Zní to trochu jako otřepaná fráze, ale v současném digitálním věku závažnost a počet kybernetických hrozeb neustále narůstá. Proto je nezbytné nejen teoreticky, ale především prakticky pochopit, vybudovat a neustále udržovat základní pilíře informační bezpečnosti: dostupnost, integritu a důvěrnost dat.
Směrnice NIS2 přidává do tohoto seznamu další klíčový prvek – autenticitu dat.
Co znamenají písmena CIA v kybernetické bezpečnosti?
V době, kdy se zvyšuje sofistikovanost kybernetických útoků, je nezbytné ověřování identity uživatelů a pravosti dat. Například u bankovních transakcí je klíčové, aby byla identita klienta a identifikace transakce jednoznačně autentizována, aby se předešlo podvodům, zneužití nebo nesprávnému zpracování platebního příkazu.
Požadavky na důvěrnost, dostupnost, integritu – tzv. CIA triáda – byly poprvé definovány v roce 1973 americkou Národní bezpečnostní agenturou (NSA). Americká agentura tyto požadavky definovala jako základní principy ochrany informací.
Dostupnost: informace jsou dostupné oprávněným uživatelům, kdykoli je potřebují.
Integrita: informace jsou neporušené a nebyly změněny neoprávněnou osobou.
Důvěrnost: informace jsou přístupné pouze oprávněným uživatelům.
Uvedené bezpečnostní požadavky jsou dodnes základem bezpečnosti informací. Jsou používány v mnoha různých oblastech a regulacích, včetně kybernetické bezpečnosti, bezpečnosti dat a bezpečnosti informačních systémů.
V České republice jsou požadavky na dostupnost, integritu a důvěrnost stanoveny v řadě právních předpisů. Například zákon o kybernetické bezpečnosti nebop nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (GDPR) atd.
Nový požadavek NIS2: Autenticita dat!
Autenticita byla do oblasti kybernetické bezpečnosti zavedena později jako samostatný koncept, který se zaměřuje na ověření identity a pravosti informací. Autenticita se stala samostatně uznávaným bezpečnostním požadavkem až s rozvojem digitálních technologií a internetu.
Proč se tak stalo?
Zjevným důvodem rozšíření bezpečnostních požadavků je dramaticky zvýšená potřeba ověřování identity uživatelů a zdrojů informací v kyberprostoru.
Významným milníkem pro rozpoznání důležitosti autenticity byl rozvoj a implementace technologií jako jsou digitální podpisy a public key infrastructure (PKI), které umožňují ověřování identity a pravosti digitálních transakcí a komunikace.
Zajištění autenticity dat v praxi
Autenticita je důležitým požadavkem pro zajištění bezpečnosti informací, protože umožňuje ověřit, že informace pocházejí od oprávněného zdroje a že nebyly změněny neoprávněnou osobou.
Autenticitu lze v praxi zajistit pomocí různých metod, např.:
Biometrické ověřování: Tato metoda využívá pro ověření identity jedinečné biologické charakteristiky jedince, jako jsou otisky prstů, sken oční duhovky, rozpoznávání obličeje nebo hlasové vzory.
Jednorázová hesla (OTP): Jednorázová hesla, která jsou platná pouze pro jednu autentizační seanci nebo transakci, poskytují vyšší úroveň zabezpečení oproti tradičním statickým heslům. Mohou být generována pomocí hardwarových tokenů, mobilních aplikací nebo přes SMS.
Multi-faktorové ověřování (MFA): MFA vyžaduje více než jeden důkaz totožnosti, obvykle kombinaci něčeho, co uživatel ví (heslo), něčeho, co má (token nebo telefon), a něčeho, čím je (biometrický údaj). Tím se výrazně zvyšuje úroveň zabezpečení.
Digitální certifikáty a PKI (Public Key Infrastructure): Digitální certifikáty, které jsou součástí PKI, poskytují prostředek pro ověření identity uživatelů a zařízení v digitálních komunikacích. Slouží k potvrzení vlastnictví veřejného klíče subjektu.
Tokeny a smart karty: Fyzické tokeny nebo smart karty mohou být použity pro ověření identity uživatele. Tyto zařízení mohou obsahovat bezpečnostní údaje nebo generovat jednorázová hesla.
Výzvy a odpovědi: Tato metoda zahrnuje zadání správné odpovědi na výzvu (například tajnou otázku) pro ověření identity.
Chování uživatele a analytika: Moderní systémy mohou využívat analýzu chování uživatele, jako jsou vzory psaní na klávesnici a interakce s rozhraním, k ověření jeho identity.
Geolokační ověřování: Ověření může zahrnovat kontrolu geografické polohy uživatele, například prostřednictvím IP adresy nebo GPS v mobilních zařízeních.
Každá z těchto metod má své vlastní výhody a omezení, a často se používají ve kombinaci pro zvýšení účinnosti ověřování a zajištění autenticity.
Základní bezpečnostní požadavky při zavádění NIS2
Základní bezpečnostní požadavky jsou aplikovány v různých fázích řízení informační či kybernetické bezpečnosti. Například při návrhu bezpečnostní architektury se zajišťuje, aby informační systémy byly navrženy jako dostupné, zatímco jejich integrita a důvěrnost jsou chráněny. Autenticita hraje klíčovou roli při řízení přístupu k informacím a systémům. Tyto požadavky jsou také základem pro vytváření a provádění bezpečnostních politik, řízení rizik a reakci na incidenty.
Kupříkladu v procesu řízení incidentů je kladen důraz na rychlou obnovu dostupnosti, zatímco se současně zajišťuje, že integrita a důvěrnost dat nejsou kompromitovány.
Narušení dostupnosti, autenticity, integrity a důvěrnost uchovávaných, předávaných nebo zpracovávaných dat nebo služeb může nabývat mnoha podob. Pro ilustraci uvádíme obvyklé (oblíbené) příklady:
Narušení dostupnosti
Útok DDoS na webový server: Útok DDoS (Distributed Denial of Service) na webový server může způsobit přerušení jeho služeb, zabraňuje uživatelům v přístupu k webu nebo online službám.
Výpadek elektrického proudu v datovém centru: Výpadek proudu v datovém centru, který není krytý záložním zdrojem, může vést k nedostupnosti důležitých dat a aplikací.
Poškození hardwaru: Poškození serverů nebo úložišť může způsobit ztrátu dat a nedostupnost kritických systémů a aplikací.
Praktickým dopadem může být situace, kdy klient nenakoupí, nezaplatí nebo nezjistí odjezd vlaku, lékař nemá k dispozici zdravotnickou dokumentaci pacienta, call centrum doručovaní firmy „nevidí“, jaké zásilky, kdy a komu má doručit.
Narušení autenticity
Phishingový útok: Při phishingovém útoku útočníci často vytvářejí falešné webové stránky nebo e-maily, aby získali přístupové údaje a mohli zneužití identitu uživatele.
Man-in-the-middle útok: Útočník, který se vmísí do komunikace mezi dvěma stranami, může zmanipulovat nebo odposlouchávat data při přenosu, například mezi e-shopem a platební branou. A s touto znalostí dokáže podvrhnout falešný pokyn k potvrzení či zaplacení objednávky.
Padělání dokumentů: Padělání nebo falšování oficiálních dokumentů či digitálních podpisů narušuje autenticitu a pravost dokumentů, např. při žádosti o spotřebitelský úvěr, pojistné plnění nebo v rámci výběrového řízení na nového zaměstnance.
Narušení integrity
Malware infekce: Malware, jako je virus nebo ransomware, může modifikovat nebo šifrovat data, čímž narušuje jejich integritu. Vzpomeňme například na nedávné útoky a zašifrování dat v nemocnicích v Brně či Benešově.
Nesprávná úprava dat: Chyby v databázích nebo při úpravách dat mohou vést k poškození nebo nesprávnému záznamu informací, což narušuje integritu dat.
Nepovolené změny v softwaru: Nepovolené změny v kódu aplikací nebo systémů mohou narušit jejich integritu a funkčnost.
Narušení důvěrnosti
Únik dat: Únik citlivých dat, jako jsou osobní údaje nebo obchodní tajemství (např. zdrojový kód aplikace společnosti), do veřejné sféry narušuje důvěrnost těchto informací.
Neoprávněný přístup k datům: Pokud neoprávněná osoba získá přístup k citlivým datům, jako jsou zdravotní záznamy nebo finanční informace, dochází k narušení důvěrnosti a přímému zásahu do práv dotčených osob.
Zneužití oprávnění zaměstnancem: Zaměstnanec, který zneužije svá oprávnění k přístupu k citlivým datům pro osobní účely, např. pro pokus o podvod, narušuje důvěrnost těchto informací.
Ochrana důvěrnosti, integrity, dostupnosti a autenticity dat se týká každého!
Efektivní řízení informační a kybernetické bezpečnosti vyžaduje komplexní přístup. Musí zahrnovat technologická řešení, vhodnou organizaci a procesy pro zajištění dostupnosti, autenticity, integrity a důvěrnosti informací. Zahrnutím těchto pilířů do strategií informační bezpečnosti a každodenního provozu může společnost lépe čelit současným a budoucím kybernetickým hrozbám a zajistit požadovanou úroveň bezpečnost svých informačních aktiv.
A navíc, nový bezpečnostní požadavek bude od řady organizací vyžadovat směrnice NIS2, resp. nový zákon o kybernetické bezpečnosti, který by měl platit už v roce 2024. Není na co čekat!