Nejdůležitějším úkolem IT bezpečnosti je sledování technického vývoje. Digitalizace a propojení světa postupuje technologicky velmi rychle. Nové technologie vyžadují nové softwary a nové oblasti využití vyžadují nová bezpečnostní opatření. Zatímco v minulosti několik výkonných počítačů jednoduše převzalo úkoly celých společností a bylo provozováno hrstkou lidí, dnes existuje nesčetné množství malých, vzájemně propojených zařízení. Může být dokonce poměrně obtížné přesně určit, co má být před čím chráněno, jaké hrozby existují a jaké mezery v bezpečnostních systémech by mohly být zneužity. Nicméně, jsou definovány tzv. cíle ochrany, které jsou považovány za hlavní cíle IT bezpečnosti, jde o:
diskrétnost – integrita – dostupnost
Pokud si vědomě vezmete tyto tři cíle ochrany k srdci, již jste implementovali polovinu IT bezpečnosti.
Pojďme se na ně nyní podívat z blízka:
Diskrétnost
Data, informace a výsledné znalosti by měly být skryty před osobami, které na ně nemají právo nahlížet.
Integrita
Data, informace a výsledné znalosti by měly být ochráněny proti neoprávněnými změnami a manipulací.
Dostupnost
Data, informace a výsledné znalosti by měly být v případě potřeby dostupné všem, kteří k nim mají povolený přístup.
Tyto tři cíle jsou hlavní a velmi důležité jak v soukromém, tak i v obchodním kontextu. Pojďme se podívat na následující příklady:
Příklady
Tři cíle ochrany v soukromém kontextu pomocí příkladu „online bankovnictví“
Používáte online přístup ke svému bankovnímu účtu? Jedná se o poměrně citlivou záležitost, protože v sázce jsou vaše peníze. Jak jsou zde zajištěny cíle ochrany?
Diskrétnost: Váš přístup, hesla a data na účtu by měla být dostupná pouze vám.
Integrita: Nikdo jiný, než vy by neměl mít možnost provádět neautorizované online převody.
Dostupnost: Měli byste mít neomezený přístup ke svému účtu kdykoli a kdekoli.
Tři cíle ochrany v podnikovém kontextu pomocí příkladu „vývoje produktu“
Společnost vyvíjí zcela nový produkt, který by způsobil revoluci na trhu. K tomu by mělo samozřejmě dojít bez toho, aniž by z toho těžila konkurence. Jak by mohly být v tomto případě cíle ochrany splněny?
Diskrétnost: Na veškeré informace o vývoji nového produktu mohou nahlížet pouze oprávněné osoby.
Integrita: Data získaná z vývoje produktu jsou chráněna před sabotáží a manipulací zvenku.
Dostupnost: Všechny zúčastněné a pověřené osoby mají zabezpečený přístup k vývoji nového produktu a výsledným údajům.
Kromě toho existují také rozšířené cíle ochrany, které je také třeba na základě konkrétních požadavků brát v potaz. Ty nemusí být nutně zakotveny v IT zabezpečení a mohou se značně lišit v soukromém a v podnikovém kontextu.
Odpovědnost nebo anonymita
Úkon v IT prostředí může nebo nemusí být jasně přiřazen konkrétní osobě. V podnikovém kontextu lze například identifikovat osobu odpovědnou za interní sabotáž. V soukromém životě se však spíše setkáme s pravým opakem, konkrétně s tím, že daná osoba si chce v souvislosti se svými údaji zachovat co největší možnou anonymitu – například při vyhledávání témat na internetu spojených se zdravím.
Pravost
Údaje, informace a výsledně získané znalosti by měly být ověřitelné z hlediska pravosti, například zda jsou předávané výsledky výzkumu originální nebo byly manipulovány třetí stranou.
Uznatelnost
Činnosti v prostředí IT by neměly jít snadno zamítnout – to je obzvlášť důležité pro elektronicky zpracované smlouvy, kde se například používají elektronické podpisy.
Jak je možné dosáhnout těchto cílů v praxi?
Tato otázka se především týká slabých stránek IT bezpečnosti. Nebo spíše jde o hledání a odstraňování zranitelných míst. Jak jste se již dozvěděli, každý software má slabiny. Ty nejsou předem jasně identifikovatelné. Často je to kvůli špatnému programování použitého softwaru nebo navržení IT systému. To nutně nemusí znamenat, že došlo k „špatnému“ programování, ale jednoduše to, že ne všechny známé hrozby IT systému byly brány při programování v potaz. Slabými stránkami však mohou být i lidé nebo nesprávné zacházení s IT systémy.
Důležité
IT bezpečnost lze samozřejmě obejít nejen prostřednictvím softwaru, ale také prostřednictvím hardwaru. Je to však více „nepraktické“, protože k manipulaci nebo odcizení dat pomocí hardwaru musíte být fyzicky přítomni, například s USB klíčem v ruce nebo odcizením celého počítače.
Přístup k softwaru pomocí internetu je tedy pohodlnější, a především je mnohem obtížnější jej vysledovat, pokud jste přichyceni uprostřed činu.
Pro dosažení cílů ochrany v IT bezpečnosti je proto nesmírně důležité identifikovat tyto slabiny a možné scénáře hrozeb. A tady se začínají věci stávat komplikovanějšími, protože stoprocentní pokrytí všech slabých stránek není kvůli neustálému vývoji systémů a obecně kvůli neschopnosti nahlédnout do budoucna vůbec možné – člověk může pouze co nejblíže odhadovat.
Zapamatujte si
IT bezpečnost silně závisí na aktuálním technologickém vývoji – nové oblasti využití informačních technologií přinášejí také nová nebezpečí. Je potřeba rychle reagovat, aby bylo možné navrhnout vhodná opatření.
Ve všech oblastech využití musí být splněny následující tři cíle ochrany:
Diskrétnost
Integrita
Dostupnost
Existují další tři cíle ochrany, které se liší v závislosti na oblasti využití a měly by být odpovídajícím způsobem zváženy:
Odpovědnost nebo anonymita
Pravost
Uznatelnost
K dosažení těchto cílů ochrany je klíčovým úkolem IT bezpečnosti identifikovat slabá místa systémů a odpovídajícím způsobem je odstranit. Může se to také týkat hardwaru, ale v současné době spíše softwaru, a to především chyb nebo nezohledněných nedostatků v programování.
K dokonalé IT bezpečnosti se lže přiblížit, ale nelze ji na 100 % docílit. Z tohoto důvodu musí být s IT bezpečností zacházeno jako s celkem.
Nejdůležitějším úkolem IT bezpečnosti je sledování technického vývoje. Digitalizace a propojení světa postupuje technologicky velmi rychle. Nové technologie vyžadují nové softwary a nové oblasti využití vyžadují nová bezpečnostní opatření. Zatímco v minulosti několik výkonných počítačů jednoduše převzalo úkoly celých společností a bylo provozováno hrstkou lidí, dnes existuje nesčetné množství malých, vzájemně propojených zařízení. Může být dokonce poměrně obtížné přesně určit, co má být před čím chráněno, jaké hrozby existují a jaké mezery v bezpečnostních systémech by mohly být zneužity. Nicméně, jsou definovány tzv. cíle ochrany, které jsou považovány za hlavní cíle IT bezpečnosti, jde o:
diskrétnost – integrita – dostupnost
Pokud si vědomě vezmete tyto tři cíle ochrany k srdci, již jste implementovali polovinu IT bezpečnosti.
Pojďme se na ně nyní podívat z blízka:
Data, informace a výsledné znalosti by měly být skryty před osobami, které na ně nemají právo nahlížet.
Data, informace a výsledné znalosti by měly být ochráněny proti neoprávněnými změnami a manipulací.
Data, informace a výsledné znalosti by měly být v případě potřeby dostupné všem, kteří k nim mají povolený přístup.
Tyto tři cíle jsou hlavní a velmi důležité jak v soukromém, tak i v obchodním kontextu. Pojďme se podívat na následující příklady:
Příklady
Tři cíle ochrany v soukromém kontextu pomocí příkladu „online bankovnictví“
Používáte online přístup ke svému bankovnímu účtu? Jedná se o poměrně citlivou záležitost, protože v sázce jsou vaše peníze. Jak jsou zde zajištěny cíle ochrany?
Tři cíle ochrany v podnikovém kontextu pomocí příkladu „vývoje produktu“
Společnost vyvíjí zcela nový produkt, který by způsobil revoluci na trhu. K tomu by mělo samozřejmě dojít bez toho, aniž by z toho těžila konkurence. Jak by mohly být v tomto případě cíle ochrany splněny?
Kromě toho existují také rozšířené cíle ochrany, které je také třeba na základě konkrétních požadavků brát v potaz. Ty nemusí být nutně zakotveny v IT zabezpečení a mohou se značně lišit v soukromém a v podnikovém kontextu.
Úkon v IT prostředí může nebo nemusí být jasně přiřazen konkrétní osobě. V podnikovém kontextu lze například identifikovat osobu odpovědnou za interní sabotáž. V soukromém životě se však spíše setkáme s pravým opakem, konkrétně s tím, že daná osoba si chce v souvislosti se svými údaji zachovat co největší možnou anonymitu – například při vyhledávání témat na internetu spojených se zdravím.
Údaje, informace a výsledně získané znalosti by měly být ověřitelné z hlediska pravosti, například zda jsou předávané výsledky výzkumu originální nebo byly manipulovány třetí stranou.
Činnosti v prostředí IT by neměly jít snadno zamítnout – to je obzvlášť důležité pro elektronicky zpracované smlouvy, kde se například používají elektronické podpisy.
Jak je možné dosáhnout těchto cílů v praxi?
Tato otázka se především týká slabých stránek IT bezpečnosti. Nebo spíše jde o hledání a odstraňování zranitelných míst. Jak jste se již dozvěděli, každý software má slabiny. Ty nejsou předem jasně identifikovatelné. Často je to kvůli špatnému programování použitého softwaru nebo navržení IT systému. To nutně nemusí znamenat, že došlo k „špatnému“ programování, ale jednoduše to, že ne všechny známé hrozby IT systému byly brány při programování v potaz. Slabými stránkami však mohou být i lidé nebo nesprávné zacházení s IT systémy.
Důležité
IT bezpečnost lze samozřejmě obejít nejen prostřednictvím softwaru, ale také prostřednictvím hardwaru. Je to však více „nepraktické“, protože k manipulaci nebo odcizení dat pomocí hardwaru musíte být fyzicky přítomni, například s USB klíčem v ruce nebo odcizením celého počítače.
Přístup k softwaru pomocí internetu je tedy pohodlnější, a především je mnohem obtížnější jej vysledovat, pokud jste přichyceni uprostřed činu.
Pro dosažení cílů ochrany v IT bezpečnosti je proto nesmírně důležité identifikovat tyto slabiny a možné scénáře hrozeb. A tady se začínají věci stávat komplikovanějšími, protože stoprocentní pokrytí všech slabých stránek není kvůli neustálému vývoji systémů a obecně kvůli neschopnosti nahlédnout do budoucna vůbec možné – člověk může pouze co nejblíže odhadovat.
Zapamatujte si
IT bezpečnost silně závisí na aktuálním technologickém vývoji – nové oblasti využití informačních technologií přinášejí také nová nebezpečí. Je potřeba rychle reagovat, aby bylo možné navrhnout vhodná opatření.
Ve všech oblastech využití musí být splněny následující tři cíle ochrany:
Existují další tři cíle ochrany, které se liší v závislosti na oblasti využití a měly by být odpovídajícím způsobem zváženy:
K dosažení těchto cílů ochrany je klíčovým úkolem IT bezpečnosti identifikovat slabá místa systémů a odpovídajícím způsobem je odstranit. Může se to také týkat hardwaru, ale v současné době spíše softwaru, a to především chyb nebo nezohledněných nedostatků v programování.
K dokonalé IT bezpečnosti se lže přiblížit, ale nelze ji na 100 % docílit. Z tohoto důvodu musí být s IT bezpečností zacházeno jako s celkem.
-
Add a note