Řízení informační bezpečnosti PV017 Kamil Malinka (využity materiály Doc. Staudka a konzultace Prof. Matyáše) Verze: podzim 2023 Osnova • Úvod a motivace • Informační bezpečnost • Základní pojmy • Aktiva • Zranitelnost • Hrozba • Útok • Riziko • Opatření • Bezpečnostní mechanismus • Generické rysy zabezpečení (,,Safety“ X „Security“) X „Bezpečnost“ • Co tyto pojmy znamenají? • Jaký je mezi nimi rozdíl? (,,Safety“ X „Security“) X „Bezpečnost“ 1/2 • Safety, (bezpečí) • Bezpečí se mnohdy chápe jako chránění proti nahodilým událostem • Stav bytí v chráněné oblasti, ve kterém je zajištěna ochrana proti fyzickému, sociálnímu, duchovnímu, finančnímu, politickému, emocionálnímu, pracovnímu, psychologickému, vzdělávacímu nebo jinému typu nebo důsledku selhání, poškození, chyby, nehody, či jiné události, která by mohla být považována za nežádoucí • Bezpečí může mít podobu chránění osob nebo hmotných či nehmotných hodnot (aktiv) před událostmi nebo vystaveními skutečnostem způsobujícím zdravotní, ekonomické, … ztráty (škody) • Tedy - bezpečí je stav bytí, ve kterém platí, že za definovaných podmínek někdo či něco nezpůsobí škodu. (,,Safety“ X „Security“) X „Bezpečnost“ 2/2 • Security, bezpečnost • Ochránění proti úmyslným škodám na aktivech • V širším slova smyslu ochránění před poškozením osob nebo hmotných či nehmotných aktiv v důsledku úmyslných (trestných) činů, jako jsou přepadení, vloupání nebo vandalismu, krádež, … • Information Security, informační bezpečnost • Ochrana proti úmyslným škodám, nežádoucím akcím na informačních aktivech V čem spočívá problém informační bezpečnosti? • Žijeme v informačním věku • Systémy zpracovávající informace jsou bází mnoha (většiny) každodenních transakcí, na nichž je založena naše společnost • Informace se přenáší, zpracovávají, uchovávají … • S informacemi souvisí procesy, systémy, lidé, sítě … • To vše čelí řadě rizik – cílené útoky, chyby, přírodní katastrofy… • Pro zajištění informační bezpečnosti je třeba systematicky zavádět vhodná opatření a zároveň zohlednit měnící se rizika i účinnost opatření, tak aby byly splněny definované bezpečnostní cíle Motivace • IBM: Cost of the Data Breach Report (2023) • Celosvětové průměrné náklady na narušení bezpečnosti dat dosáhnou v roce 2023 výše 4,45 milionu dolarů • Historicky nejvyšší hodnota a 15% nárůst za poslední tři roky • Zákazníci bezpečnost vyžadují • Rostoucí zákonné požadavky – ochrana soukromí, NIS2 (Network and Information Security - širší než zákon o kyberbezpečnosti), … • Samotné firmy si uvědomují dopady => nedostatek pracovníků z oboru IT bezpečnost je komplexní oblast - profese https://niccs.cisa.gov/workforce-development/career-pathways Existuje řešení problému zajištění informační bezpečnosti ? • Je dosažitelná perfektní bezpečnost (absolutní eliminace všech rizik)? https://imgs.xkcd.com/comics/security.png Existuje řešení problému zajištění informační bezpečnosti ? • Je dosažitelná perfektní bezpečnost (absolutní eliminace všech rizik)? • Rozlomení všech ostatních způsobů zabezpečení je otázkou pouze času (a energie) • Od (mili)sekund po miliardy násobků dob existence sluneční soustavy • Na každý bezpečnostní algoritmus lze útočit „hrubou silou“ • Jaké chceme řešení? • Každý použitý nástroj „dostatečně“ zabezpečující jisté aktivum, musí být odpovídající uživatelskou komunitou akceptovatelný • Zabezpečují nástroje musí být použité vyrovnaně, systém je tak bezpečný, jak je bezpečný jeho nejslabší článek • Dosažení bezpečnosti informací je nekonečný proces Zajištění informační bezpečnosti je proces nikoli jednorázová záležitost • Vyvíjejí se technologie • Vznikají nové/dokonalejší formy útoků • Mění se regulační prostředí byznysu (legislativa) • Je nutné udržovat aktuálně validní bezpečnostní politiku • Je nutné plánovat procesy vedoucí k periodickému vypracování a prosazování bezpečnostní politiky • Evidence aktiv • Zjištění rizik • Volba, vývoj, nákup, ... adekvátních opatření • Vypracování bezpečnostní politiky • Vyhodnocování účinnosti bezpečnostní politiky v provozu … • Problém řeší manažerský systém – Systém řízení informační bezpečnosti Systém řízení informační bezpečnosti • Information Security Management System (ISMS) • Systematický přístup pro vybudování, implementace, provozování, monitorování, přezkoumávání, udržování a vylepšování informační bezpečnosti (InfoSec) v organizaci • Skládá se z vhodné organizační struktury, definovaných zodpovědností, politik, obvyklých metody, procedur, plánovacích činností, zdrojů … • Typické fáze: • Ustanovení • Monitorování • Udržování • Zlepšování PDCA cyklus vývoje ISMS Převzato z ISO/IEC 27001 Roadmapa ISO standardů, na kterých je přednáška vybudována • Rodina ISO/IEC 27k • Důraz na: • ISO/IEC 27001: 2014 - Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Požadavky • ISO/IEC 27002: 2014 - Informační technologie - Bezpečnostní techniky - Soubor postupů pro opatření bezpečnosti informací • ISO/IEC 27003: 2018 - Informační technologie - Bezpečnostní techniky - Systémy řízení bezpečnosti informací - Pokyny • ISO/IEC 27004: 2018 - Informační technologie - Bezpečnostní techniky - Řízení bezpečnosti informací - Monitorování, měření, analýza a hodnocení • ISO/IEC 27005: 2019 - Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací • ISO/IEC 27014: 2021 - Bezpečnost informací, kybernetická bezpečnost a ochrana soukromí Správa a řízení bezpečnosti informací • ISO/IEC 15408 Převzato z ISO/IEC 27001 Klíčové komponenty ISMS • Společné pro jakýkoliv typ řízení: • Politika • Osoby s definovanými odpovědnostmi • Procesy řízení pro: • Ustanovené politiky, zvyšování povědomí, plánování, implementace, provozování, posuzování, přezkoumání, zlepšování • Dokumentované informace • Specifické pro ISMS: • Posuzování rizik bezpečnosti informací • Ošetření rizik vč. určení a implementace kontrolních opatření ISO 27001: 7 kapitol definovaných požadavků • Kontext organizace – určení záměru a potřeb organizace, rozsahu ISMS a implementace a průběžné zlepšování • Vůdčí role – závazek vedení organizace, stanovení politiky, určení rolí a odpovědností • Plánování – opatření zaměřená na rizika (posouzení rizik a jejich ošetření) vč. seznamu nezbytných opatření, stanovení cílů bezpečnosti a plán jejich dosažení • Podpora – jsou zaručeny dostatečné zdroje, kompetence a povědomí, informace jsou dokumentované a aktualizované • Provozování – plánování a řízení provozu, průběžné posuzování a ošetření rizik • Hodnocení výkonnosti – monitoring, audit, přezkoumání vedením • Zlepšování – neshody a nápravná opatření, neustálé zlepšování Implementation and Certification process 2022, ISO27k Implementation Forum. https://www.iso27001security.com/ Osnova • Úvod a motivace • Informační bezpečnost • Základní pojmy • Aktiva • Zranitelnost • Hrozba • Útok • Riziko • Opatření • Bezpečnostní mechanismus • Generické rysy zabezpečení Bezpečnost, Security • Oxford Dictionary: The state of being free from danger or injury • Stav, ve kterém se vlastník jistého majetku chová tak, aby na jeho majetku nedocházelo ke škodám bez ohledu na to, zda lze takové škody způsobit úmyslným či neúmyslným, aktivním či pasivním zásahem • Jinými slovy: Bezpečnost = zajištění, jak něco NEDĚLAT • Abychom bezpečnost zajistili efektivně, musíme znát co se nesmí dělat (musíme znát hodnotu majetku, možné škody na majetku, …) • Vývoj bezpečnostních opatření zajišťujících bezpečnost je podmíněný znalostí technologií použitelných jak pro škodící zásahy, tak i pro implementaci bezpečnostních opatření • Musíme znát jak tato opatření dělat • Nelze se bránit proti účinkům škodících akcí realizovaných na bázi dosud neexistujících/neznámých technologií Co se rozumí informační bezpečností? 1/5 • ISO/IEC 27002: 2005, Information technology — Security techniques — Code of practice for information security management • Kodex, dokument, obsahující výčet technologií, standardů, politik a manažerských praktik vhodných pro zajištění informační bezpečnosti • Standard říká, že informace je bezpečná, když je • Přístupná pouze oprávněným subjektům • Modifikovatelná pouze oprávněnými subjekty • Dostupná oprávněným subjektům (do stanovené doby) Co se rozumí informační bezpečností? 2/5 • Informace je bezpečná, když je zajištěná její • Důvěrnost (Confidentiality, C ) • Integrita (Integrity, I ) • Dostupnost (Availability, A ) • Dále se k těmto třem rysům informační bezpečnosti řadí udržování dalších vlastností: • Autenticita (Authenticity) • Pravost, původnost • Zodpovědnost, prokazatelnost (Accountability) • Nepopiratelnost (Non-repudiation) • Spolehlivost (Reliability) • Bezporuchovost, činnost ve shodě se specifikací, někdy se dává specificky mimo počítačovou bezpečnost Co se rozumí informační bezpečností? 3/5 • Důvěrnost (Confidentiality) • Cílem je omezení přístupu k informacím a jejich zpřístupnění pouze oprávněným uživatelům („správným lidem“) a zabránění přístupu k informacím nebo jejich prozrazení neoprávněným uživatelům („špatným lidem“) • Zajištěním důvěrností se rozumí ochrana informací před neautorizovaným zpřístupněním - odhalením, prozrazením • Důvěrnost se nevztahuje pouze na uchovávání informací, ale také na přenos informací • Neautorizované, neočekávané, nežádoucí zpřístupnění může vést ke ztrátě důvěry, k potížím, k právním akcím vůči organizaci, … • Důvěrnost úzce souvisí s omezováním přístupu k osobním údajům fyzických osob Co se rozumí informační bezpečností? 4/5 • Integrita, celistvost (Integrity) • Cílem je zajištění důvěryhodnosti informačních zdrojů • Integrita zdroje znamená, že změny zdroje smí provádět pouze autorizované subjekty a autorizované mechanismy • Integrita dat - data nesmí být nevhodně, náhodně a/nebo záměrně nějakou škodlivou činností změněna • Integrita původu - data skutečně pochází od osoby/subjektu, který je validně poskytuje, nikoli od podvodníka • Dotčená osoba či subjekt přistupují ke správným informacím, tj. • K platným (validním) informacím (odrážejí skutečné okolnosti) a • K spolehlivým informacím (za stejných okolností lze generovat stejná data) • Informace mají být chráněné před podvodnou, nezákonnou, nepatřičnou modifikací neautorizovanými změnami dat, software, hardware, … • Aktiva musí být kompletní a korektní • Nepatřičná modifikace může být úmyslná nebo neúmyslná • Ignorování škod na integritě může vést k vydání chybných rozhodnutí, k podvodu, k nesprávným akcím, … Co se rozumí informační bezpečností? 5/5 • Dostupnost (informačních zdrojů) (Availability) • Nedostupný IS v okamžiku potřeby je přinejmenším stejně špatný jako žádný IS • Informace vytvořené a uložené organizací musí být dostupné autorizovaným subjektům. • Dostupnost, stejně jako jiné aspekty bezpečnosti, může být ovlivněna • Ryze technickými problémy (např. nefunkční část počítače nebo komunikační infrastruktury) • Přírodními jevy (např. větrem nebo vodou) • Lidskými faktory (havárie nebo záměrné útoky) • Pokud dojde ke ztrátě dostupnosti systému/informace kritické pro plnění podnikatelských činností organizace pro koncového uživatele, může to podnikatelské činnosti negativně ovlivnit • Ztráta funkcionality či snížení efektivnosti provozu může snižovat výkonnost uživatelů podporujících podnikání organizace Koncept dosahování informační bezpečnosti • Nutná/adekvátní úroveň dosažených záruk za dosažení CIA je kontextově závislá, kontext se vymezuje: • Počtem a úrovní potenciálních útočníků • Potenciální výší škod • Efektivně dosažitelnou kvalitou technologií pro implementaci opatření • Kontextově je závislá rovněž metodika jak CIA zajišťovat. Je lepší zajišťovat CIA prevencí nebo detekcí (útoků) ? • Cílem detekčních opatření je rychle odhalit a napravit selhání, kterým nešlo zabránit preventivními opatřeními • Cílem reakčních opatření je zajistit správné chování během incidentu i po něm (ohodnotit rozsah, provést akce k minimalizace dopadů, odpovídající hlášení o incidentu, …) Osnova • Úvod a motivace • Informační bezpečnost • Základní pojmy • Aktiva • Zranitelnost • Hrozba • Útok • Riziko • Opatření • Bezpečnostní mechanismus • Generické rysy zabezpečení Základní pojmy informační bezpečnosti • Aktivum (Assets) - cokoli hodnotného, užitečného, věc, výhoda, zdroj • Zranitelnost (Vulnerability) - slabina využitelná ke způsobení škod/ztrát organizaci útokem • Hrozba (Threat) – potenciální příčina nechtěného incidentu • Útok (Attack) – pokus o škodu na aktivech • Bezpečnostní incident (Security incident) – událost, která může ohrozit bezpečnost informací • Riziko (Risk) - pravděpodobnost, že se v daném zranitelném místě uplatní hrozba • Opatření (Control) – prostředek, který modifikuje riziko Obecný model zabezpečování Obecný model zabezpečování Obecný model zabezpečování Obecný model zabezpečování Obecný model zabezpečování Generický problém budování bezpečných (IT) systémů • Útokem se rozumí událost, kdy útočník využije slabinu v ochranách aktiv (zranitelnost) s cílem způsobit škodu • Systém bude úspěšný (bezpečný), když bude zajišťovat ochranu proti všem možným útokům, a to vč. útoků, které se v době jeho tvorby dosud nevyskytly • Útočník bude úspěšný, když pro útok využije jedinou nedokonalost v bezpečnostních ochranách • Může vyčkávat až mu technologický rozvoj poskytne adekvátní útočný nástroj, jehož existenci tvůrci systému vůbec nepředpokládali • Škála dostupných relevantních bezpečnostních nástrojů nebude nikdy úplná z hlediska množiny v budoucnu potenciálních hrozeb • Reálné účinky dostupných bezpečnostních nástrojů mnohdy nesplňují nebo postupně přestávají efektivně plnit jejich původně zamýšlený cíl Typické chybné prohlášení • „Musíme odstranit všechna rizika…“ • „Nasadíme firewall a antivir (resp. dosaď libovolný nástroj) a jsme v bezpečí…“ • „Tak, systém máme dodělaný, teď tam musíme nějak dodělat tu sekuritu“ Zajištění informační bezpečnosti je komplexní problém 1/2 Příklad • Pokud často necháváte notebook (s podnikovými daty) na zadním sedadle auta, pravděpodobně Vám ho dříve nebo později někdo ukradne • Jak snížit riziko takové krádeže? Jak zabránit úniku dat? • Lze zavést pravidla (vydáním předpisu/politiky): • Notebook nelze nechávat bez dozoru • Parkovat auto lze pouze v prostoru s fyzickou ochranou, • Přístup k notebooku se musí chránit silným heslem, • Citlivá data uložená v notebooku musí být zašifrovaná • V pracovní dohodě zaměstnanec podepíše odpovědnost za ztrátu, vyzrazení, …, citlivých dat • Tato pravidla ovšem nebudou účinná, pokud firma zaměstnance s nimi neseznámí Zajištění informační bezpečnosti je komplexní problém 2/2 • Informační bezpečnost se nezajistí jedním opatřením, pro její dosažení se jich musí uplatňovat více, současně • Opatření se nebudou týkat pouze IT • Musí se řešit organizační problémy, řízení lidských zdrojů, fyzická bezpečnost, dodržování legislativních omezení, proškolování • Nestačí chránit pouze notebooky, firma může mít uložená data na serverech, v zásuvkách pracovních stolů, v mobilech zaměstnanců, na USB pamětech, v hlavách zaměstnanců, … • Zajištění informační bezpečnosti vyžaduje vytvoření a udržování komplexního bezpečného prostředí • Taková prostředí jsou již definovaná standardy: ISO 27001, COBIT, NIST SP 800,… Připomeňme si bázové bezpečnostní paradigma • Účastník (informačního) prostředí vlastní/používá něco, co pro něj má nepominutelnou hodnotu, toto je jeho aktivem • Aktivum má hodnotu i pro útočníka, který má ale protichůdný zájem vůči účastníkovi, způsobuje účastníkovi škodu • Ztráta / snížení hodnoty aktiva pro účastníka způsobuje škodu • Škoda je důsledek (dopad) útoku na (hodnotu) aktiva • Může být zanedbatelná, akceptovatelná, významná, katastrofická, … • Útok (bezpečnostní incident) je realizací hrozby • Hrozba reprezentuje potenciální motivaci k útoku, • Existuje díky zranitelnosti systému obhospodařujícího aktiva, a díky zdrojům možností využít zranitelnost - útočníkům, … • Potenciál narušení pravidel přijaté politiky informační bezpečnosti Bázové bezpečnostní paradigma 1/2 • Možnost výskytu útoku představuje riziko, pravděpodobnost provedení útoku a potenciální dopad realizovaného útoku určuje úroveň rizika • Může být zanedbatelné, akceptovatelné, významné, katastrofické, … • Zranitelnost systému obhospodařujícího aktiva je daná • Existencí zranitelných míst • Existencí potenciálních útočníků • Zranitelné místo - slabina v návrhu, implementaci, provozu, … systému, který obhospodařuje aktiva • Bezpečnost: zamezení škodám eliminací zranitelných míst nebo útočníků případně snížením využitelnosti zranitelných míst pomocí bezpečnostních opatření Bázové bezpečnostní paradigma 2/2 • Opatření - služba, požadovaná ochrana, relevantní jisté hrozbě • Zajištění důvěrnosti, integrity, dostupnosti, řízení přístupu, … • Bezpečnostní služba (opatření) je nástrojem, který riziko dané existencí hrozby odstraňuje nebo je alespoň snižuje • Synonyma - protiopatření, funkce/služba prosazující bezpečnost, … • Mechanismus - metoda / technologie zajištění ochrany • Technologie implementace opatření • Použití kryptografie, ACL, unixové rwx ochrany přístupu, digitální podepisování, předpis, zákon, závora, pojištění, … Příklad • Přihlášení do IS MU • Účastník? • Aktiva? • Útočník? • Škoda? • Hrozba? • Zranitelnost? • Riziko? Osnova • Úvod a motivace • Informační bezpečnost • Základní pojmy • Aktiva • Zranitelnost • Hrozba • Útok • Riziko • Opatření • Bezpečnostní mechanismus • Generické rysy zabezpečení Předmět ochrany – aktiva (assets) 1/2 • Aktivum - předmět, myšlenka, informace, … mající pro organizaci hodnotu • Jedná se o ekonomický zdroj, zdroj podnikatelských procesů - cokoliv hmotné (tangible) či nehmotné (intangible) povahy, co může být vlastněno nebo ovládáno (řízeno, spravováno) nějakou entitou (organizací, …) s cílem produkovat pozitivní ekonomickou hodnotu • Hmotná aktiva (konkrétní, jasná, zřejmá, hmatatelná, … ) - peníze, budovy, pozemky, dopravní prostředky, sklady, zařízení, software, data, služby, lidé, … • Nehmotná aktiva (neurčitá, nepostižitelná, … ) - patenty, autorská práva, licence, obchodní známka, jméno, pověst, … • V oblasti IT existují tři hlavní kategorie aktiv: • Data, • Systémy obsahující data a komunikační infrastruktura • Lidské zdroje k provozu, pro plnění byznys cílů organizace … Předmět ochrany – aktiva (assets) 2/2 • Informační aktivum dle zákona o kybernetické bezpečnosti: • Informace nebo služba, kterou zpracovává nebo poskytuje informační nebo komunikační systém • Zaměstnanci a dodavatelé podílející se na provozu, rozvoji, správě nebo bezpečnosti informačního a/nebo komunikačního systému, • Technické vybavení, • Komunikační prostředky • Programové vybavení • Objekty informačního a/nebo komunikačního systému Klasifikace (citlivých) aktiv dle zákona o kybernetické bezpečnosti 1/3 • Stupnice pro hodnocení důvěrnosti aktiv • Nízká • Aktiva jsou veřejně přístupná nebo byla určena ke zveřejnění např. na základě zákona o svobodném přístupu k informacím. Narušení důvěrnosti aktiv neohrožuje oprávněné zájmy odpovědných orgánů a osob • Není vyžadována žádná ochrana • Střední • Aktiva nejsou veřejně přístupná a tvoří know-how odpovědných orgánů a osoby, ochrana těchto informací není vyžadována žádným právním předpisem nebo smluvním ujednáním • Pro ochranu důvěrnosti jsou využívány prostředky pro řízení přístupu • Vysoká • Aktiva nejsou veřejně přístupná a jejich ochrana je vyžadována právními předpisy, jinými předpisy nebo smluvními ujednáními • Pro ochranu důvěrnosti jsou využívány prostředky, které zajistí řízení a zaznamenávání přístupu • Přenosy informací jsou chráněny pomocí kryptografických prostředků • Kritická • Aktiva nejsou veřejně přístupná a vyžadují nadstandardní míru ochrany nad rámec předchozí kategorie (např. strategické obchodní tajemství, citlivé osobní údaje apod.) • Pro ochranu důvěrnosti je požadována evidence osob, které k aktivům přistoupily, a metody ochrany zabraňující kompromitaci ze strany administrátorů Klasifikace (citlivých) aktiv dle zákona o kybernetické bezpečnosti 2/3 • Stupnice pro hodnocení integrity aktiv • Nízká • Aktivum nevyžaduje ochranu z hlediska integrity • Narušení integrity aktiv neohrožuje oprávněné zájmy odpovědných orgánů a osob • Není vyžadována žádná ochrana • Střední • Aktivum může vyžadovat ochranu z hlediska integrity • Narušení integrity aktiva může vést k poškození oprávněných zájmů odpovědných orgánů a osob a může se projevit méně závažnými dopady na ostatní aktiva • Pro ochranu integrity jsou využívány standardní nástroje např. omezení přístupových práv pro zápis • Vysoká • Aktivum vyžaduje ochranu z hlediska integrity • Narušení integrity aktiva vede k poškození oprávněných zájmů odpovědných orgánů a osob s podstatnými dopady na ostatní aktiva • Pro ochranu integrity jsou využívány speciální prostředky, které dovolují sledovat historii provedených změn a zaznamenat identitu osoby provádějící změnu • Kritická • Aktivum vyžaduje ochranu z hlediska integrity • Narušení integrity vede k velmi vážnému poškození oprávněných zájmů odpovědných orgánů a osob s přímými a velmi vážnými dopady na ostatní aktiva • Pro ochranu integrity jsou využívány speciální prostředky jednoznačné identifikace osoby provádějící změnu např. pomocí technologie digitálního podpisu Klasifikace (citlivých) aktiv dle zákona o kybernetické bezpečnosti 3/3 • Stupnice pro hodnocení dostupnosti aktiv • Nízká • Narušení dostupnosti aktiva není důležité a v případě výpadku je běžně tolerováno delší časové období pro nápravu (cca do 1 týdne) • Pro ochranu dostupnosti je postačující pravidelné zálohování • Střední • Narušení dostupnosti aktiva by nemělo překročit dobu pracovního dne, dlouhodobější výpadek vede k možnému ohrožení zájmů odpovědných orgánů a osob • Pro ochranu dostupnosti jsou využívány běžné metody zálohování a obnovy • Vysoká • Narušení dostupnosti aktiva by nemělo překročit dobu několika málo hodin • Jakýkoli výpadek je nutné řešit neprodleně, protože vede k přímému ohrožení zájmů odpovědných orgánů a osob. Aktiva jsou považována jako velmi důležitá. • Pro ochranu dostupnosti jsou využívány záložní systémy a obnova poskytování služeb může být podmíněna zásahy obsluhy či výměnou technických aktiv • Kritická • Narušení dostupnosti aktiva není přípustné a i krátkodobá nedostupnost (v řádu několika minut) vede k vážnému ohrožení zájmů odpovědných orgánů a osob. Aktiva jsou považována jako kritická. • Pro ochranu dostupnosti jsou využívány záložní systémy a obnova poskytování služeb je krátkodobá a automatizovaná Osnova • Úvod a motivace • Informační bezpečnost • Základní pojmy • Aktiva • Zranitelnost • Hrozba • Útok • Riziko • Opatření • Bezpečnostní mechanismus • Generické rysy zabezpečení Zranitelnost (Vulnerability) • Slabina využitelná ke způsobení škod/ztrát organizaci útokem materializací hrozby provedenou útočníkem • Zanechávání hořlavého materiálu (papíru) v serverovně je zranitelností využitelnou externí hrozbou - požárem, ohněm • Ne každá zranitelnost je známá např. zranitelnost nultého dne (zero day vulnerability) Zranitelnosti • Zranitelnosti se mohou nacházet • ve fyzickém uspořádání • v organizačních schématech • v administrativních opatřeních • v personální politice • v logických a technických opatřeních • v hardware, v software, v datech • v návrhu architektury systému • v systému řízení informační bezpečnosti informací • Konkrétní příklady naleznete v dodatku této přednášky • Příklady zranitelností dle zákona o kybernetické bezpečnosti Common Vulnerabilities and Exposures (CVE) • CVE poskytuje organizacím bezplatný slovník pro zlepšení jejich kybernetické bezpečnosti • Provozováno neziskovou organizací MITRE • Záznam CVE popisuje známou zranitelnost • Každá položka CVE obsahuje standardní identifikační číslo s indikátorem stavu (např. "CVE1999-0067", "CVE-2014-12345", "CVE-2016-7654321"), stručný popis a odkazy na související zprávy o zranitelnostech a doporučení • Každé ID CVE je formátováno jako CVE-YYYY- NNNNN. Část YYYY je rok přidělení ID CVE nebo rok zveřejnění zranitelnosti. • Na rozdíl od databází zranitelností neobsahují záznamy CVE informace o riziku, opravě dopadu nebo jiné technické informace Osnova • Úvod a motivace • Informační bezpečnost • Základní pojmy • Aktiva • Zranitelnost • Hrozba • Útok • Riziko • Opatření • Bezpečnostní mechanismus • Generické rysy zabezpečení Hrozba (Threat) • Možnost ovlivnění schopností organizace informace sdílet uvnitř sebe nebo zachovat nedostupnost důvěrných informací vně • Něco může špatně fungovat, něco může „útočit“ na informační aktiva • Co je hodnotné pro vlastníka aktiva, je pravděpodobně hodnotné i pro někoho jiného • Potenciální možnost využití zranitelného místa k útoku útočníkem • Tj. potenciální příčina bezpečnostní události/incidentu, jejímž důsledkem může být poškození aktiva z hlediska zajištění jeho důvěrnosti, integrity a/nebo dostupnosti • Hrozby je nutné identifikovat, pokud je cílem jejich eliminace Typy hrozeb 1/3 • Odhalení (Disclosure) citlivých důvěrných dat, postupů, … • Slídění, špehování, … , kryptoanalýza • Analýza komunikačního provozu - pasívní zjišťování kdo s kým kdy co komunikuje • Podvod, klamání (Deception) • Modifikace dat, falšování identity, popírání autorství (zprávy, dat), odmítání faktu přijetí zprávy, hoaxs (šíření falešných zpráv), • Maškaráda (Masquerade) • Útočník vystupuje jako legitimní uživatel • Diseminace zlomyslného software (Planting) • Trojský kůň, vir, … • Modifikace systému, příprava předmostí pro příští útoky Typy hrozeb 2/3 • Narušení, ničení (Disruption) • Modifikace (dat, programu, chování technického prostředku, …) • Neautorizovaná osoba získá přístup do systému a modifikuje v něm uložená data, neoprávněně používá zdroje, • Modifikace přenášených dat • Neoprávněné aktivní zásahy do komunikací autorizovaných entit • Uchvácení, přisvojení (Usurpation) • Zpožďování provedení služby, odmítnutí poskytnutí služby, Denial of Service (DoS), … • Narušení autorizačních pravidel (Authorisation violation) • Osoba autorizovaná pro akci A provádí akci B, pro kterou nemá autorizaci • Konkrétní příklady naleznete v dodatku této přednášky • Příklady hrozeb dle zákona o kybernetické bezpečnosti Typy hrozeb 3/3 • Příklady hrozeb pro dotčenou organizaci • Vnitřní hrozby • Zdroj hrozby (útočník) se nachází uvnitř (zranitelné) organizace • Nespokojený zaměstnanec přihlásí k serveru své sítě a v jemu dostupných sdílených složkách vymaže všechna data důležitá pro organizaci, která dosud nebyla zálohována • Nedostatečně znalí zaměstnanci dělající chyby při používání a implementaci aplikací, … • Vnější hrozby • Zdroj hrozby (útočník) se nachází mimo vnitřní síť organizace • Útočník z Internetu nalezl hraniční směrovač sítě organizace, připojil se k němu a pomocí slovníkového útoku se snaží zjistit hesla uživatelů • Hackeři na Internetu, konkurence, cílení či náhodní nepřátelé, … STRIDE - Framework pro modelování hrozeb • Spoofing • Tampering • Repudiation • Information Disclosure • Denial of Services • Elevation of Privilege STRIDE příklady • Spoofing: poslání emailu pod jinou identitou, odposlechnutí WiFI jména a hesla, vykonání finanční transakce pod jinou identitou, falešná webová stránka zjišťující jména a hesla, … • Tampering: přístup do DB skrze rozhraní pro správu (default admin credentials), změna svých zdravotních údajů v medicínské aplikaci VZP, změna stavu onboardingu • Repudiation: nelze zjistit kdo poslal platbu • Information Disclosure: získání admin přístupu, únik dat z chybně zpřístupněného cloudového prostoru • Denial of Services • Elevation of Privilege Osnova • Úvod a motivace • Informační bezpečnost • Základní pojmy • Aktiva • Zranitelnost • Hrozba • Útok • Riziko • Opatření • Bezpečnostní mechanismus • Generické rysy zabezpečení Útok, bezpečnostní incident (Attack, Security incident) • Útok provádí útočník využitím zranitelnosti informačního aktiva (realizovaná hrozba) • Způsobuje škodu na aktivech • Snížením hodnoty, zničením, znepřístupněním, … aktiva, … zveřejněním důvěrného aktiva, … • Generická kategorizace útoků • Přírodní katastrofy - hurikán, zemětřesení, požár, mohou zničit nezálohovaná data (zálohovat ve vzdálené lokalitě!) • Externí útoky - krádeže dat o kartách/lidech, hackery, profesionály • Interní útoky - např. web Wikileaks vznikl z interně zcizených dat • Selhání, neúmyslné lidské chyby - výpadek napětí, spojů, disků, …, vylití kávy do klávesnice, omylem zrušená data, … Hrozba sémantických útoků 1/2 • Vyvolává významné riziko díky „prosíťování“ světa • Lidé mají tendenci věřit tomu co čtou • Na potvrzování věrohodnosti „není čas“ • Lidé jsou často obětmi chybných/falšovaných statistik, legend a podvodů • Podfuk se s velkou pravděpodobností rozšíří síťovým prostředím extrémně rychle • Komunikační média se používají pro šíření věrohodných stupidností již po celou věčnost • Současné- a blízko-budoucí počítačové sítě spuštění takových útoků usnadňují a zprávy diseminují extrémně rychle • Digitální podpisy, autentizace, integritní opatření, … šíření podfuků nezabrání sémantické útoky jsou vedeny na HCI, nejméně bezpečné rozhraní Internetu Hrozba sémantických útoků 2/2 • Pouze amatér útočí na počítače a software • Profesionál útočí na lidi • Ochrana proti sémantickým útokům musí být cílená na sociální řešení, ne na matematicko-logická (a technická) řešení • Nastupuje fenomén kyberprostoru, vedle pojmu informační bezpečnosti se objevuje i pojem kybernetické bezpečnosti • Kybernetická bezpečnost – zaměřuje se na ochranu počítačových systémů a ochranu dat v digitální podobě • Informační bezpečnost je širší kategorie zahrnující všechna informační aktiva Principy elektronického obchodu usnadňující devastující podvody • Snadnost automatizace procesů • Stejná automatizace, která činní elektronický obchod efektivnější než klasický byznys, zefektivňuje i provádění podvodů • Podvod vyžadující vynaložení desítek minut času v papírovém systému lze snadno provést „na jedno kliknutí“ resp. lze snadno jej periodicky opakovat principem 24 x 7 • Singulární podvod s nízkou škodou ignorovatelný v papírovém systému může být hrozbou s velkým rizikem v el. obchodním systému • Izolovanost jurisdikce v místech zdroje a cíle útoku • Geografie v elektronickém světě nehraje žádnou roli • Útočník nemusí být fyzicky blízko systému, na který útočí. • Útočit může ze země, která: • „Nevydává zločince“ • Nemá adekvátní policejní aparát • Nemá potřebné právní zázemí vhodné ke stíhání … Reálný příklad z poslední doby - ransomware • Kyberútoky na české nemocnice • Ransomware v Nemocnici Rudolfa a Stefanie Benešov • 11.12.2019, 3 týdny omezení provozu, škoda 59 milionů Kč • Nešlo o cílený útok, napadeny i další státní instituce • Dopady: omezení lékařských výkonů, nemocnice nedostala proplacené finanční prostředky od zdravotních pojišťoven na plánovaná vyšetření, zákroky, operace apod., dále pak ztráty transfúzní stanice z důvodu omezení výroby a prodeje krevních derivátů, nákupu krevních přípravků apod. Nemalé finanční prostředky nemocnice investovala do nového zabezpečovacího systému, reinstalace jednotlivých softwarů a do práce na obnově systémů včetně proškolení personálu. • https://www.policie.cz/clanek/stredocesti-kriminaliste-ukoncili-vysetrovani-ransomware-utoku- na-benesovskou-nemocnici.aspx • Fakultní nemocnice u sv. Anny v Brně (FNUSA) • 2020, 4 týdny omezení provozu • Psychiatrická nemocnice v Kosmonosech • 2020, 10 dní omezení provozu Hrozba enormního nárůstu složitosti a rozsahu • Enormně narůstá složitost vnitřních algoritmů (jádra) OS • Počty instrukcí spotřebovaných ve Windows (a to už před 10 lety) při • Zaslání zprávy mezi procesy: 6K - 120 K podle použité metody • Vytvoření procesu: 3M • Vytvoření vlákna: 100K • Vytvoření souboru: 60K • Vytvoření semaforu: 10K - 30K • Nahrání DLL knihovny: 3M • Obsluha přerušení/výjimky: 100K - 2M • Přístup do systémové databáze Registry: 20K • … Osnova • Úvod a motivace • Informační bezpečnost • Základní pojmy • Aktiva • Zranitelnost • Hrozba • Útok • Riziko • Opatření • Bezpečnostní mechanismus • Generické rysy zabezpečení Riziko (Risk) • Velikost rizika je daná pravděpodobností provedení útoku a výší škody vzniklé útokem) • Pravděpodobnost uplatnění hrozby je determinovaná • Snadností/obtížností využití zranitelností aktiva • Množstvím a schopnostmi (dovednostmi) potenciálních útočníků • V užším slova smyslu - pravděpodobnost, že se v daném zranitelném místě uplatní hrozba • Charakteristika šířeji chápaného pojmu "riziko" • Pravděpodobnost výskytu incidentu x způsobená škoda • Význam rizika se odvozuje z kombinace pravděpodobnosti výskytu a dopadu relevantního útoku (výše způsobené škody) • Rizika mohou být různě závažná (katastrofická/velká, akceptovatelná, nevýznamná, … Model útočníka • Atributy protivníka, které je třeba zvážit: 1. Cíle - často naznačují cílové aktiva vyžadující zvláštní ochranu 2. Metody - např. předpokládané techniky útoku nebo typy útoků 3. Schopnosti - výpočetní zdroje (CPU, úložiště, šířka pásma), dovednosti, znalosti, personál, příležitosti (např. fyzický přístup k cílovému zařízení), 4. Úroveň financování - ovlivňuje odhodlání útočníka, metody a schopnosti 5. Outsider vs. insider - útok provedený bez předchozího přístupu k cílovému systému je útok zvenčí. Insider má obvykle určitou počáteční výhodu– např. znalosti, oprávnění na nižší úrovni atd. Klasifikace útočníků • Rozdělení možných útočníků podle jejich znalostí, schopností, finančních možností, přístupu ke speciálnímu vybavení apod. • Klasifikace firmy IBM: • Třída 0 – script kiddies • Bez znalosti systému, využití již existujících nástrojů metodo pokus/omyl • Třída 1 – chytří nezasvěcení útočníci • Často velmi inteligentní, nedostatečné znalosti systému, přístup pouze ke středně sofistikovanému vybavení, využití zranitelností existujících v systému • Třída 1,5 – dobře vybavení lidé z venku • S dobrým laboratorním vybavením a základními znalostmi systému – např. univ. laby. • Třída 2 – zasvěcení insideři • Mají značné specializované technické vzdělání i zkušenosti, sofistikované nástroje, … • Třída 3 – dobře finančně podporované organizace • Schopné vytvořit týmy specialistů, zajištěné dobrými finančními zdroji, provádí detailní analýzy systému, nejkvalitnější nástroje, tvorba nových útoků… Osnova • Úvod a motivace • Informační bezpečnost • Základní pojmy • Aktiva • Zranitelnost • Hrozba • Útok • Riziko • Opatření • Bezpečnostní mechanismus • Generické rysy zabezpečení Opatření (control, measure, security enforcing function) • Nástroj pro snížení/eliminaci rizika • Problém eliminace či snižování rizik řeší uplatňování/prosazení opatření • Plné odstranění rizika bývá vesměs neefektivní • Opatření typicky rizika redukují/snižují, neodstraňují je • Opatření se mají implementovat pouze pro řešení specifických, identifikovaných rizik • Pro implementaci nástroje se používají mechanismy na bázi vhodných technologií (software, hardware, administrativa) • Typické opatření je kombinací technologie, chování a procedury • Např. antivirové opatření: • Software instalované v bráně a v počítači • Procedura zajišťující pravidelné aktualizace báze dat • Výchova uživatele k neotevírání neočekávaných příloh mailů Jak a co si vybrat? licenční politiky, Řízení opakovaného použití objektů, Zamykání objektů pro zajištění logické konzistence objektů zpracovávaných paralelními transakcemi, Autentizace, autorizace, řízení přístupu, podpisování, ochrana komunikací, Audit, detekce útoků, návraty do bezpečného stavu, detekce virů, Identifikace, správa krypto-klíčů, Stínění, trezory, zámky, strážní, visačky - jmenovky, protipožární ochrana, záložní generátory energie, autentizátory na bázi identifikačních karet, autentizační kalkulátory, šifrovače, firewally, archivační paměť páskového typu, Funkce řízení přístupu, kryptografické utajování, digitální podepisování, antivirové prostředky, Normy pro návrh, kódování, testování, údržbu programů, Směrnice pro výběr a školení důvěryhodných osob, pro tvorbu hesel, pro autorizační postupy, pro přijímací a výpovědní postupy, Právní normy, zákony, vyhlášky, předpisy, etické normy, Přidělení adresné odpovědnosti za bezpečnost kritických podnikatelských procesů, Vypracování a udržování aktuálních plánů bezpečnosti systému dokumentujících používaná opatření a uvádějící plánovaná opatření, Implementace personálních opatření typu "rozdělení oprávnění", "přidělování nejmenších potřebných oprávnění", povolení přístupu pouze po registraci, Průběžné vedení školení cílených na zvyšování bezpečnostního uvědomění a technický výcvik zaměstnanců a uživatelů systému, Periodické zkoumání efektivnosti bezpečnostních opatření, Periodický audit systému, Vedení průběžného řízení rizik pro ohodnocování a zvládání rizik, Zmocnění systému k určení a akceptování zbytkového rizika, Plán zachování kontinuity činnosti po havárii, Plán činnosti po detekci incidentu (útoku na bezpečnost), Řízený fyzický přístup k datovým médiím, Virové ochrany, Bezpečné strukturované vodiče, Procedury pro uchovávání a zajištění bezpečnosti archivů dat, Protipožární ochrana, Zajištění trvalosti dodávky energie, Zajištění fyzické bezpečnosti (detektory pohybu, televizní sledování, …), Zajištění bezpečnosti prostředí (detektory kouře/ohně, …), … Zásady výběru • Dle kontextu a analýzy rizik! • Podmínka efektivnosti opatření: cena opatření ≤ výše škody • Vesměs platí, že s každým aktivem se druží více rizik • Na identifikované riziko se musí vázat efektivní opatření • Některá opatření lze aplikovat pro řešení více rizik • Pro volbu opatření dává návod k volbě nejlepších praktik standard ISO 27002 ISO/IEC 27002:2022 Opatření informační bezpečnosti • 4 témata • 93 opatření • 5 atributů •34 opatření •Koncová zařízení uživatele, Bezpečná autentizace, Používání kryptografie, Bezpečné programování, … •14 opatření •Fyzický vstup, Prázdný stůl a obrazovka, Paměťová media, Bezpečná likvidace zařízení, … •8 opatření •Např. Prověřování, disciplinární řízení, Práce na dálku, Dohody o mlčenlivosti, … •37 opatření •Např. Politiky pro inf. bezpečnost, Management identit, Odezva na incidenty, Zajištění kontinuity … Organizační opatření Opatření v oblasti lidských zdrojů Technologická opatření Opatření fyzické bezpečnosti ISO/IEC 27002 Opatření informační bezpečnosti - atributy • Typ opatření: Preventivní, Detekční, Nápravné • Vlastnosti informační bezpečnosti: Důvěrnost, Integrita, Dostupnost • Koncept kybernetické bezpečnosti: Identifikace, Ochrana, Detekce, Odezva, Obnova • Provozní schopnosti: Správa a řízení, Bezpečnost aplikací, Fyzická bezpečnost, Bezpečnost dodavatelských vztahů, Právní požadavky a soulad, … celkem 15 • Domény bezpečnosti: Management kybernetické bezpečnosti, Architektura IT bezpečnosti, Detekce, Management incidentů, Kontinuita provozu, … Osnova • Úvod a motivace • Informační bezpečnost • Základní pojmy • Aktiva • Zranitelnost • Hrozba • Útok • Riziko • Opatření • Bezpečnostní mechanismus • Generické rysy zabezpečení Bezpečnostní mechanismy • (Bezpečnostní) opatření musíme účinnou formou implementovat vhodnými (bezpečnostními) mechanismy • Mechanismy administrativního, technického, logického, … charakteru • Opatření řešící problém nepopiratelnosti - digitální podpis mechanismus = asymetrická kryptografie • Opatření řešící řízení přístupu v souladu s přijatou politikou řízení přístupu mechanismus = fyzické klíče, identifikační karty, biometriky, … • Opatření řešící problém důvěrnosti v souladu s přijatou politikou zajištění důvěrnosti mechanismus = šifrování, trezory, smluvní závazek (NDA), … Klasifikace bezpečnostních mechanismů podle odolnosti • Mechanismy základní síly, slabé bezpečnostní mechanismy • Ochrana proti náhodným, neúmyslným útokům • Ochrana proti amatérům, náhodným útočníkům • Lze narušit kvalifikovaným („běžným“) útokem / útokem střední síly • Bezpečnostní mechanismy střední síly • Ochrana pro úmyslným útokům vedeným s omezenými příležitostmi a možnostmi • Ochrana proti „běžným“ útokům • Silné bezpečnostní mechanismy • Ochrana proti útočníkům s vysokou úrovní znalostí, s velkými příležitostmi, s velkými prostředky • Ochrana proti profesionálům • Ochrana proti útokům vymykající se běžné praxi Osnova • Úvod a motivace • Informační bezpečnost • Základní pojmy • Aktiva • Zranitelnost • Hrozba • Útok • Riziko • Opatření • Bezpečnostní mechanismus • Generické rysy zabezpečení Generické rysy zabezpečování informací 1/4 • Minimalizovat prostor využitelný pro útok • Každá nadbytečná vlastnost aplikace zvyšuje objem rizik pro celou aplikaci • Např. k webovské aplikace se doplní on-line help s vyhledávací funkcí • Vyhledávací funkce může být zranitelná útokem SQL injection • Když help zpřístupníme pouze autentizovaným uživatelům, riziko se sníží • Když každý vstup vyhledávací funkce bude kontrolovat centralizovaný validační program, riziko se sníží dramaticky • Když se odstraní vyhledávací funkce, riziko zmizí úplně a help vlastnost lze dát na veřejný Internet jako samostatnou aplikaci • Jako implicitní řešení používat bezpečná řešení • Např. časové omezení platnosti hesla a nárok na minimální netriviálnost hesla má být implicitně zapnutá • Uživatel si může tyto vlastnosti vědomě vypnout, na své riziko. Generické rysy zabezpečování informací 2/4 • Princip nejmenších práv • Každému mají být přidělena ta nejmenší možná práva, která potřebuje pro řešení svých činností • Jestliže middlewarový server potřebuje mít přístup k Internetu, číst databázové tabulky a zapisovat logování dějů, pak má mít k tomu přidělená příslušná práva, ale nikoli práva administrátora/superuživatele • Důkladný a komplexní princip ochran • Chyba v rozhraní administrátora bude pravděpodobně zřídka využita anonymním útočníkem, pokud rozhraní bude správně hlídat, kontrolovat autenticitu administrátora, logovat žadatele, … • Každý externí systém vůči bezpečné aplikaci musí být implicitně považovaný za nedůvěryhodný Generické rysy zabezpečování informací 3/4 • Chybný je koncept „Security through Obscurity“ (zabezpečení na základě utajení) • Spoléhá na utajení vnitřních mechanismů před útočníkem – např. ukrytí klíče pod rohožkou • Útočníci jsou chytří, znají všechny triky a mají spoustu času htpp://goo.gl/b03ncJ Generické rysy zabezpečování informací 4/4 • Separace rolí • Určité role mají jinou úroveň důvěry než normální uživatelé • Administrátor systému × normální uživatel • Administrátor nemá být normálním uživatelem aplikace: • administrátor OS může nastavit politiku hesel, vypnout systém, … • administrátor nemůže nakoupit akcie, i když je "superuser" • V jednoduchosti je síla • Dvojnásobná negace ještě nemusí v reálné praxi být pozitivem • Správně opravovat chyby • Vypracovat test příčiny chyby • Porozumět bázovému problému způsobujícímu chybu • Porozumět souvislostem - např. při odhalení chyby v návrhovém vzoru Dodatek Příklady zranitelností dle zákona o kybernetické bezpečnosti 1. Nedostatečná údržba informačního a komunikačního systému 2. Zastaralost informačního a komunikačního systému 3. Nedostatečná ochrana vnějšího perimetru 4. Nedostatečné bezpečnostní povědomí uživatelů a administrátorů 5. Nedostatečná údržba informačního a komunikačního systému 6. Nevhodné nastavení přístupových oprávnění 7. Nedostatečné postupy při identifikování a odhalení negativních bezpečnostních jevů, kybernetických bezpečnostních událostí a kybernetických bezpečnostních incidentů Příklady zranitelností dle zákona o kybernetické bezpečnosti 8. Nedostatečné monitorování činnosti uživatelů a administrátorů a neschopnost odhalit jejich nevhodné nebo závadné způsoby chování 9. Nedostatečné stanovení bezpečnostních pravidel, nepřesné nebo nejednoznačné vymezení práv a povinností uživatelů, administrátorů a bezpečnostních rolí 10. Nedostatečná ochrana aktiv 11. Nevhodná bezpečnostní architektura 12. Nedostatečná míra nezávislé kontroly 13. Neschopnost včasného odhalení pochybení ze strany zaměstnanců Příklady hrozeb dle zákona o kybernetické bezpečnosti 1. Porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany uživatelů a administrátorů 2. Poškození nebo selhání technického anebo programového vybavení 3. Zneužití identity 4. Užívání programového vybavení v rozporu s licenčními podmínkami 5. Škodlivý kód (například viry, spyware, trojské koně) 6. Narušení fyzické bezpečnosti 7. Přerušení poskytování služeb elektronických komunikací nebo dodávek elektrické energie 8. Zneužití nebo neoprávněná modifikace údajů Příklady hrozeb dle zákona o kybernetické bezpečnosti 9. Ztráta, odcizení nebo poškození aktiva 10. Nedodržení smluvního závazku ze strany dodavatele 11. Pochybení ze strany zaměstnanců 12. Zneužití vnitřních prostředků, sabotáž 13. Dlouhodobé přerušení poskytování služeb elektronických komunikací, dodávky elektrické energie nebo jiných důležitých služeb 14. Nedostatek zaměstnanců s potřebnou odbornou úrovní 15. Cílený kybernetický útok pomocí sociálního inženýrství, použití špionážních technik 16. Zneužití vyměnitelných technických nosičů dat 17. Napadení elektronické komunikace (odposlech, modifikace)