Kapitola 1 - Základní principy a motivace

Kapitola 1 – Základní principy a motivace

Internet je jen dalším prostředím v reálném světě. A stejně jako v reálném světě se v něm pohybují lidé dobří i zlí. A jelikož se ve světě Internetu často přidává předpona kyber, můžeme se u těch zlých setkat s pojmy jako kyberpodvodník nebo kyberkriminálník.
Proti těmto kyberkriminálníkům je nutné se bránit a tato série vzdělávacích materiálů by čtenářovi měla ukázat, že základy kyberbezpečnosti zvládne každý.

1. Úvod

Internet je jen dalším prostředím, které lidé využívají stejně jako běžný reálný svět, kde se pohybujeme po pevninách, vodních plochách, apod. Každé prostředí je trochu jiné, ale jedno mají společné – vyskytují se v nich lidé, takže ve všech zmíněných prostředích lze potkat příbuzné, přátele, lidi slušné i obhroublé, ale také různé podvodníky a kriminální živly. V prostředí Internetu je zažitým zvykem všemu přidávat předponu „kyber“, proto se zde můžete setkat například s pojmy kyberpodvodník nebo kyberkriminálník.

Každý považuje za zřejmé, že proti běžným kriminálníkům a podvodníkům se bráníme zamykáním svých domovů, existencí policejních sborů, cíleným nenavštěvováním pochybných lokalit apod. Stejně bychom se tedy měli bránit i proti kyberkriminálníkům – základy kybersebeobrany nebo kyberbezpečnosti (někdy je používán i pojem kybernetická bezpečnost) nejsou nijak složité a dokáže je zvládnout každý. Pojďme se nejprve podívat na základní principy (kyber)bezpečnosti.

2. Základní principy

V kybersvětě se vše točí kolem informací, kterým se také občas říká data, proto jistě nepřekvapí, že kyberbezpečnost má za úkol zajistit dostupnost, důvěrnost a integritu těchto dat. Dostupností dat se rozumí situace, kdy jsou data v každém okamžiku k dispozici. Důvěrnost zase zajistí, že tato data jsou dostupná pouze těm systémům nebo osobám, které je buď vlastní nebo na ně mají nárok (z osobního nebo pracovního zařazení). A nakonec integrita říká, zda data jsou v nezměněném či nepoškozeném stavu.

Nejen v kybernetické bezpečnosti platí tzv. princip nejslabšího článku, jehož název vychází ze známého faktu, že řetěz je tak pevný, jak je pevný jeho nejslabší článek (který se, jak známo, přetrhne jako první). Poměrně hezky popisuje skutečnost, že (kyber)útočník si může vybrat, jakou cestou se vydá k cíli. Chceli mu v dosažení cíle obránce zabránit, musí současně chránit všechny cesty, protože útočníci si zásadně vybírají tu nejsnadnější. Jednotlivými články řetězu mohou být v případě kyberbezpečnosti technická opatření, jako antivirové programy, firewally (o tom více v dalších kapitolách) nebo samotní uživatelé.

Příklad principu nejslabšího článku v IT

Plán útočníka na získání důvěrné informace v informačním systému, ke kterému má uživatel přístup:

Získání informace od uživatele manipulativním dotazem.

Získání hesla uživatele pomocí phishingu.

Přečtení informace z opuštěného počítače, kde je uživatel přihlášen.

Ovládnutí („hacknutí“) informačního systému.

Útočníkovi by k získání informace stačila realizace libovolného z výše naznačených plánů.

Pokud útočníkovi chceme zabránit v provedení útoku a dáme mu do cesty jednu překážku, existuje určitá šance, že ji překoná. Pokud však musí postupně překonat překážek více, stává se útok komplikovanějším a šance na jeho úspěšnou realizaci se snižuje. Tomuto principu se říká vícestupňová obrana. Hezkou demonstraci nám poskytují architekti středověkých hradů. Není použita jen hradba, ale třeba i vodní příkop před ní, a v kritických místech jsou k vidění i další hradby – útočník tak musí na dané cestě překonat všechna opatření.

Příklad vícestupňové obrany v IT

Současné použití více způsobů pro zabránění spuštění viru z přílohy v emailové zprávě:

Antivirová kontrola na poštovním serveru odstraňuje zavirované přílohy.

Poučený uživatel pochybnou přílohu vůbec neotevře.

Antivirový program běžící na stanici (obvykle od jiného výrobce než ten na poštovním serveru) blokuje pokusy o spuštění viru.

Virus putující emailem to má těžké – pokud alespoň jedno z výše uvedených opatření zabere, nesplní svůj úkol infikovat cílový počítač.

3. Cena za bezpečnost

Jak to tak na světě chodí, nic není zadarmo, a tedy i bezpečnostní opatření vždy něco stojí (peníze, čas, vyžadování určitých úkonů, přizpůsobení se, vzdělávání apod.). Cenu je ale potřeba srovnávat s tím, co tato opatření chrání (například knowhow, výsledky práce, peníze, prestiž). Při určování úrovně kybernetické bezpečnosti je nutné vzít v potaz všechny aspekty, takže výsledek je kompromisem mezi náklady nutnými pro její nasazení a používání, mírou rizika a možnými důsledky útoku.

Příklad kompromisu v bezpečnostním opatření

Pokud máme doma hotovost v řádech tisíců korun, nemá smysl pořizovat trezor za několik desítek tisíc. Pokud se ale již jedná o rodinné zlato v hodnotě statisíců nebo milionů, jistě se trezor za uvedenou částku vyplatí.

Obvykle lidé bohužel vnímají (kyber)bezpečnostní opatření jako nepotřebná. Důvodem je, že pokud jsou opatření dobře nastavená, fungují a zabraňují vzniku problémů, aniž by se to navenek projevilo. Také se často objevují názory, že investovat do bezpečnosti je zbytečné plýtvání – faktem je, že (kyber)bezpečnostní opatření sama o sobě nikdy nic nevydělají, ale v případě problémů mohou ušetřit velmi mnoho. V soukromém životě si o volbě bezpečnostních opatřeních rozhodujeme zpravidla sami a neseme si za svá rozhodnutí zodpovědnost. Pokud jsme ale součástí většího celku, organizace, kde svým chybným rozhodnutím můžeme ovlivnit mnoho dalších lidí a třeba i osud celé organizace, je rozhodování z dobrého důvodu svěřováno odborníkům. Ostatní zaměstnanci pak musí akceptovat výsledky jejich analýzy a podřídit se potřebám organizace, které mohou být v rozporu s jejich názorem na věc.

V nedespotických organizacích jsou tak často viděny diskuse na typická témata, jako jsou:

omezení přístupu na některé webové stránky,
omezení přístupu k některým službám z Internetu (SSH, RDP apod.),
omezení doby platnosti hesla,
používání definované složitosti hesla.

Potřeby organizace jako celku jsou však důležitější než potřeby jednotlivců a je potřeba se s tím smířit.

4. Prevence

Nejen v IT, ale i obecně platí, že je lepší problémům předcházet, než je řešit, proto např. zamykáme byty, domy, auta, rozhlížíme se na přechodu apod. Předcházení problémům je zkrátka levnější než jejich následné řešení. Vhodná preventivní opatření mohou snižovat pravděpodobnost výskytu problému nebo snižovat dopad události. U problémů, jejichž vzniku nelze efektivně zabránit nebo by měly velký dopad, ale jsou současně málo pravděpodobné, je vhodným řešením pojištění, čímž je přeneseno riziko na někoho jiného.

Příklad prevence v IT

Ransomware je škodlivý kód šířený různými způsoby (emailem, přenosnými úložišti). Po jeho spuštění dochází k zašifrování, a tedy k znečitelnění souborů. Po zašifrování se zpravidla následně zobrazí informační stránka s pokyny k zaplacení výkupného. Proti tomuto typu útoku se můžeme bránit:

Zálohováním – při zašifrování souborů je obnovíme ze zálohy (snížení dopadu).

Technickými prostředky – zabraňují spuštění škodlivého kódu (snížení pravděpodobnosti výskytu).

Pojištěním – uhradíme výkupné z pojistného plnění (přenesení odpovědnosti).

Uvedená opatření lze samozřejmě kombinovat.

Poměrně zásadní roli v prevenci hrají lidé, tedy uživatelé, jejichž znalosti a schopnost správné reakce umožní vyhnout se mnoha problémům. Vzdělávání uživatelů by tedy nemělo být v žádném případě opomíjeno – v mnoha případech jsou uživatelé tou jedinou nebo v případě vícestupňové obrany jedinou spolehlivou překážkou. Naopak, nevzdělaný uživatel se snadno stane nejslabším článkem.

5. Řešení problémů

I při sebelepší prevenci může čas od času k problémům dojít a je potřeba být připraven. V ideálním případě je vhodné mít havarijní plány pro pravděpodobné druhy problémů, které si v klidu předem připravíme a v krizové situaci je jen použijeme.

V běžném životě jde například o návod, jak se chovat při dopravní nehodě nebo při haváriích vody nebo plynu. Často jsou například v bytových domech na veřejných nástěnkách kontakty na havarijní služby. Pro uživatele IT je nejdůležitější informací kontakt na jejich uživatelskou podporu. Jak se tedy chovat při mimořádné události (problému) v oblasti IT?

Zachovat klid, nezatajovat informace, spolupracovat
Kontaktovat někoho, kdo mi dokáže pomoci (přátelé, spolupracující, lokální IT správce, uživatelská podpora – HelpDesk)
Vždy je potřeba předat maximum informací, zvlášť důležité informace jsou:
- Jak se mimořádná událost projevuje (mizí soubory, soubory jsou nečitelné, počítač je výrazně zpomalen, konto někdo zneužívá, apod.)
- Co mu předcházelo (obdržení podezřelého emailu, podezřelý telefonát, použití nalezeného usb disku, apod.)
- Jak se mimořádná událost stala (otevření přílohy z podezřelého emailu, vyplnění přihlašovacích údajů do podezřelé stránky, apod.)
- Přesné, případně přibližné, časové údaje
  - Kdy jste zapli počítač
  - Kdy jste se přihlásili
  - Kdy vám přišel email
  - Kdy jste otevřeli přílohu
  - Kdy jste zpozorovali problém
Následovat doporučení odborníků (vypnout PC, změnit si heslo, apod.)
Ptát se na vše, co vás zajímá
Poučit se a vyhnout se stejnému problému v budoucnu

Přestože vše, co se stalo, může mít nepříjemné dopady, vždy je třeba celou situaci analyzovat, poučit se, zavést nápravná opatření a zamezit tak zbytečnému opakování těch samých chyb. Úplně stejně postupují také pracovníci IT oddělení při správě IT prostředí – na základě nahlášených problémů neustále něco zlepšují, aby příště zmírnili dopad mimořádné události nebo jí třeba i zamezili zcela.

Poučení z vlastních chyb je nezbytné, ale často bolestivé, proto je mnohem příjemnější a zábavnější poučit se z chyb jiných. Proto není ztráta času navštěvovat vhodná školení, přednášky nebo si přečíst doporučení od lidí, kteří už se s chybami setkali. Tato série vzdělávacích dokumentů je právě takovým vhodným školením, kde v následujících devíti kapitolách získáte znalosti o bezpečnosti z různých oblastí IT světa, které Vám umožní vyhnout se drtivé většině problémů v kyberprostoru.

6. Shrnutí

V úvodní kapitole jste se dozvěděli o obecně platných principech, které budou využívány v dalších kapitolách tohoto vzdělávacího kurzu.

V první řadě víte, že kyberbezpečnost se snaží zajistit dostupnost, důvěrnost a integritu dat v kyberprostoru a používá k tomu různé přístupy. Z těch obecných byste si měli zapamatovat zejména dva klíčové principy – princip nejslabšího článku a vícestupňovou obranu, které jsou platné nejen pro počítačovou bezpečnost.

Také už víte, že bezpečnost vždy něco stojí a přitom nikdy nic nevydělá, ale v případě problémů dokáže ušetřit velmi mnoho. Vzhledem k tomu, že je efektivnější problémům předcházet než je později řešit, je nezbytné věnovat se prevenci – výběr opatření vychází z uvážení hrozících rizik a cílem je snížit pravděpodobnost výskytu nebo snížit vzniklé dopady. Opatření však nemohou být vždy 100% účinná, proto je potřeba vědět, jak reagovat na vzniklé problémy.

Virtuální prohlídka

Soubor cookie	Životnost	Popis
cookielawinfo-checkbox-advertisement	1 year	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se marketingových cookies.
cookielawinfo-checkbox-analytics	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se statistických cookies.
cookielawinfo-checkbox-functional	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se funkčních cookies.
cookielawinfo-checkbox-necessary	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie se používá k zaznamenání volby uživatele týkající se nezbytných cookies.
mdocs-f23d4887cc59eaf5d74998a5389151af	session	No description
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
qtrans_front_language	1 year	This cookie is set by qTranslate WordPress plugin. The cookie is used to manage the preferred language of the visitor.
viewed_cookie_policy	11 months	Nastaveno pomocí doplňku GDPR Cookie Consent. Toto cookie slouží k ukládání informace o tom, zda uživatel souhlasil s používáním souborů cookie. Neukládá žádná osobní data.

Soubor cookie	Životnost	Popis
_dc_gtm_UA-120672567-6	1 minute	No description
_dc_gtm_UA-120672567-7	1 minute	No description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_1HP1PTTJR4	2 years	This cookie is installed by Google Analytics.
_gat_UA-120672567-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
sid	1 month	The sid cookie contains digitally signed and encrypted records of a user’s Google account ID and most recent sign-in time.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Soubor cookie	Životnost	Popis
_fbp	3 months	Tento soubor cookie je nastaven prostřednictvím nástroje Facebook Pixel. Může sloužit k zobrazení naší reklamy prostřednictvím sociálních sítí Facebook a Instagram společnosti Meta.
fr	3 months	Tento soubor cookie umožňuje zobrazovat uživatelům relevantní reklamy na základě jejich aktivit na webech využívajících Facebook Pixel společnosti Meta.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
MUID	1 year 24 days	Bing sets this cookie to recognize unique web browsers visiting Microsoft sites. This cookie is used for advertising, site analytics, and other operations.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Univerzita Tomáše Bati ve Zlíně