vyskoc.sk
  • O nás
    • Martina
    • Jozef
    • Eduard
  • Zaujímavé linky
  • Kontakt

Informačná bezpečnosť už nie je čím bývala…

  • Domov
  • Informačná bezpečnosť
  • Informačná bezpečnosť už nie je čím bývala…
15 januára, 2012
Kategórie
  • Informačná bezpečnosť
Tags

V časoch, kedy táto disciplína ešte len začínala a nazývala sa počítačovou bezpečnosťou, bol predmet jej záujmu vcelku jednoznačný – údaje uložené v počítačovom systéme, stabilne umiestnenom na určenom mieste.  Neskôr bolo viac počítačov, začali sa navzájom prepájať a spolu s uvedomením si, že ochranu údajov je potrebné riešiť nie len počas ich výskytu v počítači, sa začal používať všeobecnejší termín informačná bezpečnosť. Z hľadiska riešenia bezpečnosti však v podstate šlo vždy o tú istú požiadavku – zabezpečiť ochranu údajov umiestnených v prostredí jednej organizácie. Prístup k riešeniu bezpečnosti sa v zásade nemenil a spočíval v úsilí vybudovať okolo chránených údajov (počítačov, ktoré ich skladovali, alebo ktoré slúžili na prístup k týmto údajom) niečo ako opevnenie, brániace prístupu neoprávnených osôb. K tomu ešte ochrana údajov počas ich prenosu medzi jednotlivými „pevnosťami“, zálohovanie pre prípad poškodenia údajov a rôzne organizačné opatrenia na zníženie pravdepodobnosti chýb či zneužitia privilégií administrátorov či používateľov. V prípade vyšších nárokov na bezpečnosť sa obdobné opatrenia mali aplikovať aj pri návrhu, vývoji a implementácii stavebných prvkov „opevnenia“.

Obdobie takejto relatívne nemennej bezpečnostnej filozofie trvalo dosť dlho na to, aby sa po istom čase zaužívali všeobecne akceptované „best practices“, ktoré sa neskôr sformalizovali do štandardu riadenia informačnej bezpečnosti (BS7799, po čase premenovaný na ISO 17799, neskôr mierne aktualizovaný a prečíslovaný na ISO 27001). Existencia štandardu ako súboru „best practices“ umožňuje skoro mechanické riešenie problému vytvorenia potrebného „opevnenia“. Vďaka tomu sa do riešenia bezpečnosti (vybudovania „opevnenia“ chrániaceho dôležité údaje) môže pustiť v podstate každý, kto dokáže prečítať štandard  … a tak to aj niekedy vyzerá. Tento štandard sa využil aj pri formulovaní bezpečnostnej časti Výnosu Ministerstva financií o štandardoch pre IS verejnej správy.

Pri mechanickom aplikovaní štandardu jeho využiteľnosť klesá tým viac, čím viac sa požiadavky na bezpečnosť odchyľujú od tej, pre ktorú bol štandard postavený – teda ochrana údajov nachádzajúcich sa v oblasti pôsobnosti jednej organizácie.  Zjednodušene povedané, pokiaľ sa rieši prevádzková bezpečnosť v prostredí jednej organizácie, menšie odchýlky od základnej scény (napríklad používanie aj mobilných zariadení ako laptopy či smartfóny) sú do istej miery zvládnuteľné nastolením a presadzovaním vhodných jednotných pravidiel nakladania s chránenými zariadeniami (údajmi, médiami, …). Iná situácia nastane, keď tieto predpoklady neplatia… a zmeny v tomto smere sú pozorovateľné už niekoľko rokov.

Problémy začne robiť napríklad aktuálna zmena nazerania na samotný spôsob poskytovania, resp. získavania, výpočtových kapacít (cloud computing) či potreba riešiť bezpečnosť na vyššej úrovni ako v prostredí jednej organizácie (ochrana kritickej informačnej infraštruktúry). V takých prípadoch už riešiteľ bezpečnosti opúšťa prostredie jednej organizácie, v ktorom sa všeličo (a teda aj bezpečnostné opatrenia a ich zosúladenie) dá relatívne jednoducho presadiť či vynútiť.  Ďalšou závažnou zmenou je existencia a rastúci počet špecializovaných zariadení, do ktorých sa vďaka technologickým možnostiam pridáva stále viac a viac „inteligencie“ a nezriedka aj pripojenie na Internet. V prípade takých špecializovaných zariadení z hľadiska dôležitosti nie sú spravidla zaujímavé údaje, ktoré spracúvajú, ale špecializované funkcie, ktoré majú poskytovať. Termíny ako „Ambient intelligence“ či „Internet of things„, ktoré sa snažia postihnúť k čomu vedie vývoj v tomto smere, sa u nás ešte príliš nepoužívajú, čo však neznamená že sa tento vývoj na hraniciach Slovenska zastaví.

Možno je chybou, že tento smer vývoja sa v začiatkoch ilustroval príkladmi typu „inteligentná chladnička, pripojená na Internet, ktorá umožní vzdialene si skontrolovať jej obsah, resp. automaticky pošle objednávku na doplnenie chýbajúcich položiek“ … v takomto kontexte hovoriť o potrebe riešenia bezpečnosti v najlepšom prípade vyvolá len pobavené úškrny. Nejde však len o chladničky, ale aj o ďalšie zariadenia, pri ktorých môžu byť dôsledky cieleného ovplyvnenia ich činnosti („hackovania“) oveľa závažnejšie.

Aspoň niekoľko príkladov… Tak trochu exoticky znie správa z r. 1999 o vývoji špeciálnej podprsenky, vybavenej o.i. GPS, ktorá monitoruje činnosť srdca svojej nositeľky, a v prípade odchýlky signalizujúcej strach z hroziaceho nebezpečenstva automaticky privolá políciu. Zmysluplnejšie pôsobí správa z r. 2004 o vyvinutí spodnej bielizne, ktorá v prípade infarktu svojho nositeľa automaticky privolá záchranku. Nejde však len o automatické privolanie pomoci … Kardiostimulátory a podobné medicínske zariadenia sú známe už dlhšiu dobu, vývoj ich však obohacuje o ďalšie možnosti – napr. v r. 2009 dostala obyvateľka New Yorku kardiostimulátor ktorý bezdrôtovo  umožňoval jej doktorovi vzdialený priebežný monitoring . Alebo také automobily – ich činnosť je stále vo väčšej miere ovplyvňovaná elektronikou vybavenou značnou „inteligenciou“.

Ako to všetko súvisí s bezpečnosťou? Predchodcovia takýchto špecializovaných zariadení mali funkčnosť „natvrdo“ zakomponovanú do svojej konštrukcie; naviac údaje, s ktorými takéto zariadenia pracujú, nepatria medzi také, ktoré stojí za to chrániť … takže historicky nevznikla ani potreba „obrniť“ tieto zariadenia. Vďaka technologickému pokroku však novšie verzie takýchto zariadení umožňujú v istom rozsahu meniť vybrané parametre poskytovanej funkčnosti a za tým účelom sú stále častejšie vybavené možnosťou vzdialeného (bezdrôtového) ovládania – a tak vznikajú príležitosti na výskyt problémov…

Ak to zhrnieme – špecializované zariadenia nepracujú s údajmi, ktoré stojí za to chrániť, ich prínos spočíva v poskytovanej funkčnosti. S ich existenciou historicky neboli spájané požiadavky na zabezpečenie … a nielen svojou konštrukciou, ale aj „filozoficky“ sú tak vzdialené od bežnej predstavy počítačov, že ich návrhárov a konštruktérov málokedy napadne, že by aj tieto zariadenia bolo možné hackovať … a že by teda do konštrukcie a/alebo zásad ich používania mali zahrnúť aj vhodné bezpečnostné opatrenia. Nejde len o náhodné ovplyvňovanie ich činnosti (v r. 2007 sa napríklad ukázalo, že zapnutý iPod v blízkosti kardiostimulátora v cca 50% prípadov rušil jeho činnosť ), ale stávajú sa tak aj možným cieľom cieľavedome vedených útokov. To, že nejde len o teóriu, ukazujú viaceré publikované výsledky z posledných rokov … hackovanie kardiostimulátorov s bezdrôtovým spojením (tiež tu či tu), možnosť vzdialene ovplyvniť činnosť inzulínovej pumpy napríklad tak, aby svojmu nositeľovi aplikovala smrteľnú dávku , ale aj možnosť ovplyvniť činnosť brzdového systému či motora automobilov (tiež tu).

Podľa niektorých zdrojov už dnes je počet „nie PC“ zariadení pripojených na Internet podstatne (v pomere 5 ku 1) väčší ako počet PC pripojených na Internet. Zatiaľ čo bezpečnosti „klasických“ počítačových systémov, pripojených na Internet, sa venuje aspoň aká-taká pozornosť, pre väčšinu ostatných zariadení to obvykle neplatí. Potenciálnou hrozbou, resp. pomocníkom hackerov tak môžu byť mnohé z týchto zariadení, niekedy aj napohľad nevinné – ako to v nedávno zverejnenom prípade odhalenia dlhodobého prieniku do systémov obchodnej komory USA pekne ilustruje informácia „A thermostat at a town house the Chamber owns on Capitol Hill at one point was communicating with an Internet address in China“.

Informačná bezpečnosť už nie je čím bývala… Základná scéna pre riešenie bezpečnosti sa začala podstatným spôsobom meniť – okrem zmeny nazerania na spôsob získavania/poskytovania výpočtových služieb a kapacít (cloud computing) či potreby riešenia bezpečnosti nad rámec jednej organizácie (ochrana kritickej infraštruktúry) priebežne pribúda celé spektrum netradičných potenciálnych cieľov útokov, ktoré sa svojim charakterom či spôsobom používania odlišujú od obvyklého chápania počítača. Nájsť vhodné riešenie bezpečnosti bude komplikovanejšie, ako to bývalo, a to aj v prípade ohraničenia len na prostredie jednej organizácie … bez tohto ohraničenia to bude ešte ťažšie. Mechanické aplikovanie doteraz známych „best practices“ zrejme nebude postačovať … koľko z doterajších bezpečnostných špecialistov preukáže dostatočnú pružnosť v uvažovaní, ako aj ďalšie schopnosti na prispôsobenie sa takýmto zmenám? A kedy sa dočkáme toho, že aj štát pripustí, že existujúce, údajne strategické, dokumenty o informačnej bezpečnosti si nevšímajú zmeny a trendy, ktoré sú vo svete pozorovateľné už niekoľko rokov, a teda ich hodnota a využiteľnosť je značne ohraničená?

Jozef

Zdielať:
Jozef Vyskoc
Jozef Vyskoc

Súvisiace príspevky

30 decembra, 2022

Kybernetická bezpečnosť a etika (a NBÚ)

čítať ďalej
29 marca, 2022

Komunita kybernetickej bezpečnosti na Slovensku

čítať ďalej
1 decembra, 2020

O Národnej stratégii kybernetickej bezpečnosti na roky 2021 až 2025

čítať ďalej

Pridaj komentár Zrušiť odpoveď

Vaša e-mailová adresa je spracúvaná výlučne na účel prípadnej neskoršej komunikácie a nebude zverejnená. Komentár bude zverejnený po jeho odsúhlasení správcom stránky.

Kategórie

  • Cestovanie (9)
  • Informačná bezpečnosť (56)
  • Knihy (1)
  • Nezaradené (7)
  • Ochrana súkromia (43)
  • Pataveda (1)
  • Peniaze (1)
  • Statika (1)
  • Tipy a triky (5)
  • Vzdelávanie (5)

Tag

akčný plán app bombaj brexit cestovanie cezhraničný prenos osobných údajov cyber security Deň ochrany osobných údajov digitálna gramotnosť digitálny podpis ECSM eID foto GDPR General Data Protection Regulation Global Cybersecurity Index GLOBSEC 2013 goa história kybernetickej bezpečnosti india informačná bezpečnosť kerala koncepcia koncepcia kybernetickej bezpečnosti kybernetická bezpečnosť kybernetická etika kybernetický útok Nariadenie EÚ NBÚ národná autorita občan ochrana osobných údajov online voľby povedomie o kybernetickej bezpečnosti počítačová etika pune reakcia na kybernetický útok reforma ochrany osobných údajov v EÚ statika stavba tipy umenie varca zákon o kybernetickej bezpečnosti Úrad na ochranu osobných údajov
© 2019 Rodinný Blog Vyskočovcov
      Tento web používa súbory cookie. Informácie o tom, ako používate tento web, sa zdieľajú s Googlom. Používaním tohto webu vyjadrujete svoj súhlas s používaním súborov cookie.
      Viac info Rozumiem