Zákony a předpisy upravující kybernetickou bezpečnost
5. Systém řízení bezpečnosti informací
5.8. Technická opatření
Technická opatření spolu s opatřeními organizačními představují základní prvky bezpečnostních opatření. Zatímco organizační opatření jsou primárně zaměřena na nastavení pravidel a politik v organizaci, technická opatření se primárně věnují pravidlům pro nastavení informačních a komunikačních systémů a služeb.
V rámci jednotlivých technických opatření budou demonstrovány i možné open source nástroje aplikovatelné pro dané opatření.
5.8.1 Fyzická bezpečnost
Fyzická bezpečnost je primárně zaměřena na ochranu technických aktiv daného subjektu. Maisner k fyzické bezpečnosti uvádí, že „cílem tohoto opatření je především zamezení přístupu nepovolaných osob k jednotlivým prvkům infrastruktury, do serveroven, pracovišť správců systému apod. Snahou je vyloučit zcizení majetku přímo i nepřímo souvisejícího s informačním systémem, případně zamezit poškození hmotného i nehmotného vybavení nebo vybavení prostor. V neposlední řadě se snaží zamezit úniku informací a dat.“[1]
Povinná osoba v rámci fyzické bezpečnosti
- předcházet poškození, krádeži nebo zneužití aktiv nebo přerušení poskytování služeb informačního a komunikačního systému,
- stanovit fyzický bezpečnostní perimetr ohraničující oblast, ve které jsou uchovávány a zpracovávány informace a umístěna technická aktiva informačního a komunikačního systému,
- uplatnit
u fyzického perimetru prostředky fyzické bezpečnosti:
- k zamezení neoprávněnému vstupu,
- k zamezení poškození a neoprávněným zásahům,
- pro zajištění ochrany na úrovni objektů a v rámci objektů.
Pojem fyzický bezpečnostní perimetr vymezuje určený prostor, respektive hranice tohoto prostoru. Oním prostorem může být například soubor objektů, objekt samotný či část objektu.
Objektem se rozumí budova nebo jiný ohraničený prostor. Hranicí objektu se rozumí plášť budovy, fyzická bariéra (oplocení) nebo jinak viditelně vymezená hranice oblasti. Zabezpečenou oblastí se rozumí stavebně nebo jinak viditelně ohraničený prostor v objektu.
Prostředky fyzické bezpečnosti mohou být:
- mechanické zábranné prostředky (např. zámky, dveře, mříže, folie, skla a další bezpečnostní konstrukční a stavební prvky, skříňové trezory, trezorové dveře a komorové trezory,
- systém kontroly vstupu do zabezpečené oblasti [poplachové a elektronické bezpečnostní systémy, detektory (pohybu, tříštění skla aj.) stanovení podmínek pro vstup: identifikační prvek, PIN, biometrie (případně jejich kombinace)],
- zařízení elektrické zabezpečovací signalizace (poplachové zabezpečovací a tísňové systémy – ústředny elektrické zabezpečovací signalizace, detektory elektrické zabezpečovací signalizace, otřesové detektory, perimetrické detekční systémy, tísňové systémy aj.),
- speciální televizní systémy (kamerové systémy, CCTV sledovací systémy aj.),
- zařízení elektrické požární signalizace (napojení do ústředny elektrické požární signalizace, nebo do ústředny elektrické zabezpečovací signalizace,
- prostředky omezující působení požárů a živelných událostí (poplachové systémy, detektory kouře, samočinné hasící systémy aj.,
- zařízení pro zajištění ochrany před selháním dodávky elektrického napájení (záložní zdroje – UPS, diesel agregáty aj.).
Dále lze implementovat například i:
- zařízeními proti pasivnímu a aktivnímu odposlechu.[2]
Do prostor, u kterých by z pohledu bezpečnosti informačních a komunikačních systémů měl být omezen, resp. regulován vstup, patří zejména serverovny (primární, záložní), prostory se síťovými prvky (router, switch aj.), úložiště dat (kartotéky, NAS úložiště aj.), prostory administrátorů ICT aj.
Příklad: Fyzická bezpečnost je jednou z oblastí, kde typicky dochází k porušování organizačních pravidel a kde je potřeba provádět periodické audity. Zatímco většinu ostatních činností vykonávají v organizaci administrátoři, správa fyzických přístupů bývá po samotné implementaci zabezpečení svěřena, například z důvodů úspor, méně kvalifikované pracovní síle, která navíc nemusí mít takové povědomí o vlastní problematice bezpečnosti.
Autor zažil několik situací, kdy po určité době začala osoba odpovědná za řízení fyzických přístupů udělovat oprávnění ke vstupům osobám, které do daných oblastí (např. serverovny) neměly mít přístup, například jen proto, že o přístup do chráněné oblasti požádal nadřízený manažer, který však k udělení souhlasu neměl dostatečná oprávnění.
V rámci fyzické bezpečnosti je možné využít i nástroje open source. Zejména půjde o případy „realizace pultů centrální ochrany včetně kamerových přehledových systémů. Pro tento účel lze využít nástroje určené pro dohled síťových prvků (Icinga, Nagios a další), doplněné o rozhraní pro odpovídající čidla, propojené s pro gramy pro přenos a zachycení obrazového signálu z bezpečnostních kamer.“[3]
5.8.2 Nástroj pro ochranu integrity komunikačních sítí
Někteří správci jsou v rámci fyzické bezpečnosti povinni:
- zajistit segmentaci komunikační sítě,
- zajistit řízení komunikace v rámci komunikační sítě a perimetru komunikační sítě (tj. řídit bezpečný přístup mezi vnitřní a vnější sítí),
- pomocí kryptografie zajistit důvěrnost a integritu dat při vzdáleném přístupu, vzdálené správě nebo při přístupu do komunikační sítě pomocí bezdrátových technologií (tj. zajistit pomocí kryptografie například VPN, připojování ICT na Wi-Fi aj.),
- aktivně blokovat nežádoucí komunikaci (např. spam filtry aj.),
- pro zajištění segmentace sítě a pro řízení komunikace mezi jejími segmenty využívat nástroj, který zajistí ochranu integrity komunikační sítě.
„Nástrojem pro ochranu integrity komunikačních sítí se tady rozumí vhodně navržená topologie sítě včetně použití síťových prvků umožňujících požadovanou segmentaci sítě a filtraci provozu mezi jednotlivými prvky. Použitá zařízení pro dosažení těchto požadavků představují ethernetové switche, routery a firewally. Pokud nelze zajistit segmentaci sítě pomocí VLAN na upravovatelném přepínači, je možné ji zabezpečit prostřednictvím několika menších nemanagovatelných switchů, z nich každý realizuje jednu fyzickou LAN.
Při segmmentaci některých sítí je možné využít např. i routery Turris (https://www.turris.cz/cs/ ), kde je garantována vysoká bezpečnost (mj. díky firmwaru, který byl navržen s ohledem a dosažení maximálního možného zabezpečení) a rovněž nízký elektrický příkon.
Softwarové routery/firewally: www.ipcop.org/ ; https://www.ipfire.org/
Ethernetový switch pro virtualizované prostředí: http://www.openvswitch.org/“.[4]
5.8.3 Nástroj pro ověřování identity uživatelů
Někteří správci jsou v rámci fyzické bezpečnosti povinni používat nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací informačního a komunikačního systému.
Tento nástroj je v současnosti de facto součástí všech běžně používaných operačních systémů (Linux, iOS, Windows). Dle VoKB má tento nástroj zajistit
- ověření identity osoby (před zahájením aktivit v informačním a komunikačním systému),
- řízení počtu možných neúspěšných pokusů o přihlášení,
- odolnost uložených nebo přenášených autentizačních údajů proti neoprávněnému odcizení a zneužití,
- ukládání autentizačních údajů ve formě odolné proti off-line útokům,
- opětovné ověření identity po určené době nečinnosti,
- dodržení důvěrnosti autentizačních údajů při obnově přístupu,
- centralizovanou správu identit.
Povinná osoba pro ověření identity uživatelů, administrátorů a aplikací využívá:
1. autentizační mechanizmus, který není založený pouze na použití identifikátoru účtu a hesla, nýbrž na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů,
2. nástroj pro ověření identity uživatelů, administrátorů a aplikací, používat autentizaci pomocí kryptografických klíčů a zaručit obdobnou úroveň bezpečnosti[5],
3. nástroj pro ověření identity uživatelů, administrátorů a aplikací, který používá k autentizaci identifikátor účtu a heslo.[6]
V případě, že je k autentizaci využito účtu a hesla, musí být splněny následující podmínky:
- minimální délka hesla:
- 12 znaků u uživatelů a
- 17 znaků u administrátorů a aplikací.
- možnost zadat heslo o délce alespoň 64 znaků,
- možnost použít v hesle malá a velká písmena, číslice a speciální znaky,
- možnost změny hesla, přičemž doba mezi dvěma změnami hesla nesmí být kratší než 30 minut,
- neumožnit
uživatelům a administrátorům:
- zvolit si nejčastěji používaná hesla,
- tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem,
- opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel.
- pro povinnou změnu hesla v intervalu maximálně po 18 měsících, přičemž toto pravidlo se nevztahuje na účty sloužící k obnově systému v případě havárie,
- vynutí bezodkladnou změnu výchozího hesla po jeho prvním použití,
- bezodkladně zneplatní heslo sloužící k obnovení přístupu po jeho prvním použití nebo uplynutím nejvýše 60 minut od jeho vytvoření,
- zahrne pravidla tvorby bezpečných hesel do plánu rozvoje bezpečnostního povědomí.
Příklad: Doporučujeme při školení uživatelů využít i praktické ukázky. Například nástroje CEWL, nebo CUPP. Oba lze nalézt například v linuxové distribuci Kali. Nástroj CEWL umí vytvořit slovník pro slovníkový útok na míru konkrétní organizaci a to na základě obsahu jejích webových stránek. Nástroj CUPP pak umí vytvořit slovník konkrétnímu uživateli na míru. Tyto praktické ukázky jsou dle zkušenosti autorů pro uživatele velmi přínosné, neboť na nich prakticky vidí, že jejich dosud používané heslo složené například z data narození a jména rodinného psího mazlíčka lze skutečně vygenerovat, pokud o nich má útočník dostatek informací.
„Pro praktické ověřování identity uživatelů nabízí komunita open source dostatek softwaru kompatibilního se svými komerčními protějšky. Jde například o:
FreeRADIUS - http://freeradius.org/ /RADIUS
OpenLDAP - http://www.openldap.org/ /Microsoft AD, Oracle Internet Directory
Kerberos - https://www.gnu.org/software/shishi/
OpenDiameter - https://sourceforge.net/projects/diameter/
Všechny tyto nástroje poskytují prostředky pro vynucení určené složitosti hesla, jakož i dalších atributů požadovaných ZoKB, buď samy o sobě prostřednictvím login.conf, nebo s využitím externích mechanismů jako cracklib a slovníků oblíbených „hesel“.[7]
5.8.4 Nástroj pro řízení přístupových oprávnění
Někteří správci jsou v rámci fyzické bezpečnosti povinni používat centralizovaný nástroj pro řízení přístupových oprávnění.
Pojmem oprávnění se rozumí právo přístupu k některému z aktiv (typicky informačnímu či komunikačnímu systému, aplikacím aj.). V praxi se jedná o nástroj „správy uživatelů a skupin“ a nástroj nastavování oprávnění k souborům a adresářům. Tyto nástroje jsou proprietární součástí všech standardně využívaných operačních systémů.
Centralizovaný nástroj pro řízení přístupových oprávnění, má zajistit řízení oprávnění:
- pro přístup k jednotlivým aktivům informačního a komunikačního systému a
- pro čtení dat, zápis dat a změnu oprávnění.
Je vhodné aplikovat nástroje pro centralizovanou správu přístupových oprávnění, které budou komunikovat s centrálním AAA (Authentication, Authorisation, Accounting) serverem.
Příklad: Důležité je pamatovat na řízení přístupových oprávnění již při samotném návrhu softwaru. Autor zná aplikaci, která měla velmi obecná oprávnění a v podstatě v ní existovaly pouze role administrátora a uživatele. Administrátor byl oprávněn přidávat další uživatele a administrátory a uživatel byl oprávněn k ostatním činnostem. Tato aplikace však uchovávala důležité informace o zákaznících dané organizace. Protože tato aplikace neumožňovala žádnou granuralitu oprávnění, všichni uživatelé, bez ohledu na jejich skutečné pracovní potřeby, byli oprávněni přistupovat do jakékoliv části informací o zákaznících. Tato situace nakonec vyústila v únik dat týkajících se konkrétní zákaznice.
5.8.5 Nástroj pro ochranu před škodlivým kódem
Někteří správci jsou v rámci fyzické bezpečnosti nastavit ochranu před škodlivým kódem a to tak, že:
- zajišťují (s ohledem
na důležitost aktiv) použití nástroje
pro nepřetržitou automatickou ochranu
- koncových stanic,
- mobilních zařízení,
- serverů,
- datových úložišť a výměnných datových nosičů,
- komunikační sítě a prvků komunikační sítě,
- obdobných zařízení.
- monitorují a řídí používání výměnných zařízení a datových nosičů,
- řídí automatické spouštění obsahu výměnných zařízení a datových nosičů,
- řídí oprávnění ke spouštění kódu,
- provádí pravidelnou a účinnou aktualizaci nástroje pro ochranu před škodlivým kódem.
„Ochrana před škodlivým softwarem šířeným prostřednictvím e‑mailu. Open source řešením e‑mailové proxy, zajišťujícím ochranu před škodlivým softwarem, je projekt ASSP (AntiSpam SMTP Proxy, https://sourceforge.net/projects/assp/), umožňující komplexní konfiguraci chování mail proxy prostřednictvím webového rozhraní.
Ochrana před škodlivým softwarem šířeným prostřednictvím webu. Vhodným řešením je například projekt HTTP AntiVirus Proxy (http://www.havp.org/) nebo www.cacheguard.com. I zde je nutné zajistit také odpovídající ochranu koncových pracovních stanic, protože šifrovaný provoz není možné v reálném čase skenovat v pozici ‚muže uprostřed‘.
Blokování jeho síťového provozu, a to jak na úrovni datové infrastruktury, tak na úrovni ‚osobních firewallů‘ koncových stanic. Pravidla síťové komunikace by se měla nastavit ‚paranoidně‘, tj. povolit jen provoz nezbytný k fungování legitimního softwaru, vše ostatní zakázat. Opatření na straně serveru, proxy serveru či prvku síťové infrastruktury ale v žádném případě plně nenahrazuje ochranu proti škodlivému softwaru na koncových pracovních stanicích, zejména proto, že nemusí být vždy schopné zachytit šifrovaný provoz, který je dešifrován až na klientském programu.“[8]
5.8.6 Nástroj pro detekci kybernetických bezpečnostních událostí
Někteří správci jsou v rámci fyzické bezpečnosti povinni implementovat, v rámci komunikační sítě, jejíž součástí je informační a komunikační systém, nástroj pro detekci kybernetických bezpečnostních událostí, který zajistí:
- ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi,
- ověření a kontrolu přenášených dat na perimetru komunikační sítě a
- blokování nežádoucí komunikace.
„K detekci kybernetických bezpečnostních událostí lze využít výstupů z mnoha softwarových nástrojů, například prohledávačů logů Logwatch (https://sourceforge.net/projects/logwatch/files/), Epylog (https://fedoraproject.org/wiki/Infrastructure/Fedorahosted-retirement), intrusion detection systémů jako OpenVAS (http://openvas.org/), Suricata (https://suricata-ids.org/), Snort (https://www.snort.org/) nebo Samhain (la‑samhna.de/Samoin).“[9]
5.8.7 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí
Někteří správci jsou v rámci fyzické bezpečnosti musí používat nástroj pro sběr a nepřetržité vyhodnocení kybernetických bezpečnostních událostí, který umožní
- sběr a vyhodnocování událostí,
- vyhledávání a seskupování souvisejících záznamů,
- poskytování informací pro určené bezpečnostní role o detekovaných kybernetických bezpečnostních událostech,
- vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů, včetně včasného varování určených bezpečnostních rolí,
- omezení případů nesprávného vyhodnocení
událostí pravidelnou aktualizací nastavení pravidel pro:
- vyhodnocování kybernetických bezpečnostních událostí,
- včasné varování,
- využívání informací získaných nástrojem pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro optimální nastavení bezpečnostních opatření informačního a komunikačního systému.
Nástrojem pro sběr a vyhodnocení kybernetických bezpečnostních událostí se rozumí nástroje, které jsou označovány jako SIEM (Security Incident and Event Management).
V rámci open source řešení SIEM je možné využít například OSSIM/USM (https://www.alienvault.com/products/usm-anywhere/try-it-now), OSSEC (www.ossec.net/) nebo logalyze (www.logalyze.com).[10]
5.8.8 Aplikační bezpečnost
V případě aplikační bezpečnosti je pozornost věnována aplikacím, které jsou využívané v informačních systémech (ať již v rámci počítačového systému, mobilního zařízení, či jako webová aplikace). Aplikační bezpečnost je mimo jiné zajišťována penetračním testováním aplikací, či aplikačními firewally.
Někteří správci jsou v rámci fyzické bezpečnosti povinni provádět penetrační testy informačního a komunikačního systému se zaměřením na důležitá aktiva, a to:
- před jejich uvedením do provozu a
- v souvislosti s významnou změnou.
Povinná osoba v rámci aplikační bezpečnosti dále musí zajistit trvalou ochranu aplikací, informací a transakcí před:
- neoprávněnou činností,
- popřením provedených činností.
„Z aplikačních firewallů je možné uvést například bezpečnostní moduly webserveru (www.modsecurity.org) nebo OWASP Web Application Firewall. Z komerčních nástrojů pro testování aplikační bezpečnosti jde zejména o nástroj Nessus (www.tenable.com/products/nessusvulnerability‑scanner). Jeho open source alternativou je pak projekt Open‑VAS (www.openvas.org/).“[11]
5.8.9 Kryptografické prostředky
Kryptografie (šifrování) je vědní obor, který se zabývá převodem informací srozumitelných do podoby nesrozumitelné pro příjemce, pokud tento nevlastní klíče, kterým je možné provést rozšifrování dané informace.
S přesunem značného množství dat a informací do systémů ICT je nezbytné věnovat zvýšenou pozornost právě možnostem šifrování (utajování obsahu) přenášených dat.
Někteří správci jsou v rámci fyzické bezpečnosti povinni pro ochranu aktiv informačního a komunikačního systému:
- používat aktuálně odolné kryptografické algoritmy a kryptografické klíče,
- používat systém správy klíčů a certifikátů, který:
- zajistí generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů a likvidaci klíčů,
- umožní kontrolu a audit.
- prosazovat bezpečné nakládání s kryptografickými prostředky,
- zohledňovat doporučení v oblasti kryptografických prostředků vydaná Úřadem (NÚKIB), zveřejněná na jeho internetových stránkách.
„Pro účely zajištění dostatečně odolného šifrování síťového provozu se používají knihovny OpenSSL (openssl.org), avšak je třeba mít zajištěnou jejich aktuálnost a správnou konfiguraci, tak aby se vyhovělo podmínkám této vyhlášky. Je nutné sledovat aktuální zprávy o zranitelnostech a nevyhovující verze knihoven bez otálení upgradovat na varianty bez známých zranitelností. V tomto ohledu lze doporučit projekt bettercrypto (https://bettercrypto.org/), který má administrátorům pomoci s co nejlepším zabezpečením jimi používaných služeb a používané kryptografie.“[12]
5.8.10 Nástroj pro zajišťování úrovně dostupnosti informací
Někteří správci jsou v rámci fyzické bezpečnosti povinni zavést opatření pro zajišťování úrovně dostupnosti, kterými zajistí:
- dostupnost informačního a komunikačního systému,
- odolnost informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům, které by mohly snížit jeho dostupnost,
- dostupnost důležitých technických aktiv informačního a komunikačního systému,
- redundanci aktiv nezbytných pro zajištění dostupnosti informačního a komunikačního systému.
Implementací nástroje pro zajišťování úrovně dostupnosti informací dochází k naplňování organizačního aktiva: řízení kontinuity činností (Business Continuity Management – BCM).
„Pro dosažení předepsané úrovně dostupnosti lze použít clusterové a cloudové technologie vyvíjené jako open source (KVM, OpenStack), případně zajistit dostupnost náhradního aktiva v určeném čase prostřednictvím back‑up/restore softwaru (https://sourceforge.net/projects/bacula/).“[13]
[1] MAISNER, Martin a Barbora VLACHOVÁ. Zákon o kybernetické bezpečnosti. Komentář. Praha: Wolters Kluwer, 2015. 91
[2] Proti pasivnímu a aktivnímu odposlechu musí být oblast zajištěna dostatečně zvukotěsnými stěnami, dveřmi, podlahou a stropem, okna, větrací otvory nebo prostupy klimatizace musí být chráněny technickými prostředky. Oblast musí být chráněna proti odezírání z míst nacházejících se vně jednací oblasti. Do oblasti nesmí být umístěn jakýkoliv nábytek nebo jakékoliv zařízení, pokud neprošly kontrolou, zda v jednací oblasti nedochází k nedovolenému použití technických prostředků určených k získávání informací. Nábytek a zařízení oblasti musí být evidováno (včetně typu, případně sériového a inventárního čísla), včetně historie pohybu. Umísťovat telefonní přístroje v oblasti není žádoucí. Pokud je jejich instalace bezpodmínečně nutná, musí být vybaveny odpojovačem nebo odpojovány ručně před jednáním. Do oblasti nelze vnášet mobilní telefony, jakákoliv nahrávací zařízení, vysílací zařízení, jakákoliv testovací, měřící a diagnostická zařízení a další elektronická zařízení (toto neplatí v případě, že jde o zařízení používané v rámci prováděné prohlídky s vědomím odpovědné osoby nebo jí pověřené osoby. Pro oblast musí být zpracována pravidla pro evidenci a pohyb osob a zařízení.
[3] KODET, Jaroslav. Kybernetický zákon: Využijte naplno open source nástroje. [online]. [cit. 25. 4. 2018]. Dostupné z: https://www.nic.cz/files/nic/doc/Securityworld_CSIRTCZ_112015.pdf
[4] KODET, Jaroslav. Kybernetický zákon: Využijte naplno open source nástroje. [online]. [cit. 25. 4. 2018]. Dostupné z: https://www.nic.cz/files/nic/doc/Securityworld_CSIRTCZ_112015.pdf
[5] Za předpokladu, že povinná osoba doposud nesplnila první z preferovaných autentizačních mechanismů.
[6] Za předpokladu, že povinná osoba doposud nesplnila první či druhý z preferovaných autentizačních mechanismů
[7] KODET, Jaroslav. Kybernetický zákon: Využijte naplno open source nástroje. [online]. [cit. 25. 4. 2018]. Dostupné z: https://www.nic.cz/files/nic/doc/Securityworld_CSIRTCZ_112015.pdf
[8] KODET, Jaroslav. Kybernetický zákon: Využijte naplno open source nástroje. [online]. [cit. 25. 4. 2018]. Dostupné z: https://www.nic.cz/files/nic/doc/Securityworld_CSIRTCZ_112015.pdf
[9] KODET, Jaroslav. Kybernetický zákon: Využijte naplno open source nástroje. [online]. [cit. 25. 4. 2018]. Dostupné z: https://www.nic.cz/files/nic/doc/Securityworld_CSIRTCZ_112015.pdf
[10] KODET, Jaroslav. Kybernetický zákon: Využijte naplno open source nástroje. [online]. [cit. 25. 4. 2018]. Dostupné z: https://www.nic.cz/files/nic/doc/Securityworld_CSIRTCZ_112015.pdf
[11] Tamtéž
[12] KODET, Jaroslav. Kybernetický zákon: Využijte naplno open source nástroje. [online]. [cit. 25. 4. 2018]. Dostupné z: https://www.nic.cz/files/nic/doc/Securityworld_CSIRTCZ_112015.pdf
[13] Tamtéž