O Z B R O J E N É S I L YS Rstvo poãítaãov. Hackeri rozpo‰lú mal˘ vírus alebotrój<strong>sk</strong>eho koÀa, ktor˘m sa nainfikujú miliónypoãítaãov. ·kodliv˘ kód preÏíva v infikovan˘chpoãítaãoch v pasívnej <strong>sk</strong>rytej forme. V istom ãasovomokamÏiku sa aktivuje a v‰etky nakazenépoãítaãe zaãnú naraz, automaticky a bez vedomiapouÏívateºa vysielaÈ poÏiadavky na server, ktor˘je cieºom útoku. Ide pritom o legitímne poÏiadavky,napríklad príkaz na otvorenie domov<strong>sk</strong>ej stránky.KeìÏe je ich v‰ak veºmi veºa, server ich nieje schopn˘ spracovaÈ. Otvorenie internetovejstránky je normálna aktivita, ale keì sa o to v jednejsekunde niekto pokúsi miliónkrát, môÏe to byÈjedine snaha o obmedzenie prevádzky servera.Práve preto, Ïe ide o legitímne poÏiadavky, beÏnéochranné prostriedky nedokáÏu tak˘to útokodhaliÈ a teda ani eliminovaÈ.Ak˘m spôsobom sa organizácie môÏu brániÈ?Cisco je jediná firma na svete, ktorá dokáÏe zastaviÈDoS a DDoS útoky <strong>sk</strong>ôr, ako spôsobia ‰kodu.Máme technické prostriedky, ktoré umoÏÀujúodhaliÈ a odfiltrovaÈ ‰kodlivé toky dát z internetovejprevádzky. Na základe on-line anal˘zymnoÏstva parametrov dátového toku vieme rozoznaÈ,ãi ide o útok alebo nie. Je to v˘sledok dlhodobéhov˘<strong>sk</strong>umu, na ktor˘ Cisco vynakladá viacako ‰tyri miliardy dolárov roãne. Relatívne najväã‰iuãasÈ z tejto sumy dávame práve na oblasÈbezpeãnosti. VyradiÈ informaãné systémy z prevádzkyhacker<strong>sk</strong>˘m útokom je totiÏ stále pomerneãasté.âasté?Áno, lebo ‰írenie ‰kodliv˘ch kódov sa vìakarozvoju internetu a sietí zr˘chºuje. K˘m e‰te preddvadsiatimi rokmi objavenie sa nového vírusu ajeho roz‰írenie trvalo t˘Ïdne, dnes sú to minútyalebo sekundy. Okrem toho existuje mnoÏstvoìal‰ích nástrojov na napadnutie informaãn˘chsystémov. Navy‰e, ak dnes niekto chce byÈ hackerom,nepotrebuje na to ani Ïiadne extra znalosti.Na internete nájde podrobné návody, ako sa nabúraÈdo systémov. Ak do vyhºadávaãa zadáte re-Èazec slov „How to hack“, ponúkne vám vy‰e 31miliónov odkazov. Útoky sa pritom presúvajú zpoãítaãov uÏ aj na iné koncové zariadenia – inteligentnételefóny a PDA prístroje. Takmer s kaÏdounovou verziou operaãného systému pre iPhonesa prakticky súãasne na internete objavujú ajnávody, ako obísÈ jeho ochranné nastavenia, abysa dal pouÏívaÈ i v sieÈach in˘ch operátorov.Dá sa voãi tomu vôbec brániÈ?Cisco pristupuje k rie‰eniu bezpeãnosti informaãn˘chsystémov z dvoch základn˘ch pozícií.Tou prvou je stratégia „Network as the platform“.KeìÏe sieÈová infra‰truktúra dnes spája v‰etkytypy infokomunikaãn˘ch zariadení, snaÏíme sapráve do nej zakomponovaÈ ão najviac inteligentn˘chprvkov. Vìaka tomu, Ïe sieÈ je spoloãnouplatformou pre poãítaãe, tlaãiarne, notebooky ajtelefóny, je zároveÀ ideálnym kanálom, pomocouktorého si organizácie môÏu vynucovaÈ uplatÀovaniebezpeãnostn˘ch pravidiel. Prístupy a právomocijednotliv˘ch <strong>sk</strong>upín pouÏívateºov nemusiaimplementovaÈ do stoviek alebo tisícov koncov˘chzariadení, ale môÏu ich presadzovaÈ cez sieÈ. ZároveÀmajú pod kontrolou, Ïe v‰etky zariadeniav podnikovej sieti sú zabezpeãené.Ako to myslíte?MôÏem to vysvetliÈ na technológii NetworkAdmission Control, ktorú moÏno prevádzkovaÈ nainteligentn˘ch sieÈach. Ide o súbor nástrojov prekontrolu a riadenie prístupov do firemnej siete,ktoré vyvinula spoloãnosÈ Cisco. Prostredníctvomtejto technológie moÏno nastaviÈ, kto a zaak˘ch podmienok sa môÏe pripojiÈ k sieti. TotiÏkaÏdé nezabezpeãené zariadenie v sieti je potenciálnymzdrojom infiltrácie, tzn. napadnutia celejsiete. Ak zamestnanec nemá vo svojom notebookunain‰talovanú napríklad najnov‰iu verziu antivírovejochrany a pripája sa, sieÈ mu neumoÏníprihlásiÈ sa do nej, resp. len v obmedzenej miere,aby si mohol stiahnuÈ a doin‰talovaÈ potrebné aktualizácie.SieÈ si tak˘mto spôsobom dokáÏe vynútiÈ,aby kaÏdé jedno pripojené zariadenie bolozabezpeãené. Network Admission Control je veºmisiln˘ nástroj nielen na zvy‰ovanie bezpeãnosti,ale aj na vynucovanie si firemnej politiky. Pomocouneho si spoloãnosÈ môÏe vynucovaÈ správaniesvojich dodávateºov, partner<strong>sk</strong>˘ch organizácií.MôÏe nastavovaÈ obchodné pravidlá vnútriorganizácie – napríklad nútiÈ zamestnancov vykonaȉkolenia, testy, preãítaÈ si dôleÏit˘ oznam apodobne. Takto sa bezpeãnostné technológie zaãalivyuÏívaÈ na business procesy.Nákazu moÏno dostaÈ do organizácie aj naCD. DokáÏe sa inteligentná sieÈ ochrániÈ ajpre útokmi zvnútra?Jedn˘m z bezpeãnostn˘ch komponentov, ktor˘to dokáÏe, je Cisco Security Agent (CSA). Jeto nieão podobné ako antivírov˘ program, fungujev‰ak na odli‰nom princípe. K˘m antivírus vyhºadávaa zachytáva ‰kodlivé kódy na základe porovnávania‰pecifick˘ch reÈazcov dát, tzv. signatúr,CSA si v‰íma správanie poãítaãa a reaguje naodli‰nosti od normálneho stavu. Ak sa poãítaã alebo<strong>sk</strong>upina poãítaãov pokúsi vykonaÈ aktivitu,ktorá nie je uloÏená v profile, CSA to povaÏuje zaodch˘lku od ‰tandardu správania. Upozorní na Àu,alebo ju rovno odmietne u<strong>sk</strong>utoãniÈ. Ako anomáliumoÏno nastaviÈ aj zasunutie flash di<strong>sk</strong>u do USBportu alebo CD do mechaniky. ·kodliv˘ kód sa takpotom nemá ‰ancu cez tieto média dostaÈ do poãítaãaa siete. Pomocou CSA môÏme zabrániÈ ajvyneseniu citliv˘ch dát z organizácie. Staãí len zadefinovaÈ<strong>sk</strong>upinu pouÏívateºov, ktor˘m chcemezakázaÈ kopírovaÈ dáta na flash di<strong>sk</strong>y, alebo ich napaºovaÈna optické nosiãe. Systém im to nielenÏeneumoÏní, ale zároveÀ zaznamená pokus o zakázanúaktivitu a oznámi to do centrálneho SecuritymanaÏmentu.Cisco Security Agent vie odhaliÈ aj vírusy a iné‰kodlivé kódy?Nevie ich detegovaÈ, na to napokon ani nie jeurãen˘, ale môÏe zabrániÈ tomu, aby spôsobili ‰kodu.Ak v profile zakáÏeme meniÈ konfiguraãné súbory,formátovaÈ di<strong>sk</strong>y alebo vymazávaÈ urãitétypy dát, aj keì sa ‰kodliv˘ kód aktivuje a pokúsisa tieto ãinnosti vykonaÈ, nepodarí sa mu to, leboCSA to jednoducho neumoÏní. Obrov<strong>sk</strong>ou v˘hodoutohto nástroja je, Ïe potrebuje oveºa menejsystémov˘ch prostriedkov ako antivírov˘ program.Okrem toho v‰etky pokusy o nepovolenéaktivity zaznamenáva. Najnov‰ia verzia CSA uÏdokonca umoÏÀuje oznaãovaÈ citlivé typy dát asledovaÈ ich putovanie po sieti, alebo kopírovanie.V˘razne to zjednodu‰uje dokazovanie prípadn˘chbezpeãnostn˘ch incidentov.Spomínali ste, Ïe Cisco uplatÀuje v oblasti bezpeãnostidve stratégie. Prvou je riadenie prístupudo siete a jeho kontrola uÏ na vstupe, ãiÏena porte. Ktorá je tá druhá?Changing the Game:End-to-End IT Security SolutionV‰etky sieÈové komponenty, ktoré vyrábame,majú v sebe zabudované bezpeãnostné prvky.Tieto komponenty v‰ak okrem toho spolu doká-Ïu komunikovaÈ a vymieÀaÈ si bezpeãnostné informácie.Tento prístup oznaãujeme ako Self DefendingNetwork (SDN). Ide o iniciatívu, ktoráumoÏÀuje budovaÈ siete novej generácie. âiÏesieÈ sa stáva nástrojom na identifikáciu, prevenciua obranu pred útokmi. SieÈ, ktorá je inteligentná,má potom aj tendenciu sama sa chrániÈ.Ak˘m spôsobom sa dokáÏe sama ochrániÈ?T˘m, Ïe sú do v‰etk˘ch komponentov a bodovsiete integrované bezpeãnostné prvky, ktoré spoluvedia komunikovaÈ a spolupracovaÈ, sa takátosieÈ dokáÏe „nauãiÈ“ odolávaÈ nov˘m útokom. VsieÈovej infra‰truktúre sa nachádzajú dva typysond – Intrusion Detection System a IntrusionPrevention System. K˘m prvé zaznamenávajúpodozrivé aktivity, druhé im dokáÏu aj brániÈ.Cez ne sa o nich dozvedia aj ostatné zariadenia vsieti. Prosto nauãia sa, Ïe toto sú nebezpeãné dátaa treba ich eliminovaÈ.âo e‰te okrem t˘chto rie‰ení môÏe Cisco ponúknuÈv oblasti bezpeãnosti?Prakticky v‰etko. Cisco má ako jedna z málafiriem na svete kompletné portfólio end-to-endbezpeãnostn˘ch rie‰ení. Pre zákazníka je to veºmidôleÏité, pretoÏe bezpeãnosÈ sa nedá rie‰iÈãiastkovo, ale len systémovo. SieÈ postavená nana‰ich komponentoch obsahuje bezpeãnostné prvkyv kaÏdom bode komunikaãného systému, ãiuÏ sú to poãítaãe, bezdrôtové zariadenia, prepínaãe,smerovaãe alebo riadiace systémy. Zaoberámesa aj aplikaãnou bezpeãnosÈou. Najnov‰iesme zaãali po<strong>sk</strong>ytovaÈ aj rie‰enia fyzickej ochrany,ako sú kamerové, dohºadové a monitorovaciesystémy. Je to nová oblasÈ, ktorú dnes vieme zaãleniÈdo ná‰ho komplexného rie‰enia. Nad v‰etk˘mikomponentmi a aplikáciami vieme ponúkaÈbezpeãnostné manaÏmenty, ktoré prácu s t˘mitozloÏit˘mi bezpeãnostn˘mi rie‰eniami v˘znamnezjednodu‰ujú.Slovo na záver.....Rád by som spomenul, Ïe na‰a spoloãnosÈ zí<strong>sk</strong>alav máji tohto roku celosvetovo uznávan˘ certifikátod medzinárodnej organizácie pre poãítaãovúbezpeãnosÈ Common Criteria pre cel˘ radtechnológií a zariadení ako sú smerovaãe a prepínaãea operaãn˘ systém Cisco IOS IPSec prepodporu bezpeãnosti. Tento certifikát dáva moÏnostiaj vládnym organizáciam pouÏiÈ na‰e technológiepre zv˘‰enie bezpeãnosti v komunikaãn˘cha informaãn˘ch systémoch. Common Criteriacertifikát je v˘znamn˘m predpokladom pre lokálnucertifikáciu vládnych in‰titúcií, pre ktor˘chje bezpeãnosÈ informácií kritickou poÏiadavkou.Certifikát je moÏné nájsÈ na stránke www.commoncriteriaportal.org47
M I N I S T E R S T V O F I N A N C I ÍS R„Hlavnou úlohou dokumentu Národná stratégia pre informaãnú bezpeãnosÈ v SR, predkladanéhoMinisterstvom financií SR, je vytvoriÈ základn˘ rámec informaãnej bezpeãnosti ‰tátu, kde ‰tát predstavuje aparátverejnej moci, t. j. nezávislú a suverénnu organizáciu v politickom systéme spoloãnosti, a to organizáciuzakotvenú v zákonodarstve a ústavnosti. Správne vymedzenie pojmu informaãnej bezpeãnosti je dôleÏitéz hºadi<strong>sk</strong>a vytvárania primárnych legislatívnych pravidiel v uvedenej oblasti, ako aj ìal‰ím krokom k rie‰eniuproblematiky informaãnej bezpeãnosti v SR,“ povedal pre Parlamentn˘ kuriér Ján HOCHMANN,riaditeº odboru legislatívy, metodiky, ‰tandardov a bezpeãnosti informaãn˘ch systémov MF SR.Národná stratégiapre informaãnú bezpeãnosÈ v SRInformaãné a komunikaãné technológiev˘razne ovplyvÀujú v˘voj ºud<strong>sk</strong>ej spoloãnosti.Súãasne sú v‰ak zraniteºné vstupomhackerov, ãi in˘ch naru‰iteºov. DôleÏitá jepreto aj ochrana údajov, ktoré tieto technológieprená‰ajú, zhromaÏìujú, sprostredkujú,uchovávajú…Vzájomne poprepájané informaãné a komunikaãnésystémy tvoria informaãnú a komunikaãnúinfra‰truktúru, prostredníctvomktorej sa v súãasnosti vykonávajú operácie vov‰etk˘ch oblastiach Ïivota spoloãnosti. Predpokladomfungovania spoloãnosti je pretoprimerané zaistenie informaãnej bezpeãnostiv ‰táte. V naj‰ir‰om zmysle to znamená zaistenieochrany celého informaãného priestoruSR a z praktického hºadi<strong>sk</strong>a najmäochranu národného digitálneho priestoru, pozostávajúcehoz informaãného obsahu a tieÏbezprostredného okolia, v ktorom informaãnáa komunikaãná infra‰truktúra pôsobí aktorého bezpeãnosÈ ovplyvÀuje.Relevantn˘mi informaãn˘mi systémami vtomto ponímaní sú v‰etky informaãné systémyverejnej správy v SR, ako aj informaãnésystémy slúÏiace fyzick˘m a právnick˘mosobám pre komunikáciu s verejnou správou.Primerané zabezpeãenie ochrany informaãn˘chzdrojov a cenn˘ch aktív ‰tátu jetaktieÏ dôleÏité najmä z hºadi<strong>sk</strong>a plnenia strategick˘chúloh informatizácie spoloãnosti adosiahnutia stavu interoperability medzi relevantn˘miinformaãn˘mi systémami v SR,s moÏnosÈou ich prepojenia so systémamiãlen<strong>sk</strong>˘ch ‰tátov EÚ, resp. aj s ìal‰ími v˘znamn˘miinformaãn˘mi systémami zahraniãn˘chin‰titúcií mimo ‰tátov EÚ.DôleÏité zrejme je, aby zabezpeãenie informaãn˘chsystémov a ich ochrana pred naru‰iteºmibola taká, aby do nich vstupovalilen oprávnení pouÏívatelia na základe autentifikáciea identifikácie. âo z toho vypl˘va?Nevyhnutnou poÏiadavkou je chrániÈ informáciepred ich zneuÏitím, modifikáciou, po-‰kodením a stratou a to formou zabezpeãeniazaruãen˘m elektronick˘m podpisom, ‰ifrovaním,neustálym monitoringom, zálohovaníma ich archiváciou. Súãasne je potrebné umoÏniÈprístup k elektronick˘m sluÏbám ão najväã‰iemupoãtu fyzick˘ch a právnick˘chosôb. Je preto potrebné prijaÈ opatrenia, ktorézv˘‰ia dostupnosÈ a reálne vyuÏívanie elektronick˘chsluÏieb verejnej správy, nakoºkosúãasn˘ stav v na‰om ‰táte nie je vyhovujúci.Na túto <strong>sk</strong>utoãnosÈ poukázal aj dokumentschválen˘ vládou SR 30. mája 2007 „Koncepciaochrany utajovan˘ch <strong>sk</strong>utoãností“, v ktoromsa uvádza, Ïe „ochrana sa rozvíjala vuplynulom období bez existencie jednotnejkoncepcie, ktorá by komplexne zastre‰ovalacelú problematiku s ohºadom na ciele, postupya financovanie“.Aké sú dnes dôsledky neexistencie takejtojednotnej koncepcie?Dôsledky sa prejavili v tom, Ïe súãasná legislatívaobsahuje len fragmenty informaãnejbezpeãnosti. V súãasnosti neexistuje referenãnémiesto, ktoré by obsahovalo v‰etky relevantnéinformácie o predpisoch, produktocha sluÏbách v oblasti informaãnej bezpeãnostia po<strong>sk</strong>ytovalo komplexné poraden<strong>sk</strong>é sluÏby.Pre odstránene t˘chto nedostatkov je pretopotrebné vy‰koliÈ odborne zdatn˘ personál,ktor˘ bude sledovaÈ v˘voj v oblasti ‰tandardizácie.Súãasne je potrebné zabezpeãiÈ prenospredpisov, ‰tandardov a noriem EÚ doprostredia SR.TaktieÏ v SR neexistuje in‰titúcia, ktorá bypo<strong>sk</strong>ytovala kvalifikovanú podporu pouÏívateºominformaãn˘ch technológií pri rie‰enínásledkov bezpeãnostn˘ch incidentov priich vzniku. Preto je nevyhnutné vytvoriÈ systémreakcií na bezpeãnostné incidenty v súlades medzinárodn˘mi predpismi a zvyklos-Èami a zapojiÈ sa do medzinárodnej spolupráce.Je moÏné kon‰tatovaÈ, Ïe tento nepriazniv˘stav, vzÈahujúci sa na ochranu utajovan˘ch<strong>sk</strong>utoãností, je príznaãn˘ komplexne pre celúoblasÈ informaãnej bezpeãnosti v SR, a to ajna ochranu klasifikovanej informácie, ako ajna ochranu informácie neklasifikovanej. DokumentNárodná stratégia pre informaãnúbezpeãnosÈ v SR, vytvoren˘ Ministerstvomfinancií SR je prv˘m základn˘m dokumentom,ktor˘ popisuje komplexne problematikuinformaãnej bezpeãnosti v SR a navrhujekonkrétne rie‰enia, s v˘nimkou ‰pecifickejoblasti, ktoru sú utajované <strong>sk</strong>utoãnosti.Aké sú hlavné ciele, priority a úlohy tohtodokumentu?Dokument Národná stratégia pre informaãnúbezpeãnosÈ v SR vychádza z cieºov EÚa obsahuje základné strategické ciele dlhodobéhocharakteru, strategické priority a z nichvypl˘vajúce kºúãové úlohy. Globálnym cie-ºom EÚ je dosiahnutie stavu, aby bol európ<strong>sk</strong>ypriemysel pouÏívateºom, vyÏadujúcimvysokú úroveÀ bezpeãnostn˘ch produktov asluÏieb a súãastne aj ich konkurenãn˘m dodávateºom.Druhou základnou poÏiadavkouEÚ je ‰tandardizovaÈ vnútro‰tátne politikyãlen<strong>sk</strong>˘ch ‰tátov, súvisiace s informaãnoubezpeãnosÈou. Pri napæÀaní t˘chto poÏiadaviektreba dodrÏiavaÈ princípy demokratickej48
Change language