Ochrana kybernetického priestoru

ABC náhľad

« Späť na zoznam datasetov

Ochrana kybernetického priestoru

Opatrne, si v mode, kedy presúvaš uzly.

1. Klikni na text uzla, ktorý chceš presunúť.

2. Klikni na text uzla, pred ktorý chceš vybraný uzol presunúť.

Opatrne, si v mode, kedy kopíruješ podstrom.

1. Klikni na text uzla, ktorého podstrom chceš skopírovať.

2. Klikni na text uzla, pod ktorý chceš vybraný podstrom skopírovať.

Úvod a základné pojmy Skryť 7 podradených uzlov. Zobraziť 7 podradených uzlov.

Úvodné informácie, prehľad základných pojmov, odkazy na zaujímavé stránky z oblasti kybernetickej bezpečnosti, príklady narušení kybernetického priestoru.
- O strome vedomostí
  
  Tento strom vedomostí (Tree of knowledge) sa venuje problematike ochrany kybernetického priestoru, kybernetickej bezpečnosti.
  
  Doplnkové informácie:
  Vedomosti si môžete zobraziť v stromovej štruktúre alebo vo forme slovníka (ABC náhľad).
  
  V okienku v hornej časti si zadáte koreň pojmu, ktorý hľadáte, alebo jeho časť (prvé písmená slova, minimálne 3). Napr. rizik - pre riziko, riziková, riziká, kyber - pre kybernetický, kybernetická, syst - pre systém, systémy, systémový.
  
  Ak pojem v strome existuje, vyznačí sa v rámci stromu.
- Úvodné slovo ku kybernetickej bezpečnosti
  "Kybernetická bezpečnosť" sa stála módnym pojmom.
  - Je to jav dočasný alebo trvalý?
  - Je to len iný pojem namiesto informačnej bezpečnosti alebo niečo viac?
  - Je kybernetická vojna science-fiction alebo blízkou realitou?
  - Môže byť hacknuteľná moja chladnička?
  - Vymknú sa autonómne autá spod kontroly?
  - Končí vek súkromia, keď kamery a drony sú všade?
  - Sme pripravení na masívny kybernetický útok?
  - Čo sa stane, ak mi niekto ukradne elektronickú identitu?
  - Prečo je ohrozený aj ten, kto nie je na Internete?
  Je mnoho otázok, na ktoré môže dať plnú alebo čiastkovú odpoveď práve najdynamickejšie sa rozvíjajúca oblasť bezpečnosti - kybernetická bezpečnosť. Tento strom vedomostí predstavuje úvod do sveta kybernetickej bezpečnosti v podmienkach Slovenskej republiky.
  Doplnkové informácie:
  Ak pre nejakú oblasť je vydaná smernica EÚ a pripravuje sa špecializovaný zákon, znamená to, že situácia je vážna (nie však zúfalá).
- Základné pojmy Skryť 21 podradených uzlov. Zobraziť 21 podradených uzlov.
  
  Prehľad základných pojmov súvisiacich s kybernetickou bezpečnosťou
  
  Doplnkové informácie:
  Väčšina pojmov nie je ukotvená v slovenskej legislatíve. To bude úloha pripravovaného zákona o kybernetickej bezpečnosti.
  
  Niektoré definície pojmov sú zavedené v Terminologickom slovníku krízového riadenia, niektoré sú vybrané z odbornej literatúry. Ak je pojem zo slovníka, je to pri jeho definícii uvedené.
  - Aktívum (Terminologický slovník krízového riadenia)
    
    všetko, čoho narušenie, poškodenie alebo strata môže pre subjekt znamenať materiálnu alebo nemateriálnu škodu.
    
    Doplnkové informácie:
    
    - Ak definujeme aktívum na základe jeho hodnoty, je problém, že zvyčajne sa subjekt zaoberá len hodnotami, ktoré sú v jeho pôsobnosti a nehodnotí hodnotu všetkého okolo seba.
    - Či je niečo potrebné kvôli jeho hodnote chrániť alebo nie, je predmetom diskusie a názoru, spôsobená škoda nebýva zvyčajne predmetom názoru, ale je faktom a je kvantifikovateľná napr. v Trestnom zákone.
    - V krízovom manažmente dochádza k spúšťaniu aktivít nie kvôli tomu, že niečo má hodnotu, ale kvôli tomu, že niečomu hrozí vážna ujma, škoda alebo už nastala.
    - Miera hodnoty nie je v našej legislatíve podchytená, ale miera škody je podchytená Trestným zákonom veľmi podrobne.
    - Niečoho narušením nemusí vždy dôjsť škode, ale dôležité je, že táto možnosť môže nastať.
    
    Príklady definícií iných oblastí a zdrojov:
    - Enisa glossary: "Anything that has value to the organization, its business operations and their continuity, including Information resources that support the organization's mission." Same as in ISO/IEC PDTR 13335-1.
    - Wikipédia, pre oblasť informačnej bezpečnosti: "In information security, computer security and network security an Asset is any data, device, or other component of the environment that supports information-related activities. Assets generally include hardware (e.g. servers and switches), software (e.g. mission critical applications and support systems) and confidential information."
    - Business Dictionary: " 1.Something valuable that an entity owns, benefits from, or has use of, in generating income. 2. Accounting: Something that an entity has acquired or purchased, and that has money value (its cost, book value, market value, or residual value)."
    - Investopedia: "Assets are bought to increase the value of a firm or benefit the firm's operations. You can think of an asset as something that can generate cash flow, regardless of whether it's a company's manufacturing equipment or an individual's rental apartment."
  - Hrozba (Terminologický slovník krízového riadenia)
    
    objektívne existujúca možnosť, ktorej naplnenie je schopné spôsobiť škodu na aktíve subjektu, alebo narušiť jeho bezpečnosť.
    
    Doplnkové informácie:
    
    - Podstatou hrozby je možnosť spôsobiť škodu nejakému aktívu alebo narušiť jeho bezpečnosž.
    - Hrozba je potenciálna možnosť: udalosť, ktorá môže, ale nemusí nastať. Pri hodnotení rizika odhadujeme pravdepodobnosť alebo možnosť nastatia hrozby.
    - Hrozby môžu byť prírodné udalosti (nastanú), technické udalosti (nastanú alebo sú realizované) , výsledky úmyselnej alebo neúmyselnej ľudskej činnosti (sú realizované).
    - Pojem „škoda“ máme definovaný v Trestnom zákone, § 124: „Škodou sa na účely tohto zákona rozumie ujma na majetku alebo reálny úbytok na majetku alebo na právach poškodeného alebo jeho iná ujma, ktorá je v príčinnej súvislosti s trestným činom, bez ohľadu na to, či ide o škodu na veci alebo na právach. Škodou sa na účely tohto zákona rozumie aj získanie prospechu v príčinnej súvislosti s trestným činom."
    - Príklady generických škôd: strata veci, zničenie veci, poškodenie veci, zneužitie veci.
    
    Príklady definícií iných krajín a zdrojov:
    ISO 27000: Potential cause of an unwanted incident, which may result in harm to a system or organization
    NIST IR 7298: Any circumstance or event with the potential to adversely impact organizational operations (including mission, functions, image, or reputation), organizational assets, individuals, other organizations, or the Nation through an information system via unauthorized access, destruction, disclosure, modification of information, and/or denial of service.
    Merriam-Webster Dictionary: a statement saying you will be harmed if you do not do what someone wants you to do, someone or something that could cause trouble, harm, etc. : the possibility that something bad or harmful could happen.
    The Free Dictionary: 1. An expression of an intention to inflict pain, harm, or punishment. 2. An indication of impending danger or harm. 3. One that is regarded as a possible source of harm or danger. 4. The condition of being in danger or at risk: under threat of attack.
  - Kybernetická hrozba (Terminologický slovník krízového riadenia)
    Hrozba voči aktívam kybernetického priestoru.
    
    Doplnkové informácie:
    - Kybernetické hrozby svojou realizáciou môžu spôsobiť škodu alebo narušenie nielen kybernetickému priestoru, ale aj osobám, zariadeniam a veciam priamo interagujúcich s kyberpriestorom alebo aj nepriamo (napr. nemusím používať Internet, ale únik hacknutie počítača môjho lekára a únik mojich zdravotných záznamov ma môže výrazne poškodiť).
    - Príklady kybernetických hrozieb: DDoS útoky, napadnutie malwarom, hacking, phising, cracking, spam, hoaxy, zneužitie virtuálnej identity, trolling, digital stalking.
    - Zdroje hrozieb sú najčastejšie osoby: botnetoví operátori, hackeri, hacktivisti, kriminálne skupiny, spravodajské služby, tvorcovia malweru, crackeri, chyby softvéru, pochybenia správcov systémov.
    - Hrozba môže pochádzať od osoby (napr. hackera), ale aj ním vytvoreného voľne sa šíriaceho malwaru, chybného softvéru alebo hardvéru alebo nevhodných údajov (napr. dáta, ktoré zhodia aplikáciu).
    
    Príklady definícií iných krajín a zdrojov:
    - Finland: Cyber threat means the possibility of action or an incidentin the cyber domain which, when materialised, jeopardises some operation dependent on the cyber world. Note: Cyber threats are information threats which, when materialised, jeopardise the correct or intended functioning of the information system. Source: Finland’s Cyber Security Strategy (24 Jan 2013)
    - ICS-CERT: Cyber threats to a control system refer to persons who attempt unauthorized access to a control system device and/or network using a data communications pathway... National cyber warfare programs are unique in posing a threat along the entire spectrum of objectives that might harm US interests. These threats range from propaganda and low-level nuisance web page defacements to espionage and serious disruption with loss of life and extensive infrastructure disruption... Hacktivists form a small, foreign population of politically active hackers that includes individuals and groups. https://ics-cert.us-cert.gov/content/cyber-threat-source-descriptions
    - Oxford dictionary: The possibility of a malicious attempt to damage or disrupt a computer network or system.
    - US White House National Security Council: Cyber threats cover a wide range of malicious activity that can occur through cyberspace. Such threats include web site defacement, espionage, theft of intellectual property, denial of service attacks, and destructive malware.
    - IT LAW wikia: Cyber threat is any identified effort directed toward access to, exfiltration of, manipulation of, or impairment to the integrity, confidentiality, security, or availability of data, an application, or a federal system, without lawful authority. ...are potential cyber events that may cause unwanted outcomes, resulting in harm to a system or organization. Threats may originate externally or internally and may originate from individuals or organizations.
  - Zraniteľnosť
    
    Vlastnosť, nastavenie, chyba veci alebo systému, ktorá zvyšuje pravdepodobnosť realizácie hrozby alebo jej dopad.
    
    Doplnkové informácie:
    Príklady zraniteľností: nestrážená hranica, počítač s operačným systémom bez aktualizácií, horľavé materiály v objekte, voľný prístup cudzích osôb do budovy, neuzamknuté auto, genetická predispozícia k danému ochoreniu.
    
    Zdôvodnenie definície:
    -    Definovať zraniteľnosť pojmom „slabé miesto alebo slabina“ nerieši podstatu, lebo potom potrebujeme definovať, čo je to slabé miesto – nie je to pojem všeobecne známy.
    -    Zraniteľnosť nevyjadruje mieru poškodenia, tú vyjadruje dopad realizovanej hrozby.
    -    Hrozba a zraniteľnosť nie je to isté, nakoľko zraniteľnosť sama o sebe škodu nespôsobí, len zvyšuje riziko, t.j. násobí pravdepodobnosť alebo dopad škody.
    -    Zvýšenie pravdepodobnosti realizácie hrozby alebo jej dopadu je prejavom zníženej odolnosti systému.
    -    Zraniteľnosťou môže byť aj opomenutie alebo sa môže týkať nedostatočnosti pevnosti, úplnosti alebo dôslednosti kontroly ale jej podstata týmto nie je vyčerpaná. Napr. horľavé materiály v budove, ktoré tam musia byť – tým sme neopomenuli žiadnu kontrolu, ale zraniteľnosť je vyššia. Iný príklad: dátové centrum má len jeden zdroj napájania, lebo iný nie je dostupný - je to daný fakt, nie opomenutie kontroly, ale je to pritom zraniteľnosť.
    
    Príklady definícií iných krajín a zdrojov:
    -    ISO 217001: A vulnerability is a weakness in an asset or group of assets. An asset’s weakness could allow it to be exploited and harmed by one or more threats.
    -    ITSEC: The existence of a weakness, design, or implementation error that can lead to an unexpected, undesirable event compromising the security of the computer system, network, application, or protocol involved.
    -    NIST: A flaw or weakness in system security procedures, design, implementation, or internal controls that could be exercised (accidentally triggered or intentionally exploited) and result in a security breach or a violation of the system’s security policy.
    -    Wikipedia: In computer security, a vulnerability is a weakness which allows an attacker to reduce a system's information assurance. Vulnerability is the intersection of three elements: a system susceptibility or flaw, attacker access to the flaw, and attacker capability to exploit the flaw.
    -    Digital Threat web page: In Information Security vulnerability could be defined as “a flaw or weakness in hardware, software or process that exposes a system to compromise”. -
    -    The free Dictionary: 1. The susceptibility of a nation or military force to any action by any means through which its war potential or combat effectiveness may be reduced or its will to fight diminished. 2. The characteristics of a system that cause it to suffer a definite degradation (incapability to perform the designated mission) as a result of having been subjected to a certain level of effects in an unnatural (manmade) hostile environment. 3. In information operations, a weakness in information system security design, procedures, implementation, or internal controls that could be exploited to gain unauthorized access to information or an information system.
  - Zraniteľnosť kybernetického priestoru
    
    vlastnosť, chyba alebo nastavenie prvku kybernetického priestoru, ktoré zvýšia pravdepodobnosť realizácie hrozby alebo jej negatívny vplyv na kybernetický priestor.
    
    Doplnkové informácie:
    
    Zdôvodnenie definície:
    - Nielen hrozba, ale aj zraniteľnosť ohrozuje kybernetický priestor.
    - Hrozba a zraniteľnosť nie je to isté, nakoľko zraniteľnosť sama o sebe škodu nespôsobí, len násobí pravdepodobnosť alebo dopad škody.
    - Doterajšie prístupy k bezpečnosti kybernetického priestoru súvisiace s kybernetickým priestorom opomínajú zraniteľnosti a venujú sa len hrozbám, definíciu ponechali informačnej bezpečnosti. Tá nepostačuje pre riadiace a priemyselné systémy a IoT ako súčasť kybernetického priestoru.
    - Príklady zraniteľností: operačný systém bez bezpečnostných aktualizácií, prihlásenie sa do systému bez identifikácie a autentizácie, používanie krátkeho hesla, heslo zdieľané viacerými osobami, povolenie makier a skriptov, niektoré otvorené porty, nefungujúca prepäťová ochrana, neošetrenie nekorektných vstupov aplikáciou, nezálohované údaje.
    
    Príklady definícií iných krajín a zdrojov:
    - ISO 217001: A vulnerability is a weakness in an asset or group of assets. An asset’s weakness could allow it to be exploited and harmed by one or more threats.
    - ITSEC: The existence of a weakness, design, or implementation error that can lead to an unexpected, undesirable event compromising the security of the computer system, network, application, or protocol involved.
    - NIST: A flaw or weakness in system security procedures, design, implementation, or internal controls that could be exercised (accidentally triggered or intentionally exploited) and result in a security breach or a violation of the system’s security policy.
    - Wikipedia: In computer security, a vulnerability is a weakness which allows an attacker to reduce a system's information assurance. Vulnerability is the intersection of three elements: a system susceptibility or flaw, attacker access to the flaw, and attacker capability to exploit the flaw.
    - Digital Threat web page: In Information Security vulnerability could be defined as “a flaw or weakness in hardware, software or process that exposes a system to compromise”. -
    - The free Dictionary: 1. The susceptibility of a nation or military force to any action by any means through which its war potential or combat effectiveness may be reduced or its will to fight diminished. 2. The characteristics of a system that cause it to suffer a definite degradation (incapability to perform the designated mission) as a result of having been subjected to a certain level of effects in an unnatural (manmade) hostile environment. 3. In information operations, a weakness in information system security design, procedures, implementation, or internal controls that could be exploited to gain unauthorized access to information or an information system. See also information; information operations; information system.
  - Riziko (Smernica EÚ pre bezpečnosť sietí a IS)
    
    „Riziko“ je každá primerane rozpoznateľná okolnosť alebo udalosť, ktorá môže mať nepriaznivý vplyv na bezpečnosť sietí a informačných systémov;
    
    Linky a odkazy:
    Článok 4, ods. 9, Smernica Európskeho parlamentu a Rady (EÚ) o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii
    http://eur-lex.europa.eu/legal-content/SK/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.SLK&toc=OJ:L:20...
    
    Doplnkové informácie:
    - Miera rizika je ovplyvňovaná jednak pravdepodobnosťou nastatia hrozby a jednak možným nepriaznivým vplyvom, dopadmi, ktoré môže spôsobiť.
    - Zraniteľnosť ovplyvňuje riziko nepriamo - cez nárast pravdepodobnosti nastatia hrozby a možných dopadov, preto v definícii nevystupuje.
    
    Príklady definícií iných krajín a zdrojov:
    
    - ISO 27000:2014:
    Risk - effect of uncertainty on objectives [SOURCE: ISO Guide 73:2009]
    Note 1 to entry: An effect is a deviation from the expected — positive or negative.
    Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or knowledge of, an event , its consequence, or likelihood.
    Note 3 to entry: Risk is often characterized by reference to potential events and consequences, or a combination of these.
    Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including changes in circumstances) and the associated likelihood of occurrence.
    Note 5 to entry: In the context of information security management systems, information security risks can be expressed as effect of uncertainty on information security objectives.
    Note 6 to entry: Information security risk is associated with the potential that threats will exploit vulnerabilities of an information asset or group of information assets and thereby cause harm to an organization.
    
    - ISO 31000 (2009) / ISO Guide 73:2002 definition of risk is the 'effect of uncertainty on objectives'. In this definition, uncertainties include events (which may or may not happen) and uncertainties caused by ambiguity or a lack of information. It also includes both negative and positive impacts on objectives.
    
    - Wikipédia: Risk is potential of losing something of value. Values can be gained or lost when taking risk resulting from a given action, activity and/or inaction, foreseen or unforeseen. Risk can also be defined as the intentional interaction with uncertainty. Uncertainty is a potential, unpredictable, unmeasurable and uncontrollable outcome, risk is a consequence of action taken in spite of uncertainty.
  - Bezpečnostná udalosť (Terminologický slovník krízového riadenia)
    
    Udalosť, ktorá má, alebo môže mať vplyv na bezpečnosť aktíva, alebo subjektu.
    
    Doplnkové informácie:
    Zdôvodnenie definície:
    -   Bezpečnostná udalosť sa vzťahuje ku aktívu či subjektu, ktoré je predmetom ochrany. Ak aktívum nie je predmetom ochrany, nevieme o udalosti rozhodnúť, či je to bezpečnostná udalosť alebo nie.
    -   Aj udalosť, ktorá aktívum nenarušila, môže byť bezpečnostnou udalosťou (napr. niekto scanoval porty, cudzia osoba vnikla do areálu, protipožiarne čidlo spustilo falošný poplach, niekto chcel strieľať na strážnu službu, ale polícia mu v tom zabránila).
    
    Možné ovplyvnenie bezpečnosti aktíva, príklady:
    -   pridanie nového používateľa
    -   zmena bezpečnostnej konfigurácie systému
    -   zmena šifrovacích kľúčov
    -   otvorenie portov
    -   inštalácia patchu alebo servis packu
    -    zmena oprávnení administrátora
    - neautorizovaná zmena súboru
    -    ponechanie USB s údajmi na nechránenom mieste
    
    Príklady definícií iných krajín a zdrojov:
    - ISO 27000:2014 :
       Event: occurrence or change of a particular set of circumstances.
       Information security event: identified occurrence of a system, service or network state indicating a possible breach of information security policy or failure of controls, or previously unknown situation that may be security relevant.
    - SANS Institute: Event: An event is an observable occurrence in an information system that actually happened at some point in time.
    - Encyklopédia „What is“: „A security event is a change in the everyday operations of a network or information technology service, indicating that a security policy may have been violated or a security safeguard may have failed.“ http://whatis.techtarget.com/definition/security-event-security-incident
  - Incident (Smernica EÚ pre bezpečnosť sietí a IS)
    
    „Incident“ je každá udalosť, ktorá má skutočne nepriaznivý vplyv na bezpečnosť sietí a informačných systémov;
    
    Linky a odkazy:
    Článok 4, ods. 7, Smernica Európskeho parlamentu a Rady (EÚ) o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii
    
    http://eur-lex.europa.eu/legal-content/SK/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.SLK&toc=OJ:L:20...
    
    Doplnkové informácie:
    Definície z iných zdrojov:
    
    ISO 27000: 2014: Information security incident - single or a series of unwanted or unexpected information security events that have a significant probability of compromising business operations and threatening information security.
    US-CERT: An incident is the act of violating an explicit or implied security policy according to NIST Special Publication 800-61. Of course, this definition relies on the existence of a security policy that, while generally understood, varies among organizations.These include but are not limited to
    - attempts (either failed or successful) to gain unauthorized access to a system or its data
    - unwanted disruption or denial of service
    - the unauthorized use of a system for the processing or storage of data
    - changes to system hardware, firmware, or software characteristics without the owner's knowledge, instruction, or consent
    
    CERT: Examples of general definitions for a computer security incident might be
    - Any real or suspected adverse event in relation to the security of computer systems or computer networks
    - The act of violating an explicit or implied security policy.
    Examples of incidents could include activity such as
    - attempts (either failed or successful) to gain unauthorized access to a system or its data
    - unwanted disruption or denial of service
    - unauthorized use of a system for the processing or storage of data
    - changes to system hardware, firmware, or software characteristics without the owner's knowledge, instruction, or consent.
    
    Techopedia: A security incident is a warning that there may be a threat to information or computer security. The warning could also be that a threat has already occurred. Threats or violations can be identified by unauthorized access to a system. A computer security incident is a threat to policies that are related to computer security.
  - Infraštruktúra (Terminologický slovník krízového riadenia)
    
    Fyzické a organizačné štruktúry potrebné na fungovanie subjektu; služby a zariadenia, ktoré podporujú jeho primárnu činnosť, ale bezprostredne sa na nej nepodieľajú.
    
    Doplnkové informácie:
    Zdôvodnenie definície:
    - Infraštruktúra podporuje základné funkcie, činnosti daného systému (štátu, mesta, organizácie, podniku, ale aj budovy).
    - Bez jej existencie alebo jej zničením je daná základná funkcia nezabezpečená.
    - Infraštruktúra je zložená z množstva prvkov, podstatná je ich prepojenosť a účelovosť pre danú fukciu (napr. v energetickej infraštruktúre máme elektrárne, prenosovú sústavu VVN, VN a NN, transformačné stanice, prípojky pre obyvateľov, elektromery, riadiace systémy, podporné informačné systémy, služby dodávky elektriny, servisné služby, ...)
    - Každá významná funkcia štátu má svoj sektor a ten má svoju infraštruktúru. Napr. doprava, energetika, finančný sektor, verejná správa, zdravotníctvo.
    - Preto pojem "infraštruktúra" možno chápať na dvoch úrovniach: na úrovni štátu a na úrovni konkrétnej entity. Na úrovni štátu je tvorená všetkými špeciálnymi, sektorovými infraštruktúrami.
    
    Príklady definícií z iných zdrojov:
    - Wikipédia: "Infrastruktura (z franc. infra-structure, doslova: čo je pod stavbami) je vo všeobecnom zmysle slova množina propojených štrukturálnych prvkov, které potom udržujú celú štruktúru pohromade. "
    - Zákon č. 275/2006 Z.z. (o informačných systémoch verejnej správy): "technologicko-komunikačné prostredie zabezpečujúce najmä implementáciu a prevádzkovanie informačných systémov verejnej správy, poskytovanie a rozvoj elektronických služieb verejnej správy."
    - Dictionary.com: "1. the basic, underlying framework or features of a system or organization. 2. the fundamental facilities and systems serving a country, city, or area, as transportation and communication systems, power plants, and schools."
    - The Free Dictionary: " 1. An underlying base or foundation especially for an organization or system.
    2. The basic facilities, services, and installations needed for the functioning of a community or society, such as transportation and communications systems, water and power lines, and public institutions including schools, post offices, and prisons."
  - Kritická infraštruktúra (zákon o kritickej infraštruktúre)
    
    Súčasná právna úprava
    § 2 zákona č. 45/2011 Z. z. (o kritickej infraštruktúre):
    
    Na účely tohto zákona sa rozumie
    a) prvkom kritickej infraštruktúry (ďalej len „prvok“) najmä inžinierska stavba, služba vo verejnom záujme a informačný systém v sektore kritickej infraštruktúry, ktorých narušenie alebo zničenie by malo podľa sektorových kritérií a prierezových kritérií závažné nepriaznivé dôsledky na uskutočňovanie hospodárskej a sociálnej funkcie štátu, a tým na kvalitu života obyvateľov z hľadiska ochrany ich života, zdravia, bezpečnosti, majetku, ako aj životného prostredia,
    b) sektorom kritickej infraštruktúry (ďalej len „sektor“) časť kritickej infraštruktúry, do ktorej sa zaraďujú prvky; sektor môže obsahovať jeden alebo viac podsektorov kritickej infraštruktúry (ďalej len „podsektor“),
    c) kritickou infraštruktúrou systém, ktorý sa člení na sektory a prvky.
    
    Doplnkové informácie:
    Príklady definícií z iných zdrojov a krajín:
    
    - Definícia podľa európskej smernice o kritickej infraštruktúre: 2008/114/EC, Article 2, Definitions:
    For the purpose of this Directive:
    "Critical infrastructure means an asset, system or part thereof located in Member States which is essential for the maintenance of vital societal functions, health, safety, security,economic or social well-being of people, and the disruption or destruction of which would have a significant impact in a Member State as a result of the failure to maintain those functions;"
    
    Tallin NATO manual: Physical or virtual systems and assets under the jurisdiction of a State that are so vital that their incapacitation or destruction may debilitate a State’s security, economy, public health or safety, or the environment.
    Source: Tallinn Manual on the International Law Applicable to Cyber Warfare - 2013
    
    - US definícia
    The U.S. Government states that the country's critical infrastructure is the "infrastructure and assets vital to national security, governance, public health and safety, economy and public confidence."
    
    - UK definícia
    The UK's national infrastructure is defined by the Government as: “those facilities, systems, sites and networks necessary for the functioning of the country and the delivery of the essential services upon which daily life in the UK depends”.
  - Kritická informačná a komunikačná infraštruktúra
    
    kritická infraštruktúra tvorená informačnými a komunikačnými systémami.
  - Prvok kybernetického priestoru
    
    prvkom kybernetického priestoru môže byť časť elektromagnetického spektra, informačný alebo komunikačný systém a jeho údajová základňa, elektronická časť riadiaceho, výrobného alebo bezpečnostného systému, alebo samostatne funkčného výrobku, ako aj telekomunikačná alebo počítačová sieť, elektronická služba alebo informačný produkt.
    
    Doplnkové informácie:
    Zdôvodnenie definície:
    - Kybernetický priestor nie je jednoliaty celok, ale ho možno dekomponovať do prvkov.
    - Na rozhodnutí je výber miery granularity. Prvok môže byť informačný systém, server, pevný disk, radič pevného disku.
    - Vhodná miera granularity sa javí tá, ktorá blízka granularite pri definícii prvku kritickej infraštruktúry.
    - Do prvkov kybernetického priestoru nepatria len IS, ale aj digitálne časti riadiacich a výrobných systémov, pokiaľ sú potenciálne prepojiteľné s internetom alebo ovplyvniteľné cez internet.
    
    - Interakcia prvkov kybernetického priestoru je vykonávaná najmä prostredníctvom digitálnych signálov nesúcich údaje a súvisí so spracovaním údajov (buď pohybom elektrónov alebo elektromagnetickým poľom a preto patrí do definície aj elektromagnetické spektrum).
    - Najnovšie sa do prvkov kybernetického priestoru včlenila aj spotrebná elektronika a bežné veci s včlenenou elektronikou v rámci Internet of Things (napr. automobil so softvérom pre riadenie chodu motora či optimalizáciu emisií, ale aj Barbie bábika v novej verzii, s možnosťou komunikácie v bežnom jazyku napojená na cloud a rizikom odpočúvania domácnosti).
    - Osoba a jej aktivita nie je prvkom kyberpriestoru, osoby interagujú s kyberpriestorom a medzi sebou využitím prostriedkov kyberpriestoru.
    - Informačným produktom môže byť nehmotná vec (obrázok, pesnička, video v súbore, databáza, digitálna mapa) alebo služba (predaj obrázku, pesničky, videa v digitálnej forme, právo pristupovať do platenej databázy).
  - Kybernetický priestor (Terminologický slovník krízového riadenia)
    
    globálny dynamický otvorený systém, ktorý tvoria telekomunikačné a počítačové siete, informačné a komunikačné systémy, ich programové vybavenie a údaje, ktoré sa pomocou nich spracovávajú; elektronické subsystémy riadiacich, výrobných, bezpečnostných a iných systémov a zariadení; činnosti ktoré v jednotlivých častiach tohto systému prebiehajú; vzťahy a interakcie medzi časťami, prvkami a subsystémami tohto systému.
    
    Doplnkové informácie:
    
    Príklady definícií iných krajín a zdrojov:
    - ČR: V tomto zákoně se rozumí „kybernetickým prostorem digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací.“
    - NATO Tallin manual: The environment formed by physical and non-physical components, characterized by the use of computers and electro-magnetic spectrum,to store, modify and exchange data using computer networks.
    - TU: Cyberspace includes users, networks, devices, all software, processes, information in storage or transit,applications, services, and systems that can be connected directly or indirectly to networks.
    - USA: National Security Presidential Directive 54/Homeland Security Presidential Directive 23 (NSPD-54/HSPD23) defines cyberspace as the interdependent network of information technology infrastructures, and includes the Internet, telecommunications networks, computer systems, and embedded processors and controllers in critical industries.
  - Národný kybernetický priestor
    
    Časť kybernetického priestoru, ktorá spadá pod jurisdikciu Slovenskej republiky.
    
    Doplnkové informácie:
    
    Zdôvodnenie definície:
    - Legislatíva Slovenskej republiky poskytuje rámec pre posúdenie, či daná časť, prvok alebo subsystém kybernetického priestoru je v pôsobnosti jurisdikcie SR.
    - Jurisdikcia môže byť priama alebo nepriama. Nepriama je napr. vymedzená obchodnou zmluvou medzi slovenským a zahraničným subjektom na ktorú sa vzťahuje aj slovenské legislatíva.
    - Pre hmotné časti (hardvér) je posúdenie jednoduchšie, lebo u neho vieme určiť geografickú príslušnosť (nachádza sa na území ...) aj právne relevantnú príslušnosť vlastníka (napr. spoločnosť so sídlom v USA).
    - Ťažšie je to z nehmotnými časťami kyberpriestoru. Napr. máme údaje slovenských občanov v cloude Amazonu v dátovom centre v Írsku manažovanom servisnou pobočkou vo Frankfurte. Čo z toho môže byť súčasťou nášho národného kyberpriestoru?
    - V nepriamej jurisdikcii: prevádzkované IT služby a spracovávané údaje na základe medzinárodných dohôd SR a obchodných zmlúv slovenských subjektov (napr. spracovanie osobných údajov SR v rámci EÚ, USA, údaje zo SR na cloudoch veľkých prevádzkovateľov).
  - Ochrana kybernetického priestoru
    
    súhrn opatrení, činností a prostriedkov týkajúcich sa manažmentu hrozieb, zraniteľností a rizík, ktoré môžu narušiť kybernetický priestor a jeho bezpečnosť.
    
    Doplnkové informácie:
    Zdôvodnenie definície
    - Anglický ekvivalent je "Defence of Cyberspace"; Cyber Defence je niečo špecifickejšie". Ako samostatný pojem používaný v dokumentoch o kybernetickej bezpečnosti
    - Definovaný je aj pojem "Kybernetická bezpečnosť - Cyber Security", ktorý sa týka len hrozieb realizovaných prostriedkami kybernetického priestoru.
    - Tento pojem zahŕňa ochranu pred všetkými hrozbami pre kybernetický priestor. Ten môže byť narušený výpadkom prúdu, prekopaním optického kábla, úderom blesku, vytopením serverovne, požiarom a pod.
    - Okrem hrozieb pre kybernetický priestor ako taký, existuje užšia skupina hrozieb pre poskytované služby alebo spracovávané údaje (napr. chybou v programe sú údaje nesprávne spracované).
    - Ochrana má vecnú časť (množina použitých prostriedkovvecí na ochranu ako je HW, SW, prostriedky fyzickej a objektovej bezpečnosti) a časť procesnú (opatrenia, činnosti).
    - Pre služby je v kybernetickom priestore je dôležitým atribútom aj dôveryhodnosť. Ak stratíme napr. dôveru v elektronické platby (napr. kvôli hackerom), prestaneme službu (napr. nákup v e-shope ) používať.
  - Bezpečnosť sietí a informačných systémov (Smernica EÚ pre bezpečnosť sietí a IS)
    
    „Bezpečnosť sietí a informačných systémov“ je schopnosť sietí a informačných systémov odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov.
    
    Linky a odkazy:
    Článok 4, ods. 2, Smernica Európskeho parlamentu a Rady (EÚ) o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii
    
    http://eur-lex.europa.eu/legal-content/SK/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.SLK&toc=OJ:L:20...
  - Kybernetická bezpečnosť (Terminologický slovník krízového riadenia)
    
    systém opatrení na zaistenie odolnosti kybernetického priestoru, ako aj činností a prostriedkov zameraných na dosiahnutie požadovanej úrovne bezpečnosti prvkov kybernetického priestoru vrátane riešenia incidentov a následných opatrení a činností.
    
    Doplnkové informácie:
    
    Zdôvodnenie definície:
    - Bezpečnosť môže byť chápaná ako stav alebo ako systém opatrení.
    - V SR bezpečnosť štátu je chápaná ako stav, čiastkové bezpečnosti z rôznych oblasti zvyčajne ako súhrny alebo systémy opatrení.
    - Zmyslom kybernetickej bezpečnosti je nielen chrániť kybernetický priestor nielen pred hrozbami, ale aj zvyšovať jeho celkovú odolnosť voči možným narušeniam a ich dopadom.
    - Kybernetický priestor môže narušiť aj povodeň vytopením dátového centra, aj zlodej, ktorý ukradne server, bager, ktorý prekope optický kábel, požiar, pri ktorom vyhorí objekt s počítačmi aj sieťovými prvkami.
    - Opatrenia môžu byť politické, legislatívne, ekonomické, vzdelávacie, zvyšovanie povedomia a technické, vojenské, spravodajské, krízového manažmentu a ďalšie.
    
    Príklady definícií z iných krajín a štandardov:
    - ITU: Cybersecurity is the collection of tools, policies, security concepts, security safeguards, guidelines, risk management approaches, actions, training, best practices, assurance and technologies that can be used to protect the cyber environment and organization and user's assets.
    - Australia: Measures relating to the confidentially, availability and integrity of information that is processed, stored and communicated by electronic or similar means.
    - Austria: Cyber security describes the protection of a key legal asset through constitutional means against actor-related, technical, organisational and natural dangers posing a risk to the security of cyber space (including infrastructure and data security) as well as the security of the users in cyber space. Source: Austrian Cyber Security Strategy (2013)
    - Hungary: Cyber security is the continuous and planned taking of political, legal, economic, educational, awareness-raising and technical measures to manage risks in cyberspace that transforms the cyberspace into a reliable environment for the smooth functioning and operation of societal and economic processes by ensuring an acceptable level of risks in cyberspace.
    - NIST: The ability to protect or defend the use of cyberspace from cyber attacks.
    - USA: The ability to protect or defend the use of cyberspace from cyber attacks.
    Source: CNSS Instruction No. 4009 (26 Apr 2010)
    
    Príklady definícií z príbuzných oblastí:
    - Administratívna bezpečnosť: systém opatrení, ktorých cieľom je ochrana utajovaných skutočností pri ich tvorbe, príjme, evidencii, preprave, ukladaní, rozmnožovaní, vyraďovaní a uchovávaní alebo pri inej manipulácii.
    - Priemyselná bezpečnosť: súhrn opatrení právnickej osoby alebo fyzickej osoby, ktorá je podnikateľom, na ochranu utajovaných skutočností, ktoré jej boli odovzdané alebo ktoré u nej vznikli.
    - Personálna bezpečnosť: systém opatrení súvisiacich s výberom, určením a kontrolou osôb, ktoré sa môžu v určenom rozsahu oboznamovať s utajovanými skutočnosťami.
    - Bezpečnosť osobných údajov: systém opatrení na ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.
  - Útok
    
    je vedomá činnosť realizovaná s cieľom ohroziť, zničiť, zrušiť, poškodiť, narušiť, alebo zneužiť aktívum.
    
    Doplnkové informácie:
    Zdôvodnenie definície:
    - Podstatným atribútom útoku je, že ide o vedomú činnosť.
    - Aktívum môže niekto narušiť aj chybou, nedbalosťou, nevedomosťou, ale vtedy to nechápeme ako útok, lebo tam chýba cieľovosť.
    - Problém je, že pri narušení nemusíme vedieť, či ide o útok alebo nie.
    - Útok v dnešnom ponímaní môže realizovať len osoba alebo skupina osôb, ktoré môžu využiť pri útoku technické, kybernetické, vojenské prostriedky. Niekedy je ľudská časť útoku zúžená len na spustenie aktivity technického prostriedku (napr. rakety, bomby).
    - Preto napadnutie počítača voľne sa šíriacim malwarom nie je útok, ale spustenie botovej aktivity počítačov v cieľovej sieti útokom je.
    
    Príklady definícií z iných zdrojov:
    Merriam-Webster: to act violently against (someone or something) : to try to hurt, injure, or destroy (something or someone).
    Dictionary .com
    1. to set upon in a forceful, violent, hostile, or aggressive way, with or without a weapon;
    2. to begin hostilities against; start an offensive against enemy.
    3. to try to destroy something.
    Geneve Conventions: Article 49(1) of the 1977 Additional Protocol I to the 1949 Geneva Conventions defines “attacks” as “acts of violence against the adversary, whether in offence or in defence.”
  - Kybernetický útok (Terminologický slovník krízového riadenia)
    
    Útok voči aktívam kybernetického priestoru alebo útok prostredníctvom kybernetických prostriedkov.
    
    Doplnkové informácie:
    - Definícia je naviazaná na definíciu pojmu "útok", kybernetický útok je jedna z možných foriem útokov.
    - Jeho podstatným atribútom je, že je realizovaný v kybernetickom priestore a prostriedkami kybernetického priestoru.
    
    Príklady definícií z iných zdrojov:
    The U.S. Department of Defense’s Dictionary of Military Terms, used also in NATO: defines “computer network attack” (CNA) as “actions taken through the use of computer networks to disrupt, deny, degrade, or destroy information resident in computers and computer networks, or the computers and networks themselves.
    Austria The term “cyber attack” refers to an attack through IT in cyber space, which is directed against one or several IT system(s). Its aim is to undermine the objectives of ICT security protection (confidentiality, integrity and availability) partly or totally. Source: Austrian Cyber Security Strategy (2013)
    Germany A cyber attack is an IT attack in cyberspace directed against one or several other IT systems and aimed at damaging IT security. The aims of IT security, confidentiality, integrity and availability may all or individually be compromised. Cyber attacks directed against the confidentiality of an IT system, which are launched or managed by foreign intelligence services, are called cyber espionage. Cyber attacks against the integrity and availability of IT systems are termed cyber sabotage. Source: Cyber Security Strategy for Germany (2011)
    NIST An attack, via cyberspace, targeting an enterprise’s use of cyberspace for the purpose of disrupting, disabling, destroying, or maliciously controlling a computing environment/infrastructure; or destroying the integrity of the data or stealing controlled information.
  - Masívny kybernetický útok
    
    Kybernetický útok, ktorého následkom je možné narušenie funkcionality viacerých prvkov kritickej infraštruktúry a spôsobenie skôd väčších, ako sú dané sektorovými kritériami pre prvok kritickej infraštruktúry.
    
    Doplnkové informácie:
    Zdôvodnenie definície:
    
    - Kybernetický útok sa môže byť rôzneho rozsahu: môže sa týkať jedného počítača, alebo tisícov počítačov verejnej správy. Napadnutá môže byť lokálna sieť úradu, alebo kostrová sieť slovenského Internetu.
    - Pri reakcii na kybernetický útok je potrebné zohľadňovať aj jeho rozsah.
    - Len pri istom definovanom rozsahu kybernetického útoku bude do jeho riešenia zapájaný národný CSIRT a CERTy ústredných orgánov verejnej správy.
  - Odolnosť (Terminologický slovník krízového riadenia)
    
    schopnosť odolávať pokusom o naplnenie hrozieb; minimalizovať dopady naplnených hrozieb a obnoviť pôvodnú funkcionalitu.
    
    Doplnkové informácie:
    - Schopnosť odolávať je vo viacerých oblastiach: odolať narušeniu, aby nespôsobilo škodu, odolať dopadom realizovanej hrozby tak, aby boli škody čo najmenšie a byť schopným po narušení obnoviť svoju funkcionalitu - buď čiastočne alebo úplne.
    
    Príklady definícií z iných zdrojov:
    - Resilience is the capacity of a system to continually change and adapt yet remain within critical thresholds. http://www.stockholmresilience.org/21/research/what-is-resilience.html
    - Resilience is the ability of a system to return to its initial state after a disturbance. https://www.e-education.psu.edu/geog030/node/327
    - Wikipédia: "A resilient control system is one that maintains state awareness and an accepted level of operational normalcy in response to disturbances, including threats of an unexpected and malicious nature"
    Organizational resilience considers the ability of an organization to adapt and survive in the face of threats, including the prevention or mitigation of unsafe, hazardous or compromising conditions that threaten its very existence.
    Information technology resilience has been considered from a number of standpoints: Networking resilience has been considered as quality of service . Computing has considered such issues as dependability and performance in the face of unanticipated changes
- Príklady menej známych prvkov kybernetického priestoru Skryť 9 podradených uzlov. Zobraziť 9 podradených uzlov.
  
  Kybernetický priestor zahŕňa toho oveľa viac, ako sú klasické informačné a komunikačné systémy.
  
  V tejto časti uvádzame príklady, čo všetko je súčasťou kybernetického priestoru. Vychádzame z pohľadu NATO a EÚ, že v kybernetickom priestore je všetko, čo je dostupné cez Internet.
- Príklady významných narušení kybernetického priestoru Skryť 7 podradených uzlov. Zobraziť 7 podradených uzlov.
  
  V tejto časti sú uvedené príklady narušení kybernetického priestoru, ktoré sú veľké buď počtom dotknutých osôb alebo rozsahom spôsobenej škody.
  
  Linky a odkazy:
  Prehľad významných narušení dôvernosti údajov: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
- Dôležité www stránky a odkazy Skryť 10 podradených uzlov. Zobraziť 10 podradených uzlov.
  
  Uvedený je prehľad zaujímavých stránok súvisiacich s kybernetickou bezpečnosťou.
- Kroky pri samoštúdiu v oblasti kybernetickej bezpečnosti Skryť 8 podradených uzlov. Zobraziť 8 podradených uzlov.
  
  Postupnosť krokov pri samoštúdiu s odkazom na študijné materiály.
Aktíva ohrozené narušeniami a útokmi na kybernetický priestor Skryť 5 podradených uzlov. Zobraziť 5 podradených uzlov.

Prehľad aktív, ktoré môžu byť ohrozené narušením kybernetického priestoru, s osobitým dôrazom na infraštruktúru.
Vrstvy hrozieb a zraniteľností kybernetického priestoru Skryť 9 podradených uzlov. Zobraziť 9 podradených uzlov.

Aktíva súvisiace s kybernetickým priestorom a následné hrozby a zraniteľnosti pre kybernetický priestor možno rozčleniť do 3 oblastí a 9 vrstiev:

I. Prostredie potrebné pre prevádzku kybernetického priestoru
1. Geografická vrstva
2. Infraštruktúrna vrstva
3. Prevádzkové prostredie

II. Samotný kybernetický priestor
4. Fyzická vrstva
5. Logická vrstva
6. Užívateľská / biznis vrstva

III. Osoby interagujúce s kybernetickým priestorom
7. Správa kybernetického priestoru
8. Používatelia
9. Osoby dotknuté aktivitami v kybernetickom priestore
Hrozby a zraniteľnosti kybernetického priestoru Skryť 9 podradených uzlov. Zobraziť 9 podradených uzlov.

V tejto časti sú v štruktúrovanej forme uvedené hrozby a zraniteľnosti pre jednotlivé vrstvy kybernetického priestoru.
Nástroje manažmentu rizík v kybernetickom priestore Skryť 5 podradených uzlov. Zobraziť 5 podradených uzlov.
Škály pre hodnotenie rizík a bezpečnostných incidentov Skryť 3 podradené uzly. Zobraziť 3 podradené uzly.

Návrh škál pre hodnotenie:

- frekvencie výskytu nastatia hrozieb a bezpečnostných incidentov,
- ich dopady
- doba obnovy.

Doplnkové informácie:

V oblasti krízového manažmentu či ochrany kritickej infraštruktúry, kybernetického priestoru alebo národnej bezpečnosti je potrebné mať definované stupnice, ktoré umožnia klasifikovať daný bezpečnostný incident.

Stupnice bývajú vo viacerých oblastiach, ale najčastejšie sa hodnotí veľkosť dopadu, frekvencia alebo pravdepodobnosť výskyt bezpečnostného incidentu a doba obnovy alebo reakcie na zmiernenie dopadov po bezpečnostnom incidente.

V danom datasete navrhujeme stupnice, ktoré sú ľahko používateľné v praxi nielen na úrovni štátu, ale aj územného celku, obce, firmy či občana.

Aj EÚ v rámci ochrany kritickej infraštruktúry sa zaoberá hodnotením dopadov pri narušení prvku infraštruktúry a stanovuje hranicu, kedy možno daný prvok priradiť k prvkom kritickej infraštruktúry. Frekvencia výskytu udalosti a dobou obnovy alebo reakcie na zmiernenie dopadov sa nezaoberá. Pritom aj tieto faktory sú podstatné pri hodnotení prvkov infraštruktúry a rozhodovaní o ich kritickosti.