Wykrywanie cyberzagrożeń i zapobieganie im
2. Pojęcie cyberprzestępczości i pojęcia pokrewne
2.3. Cyberatak
Prosise i Mandiva charakteryzują "zdarzenie związane z bezpieczeństwem komputerowym" (które może być rozumiane jako atak komputerowy lub przestępstwo komputerowe) jako nielegalne, nieuprawnione, niedopuszczalne działanie dotyczące systemu komputerowego lub sieci komputerowej. Działania te mogą mieć na celu np. kradzież danych osobowych, rozsyłanie spamu lub inne formy nękania, sprzeniewierzenie, rozpowszechnianie lub posiadanie pornografii dziecięcej itp.[1]
Jirásek i in. definiują cyberatak jako "atak na infrastrukturę informatyczną w celu spowodowania szkód i uzyskania wrażliwych lub strategicznie ważnych informacji". Jest on najczęściej używany w kontekście ataków o podłożu politycznym lub militarnym."[2]
Taka definicja cyberataku byłaby bardzo restrykcyjna i nie obejmowałaby wszystkich negatywnych działań użytkowników cyberprzestrzeni[3] , zwłaszcza że łączy w sobie warunki uszkodzenia systemu informatycznego i pozyskania informacji. Cyberatak może być również działaniem socjotechnicznym, w którym jedynym celem jest uzyskanie informacji, lub odwrotnie - atakiem DoS lub DDoS, w którym jedynym celem może być zablokowanie (tj. nieuszkodzenie) funkcjonalności jednego lub kilku systemów komputerowych lub świadczonych usług.
Na podstawie powyższych rozważań atak cybernetyczny[4] można zdefiniować jako każde bezprawne działanie napastnika w cyberprzestrzeni, skierowane przeciwko interesom innej osoby. Czyny te nie zawsze muszą przybierać formę przestępstwa, ważne jest, by zakłócały normalny tryb życia ofiary. Atak cybernetyczny może być zakończony, jak również znajdować się w fazie przygotowań lub prób.[5]
Cyberprzestępstwo musi być również atakiem cybernetycznym, ale nie każdy atak cybernetyczny musi być przestępstwem. Wiele ataków cybernetycznych może, nawet przy braku normy prawnokarnej, zostać zaliczonych do czynów, które będą miały charakter przestępstw cywilnych lub administracyjnych, lub też mogą nie być czynami karalnymi na podstawie jakiejkolwiek normy prawnej (np. mogą to być tylko czyny niemoralne lub nieumyślne).
Powodzenie ataku cybernetycznego zależy zazwyczaj od naruszenia jednego z elementów składających się na bezpieczeństwo cybernetyczne (ludzie, procesy i technologia). Elementy te muszą być stosowane lub modyfikowane w całym cyklu życia. W szczególności zapobieganie, wykrywanie i reagowanie na atak.[6] Bezpieczeństwo technologii informatycznych, informacji i danych jest również bezpośrednio uzależnione od przestrzegania zasad "C", "I", "A".
Elementy bezpieczeństwa cybernetycznego
Chcąc zdefiniować pojęcie cyberataku, należy posłużyć się definicjami wynikającymi z ustawy nr 181/2014 Sb. o cyberbezpieczeństwie i o zmianach w powiązanych ustawach (ustawa o cyberbezpieczeństwie).[7] W sekcji 7 ustawy zdefiniowano pojęcia "zdarzenie zagrażające bezpieczeństwu cybernetycznemu" i "incydent zagrażający bezpieczeństwu cybernetycznemu". Incydent bezpieczeństwa cybernetycznego to "zdarzenie, które może spowodować naruszenie bezpieczeństwa informacji w systemach informatycznych lub naruszenie bezpieczeństwa usług albo bezpieczeństwa i integralności sieci łączności elektronicznej". De facto jest to zdarzenie, które nie ma realnych negatywnych konsekwencji dla danego systemu komunikacyjnego lub informatycznego, ale w istocie jest to tylko zagrożenie, które musi być realne.
Incydent bezpieczeństwa cybernetycznego to "naruszenie bezpieczeństwa informacji w systemach informatycznych lub naruszenie bezpieczeństwa usług i/lub bezpieczeństwa i integralności sieci łączności elektronicznej w wyniku zdarzenia związanego z bezpieczeństwem cybernetycznym". Incydentem związanym z bezpieczeństwem cybernetycznym jest zatem naruszenie bezpieczeństwa informacji w systemach informatycznych lub naruszenie bezpieczeństwa usług albo bezpieczeństwa i integralności sieci łączności elektronicznej, tj. zakłócenie działania systemu informacyjnego lub komunikacyjnego o negatywnych skutkach.
[1] PROSISE, Chris i Kevin MANDIVA. Reagowanie na incydenty i informatyka śledcza, wydanie drugie. Emeryville : McGraw-Hill, 2003, s. 13.
Por. dalej CASEY, Eoghan. Digital Evidence and Computer Crime: Forensic Science, Computers, and the Internet, Second Edition. Londyn: Academic Press, 2004, s. 9 i nast.
[2] JIRÁSEK, Petr, Luděk NOVÁK i Josef POŽÁR. Słownik interpretacyjny bezpieczeństwa cybernetycznego. [Wydanie 2. zaktualizowane. 2. edycja: AFCEA, 2015, s. 59. Dostępny w Internecie: http://afcea.cz/cesky-slovnik-pojmu-kyberneticke-bezpecnosti/
[3] W szczególności w definicji brakuje określenia jakiejkolwiek innej motywacji atakującego niż ta, która miałaby na celu ...spowodowanie szkód lub zdobycie strategicznie ważnych informacji. Przykładem nieobjętym tą definicją są ataki o podłożu ekonomicznym, których liczba obecnie gwałtownie wzrasta.
[4] Należy odróżnić pojęcie incydentu bezpieczeństwa od pojęcia cyberataku, który stanowi naruszenie bezpieczeństwa IS/IT i zasad zdefiniowanych w celu jego ochrony (polityka bezpieczeństwa).
[5] Przykładem może być atak wirusa Conficker stworzonego przez botnet. To kończy atak. Pozostaje jednak pytanie, do jakich celów ostatecznie zostanie wykorzystana ta sieć (być może jest to przygotowanie do znacznie poważniejszego ataku cybernetycznego).
[6] Więcej informacji na ten temat można znaleźć w artykule SVOBODA, Ivan. Rozwiązania w zakresie cyberbezpieczeństwa. Wykład w Akademii CRIF. (23. 9. 2014)
[7] Zwana dalej ustawą o bezpieczeństwie cybernetycznym