Kybernetická bezpečnost. Terminologie

Následující článek se zabývá kybernetickou bezpečností, která vyžaduje nezbytné činnosti k ochraně sítí a informačních systémů, jejich uživatelů, dalších osob a objektů ohrožených kyberneticky. Mezi tyto ohrožené cíle se dnes počítá i kritická informační infrastruktura státu atp.

Článek navazuje na předchozí terminologická témata, například Informační a komunikační technologie. Text vychází z právních předpisů EU a ČR, z dokumentů normalizační subkomise ISO/IEC JTC 1/SC 27, z článků české a anglické wikipedie.

Kybernetická bezpečnost, KB (cybersecurity), je novější název pro alternativní názvy s blízkým významem [WIKIdata]:

• počítačová bezpečnost (computer security);
• bezpečnost informačních technologií (information technology security);
• bezpečnost IT (IT security);
• digitální bezpečnost (digital security).

Kybernetická kriminalita značí libovolný kriminální čin, který zahrnuje počítač a síť. Používají se alternativní názvy [WIKIdata]:

• počítačová kriminalita (computer crime);
• kybernetické válečnictví (cyber warfare);
• kybernetický terorismus (cyberterrorism).

Základní termíny

• Bezpečnost na internetu (internet security) je částí kybernetické bezpečnosti, která se vztahuje k internetu.
• CERT (Computer Emergency Response Team) je tým pro reakci na počítačové stavy nouze.
• CSIRT (Computer Security Incident Response Team) je tým pro reakci na počítačové bezpečnostní incidenty.
• Incident (incident) je jakákoliv událost, která má reálný negativní dopad na bezpečnost sítí a informačních systémů.
• Kritická infrastruktura (critical infrastructure) je infrastruktura (ČR, EU atp.), která je klíčová pro chod společnosti a ekonomiky. Její ochrana je důležitá, aby nenastala krizová situace (v ČR, EU atp.), patří sem např. jaderné elektrárny.
• Kritická informační infrastruktura ( critical information infrastructure) je definována zákonem o KB, patří sem např. významné informační systémy.
• Kybernetika (cybernetics) studuje principy řízení a sdělování zpráv v živých organismech, automatech, počítačích i společenských systémech.
• Kybernetická hrozba (cyber threat) je každá potenciální okolnost, událost nebo čin, které mohou poškodit, narušit nebo jinak nepříznivě ovlivnit sítě a informační systémy, jejich uživatele a další osoby.
• Kyberprostor (cyberspace) je virtuální počítačový svět, přesněji elektronické médium tvořící světovou, globální počítačovou síť, která je základem online komunikace používající protokol TCP/IP.
• Kyberterorismus (cyberterrorism) jsou internetové teroristické aktivity.
• Technická aktiva ( technical assets) zahrnují technická vybavení, komunikační prostředky, příslušný software a databáze.

Klasifikace souvisejících termínů

ENISA, dle nařízení EU, má postupně dva významy:

• 526/2013: Agentura Evropské unie pro bezpečnost sítí a informací (European Union Agency for Network and Information Security); náplň byla novelizována další směrnicí, při zachování původní zkratky.
• 2019/881: Agentura Evropské unie pro kybernetickou bezpečnost (European Union Agency for Cybersecurity). Národní centra kybernetické bezpečnosti (National centers of cybersecurity) [csWIKI]:
• NBÚ, Národní bezpečnostní úřad, se stal gestorem problematiky kybernetické bezpečnosti v říjnu 2011.
• NUKIB, Národní úřad pro kybernetickou a informační bezpečnost, vznikl 1. srpna 2017 na základě zákona číslo 205/2017 Sb. o KB.

NCKB, Národní centrum kybernetické bezpečnosti, bylo roku 2017 převedeno z NBÚ do NUKIB. NCKB zajišťuje prevenci před kybernetickými hrozbami proti:

• prvkům kritické informační infrastruktury,
• informačním systémům základní služby,
• významným informačním systémům a
• vybraným informačním systémům veřejné správy.

Risk Analysis Consultants, služby a projekty v oblasti bezpečnosti informací pro organizace [RAC].

Kyberbezpečnostní týmy CERT a CSIRT pracují dnes na úrovni:

• globální (CERT CC, 1988);
• evropské (CERT-EU);
• národní (CSIRT.CZ, Česko, 2010; … CERTNZ, Nový Zéland);
• organizací (CSIRT-MU, Masarykova univerzita; CSIRT-VUT Vysoké učení technické).

Související certifikace:

• Evropský systém certifikace kybernetické bezpečnosti (European cybersecurity certification scheme) je rozvíjen a udržován agenturou ENISA.
• Certifikace systému managementu bezpečnosti informací (Information security management system) podle ČSN ISO/IEC 27001 [CQS].
• Certifikace kyberbezpečnostních týmů, [Thrusted Intoducer].
• Certifikace osob pro obor KB, [EZÚ].

Role v systému managementu kybernetické bezpečnosti:

• manažer kybernetické bezpečnosti ‒ odpovídá za kybernetickou bezpečnost jako celek;
• architekt kybernetické bezpečnosti ‒ zajišťuje návrhy implementace bezpečnostních opatření;
• garant aktiva ‒ odpovídá za zajištění rozvoje, použití a bezpečnost aktiva;
• auditor kybernetické bezpečnosti ‒ odpovídá za ověření kybernetické bezpečnosti.

Související legislativa EU:

• Nařízení EU 2014/910, o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu.
• Směrnice EU 2016/1148, o opatřeních pro bezpečnost sítí a informačních systémů v EU;
• Nařízení EU 2019/881, o novelizaci náplně agentury ENISA a o certifikaci KB (akt o KB).

Nařízení a zákony ČR o KB:

• Zákon 181/2014 Sb., o KB, (ve znění změn 104/2017 Sb. až 261/2021 Sb.) stanoví práva a povinnosti osob a pravomoci orgánů veřejné moci v oblasti KB.
• Vyhláška 316/2014 Sb., o KB, (ve znění vyhlášky 82/2018 Sb.) o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat.

Související normalizační subkomise ISO/IEC JTC 1/SC 27 Informační bezpečnost, kybernetická bezpečnost a ochrana soukromí (Information security, cybersecurity and privacy protection). SC 27 vypracovala např. normy:

• ČSN EN ISO/IEC 27000: 2020, Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník;
• ČSN ISO/IEC 27001: 2014, Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky;
• ČSN ISO/IEC 27032: 2013, Informační technologie – Bezpečnostní techniky – Směrnice pro kybernetickou bezpečnost.

Studium související problematiky:

• MU, Fakulta informatiky, bakalářské studium, kyberbezpečnost;
• MU, Ústav výpočetní techniky, kybernetický polygon, laboratoř pro výzkum a vývoj metod na ochranu proti útokům na kritickou infrastrukturu ČR;
• ČVUT, Fakulta informačních technologií (Faculty of information technology), katedra informační bezpečnosti (Department of information security).

Literatura:

Ivan Havel, Kybernetika, Vesmír, 1998

What is cyberattack, https://www.cisco.com/c/en/us/products/security/common-cyberattacks.html#~types-of-cyber-attacks

Zákon o KB, https://nukib.cz/images/icons/2021-08-31_novelizace_zneni_zakona_181_2014.pdf

[csWiki] csWikipedia: https://cs.wikipedia.org/

• CSIRT.CZ
• Fakulta informatiky Masarykovy univerzity
• Kybernetika
• Národní úřad pro kybernetickou a informační bezpečnost
• Počítačová bezpečnost

[CQS] Certifikace systémů managementu (ISO/IEC 27001, ISO/IEC 20000-1, ISO 9001), https://www.cqs.cz/

[DPS-AZ] Informační a komunikační technologie: Terminologie, DPS-AZ, 3/2016

[enWiki] https://en.wikipedia.org/

• Computer emergency response team, CERT
• Computer security
• Cybersecurity standards

[EZU] Osobní certifikace, https://ezu.cz/katalog-produktu/osobnicertifikace/

[RAC] Risk analysis consultants, služby a konzultace ve všech oblastech bezpečnosti informací

[Thrusted Intoducer] certificaton, https://www.trusted-introducer.org/processes/certification.html

[WikiComm] Wikimedia Commons: (obr. 1 a 2)

• Cybersecurity Visuals Challenge 2019 - John Hurley.png, autor: John Hurley
• EU cyber security conference 2017 (37241113571).jpg, autor: EU2017EE Estonian Presidency

[WikiData] definice termínů, https://wikidata.org/