CSIRT a CERT

Před vymezením pojmů hrozba, událost, incident a útok považujeme za nezbytné alespoň rámcově definovat pojem riziko, které s následně definovanými pojmy bezprostředně souvisí.

Výkladový slovník kybernetické bezpečnosti definuje riziko jako: „(1) Nebezpečí, možnost škody, ztráty, nezdaru. (2) Účinek nejistoty na dosažení cílů. (3) Možnost, že určitá hrozba využije zranitelnosti aktiva nebo skupiny aktiv a způsobí organizaci škodu.“[1]

Riziko je také možné definovat jako potenciál, že se hrozba stane reálnou a využije zranitelnosti aktiva. Dle čl. 4 odst. 9 NIS se rizikem rozumí „jakákoli přiměřeně rozpoznatelná okolnost nebo událost, která by mohla mít negativní dopad na bezpečnost sítí a informačních systémů.“ V kyberprostoru jsou rizikům vystaveni jak uživatelé, tak počítačové systémy a aplikace, které je využívají, tak další prvky ICT.

Pojem riziko vyjadřuje pravděpodobnost, s jakou může nastat nechtěná událost. Míra pravděpodobnosti, s jakou tato událost nastane, se vyjadřuje pomocí analýzy rizik. Minimální normové hodnoty pro metody identifikace, analýzy, hodnocení a ošetření rizik jsou definovány v ČSN EN 31010.

Obrázek 11: Vazby mezi principy, rámcem a procesem managementu rizik[2]

Valášek a kol.[3] uvádějí, že se při stanovení rizik obvykle vychází ze tří základních otázek:

§  Co špatného (nežádoucího) se může stát? Co může selhat?

§  Jaká je možnost / pravděpodobnost, že se to stane?

§  Jak závažné (intenzita, velikost apod.) mohou být účinky (dopady, následky)?

Dle Valáška však tyto otázky představují pouze základní rámec, který je schopen definovat vlastní riziko. Vedle těchto tří otázek jsou pokládány následující doplňující otázky, které se vztahují k významným faktorům ovlivňujícím charakteristiku rizika:

U každého rizika se počítá stupeň významnosti rizika, který je možné vyjádřit následovně:

Významnost rizika = Dopady rizika * Pravděpodobnost výskytu rizika

„Výsledkem analýzy rizik je stanovení významnosti definovaných rizik. Každé riziko, s ohledem na zadání, má různé dopady, které může způsobit. Dopady rizika neboli následky hodnotíme v pětibodové stupnici např. takto:“ 

Kromě dopadu jednotlivá rizika mohou nastat anebo také nemusí. Proto se stanovuje pravděpodobnost vzniku rizika. Výskyt opět hodnotíme na pětibodové stupnici takto:[4] 

Při hodnocení rizika je krom výše uvedeného třeba přihlédnout i k dalším okolnostem, kterými jsou:

§  vlastní povaha (druh) rizika či hrozby,

§  zranitelnost aktiva,

§  pravděpodobnosti, že se riziko promění v bezpečnostní událost či incident.

Analýza rizik je značně obtížná a vyžaduje znalost aktiv, hrozeb a zejména je třeba mít v této oblasti již nějaké zkušenosti. Na základě analýzy rizik je možné stanovit opatření za účelem minimalizace nebo úplného odstranění rizik.

1.3.1        Aktivum

Aktivem se rozumí cokoliv, co má určitou hodnotu pro osobu, organizaci či stát.

Aktivum může být věcí hmotnou (budova, počítačový systém, sítě, energie, zboží aj.) či nehmotnou (informace, znalosti, data, programy aj.) z pohledu občanského práva.

Aktivem však může být i vlastnost (např. dostupnost a funkčnost systému a dat aj.) či dobré jméno, reputace atd. Lidé (uživatelé, administrátoři aj.) a jejich znalosti a zkušenosti jsou také z pohledu kybernetické bezpečnosti aktivem.

Dle § 2 písm. f) a g) VoKB se aktiva dělí na podpůrná a primární.

Podpůrným aktivem je technické aktivum, zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a komunikačního systému.

Primárním aktivem je informace nebo služba, kterou zpracovává nebo poskytuje informační a komunikační systém.

1.3.2        Zranitelnost

Zranitelnost (vulnerability) označuje slabé místo aktiva, softwaru, zabezpečení, které je využito jednou nebo více hrozbami.

Zranitelnost, stejně jako hrozba, může být způsobena celou řadou faktorů spočívajících jak v jednání člověka, technické závadě, tak případně zásahu vyšší moci.

V oblasti kybernetické bezpečnosti se zranitelnosti dělí na:

• zranitelnosti známé (publikované)

• zranitelnosti neznámé

V případě neznámých zranitelností je významné, zda jsou objeveny útočníkem, výrobcem, bezpečnostním analytikem, osobou zabývající se penetračním testováním či uživatelem. Stejně tak je významná motivace osoby, která danou zranitelnost objeví.

Bezpečnostní zranitelnosti jsou potenciálními bezpečnostními hrozbami. Bezpečnostní zranitelnosti lze do určité míry eliminovat důsledným aktualizováním a záplatováním veškerého softwaru.[5]

Vyhláška o kybernetické bezpečnosti v příloze č. 3 uvádí příkladmo některé ze zranitelností. Dle této vyhlášky je zranitelností:

1.     nedostatečná údržba informačního a komunikačního systému,

2.     zastaralost informačního a komunikačního systému,

3.     nedostatečná ochrana vnějšího perimetru,

4.     nedostatečné bezpečnostní povědomí uživatelů a administrátorů,

5.     nevhodné nastavení přístupových oprávnění,

6.     nedostatečné postupy při identifikování a odhalení negativních bezpečnostních jevů, kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů,

7.     nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit jejich nevhodné nebo závadné způsoby chování,

8.     nedostatečné stanovení bezpečnostních pravidel, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů, administrátorů a bezpečnostních rolí,

9.     nedostatečná ochrana aktiv,

10.  nevhodná bezpečnostní architektura,

11.  nedostatečná míra nezávislé kontroly,

12.  neschopnost včasného odhalení pochybení ze strany zaměstnanců.

[3] VALÁŠEK, Jarmil, František KOVÁŘÍK a kol. Krizové řízení při nevojenských krizových situacích. Praha: Ministerstvo vnitra - generální ředitelství Hasičského záchranného sboru ČR, 2008. [online]. [cit. 1. 7. 2018]. Dostupné z: http://www.hzscr.cz/soubor/modul-c-krizove-rizeni-pri-nevojenskych-krizovych-situacich-pdf.aspx