Wykrywanie cyberzagrożeń i zapobieganie im

Prosise i Mandiva charakteryzują "zdarzenie związane z bezpieczeństwem komputerowym" (które może być rozumiane jako atak komputerowy lub przestępstwo komputerowe) jako nielegalne, nieuprawnione, niedopuszczalne działanie dotyczące systemu komputerowego lub sieci komputerowej. Działania te mogą mieć na celu np. kradzież danych osobowych, rozsyłanie spamu lub inne formy nękania, sprzeniewierzenie, rozpowszechnianie lub posiadanie pornografii dziecięcej itp.^[1]

Jirásek i in. definiują cyberatak jako "atak na infrastrukturę informatyczną w celu spowodowania szkód i uzyskania wrażliwych lub strategicznie ważnych informacji". Jest on najczęściej używany w kontekście ataków o podłożu politycznym lub militarnym."[2]

Taka definicja cyberataku byłaby bardzo restrykcyjna i nie obejmowałaby wszystkich negatywnych działań użytkowników cyberprzestrzeni[3] , zwłaszcza że łączy w sobie warunki uszkodzenia systemu informatycznego i pozyskania informacji. Cyberatak może być również działaniem socjotechnicznym, w którym jedynym celem jest uzyskanie informacji, lub odwrotnie - atakiem DoS lub DDoS, w którym jedynym celem może być zablokowanie (tj. nieuszkodzenie) funkcjonalności jednego lub kilku systemów komputerowych lub świadczonych usług.

Na podstawie powyższych rozważań atak cybernetyczny^[4] można zdefiniować jako każde bezprawne działanie napastnika w cyberprzestrzeni, skierowane przeciwko interesom innej osoby. Czyny te nie zawsze muszą przybierać formę przestępstwa, ważne jest, by zakłócały normalny tryb życia ofiary. Atak cybernetyczny może być zakończony, jak również znajdować się w fazie przygotowań lub prób.^[5]

Cyberprzestępstwo musi być również atakiem cybernetycznym, ale nie każdy atak cybernetyczny musi być przestępstwem. Wiele ataków cybernetycznych może, nawet przy braku normy prawnokarnej, zostać zaliczonych do czynów, które będą miały charakter przestępstw cywilnych lub administracyjnych, lub też mogą nie być czynami karalnymi na podstawie jakiejkolwiek normy prawnej (np. mogą to być tylko czyny niemoralne lub nieumyślne).

Powodzenie ataku cybernetycznego zależy zazwyczaj od naruszenia jednego z elementów składających się na bezpieczeństwo cybernetyczne (ludzie, procesy i technologia). Elementy te muszą być stosowane lub modyfikowane w całym cyklu życia. W szczególności zapobieganie, wykrywanie i reagowanie na atak.[6] Bezpieczeństwo technologii informatycznych, informacji i danych jest również bezpośrednio uzależnione od przestrzegania zasad "C", "I", "A".

Elementy bezpieczeństwa cybernetycznego

Chcąc zdefiniować pojęcie cyberataku, należy posłużyć się definicjami wynikającymi z ustawy nr 181/2014 Sb. o cyberbezpieczeństwie i o zmianach w powiązanych ustawach (ustawa o cyberbezpieczeństwie).[7] W sekcji 7 ustawy zdefiniowano pojęcia "zdarzenie zagrażające bezpieczeństwu cybernetycznemu" i "incydent zagrażający bezpieczeństwu cybernetycznemu". Incydent bezpieczeństwa cybernetycznego to "zdarzenie, które może spowodować naruszenie bezpieczeństwa informacji w systemach informatycznych lub naruszenie bezpieczeństwa usług albo bezpieczeństwa i integralności sieci łączności elektronicznej". De facto jest to zdarzenie, które nie ma realnych negatywnych konsekwencji dla danego systemu komunikacyjnego lub informatycznego, ale w istocie jest to tylko zagrożenie, które musi być realne.

Incydent bezpieczeństwa cybernetycznego to "naruszenie bezpieczeństwa informacji w systemach informatycznych lub naruszenie bezpieczeństwa usług i/lub bezpieczeństwa i integralności sieci łączności elektronicznej w wyniku zdarzenia związanego z bezpieczeństwem cybernetycznym". Incydentem związanym z bezpieczeństwem cybernetycznym jest zatem naruszenie bezpieczeństwa informacji w systemach informatycznych lub naruszenie bezpieczeństwa usług albo bezpieczeństwa i integralności sieci łączności elektronicznej, tj. zakłócenie działania systemu informacyjnego lub komunikacyjnego o negatywnych skutkach.