovávají velké množství informací. Pro zachování důvěrnosti je třeba informacím přiřadit klasifikační stupeň, aby k nim měl přístup pouze oprávněné osoby v organizaci. Klasifikační stupně se přiřazují podle klasifikačního schématu. Nejčastěji se používá jedno klasifikační schéma pro státní sektor a jedno pro sektor soukromý.

Nejčastější příklad klasifikačního schématu pro státní sektor:

- Přísně tajné (Top secret): narušení důvěrnosti bude mít s vysokou pravděpodobností negativní dopad na bezpečnost organizace

- Tajné (Secret): narušení důvěrnosti může mít vážný dopad na bezpečnost organizace

- Důvěrné (Confidential): narušení důvěrnosti může mít podstatný dopad na bezpečnost organizace

- Citlivé ale neklasifikované (Sensitive but unclassified): narušení důvěrnosti nemusí mít negativní dopad na bezpečnost organizace

- Neklasifikované (Unclassified): narušení důvěrnosti by nemělo mít žádný dopad na bezpečnost organizace

Nejčastější příklad klasifikačního schématu pro soukromý sektor:

- Důvěrné (Confidential): narušení důvěrnosti bude mít s vysokou pravděpodobností velmi negativní dopad na bezpečnost organizace (plány, kódy...)

- Soukromé (Private): narušení důvěrnosti může mít velmi vážný dopad na bezpečnost organizace (údaje o zaměstnancích, klientech...)

- Citlivé (Sensitive): narušení důvěrnosti může mít negativní dopad na bezpečnost organizace (informace o projektech, cenách, konkrétních krocích...)

- Veřejné (Public): narušení důvěrnosti by nemělo mít žádný negativní dopad, jedná se o veřejně přístupné informace

Autor článku se domnívá, že většině soukromých subjektů by mohlo vyhovovat následující klasifikační schéma: (Čermák, 2013)

- Veřejné – informace je určena pro širokou veřejnost

- Interní – informace je určena pouze pro zaměstnance dané společnosti a přístup k ní mají jen zaměstnanci dané společnosti.

- Důvěrné – informace je určena pouze pro vybrané zaměstnance a přístup k ní mají jen vybraní zaměstnanci.

- Soukromé – informace je určena pouze pro vybrané zaměstnance a přístup k ní mají jen vybraní zaměstnanci.

- Přísně důvěrné – informace je určena pouze pro vybrané zaměstnance a přístup k ní mají jen vybraní zaměstnanci. Integrita

Integritou informace se popisuje stav, kdy informace mají zajištěnou neměnnost a stálost. Jedná se o ochranu dat před modifikací či smazáním neoprávněným uživatelem. Pokud by nastala situace, kde by došlo k úpravě nebo smazání dat neoprávněným uživatelem, v ideálním případě by měl být efekt obrácen. (Forcepoint, 2020)

„the quality of being honest and having strong moral principles that you refuse to change” – (Cambridge Dictionary, 2020)

Překlad definice slova „integrity“ z Cambridge Dictionary je následující: „kvalita být upřímný a mít silné morální zásady, které odmítáte změnit“. Další popis, uvedený na stránkách

Cambridge Dictionary, je "wholeness and unity, the quality of being whole and complete“ - „celistvost a jednota, kvalita být celistvý“.

V praxi se jako narušení integrity dá použít příklad z 16. března 2020, kdy Národní úřad pro kybernetickou a informační bezpečnost vydal „Varování před hrozbou v oblasti kybernetické bezpečnosti, spočívající v realizaci rozsáhlé kampaně závažných kybernetických útoků na informační a komunikační systémy v České republice, zejména pak na systémy zdravotnických zařízení. Tato kampaň může způsobit závažné dopady na dostupnost, důvěrnost či integritu informací u důležitých informačních a komunikačních systémů.” (NCKB, 2020)

NÚKIB tuto hrozbu ohodnotil jako pravděpodobnou až velmi pravděpodobnou na úrovni Vysoká Hrozba. NÚKIB také vydal preventivní doporučení, jako kontrolovat maskované spustitelné soubory, např. „obrazek.png.exe“, být více obezřetní o hrozbách spear- phisingu, zablokovat vzdálené přístupy do infrastruktury, zálohovat data v organizaci offline, aktualizovat antivirové řešení infrastruktury a další. (NÚKIB, 2020)

Právě díky dokumentu „Doporučená bezpečnostní opatření k varování ze dne 16. dubna“, vydaným NŮKIB, byla většina útoků odražena. V tomto dokumentu se nacházejí preventivní a další bezpečnostní opatření proti těmto očekávaným kybernetickým útokům.

„S ohledem na charakter a časovou platnost informací, kterými Úřad disponuje v této věci, které vedly k vydání varování, dochází Úřad k závěru, že došlo ke snížení pravděpodobnosti výskytu hrozby, která byla předmětem varování, tedy ke snížení intenzity hrozby, pro níž bylo k vydání varování přistoupeno.“ – Ing. Karel Řehka, ředitel pro Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB, 2020, s.1)

Dostupnost

Posledním atributem CIA triády je „A“ jako „Availability“ – dostupnost dat. Všechny ověřovací mechanismy, přístupy, systémy a HW musí na 100% zajišťovat dostupnost informace v době potřeby. Dostupnost se u většiny systému uvádí v procentech. V oboru informační bezpečnosti se ale více používají systémy RTO a RPO.

- RTO (Recovery Time Objective) – doba nedostupnosti: RTO je podle britského business standartu BS 25999-2 „cílový čas nastavený pro obnovení systému, produktu, služby, procesu či aktivity po incidentu" (Kosutic, 2.6.2020)

Výpočtem jak rychle se systém dokáže vzpamatovat je možné určit, jaké přípravy budou potřebné pro vybudování bezpečné infrastruktury. Například, pokud by uživatel či organizace chtěli mít RTO 4 hodiny, byla by za potřebí investovat větší část financí do krizového managementu než kdyby RTO bylo 4 týdny.

- RPO (Recovery Point Objective) – ztráta dat: RPO je podle Wikipedie „maximální časová tolerance, kdy mohou být ztraceny data“. (Wikipedia, 2020) Určený počet hodin či dnů práce je RPO. Podle toho si uživatel či organizace může nastavit frekvence zálohování, aby v nejhorším případě ztratila minimum dat za minimální cenu. Například, pokud si organizace zvolí RPO 4 hodiny, zálohování dat by se mělo provádět minimálně každé 4 hodiny. Pokud by se zálohování provádělo častěji, náklady na zálohování by mohly být podstatně vyšší.

Analýza dopadů (Business Impact Analysis) využívá RPO a RTO pro analýzu činností organizace a jejich dopadů, které mohou způsobit narušení dostupnosti. Právě díky těmto dvěma systémům se odvíjí návrh architektury řešení. (Čermák, 2010)

Model Perkerian Hexad

Model CIA je celosvětově uznávaný a je považován za srdce kyberbezpečnosti. Roku 1998, Donn B. Parker, navrhl model známý jako „Parkerian Hexad“. Parkerovi přislo, že klasický CIA model je nedostačující k popsání informační bezpečnosti jako celku, proto přidal tři další atributy (staffhosteurope.com, 3.6.2020)

- Vlastnictví (Possession) – informaci vlastní pouze oprávněná osoba

- Autentičnost (Authenticity) – informace pochází z ověřeného zdroje

- Užitečnost (Utility) – informace jsou dostupné, ale i použitelné „For example, if attackers want to overload a service, they look for a large number of machines from which they can perform their attack simultaneously. They often use known problems in systems for this. They may steal data, and not do anything with it, but the worry is that they could as and when they wanted to – this suggests a loss of control or possession of information.” - (Marks, 2020)

Marks zmiňuje, že v některých případech může dojít k narušení vlastnictví, ale nikoli k narušení důvěrnosti. Níže je uvedený překlad výše zmíněné citace:

„Například, pokud útočníci chtějí přetížit nějakou službu, potřebují hodně strojů, z kterých budou moci vést útok najednou. Často pro to používají známé problémy v systémech. Útočníci mohou ukrást data a nic s nimi nedělat. To ale přináší obavy, protože by mohli s nimi něco dělat, kdyby chtěli – to naznačuje ztrátu kontroly či vlastnictví nad informací.“ (Marks, 2020)

1.1.5 Analýza rizik

Analýza rizik je proces zabývající se identifikováním a analyzováním potencionálních problémů, které by mohly mít negativní dopad na organizace a projekty. Analýza rizik má za úkol pomoci organizacím odstranit nebo zmírnit dopad rizik a ochránit jejich aktiva. (Rouse, Rosencrance, 2020)

Pro úspěšnou a kompletní analýzu rizik je nejdříve potřeba zanalyzovat aktiva, hrozby a zranitelnost. Způsoby konkrétních analýz jsou rozepsány v další kapitole.

„V okamžiku, kdy známe hodnotu aktiv, pravděpodobnost hrozeb a míru zranitelnosti, může přistoupit k vyjádření rizika. Pokud jsme provedli kvantitativní analýzu rizik, vyjádříme výši rizika v peněžních jednotkách a pokud byla provedena kvalitativní analýza rizik, vyjádříme výši rizika ve stupních.“ (Čermák, 2009)

Vykonávání analýzy rizik zahrnuje zvažování možností nepříznivých situací způsobených buď přírodní událostí, jako silné bouřky, zemětřesení či povodně, nebo nepříznivé události způsobené zlomyslným nebo neúmyslným lidským dočiněním. Důležitou částí analýzy rizik je identifikování potencionální škody daných událostí a pravděpodobnost (likelihood/probability) jejich výskytu. (Rouse, Rosencrance, 2020)

Cílem řízení rizik je zajistit optimální bezpečnostní opatření za rozumnou cenu. (Czagan, 2018)

Organizace a podniky používají analýzu rizik:

- k předpovídání a následnému snížení účinku nepříznivé či škodlivé události.

- jako rozhodovací pomoc, zda-li má smysl pokračovat v projektu po zhodnocení benefitů a možných rizik projektu.

- k plánování opatření na technologickou poruchu nebo selhání vybavení či ztrátu z nepříznivých událostí (přírodní i lidskou).

- k vytyčení možných účinků očekávané změny v podniku nebo v prostředí organizace (vstup nové konkurence na trh, změna vedení, vládní regulace...)

Základní pojmy:

Aktivum (asset):

Aktivum je veškerý majetek, lidé a informace. Vše co má pro organizaci určitou hodnotu, vše co je třeba chránit.

Pro úspěšnou ochranu informačního systému je třeba analyzovat aktiva, porozumět jednotlivým částím systému (aktivům) a každý jednotlivě chránit (koncová zařízení, servery, systémy, síťové prvky, prostory, zálohy, dokumentace, lidé). Proto je důležité identifikovat jednotlivá aktiva a určit jejich hodnotu. Veškerá aktiva by měly být uvedeny v registru, který je třeba pravidelně kontrolovat pro zachování aktuálnosti (up to date). (Cambridge Dictionary, 2020)

Hrozba (threat):

Hrozba je náhodně nebo úmyslně vyvolaná událost, která může negativně narušit jakýkoli atribut aktiva (důvěrnost, integritu, dostupnost, vlastnictví, autentičnost, užitečnost).

Pro úspěšné provedení analýzy rizik je potřeba identifikovat hrozby, analyzovat je a určit pravděpodobnost jejich výskytu (míru). Identifikace hrozeb se zabývá zjišťováním potencionálních hrozeb ovlivňující daný informační systém. Vzhledem k velkému množství existujících informačních systémů a similiaritou hrozeb lze tvrdit, že existují určité obecné hrozby. Samotná analýza hrozeb se zabývá kategorizací daných hrozeb. Ne vždy je jednoduché přijít na všechny působící hrozby, proto je vhodné hrozby rozdělit do skupin dle působnosti na aktivum. Existuje vícero metod jak dělit hrozby. Nejčastější způsob je podle autora dělení dle úmyslu a umístění. Níže je uvedená tabulka č.1 se základními typy hrozeb: (Šulc, 2018, s.71)1

Pro stanovení pravděpodobnosti hrozby je třeba si vytvořit matici kde na jedné straně budou hrozby a na straně druhé budou faktory ovlivňující výskyt hrozeb. Tyto faktory většinou vycházejí ze statistik, pozorování a podložených faktů. Například četnost výskytu, příležitost, motiv, schopnost, finance, vybavení, čas, atraktivita aktiva, stáří aktiva, počet osob, výška, hmotnost atd... (Smejkal, 2015)

Hrozby, které budou ovlivněny nejvíce faktory budou mít největší pravděpodobnost výskytu, tudíž budou nejdůležitější k řešení.

Zranitelnost (vulnerability):

Zranitelnost je slabina aktiva či informačního systému, která by mohla být zneužita hrozbou. Zranitelnost je vlastnost aktiva, která se může nacházet ve všech částí informačního systému – hardware, procesy a lidé.

Pro úspěšné provedení analýzy rizik je třeba nejdříve zanalyzovat zranitelnost, to znamená identifikace všech slabých míst na úrovni fyzické, logické a administrativní bezpečnosti. Zranitelnost na fyzické úrovni může představovat fyzickou chybu v hardware či veřejně přístupný prostor, kde je informační systém umístěn. Logická úroveň zranitelnosti může představovat chybu v software či jinou technickou chybu, který byl vytvořen během využívání informačního systému. Slabé místo na úrovni administrativní bezpečnosti představuje lidsky způsobenou chybu, například nepřesný zápis či nedostatečné školení.

Další důležité pojmy: riziko (risk):

- pravděpodobnost, že hrozba zneužije zranitelnosti a způsobí narušení některého z atributu aktiva opatření (countermeasure):

- jedná se o akci, která má za úkol snížit hrozbu a aktivně či preventivně chránit aktivum ohrožení (exposure):

- stav, kdy je možné využít zranitelnosti hrozbou narušení (breach):

- situace, kdy došlo k narušení některého z atributů bezpečnosti organizace vstup (input):

- proces vkládání informací do informačního systému výstup (output):

- proces produkování informací z informačního systému

Hodnocení zranitelnosti

Hodnocení zranitelnosti poskytuje informace o bezpečnostních slabinách organizace, které jsou využity k posouzení rizik. Hodnocení zranitelnosti pomáhá organizaci porozumět jejím aktivům, bezpečnostním slabin a možnému riziku stejně jako snižovat pravděpodobnost narušení bezpečnosti. Hodnocení zranitelnosti závisí na odhalení všech možných slabin, které se mohou nacházet v jakémkoli aktivu. Proto se pro tento proces využívá vícero technik, nástrojů a metod k identifikování slabin, hrozeb a rizik.

Existují různé systéme pro hodnocení zranitelnosti systémů, jedná se převážně o skeny (scans) sítí, aplikací, wifi, databází atd... Tyto skeny dokáží zachytit základní nedostatky v bezpečnosti. Pro více pokročilé hodnocení zranitelnosti se používají penetrační testy (penetration tests), které budou popsány v následující kapitole.

Kvantitativní analýza rizik

Metody používané pro kvantitativní analýzu rizik slouží k vyčíslení dopadu rizika. Vyjadřuje se v peněžních jednotkách. Skládá se z identifikace a kvantifikace aktiv, hrozeb a zranitelnosti. Data, která se dosazují do modelu kvantitativní analýzy mohou být domněnkou, data ze statistik nebo náhodné proměnné. Tyto metody využívají matematický výpočet rizika, který se skládá z frekvence výskytu hrozby a dopadu hrozby. Výše škody se nejčastěji vyjadřuje jako roční předpokládané ztráty (Annualized Loss Expectancy – ALE) v peněžních jednotkách. Metody kvantitativní analýzy zaberou více času než kvalitativní, zato vyjadřují výši rizika v peněžních jednotkách, což je účinnější v praxi pro výběr protiopatření. Po zjištění zranitelnosti, určení míry hrozby a poznání aktiv je možné provést analýzu rizik.

Metody:

- Analýza závislostí

- Analýza stromem událostí

- Síťová analýza

- Simulace a modelování

- Průzkumy a analýza trhu

Analýza aktiv

Pro úspěšnou ochranu informačního systému je třeba poznat a kvantifikovat aktiva (koncová zařízení, servery, systémy, síťové prvky, prostory, zálohy, dokumentace, lidé) a každé jednotlivě chránit. Po poznání aktiv je možné jim přiřadit/určit jejich hodnotu. Veškerá aktiva by měly být uvedeny v registru, který je třeba pravidelně kontrolovat pro zachování aktuálnosti (up to date). (Cambridge Dictionary, 2020)

- Kolik peněžních jednotek aktivum vynáší?

- Kolik peněžních jednotek je potřeba pro opětovnou koupi daného aktiva pokud by byl třeba vyměnit.

- Kolik za porušení některého z atributů.

Analýza hrozeb

Pro úspěšné provedení analýzy rizik je potřeba identifikovat hrozby a určit pravděpodobnost jejich výskytu (míru). Identifikace hrozeb se zabývá zjišťováním potencionálních hrozeb ovlivňující daný informační systém. Vzhledem k velkému množství existujících informačních systémů a similiaritou hrozeb lze tvrdit, že existují určité obecné hrozby (vyzrazení informaci konkurenci, výpadek elektrického proudu, neúmyslné smazání atd...). Samotná identifikace hrozeb se zabývá kategorizací daných hrozeb. Ne vždy je jednoduché přijít na všechny působící hrozby, proto je vhodné hrozby rozdělit do skupin dle působnosti na aktivum. Existuje vícero metod jak dělit hrozby. Nejčastější způsob je podle autora dělení dle úmyslu a umístění. Níže je uvedená tabulka č.1 se základními typy hrozeb. (Šulc, 2018)

- úmysl: náhodné x úmyslné

- umístění: vnitřní x vnější

Tabulka č.1: Základní typy hrozeb (Šulc, 2018)

HROZBY NÁHODNÉ ÚMYSLNÉ

EXTERNÍ přírodního původu hacking

INTERNÍ technické selhání (lidská chyba) sabotáž

Hrozby, které budou ovlivněny nejvíce faktory budou mít největší pravděpodobnost výskytu, tudíž budou nejdůležitější k řešení.

Analýza zranitelnosti

Pro úspěšné provedení úspěšné analýzy rizik je třeba analyzovat zranitelnost, to znamená identifikace všech slabých míst na úrovni fyzické, logické a administrativní bezpečnosti. Zranitelnost na fyzické úrovni může představovat fyzickou chybu v hardware či veřejně přístupný prostor, kde je informační systém umístěn. Logická úroveň zranitelnosti může představovat chybu v software či jiný typ chyby, který byl vytvořen během využívání informačního systému. Slabé místo na úrovni administrativní bezpečnosti představuje lidsky způsobenou chybu, například nepřesný zápis.

Dle serveru managementmania.com se zranitelnost určuje podle dvou faktorů – citlivost (náchylnost k využití hrozbou) a kritičnost (význam aktiva pro organizaci): (Management Mania, 2016)

- Jakou škodu by mohla hrozba způsobit?

- Jak často se hrozby vyskytují?

- Jaký mají hrozby dopad ve finančních jednotkách?

- O kolik peněžních jednotek se sníží výnosy?

- Kolik finančních jednotek by bylo potřeba na kompletní zotavení a znovuuvedení do provozu?

Výpočet rizika

Příklad:

Hodnota úložiště je 300.000,- Kč. Minulý rok se úložiště 10x zřítilo. Každé zřícení vedlo ke ztrátě 10%. Jaká je roční předpokládaná ztráta?

AV = 300.000,- SLE = 10% z AV = 30.000,- ARO = 10 ALE=30.000x10 ALE=300.000,-Kč

Na příkladu lze vidět, že jednorázové ztráty byly 30.000,- Kč a odehrály se 10x za rok. Roční předpokládané ztráty tedy budou 300.000,- Kč.

ALE=AVxEFxARO ALE = SLE x ARO

Pojmy:

- ALE (Annualized Loss Expectancy) – roční předpokládané ztráty

- SLE (Single Loss Expectancy) – jednorázové předpokládané ztráty

- ARO (Annualized Rate of Occurence) – roční míra výskytu hrozby

- AV (Asset Value) – hodnota aktiva

- EF (Exposure Factor) – hodnota zranitelnosti

- R (Risk) – riziko

- P (Probability) – pravděpodobnost

1.1.6 Zranitelnost nultého dne

Zranitelnost nultého dne je zranitelností v systému, která ještě nebyla objevena a není tedy známá majiteli systému. Tuto zranitelnost většinou objeví subjekt pracující v daném systému nebo útočník, který má danou organizaci za cíl a provádí průzkum a sběr dat. (Šulc, 2018)

1.2 Řízení kvality

Optimální řízení kvality nebo-li „quality management“ představuje dodržování standardů a norem působící na všechny procesy v organizaci. Řízení kvality pojednává o zlepšování dosavadních procesů.

Řízení kvality dle oficiálně uznávaných norem ISO 9001 zahrnuje poskytování služeb a produktů, uplatňování principu zlepšování, integrování systému řízení kvality do všech systémů organizace, usilování o stabilizaci zaměstnanců a rozvoje jejich vzdělání až po integrování všech zaměstnanců do zlepšování procesů v organizaci. (Dušek, 2015)

ISO 9001 je sada norem zavádějící systém na řízení kvality organizace. Normy ISO jsou vytvářeny Mezinárodní organizací pro standardizaci (ISO – International Standard Organization). Normy z řady ISO 9000 poskytují organizacím prokázat schopnost výroby nebo distribuci produktů a služeb v souladu s předpisy a potřebami zákazníka. (Skovajsa, 2016)

Certifikace systému managementu kvality (QMS – Quality Management System) podle ISO 9001 je považována za potvrzený a funkční způsob zlepšování výkonnosti, produktivity a kvality společnosti. Normy ISO z řady 9000 představují minimalizaci rizik a zvyšování efektivity. Certifikace vypovídá o schopnosti organizace dodržovat dané normy a tím získává důvěru u zákazníků, dodavatelů a široké veřejnosti. Mezi dalšími výhodami systému managementu kvality je zvyšování konkurenceschopnosti, snížení nákladů, zmapování cílů organizace, systémový pořádek v dokumentaci, možnost doložení způsobilosti ve výběrových řízeních. (Globální Certifikační Orgán, n.d.)

ISO 9001, které vypovídá o kvalitě managementu dané organizace, je často kombinováno s certifikací o zabezpečení informací ISO 27001, které bude popsáno v následující kapitole. Výhodou této kombinace je, že tyto dva systémy na sebe hladce navazují a během implementace se navzájem podporují, což pří správném zavedení umožňuje firmě ušetřit čas a peníze. (Kane, 2018)

1.3 Kybernetická bezpečnost

Tato kapitola obsahuje důležité pojmy kybernetické bezpečnosti a její představení. V dnešní době lze nalézt větší množství zdrojů a literatury v anglickém jazyce než v jazyce českém, proto za významnými pojmy kybernetické bezpečnosti bude i překlad daného pojmu do anglického jazyka.

Pojem kybernetická bezpečnost definovaný portálem Wikipedia zní: (Wikipedia, 2020)

„Computer security, cybersecurity or information technology security is the protection of computer systems and networks from the theft of or damage to their hardware, software, or electronic data, as well as from the disruption or misdirection of the services they provide.” – (Wikipedia, 2020)

Překlad této definice do českého jazyka by se dala interpretovat takto: „Počítačová bezpečnost, kybernetická bezpečnost nebo bezpečnost informační technologie je ochrana počítačových systémů a sítí proti krádeži či poškození technického fyzického vybavení počítače, programů či elektronických dat stejně jako narušení nebo jiné poškození služeb a funkcí, které tyto sítě a systémy poskytují.”

Oxfordský slovník anglického jazyka definuje kybernetickou bezpečnost (cybersercurity) jako „bezpečnost spojená s počítačovými systémy nebo internetem, především určená k ochraně proti virům a podvodům“. (Oxford Dictionary, 2020)

„security relating to computer systems or the internet, esp. that intended to protect against viruses or fraud.” (Oxford Dictionary, 2020)

Definice poskytnutá společností Kaspersky zní: „Kybernetická bezpečnost je ochrana počítačů, serverů, mobilních zařízení, elektronických systémů, sítí a dat před škodlivými útoky. Kybernetická bezpečnost je také známa jako bezpečnost informační technologie nebo ochrana elektronické informace.“

„Cyber security is the practice of defending computers, servers, mobile devices, electronic systems, networks, and data from malicious attacks. It's also known as information technology security or electronic information security.“(Kaspersky, n.d.)

Nalezení definice kybernetické bezpečnosti v českém jazyce a z oficiálního zdroje bylo obtížné. Nejbližší objevená definice kybernetické bezpečnosti je usnesená v Zákonu č. 181/2014 Sb., zákon o kybernetické bezpečnosti a o změně souvisejících zákonů:

„Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací.“ (Zákony pro lidi, 2020)

Bezpečnost (security) je proces ochrany určitého systému před riziky, hrozbami, či odcizením, poničením nebo zničením. Systém vyžadující ochranu může být typu technického, společenského nebo přírodního. Kybernetická (cyber) je atribut, charakteristika, spojená s počítači, informační technologií a virtuální realitou. Kybernetická bezpečnost chrání systémy v organizacích, jejich data a sítě v kyberprostoru (cyberspace). Kyberprostor je prostředí, kde se odehrává komunikace skrz počítačové sítě. Právě v tomto prostředí může vzniknout kybernetický útok (cyber attack). A jelikož v dnešní době se čím dál tím víc dat uchovává v paměti počítače nebo online v takzvaných cloudech, pravděpodobnost útoku narůstá. Tyto útoky mají většinou za úkol data odcizit či odhalit, ohrozit jejich dostupnost, narušit či jinak pozměnit. Z tohoto důvodu má kybernetická bezpečnost tyto data zabezpečit před narušením důvěrnosti (Confidentiality), integrity (Integrity) a dostupnosti (Availability) po celou dobu jejich existence. Tyto tři fragmenty lze najít pod zkratkou CIA. (Šulc, 2018)

Zavedení kybernetické bezpečnosti do praxe je poměrně složité z důvodu obsáhlosti a právě neustálého vývoje. Systém ochrany má vícero stupňů a funguje na principu zjištění hrozby agentem hrozby (Threat Agent), což je metoda používaná k zneužití (exploitation) zranitelnosti (vulnerability). Pokud došlo ke zneužití této zranitelnosti, došlo k narušení bezpečnosti (security breach). Pokud toto narušení bezpečnosti vedlo až k narušení důvěrnosti, integrity a dostupnosti, lze říct, že se jedná o kybernetický bezpečnostní incident (cyber security incident). Tento incident může mít významný negativní dopad (Impact) na fungování systému dané organizace. Základem bezpečnosti je preventivní příprava proti možným hrozbám. Tyto hrozby mohou využít zranitelnosti v kyberprostoru a způsobit kybernetické riziko (Cyber Risk). Právě preventivní opatření proti těmto rizikům je první vlna ochrany.

Kybernetická hrozba je tedy jakákoli hrozba z kyberprostoru, která může ovlivnit informační aktivum (Information Assets) vedené v informačních systémech (Information Systems). Kybernetická bezpečnost je poměrně čerstvý obor. Je součástí více rozsáhlejší

informační bezpečnosti (Information Security), protože se zabývá pouze bezpečností informací v digitální podobě.

1.3.1 Útoky

Kybernetický útok je škodlivý pokus třetí strany o poškození, zničení či úpravu počítačových sítí, infrastruktury, informačních systémů, osobních přenosných zařízení. (NI Business Info, n.d.)

Pro optimální obranu kyberprostoru a informačních systémů je třeba porozumět možným typům útoků a jejich fázím. Útoky se dělí na cílené a necílené. Někteří autoři používají termíny cílené a plošné. (Šulc, 2018)

Cílené útoky

Útočník cíleného útoku má pečlivě vybraný cíl a tomu také odpovídá příprava, během které se útočník snaží najít jakoukoli zranitelnost v systému. Tato zranitelnost může být využita pro předání exploitu, díky čemuž může být systém kompromitován. Cílený útok častěji působí více škody než necílený útok, a to právě z důvodu přípravy.

Exploit je v informatice speciální program, data nebo sekvence příkazů, které využívají programátorskou chybu, která způsobí původně nezamýšlenou činnost software a umožňuje tak získat nějaký prospěch. (Šulc, 2018)

Cílené útoky mohou zahrnovat:

- Spear Phishing: zasílání emailů obsahující přílohu s malware konkrétním jedincům - Rozmístění Botnet: síť počítačů provozující DDoS. DDoS je větší množstvím počítačů, snažících se najednou zahltit cíl útoku. - Supply Chain Attack: útok na hardware či software v dodavatelském řetězci

Necílené útoky

Útočník využívající necílených (plošných) útoků se snaží napadnout co největší počet aktiv (zařízení, uživatelé, služby...). Zájem je v tomto případě v počtu objevených zranitelností, které budou moci být hromadně využity.

Necílené útoky mohou zahrnovat:

- Phishing: zasílání emailů velkému počtu příjemců se záminkou o získání citlivých informací - Watering hole: infikování konkrétní URL stránky škodlivým softwarem - Ransomware: znovuzprovoznění přístupu k určitým datům za poplatek 29

- Scanning: skenování internetu na poli široké působnosti pro nalezení zranitelnosti

Fáze útoku

Kybernetické útoky, nezáleží, jestli jsou cílené či plošné, mají některé z fází útoků společné. Útok vykonávaný vytrvalým útočníkem může mít vícero fází, kdy útočník testuje obranu cíle a hledá zranitelnosti, které by mohl využít. NCSC popisuje 4 hlavní fáze kybernetického útoku: (Lockheed, 2020)

- Průzkum: vyšetřování a analyzování dostupných informací o cíli, hledání slabin (zranitelností) - Doručení: nalezení slabiny a příprava na prolomení - Prolomení: využití slabiny a úspěšné proniknutí do systému - Ovlivnění: vykonávání plánovaných aktivit v napadeném systému Průzkumná fáze:

Počáteční fází je shromažďování informací použitelných k útoku na cíl. Informace mohou pocházet ze sociálních sítí, vyhledávačů, registrů jmen nebo jiným informativním způsobem. V této fázi se také útočník snaží zjistit informace o počítačové síti organizace a bezpečnostních systémech s pomocí svých metod, nástrojů a skenů.

Doručovací fáze:

Během doručovací fáze se útočník snaží najít přístup, jak využít nalezené zranitelnosti (např. nastražením USB s malware nebo vytvořením kopie jiné webové stránky). Nejdůležitější částí této fáze je rozhodnutí se nad vhodným způsobem doručení škodlivého software či využití příkazového řádku k prolomení obran.

Prolomovací fáze:

V této fázi se útočník snaží maximálně využít svých metod a exploitu pro získání kontroly nad daným systémem.

Ovlivňovací fáze:

Ovlivňování v této fázi probíhá v napadeném systému. Útočník má možnost prozkoumat daný systém bez vědomí poškozeného. Po dokončení svého plánu může útočník vytvořit přístupné body pro možnost přístupu v budoucnu. Dále útočník může smazat stopy o jeho napadení systému či může podpořit ostatní. (NCSC, 2020)

Následky napadení organizace škodlivým software dle George Kostopoulos, profesora kybernetické bezpečnosti na Univerzitě v Maryland, USA: (Kostopoulos, 2012)

- Krádež dat - Krádež duševního vlastnictví - Krádež finančních prostředků z účtu - Kontakty, telefonní čísla, emailové adresy - Čísla kreditních karet, expirace CVV - Sériová čísla nainstalovaného SW - Přihlašovací údaje - Začlenění do Botnet Výše zmíněné následky napadení lze více rozvinout. Ukradené přihlašovací údaje mohou být například do sociálních sítí zaměstnanců nebo do pracovního účtu firmy. Na druhou stranu začlenění zařízení do botnet může mít mnoho dalších následků. Většinou zařízení, které jsou součástí sítě Botnet, slouží k rozesílání nevyžádané pošty, jako proxy server či k jiným procesům využívající výkon daného počítače (i.e. těžení kryptoměn, luštění CAPTCHA 1CAPTCHA ). Jako konkrétní příklad bývá využití sítě botů k přetížení serveru a zahlcení cílené sítě daty s pomocí DDoS útoku (Distributed Denial of Service). (Cloudfare, n.d.)

PRAKTICKÁ ČÁST

1.4 Malware

Program používaný počítačem či jiným zařízení s připojením na internet, který je vytvořen k páchání škody na fyzickém či nehmotném aktivu. Cílem malware je narušit, poškodit či získat neoprávněný přístup do počítačového systému. (Lexico, n.d.)

„Malware“ je složenina dvou anglických slov „malicious“ a „software“ (překlad: „škodlivý“ a „program“). Tento program je napsán, stejně jako běžné programy, programovacím jazykem. Existuje mnoho typů malware, každý z nich má jinou formu a jiné určení.

Vývoj malware v historii:

- 1980: evidování prvních virů a internetových útoků - 1990: viry posílané emailem - 2000: značný růst ve využívání emailových adres vedlo k phishing útokům a útokům na webové stránky - 2010: v tomto období se začaly objevovat různé typy malware jako červy, spyware, trojské koně, ransomware a další škodlivé programy, které způsobují škody organizacím

Počet malware každým rokem exponenciálně stoupá. Firma AV-Test zaznamenala v roce 2011 okolo 65.26milionu nových malware a nechtěných programů. V roce 2019 počet zaznamenaného malware a nechtěných aplikací vzrostl na 1 bilion. (AV-Test, n.d.)

Obrázek č.1 – počet zaznamenaného malware (AV-Test, n.d.)

Vývoj technologie přináší lidstvu nové možnosti. Technologie usnadňuje lidstvu komunikaci, transport a urychluje přenos dat. S příchodem nové technologie se také objevují nové zranitelnosti daného systému a rizika spojená s vývojem. (Brdička, 1998)

Typy škodlivého software v anglickém jazyce podle firmy SWGfL: (SWGfL, n.d.)

- Adware: Typ malware, který sleduje aktivitu a pohyb uživatele na síti se záminkou vnutit reklamu, která půjde těžko zavřít. - Botnet: Síť jednotlivých počítačových zařízení, které jsou nakaženy malware a ovládány útočníkem. - Keylogger: Program schopný zaznamenávat aktivitu uživatele, například psaní emailů, procházení soubory či vyplňování hesel a uživatelských jmen. - Cryptojacking: Malware využívající výpočetní výkon nakaženého počítače pro těžbu kryptoměn. - Ransomware: Ransomware je typ malware, který blokuje přístup do nakaženého počítačového systému nebo konkrétních souborů a nabízí znovuzpřístupnění dat či systému po zaplacení poplatku, výpalného.

- Rootkit: Balíček škodlivých programů určených pro neoprávněné vniknutí do počítačového systému bez detekce uživatele. - Spyware: Spyware posílá data o aktivitě uživatele útočníkovi. - Trojan: (česky Trojský kůň) se snaží působit jako běžný software, který svádí uživatele k jeho spuštění a nasazení, což může vést k zavedení zadních vrátek do systému. Trojský kůň působí nevinně, avšak obsahuje škodlivý software. - Virus: Virus se snaží stát součástí legitimních programů a souborů a spustí se pouze aktivací uživatelem. - Worm: (česky Červ) je trochu podobný virusu, jen je trochu víc samostatný. Dokáže najít zranitelnosti v síti, šířit se sám a nakazit automaticky další systémy.

Botnet

Jak je již výše zmíněno, začlenění do sítě botnet může mít markantní následky. Botnet je síť počítačů, serverů, mobilních zařízení a dalších IoT zařízení, které jsou infikovány a vzdáleně kontrolovány některým ze známých typů malware. Uživatelé zařízení často ani nevědí, že jsou součástí sítě botnet. Botnet se často využívá pro rozesílání spam, generování podvodných kampaní a návštěvnosti pro distribuované odepření služby.

„a network of computers that have been linked together by malware: a network of bots“ – (Merriam-Webster, n.d.)

Botnet je odvozeno od slov „robot“ a „network“. Jedná se tedy o síť robotů, nebo také jak je uvedeno v různých zdrojů, armáda zombie. Bontet a zombie z důvodu bezmyšlenkovitého šíření škodlivého software útočníkem. Škodlivý software (malware) hledá slabiny v zařízeních napříč internetem s vidinou infikování co nejvíce zařízení. Nejefektivnější botnet je ten, který má nejvíce botů a který využívá takové množství výpočetní kapacity počítače, aby si toho žádný z poškozených uživatelů nevšiml.

Jakmile botnet obsahuje požadovaný počet zařízení, útočník má dvě možnosti, jak komunikovat s botnet. První možnost je client-server (command-control), kdy je třeba zprovoznit řídící centrum (command and control center) a komunikovat s botnet skrz komunikační protokol. Druhá možnost je peer-to-peer, kdy všichni boti ze stejné sítě komunikují a jednají na základě nejposlednějších aktualizací. Útočnící v dnešní době preferují druhý způsob, jelikož velké množství organizací a institucí monitoruje a hledá právě command- control komunikace. (Rouse, Lutkevich, Wright, 2019)

obrázek č.2 – princip fungování botnet (Rouse, 2019)

Ochrana před zapojením do botnet:

- Provádět pravidelné antivirové kontroly - Stahovat pouze ověřené soubory a přílohy - Pravidelně aktualizovat operační systém a programy - Vyhnout se podezřelým webovým stránkám a aplikacím

DDoS útok

DDoS – „distributed denial of service“ je kybernetický útok, který se snaží narušit běžnou návštěvnost daného serveru. Server je zahlcen spoustou uměle vytvořené návštěvnosti, což je dosaženo s pomocí využití velkého množství počítačových systémů. Tyto zneužité počítačové systémy, díky kterým se útok dá provést, mohou být napadené počítače a jiné zařízení IoT (Internet of Things). (Morgan, 2014)

Internet of Things (česky internet věcí) představuje síť fyzických věcí, které jsou vybaveny sensory, software a jinou technologií umožňující propojení a výměnu dat s jinými zařízeními a systémy přes internet.

obrázek č.3 – Metaforické zobrazení DDoS útoku. Zvýšený traffic (návštěvnost) robotů blokuje běžný provoz (Cloudfare, 2020)

Pro úspěšné provedení DDoS útoku je zapotřebí získat kontrolu nad sítí online zařízení, které budou vykonávat útok. Počítače a jiné internetové zařizení (smartphones, IoT) je třeba infikovat škodlivým software, což umožní jejich kontrolu při útoku. Zařízení infikované malware se považuje za bot (robot). Skupina těchto botů se nazývá botnet.

Jakmile je síť botů připravena, útočník dálkovým přístupem aktualizuje instrukce každému z botů. Po předání IP adresy oběti do botnet se každé zařízení pokusí spojit s cílovou IP adresou, což způsobí přetížení kapacity daného serveru a následné odmítnutí běžné návštěvnosti, odepření služby (denial of servise). Je těžké rozpoznat zařízení botnet od legitimního zařízení, jelikož každý z botů je internetovým zařízením.

Existuje hodně vektorů útoku (způsob provedení útoku) při aplikování DDoS. V systémech existuje velké množství zranitelností, které mohou snížit náročnost provedení DDoS útoku.

Vektor útoku se zvolí na základě použitých protokolů v systému oběti a výběrem nejvhodnějšího přístupu a prostředků. (CSIRT, 2013)

Komunikaci přes internetovou síť umožňuje sada protokolů TCP/IP („Transmission Control Protocol/Internet Protocol“ - primární přenosový protokol/protokol síťové vrstvy). Tato sada je hlavním protokolem pro globální internetovou síť – Internet. Architektura TCP/IP se člení do 5 vrstev, kde každá vrstva využívá služeb vrstvy nižší a poskytuje své služby službě vyšší. Lze říct, že síťové připojení na Internetu se skládá z různých vrstev. Níže uvedené body reprezentují vrstvy TCP/IP seřazené vzestupně. (Liska, 2018)

2. Vrstva síťového rozhraní - umožňuje přístup k fyzickému médiu - Ethernet - LAN - Skleněná vlákna - Dvoubodé sériové linky - Bezdrátové 3. Internetová vrstva - IP (Internet Protocol) nespojovaný přenos datagramů - ARP (Address Resolution Protocol) získání hardwarové adresy z IP - RARP (Reserse Address Resolution Protocol) získání IP adresy z hardwarové - ICMP (Internet Control Message Protocol) chybové a řídící zprávy routerů 4. Transportní vrstva - TCP (Transmission Control Protocol) spojovaná (potvrzovaná) služba - UDP (User Datagram Protocol) nespojovaná služba 5. Aplikační vrstva - ssh přístup ke vzdáleným počítačům - smtp (Simple Mail Transfer Protocol) e-mail - ftp (File Transfer Protocol) přenos souborů - nfs (Network FIle System) sdílení disků - http, https přístup k webu - dns (Domain Name System) mapování doménových a IP adres - bootpc (Bootstrap Protocol) získání síťové konfigurace při zavádení OS (DHCP)

- ntp (Network Time Protocol) synchronizace času - atd.

obrázek č.4 – porovnání modelů OSI a TCP/IP (Guru99, n.d.)

Jeden z nejznámějších DDoS útoků proběhl v únoru 2000. Michael Calce, známý jako hacker pod jménem „MafiaBoy“ – 15 let, vyřadil z provozu několik velkých webových stránek jako CNN, eBay a Yahoo. Pro útok využil servery několika univerzit, díky čemuž se začaly formovat a aplikovat zákony o kybernetické bezpečnosti (i.e. Cyber Security Enhancement Act of 2002). (Congress, 2002)

Ochrana proti DDoS útoky je detailně popsána v dokumentu „Ochrana před útokmi DDoS“ (CSIRT, 2013).

Adware

Adware je typ škodlivého software, který je vytvořen k nechtěnému zobrazování reklam na počítačovém systému uživatele, nejčastěji ve webovém prohlížeči. Uživatelé se často setkávají s adware ve formě: (Moes, n.d.)

- Klamavé reklamy - Vyskakovacích oken - Velkých bannerů - Přehrávání reklam v pozadí Definice slova „adware“ dle Cambridge Dictionary: (Cambridge Dictionary, n.d.)

- „software that automatically puts advertisements onto a computer screen“ Překlad této definice je doslova „program, který automaticky umisťuje reklamy na počítačové obrazovky“. Název tohoto typu malware je složeninou uvedených dvou slov, advertisement a software => adware. V některých případech adware může pozměnit nastavení a funkce webového prohlížeče. Dle slovenské firmy Eset je dobré dávat si pozor na následující změny v prohlížeči uživatele: (Eset, n.d.)

- Zpomalený výkon a případný výpadek prohlížeče - Nevyžádané změny na domovské stránce - Nové rozšíření a změna na panelu nástrojů (toolbar) - Neobvykle pomalé načítání webových stránek - Instalace nechtěných programů

Adware generuje zisk svým stvořitelům (developerům) automatickým zobrazováním reklam na zařízení uživatele. Některý z adware programů jsou schopny číst historii prohlížení a na základě této historie cílit další reklamy. V momentě, kdy se adware dostane do kontaktu se systémem uživatele, systém je vystaven nebezpečí drive-by-download. Po usazení začne adware sbírat osobní informace o uživateli, přesměrovávat uživatele na jiné webové stránky a generovat více reklam. Šíření tohoto škodlivého software probíhá buď implementací na nezabezpečené webové stránky a jejich následné navštívení nebo při instalování a používání bezplatných programů. (Malwarebytes, n.d.)

Ransomware

Ransomware je typ škodlivého software, který po infikování počítačového systému zašifruje disk, konkrétní soubory nebo celé zařízení. Některé typy ransomware také mažou kopie zašifrovaných souborů. Následně se na obrazovce zobrazí zpráva, že soubory či disk budou zpřístupněny až po zaplacení útočníkovi. Útočník se často snaží v oběti vyvolat pocit viny. Někdy se útočník vydává za legitimní organizaci, která zašifrování provedla z bezpečnostních důvodů či z porušení nějakého zákona. Jelikož se jedná o trestný čin, nikdy si poškozený uživatel nemůže být jistý, že po zaplacení mu útočník znovuzprovozní přístup. (NCKB, n.d.)

Typický způsob provedení ransomware útoku využívá nejčastěji email, kdy se spustitelný škodlivý soubor nachází v příloze ve formě Word či JPG. Dalšími možnostmi je watering-hole a spear phishing. Po otevření přílohy se škodlivý program usadí v systému uživatele. Škodlivý program, stahující ransomware do zařízení oběti, může být umístěn i na webové stránky. Po navštívení webové stránky se škodlivý software usadí v systému uživatele. (Kaspersky, n.d.)

Projekt „No More Ransom!“, za kterým stojí Europol, Kaspersky a McAfee, popisuje několik typů ransomware. Každý z nich funguje na jiném principu a zamyká: (No More Ransom, n.d.)

- soubory: Šifruje osobní složky a soubory; následně zobrazuje poznámkový blok s instrukcemi pro zaplacení, většinou s časovým limitem. - obrazovku: Tato metoda nešifruje žádné soubory, pouze zamkne a zablokuje obrazovku uživatele jedním velkým obrázkem s instrukcemi k zaplacení. - MBR: MBR (Master Boot Record – česky „hlavní spouštěcí záznam“) umožňuje počítači jeho načtení při zapnutí. Tento typ ransomware pozmění nastavení MBR tak, aby počítač načetl pouze instrukce k zaplacení. - webové servery: Webové servery také mohou být cílem ransomware. V tomto případě škodlivý program zašifruje různé podstránky a kategorie konkrétních webových stránek. - mobilní zařízení: Mobilní zařízení, především Android, mohou být zašifrována stažením škodlivého software.

Ukázkovým příkladem ransomware je program WannaCry. Tento ransomware červ, který se začal šířit v roce 2017 jako příloha spamového emailu, infikoval přes 220.000 systémů a vyžadoval 300 USD za odemčení systému. (Richter, 2017)

WannaCry využil slabiny v operačním systému Windows. Tento malware je kombinací ransomware programu a červa, právě díky čemuž se tento program šířil geometrickou rychlostí.

Ochrana před Ransomware: (No More Ransom, n.d.)

- Záloha - Antivirový program - Pravidelné aktualizace software - Skepticismus: Nevěřit každému, kontrolovat si fakta, neotevírat podezřelé přílohy a linky

Virus

Počítačový virus/vir je program, kód, který se šíří infikováním souborů díky spuštění zavirované aplikace či souboru. Cílem virů je ničit data, způsobit nefunkčnost systému nebo jiným způsobem působit škodu. Viry se mohou šířit s pomocí: (Department of Homeland Security, n.d.)

- spustitelných programů: Virus je součástí kódu programu, ten se aktivuje při spuštění aplikace, následně se nahraje do operační paměti zařízení a infikuje další spustitelné programy. - dokumentů: Vir šířící se skrz kódy dokumentů se nazývá Macrovirus. Ten se kopíruje do dalších souborů MS Office (Word, Excel...). Macrovirus se aktivuje při otevření dokumentu. - emailů: Viry se šíří v přílohách emailu, aktivují se otevřením přílohy. Malwarebytes Lab porovnává počítačové viry s dalšími typy malware. Například uvádí, že trojan může být virus. V případě, kdy se virus přetvařuje jako legitimní soubor, dá se považovat za trojského koně. Nebo virus, který zabraňuje poškozenému uživateli otevřít požadované soubory se dá považovat za ransomware. Na druhou stranu autor článku zmiňuje rozdíl mezi červem a virem. (Malwarebytes, n.d.)

Worm

Česky „červ“ je počítačový program, který operuje nezávisle na uživatelově akci. Červ zneužívá různých exploitů (slabých hesel, neaktualizovaných programů...) v sytému pro vyhledání slabých míst. Tento malware se sám kopíruje a rozesílá do dalších systémů. (Jirásek, Novák, Požár, 2015)

Červi se snaží zneužít chyb v síti nebo bezpečnostní skuliny v operačních systémech a aplikací. Cílem tohoto škodlivého programu je replikovat se a infikovat co největší síť počítačů a v některých případech je jeho cílem doručit payload. Payload je část škodlivého kódu, která pozměňuje a škodí systému.

Existuje nespočet typů tohoto malware, bohužel o tom nejsou vedeny žádné oficiální statistické údaje. Různé typy červů využívají různé metody k jejich šíření, například:

- internet: Červ využívá link infikované webové stránky. - email: Červ je součástí přílohy. - instantní zprávy: Červ se šíří skrz aplikace sociálních sítí, komunikačních kanálů. - P2P (people to people): Červ se šíří přes sdílené sítě, síťový server, LAN, flash drive. Známým zástupcem malware z kategorie worm je SQL Slammer neboli Sapphire. Ten využíval svou vlastní metodu, kdy generoval náhodné IP adresy a poté se na ně posílal. Buď se do systému nedostal, protože ho zachytil antiviroý systém, nebo systém antivir neměl a počítač se nakazil. Podle Center for Applied Internet Data Analysis je tento malware nejrychlejší červ v historii. Roku 2003 se během deseti minut nakazilo přes 75.000 počítačových systémů. Červ využíval slabiny počítačových systémů využívající Microsoft SQL. Tento malware měl za následek i několik neočekávaných výpadků (např. zrušení několika letů, zásah do průběhu voleb, výpadky bankomatů). (Moore, Paxson, Savage, Shannon, Staniford, Weaver, Caida, n.d.)

Trojan

Trojan neboli trojský kůň je typ malware, který se vydává za neškodný program či přílohu a provádí škodlivou činnost po spuštění uživatelem. (Merriam Webster, n.d.)

Označení trojan vyplývá z příběhu o Trojském koni, který byl dle řecké mytologie vytvořen Řeky pro obyvatele města Troja. Trojané přijmuli dřevěného koně ve vědomí, že Řekové přestali okupovat Troju. V Trojském koni byli ukryti trojští vojáci, kteří v noci otevřeli brány města a Troja byla dobyta. Řekové využili sociálního inženýrství, když přesvědčili obyvatele Trojy o převzetí dřevěného koně. (Malwarebytes, n.d.)

Existuje hodně typů trojských koní, každý využívá jiných principů a jiných zranitelností. Nejběžnější typy trojan malware: (Norton, n.d.)

- Backdoor (česky zadní vrátka) je typ trojského koně, který umožňuje vzdálený přístup a řízení napadeného systému. Data z napadeného systému mohou být ukradnuta. - Trojan banker (spyware) je typ trojského koně, který funguje jako spyware. Program umožňuje předávání informací útočníkovi o bankovních účtech, kreditních karet a hesel. Například ZeuS/Zbot. - SMS trojan je program ovlivňující mobilní zařízení. Ten odesílá SMS zprávy na placená premium čísla. - Miner je program, který využívá výpočetního výkonu pro těžení kryptoměn. Příkladná ukázka použití trojského koně je z období 2011-2014, kdy se na internetu nacházel malware Zeus. Tento typ trojana fungoval jako keylogger. Po nainstalování byl dormantní až do té chvíle, než uživatel infikovaného počítače navštívil webové stránky svého internetového bankovnictví. V tu dobu začal Zeus snímat data a přeposílat je útočníkovi. Tento malware byl vyvíjen a vylepšován různými jedinci pro různé účely. Jedna z verzí Zeusu po spuštění stahovala ransomware, další zase umožňovala zařazení do sítě botnet. Trojanové aplikace bývají nejnebezpečnější právě z důvodu velkého spektra hrozeb a různých vektorů útoku. (Oza, 2019)

Doporučené kroky ochrany při nakažením trojským koněm: (Durkota, Dormann, 2008)

- IT podpora - Odpojit zařízení z internetu - Zálohovat důležité soubory

- Skenovat zařízení - Přeinstalovat OS - Obnovit data - Implementovat preventivní bezpečnostní opatření opatření

Spyware

Spyware je typ škodlivého software, který sbírá informace z počítačového systému uživatele bez jeho vědomí. Spyware je schopný evidovat většinu aktivity na počítačovém systému včetně stisknutí kláves, snímky obrazovky, ověřovací údaje, emailové konverzace, prohlížené webové stránky, internetovou historii, krádež hesel a další osobní údaje. Tyto data jsou buď využity útočníkem nebo prodány. (US-CERT, 2008)

Spyware se může do počítačového systému dostat ve formě trojského koně vázaného na aplikaci. Tento typ programu může být také stažen do počítače při návštěvě webové stránky se škodlivým kódem. Dalším způsobem doručení spyware je využití slabiny (backdoor, exploit), phishing či stažení zdarma aplikace a odsouhlasení podmínek o užívání bez jejich přečtení. (Malwarebytes n.d.)

Jedním z nejznámějších typů spyware je keylogger. Keylogger zachycuje konkrétní úhozy uživatele a posílá je útočníkovi ještě před odesláním na požadovanou adresu. Detailní rozepsání spyware, jeho další typy lze nalézt na stránkách US-CERT. (US-CERT, 2008)

1.5 Bezpečnostní opatření

Existuje velké množství základních protiopatření, které v případě správného implementování a udržování mají významný efekt v boji proti kyberzločinu a škodícím kybernetickým aktivitám. To platí jak pro organizace, tak pro běžné uživatele. Za základní opatření lze považovat firewall, virový skener, protokolový analyzér, packetový sniffer, udělování přístupů a ověřovací systémy. Bohužel největší hrozbou pro informační systém je člověk, uživatel, který může poškodit bezpečnost informačního systému bez jeho vědomí či cíleně. Lidé, kteří jsou součástí organizace, by měli být vzděláváni v informační a kybernetické bezpečnosti na základě stanovených protokolů a pravidel. Po úspěšném zavedení těchto pravidel a protokolů lze zvážit více rozvinutá bezpečnostní opatření, které budou pokrývat pokročilá bezpečnostní rizika. Tyto opatření mohou představovat pokročilé bezpečnostní programy a mechanismy, například „honeypot“ či „sandbox“. Reagování na kybernetická rizika v době jejich objevení může být pro organizaci kritické. Z tohoto důvodu je pro organizaci klíčové zavést proaktivní sady opatření, proškolit personál a seznámit je s bezpečnostními předpisy a pravidly, která budou dodržovány všemi členy organizace. Tyto standardy jsou definovány podle nezávislé, mezinárodní organizace ISO (International Organization for Standardization). (MacKinnon, Bacon, Gan, Loukas, Chadwick, Frangiskatos, 2013)

Základní opatření

Více autorů popisuje různé typy základních bezpečnostních opatření. Každý typ se vztahuje na jiný typ subjektu (organizace či jedinec). Stručně a jednoduše popsané základní bezpečnostní opatření pro veřejnost byly vytvořené Národním úřadem pro kybernetickou a informační bezpečnost: (NÚKIB, n.d.)

- zabezpečující počítač či mobilní zařízení: • Omezit přístup cizích osob k zařízením. • Silné heslo. • Neukládat přihlašovací údaje bez šifrovacího správce hesel. • Soukromí při vyplňování hesla. • Zamknutí zařízení v případě nepoužívání. • Aktualizace software. • Antivirový program. • Firewall.

• Zapnutí bezdrátové technologie jen v d • obě užívání. • Používat VPN (Virtual Private Network) v případě využívání nezabezpečené sítě. • Šifrování citlivých dat na přenosných zařízení. • Záloha dat. • Připojovat pouze známé externí paměťové zařízení. • V případě brouzdání po internetu navštěvovat pouze zabezpečené webové stránky protokolem HTTPS. • Kontrola odkazů, které se uživatel chystá navštívit. • Vypnout nežádoucí procesy.

- zabezpečující komunikaci: • Kontrola informací a jejich zdrojů • Nesdílet osobní údaje • Nevytvářet a nesdílet intimní fotografie • Ověřit identitu protistrany • Neotvírat podezřelé zprávy a přílohy

- zabezpečující online účty: • Silné heslo (12 a více znaků, velká a malá písmena, číslice, speciální znaky). • Unikátní hesla pro každou službu. • Nevyužívat online nástroj pro kontrolu hesel. • Pro méně významná hesla používat správce hesel. • Nesdílet přihlašovací údaje. • Využívat vícefaktorovou autentizaci. • Oddělení administrativního účtu od běžného. • Nepoužívat kontrolní otázky pro obnovení hesla.

Další sada základních bezpečnostních opatření, které mohou být využity jak v organizaci, tak na zařízení jedince: (Šulc, 2018)

- Identifikace: Každý subjekt, který je součástí systému, by měl mít svůj vlastní, jedinečný identifikátor (ID). Podle tohoto identifikátoru, je možné zjistit činnost subjektu v systému. Způsoby přidělování identifikátorů jsou systémem generované ID, uživatelem vytvořené ID a emailová adresa sloužící jako ID (Parsons, 2016). - Autentizace: Pokud se subjekt chce přihlásit do systému, musí se prokázat, že je ten, za koho se vydává. Tento proces se nazývá autentizace a je založen na ověření vědomostí (heslo), vlastnictví (token) či statusu (otisk prstu). V dnešní době jsou velmi populární dvoufaktorové (2FA) a vícefaktorové (MFA) autentizace. (Shostack, 2014). - Autorizace: Proces přidělení oprávnění k užívání, nahlížení a upravování konkrétních informací, souborů a služeb konkrétním subjektům. Tyto oprávnění uděluje buď vlastník systému či administrátor. - Audit: Auditování je zaznamenávání postupů používaných v systému. Cílem je vytvářet auditní žurnál, log či protokol, který umožní zrekonstruovat činnost subjektu v systému. Auditní žurnál slouží pro zpětnou kontrolu, vyhledávání slabin v systému a případnou predikci útoku. - Monitoring: Provozní monitoring slouží k určení stavu systému, procesu či činnosti s pomocí zatížení procesoru, paměti, volného místa (Ucedavelez, 2015). Bezpečnostní monitoring má za cíl odhalit pokusy o prolomení bezpečnostních opatření. Monitoring úzce spolupracuje s daty vedené v auditním žurnálu. - Zálohování: Zálohování je vytvoření kopie systému či dat, která funguje jako prevence v případě selhání systému či kybernetickému útoku. V případě nechtěného smazání dat má organizace zálohu a může ji znovu nahrát do systému. - Archivace: Archivace je podobná zálohování. Archivace slouží k dlouhodobému uchování dat ke specifickému datu. - Antimalware: Program sloužící k detekci škodlivého programu, který se snaží infikovat daný systém.

- Šifrování: Důležitým prvkem ochrany dat je šifrování, které umožňuje zakódování dat po celou dobu existence informace. Šifrování je určeno dle zvolené kryptografické metody. - Hashování: Hashování je jednosměrná funkce šifrování dat.

1.6 Standardy a normy

Základním standardem poskytující specifikace pro efektivní systém řízení informační bezpečnosti (ISMS) je rodina standardů ISO 27000, konkrétně ISO 27001. Jedná se o systematický přístup, který se skládá z fyzických, legálních a technických procesů co pomáhají s ochranou a nakládáním s informacemi v organizaci. ISO 27001 je aplikovatelný na ISO 9001.Tento standard se dá aplikovat ve všech organizací bez ohledu na typ či velikost. Využití tohoto standardu poskytne organizaci: (ISO, 2019)

- Zabezpečení informací ve všech formách (digitální, papírová, cloudová). - Zvýšení odolnosti proti kybernetickým útokům, výpadku technologie či lidským chybám. - Snížení nákladů spojených s informační bezpečností. - Implementování bezpečnosti do všech částí organizace. Příklad strategií organizace po aplikování standardu ISO 27001 v ISMS Ústavu zdravotnických informací a statistiky ČR. ISMS (Dušek, 2015):

„• Respektovat všechny právní předpisy, standardy, normy a doporučení související s činností ústavu a procesy řízení bezpečnosti a ochrany informací. • Trvale vytvářet podmínky k zajišťování všech zdrojů potřebných k zavedení, udržování a soustavnému zlepšování systému řízení bezpečnosti informací. • Uplatňovat politiku založenou na principech důvěrnosti, dostupnosti a integrity informací, na dodržování právních a normativních předpisů a na smluvních požadavcích zainteresovaných stran. • Zajistit bezpečnost informačních aktiv ústavu pomocí přiměřených a odpovídajících opatření. • Pravidelně hodnotit plnění cílů a cílových hodnot vycházejících z analýzy rizik a této politiky.“

- Politika integrovaného systému řízení kvality a bezpečnosti informací (Dušek, 2015)

Dalším standardem je ISO 27002, který se věnuje výběru, implementaci a kontrole bezpečnostních opatření pro systém řízení informační bezpečnosti. Tento standard popisuje vybraná bezpečnostní opatření a techniky navazující na ISO 27001. (ISO, 2013)

1.7 Trénink a vzdělávání

Zajímavý výzkum, pojmenovaný „Kyberbezpečnost a my“, je výzkum provedený společností PricewaterhouseCoopers Audit, s.r.o. („PwC“) ve spolupráci s TATE International. Tento průzkum pochází z roku 2017 a pojednává o vzdělávání zaměstnanců v oblasti kyberbezpečnosti. Cílem tohoto průzkumu bylo zjistit vnímání přínosu vzdělávání o kyberbezpečnosti v organizaci. Dotazníkového výzkumu se zúčastnilo 104 osob, z nichž 56% uvedlo, že pracuje v soukromém sektoru a 44% v sektoru veřejném.

obrázek č.5 – podíl účastníků vyplňující dotazní (PwC, 2017):

Na obrázku lze vidět, že největší podíl zaměstnanců pochází z veřejné správy a samosprávy (26%). Národní úřad pro kybernetickou bezpečnost ve spolupráci s Úřadem vlády České Republiky, Ministerstvem vnitra a Institutem pro veřejnou správu Praha poskytují online kurz pro zaměstnance veřejné správy pojmenovaný „Dávej kyber!“. Cílem tohoto kurzu je vzdělávat

v oblasti základů kybernetické bezpečnosti. Kurz se skládá z šesti kapitol a je zakončen testem. Po úspěšném splnění testu je vytvořen certifikát o splnění. Obsah kurzu:

- Registrace a přihlašování - Emaily a přílohy - Odkazy a weby - Zařízení a média - Aplikace a služby - Připojení a internet

Pro manažery kybernetické bezpečnosti byl vytvořen kurz s názvem „Šéfuj kyber!“ Tento kurz pojednává o obsahu Vyhlášky o kybernetické bezpečnosti (č. 82/2018 Sb.) a je napsán netechnickým jazykem, doplněn o doporučení, komentáře a příklady. Kurz také obsahuje workshop, kde si účastnící kurzu mohou ozkoušet své znalosti v praxi. V závěru kurzu je pro registrované účastníky připraven test. Po úspěšném splnění bude vystaven certifikát o absolvování.

Více informací o kurzech lze nalézt na internetových stránkách: (Institu pro veřejnou správu Praha, n.d.)

Velmi populární způsob vzdělávání v informační a kybernetické bezpečnosti je skrz neziskovou organizaci CompTIA. Tato organizace poskytuje vzdělání, školení a certifikaci v oblasti informační a kybernetické bezpečnosti. Ceny se liší podle typu certifikace, poskytnutých vzdělávacích materiálů a nabízených balíčků. Každý kurz má určitou platnost a podmínky pro splnění. Konkrétní podmínky lze nalézt na níže uvedeném linku. Působnost kurzů CompTIA+ se zabývá ve čtyřech oblastech a celkem třinácti certifikací: (CompTIA, n.d.)

Core (základy) - IT Fundamentals+: vědomosti a dovednosti spojené s prací s počítačem, infrastruktury systému, vývoje programů a využití databáze. - A+: mobilní zařízení, sítě, operační systémy a řečení problémů - Network+: drátové a bezdrátové sítě, síťové prvky a cloudy - Security+: zachování dostupnosti, integrity a důvěrnosti, snižování rizik, zabezpečení aplikací

Infrastructure (infrastruktura) - Cloud+: implementování a spravování cloudové technologie - Linux+: konfigurace a monitorování serverů využívající OS Linux - Server+: architektura, administrace, ukládání, bezpečnost, spravování sítí, řešení problémů a zajištění obnovy Cybersecurity (kyberbezpečnost) - CySa+: analýza hrozeb, zranitelnosti a následná reakce - PenTest+: znalosti penetračního testování - CASP+: technické zkušenosti a znalosti potřebné k vytvoření technického řešení v organizaci Additional Professional (dodatkové profesionální) - CTT+: schopnost vyučovat vědomosti získané skrz certifikaci COMPTia - Cloud Essentials+: služby cloudu s pohledu organizace, vliv na IT management - Project+: profesionální přístup při řízení malých/středních organizací v oblasti IT

1.8 Pokročilé malware opatření

Mezi nejpromyšlenější kybernetické útoky patří APT (Advanced Persistent Threat). APT je velmi sofistikovaný typ útoku využívající více vektorů útoku, zero-day zranitelnosti a sociálního inženýrství. APT útok má za úkol infiltrovat zabezpečený systém bez vyvolání pozornosti a udržet se v něm po celou dobu jeho existence. APT se tak stává nejnebezpečnější kybernetickou hrozbou pro organizaci. (Ghafir, Přenosil, 2015)

Opatření proti APT je potřeba implementovat na preventivní, detekční i reakční úrovni. Jelikož je útok velice komplexní, složitost protiopatření o tom vypovídá. Níže jsou uvedené doporučení jak se chránit proti APT: (Kaspersky, n.d.)

- Vzdělávání zaměstnanců o phishingu, tím se sníží riziko úspěšného provedení útoku. - Instalace bezpečnostních aktualizací, to zabrání útočníkům využít zranitelnosti. - Zabezpečení klíčových dat šifrováním a autorizací.

- Spolupráce s firmou zabývající se kybernetickou bezpečností, ta implementuje pokročilé systémy řízení bezpečnosti. Dále existují mechanismy, které fungují jako pasti na známé i neznámé škodlivé programy. Po nahrání malware do těchto mechanismů se spustí analyzující procesy, a po porozumění škodlivému kódu se malware přidá do seznamu hrozeb. Dalšími mechanismy pro implementování pokročilého bezpečnostního systému jsou: (Jirásek, Novák, Požár, 2013)

- Honeypot: Jedná se o návnadu, která přiláká malware a následně ho analyzuje. Tím pádem bude detekovatelný při dalším pokusu o proniknutí do systému. - Sandobx: Bezpečnostní mechanismus, který se používá pro testování podezřelého software v uměle vytvořeném prostředí odděleném od systému.

1.9 Dotazníkové šetření

V následující části práce jsou zpracovány data pocházející z dotazníku „Cyber Security Breaches Survey 2019“ o prolomení kybernetické bezpečnosti z roku 2019. Tento průzkum byl vytvořen a zpracován firmou Ipsos MORI a partnery, dále organizací Institute of Criminal Justice Studies, která je součástí University of Portsmouth.

Respondenty tohoto dotazníku bylo 2080 britských firem a charit. Cílem tohoto dotazníku bylo zjistit přístup ke kybernetické bezpečnosti dotazovaných organizací. Během rozhovoru k dotazníkovému šetření se tazatelé ptali na otázky týkající se přístupu ke kybernetické bezpečnosti a útoků či prolomení bezpečnosti během předchozích 12ti měsících. Většina rozhovorů proběhla v období říjen 2018 – únor 2019. Výsledky průzkumu byly zveřejněny 3. dubna 2019 (Gov.uk, 2019).

Cílem zpracování těchto dat je zjistit, která organizace, co se zúčastnila dotazníkového šetření „Cyber Security Breaches Survey 2019“, je nejvíce zranitelná vůči kybernetickým rizikům. Pro co nejpřesnější zjištění bylo vybráno několik proměnných. Tyto proměnné vypovídají o přístupu organizace ke kybernetické bezpečnosti a o prvcích organizace, které ji spojují s kybernetickým prostorem a tím dávají možnost útočníkům dostat kontrolu nad systémem nebo příležitost k provedení škodlivé aktivity.

Mezi tyto proměnné patří sada pravidel pro zajištění určité úrovni bezpečnosti (typ dat je uveden v závorce za názvem proměnné):

- Aktualizace programů a software (rules1) Nové aktualizace jsou vydávány vývojářem daného programu a slouží především k opravě chyb v daném programu a nejdůležitěji k zalátání bezpečnostních skulin. Pokud by došlo k využití bezpečnostní skuliny před instalací nové verze daného software, mohlo by dojít k neoprávněnému přístupu do sítě, odcizení informací či ovládnutí daného systému. Možností, jak využít neopravenou bezpečnostní skulinu existuje mnoho, vše závisí na prostředcích a motivaci útočníka (NÚKIB, n.d.).

- Aktuální ochrana proti malware (rules2) Zajištění aktuální ochrany proti malware funguje na podobném principu jako aktualizace programů a software. Používaný antivirový program je třeba pravidelně aktualizovat, jelikož každý den je vytvořeno okolo 200.000 nových škodlivých kódů (AV-Test, n.d.).

- Správné nastavení Firewall (rules3) Firewall má za úkol kontrolovat příchozí packety dle určitého seznamu pravidel. Dále dokáže filtrovat informace posílané přes porty a správně nastavený Firewall pustí do vnitřní sítě pouze povolené informace (Eset, n.d.).

- Poskytování přístupů konkrétním uživatelům (rules4) Udělení přístupu ke konkrétním informacím nebo obsahu sítě administrátorem, majitelem či správce sítě. Toto opatření zamezuje přístup k citlivým či utajovaným informacím uživatelům, co nemají přístup. Dále opravňuje uživatele číst či měnit informace dle povolení. Tento proces tedy limituje uživatele k vědomému nebo nevědomému zneužití informací.

- Monitorování aktivit (rules5) Monitorování slouží ke kontrole aktivit uživatelů a kontrole přenosu informací na síti. Právě díky monitoringu si lze všimnout podezřelých činností.

- Přístup na síť pouze skrz zařízení ve vlastnictví organizace (rules8) Nelze s jistotou říct, že soukromé a osobní zařízení využívané zaměstnanci pro pracovní účely jsou dostatečně zabezpečené. Z tohoto důvodu je bezpečnější využívat pouze firemní zařízení pro přístup na firemní síť. Poměrně častou variantou při práci z domova bývá využívání VPN (virtual private network), kdy se uživatelé musí nejdříve přihlásit do takzvané virtuální sítě, která uživateli umožňuje přístup do vzdáleného pracovního počítače skrz jeho soukromý (NÚKIB, n.d.).

- Zavedení bezpečnostních opatření pro zařízení organizace (rules7) Koncové zařízení se dá využívat pro mnoho aktivit. Z tohoto důvodu je třeba tyto zařízení řádně zabezpečit, i když jsou připojeny pouze na síť organizace. Bezpečnostní opatření pro zařízení organizace mohou být antivirový systém, Firewall, přístupy, VPN, dokonce i zablokování určitých webových stránek (sociální média a jiné komunikační kanály).

- Oddělená síť pro hosty (rules9) Pokud organizaci navštěvují hosté či potencionální klienti, partneři, je rozumné pro ně vytvořit oddělenou síť než sdílet tu, kde kolují důvěrné a firemní informace.

- Dvoufázové ověření identity (rules16) Dvoufázové ověření (2FA) je spolehlivá metoda pro ověření totožnosti při přihlašování do systému či využívání jeho části. Základním ověřením bývá uživatelské heslo a jméno, dvoufázovým může být autentikační kód či SMS. V dnešní době lze nastavit i vícefaktorové ověření.

Prvky, spojující organizaci s kybernetickým prostorem:

- Emailová adresa organizace nebo emailové adresy zaměstnanců (online1) Jedním z nejčastějších komunikačních kanálů dnešní doby je právě emailová adresa. Z 2080 dotazovaných organizací používá emailovou adresu 1907 (91%). Útočníci tím mohou využít neznalost zaměstnanců organizace a tím se otevírá možnost pro phishing.

- Webové stránky (online2)

Webové stránky jsou oficiální vizitkou organizace. Přesně 1784 organizací využívá webové stránky, to je 85%. Webové stránky mohou být cílem DDoS útoku, SQL injection, zneužity útočníkem s odcizeným heslem a uživatelským jménem a spousty dalších způsobů, jak využít webové stránky organizace pro působení škodlivého chování.

- Účet na sociálních sítích (online3) Sociální sítě využívá 1352 organizací (65%). Útočníci nalezli spoustu způsobů, jak šířit škodlivé kódy po sociálních sítí. Poměrně běžnou metodou, jak šířit škodlivý software po sociálních sítích, je vir. Útočníci se snaží z uživatelů vylákat jejich přihlašovací údaje či infikovat jejich zařízení. Toto je jeden z důvodu pro zavedení bezpečnostních opatření pro zařízení organizace, které zavedlo 75% z dotazovaných organizací – uživatelé nemají povoleno používat sociální sítě na služebních zařízení.

- Možnost objednat, zarezervovat či zaplatit produkt nebo službu online (online4) Možnost objednat, zarezervovat či zaplatit produkt nebo službu online vyžaduje pokročilé bezpečnostní opatření pro zajištění bezpečnosti. Útočníci mohou použít webový key logger pro odcizení přihlašovacích údajů, údajů kreditních karet, anebo přesměrovat zákazníky na falešnou platební bránu. Pouze 30% dotazovaných organizací poskytuje tuto možnost svým klientům.

- Bankovní účet organizace, kam klienti/zákazníci posílají peníze (online5) Toto je jedna z dalších příležitostí pro útočníky odcizit peníze organizace či jejich klientů a zákazníků. Bankovní účet vede 71% organizací.

- Uchovávání osobních informací (online9) V době GDPR je držení osobních informací o klientech nelehká činnost pro bezpečnost. Organizace jsou zodpovědné za ochranu informací svých klientů, což mohou být osobní údaje, místo bydliště či číslo kreditních karet. 67.5% organizací uchovává osobní informace o klientech.

- Osobní mobilní zařízení (mobile) Necelých 49% organizací povoluje používání osobního mobilního zařízení pro pracovní účely a činnost spojenou s chodem dané organizace. Riziko spojené s užíváním osobního mobilního zařízení k pracovním činnostem opět roste s nejednotvárností zabezpečení osobních zařízení.

Nejvíce zranitelná organizace je ta organizace, která využívá veškeré prvky spojující organizaci s kybernetickým prostorem a zároveň nemá žádnou sadu pravidel pro zajištění určité úrovně bezpečnosti. Všechny vstupní data byly získány z výše zmíněného dotazníkového šetření, data byly analyzovány běžnou početní v aplikaci Microsoft Excel. Funkcí „SUMIF“ byla zjištěna míra zranitelností každé z organizací, funkcí „COUNTIF“ byl zjištěn počet chybějících opatření u každé z organizací a vynásobením těchto tvou výsledků funkcí

„SOUČIN“ bylo přiřazena finální hodnota každé z organizací. Funkcemi „MIN“ a „MAX“ bylo zjištěno rozpětí finálních hodnot a při vyhledání nejvyšší hodnoty byla nalezena nejvíce zranitelná organizace.

Pro tuto organizaci by bylo snížit počet prvků spojující organizaci s kybernetickým prostorem na funkční minimum a následně implementovat základní bezpečnostní opatření, standardy a normy, trénink a vzdělávání zaměstnanců a následně pokročilé bezpečnostní opatření podložené na úspěšném provedení analýzy rizik. Poté postupně přidávat další prvky spojující organizaci s kybernetickým prostorem a bezpečnostní prvky chránící dané vstupy do kyberprostoru.

Konkrétně, jestli organizace využívá emailové adresy, webové stránky, anebo sociální sítě a nehodlá se jich dočasně vzdát, implementace dvoufázového ověření pro přihlášení zvýší bezpečnost před přihlášením neoprávněného uživatele i v případě, že přihlašovací údaje byly odcizeny. Lze přidat další vrstvu ochrany a to VPN. Pokud je přístup na pracovní email možný z veřejné sítě a útočník odcizí oprávněnému uživateli přihlašovací údaje a přístup k dvoufázovému ověření, bude pro něj snadné narušit integritu organizace. Využití VPN umožní oprávněnému uživateli přístup na soukromou síť organizace, což zároveň sníží riziko ve formě přihlášení neoprávněného uživatele. Oddělené síť pro hosty bude mít podobný efekt jako využití VPN. Kdyby hosté využívali vnitřní síť organizace namísto sítě pro hosty, mohli by toho zneužít a kompromitovat systém. Dalším důležitým faktorem pro zvýšení bezpečnosti je využívání osobních zařízení pro osobní účely a pracovních zařízení pro služební účely. Aktivitu na služebních zařízeních lze monitorovat a kontrolovat. Dále lze nastavit přístupy do konkrétních částí sítě pro konkrétní uživatele. Pokud členové organizace využívají přidělené služební zařízení, správce sítě může tyto zařízení monitorovat a instalovat antivirové řešení a jiné bezpečností opatření. Tato akce opět povede k dalšímu zvýšení bezpečnosti.

Další zvolenou analytickou metodou je využití programovacího jazyku R pro statistickou analýzu. Pro provedení této analýzy byl použit program RStudio – R programovací prostředí (verze 3.6.1, R Core Team, 2019) s použitím MASS knihovny (verze 7.3.51.4) a přiložené balíčky (Venables a Ripley, 2002).

Zvolené proměnné pro tuto analýzu jsou:

- Požadavek pro dodržování bezpečnostního standardu či jiné příručky - Narušení bezpečnosti během předchozích 12ti měsíců

Obrázek č.6 – kód použitý pro nahrání dat konkrétních proměnných (Šilhánek, 2020)

Řádky 30–33 v obrázku č.6 obsahují kód použitý pro nahrání dat z Excelového souboru do RStudia. Řádek 34 obsahuje tabulku zvolených proměnných, vytvořenou kódem z předchozích řádků.

Obrázek č.7 – kód barplot a výsledný graf zobrazující vztah mezi zvolenými proměnnými (Šilhánek, 2020)

V obrázku č.7 je zobrazen použitý kód pro vytvoření grafu. Oba z grafů představují počet organizací, které požadují, nevědí nebo nepožadují dodržování bezpečnostního standardu či jiné příručky pro kybernetickou bezpečnost. Graf na levé straně představuje organizace, které zažily narušení bezpečnosti během předchozích 12ti měsíců (od doby zodpovězení dotazníku).

Graf na levé straně představuje organizace, které se setkaly s narušením bezpečnosti a graf na pravé straně zobrazuje organizace, které se s narušením nesetkaly. Organizací, které se

nesetkaly s narušením a zároveň nevyžadují žádný standard kvality je více než organizací, které se s narušením setkaly a určitý typ standardu vyžadují.

Obrázek č.8 – kód testu Chi-squared (Šilhánek, 2020)

Test Chi-squared vytvořil výsledky s hodnotou „p“ (P-value = 0.0004998, df = NA) nižší než 0.05. Tento test potvrdil statisticky důležitou spojitost mezi testovanými proměnnými (požadavek na standard – faktor, narušení bezpečnosti – charakteristika). Mezi těmito proměnnými existuje vztah vzájemné působnosti. Test Chi-squared podporuje hypotézu, že existuje spojitost mezi dvěma stanovenými proměnnými. Musí se brát ale ohled na to, že výsledek tohoto testu se vztahuje na vztah pouze mezi těmito proměnnými.

Obrázek č.9 – GLM, test zabývající se vzájemnou působností (Šilhánek, 2020)

Výsledek testu GLM (F 1,2078 = 0.151, P = 0.6976) vytvořil hodnotu „p“, která je větší než 0.05. To znamená, že zkoumané faktory nemají na sebe přímý vliv.

Z výsledků vyplývá, že kybernetická bezpečnost nemůže být řízena pouze s řízením kvality a dodržováním standardů a příruček. Provedení statistické analýzy s kódem barplot a následného testu Chi-squared prokázalo, že existuje relevantní spojitost mezi zkoumanými faktory, která je ovlivnitelná dalšími proměnnými, neznámými. Na druhou stranu test GLM prokázal, že mezi stejnými proměnnými není přímá spojitost.

Organizace, které vyžadují určitý typ standardu kvality a nachází se ve skupině, co se setkala s narušením bezpečnosti, potřebuje dodatečné bezpečnostní opatření, které je potřeba řešit na míru potřeb organizace. Z provedených testů vyplývá, že nelze přesně zjistit, které bezpečnostní opatření má přímý vliv na prevenci proti narušení kybernetické bezpečnosti. Typů narušení informační a kybernetické bezpečnosti existuje mnoho, ať už se jedná o úmyslné či neúmyslné. Pro úspěšné provedení testů by bylo potřeba sestavit databázi, která

bude obsahovat všechny možné typy útoků, škodlivých programů, škodlivých činností, chyb, technického i lidského selhání. Hromadný sběr dat kombinovaný s umělou inteligencí může jednoho dne umožnit provádět podobné testy s přesností. Svět kybernetické bezpečnosti je stálá proměnná, kde se hrozby a bezpečnostní opatření stále mění a vyvíjí. Proto je potřeba monitorovat aktiva organizace, určit jejich hodnotu a snížit hrozby působící na dané aktivum na přijatelné minimum. Zároveň je třeba stále aktualizovat reakční plán a plán obnovy v případě neočekávané pohromy.

ZÁVĚR

Základním aktivem jakékoli organizace či jedince jsou informace. Mohou to být osobní údaje, citlivé informace, informace o klientech, plánech nebo jen zprávy obsahující data. Tyto informace jsou chráněny informační bezpečností, která se mění s vývojem technologie. Více a více informací je přenášeno skrz kybernetický prostor. Kybernetický prostor je jednotný, a každý, kdo je jeho součástí by měl ochránit svůj podíl, své informace. Tento prostor je třeba zabezpečit před nezvanými hosty, hackery, podvodníky a každým, co v dané části kyberprostoru nemá co pohledávat.

Jak tedy zabezpečit kybernetický prostor jedince, organizace či systému celé společnosti? V první řadě je důležité zjistit, kdo a co všechno je součástí daného kyberprostoru, a jaká aktiva mají největší hodnotu, a které procesy jsou esenční pro jeho chod. Po určení aktiv je třeba zaměřit se na zajištění bezpečnosti a snížení míry zranitelnosti u každých z určených aktiv. Každé aktivum je tedy potřeba zanalyzovat a zjistit jeho slabé stránky, které je třeba následně zabezpečit některými z bezpečnostních opatření. Každé aktivum by mělo mít svůj vlastní identifikátor pro jednoduché rozpoznání v systémové mapě a logu. Pro detailnější bezpečnost systému lze přidělit každému uživateli a aktivu oprávnění k využívaní pouze nezbytné části systému. Techniku lze naprogramovat k provádění jedné specifické činnosti s minimální odchylkou. Lidé na druhou stranu mohou provádět komplexní úkony, ale pravděpodobnost, že systém bude kompromitován právě díky lidské chybě je vysoká. Z tohoto důvodu se nejen ve velkých organizacích zavádí řízení kvality. Neustálé zlepšování principů, řízení, politiky, vzdělávání či právních a technických opatření zajišťuje připravenost proti možným hrozbám působící na organizaci. Po aplikování těchto základních opatření a standardů lze přejít k sofistikovanějším bezpečnostním mechanismům, které se využívají převážně ve velkých organizacích a pro zachování státní bezpečnosti.

Jak spolu tedy souvisí informační bezpečnost, kybernetická bezpečnost a řízení rizik? Mezi těmito třemi mechanismy existuje určitá spojitost. Informační bezpečnost se zabývá ochranou všech informací po celou dobu jejich životního cyklu. Kybernetická bezpečnost je stále rozrůstající se součástí informační bezpečnosti z důvodu digitalizace informací a vývoje komunikace. Řízení kvality umožňuje organizacím a dalším subjektům úspěšně implementovat systém řízení informační bezpečnosti dle mezinárodních norem a standardů.

Z tohoto důvodu jsem v praktické části práce navrhl model bezpečnostních opatření, který byl vypracován na základě získaných informací o informační bezpečnosti, kybernetické bezpečnosti a řízením kvality. Tyto opatření byly vymodelovány na základě informací získaných z informačních zdrojů vládních institucí, mezinárodních korporací a dalších autorů zabývající se touto problematikou.

Během psaní bakalářské práce jsem došel k závěru, že kybernetická bezpečnost je jen jedna. Samozřejmě existují rozdíly mezi státní a veřejnou organizací, jejich přístupy a metodami, ale ve finále je výše vytvořený bezpečnostní model aplikovatelný v obou sektorech.

Kybernetická rizika se stávají stále větším problémem a v případě, že takové kybernetické riziko využije zranitelnosti organizace či státu, negativní vliv bude mít dopad na všechny jeho statky, přiléhající subjekty i partnery. V dnešní době, kdy globalizace je základem vztahů mezi zeměmi, světové ekonomiky a možnosti komunikovat s lidmi na druhé straně planety, je třeba snížit kybernetická rizika na minimum. Všechny informační systémy, které využívají internetovou síť jsou spolu propojeny. Může se jednat o webovou stránku malého podniku, školní informační systém nebo státní archiv. Z tohoto důvodu je třeba ke kybernetické bezpečnosti přistoupit jednotně, kdy každý jednotlivec a organizace zabezpečí svá aktiva a informace, které se stávají součástí globální sítě internet.

Digitalizace probíhá nejen v organizacích, ale i v ostatních částech společnosti (spotřebitelé, široká veřejnost, instituce). Ne všechny organizace či spotřebitelé jsou vzděláváni o možných kybernetických rizicích. Právě díky rychlosti vývoje technologie je třeba začít vzdělávat společnost a rozšířit vědění především nejmladší části společnosti o kybernetické bezpečnosti už dnes, aby byla připravena na předpokládaný technologický vývoj a možné hrozby, které s ním mohou přijít.

SEZNAM POUŽITÝCH ZDROJŮ

SKLENÁK, Vilém a kol. Data, informace, znalosti a Internet. Vyd. 1. V Praze: C.H. Beck, 2001. xvii, 507 s. C.H. Beck pro praxi. ISBN 80-7179-409-0.

ŠULC, Vladimír. Kybernetická bezpečnost. Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2018. 148 s., ISBN 978-80-7380-737-5.

SMEJKAL, Vladimír. Kybernetická kriminalita. 1. vydání. Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, 2015., 640 s., ISBN 978-80-7380-501-2

SHOSTACK, Adam. Threat modeling: Designing for security. John Wiley & Sons, 2014, 624 s., ISBN 978-1-118-80999-0

Půček, J. Milan, Strategické plánování, studijní opora, Vydala v elektronické podobě Vysoká škola regionálního rozvoje a Bankovní institut - AMBIS, a.s., 2019, 84 s.

Souček M. Univerzita Karlova v Praze, Ústav informačních studií a knihovnictví, Modul č. 3, Informační věda, Martin Souček, Studium informační vědy a znalostního managementu v evropském kontextu, Reg. císlo: CZ.1.07/2.2.00/07.0284 Operační program Vzdělávání pro konkurenceschopnosteprac. vyd. Praha: Karolinum, 2005, 233 s.

MacKinnon L., Bacon L., Gan D., Loukas G., Chadwick D., Frangiskatos D., 2013, Cyber Security Countermeasures to Combat Cyber Terrorism, 10.1016/B978-0-12-407191-9.00020- X.

ČERMÁK, Miroslav. Řízení informačních rizik v praxi. Brno: Tribun EU, 2009. Knihovnicka.cz. 134 s., ISBN 978-80-7399-731-1

ČESKO. § 7 odst. 1 zákona č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti). Zákony pro lidi.cz [online]. © AION CS 2010-2020 [cit. 24. 7. 2020]. Dostupné z: https://www.zakonyprolidi.cz/cs/2014- 181#p7-1

ČERMÁK, Miroslav, 2011, Informační bezpečnost, aktualizováno 14. 4. 2011, [cit. 2020-03- 04]. Dostupné z https://www.cleverandsmart.cz/informacni-bezpecnost/

ČERMÁK, Miroslav, 2013, CIA: Důvěrnost, aktualizováno 14. 4. 2013, [cit. 2020-05-04]. Dostupné z: https://www.cleverandsmart.cz/duvernost/

Skovajsa, Adam, 2016, Management kvality, Code Creator s.r.o., s.11, ISBN 978-80-88058- 86-1

ČERMÁK, Miroslav, 2010, CIA: Dostupnost, aktualizováno 28. 02. 2013, [cit. 2020-05-05]. Dostupné z: https://www.cleverandsmart.cz/dostupnost/

Moghaddasi, H., Sajjadi, S., & Kamkarhaghighi, M. (2016). Reasons in Support of Data Security and Data Security Management as Two Independent Concepts: A New Model. The 65

open medical informatics journal, 10, 4–10. Dostupné z: https://doi.org/10.2174/1874431101610010004

Národní úřad pro kybernetickou a informační bezpečnost, 2020, DOPORUČENÁ BEZPEČNOSTNÍ OPATŘENÍ K VAROVÁNÍ ZE DNE 16. DUBNA 2020, [cit. 2020-03- 05] Dostupné z: https://www.nukib.cz/download/uredni-deska/Doporuceni-k-varovani-2020-04- 17.pdf

Dušek L., 2015, Politika integrovaného systému, řízení kvality a bezpečnostního managementu, Ústav zdravotních informací a statistiky ČR, [cit. 2020-01-05], Dostupné z: https://www.uzis.cz/res/file/dokumenty/rizeni-is-ict/politika-integrovaneho- systemu-rizeni-kvality-a-bezpecnosti-informaci.pdf

PARSONS, J.J., 2016, New Perspectives Computer Concepts. Enhanced, Comprehensive. Cengage Learning, 944 s., ISBN 9781305887763.

Information technology — Security techniques — Information security management systems — Requirements, 2019, International Standard Organization, [cit. 2020-06-06], Dostupné z: https://www.iso.org/standard/54534.html

Information technology — Security techniques — Code of practice for information security controls, 2013, International Standard Organization, [cit. 2020-06-06], Dostupné z: https://www.iso.org/standard/54533.html

NÚKIB, Bezpečný pohyb v kybersvětě, n.d, , [cit. 2020-05-11] Dostupné z: https://www.nukib.cz/download/vzdelavani/doporuceni/NUKIB_doporuceni_uzivatele_plakat _CB.pdf

KOSTOPOULOS, George. Cyberspace and Cybersecurity. England: Auerbach Publications, 2012., 236 s., ISBN: 9781466501331

CompTIA Certifications, CompTIA, n.d., [online] [cit. 2020-07-01], Dostupné z: https://www.comptia.org/certifications

Cloudfare.com, [online], n.d., [online] [cit. 2020-04-14], Dostupné z: https://www.cloudflare.com/learning/ddos/famous-ddos-attacks/

Durkota D. M., Dormann W., 2008, Recovering from a Trojan Horse or Virus, Carnegie Mellon University, [online] [cit. 2020-02-03], Dostupné z: https://us-cert.cisa.gov/sites/default/files/publications/trojan-recovery.pdf

Důvěrnost (Confidentiality), ManagementMania.com [online]. Wilmington (DE) 2011-2020, 17.01.2018 [cit. 2019-12-07], Dostupné z: https://managementmania.com/cs/duvernost-confidentiality

Integrity, Cambridge Dictionary, n.d., [online] [cit. 2020-02-06], Dostupné z:https://dictionary.cambridge.org/dictionary/english/integrity

Kybernetická bezpečnost (eLearning), n.d., Institut pro veřejnou správu Praha, [online] [cit. 2020-06-12], Dostupné z: https://www.institutpraha.cz/kurzy/kyberneticka-bezpecnost/

National Cyber Security Centre, 2015, [online], [cit. 2020-06-12], Dostupné z: https://www.ncsc.gov.uk/information/how-cyber-attacks-work

Národní centurm kybernetické bezpečnosti, Varování, 2020, [online] [cit. 2020-06-12], Dostupné z: https://www.govcert.cz/cs/informacni-servis/hrozby/2751-nukib-vydal-varovani-pred- hrozbou-a-doporucil-opatreni/

Oza S., 2019, Zeus Virus AKA Zbot, [online] [cit. 2020-02-15], Dostupné z: https://spanning.com/blog/zeus-virus-zbot-malware-of-the-month/

The CIA triad defined, Forcepoint.com, n.d., [online] [cit. 2020-02-07], Dostupné z: https://www.forcepoint.com/cyber-edu/cia-triad

US-CERT, 2008, Spyware, [online] [cit. 2020-02-05], Dostupné z: https://us-cert.cisa.gov/sites/default/files/publications/spywarehome_0905.pdf

What is a trojan, Norton, n.d., [online] [cit. 2020-02-03], Dostupné z: https://us.norton.com/internetsecurity-malware-what-is-a-trojan.html

Nárdoní centrum kybernetické bezpečnosti, Ransomware, n.d., [online] [cit. 2020-03-12], Dostupné z: https://www.govcert.cz/cs/informacni-servis/hrozby/2615-opet-ransomware/

What is Ransomware?, Kaspersky.com, n.d., [online] [cit. 2020-05-12], Dostupné z: https://www.kaspersky.com/resource-center/definitions/what-is-ransomware

5 Warning Signs of Advanced Persistent Threat and How to Prevent Advanced Persistent Threats, Kaspersky.com, n.d., [online] [cit. 2020-07-01], Dostupné z: https://www.kaspersky.com/resource-center/threats/advanced-persistent-threat

Jirásek P., Novák L., Požár J., Cyber Security Glossary, 2013, Praha, Druhé aktualizované vydání vydané pod záštitou Národního centra kybernetické bezpečnosti České republiky a Národního bezpečnostního úřadu České republiky. [online] [cit. 2020-07-02], Dostupné z: https://www.govcert.cz/download/aktuality/container-nodeid- 548/slovnikv231nbuwebcolor.pdf

QA, No More Ransom!.com, n.d., [online] [cit. 2020-05-07], Dostupné z: https://www.nomoreransom.org/en/ransomware-qa.html

Prevention Advice, No More Ransom!.com, n.d., [online] [cit. 2020-05-07], Dostupné z: https://www.nomoreransom.org/en/prevention-advice.html

Cybersecurity and Infrastucture Security Agency, Virus Basics, Department of Homeland Security, n.d., [cit. 2020-05-05], Dostupné z: https://us-cert.cisa.gov/publications/virus-basics#what

Richter F., 2017, 200,000+ Systems Affected by WannaCry Ransom Attack, Statista.com, [online] [cit. 2020-03-19], Dostupné z: https://www.statista.com/chart/9399/wannacry-cyber-attack-in-numbers/

Spyware, Malwarebytes.com, n.d., [online] [cit. 2020-05-05], Dostupné z: https://www.malwarebytes.com/spyware/

Kane M., 2018, Why integrating ISO 9001 and ISO 27001 works, Certification Europe, [online] [cit. 2020-06-19], Dostupné z: https://www.certificationeurope.com/insights/integrating-iso-9001-iso-27001-works/

Management Kvality, Globální Certifikační Orgán, n.d., [online] [cit. 2020-06-18], Dostupné z: https://www.nqa.com/cs-cz/certification/systems/quality-management-systems

Trojan, Malwarebytes.com, n.d., [online] [cit. 2020-02-23], Dostupné z: https://www.malwarebytes.com/trojan/

What is a computer virus?, Malwarebytes.com, n.d., [online] [cit. 2020-04-17], Dostupné z: https://www.malwarebytes.com/computer-virus/

Moore D., Paxson V., Savage S., Shannon C., Staniford S., Weaver N., n.d., The Spread of the Sapphire/Slammer Worm, [online] [cit. 2020-06-05], Dostupné z: https://www.caida.org/publications/papers/2003/sapphire/sapphire.html#:~:text=The%20Sapp hire%20Worm%20was%20the,UTC%20on%20Saturday%2C%20January%2025.

Národní úřad pro kybernetickou a informační bezpečnost, 2020, UKONČENÍ ÚČINNOSTI VAROVÁNÍ, [cit. 2020-07-01], Dostupné z: https://www.nukib.cz/download/uredni-deska/Ukonceni-varovani-NUKIB-2020-05-20.pdf

KOSUTIC, Dejan, n.d., What is the difference between Recovery Time Objective (RTO) and Recovery Point Objective (RPO), [online] [cit. 2019-11-14], Dostupné z: https://advisera.com/27001academy/knowledgebase/what-is-the-difference-between- recovery-time-objective-rto-and-recovery-point-objective-rpo/

Disaster recovery, Wikipedia, 2020, [online] [cit. 2020-03-05], Dostupné z: https://en.wikipedia.org/wiki/Disaster_recovery#Recovery_point_objective

MARKS, Paul, n.d., Cybersecurity and the Parkerian Hexad, StaffhostEurope.com, [online] [cit. 2019-12-06], Dostupné z: https://www.staffhosteurope.com/blog/2019/03/cybersecurity-and-the-parkerian-hexad

ROUSE M., ROSENCRANCE L., 2020, risk analysis, TechTarget, [online] [cit. 2020-04-25], Dostupné z: https://searchsecurity.techtarget.com/definition/risk-

analysis#:~:text=Risk%20analysis%20is%20the%20process,avoid%20or%20mitigate%20tho se%20risks.

Morgan J., A Simple Explanation Of 'The Internet Of Things', 2014, [cit. 2020-28-05], Dostupné z:https://www.forbes.com/sites/jacobmorgan/2014/05/13/simple-explanation- internet-things-that-anyone-can-understand/#625a31f11d09

Computer Incident Response Team Slovakia, 2013, Ochrana pred útokmi DDoS, [online] [cit. 2020-05-04], Dostupné z: https://www.csirt.gov.sk/doc/DDoS_CSIRT.pdf

Liska R., Vrstvy TCP/IP, 2018, [cit. 2020-06-13], Dostupné z: http://kfe.fjfi.cvut.cz/~liska/unix/node18.html

107th Congress, 2002. H.R.3482 - Cyber Security Enhancement Act of 2002, [online] [cit. 2020-06-12], Dostupné z: https://www.congress.gov/bill/107th-congress/house-bill/3482

Cyber Security Breaches Survey 2019, Gov.uk, 2019, https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2019

MOES, T., n.d., [online] [cit. 2020-02-05], Dostupné z: https://softwarelab.org/what-is-adware/

Rouse M., Lutkevich B., Wright R., 2019, botnet, TechTarget, [cit. 2020-28-01], Dostupné z: https://searchsecurity.techtarget.com/definition/botnet

CZAGAN, Dawid, 2018, Quantitative Risk Analysis, InfosecInstitue, [cit. 2019-05-09], Dostupné z: https://resources.infosecinstitute.com/quantitative-risk-analysis/#gref

Cybersecurity, Oxford English Dictionary, n.d., [online] [cit. 2020-05-24], Dostupné z: https://www.oed.com/view/Entry/250879?redirectedFrom=cyber+security#eid117229282

Botnet, Merriam Webster, [online] n.d., [online] [cit. 2020-03-12], Dostupné z: https://www.merriam-webster.com/dictionary/botnet

Adware, Eset, n.d., [online] [cit. 2020-02-05], Dostupné z: https://www.eset.com/uk/types-of-cyber-threats/adware/

Adware, Malwarebytes, n.d., [online] [cit. 2020-02-05], Dostupné z: https://www.malwarebytes.com/adware/

Trojan, Merriam Webster, [online] n.d., [online] [cit. 2020-02-07], Dostupné z: https://www.merriam-webster.com/dictionary/Trojan%20horse#note-1

Adware, Cambridge Dictionary, [online] n.d., [online] [cit. 2020-02-05], Dostupné z: https://dictionary.cambridge.org/dictionary/english/adware

Up to date, Cambridge Dictionary, [online] n.d., [online] [cit. 2020-01-15], Dostupné z: https://dictionary.cambridge.org/dictionary/english/up-to-date

Malware, Lexico Dictionary, [online] n.d., [online] [cit. 2020-01-14], Dostupné z: https://www.lexico.com/en/definition/malware

Malware, AW-Test [online], n.d., [online] [cit. 2020-04-15], Dostupné z: https://www.av-test.org/en/statistics/malware/

Zranitelnost (Vulnerability). ManagementMania.com [online]. Wilmington (DE) 2011-2020, 11.04.2016, [cit. 2020-04-25], Dostupné z: https://managementmania.com/cs/zranitelnost-vulnerability

BRDIČKA, Bořivoj, 1998, Vliv technologií na rozvoj lidského myšlení, PedF UK Praha, [cit. 2020-07-01], Dostupné z: http://it.pedf.cuni.cz/~bobr/hmind/vlivtnam.htm

Types of Malware, SWGfL n.d. [online] [cit. 2020-04-25], Dostupné z: https://swgfl.org.uk/security/types-of-malware/

Computer security, Wikipedia, 2020, [online] [cit. 2020-05-17], Dostupné z: https://en.wikipedia.org/wiki/Computer_security

What is Cyber Security?, n.d., Kaspersky, [online] [cit. 2020-06-16], Dostupné z: https://www.kaspersky.co.uk/resource-center/definitions/what-is-cyber-security

Cyber security for business, NI Business, n.d., [online] [cit. 2020-03-21], Dostupné z: https://www.nibusinessinfo.co.uk/content/different-types-cyber-crime

The Cyber Kill Chain, Lockheed Martin.com [online] [cit. 2020-4-17], Dostupné z: https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

Department for Digital, Culture, Media and Sport. (2019). Cyber Security Breaches Survey, 2019. [data collection]. UK Data Service. SN: 8480, http://doi.org/10.5255/UKDA-SN-8480-1

Programovací jazyk R, verze 3.6.1, R Core Team, 2019, https://www.r-project.org/

SEZNAM ZKRATEK

HW - hadware

NCKB – Národní centrum kybernetické bezpečnosti

DDOs – Distributed Denial of Service – distribuované zamítnutí služby

HDD – hard disk drive

SDD – solid state drive

CCTV – closed circuit television – kamerový systém

3E – effectiveness, efficiency, economy – efektivnost, účelnost, hospodárnost

NÚKIB – Národní úřad kybernetické bezpečnosti

Atd. – a tak dál

Např. – například

ALE - Annualized Loss Expectancy – roční předpokládané ztráty

SLE - Single Loss Expectancy – jednorázové předpokládané ztráty

ARO - Annualized Rate of Occurence – roční míra výskytu hrozby

AV - Asset Value – hodnota aktiva

EF - Exposure Factor – hodnota zranitelnosti

R - Risk – riziko

P - Probability – pravděpodobnost i.e. – exempli gratia - například

IoT - Internet of Things – internet věcí

ARP - Address Resolution Protocol

RARP -Reserse Address Resolution Protocol

ICMP - Internet Control Message Protocol

TCP - Transmission Control Protocol

UDP - User Datagram Protocol) n.d. – neuvedené datum

P2P – people to people

IT – internet technology

US-CERT – United States Computer Emergency Readiness Team

ISO – International Standard Organization

QMS – Quality Management Systém

VPN – Virtual Private Network

ID – identification detail

2FA – two factor authentication

MFA – multi factor authentication

ČR – Česká Republika

ISMS – Information Security Management Systém

CySa – cybersecurity analyst

PenTest – penetrační testování

CASP – CompTIA Advanced Security Practitioner

CTT - Certified Technical Trainer

APT - Advanced Persistent Threat

SEZNAM PŘÍLOH

Tabulka č.1: Základní typy hrozeb dle Šulce, Kybernetická bezpečnost, 2018.

HROZBY NÁHODNÉ ÚMYSLNÉ

EXTERNÍ přírodního původu hacking

INTERNÍ technické selhání (lidská chyba) sabotáž

Obrázek č.1 – počet zaznamenaného malware (AV-Test, n.d.) https://www.av-test.org/en/statistics/malware/

Obrázek č.2 – princip fungování botnet (Rouse, 2019) https://searchsecurity.techtarget.com/definition/botnet

Obrázek č.3 – Metaforické zobrazení DDoS útoku. Zvýšený traffic (návštěvnost) robotů blokuje běžný provoz (Cloudfare, 2020) https://www.cloudflare.com/learning/ddos/what-is-a-ddos-attack/

Obrázek č.4 – porovnání modelů OSI a TCP/IP (Guru99, n.d.) https://www.guru99.com/difference-tcp-ip-vs-osi-model.html

Obrázek č.5 – podíl účastníků vyplňující dotazník zabývající se kybernetickou bezpečností (PwC, 2017): https://www.pwc.com/cz/cs/rizeni-rizik/assets/kyber-bezpecnost-a-my.pdf

Obrázek č.6 – kód použitý pro nahrání dat konkrétních proměnných (Šilhánek, 2020)

Obrázek č.7 – kód barplot a výsledné grafy zobrazující vztah mezi požadavkem na mezinárodně uznávané standardy a počtem dotazovaných organizací (Šilhánek, 2020)

Obrázek č.8 – kód testu Chi-squared (Šilhánek, 2020)

Obrázek č.9 – GLM, test zabývající se vzájemnou působností (Šilhánek, 2020)

OFICIÁLNÍ ZADÁNÍ BAKALÁŘSKÉ PRÁCE