Čo je to kybernetická bezpečnosť?

Čo je to kybernetická bezpečnosť?

Bezpečnosť
Zoom Out Zoom In
Od
016661
16:12 3. marca 2017

 

Dnes už zrejme nikto nepochybuje o tom, že ľudia sú na informáciách závislí. A nie je to len závislosť v zmysle pohľadov, neustále sklonených ku mobilným telefónom. Veď závislosť na informáciách sa týka už aj mnohých hospodárskych odvetví a správy vecí verejných.

Informácií je viac, než kedykoľvek predtým, informácie sú spracúvané rýchlejšie a   v obrovských objemoch, najmä v elektronickej podobe. Teda i riziká sa v oveľa výraznejšej miere presúvajú do toho imaginárneho obláčika, ktorý sa nazýva kybernetický priestor. Spolu s tým prichádza ďalšia vlna intenzívneho používania výrazu „kybernetická bezpečnosť“. Čo sa skrýva za týmto výrazom?

 

Nezamieňajme si kybernetiku s bezpečnosťou

Predovšetkým – kybernetika s bezpečnosťou súvisí iba nepriamo, keďže ako vedný odbor sa kybernetika zaoberá zásadami prenosu informácií a riadením dynamických systémov.

Samotná podstata slova pochádza zo starogréckeho výrazu kybernétes = kormidelník. V spisoch starovekých spisovateľov, hlavne v Platónových Dialógoch sa uvádza kybernetika – náuka o správnom riadení provincií.

Moderná kybernetika vznikla postupne, čiastočnou fúziou niekoľkých vedných odborov, ako matematická logika, fyzika, evolučná biológia, neurológia a elektrotechnika. Pri skúmaní prírodných javov v živých organizmoch totiž vedci dospeli k poznaniu, že mnohé fyzikálne a chemické procesy nebude možné popísať bez matematickej analýzy, založenej na skúmaní hromadných javov, ani bez matematickej syntézy, založenej na modelovaní štruktúrne zhodných objektov. Až oveľa neskôr sa kybernetika začala približovať teórii spracovania informácií a nakoniec aj teórii počítačových strojov.

Organizmy, systémy, podsystémy, ekosystémy majú niekoľko spoločných vlastností. Predovšetkým si vymieňajú informácie, ktoré podľa svojich vlastných potrieb spracovávajú, využívajú a prípadne si ich zapamätajú. Medzi jednotlivými komponentami systému (alebo organizmu) vzniká vzťah, ktorý sa nazýva spätná väzba. Systémy sa vzájomne ovplyvňujú a ich reakcie závisia len na spôsobe odovzdania a prijatia informácie. To platí rovnako pre človeka, pre počítače, pre živú a neživú prírodu, zvieratá, rastliny, astronomické objekty, pre riadenie výrobných liniek, či leteckej prevádzky, pre vojenské operácie, či pre riadenie štátov. Táto závislosť je univerzálna a platí pre celý známy i neznámy vesmír.

Za zakladateľa novodobej kybernetiky je považovaný americký matematik a filozof Norbert Wiener. Pracoval v odbore matematickej analýzy a v teórii elektronických obvodov. V roku 1948 vydal knihu „Kybernetika, alebo riadenie a oznamovanie v živých organizmoch a strojoch“, v ktorej po prvýkrát použil názov kybernetika v novom, modernom slova zmysle.

Zjednodušene sa dá tvrdiť, že v dnešnej informačnej spoločnosti sa prídavné meno „kybernetický“ chápe ako synonymum výrazu „elektronicky spracúvaný“, alebo „týkajúci sa kybernetického priestoru“.

Kybernetický priestor má svoju definíciu. Nájdete ju v mnohých odborných slovníkoch, alebo aj v návrhu nového zákona o kybernetickej bezpečnosti. Požičiam si práve definíciu z návrhu zákona:  kybernetickým priestorom je globálny dynamický otvorený systém, ktorý tvoria elektronické komunikačné siete, informačné systémy, ich programové vybavenie a údaje, ktoré sa pomocou nich spracovávajú, elektronické subsystémy riadiacich, výrobných, bezpečnostných a iných systémov a zariadení, činnosti, ktoré v jednotlivých častiach tohto systému prebiehajú, vzťahy a interakcie medzi časťami, prvkami a subsystémami tohto systému.

Zdá sa Vám to zložité? Vôbec nie. Zjednodušene sa dá tvrdiť, predpona „cyber“ nadobúda zmysel vtedy a práve vtedy, ak je predmet diskusie v oblasti elektronického spracovania dát.

 

Pomáhať a chrániť – alebo čo je to vlastne bezpečnosť?

Na Slovensku máme obrovské množstvo odborníkov na všetko. Je niekoľko oblastí, v ktorých má vedľajšiu špecializáciu väčšina občanov, napríklad hokej, futbal, ekonómia, politika… Bezpečnosť tam nepochybne patrí tiež. Bola by to úsmevná miestna subkultúra, pokiaľ by sa k otázkam bezpečnosti ľudia vyjadrovali iba v rámci všeobecných diskusií pri víne.

Pojem „Bezpečnosť“ („Security“) pochádza z latinského securitas /sine cura + tutus/, čiastočne je slovo odvodené z nemeckého Sicherheit. Tie výrazy znamenajú bezstarostnosť, bezpečnosť, istotu, pokoj, ochranu, zabezpečenie, nespornosť. V každom význame slova je to stav, v ktorom je zachovaná bezpečnosť, poriadok alebo je chránený život, zdravie, prostredie či majetok, t. j. keď sú chránené aktíva a objekty vo vlastníctve nejakého subjektu.

Výraz „bezpečnosť“ môže byť vykladaný dynamicky, alebo staticky. Teda,  buď ako určitý momentálny stav, alebo naopak, ako bežiaci proces, živá spoločenská doména, kontinuálne prebiehajúca oblasť ľudskej činnosti.

Zaujímavé je napríklad chápanie bezpečnosti v rámci spoločenských vied. Vo význame vnútornej bezpečnosti  je to súhrn spoločenských vzťahov, ktoré upravuje právo a ktoré chránia práva a oprávnené záujmy fyzických a právnických osôb, záujmy spoločnosti a ústavné zriadenie, faktická úroveň, ako sa tieto vzťahy chránia, kategóriu, v ktorej sa chápe bezpečnosť, ako prípustná miera nebezpečenstva. V tomto dynamickom vnímaní je to proces, ktorý zaisťuje bezpečnosť, neporušiteľnosť, nedotknuteľnosť (safe); ochranu (protection), obranu (defence).

Na výsledný statický stav bezpečnosti môžeme nahliadať dvoma spôsobmi:

  • objektívny – daný skutočnou absenciou ohrozenia,
  • subjektívny – ako dôsledok absencie vnímania ohrozenia.

Bezpečnosť sama o sebe je teda značne široký pojem, ktorému zvykne byť v rôznych oblastiach ľudskej činnosti pripisovaný rôzny význam. V oblasti hrozieb, pôsobiacich na informačné aktíva, má tento výraz svoje špecifiká a odlišný, radikálnejší význam, než aký je tomuto výrazu bežne pripisovaný, napr. v súvislosti s funkciami polície, alebo iných fenoménov vnútri štátu.

Nech už ale hovoríme o ktorejkoľvek subdoméne bezpečnosti, máme na mysli určitý „status bezpečnosti“, objektívne opísateľný stav relatívneho bezpečia pred hrozbami a rizikami pre určitú skupinu ľudí, či už je tým myslený štát, mesto, pracovisko, dom, systém…  A tu sme pri merite veci.

 

Bezpečnosť informácií

Dáta sa stávajú informáciami vtedy, ak nadobudnú zmysel a hodnotu. Hodnotu informácií určuje vždy ich vlastník, teda ten, pre koho informácie majú svoj význam. Či už pre výuku, tvorbu zisku, riadenie výrobnej linky, dopravný, alebo energetický dispečing, prípadne riadenie spoločenských vzťahov. To posledné (pevne verím) je v našom, už temer orwellovskom svete, čo najmenej automatizované.

Ak sú informácie dáta, ktoré majú vlastníka, kontext a hodnotu, potom informačná bezpečnosť znamená bezpečnosť informácií.

To je stav, v ktorom sú informácie považované za bezpečné, je to časť informačného  manažmentu bez ohľadu na fyzikálny stav dát, bez ohľadu na ich formát, bez ohľadu na spôsob ich interpretácie a bez ohľadu na médium, prostredníctvom ktorého sú uchovávané a prenášané.

Platnou definíciou pre informačnú bezpečnosť je tiež manažment hrozieb a rizík, ktoré pôsobia na informačné aktíva. Alebo – manažment hrozieb a rizík, ktoré pôsobia na dáta.

 

Kyberbezpečnosť, kyberkriminalita, kyberobrana…

O význame výrazu kybernetická bezpečnosť som už písal v inom článku: TU.

Ako som spomenul v úvode, vyskytujú sa niektoré (našťastie ojedinelé) tvrdenia, že kybernetický priestor je „časť reálneho priestoru, ktorý môže byť ovplyvnený aktivitou v kybernetickom priestore“. S tým zásadne nemôžem súhlasiť.

Korelácia nie je kauzalita a bolo by nekorektné tvrdiť, že predponu „kybernetický“ alebo „cyber“ dáme každej ľudskej činnosti, pre ktorú sú dáta a ich spracovanie dôležité.

Nebolo by tiež pravdou tvrdenie, že každá ľudská činnosť, pri ktorej na dáta pôsobia nejaké hrozby, je činnosť „kybernetická“, pretože v dnešnej dobe zrejme niet takej činnosti v reálnom svete, ktorá by nemohla byť ovplyvnená prostredníctvom aktivity v kybernetickom priestore. Skrátka IT preniklo do všetkých oblastí života. Samozrejme aj do tých najcitlivejších – do národnej obrany, do kriminálnej činnosti, do kritickej infraštruktúry, do základných služieb, do ochrany života a zdravia občanov.

Ak chceme nájsť hranicu medzi tým čo je a čo už (alebo čo ešte) nie je kybernetická bezpečnosť, musíme rozlišovať, či na definíciu kybernetickej bezpečnosti nahliadame z pohľadu SUBJEKTU (t. j. pozorovateľa), ktorého sa elektronicky spracúvané informácie týkajú, alebo z pohľadu OBJEKTU (t. j. predmetu pozorovania).

Subjekt je vlastník informácie. Avšak pozorovanie ani vlastníctvo nevzniká bez existencie objektu – v tomto prípade dát samotných.

Z pohľadu vojensko-politického je bezpečnosť vyjadrená prežitím, zachovaním existencie a zásadných ľudských hodnôt. Ale o akom PREDMETE diskutujeme v prípade kybernetickej vojny (cyber war), kybernetickej obrany (cyber-defence), ochrany pred kybernetickou kriminalitou (cybercrime)? Bezpochyby o dátach. Dôležitých, ba až extrémne dôležitých, ale o dátach.

Dáta v tomto vzťahu predstavujú OBJEKT, zatiaľ čo ľudia sú tí, ktorí vnímajú dopad hrozieb. Ľudia sú preto SUBJEKT pozorovania.

Aj v právnej teórii je objekt predmetom, ktorý má byť právnym vzťahom dosiahnutý. Za objekt za považujú statky, aktíva. V tomto prípade tzv. informačné aktíva.

Vo všetkých troch prípadoch, uvedených v nadpise, sa jedná o nepochybne dôležité ľudské činnosti, ktoré sa všetky sústredia na ochranu dát, týkajúcich sa týchto činností, alebo dát ovplyvnených týmito činnosťami. A ochrana dát, to je informačná bezpečnosť. Viďte vyššie.

Ak dôjde ku zlomyseľnej manipulácii s dátami, je narušená ich dôvernosť alebo integrita, alebo dostupnosť, čo sú základné atribúty spoľahlivosti, teda bezpečnosti informácie.  To isté platí pre neoprávnenú, zlomyseľnú, neetickú obsluhu, a/alebo algoritmizáciu dát.

 

Prečo vlastne existuje nedorozumenie?

Pokiaľ ide o politikov a topmanažérov, to nástojčivé používanie výrazu „kybernetická bezpečnosť“ spočíva najmä v marketingu. Skrátka – výraz „kybernetický“ a predpony „kyber“ či „cyber“ znejú príťažlivejšie a prednášajúceho to v očiach poslucháča robí odborne zdatnejším.

Rozdielne ponímanie odborovej kategorizácie bezpečnosti od niektorých kolegov z branže, spočíva v chybnom presadzovaní pohľadu z pozície subjektu a určitom vedomom potláčaní podstaty, či existencie objektu.

V technických odboroch autoritatívnou referenciou pre názvoslovie je (a dúfam, že ešte dlho zostane) príslušná medzinárodná technická norma. Názvoslovie a popis vzťahov v oblasti  kybernetickej bezpečnosti, popis jedinečných aspektov tejto činnosti, vzťah ku iným bezpečnostným doménam a základné postupy pre všetky zainteresované strany v kybernetickom priestore,  poskytuje medzinárodná norma ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity.

Odhliadnuc od faktu, že platí ISO 27032, je možné naďalej tvrdiť, že prídavné meno „kybernetická“ sa k bezpečnosti hodí len ak hovoríme o bezpečnosti elektronicky spracovaných dát. Elektronicky spracované  je aj elektronicky ovládané – teda samozrejme, že rovnaká logika platí aj pre riadiace systémy.

Pre poriadok treba uviesť, že technická normalizácia v informačnej bezpečnosti sa nezaoberá niektorými špecifickými odvetviami. Ako napríklad národnou obranou a kriminalistikou. Vzhľadom na vysokú úroveň špecializácie, sú tieto činnosti prirodzene ponechané na rozvoj samostatných odvetví, pričom nikto z odbornej verejnosti voči tomu nenamieta. Stále sú to však odvetvia, ktoré boli odvodené z informačnej bezpečnosti. Pretože objektom ochrany je zaručenie bezpečnosti informácií, nie pocit bezpečnosti ich vlastníkov.

 

Ivan Makatura

Od I. Makatura

Generálny riaditeľ Kompetenčného a certifikačného centra kybernetickej bezpečnosti. Súdny znalec v odvetví Bezpečnosť a ochrana informačných systémov a certifikovaný audítor kybernetickej bezpečnosti. Predseda Asociácie kybernetickej bezpečnosti, člen rady ISACA Slovensko. Vyštudoval odbor aplikovaná informatika na FEI TU v Košiciach a postgraduálne štúdium na STU v Bratislave.

Odporúčané príspevky

Newer Post
Older Post

Vyjadrite váš názor v komentároch