Zákony a předpisy upravující kybernetickou bezpečnost

Technická opatření spolu s opatřeními organizačními představují základní prvky bezpečnostních opatření. Zatímco organizační opatření jsou primárně zaměřena na nastavení pravidel a politik v organizaci, technická opatření se primárně věnují pravidlům pro nastavení informačních a komunikačních systémů a služeb.

V rámci jednotlivých technických opatření budou demonstrovány i možné open source nástroje aplikovatelné pro dané opatření.

5.8.1 Fyzická bezpečnost

Fyzická bezpečnost je primárně zaměřena na ochranu technických aktiv daného subjektu. Maisner k fyzické bezpečnosti uvádí, že „cílem tohoto opatření je především zamezení přístupu nepovolaných osob k jednotlivým prvkům infrastruktury, do serveroven, pracovišť správců systému apod. Snahou je vyloučit zcizení majetku přímo i nepřímo souvisejícího s informačním systémem, případně zamezit poškození hmotného i nehmotného vybavení nebo vybavení prostor. V neposlední řadě se snaží zamezit úniku informací a dat.“[1]

Povinná osoba v rámci fyzické bezpečnosti

• předcházet poškození, krádeži nebo zneužití aktiv nebo přerušení poskytování služeb informačního a komunikačního systému,
• stanovit fyzický bezpečnostní perimetr ohraničující oblast, ve které jsou uchovávány a zpracovávány informace a umístěna technická aktiva informačního a komunikačního systému,
• uplatnit u fyzického perimetru prostředky fyzické bezpečnosti:
  • k zamezení neoprávněnému vstupu,
  • k zamezení poškození a neoprávněným zásahům,
  • pro zajištění ochrany na úrovni objektů a v rámci objektů.

Pojem fyzický bezpečnostní perimetr vymezuje určený prostor, respektive hranice tohoto prostoru. Oním prostorem může být například soubor objektů, objekt samotný či část objektu.

Objektem se rozumí budova nebo jiný ohraničený prostor. Hranicí objektu se rozumí plášť budovy, fyzická bariéra (oplocení) nebo jinak viditelně vymezená hranice oblasti. Zabezpečenou oblastí se rozumí stavebně nebo jinak viditelně ohraničený prostor v objektu.

Prostředky fyzické bezpečnosti mohou být:

• mechanické zábranné prostředky (např. zámky, dveře, mříže, folie, skla a další bezpečnostní konstrukční a stavební prvky, skříňové trezory, trezorové dveře a komorové trezory,
• systém kontroly vstupu do zabezpečené oblasti [poplachové a elektronické bezpečnostní systémy, detektory (pohybu, tříštění skla aj.) stanovení podmínek pro vstup: identifikační prvek, PIN, biometrie (případně jejich kombinace)],
• zařízení elektrické zabezpečovací signalizace (poplachové zabezpečovací a tísňové systémy – ústředny elektrické zabezpečovací signalizace, detektory elektrické zabezpečovací signalizace, otřesové detektory, perimetrické detekční systémy, tísňové systémy aj.),
• speciální televizní systémy (kamerové systémy, CCTV sledovací systémy aj.),
• zařízení elektrické požární signalizace (napojení do ústředny elektrické požární signalizace, nebo do ústředny elektrické zabezpečovací signalizace,
• prostředky omezující působení požárů a živelných událostí (poplachové systémy, detektory kouře, samočinné hasící systémy aj.,
• zařízení pro zajištění ochrany před selháním dodávky elektrického napájení (záložní zdroje – UPS, diesel agregáty aj.).

Dále lze implementovat například i:

• zařízeními proti pasivnímu a aktivnímu odposlechu.[2]

Do prostor, u kterých by z pohledu bezpečnosti informačních a komunikačních systémů měl být omezen, resp. regulován vstup, patří zejména serverovny (primární, záložní), prostory se síťovými prvky (router, switch aj.), úložiště dat (kartotéky, NAS úložiště aj.), prostory administrátorů ICT aj.

Autor zažil několik situací, kdy po určité době začala osoba odpovědná za řízení fyzických přístupů udělovat oprávnění ke vstupům osobám, které do daných oblastí (např. serverovny) neměly mít přístup, například jen proto, že o přístup do chráněné oblasti požádal nadřízený manažer, který však k udělení souhlasu neměl dostatečná oprávnění.

V rámci fyzické bezpečnosti je možné využít i nástroje open source. Zejména půjde o případy „realizace pultů centrální ochrany včetně kamerových přehledových systémů. Pro tento účel lze využít nástroje určené pro dohled síťových prvků (Icinga, Nagios a další), doplněné o rozhraní pro odpovídající čidla, propojené s pro gramy pro přenos a zachycení obrazového signálu z bezpečnostních kamer.“[3]

5.8.2 Nástroj pro ochranu integrity komunikačních sítí

Někteří správci jsou v rámci fyzické bezpečnosti povinni:

• zajistit segmentaci komunikační sítě,
• zajistit řízení komunikace v rámci komunikační sítě a perimetru komunikační sítě (tj. řídit bezpečný přístup mezi vnitřní a vnější sítí),
• pomocí kryptografie zajistit důvěrnost a integritu dat při vzdáleném přístupu, vzdálené správě nebo při přístupu do komunikační sítě pomocí bezdrátových technologií (tj. zajistit pomocí kryptografie například VPN, připojování ICT na Wi-Fi aj.),
• aktivně blokovat nežádoucí komunikaci (např. spam filtry aj.),
• pro zajištění segmentace sítě a pro řízení komunikace mezi jejími segmenty využívat nástroj, který zajistí ochranu integrity komunikační sítě.

„Nástrojem pro ochranu integrity komunikačních sítí se tady rozumí vhodně navržená topologie sítě včetně použití síťových prvků umožňujících požadovanou segmentaci sítě a filtraci provozu mezi jednotlivými prvky. Použitá zařízení pro dosažení těchto požadavků představují ethernetové switche, routery a firewally. Pokud nelze zajistit segmentaci sítě pomocí VLAN na upravovatelném přepínači, je možné ji zabezpečit prostřednictvím několika menších nemanagovatelných switchů, z nich každý realizuje jednu fyzickou LAN.

Při segmmentaci některých sítí je možné využít např. i routery Turris (https://www.turris.cz/cs/ ), kde je garantována vysoká bezpečnost (mj. díky firmwaru, který byl  navržen s ohledem a dosažení maximálního možného zabezpečení) a rovněž nízký elektrický příkon.

Softwarové routery/firewally: www.ipcop.org/ ; https://www.ipfire.org/

Ethernetový switch pro virtualizované prostředí: http://www.openvswitch.org/“.[4]

5.8.3 Nástroj pro ověřování identity uživatelů

Někteří správci jsou v rámci fyzické bezpečnosti povinni používat nástroj pro správu a ověření identity uživatelů, administrátorů a aplikací informačního a komunikačního systému.

Tento nástroj je v současnosti de facto součástí všech běžně používaných operačních systémů (Linux, iOS, Windows). Dle VoKB má tento nástroj zajistit

• ověření identity osoby (před zahájením aktivit v informačním a komunikačním systému),
• řízení počtu možných neúspěšných pokusů o přihlášení,
• odolnost uložených nebo přenášených autentizačních údajů proti neoprávněnému odcizení a zneužití,
• ukládání autentizačních údajů ve formě odolné proti off-line útokům,
• opětovné ověření identity po určené době nečinnosti,
• dodržení důvěrnosti autentizačních údajů při obnově přístupu,
• centralizovanou správu identit.

Povinná osoba pro ověření identity uživatelů, administrátorů a aplikací využívá:

1.     autentizační mechanizmus, který není založený pouze na použití identifikátoru účtu a hesla, nýbrž na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů,

2.     nástroj pro ověření identity uživatelů, administrátorů a aplikací, používat autentizaci pomocí kryptografických klíčů a zaručit obdobnou úroveň bezpečnosti[5],

3.     nástroj pro ověření identity uživatelů, administrátorů a aplikací, který používá k autentizaci identifikátor účtu a heslo.[6]

V případě, že je k autentizaci využito účtu a hesla, musí být splněny následující podmínky:

• minimální délka hesla:
  • 12 znaků u uživatelů a
  • 17 znaků u administrátorů a aplikací.
• možnost zadat heslo o délce alespoň 64 znaků,
• možnost použít v hesle malá a velká písmena, číslice a speciální znaky,
• možnost změny hesla, přičemž doba mezi dvěma změnami hesla nesmí být kratší než 30 minut,
• neumožnit uživatelům a administrátorům:
  • zvolit si nejčastěji používaná hesla,
  • tvořit hesla na základě mnohonásobně opakujících se znaků, přihlašovacího jména, e-mailu, názvu systému nebo obdobným způsobem,
  • opětovné použití dříve používaných hesel s pamětí alespoň 12 předchozích hesel.
• pro povinnou změnu hesla v intervalu maximálně po 18 měsících, přičemž toto pravidlo se nevztahuje na účty sloužící k obnově systému v případě havárie,
• vynutí bezodkladnou změnu výchozího hesla po jeho prvním použití,
• bezodkladně zneplatní heslo sloužící k obnovení přístupu po jeho prvním použití nebo uplynutím nejvýše 60 minut od jeho vytvoření,
• zahrne pravidla tvorby bezpečných hesel do plánu rozvoje bezpečnostního povědomí.

„Pro praktické ověřování identity uživatelů nabízí komunita open source dostatek softwaru kompatibilního se svými komerčními protějšky. Jde například o:

FreeRADIUS - http://freeradius.org/ /RADIUS

OpenLDAP - http://www.openldap.org/ /Microsoft AD, Oracle Internet Directory

Kerberos - https://www.gnu.org/software/shishi/

OpenDiameter - https://sourceforge.net/projects/diameter/

Všechny tyto nástroje poskytují prostředky pro vynucení určené složitosti hesla, jakož i dalších atributů požadovaných ZoKB, buď samy o sobě prostřednictvím login.conf, nebo s využitím externích mechanismů jako cracklib a slovníků oblíbených „hesel“.[7]

5.8.4 Nástroj pro řízení přístupových oprávnění

Někteří správci jsou v rámci fyzické bezpečnosti povinni používat centralizovaný nástroj pro řízení přístupových oprávnění.

Pojmem oprávnění se rozumí právo přístupu k některému z aktiv (typicky informačnímu či komunikačnímu systému, aplikacím aj.). V praxi se jedná o nástroj „správy uživatelů a skupin“ a nástroj nastavování oprávnění k souborům a adresářům. Tyto nástroje jsou proprietární součástí všech standardně využívaných operačních systémů.

Centralizovaný nástroj pro řízení přístupových oprávnění, má zajistit řízení oprávnění:

• pro přístup k jednotlivým aktivům informačního a komunikačního systému a
• pro čtení dat, zápis dat a změnu oprávnění.

Je vhodné aplikovat nástroje pro centralizovanou správu přístupových oprávnění, které budou komunikovat s centrálním AAA (Authentication, Authorisation, Accounting) serverem.

5.8.5 Nástroj pro ochranu před škodlivým kódem

Někteří správci jsou v rámci fyzické bezpečnosti nastavit ochranu před škodlivým kódem a to tak, že:

• zajišťují (s ohledem na důležitost aktiv) použití nástroje pro nepřetržitou automatickou ochranu
  • koncových stanic,
  • mobilních zařízení,
  • serverů,
  • datových úložišť a výměnných datových nosičů,
  • komunikační sítě a prvků komunikační sítě,
  • obdobných zařízení.
• monitorují a řídí používání výměnných zařízení a datových nosičů,
• řídí automatické spouštění obsahu výměnných zařízení a datových nosičů,
• řídí oprávnění ke spouštění kódu,
• provádí pravidelnou a účinnou aktualizaci nástroje pro ochranu před škodlivým kódem.

„Ochrana před škodlivým softwarem šířeným prostřednictvím e‑mailu. Open source řešením e‑mailové proxy, zajišťujícím ochranu před škodlivým softwarem, je projekt ASSP (AntiSpam SMTP Proxy, https://sourceforge.net/projects/assp/), umožňující komplexní konfiguraci chování mail proxy prostřednictvím webového rozhraní.

Ochrana před škodlivým softwarem šířeným prostřednictvím webu. Vhodným řešením je například projekt HTTP AntiVirus Proxy (http://www.havp.org/) nebo www.cacheguard.com. I zde je nutné zajistit také odpovídající ochranu koncových  pracovních stanic, protože šifrovaný provoz není možné v reálném čase skenovat v pozici ‚muže uprostřed‘.

Blokování jeho síťového provozu, a to jak na úrovni datové infrastruktury, tak na úrovni ‚osobních firewallů‘ koncových stanic. Pravidla síťové komunikace by se měla nastavit ‚paranoidně‘, tj. povolit jen provoz nezbytný k fungování legitimního softwaru, vše ostatní zakázat. Opatření na straně serveru, proxy serveru či prvku síťové infrastruktury ale v žádném případě plně nenahrazuje ochranu proti škodlivému softwaru na koncových pracovních stanicích, zejména proto, že nemusí být vždy schopné zachytit šifrovaný provoz, který je dešifrován až na klientském programu.“[8]

5.8.6 Nástroj pro detekci kybernetických bezpečnostních událostí

Někteří správci jsou v rámci fyzické bezpečnosti povinni implementovat, v rámci komunikační sítě, jejíž součástí je informační a komunikační systém, nástroj pro detekci kybernetických bezpečnostních událostí, který zajistí:

• ověření a kontrolu přenášených dat v rámci komunikační sítě a mezi komunikačními sítěmi,
• ověření a kontrolu přenášených dat na perimetru komunikační sítě a
• blokování nežádoucí komunikace.

„K detekci kybernetických bezpečnostních událostí lze využít výstupů z mnoha softwarových nástrojů, například prohledávačů logů Logwatch (https://sourceforge.net/projects/logwatch/files/), Epylog (https://fedoraproject.org/wiki/Infrastructure/Fedorahosted-retirement), intrusion detection systémů jako OpenVAS (http://openvas.org/), Suricata (https://suricata-ids.org/), Snort (https://www.snort.org/) nebo Samhain (la‑samhna.de/Samoin).“[9]

5.8.7 Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí

Někteří správci jsou v rámci fyzické bezpečnosti musí používat nástroj pro sběr a nepřetržité vyhodnocení kybernetických bezpečnostních událostí, který umožní

• sběr a vyhodnocování událostí,
• vyhledávání a seskupování souvisejících záznamů,
• poskytování informací pro určené bezpečnostní role o detekovaných kybernetických bezpečnostních událostech,
• vyhodnocování kybernetických bezpečnostních událostí s cílem identifikace kybernetických bezpečnostních incidentů, včetně včasného varování určených bezpečnostních rolí,
• omezení případů nesprávného vyhodnocení událostí pravidelnou aktualizací nastavení pravidel pro:
  • vyhodnocování kybernetických bezpečnostních událostí,
  • včasné varování,
• využívání informací získaných nástrojem pro sběr a vyhodnocení kybernetických bezpečnostních událostí pro optimální nastavení bezpečnostních opatření informačního a komunikačního systému.

Nástrojem pro sběr a vyhodnocení kybernetických bezpečnostních událostí se rozumí nástroje, které jsou označovány jako SIEM (Security Incident and Event Management).

V rámci open source řešení SIEM je možné využít například OSSIM/USM (https://www.alienvault.com/products/usm-anywhere/try-it-now), OSSEC (www.ossec.net/) nebo logalyze (www.logalyze.com).[10]

5.8.8 Aplikační bezpečnost

V případě aplikační bezpečnosti je pozornost věnována aplikacím, které jsou využívané v informačních systémech (ať již v rámci počítačového systému, mobilního zařízení, či jako webová aplikace). Aplikační bezpečnost je mimo jiné zajišťována penetračním testováním aplikací, či aplikačními firewally.

Někteří správci jsou v rámci fyzické bezpečnosti povinni provádět  penetrační testy informačního a komunikačního systému se zaměřením na důležitá aktiva, a to:

• před jejich uvedením do provozu a
• v souvislosti s významnou změnou.

Povinná osoba v rámci aplikační bezpečnosti dále musí zajistit trvalou ochranu aplikací, informací a transakcí před:

• neoprávněnou činností,
• popřením provedených činností.

„Z aplikačních firewallů je možné uvést například bezpečnostní moduly webserveru (www.modsecurity.org) nebo OWASP Web Application Firewall. Z komerčních nástrojů pro testování aplikační bezpečnosti jde zejména o nástroj Nessus (www.tenable.com/products/nessus­vulnerability‑scanner). Jeho open source alternativou je pak projekt Open‑VAS (www.openvas.org/).“[11]

5.8.9 Kryptografické prostředky

Kryptografie (šifrování) je vědní obor, který se zabývá převodem informací srozumitelných do podoby nesrozumitelné pro příjemce, pokud tento nevlastní klíče, kterým je možné provést rozšifrování dané informace.

S přesunem značného množství dat a informací do systémů ICT je nezbytné věnovat zvýšenou pozornost právě možnostem šifrování (utajování obsahu) přenášených dat.

Někteří správci jsou v rámci fyzické bezpečnosti povinni pro ochranu aktiv informačního a komunikačního systému:

• používat aktuálně odolné kryptografické algoritmy a kryptografické klíče,
• používat systém správy klíčů a certifikátů, který:
  • zajistí generování, distribuci, ukládání, změny, omezení platnosti, zneplatnění certifikátů a likvidaci klíčů,
  • umožní kontrolu a audit.
• prosazovat bezpečné nakládání s kryptografickými prostředky,
• zohledňovat doporučení v oblasti kryptografických prostředků vydaná Úřadem (NÚKIB), zveřejněná na jeho internetových stránkách.

„Pro účely zajištění dostatečně odolného šifrování síťového provozu se používají knihovny OpenSSL (openssl.org), avšak je třeba mít zajištěnou jejich aktuálnost a správnou  konfiguraci, tak aby se vyhovělo podmínkám této vyhlášky. Je nutné sledovat aktuální zprávy o zranitelnostech a nevyhovující verze knihoven bez otálení upgradovat na varianty bez známých zranitelností. V tomto ohledu lze doporučit projekt bettercrypto (https://bettercrypto.org/), který má administrátorům pomoci s co nejlepším zabezpečením jimi používaných služeb a používané kryptografie.“[12]

5.8.10 Nástroj pro zajišťování úrovně dostupnosti informací

Někteří správci jsou v rámci fyzické bezpečnosti povinni zavést opatření pro zajišťování úrovně dostupnosti, kterými zajistí:

• dostupnost informačního a komunikačního systému,
• odolnost informačního a komunikačního systému vůči kybernetickým bezpečnostním incidentům, které by mohly snížit jeho dostupnost,
• dostupnost důležitých technických aktiv informačního a komunikačního systému,
• redundanci aktiv nezbytných pro zajištění dostupnosti informačního a komunikačního systému.

Implementací nástroje pro zajišťování úrovně dostupnosti informací dochází k naplňování organizačního aktiva: řízení kontinuity činností (Business Continuity Management – BCM).

„Pro dosažení předepsané úrovně dostupnosti lze použít clusterové a cloudové technologie vyvíjené jako open source (KVM, OpenStack), případně zajistit dostupnost náhradního aktiva v určeném čase prostřednictvím back‑up/restore softwaru (https://sourceforge.net/projects/bacula/).“[13]