všetko, čoho narušenie, poškodenie alebo strata môže pre subjekt znamenať materiálnu alebo nemateriálnu škodu.
- Ak definujeme
aktívum na základe jeho hodnoty, je problém, že zvyčajne sa subjekt zaoberá len
hodnotami, ktoré sú v jeho pôsobnosti a nehodnotí hodnotu všetkého okolo seba.
- Či je niečo potrebné kvôli jeho hodnote chrániť alebo nie, je predmetom diskusie a názoru, spôsobená škoda nebýva zvyčajne predmetom názoru, ale je faktom a je kvantifikovateľná napr. v Trestnom zákone.
- V krízovom manažmente dochádza k spúšťaniu aktivít nie kvôli tomu, že niečo má hodnotu, ale kvôli tomu, že niečomu hrozí vážna ujma, škoda alebo už nastala.
- Miera hodnoty nie je v našej legislatíve podchytená, ale miera škody je podchytená Trestným zákonom veľmi podrobne.
- Niečoho narušením
nemusí vždy dôjsť škode, ale dôležité je, že táto možnosť môže nastať.
Príklady definícií iných oblastí a zdrojov:
- Enisa glossary: "Anything that has value to the organization, its business operations and their continuity, including Information resources that support the organization's mission." Same as in ISO/IEC PDTR 13335-1.
- Wikipédia, pre oblasť informačnej bezpečnosti: "In information security, computer security and network security an Asset is any data, device, or other component of the environment that supports information-related activities. Assets generally include hardware (e.g. servers and switches), software (e.g. mission critical applications and support systems) and confidential information."
- Business Dictionary: " 1.Something valuable that an entity owns, benefits from, or has use of, in generating income. 2. Accounting: Something that an entity has acquired or purchased, and that has money value (its cost, book value, market value, or residual value)."
- Investopedia: "Assets are bought to increase the value of a firm or benefit the firm's operations. You can think of an asset as something that can generate cash flow, regardless of whether it's a company's manufacturing equipment or an individual's rental apartment."
objektívne existujúca možnosť, ktorej naplnenie je schopné spôsobiť škodu na aktíve subjektu, alebo narušiť jeho bezpečnosť.
- Podstatou hrozby je možnosť spôsobiť škodu nejakému
aktívu alebo narušiť jeho bezpečnosž.
- Hrozba je potenciálna možnosť: udalosť, ktorá môže, ale nemusí nastať. Pri hodnotení rizika odhadujeme pravdepodobnosť alebo možnosť nastatia hrozby.
- Hrozby môžu byť prírodné udalosti (nastanú), technické udalosti (nastanú alebo sú realizované) , výsledky úmyselnej alebo neúmyselnej ľudskej činnosti (sú realizované).
- Pojem „škoda“ máme definovaný v Trestnom zákone, § 124: „Škodou sa na účely tohto zákona rozumie ujma na majetku alebo reálny úbytok na majetku alebo na právach poškodeného alebo jeho iná ujma, ktorá je v príčinnej súvislosti s trestným činom, bez ohľadu na to, či ide o škodu na veci alebo na právach. Škodou sa na účely tohto zákona rozumie aj získanie prospechu v príčinnej súvislosti s trestným činom."
- Príklady generických škôd: strata veci, zničenie veci, poškodenie veci, zneužitie veci.
Príklady definícií iných krajín a zdrojov:
ISO 27000: Potential cause of an unwanted incident, which may result in harm to a system or organization
NIST IR 7298: Any circumstance or event with the potential to adversely impact organizational operations (including mission, functions, image, or reputation), organizational assets, individuals, other organizations, or the Nation through an information system via unauthorized access, destruction, disclosure, modification of information, and/or denial of service.
Merriam-Webster Dictionary: a statement saying you will be harmed if you do not do what someone wants you to do, someone or something that could cause trouble, harm, etc. : the possibility that something bad or harmful could happen.
The Free Dictionary: 1. An expression of an intention to inflict pain, harm, or punishment. 2. An indication of impending danger or harm. 3. One that is regarded as a possible source of harm or danger. 4. The condition of being in danger or at risk: under threat of attack.
Hrozba voči aktívam kybernetického priestoru.
- Kybernetické hrozby svojou realizáciou môžu spôsobiť škodu alebo
narušenie nielen kybernetickému priestoru, ale aj osobám, zariadeniam a veciam
priamo interagujúcich s kyberpriestorom alebo aj nepriamo (napr. nemusím používať Internet,
ale únik hacknutie počítača môjho lekára a únik mojich zdravotných
záznamov ma môže výrazne poškodiť).
- Príklady kybernetických hrozieb: DDoS útoky, napadnutie malwarom, hacking, phising, cracking, spam, hoaxy, zneužitie virtuálnej identity, trolling, digital stalking.
- Zdroje hrozieb sú najčastejšie osoby: botnetoví operátori, hackeri, hacktivisti, kriminálne skupiny, spravodajské služby, tvorcovia malweru, crackeri, chyby softvéru, pochybenia správcov systémov.
- Hrozba môže pochádzať od osoby (napr. hackera), ale aj ním vytvoreného voľne sa šíriaceho malwaru, chybného softvéru alebo hardvéru alebo nevhodných údajov (napr. dáta, ktoré zhodia aplikáciu).
Príklady definícií iných krajín a zdrojov:
- Finland: Cyber threat means the possibility of action or an incidentin the cyber domain which, when materialised, jeopardises some operation dependent on the cyber world. Note: Cyber threats are information threats which, when materialised, jeopardise the correct or intended functioning of the information system. Source: Finland’s Cyber Security Strategy (24 Jan 2013)
- ICS-CERT: Cyber threats to a control system refer to persons who attempt unauthorized access to a control system device and/or network using a data communications pathway... National cyber warfare programs are unique in posing a threat along the entire spectrum of objectives that might harm US interests. These threats range from propaganda and low-level nuisance web page defacements to espionage and serious disruption with loss of life and extensive infrastructure disruption... Hacktivists form a small, foreign population of politically active hackers that includes individuals and groups. https://ics-cert.us-cert.gov/content/cyber-threat-source-descriptions
- Oxford dictionary: The possibility of a malicious attempt to damage or disrupt a computer network or system.
- US White House National Security Council: Cyber threats cover a wide range of malicious activity that can occur through cyberspace. Such threats include web site defacement, espionage, theft of intellectual property, denial of service attacks, and destructive malware.
- IT LAW wikia: Cyber threat is any identified effort directed toward access to, exfiltration of, manipulation of, or impairment to the integrity, confidentiality, security, or availability of data, an application, or a federal system, without lawful authority. ...are potential cyber events that may cause unwanted outcomes, resulting in harm to a system or organization. Threats may originate externally or internally and may originate from individuals or organizations.
Vlastnosť, nastavenie, chyba veci alebo systému, ktorá zvyšuje pravdepodobnosť realizácie hrozby alebo jej dopad.
Zdôvodnenie definície:
- Definovať zraniteľnosť pojmom „slabé miesto alebo slabina“ nerieši podstatu, lebo potom potrebujeme definovať, čo je to slabé miesto – nie je to pojem všeobecne známy.
- Zraniteľnosť nevyjadruje mieru poškodenia, tú vyjadruje dopad realizovanej hrozby.
- Hrozba a zraniteľnosť nie je to isté, nakoľko zraniteľnosť sama o sebe škodu nespôsobí, len zvyšuje riziko, t.j. násobí pravdepodobnosť alebo dopad škody.
- Zvýšenie pravdepodobnosti realizácie hrozby alebo jej dopadu je prejavom zníženej odolnosti systému.
- Zraniteľnosťou môže byť aj opomenutie alebo sa môže týkať nedostatočnosti pevnosti, úplnosti alebo dôslednosti kontroly ale jej podstata týmto nie je vyčerpaná. Napr. horľavé materiály v budove, ktoré tam musia byť – tým sme neopomenuli žiadnu kontrolu, ale zraniteľnosť je vyššia. Iný príklad: dátové centrum má len jeden zdroj napájania, lebo iný nie je dostupný - je to daný fakt, nie opomenutie kontroly, ale je to pritom zraniteľnosť.
vlastnosť, chyba alebo nastavenie prvku kybernetického priestoru, ktoré zvýšia pravdepodobnosť realizácie hrozby alebo jej negatívny vplyv na kybernetický priestor.
Zdôvodnenie definície:
- Nielen hrozba, ale aj zraniteľnosť ohrozuje kybernetický priestor.
- Hrozba a zraniteľnosť nie je to isté, nakoľko zraniteľnosť sama o sebe škodu nespôsobí, len násobí pravdepodobnosť alebo dopad škody.
- Doterajšie prístupy k bezpečnosti kybernetického priestoru súvisiace s kybernetickým priestorom opomínajú zraniteľnosti a venujú sa len hrozbám, definíciu ponechali informačnej bezpečnosti. Tá nepostačuje pre riadiace a priemyselné systémy a IoT ako súčasť kybernetického priestoru.
- Príklady zraniteľností: operačný systém bez bezpečnostných aktualizácií, prihlásenie sa do systému bez identifikácie a autentizácie, používanie krátkeho hesla, heslo zdieľané viacerými osobami, povolenie makier a skriptov, niektoré otvorené porty, nefungujúca prepäťová ochrana, neošetrenie nekorektných vstupov aplikáciou, nezálohované údaje.
Príklady definícií iných krajín a zdrojov:
- ISO 217001: A vulnerability is a weakness in an asset or group of assets. An asset’s weakness could allow it to be exploited and harmed by one or more threats.
- ITSEC: The existence of a weakness, design, or implementation error that can lead to an unexpected, undesirable event compromising the security of the computer system, network, application, or protocol involved.
- NIST: A flaw or weakness in system security procedures, design, implementation, or internal controls that could be exercised (accidentally triggered or intentionally exploited) and result in a security breach or a violation of the system’s security policy.
- Wikipedia: In computer security, a vulnerability is a weakness which allows an attacker to reduce a system's information assurance. Vulnerability is the intersection of three elements: a system susceptibility or flaw, attacker access to the flaw, and attacker capability to exploit the flaw.
- Digital Threat web page: In Information Security vulnerability could be defined as “a flaw or weakness in hardware, software or process that exposes a system to compromise”. -
- The free Dictionary: 1. The susceptibility of a nation or military force to any action by any means through which its war potential or combat effectiveness may be reduced or its will to fight diminished. 2. The characteristics of a system that cause it to suffer a definite degradation (incapability to perform the designated mission) as a result of having been subjected to a certain level of effects in an unnatural (manmade) hostile environment. 3. In information operations, a weakness in information system security design, procedures, implementation, or internal controls that could be exploited to gain unauthorized access to information or an information system. See also information; information operations; information system.
„Riziko“ je každá primerane rozpoznateľná okolnosť alebo udalosť, ktorá môže mať nepriaznivý vplyv na bezpečnosť sietí a informačných systémov;
Udalosť, ktorá má, alebo môže mať vplyv na
bezpečnosť aktíva, alebo subjektu.
Examples of incidents could include activity such as
- attempts (either failed or successful) to gain unauthorized access to a system or its dataFyzické a organizačné štruktúry potrebné na fungovanie subjektu; služby a zariadenia, ktoré podporujú jeho primárnu činnosť, ale bezprostredne sa na nej nepodieľajú.
kritická infraštruktúra tvorená informačnými a komunikačnými systémami.
prvkom kybernetického priestoru môže byť časť elektromagnetického spektra, informačný alebo komunikačný systém a jeho údajová základňa, elektronická časť riadiaceho, výrobného alebo bezpečnostného systému, alebo samostatne funkčného výrobku, ako aj telekomunikačná alebo počítačová sieť, elektronická služba alebo informačný produkt.
- Do prvkov kybernetického priestoru nepatria len IS, ale aj digitálne časti riadiacich a výrobných systémov, pokiaľ sú potenciálne prepojiteľné s internetom alebo ovplyvniteľné cez internet.
- Interakcia prvkov kybernetického priestoru je vykonávaná najmä prostredníctvom digitálnych signálov nesúcich údaje a súvisí so spracovaním údajov (buď pohybom elektrónov alebo elektromagnetickým poľom a preto patrí do definície aj elektromagnetické spektrum).
- Najnovšie sa do prvkov kybernetického priestoru včlenila aj spotrebná elektronika a bežné veci s včlenenou elektronikou v rámci Internet of Things (napr. automobil so softvérom pre riadenie chodu motora či optimalizáciu emisií, ale aj Barbie bábika v novej verzii, s možnosťou komunikácie v bežnom jazyku napojená na cloud a rizikom odpočúvania domácnosti).
- Osoba a jej aktivita nie je prvkom kyberpriestoru, osoby interagujú s kyberpriestorom a medzi sebou využitím prostriedkov kyberpriestoru.
- Informačným produktom môže byť nehmotná vec (obrázok, pesnička, video v súbore, databáza, digitálna mapa) alebo služba (predaj obrázku, pesničky, videa v digitálnej forme, právo pristupovať do platenej databázy).
globálny dynamický otvorený systém, ktorý tvoria telekomunikačné a počítačové siete, informačné a komunikačné systémy, ich programové vybavenie a údaje, ktoré sa pomocou nich spracovávajú; elektronické subsystémy riadiacich, výrobných, bezpečnostných a iných systémov a zariadení; činnosti ktoré v jednotlivých častiach tohto systému prebiehajú; vzťahy a interakcie medzi časťami, prvkami a subsystémami tohto systému.
- ČR: V tomto zákoně se rozumí „kybernetickým prostorem digitální prostředí umožňující vznik, zpracování a výměnu informací, tvořené informačními systémy, a službami a sítěmi elektronických komunikací.“
- NATO Tallin manual: The environment formed by physical and non-physical components, characterized by the use of computers and electro-magnetic spectrum,to store, modify and exchange data using computer networks.
- TU: Cyberspace includes users, networks, devices, all software, processes, information in storage or transit,applications, services, and systems that can be connected directly or indirectly to networks.
- USA: National Security Presidential Directive 54/Homeland Security Presidential Directive 23 (NSPD-54/HSPD23) defines cyberspace as the interdependent network of information technology infrastructures, and includes the Internet, telecommunications networks, computer systems, and embedded processors and controllers in critical industries.
Časť kybernetického priestoru, ktorá spadá pod jurisdikciu Slovenskej republiky.
Zdôvodnenie
definície:
- Legislatíva Slovenskej republiky poskytuje rámec pre posúdenie, či daná časť, prvok alebo subsystém kybernetického priestoru je v pôsobnosti jurisdikcie SR.
- Jurisdikcia môže byť priama alebo nepriama. Nepriama je napr. vymedzená obchodnou zmluvou medzi slovenským a zahraničným subjektom na ktorú sa vzťahuje aj slovenské legislatíva.
- Pre hmotné časti (hardvér) je posúdenie jednoduchšie, lebo u neho vieme určiť geografickú príslušnosť (nachádza sa na území ...) aj právne relevantnú príslušnosť vlastníka (napr. spoločnosť so sídlom v USA).
- Ťažšie je to z nehmotnými časťami kyberpriestoru. Napr. máme údaje slovenských občanov v cloude Amazonu v dátovom centre v Írsku manažovanom servisnou pobočkou vo Frankfurte. Čo z toho môže byť súčasťou nášho národného kyberpriestoru?
- V nepriamej jurisdikcii: prevádzkované IT služby a spracovávané údaje na základe medzinárodných dohôd SR a obchodných zmlúv slovenských subjektov (napr. spracovanie osobných údajov SR v rámci EÚ, USA, údaje zo SR na cloudoch veľkých prevádzkovateľov).
súhrn opatrení, činností a prostriedkov týkajúcich sa manažmentu hrozieb, zraniteľností a rizík, ktoré môžu narušiť kybernetický priestor a jeho bezpečnosť.
systém opatrení na zaistenie odolnosti kybernetického priestoru, ako aj činností a prostriedkov zameraných na dosiahnutie požadovanej úrovne bezpečnosti prvkov kybernetického priestoru vrátane riešenia incidentov a následných opatrení a činností.
Zdôvodnenie definície:
- Bezpečnosť môže byť chápaná ako stav alebo ako systém opatrení.
- V SR bezpečnosť štátu je chápaná ako stav, čiastkové bezpečnosti z rôznych oblasti zvyčajne ako súhrny alebo systémy opatrení.
- Zmyslom kybernetickej bezpečnosti je nielen chrániť kybernetický priestor nielen pred hrozbami, ale aj zvyšovať jeho celkovú odolnosť voči možným narušeniam a ich dopadom.
- Kybernetický priestor môže narušiť aj povodeň vytopením dátového centra, aj zlodej, ktorý ukradne server, bager, ktorý prekope optický kábel, požiar, pri ktorom vyhorí objekt s počítačmi aj sieťovými prvkami.
- Opatrenia môžu byť politické, legislatívne, ekonomické, vzdelávacie,
zvyšovanie povedomia a technické, vojenské,
spravodajské, krízového manažmentu a ďalšie.
Príklady definícií z iných krajín a štandardov:
- ITU: Cybersecurity is the collection of tools, policies, security concepts, security safeguards, guidelines, risk management approaches, actions, training, best practices, assurance and technologies that can be used to protect the cyber environment and organization and user's assets.
- Australia: Measures relating to the confidentially, availability and integrity of information that is processed, stored and communicated by electronic or similar means.
- Austria: Cyber security describes the protection of a key legal asset through constitutional means against actor-related, technical, organisational and natural dangers posing a risk to the security of cyber space (including infrastructure and data security) as well as the security of the users in cyber space. Source: Austrian Cyber Security Strategy (2013)
- Hungary: Cyber security is the continuous and planned taking of political, legal, economic, educational, awareness-raising and technical measures to manage risks in cyberspace that transforms the cyberspace into a reliable environment for the smooth functioning and operation of societal and economic processes by ensuring an acceptable level of risks in cyberspace.
- NIST: The ability to protect or defend the use of cyberspace from cyber attacks.
- USA: The ability to protect or defend the use of cyberspace from cyber attacks.
Source: CNSS Instruction No. 4009 (26 Apr 2010)
Príklady definícií z príbuzných oblastí:
- Administratívna bezpečnosť: systém opatrení, ktorých cieľom je ochrana utajovaných skutočností pri ich tvorbe, príjme, evidencii, preprave, ukladaní, rozmnožovaní, vyraďovaní a uchovávaní alebo pri inej manipulácii.
- Priemyselná bezpečnosť: súhrn opatrení právnickej osoby alebo fyzickej osoby, ktorá je podnikateľom, na ochranu utajovaných skutočností, ktoré jej boli odovzdané alebo ktoré u nej vznikli.
- Personálna bezpečnosť: systém opatrení súvisiacich s výberom, určením a kontrolou osôb, ktoré sa môžu v určenom rozsahu oboznamovať s utajovanými skutočnosťami.
- Bezpečnosť osobných údajov: systém opatrení na ochranu osobných údajov pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.
je vedomá činnosť realizovaná s cieľom ohroziť,
zničiť, zrušiť, poškodiť, narušiť, alebo zneužiť aktívum.
Útok voči aktívam kybernetického priestoru alebo útok prostredníctvom kybernetických prostriedkov.
schopnosť odolávať pokusom o naplnenie hrozieb; minimalizovať dopady naplnených hrozieb a obnoviť pôvodnú funkcionalitu.
Nemecký Der Spiegel následne na báze Snowdenových dokumentov informoval o tom, že USA odpočúvali priestory európskych inštitúcií a mali prístup aj k ich elektronickej komunikácii.
Stuxnet cielene útočil na riadiaci systém odstrediviek produkujúcich obohatený urán, výsledkom bolo ich poškodenie.
Útok využil zraniteľnosť OS MS Windows a smeroval na Siemens Step7 riadiaci softvér.
Nemecké rakety Patriot na turecko-sýrskej hranici boli v lete tohto roku hacknuté cudzou mocou.
Podľa vyjadrenia expertov v dôsledku hacku by rakety neboli schopné zasiahnuť nepriateľské letiace rakety.
Smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii
Prehľad infraštruktúry a kritickej infraštruktúry v zmysle Stratégie kybernetickej bezpečnosti EÚ http://www.lewik.org/dataset/16/?node=8919
Článok o kybernetickej bezpečnosti na úrovni EÚ http://www.secit.sk/content/aka-je-kyber-bezpecnostna-doktrina-eu
Študijný materiál na stránkach slovenského CSIRTu https://www.csirt.gov.sk/bezpecnostna-studovna-879.html
Zaujímavé príspevky na tému kybernetická bezpečnosť v českom prostredí http://www.cybersecurity.cz/posts.html
Novinky zo stránky českého CSIRTu https://www.csirt.cz/news/security/
Rozdiel medzi ITSEC a CyberSec, vrátane môjho pohľadu https://www.quora.com/Whats-the-difference-between-cyber-security-and-information-security
On-line kurz Kybernetickej bezpečnosti https://www.futurelearn.com/courses/introduction-to-cyber-security
On-line kurz kybernetickej bezpečnosti a linky na dalšie stránky http://www.open.edu/openlearn/science-maths-technology/computing-and-ict/introduction-cyber-security-related-links?in_menu=202694
Webové sídlo s informáciami pre informačnú bezpečnosť: http://www.zdnet.com/blog/security/
Top 100 „Cyber Security Blogs & Infosec Resources“ http://ddosattackprotection.org/blog/cyber-security-blogs/
Prehľad globálnych rizík, vrátane kybernetických http://www.globalsecurity.org/?_m=3n.002a.1669.yo0ao08aeo.1j8b
1. osobné vozidlá,
2. autobusy,
3. nákladné vozidlá,
4. vozidlá mimo evidencie vozidiel (OS SR, PZ, HaZZ, ...)
1. Použitý riadiaci softvér
2. Použité bezpečnostné prvky (airbag, brzdy)
Letiskové informačné systémy
- Letiskové spoločnosti
- Leteckoví dopravcovia- Preprava osôb
- Preprava tovarov
- Lode
- Plávajúce stroje
- Plávajúce zariadenia
Vodné cesty
- Vodné toky
- Plavebné komory
- Regulačné stavby, ...
Prístavy
- Vodná časť
- Stavby
- Zariadenia
Subjekty
- Prevádzkovatelia vodných ciest
- Prevádzkovatelia prístavov
- Dopravcovia
Účel
- Preprava osôb
- Preprava tovarov
- Lode
- Plávajúce stroje
- Plávajúce zariadenia
- Vodná časť
- Stavby
- Zariadenia
Subjekty
- Prevádzkovatelia prístavov
- Dopravcovia
Účel
- Preprava osôb
- Preprava tovarov
- Iné
Subjekty
- Prevádzkovatelia služieb inteligentných dopravných systémov
- Poskytovatelia dopravných informácií
Účel
- Riadenie mobility, zvýšenie bezpečnosti a plynulosti cestnej premávky
- Prenos, zber, spracovanie a výmena informácií medzi prevádzkovateľmi služieb, poskytovateľmi dopravných informácií a užívateľmi dopravnej infraštruktúry
- Zefektívnenie správy a údržby pozemných komunikácií- Ministerstvo dopravy, výstavby a regionálneho rozvoja Slovenskej republiky
- Cestné správne orgány
- Dopravné orgány
- Dopravný úrad
- Národná diaľničná spoločnosť, a. s.
- Okresné úrady
- Vyššie územné celky
- Obce
- Zákon č. 135/1961 Zb. (o pozemných komunikáciách (cestný zákon))
- Zákon č. 639/2004 Z. z. (o Národnej diaľničnej spoločnosti)
- Zákon č. 317/2012 Z. z. (o inteligentných dopravných systémoch v cestnej doprave)
- Zákon č. 249/2011 Z. z. (o riadení bezpečnosti pozemných komunikácií)
- Zákon č. 56/2012 Z. z. (o cestnej doprave)
- Zákon č. 725/2004 Z. z. (o podmienkach prevádzky vozidiel v premávke na pozemných komunikáciách
- Zákon č. 514/2009 Z. z. (o doprave na dráhach)
- Zákon č. 258/1993 Z. z. (o Železniciach Slovenskej republiky)
- Zákon č. 259/2001 Z. z. (o Železničnej spoločnosti, a. s.)
- Zákon č. 143/1998 Z. z. (o civilnom letectve (letecký zákon) )
- Zákon č. 136/2004 Z. z. (o letiskových spoločnostiach)
- Zákon č. 338/2000 Z. z. (o vnútrozemskej plavbe)
- Zariadenia na výrobu elektriny (elektrárne)
- Distribučná sústava
- Prenosová sústava (SEPS, a.s.)
- Služby podnikov v elektroenergetike
- Distribučná sieť
- Prepravná sieť
- Uskladňovanie plynu(zásobníky)- Priame plynovody
- Služby podnikov v plynárenstve
Preprava pohonných látok alebo ropy potrubím
- Potrubia
- Služby podnikov v preprave pohonných látok alebo ropy potrubím
Produkčné systémy
- Rafinéria na produkciu nafty a benzínu (Slovnaft, a.s.)
- Výrobné systémy bioetanolu
- Zariadenia na produkciu skvapalneného plynného uhľovodíka (SPP, a.s.)
Zásoby
- Zásobníky uhľovodíkov (ropa, nafta, benzín, olej, mazut, ...)
- Strategické zásoby uhľovodíkov
Distribúcia koncovému spotrebiteľovi
- Čerpacie stanice
- Služby producentov energetických nosičov (Slovnaft, a.s.)
- Služby distribútorov energeticých nosičov
Bane na hnedé uhlie
- Hornonitrianske bane Prievidza, a.s. (vyše 70 % dodávok)- Ďalšie bane
Služby baní
Jadrové elektrárne
- JE Jaslovské Bohunice
- JE Mochovce
- Jadrové palivo
- Služby prepravy a uskladnenie jadrového paliva
Úložiská jadrového odpadu
- Krátkodobé
- Dlhodobé
- Služby prevádzkovateľa úložiska
- Ministerstvo hospodárstva Slovenskej republiky
- Úrad pre reguláciu sieťových odvetví
- Národný jadrový fond
- Zákon č. 251/2012 Z. z. (o energetike a o zmene a doplnení niektorých zákonov)
- Zákon č. 657/2004 Z. z. (o tepelnej energetike)
- Zákon č. 238/2006 Z. z. (o Národnom jadrovom fonde na vyraďovanie jadrových zariadení a na nakladanie s vyhoretým jadrovým palivom a rádioaktívnymi odpadmi (zákon o jadrovom fonde))
- Zákon č. 44/1988 Zb. (o ochrane a využití nerastného bohatstva (banský zákon))
- Zákon č. 51/1988 Zb. (o banskej činnosti, výbušninách a o štátnej banskej správe)
- Zákon č. 261/2002 Z. z. (o prevencii závažných priemyselných havárií a o zmene a doplnení niektorých zákonov)
- Centrum riadenia a podpory siete
- Riadiaca ústredňa
- Medzinárodná ústredňa
- Tranzitná ústredňa
- Dátové centrum
- Telekomunikačné vedenia
- Centrum riadenia a podpory siete
- Ústredňa mobilnej siete
- Základové riadiace jednotky
- Základové stanice
- Dátové centrum
- Hlavné pozemné satelitné prijímacie a vysielacie stanice
- Európsky globálny navigačný satelitný systém (GALILEO)
- Pozemné riadiace a komunikačné stredisko
- Pozemná prepojovacia sieť
- Národné kostrové siete (optické, metalické)
- Optická prenosová infraštruktúra k národným kostrovým sieťam existujúcich operátorov
- Peeringové uzly (IXP)
- Pripojené siete k IXP
- Optické siete
- Pevný rádiový prístup FWA
- Káblové televízne rozvody
- Elektronické komunikačné služby
- Telekomunikačné služby
- Prenosové služby v sieťach používaných na rozhlasové a televízne vysielanie
- Ministerstvo dopravy, výstavby a regionálneho rozvoja Slovenskej republiky
- Úrad pre reguláciu elektronických komunikácií a poštových služieb
- Zákon č. 351/2011 Z. z. (o elektronických komunikáciách)
- Zákon č. 402/2013 Z. z. (o Úrade pre reguláciu elektronických komunikácií a poštových služieb a Dopravnom úrade)
- Zákon č. 308/2000 Z. z. (o vysielaní a retransmisii)
- Zákon č. 220/2007 Z. z. (o digitálnom vysielaní programových služieb a poskytovaní iných obsahových služieb prostredníctvom digitálneho prenosu)
- Zákon č. 532/2010 Z. z. (o Rozhlase a televízii Slovenska)
Infraštruktúra
banky alebo pobočky zahraničnej banky
(systémovo významná banka, lokálne systémovo významná banka)
- Objekty ústredia, prípadne pobočiek
- Informačné systémy banky
- Konektivita na národné a medzinárodné bankové systémy a služby
Bankové činnosti
- poskytovanie platobných služieb a zúčtovanie
- poskytovanie investičných služieb
- obchodovanie na vlastný účet
- správa pohľadávok klienta na jeho účet vrátane súvisiaceho poradenstva
- vydávanie a správa elektronických peňazí
Služby Fondu ochrany vkladov
Infraštruktúra poisťovne, pobočky zahraničnej poisťovne alebo zaisťovne
- Objekty ústredia, prípadne pobočiek
- Informačné systémy
- Konektivita na národné a medzinárodné bankové a poisťovnícke systémy a služby
Poisťovacie činnosti
- prijímanie poistných rizík
- správa poistných zmlúv
- likvidácia poistných udalostí
- poskytovanie plnenia z poistných zmlúv
- Dôchodkové správcovské spoločnosti (DSS)
- Objekty ústredia a pobočiek
- Informačné systémy
- Služby dôchodkových správcovských spoločností
- Služby doplnkových dôchodkových spoločností
- Služby doplnkových dôchodkových poisťovní
- Burzy cenných papierov a ich služby
- Obchodníci s cennými papiermi a ich služby
- Sprácovské spoločnosti a ich služby
- Podielové fondy a ich služby
- Platobné inštitúcie a ich služby
- Inštitúcie elektronických peňazí
- Služby Garančného fondu investícií
- Národná banka Slovenska
- Ministerstvo financií Slovenskej republiky
- Zákon č. 566/1992 Zb. (o Národnej banke Slovenska)
- Zákon č. 483/2001 Z. z. (o bankách)
- Zákon č. 118/1996 Z. z. (o ochrane vkladov)
- Zákon č. 8/2008 Z. z.(o poisťovníctve)
- Zákon č. 43/2004 Z. z. (o starobnom dôchodkovom sporení)
- Zákon č. 650/2004 Z. z. (o doplnkovom dôchodkovom sporení)
- Zákon č. 310/1992 Zb.(o stavebnom sporení)
- Zákon č. 747/2004 Z. z. (o dohľade nad finančným trhom)
- Zákon č. 371/2014 Z. z. (o riešení krízových situácií na finančnom trhu)
- Zákon č. 492/2009 Z. z. (o platobných službách)
- Zákon č. 510/2002 Z. z. (o platobnom styku)
- Zákon č. 566/2001 Z. z. (o cenných papieroch a investičných službách)
- Zákon č. 429/2002 Z. z. (o burze cenných papierov)
- Hasičský a záchranný zbor
- Poskytovatelia záchrannej zdravotnej služby
- Kontrolné chemické laboratóriá civilnej ochrany
- Horská záchranná služba
- Banská záchranná služba
- Armáda Slovenskej republiky
- Obecné (mestské) hasičské zbory
- Závodné hasičské útvary
- Závodné hasičské zbory
- Pracoviská vykonávajúce štátny dozor alebo činnosti podľa osobitných predpisov
- Jednotky civilnej ochrany,
- Obecná polícia
- Slovenský Červený kríž
- Iné právnické osoby a fyzické osoby, ktorých predmetom činnosti je poskytovanie pomoci pri ochrane života, zdravia a majetku.
- Objekty (strediská)
- Komunikačná infraštruktúra a systémy IZS
- Informačné systémy IZS
- Zabezpečovanie pripravenosti záchranných zložiek
- Vykonávaní činností a opatrení súvisiacich s poskytovaním pomoci v tiesni
- Príjem tiesňového volania
- Zásah
- Činnosti súvisiace s poskytnutím pomoci v tiesni
- Varovanie obyvateľstva
- Vyrozumievanie orgánov štátnej správy a iných právnických osôb, ktoré zabezpečujú úlohy súvisiace so záchrannými prácami pri mimoriadnych udalostiach
- Ministerstvo vnútra Slovenskej republiky
- Ministerstvo zdravotníctva Slovenskej republiky
- Hasičský a záchranný zbor- Zákon č. 227/2002 Z. z. (o bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu)
- Zákon č. 387/2002 Z. z. (o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu)
- Zákon č. 42/1994 Zb. (o civilnej ochrane obyvateľstva)
- Zákon č. 314/2001 Z. z. (o ochrane pred požiarmi)
- Zákon č. 129/2002 Z. z. (o integrovanom záchrannom systéme)
- Zákon č. 579/2004 Z. z. (o záchrannej zdravotnej službe)
- Zákon č. 315/2001 Z. z. (o Hasičskom a záchrannom zbore)
- Zákon č. 544/2002 Z. z. (o Horskej záchrannej službe)
- Zákon č. 460/2007 Z. z. (o Slovenskom Červenom kríži)- Zariadenia pre poskytovanie zdravotnej starostlivosti
- Zdravotnícke zariadenia ústavnej zdravotnej starostlivosti
- Zdravotnícke zariadenia ambulantnej zdravotnej starostlivosti
- Zdravotnícke zariadenia lekárenskej zdravotnej starostlivosti
- Objekty zdravotníckych zariadení
- Medicínske a technické vybavenie zdravotníckych zariadení
- Informačné systémy poskytovateľov zdravotnej starostlivosti
- Národné centrum zdravotníckych informácií
- Objekty a ich infraštruktúra
- Národný zdravotnícky informačný systém
- Štátny úrad pre kontrolu liečiv
- Objekty a ich infraštruktúra- Poskytovanie zdravotnej starostlivosti
- Verejné zdravotné poistenie
- Dostupnosť a bezpečnosť liekov
- Služby Národného zdravotníckeho informačného systému
Úrad verejného zdravotníctva
- Objekty
- Informačné systémy
Regionálne úrady verejného zdravotníctva
- Objekty
- Informačné systémy
- Štátny ústav pre kontrolu liečív (ŠÚKL)
- Národné centrum zdravotníckych informácií (NCZI)- Úrad verejného zdravotníctva (ÚVZ)
- Regionálne úrady verejného zdravotníctva (RÚVZ)
- Zákon č. 576/2004 Z. z. (o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti)
- Zákon č. 578/2004 Z. z. (o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve)
- Zákon č. 580/2004 Z. z. (o zdravotnom poistení)
- Zákon č. 581/2004 Z. z. (o zdravotných poisťovniach, dohľade nad zdravotnou starostlivosťou)
- Zákon č. 579/2004 Z. z. (o záchrannej zdravotnej službe)
- Zákon č. 362/2011 Z. z. ( o liekoch a zdravotníckych pomôckach)
- Zákon č. 153/2013 Z. z. (o národnom zdravotníckom informačnom systéme)
- Zákon č. 355/2007 Z. z. (o ochrane, podpore a rozvoji verejného zdravia)
- Zákon č. 218/2007 Z. z. (o zákaze biologických zbraní)
- Umelé vodné útvary
- Vodné stavby
- Protipovodňové stavby
- Vodohospodárske služby
- Vodovodná sieť
- Vodovodné prípojky
- Riadiace systémy vodovodov
Subjekty
- Prevádzkovatelia
- Dodávatelia
- Odberatelia vody
Vodohospodárska činnosť súvisiaca s prevádzkovaním verejných vodovodov
- Odber a zachytávanie surovej vody
- Úprava surovej vody
- Zhromažďovanie a akumulácia pitnej vody
- Dodávka pitnej vody
- Stoková sieť
- Kanalizačné prípojky
Subjekty
- Prevádzkovatelia
- Producenti odpadových vôd
Vodohospodárska činnosť súvisiaca s prevádzkovaním verejných kanalizácií
- Príjem, odvádzanie odpadovej vody
- Čistenie odpadovej vody v zariadeniach, z ktorých je následne vypúšťaná do povrchových vôd
Slovenský hydrometeorologický ústav (SHMÚ)
- Objekty
- Monitorovací systém
- Informačný systém
Služby SHMÚ v hydrologickej oblasti
- Ministerstvo životného prostredia Slovenskej republiky
- Okresné úrady
- Vyššie územné celky
- Obce
- Národné referenčné laboratórium pre oblasť vôd na Slovensku
- Zákon č. 364/2004 Z. z. (o vodách)
- Zákon č. 442/2002 Z. z. (o verejných vodovodoch a verejných kanalizáciách)
- Zákon č. 7/2010 Z. z. (o ochrane pred povodňami)
V rámci sektoru existujú služby spĺňajúce podmienky prvku kritickej infraštruktúry – a to odvoz odpadov z veľkých miest a správa veľkých skládok odpadu.
- Skládky odpadov
- Spaľovne komunálnych odpadov
- Prostriedky zberu komunálneho odpadu
- Nakladanie s odpadom
- Nakladanie s komunálnym odpadom (OLO)
- Spracovanie odpadu
- Prevádzkovatelia skládok
- Spracovatelia odpadu
- Ministerstvo životného prostredia Slovenskej republiky
- Slovenská inšpekcia životného prostredia
- Okresný úrad
Z hľadiska kritickej
infraštruktúry sú dôležité kategorizované podniky podľa zákona č. 128/2015 Z.
z. (o prevencii závažných priemyselných havárií), podniky u ktorých
narušenie prevádzky by malo závažný ekonomický dopad, podniky so strategickým
významom.
Petrochemický priemysel (spracovanie uhľovodíkov) je priradený k Sektoru energií, potravinársky priemysel k Sektoru potravín.
- Podniky kategórie A a B podľa zákona č. 128/2015
- Ďalšie podniky
- Služby podnikov
- Podniky kategórie A a B podľa zákona č. 128/2015
- Ďalšie podniky
- Služby podnikov
- Podniky kategórie A a B podľa zákona č. 128/2015
- Ďalšie podniky
- Služby podnikov
- Podniky kategórie A a B podľa zákona č. 128/2015
- Ďalšie podniky
- Služby podnikov
- Podniky kategórie A a B podľa zákona č. 128/2015
- Ďalšie podniky
- Služby podnikov
- Podniky kategórie A a B podľa zákona č. 128/2015
- Ďalšie podniky
- Služby podnikov
- Zákon č. 128/2015 Z. z. (o prevencii závažných priemyselných havárií)
- Príslušné sektorové zákony
Do sektora je v súlade s medzinárodnými členeniami zaradený
aj potravinársky priemysel.
Do prvkov kritickej infraštuktúry sme navrhli
zaradiť aj poľnohospodársku pôdu. Jednotlivé parcely a role nie sú prvkom
kritickej infraštruktúry, ale celá poľnohospodárska pôda je špecifickým
kritickým prvkom. Existujú hrozby pre pôdu ako celok (invazívne buriny, jadrové
zamorenie, chemické zamorenie, extrémne sucho, extrémne záplavy).
Podobne aj úroda – ako celok má svoje osobitné hrozby (extrémne sucho a vlhkosť, patogény, nedostatok osiva).
- Zásoby a dodávky osiva
- Úroda
- Skladovanie primárnych produktov
- Výkup a odvoz primárnych produktov
- Nákup a dovoz primárnych produktov- Stavy chovov hospodárskych zvierat
- Zásoby krmiva pre hospodárske zvieratá
- Výkup a odvoz zvierat
- Objekty pre hospodárske zvieratá (veľkochovy)
- Budovy a ich technická infraštruktúra (napr. veľkochovy)
- Prevádzková
infraštruktúra
- Poľnohospodárska
technika (aj v autonómnych verziách).
- Zásoby
- V predajniach
- V skladoch
- Strategické zásoby
Subjekty
- Potravinárske podniky
- Potravinárske prevádzkarne
- Subjekty v logistike
Činnosti a služby
- Výroba potravín
- Spracovanie potravín
- Skladovanie potravín
- Preprava potravín
- Dovoz potravín
- Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky
- Štátna veterinárna a potravinová správa Slovenskej republiky
- Regionálne veterinárne a potravinové správy
- Orgány verejného zdravotníctva
- Pôdohospodárska platobná agentúra
- Zákon č. 491/2001 Z. z. (o organizovaní trhu s vybranými poľnohospodárskymi výrobkami)
- Zákon č. 39/2007 Z. z. (o veterinárnej starostlivosti)
Sektor verejnej správy poskytuje mnohé služby občanom, ktorých výpadok spĺňa sektorové kritéria kritickej infraštruktúry aj na úrovni európskej KI: narušenie každodenného života pre 250.000 osôb. Napr. výpadok výplaty dôchodkov by postihol vyše 1 mil. dôchodcov. V krízovej situácii výpadok činnosti ústredných orgánov môže viesť tiež k vzniku škôd spĺňajúcich aj ďalšie sektorové kritériá. Pri každom orgáne verejnej moci a jeho agendách je potrebné individuálne posudzovať, či dosahuje úroveň kritickej infraštruktúry.
Pri masívnom kybernetickom útoku môže byť súčasne narušených mnoho agend verejnej správy u viacerých orgánov verejnej správy a tým dosiahnuť splnenie podmienok kritickej infraštruktúry. Preto ako osobitný prvok kritickej infraštruktúry je potrebné brať aj IS verejnej správy ako celok, nakoľko existujú kybernetické útoky voči tomuto celku ako jednej entite kybernetického priestoru.
- Národná rada Slovenskej republiky
- Prezident Slovenskej republiky
- Vláda Slovenskej republiky
- Národná banka Slovenska
- Prokuratúra Slovenskej republiky
Regulačné a dozorové orgány
- Národná banka Slovenska (NBS)
- Úrad pre dohľad nad zdravotnou starostlivosťou (ÚDZS)
- Úrad na ochranu osobných údajov (UOOU)
- Úrad pre reguláciu sieťových odvetví (ÚRSO)
- Úrad pre reguláciu elektronických komunikácií a poštových služieb
- Rada pre vysielanie a retransmisiu (RVR)
Dekoncentrované orgány štátnej správy
- Dopravný úrad
- Finančné riaditeľstvo Slovenskej republiky
- Národný inšpektorát práce (NIP)
- Centrum pre chemické látky a prípravky
- Pamiatkový úrad Slovenskej republiky
- Pôdohospodárska platobná agentúra
- Puncový úrad
- Hlavný banský úrad
- Slovenský metrologický ústav (SMÚ)
- Štátna kúpeľná komisia
- Štátna veterinárna a potravinová správa (ŠVPS SR)
- Štátny ústav pre kontrolu liečiv (ŚÚKL)
- Úrad verejného zdravotníctva Slovenskej republiky (ÚVZ)
- Ústav štátnej kontroly veterinárnych biopreparátov a liečiv (UŠKVBL)
- Ústredie práce, sociálnych vecí a rodiny (ÚPSVR)
- Ústredný kontrolný a skúšobný ústav poľnohospodársky (ÚKSÚP)
- Vojenský úrad sociálneho zabezpečenia (VÚSZ)
Inšpekčné orgány
- Slovenská obchodná inšpekcia (SOI)
- Slovenský metrologický inšpektorát (SMI)
- Inšpektorát kúpeľov a žriediel
- Slovenská stavebná inšpekcia
- Plemenárska inšpekcia Slovenskej republiky (PISR)
- Slovenská inšpekcia životného prostredia (SIŽP)
- Štátna veterinárna a potravinová správa Slovenskej republiky (ŠVPS SR)
- Štátna školská inšpekcia (ŠŠI)
Ďalšie orgány s pôsobnosťou pre celé územie Slovenskej republiky
- Sociálna poisťovňa (SP)
- Orgán verejnej moci
- Niektoré samosprávne stavovské organizácie
Územná samospráva
- Vyššie územné celky - samosprávne kraje (VÚC)
- Obce
- Záujmová samospráva
- Spravodajské služby
- Orgány zriadené na základe medzinárodných zmlúv
- Orgány v podriadenosti ústredných orgánov štátnej správy
- Štátne fondy
- Neštátne účelové fondy
- Právnické osoby konajúce vo verejnom záujme
- Prostriedky perimetrickej ochrany areálu
- Poplachový systém na hlásenie narušenia (PSN)
- Priemyselná televízia, elektronický vrátnik (PTV)
Bezpečnostná technika
- Poplachový systém na hlásenie narušenia (PSN)
- Elektrická požiarna signalizácia (EPS)
- Priemyselná televízia, elektronický vrátnik (PTV)
- Pult centrálnej ochrany
- Prístupový a dochádzkový systém
Rozvody a prípojky
- Elektrické rozvody (využiteľné aj na internetovú komunikáciu)
- Rozvody plynu (ak je plynové vykurovanie)
- Rozvod vody a odpadu (verejné WC)
- Rozvod tepla
- Prípojky s meračmi (aj na diaľku monitorovateľné)
Ďalšie technické zariadenia
- Výťahy
- Klimatizácia
- Vetranie
- Kúrenie
- Svetelná technika
- Dátové centrá
- Nadrezortná informačná sieť Govnet
- Ústredný portál verejnej správy a jeho prístupové komponenty
- Registre
- Nadrezortný informačný systém verejnej správy
- Centrálny metainformačný systém verejnej správy
- IS Štátnej pokladnice
- Daňový informačný systém
- IS Sociálnej poisťovne
- EMCS (Excise Movement and Control System)
- Jednotný informačný systém hospodárskej mobilizácie
- Virtuálna registračná pokladnica
...
-Číselníky
- Údajová základňa registrov
- Údajová základňa centrálneho metainformačného systému verejnej správy
- Údajová základňa ďalších IS
- Centrálna správa
- Vlastná správa orgánu verejnej správy
- Prenesená správa (externý subjekt, iný orgán verejnej správy)
- Orgány
prevádzky centrálnych prvkov IS VS (napr. NASES pre Govnet)
- Jednotlivé orgány verejnej správy
- Služby Sociálnej poisťovne (dôchodky a sociálne dávky)
- Služby Štátnej pokladnice- Služby Finančnej správy
- ...
- Služby elektronickej identity a podpisu
- Elektronické odpisy a výstupy z IS VS
- Elektronické podateľne a podania
- Elektronické služby registrov
- Elektronické žiadosti a výkazy
- Elektronické úradné tabule
- Elektronická notifikácia
- Elektronické doručovanie
- Informačné služby
- Služby elektronickeho vzdelávania
- Ďalšie služby verejnej správy v elektronickej forme
- Ministerstvo financií Slovenskej republiky
- Úrad vlády Slovenskej republiky
- Národný bezpečnostný úrad
- Národná agentúra pre sieťové a elektronické služby (NASES)
- Zákon č. 275/2006 Z. z. (o informačných systémoch verejnej správy)
- Zákon č. 305/2013 Z. z. (o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci)
- Zákon č. 215/2002 Z. z. (o elektronickom podpise)
- Zákon č. 214/2014 Z. z. (o správe, prevádzke a používaní informačného systému Centrálny elektronický priečinok pri dovoze, vývoze a tranzite tovaru)
- Zákon č. 122/2013 Z. z. (o ochrane osobných údajov)
- Zákon č. 211/2000 Z. z. ( o slobodnom prístupe k informáciám)
- Zákon č. 205/2004 Z. z. (o zhromažďovaní, uchovávaní a šírení informácií o životnom prostredí)
- Zákon č. 3/2010 Z. z. (o národnej infraštruktúre pre priestorové informácie)
- Zákon č. 153/2013 Z. z.( o národnom zdravotníckom informačnom systéme)
- Zákon č. 179/2011 Z. z. (o hospodárskej mobilizácii)
Tento sektor je vymedzený
medzinárodnou legislatívou a zmluvami súvisiacimi s elektronickým
obchodom a poskytovaním elektronických služieb, smernicou EÚ „Directive
2000/31/EC on electronic commerce“ a zákonom č. 22/2004 Z. z. (o elektronickom
obchode).
Nepatria tu informačné a komunikačné technológie ako
infraštruktúra (na to sú iné sektory), ale len na úrovni koncových príjemcov
služieb.
- Služby prístupu koncového používateľa ku telekomunikačným službám
- Služby internetového pripojenia koncového používateľa
- E-shops
- Elektronické bankovníctvo a platby cez Internet
- Komerčná komunikácia (reklama, marketing, spotrebiteľské súťaže a hry, ...)
- Predaj elektronickej inzercie
- Služby internetových aukcií
- Sociálne siete
- Služby elektronického vyhľadávania
- E-mailové služby
- Elektronické vzdelávanie
- Informačné služby týkajúce sa obsahu (blogy, recenzie produktov, testy, ...)
- Elektronické médiá
- On-line počítačové hry
- Streamingové služby (video on demand)
- Telemedicínske služby
- Cloudové služby (napr. software as service)
- Webhostingové služby
- Úložiská súborov
...
- Zákon č. 22/2004 Z. z. (o elektronickom obchode)
- Zákon č. 646/2005 Z. z. (o ochrane niektorých rozhlasových programových služieb a televíznych programových služieb a služieb informačnej spoločnosti)
- Zákon č. 102/2014 Z. z. (o ochrane spotrebiteľa pri predaji tovaru alebo poskytovaní služieb na základe zmluvy uzavretej na diaľku alebo zmluvy uzavretej mimo prevádzkových priestorov predávajúceho
- Zákon č. 351/2011 Z. z. (o elektronických komunikáciách)Súčasťou infraštruktúry je obranná infraštruktúra podľa osobitného predpisu - Zákon č. 319/2002 Z. z. o obrane Slovenskej republiky
- Prístupové miesta (budovy, infraštruktúra)
- Informačný systém podpory poštovej siete
- Predmet poštového tajomstva
- Vybranie poštovej zásielky
- Distribúcia poštovej zásielky
- Poštový platobný styk
- Platobný systém E-KOLOK
- Prevádzka IOMO miest (výpisy a odpisy)
- Úrad pre reguláciu elektronických komunikácií a poštových služieb
- Zákon č. 349/2004 Z. z. (o transformácii Slovenskej pošty, štátneho podniku)
- Zákon č. 402/2013 Z. z. (o Úrade pre reguláciu elektronických komunikácií a poštových služieb a Dopravnom úrade)
- Ministerstvo dopravy, výstavby a regionálneho rozvoja Slovenskej republiky
- Obvodný úrad v sídle kraja
- Obec
- Slovenská stavebná inšpekcia
- Úrady verejného zdravotníctva- Zákon č. 50/1976 Zb. o územnom plánovaní a stavebnom poriadku (stavebný zákon)
- Zákon č. 555/2005 Z. z. (o energetickej hospodárnosti budov ...)
- Zákon č. 133/2013 Z. z. (o stavebných výrobkoch ...)
- Zákon č. 355/2007 Z. z. (o ochrane, podpore a rozvoji verejného zdravia ...)
- Zákon č. 362/2011 Z. z. (o liekoch a zdravotníckych pomôckach ...)
- Zákon č. 250/2007 Z. z. (o ochrane spotrebiteľa ...)
- Zákon č. 128/2002 Z. z. (o štátnej kontrole vnútorného trhu vo veciach ochrany spotrebiteľa a o zmene a doplnení niektorých zákonov)
- Zákon č. 294/1999 Z. z. ( o zodpovednosti za škodu spôsobenú vadným výrobkom)
- Zákon č. 78/2012 Z. z. (o bezpečnosti hračiek ...)
- Geografická vrstva je dôležitá z hľadiska tých možných hrozieb pre územie, ktorých dopady sa týkajú aj infraštruktúry či prevádzkového prostredia kybernetického priestoru.
- Napr. počas záplav v Prahe došlo
k vytopeniu územia, kde boli dátové centrá, počas silnej búrky na území
Belgicka bolo sériou bleskov poškodené cloudové dátové centrum Googlu,
zemetrasenie v Chile môže dátové centrum úplne zničiť.
je to infaštruktúra umiestnená v danom geografickom priestore potrebná pre prevádzkové prostredie kybernetického priestoru - dopravná infraštruktúra, energetická infraštruktúra vrátane výroby a dodávky energií, tepla, prenosu, fyzické komunikačné linky na danom území, dodávateľské a servisné organizácie na danom území. Často ide o súčasti kritickej infraštruktúry.
- Táto vrstva je dôležitá z hľadiska kybernetického priestoru, nakoľko jej špecifické hrozby vedia priamo narušiť kybernetický priestor.
- Napr. jadrová nehoda atómovej elektrárne môže nielen spôsobiť výpadok prúdu, ale aj nedostupnosť zamoreného územia (kde môže byť napr. dátové centrum) podobne ako výbuch v chemickej továrni. Podobne aj mimoriadne silná námraza môže poškodiť VVN vedenia a viesť k dlhodobému výpadku prúdu napr. nad čas funkcie záložných zdrojov základových buniek mobilnej komunikácie.
- Aj táto vrstva má svoje špecifické hrozby schopné narušiť aktíva kybernetického priestoru.
- Príkladom hrozieb je zrútenie objektu v dôsledku výbuchu plynu či požiaru, výpadok centrálnej klimatizácie v lete, vytopenie objektu poruchou rozvodov.
Hardvérové prostredie vytvárajúce kybernetický priestor, ktorým je zosieťovaná elektronika (procesory, radiče, zbernice, pamäte - v počítačoch, sieťových prvkoch, bezpečnostných komponentoch, tabletoch, smartfónoch a pod.), fyzické komunikačné linky v objektoch, frekvenčné pásmo elektromagnetického vlnenia.
- Podmnožinou logickej vrstvy kyberpriestoru je národná logická vrstva kyberpriestoru, ktorú už na logickej vrstve už nevieme tak jednoznačne vyčleniť - napr. máme údaje slovenských občanov v cloude Amazonu v dátovom centre v Írsku manažovanom servisnou pobočkou vo Frankfurte. Čo z toho je súčasť nášho národného kyberpriestoru?
- Jedna z možných definícií – je to časť logickej vrstvy kyberpriestoru priamo alebo nepriamo v pôsobnosti jurisdikcie Slovenskej republiky. V priamej jurisdikcii: logická vrstva nad národnou fyzickou vrstvou kyberpriestoru (na Slovensku bežiace aplikácie a spracovávané údaje). V nepriamej jurisdikcii: prevádzkované IT služby a spracovávané údaje na základe medzinárodných dohôd SR a obchodných zmlúv slovenských subjektov (napr. spracovanie osobných údajov SR v rámci EÚ, USA, údaje zo SR na cloudoch veľkých prevádzkovateľov).
- V rámci národného kyberpriestoru môžeme mať jeho členenie aj v jemnejšej granularite (napr. podľa orgánov verejnej moci alebo prevádzkovateľov)
- Pod pojmom správa chápeme najmä aktiváciu a deaktiváciu spravovanej entity (zapnutie a vypnutie servera, inštalácia, spustenie SW, odinštalovanie SW), zmenu jej nastavení a parametrov (konfigurácia, konfiguračné súbory), manažment prístupu používateľov k danej entite, monitoring správania sa entity.
- Rola správcu je vymedzená najmä: autoritou entity, pre ktorú pracuje (orgán verejnej moci, súkromná firma, NGO, súkromná osoba, zločinecké zoskupenie), rozsahom pôsobnosti (aké IS alebo HW komponenty sú v jeho kompetencii) a právomoci (aké má oprávnenia delegované entitou, pre ktorú pracuje).
- Činnosť správcov môže byť narušené kyber-útočníkmi, ktorí napr. po kompromitácii identity správcu vykonajú neautorizované činnosti v jeho mene.
- Významnej časti kyberpriestoru vieme role správcov priradiť.
- Existujú samozrejme šedé zóny, kde to tak jednoznačné nie je – napr. v rámci hybridnej vojny skupina štátnych hackerov je správcom časti kyberpriestoru určeného na kyberútoky, existujú správcovia ilegálnych torrentových sietí, u peer-to-peer sietí správca ako taký neexistuje.
- Tá istá osoba môže byť vo vzťahu k rôznym entitám kyberpriestoru správcom alebo používateľom (napr. admin používajúci sociálnu sieť).
Tvoria ju dátové objekty alebo dátové štruktúry prístupné v rámci jednotlivých aplikácií cez užívateľské interfejsy (napr. v sociálnych sieťach, simulátoroch, počítačových hrách, nástrojoch modelovania), spracovávané informácie a poskytované služby nad logickou vrstvou kyberpriestoru.
- Pre služby v kybernetickom priestore existujú špecifické hrozby, ktoré sa neobjavujú v prípade klasickej formy služieb.
- Pre virtuálne objekty existuje špecifická vrstva hrozieb pochádzajúca z ich virtuálnych prostredí. Napr. v novej verzii virtuálneho prostredia je virtuálny objekt staršej verzie nepoužiteľný. Alebo dôjde k zničeniu virtuálneho objektu vnútri sveta (zničenie virtuálnej budovy, zabitie virtuálnej postavy), alebo zásahom neautorizovanej činnosti – hacker vymaže virtuálny objekt, alebo vykoná s ním nevhodnú činnosť (napr. okradne virtuálnu postavu).
Sú to osoby interagujúce s kyberpriestorom, vykonávajúce autorizované alebo neautorizované činnosti nad pre nich dostupnými aplikáciami.
Poznámka: Iné entity so schopnosťou simulovať používateľov (napr. trójske kone, boty, agenty) nerátame medzi používateľov kyberpriestoru.
Používateľ kyberpriestoru má svoju vlastnú virtuálnu identitu (alebo viac identít). Virtuálna identita môže byť veľmi jednoduchá (napr. len mailová adresa a heslo, meno a heslo pre prihlásenie do aplikácie), ale aj veľmi zložitá (fotografia, biometrické charakteristiky, až po Avatara používateľa vo virtuálnom svete).
- Príkladom je osoba, ktorej údaje v databáze orgánu verejnej moci boli ukradnuté hackermi a následne zverejnené.
- Alebo osoba, ktorej účet v banke bol nabúraný hackerom a došlo k neautorizovanému prevodu peňazí.
- Záplavové územie
- Horský terén (náhle záplavy po prívalových dažďoch)
- Územie pod priehradným múrom
- Pohraničné územie v susedstve s nestabilnou krajinou
- Územie s vysokou hladinou spodnej vody
a. Mimoriadne silné slnečné erupcie (Carrington-class event)
b. Silný vietor
c. Búrkové prejavy (blesky, krupobitie, prietrž mračien, záveje)
d. Silné sneženie spojené s ťarchou snehu
e. Namŕzanie (námraza, ľadovica, poľadovica).
a. Povodeň
b. Požiar porastov, lesov
c. Pandémia u ľudí (napr. chrípka, SARS, MERS)
d. Následky aktivít extrémistických a teroristických skupín
e. Následky vojenských aktivít
- Poškodenie železničnej infraštruktúry
- Železničné nehody
- Poškodenie cestnej infraštruktúry
- Dopravné nehody (najmä preprava nebezpečného nákladu)
Letecké nehody ...
Narušenie sa týka napr. :
- Vedenia VVN (400, 220 a 110 kV) VN (22 KV) a NN (230, 400 V)
- Transformačné stanice a rozvody elektrickej energie
- Fyzické komunikačné linky (optické, metalické)
- Infraštruktúra mobilných operátorov (stožiare, základňové stanice)
- Plynovody
- Ropovody
- Teplovody
- Vodovodné systémy
- Kanalizácia
- Blackout energetickej siete
- Strata prevádzkovateľa, distribútora alebo dodávateľa produktov a služieb (ukončenie činnosti, platobná neschopnosť, konkurzné konanie, bankrot)
- Obmedzenie produkcie (napr. elektrickej energie pod odstavení blokov elektrárne)
- Zníženie dodávok pre slovenský trh (napr. pre lepšie ceny v zahraničí)
- Výpadok dodávok zdrojov pre producenta (napr. plynu počas plynovej krízy, ropa, uhlie, voda, jadrové palivo)
- Neplánovaný výpadok produkcie (prevádzková porucha, havária, neplánovaná odstávka)
- Plánovaný výpadok produkcie (plánovaná odstávka, profylaktika)
- Neplánovaný výpadok distribúcie (narušenie distribučných sietí)
- Plánovaný výpadok distribúcie (plánovaná odstávka, údržba)
Trestné činy, najmä:
- Neoprávnené užívanie cudzej veci
- Poškodzovanie cudzej veci
- Poškodzovanie a ohrozovanie prevádzky všeobecne prospešného zariadenia
- Krádež
- Všeobecné ohrozenie
- Záškodníctvo
- Špionáž
- Sabotáž
- ...
- Sabotáž
- Záškodníctvo
- Teroristický útok
- Likvidáciou obsluhy
- Vyhnaním obsluhy
- Hackerským útokom
- Vyhnaním obsluhy
- Hackerským útokom
- Umiestnenie infraštruktúry v záplavovom území
- Umiestnenie infraštruktúry pod priehradným múrom
- Blízkosť VVN vedenia
- Blízkosť plynovodu alebo ropovodu
- Kríženie trás vedení a rúr
- Blízkosť železničnej trate, diaľnice alebo cesty I. triedy (možnosť havárie pri preprave chemických produktov)
- Chemická prevádzka s nebezpečnou výrobou v okolí
- Spracovanie dreva v okolí (silný požiar)
- Výpadky kritickej infraštruktúry (energie, komunikačné linky)
- Masívna povodeň (napr. ako bola v Prahe a vytopila dátové centrá)
- Úder blesku
- Nedostupnosť územia (výbuch v okolí, zamorenie, karanténa)
- Vysoké teploty, horúčava (napr. nepostačujúca klimatizácia pre teploty 38° C)
- Nedostupnosť areálu (napr. pre záľahu snehu, karanténu).
- Lokálny požiar v areáli (napr. ak je tam objekt s horľavinami, porast).
- Vytopenie areálu z interných zdrojov (napr. z nadzemnej nádrže vody).
- Narušenie infraštruktúry v areáli (napr. prekopanie kábla).
- Nevysporiadané vlastnícke práva v areáli (riziko vysťahovania, blokovania ciest).
- Iné subjekty predstavujúce potenciálne riziko sídliace v areáli.
- ...
- Nevysporiadané vlastnícke práva k objektu (riziko vysťahovania)
- Zrútenie budovy (napr. vplyvom výbuchu, zlej statiky, záľahy snehu, pohybu podložia)
- Narušená statika objektu (napr. preťažením, pohybom podložia)
- Poškodenie strechy (silným vetrom, záľahou snehu)
- Poškodenie objektu nárazom (napr. kamiónu, vykoľajeného vlaku)
- Požiar v objekte
- Výbuch v objekte
- Vytopenie objektu v dôsledku vnútornej poruchy alebo narušenia
- Rádioaktívny radón zo stavebného materiálu
- Nadmerná vlhkosť (napr. presakovanie spodnej vody pri zlej izolácii základov)
- Zatekanie objektu
- ...
- Technické poruchy infraštruktúry
- Nízka úroveň kvality infraštruktúrnych služieb
- Narušenie vnútornej infraštruktúry objektu (napr. pri rekonštrukcii objektu)
- Výpadok energie v objekte (skrat, poruchy vedenia)
- Následné hrozby vyplývajúce z výpadku energie
- Diesel generátor nenabehne a UPS vydrží len niekoľko minút
- Následný výpadok klimatizácie (aj keď IKT ide na diesel-generátor)
-Následný výpadok kúrenia
- Výpadok vody a sanity v objekte
- Prehrdzavenie rozvodov alebo narušenie ich izolácie
- Hlodavce v objekte
- Plesne (riziko zavretia objektu hygienikom)
- Mikroorganizmy v objekte šírené klimatizáciou
- Nepriaznivé pomery pre osoby v objekte (prievan, suchý vzduch, silná klimatizácia)
- Neoprávnené užívanie cudzej veci
- Poškodzovanie cudzej veci
- Krádež
- Sabotáž
- Záškodníctvo
- Likvidáciou obsluhy
- Vyhnaním obsluhy
- Hackerským útokom na infraštruktúru stavby s elektronikou
- Narušením infraštruktúry objektu
- Ovládnutie areálu / stavby cudzou mocou
- Cielený vojenský útok voči areálu alebo stavbe
Vstup do areálu / budovy
- Zdieľanie areálu / budovy s viacerými subjektmi
- Nekontrolovaný vstup do areálu / budovy
- Voľný pohyb po areáli / budove
- Priestory v budove nie sú členené podľa dôležitosti
- Dôležité zóny sú bez riadenia prístupu
- Chýbajúci bleskozvod na budove
- Chýbajúca prepäťová ochrana
- K dispozícii nie je zdroj náhradného napájania (UPS, dieselový generátor)
- Len jeden prívod elektrickej energie do objektu
- Zariadenia po záručnej dobe
- Chýbajúca zmluvná servisná podpora
- Dlhá doba odozvy servisnej organizácie
- Negarantovaná doba vyriešenia problému
- Narušenie prevádzkového prostredia (požiar, vytopenie, vysoká teplota, vlhkosť, ...)
- Výpadok napájania
- Prúdová nestabilita, prepätie
Najčastejšie spôsoby straty:
- Zničenie po požiari, vytopení, vnútornom skrate a pod.
- Ukradnutie (z objektu, pri prenášaní)
- Zničenie pri páde na zem (pri prenášaní)
- Prejav závažnej vnútornej vady
- Chýbajúce náhradné diely k pokazenému HW
- Zabudnutie HW mimo objektu (notebooku, tabletu, smartfónu)
Časté príčiny poškodenia:
- Nevhodnými prevádzkovými podmienkami (prepätie, prehriatie, prach)
- Prejavením sa vnútornej vady – napr. chybného vnútorného napájania, výpadkom ventilátora
- Chybnou manipuláciou (napr. pád servera na zem pri prenášaní)
- Úmyselne (pomsta, sabotáž)
- Porucha napájania
- Nefunkčné vnútorné chladenie
- Porucha komponentu (radič, port, disk)
- Chybný firmvér alebo jeho aktualizácia od výrobcu.
- Distribúcia hacknutej verzie firmware dodávateľom (napr. cez USB pamäť, CD alebo DVD, autorizovanú napadnutú www stránku).
- Stiahnutie a použitie hacknutej alebo cracknutej verzie firmvéru z neautorizovaného zdroja (napr. pre smartfóny).
- Vzdialené prepísanie firmvéru v servisnom móde (priamy útok alebo s využitím trójskeho koňa).
- Priamy hackerský útok na firmvér zariadenia.
- Chybný SW alebo jeho aktualizácia od výrobcu.
- Distribúcia hacknutej verzie softvéru dodávateľom (napr. cez USB pamäť, CD alebo DVD, autorizovanú napadnutú www stránku).
- Stiahnutie a použitie hacknutej alebo cracknutej verzie softvéru z neautorizovaného zdroja.
- SW / zariadenie napadnuté malwarom (napr. červ Stuxnet, ktorý napadol iránke odstredivky pre obohacovanie uránu).
- Priamy hackerský útok na softvér.
Chybné nastavenie parametrov zariadenia od výrobcu
Chybná zmena parametrov zariadenia autorizovaným subjektom
- Na mieste
- Diaľkovo
Zmena parametrov zariadenia neautorizovaným subjektom
- Administrátor neautorizovaný na danú činnosť
- Servisný pracovník neautorizovaný na danú činnosť
- Používateľ
- Hacker
- Malware
- Zaslanie príkazu na nežiadúcu činnosť zariadenia (vypnutie chodu motora počas jazdy, blokovanie riadenia auta, úder ramenom robota do steny, náraz dronu do stromu ...).
- Priame prevzatie riadenia zariadenia (napr. vozidla, dronu, bezpečnostnej kamery).
- Vzdialené vypnutie zariadenia.
- Rušenie ovládania zariadenia.
- Zásahom do zariadenia
- Chybnou manipuláciou
- Porušením prevádzkových podmienok
- Ukončením záručnej doby
- Nedostatok vnútornej pamäte
- Nedostatok diskového priestoru
- Nepostačujúca priepustnosť siete
- Nepostačujúca šírka pásma
- Nepostačujúci procesorový výkon
- Nepostačujúca kapacita rackov
- Poškodenie a zneužitie záznamu na nosiči informácií
- Neoprávnené užívanie cudzej veci
- Poškodzovanie cudzej veci
- Sprenevera
- Krádež
- Lúpež
- Záškodníctvo
- Sabotáž
- Porušovanie autorského práva
- Porušovanie priemyselných práv
- Ohrozenie utajovanej skutočnosti
- Špionáž
- Sabotáž
- Elektromagnetický impulz ničiaci elektroniku.
- Rádioaktívne žiarenie ničiace elektroniku (alfa, beta žiarenie).
- Aktívne rušenie elektromagnetického spektra.
Je ich veľmi veľa, uvádzame len niekoľko typických príkladov.
- Ukončenie technickej podpory dodávateľom.
- Krach dodávateľa.
- Chýbajúca zmluva na technickú podporu.
- Dodávateľ nemá kvalifikovaný personál na technickú podporu.
- Dlhá zmluvná reakčná doba v prípade poruchy.
- Dlhá alebo žiadna zmluvná doba na odstránenie poruchy.
- Vstup do budovy nie je riadený.
- Priestory umiestnenia hardvéru nie sú v chránenej zóne.
- Voľný prístup cudzích osôb k hardvéru v budove (napr. server na chodbe).
- Voľný prístup zamestnancov k hardvéru.
- Neauditovaný prístup k dôležitému hardvéru (napr. videokamerou).
- Nepostačujúca personálna bezpečnosť (napr. previerky).
- Nepostačujúca kvalifikácia správcov.
- Chýbajúci správcovia pre daný HW (napr. drahí pre štátnu správu).
- Neauditovaná činnosť správcu.
- Preťaženosť správcu.
- Chýbajúce formálne definované procedúry činnosti správcu.
- Nejasné kompetencie správcu.
- Nepoistený hardvér.
- Nejasné vlastnícke práva k hardvéru (napr. pri problémoch s lízingom).
- Hardvér obsahujúci zadné vrátka (backdoor).
- Hardvér od výrobcu neznámej úrovne kvality.
Do logickej vrstvy patria nehmotné veci:
Software - BIOS, ďalší firmware, OS, vývojové prostredia, bezpečnostný SW, ďalší systémový SW, browsery, aplikačný SW,
Údaje – kľúče, identifikačné a autentizačné údaje, elektronická identita, konfiguračné súbory, dátové súbory, spracovávané údaje …
- Bootovacie vírusy
- Súborové vírusy
- Makro vírusy
- Mailové vírusy
- Ďalšie
- Net worm
- Email worm
- IRC worm
- IM worm
- P2P worm
- WiFi worm
Ďalšie
Najväčšia skupina malwaru, patria tu:
- Boty a botnety
- Spyware
- DDoS
- Proxy
- Dropper
- Clicker
- Ransom
- Fake-AV
- Mailfinder
- Arc bomb
- Banker, Card skimmer
- SMS
- Game-thief
- Browser modifier
- Settings modifier (registry)
- Software bundler / packer
Ďalšie
Osoby realizujúce neautorizovanú alebo kriminálnu aktivitu prostriedkami kybernetického priestoru.
- Autorizovaní servisní pracovníci vykonávajúci neautorizovanú činnosť.
- Autorizovaní správcovia vykonávajúci neautorizovanú činnosť.
- Autorizovaní používatelia vykonávajúci neautorizovanú činnosť.
- Servisní pracovníci neautorizovaní na danú činnosť
- Správcovia neautorizovaní na danú činnosť
- Používatelia neautorizovaní na danú činnosť
- Náhodná osoba s prístupom k počítaču
Sú klasifikovaní do viacerých skupín:
- White hat
- Black hat
- Elite hackers
- Hacker groups
- Grey Hat
- Blue Hat
- Script Kiddie
- Neophyte
- Phreaker
- Hactivist
- Elitné kriminálne hackerské skupiny
- Kriminálne gangy
- Podvodníci
- Využitím klasických prostriedkov (napr. ukradnutie pevného disku s údajmi, notebooku s obrázkami, záložnej kópie).
- Využitím prostriedkov kybernetického priestoru (napr. prostredníctvom malwaru, zneužitím elektronickej identity, hackom …)
- Vyzvedačstvo
- Sabotáž
- Záškodníctvo
- Ohrozenie utajovanej skutočnosti
- Krádež
- Podvod
- Sprenevera
- Zatajenie veci
- Neoprávnené užívanie cudzej veci
- Poškodzovanie cudzej veci
- Porušovanie povinnosti pri správe cudzieho majetku
- Neoprávnené používanie platobného prostriedku, elektronických peňazí alebo inej platobnej karty
- Poškodenie a zneužitie záznamu na nosiči informácií
- Porušovanie autorského práva
- Porušovanie priemyselných práv
- Neoprávnené nakladanie s osobnými údajmi
- Poškodzovanie cudzích práv
- Porušenie dôvernosti ústneho prejavu a iného prejavu osobnej povahy
- Porušovanie služobných povinností
- Neoprávnené užívanie cudzej veci
- Porušovanie autorského práva
- Porušovanie priemyselných práv
- Chyby firmvéru a operačného systému
- Chyby kompilátora, prekladača
- Chyby používaných knižníc
- Chyby v reakcii na neštandardné situácie (napr. nesprávne vstupy, poškodený súbor, narušený konfiguračný súbor, výpadok prúdu a prerušenie činnosti)
- Chyby pri spracovaní údajov v operačnej pamäti
- Chyby pri so súbormi a pamäťovými médiami
- Chyby pri sieťovej komunikácii
- ...
- Chybná konfigurácia narúšajúca funkcionalitu softvéru
- Konfigurácia znižujúca bezpečnosť
- Poškodené konfiguračné súbory
- Firmvéru s OS
- SW s novšou verziou OS
- Rôznych SW aplikácií
- Rôznych verzií daného SW
- Bezpečnostný SW vs. aplikačný SW
- Rovnaký typ rezidentných aplikácií (napr. 2 a viac anti-malware programov)
- Konkurenčné využívanie rovnakých zdrojov (napr. portov)
...
- Chyby procesora
- Chyby operačnej pamäte
- Chyby na disku
- Konflikt s inou aplikáciou
- Utajované skutočnosti
- Súvisiace s pracovným výkonom (služobné, citlivé, mimoriadne citlivé)
- Osobné údaje
- Tajomstvá (obchodné, telekomunikačné, daňové, poštové, ...)
- Identifikačné a autentizačné údaje
- Kľúče
- Ďalšie údaje
- Pri prenose
- Na pamäťovom médiu
- Zobrazené na monitore, displeji smartfónu, dátovým projektorom
- V operačnej pamäti
- Dáta v súbore poslané na tlač alebo na iné periférne zariadenie
- Miesto snímateľné kamerou alebo fotoaparátom (napr. vzdialene kamerou zabudovanou v počítači)
- Miesto snímateľné mikrofónom, odpočúvacím zariadením alebo sluchom odpočúvateľné (napr. rokovacia miestnosť)
- Neautorizované vytvorenie kópie súboru
o Autorizovanou osobou
o Neautorizovaná osobou
o Aplikačný softvérom (napr. dočasný súbor)
o Malware
- Strata notebooku, tabletu, smartfónu alebo pamäťového média so súborom
- Ukradnutie servera, pracovnej stanice, tabletu, smartfónu, pamäťového média so súbormi
- Poskytnutie prístupu k IS, notebooku, tabletu, smartfónu, pamäťového média so súborom neautorizovanej osobe
- Neautorizované prečítanie informácií na obrazovke alebo displeji smartfónu
- Zaslanie neautorizovanej osobe (omylom, úmyselne)
- Odpočúvanie (sluchom, zachytením elektromagnetického vlnenia, trójskym koňom, monitorovaním prenosu)
- Prienik do informačného systému s chránenými informáciami (hacker, malware)- Vykonané autorizovanou osobou
- Vykonané neautorizovanou osobou
- Malwarom
- Bežiacou natívnou aplikáciou
- Bežiacou inou aplikáciou
- pri načítaní súboru
- pri zápise súboru na pamäťové médium
- pamäťového média (pevný disk, USB, čipová karta, DVD)
- pri prenose po sieti
- aplikácie pracujúcej so súborom
- Strata nosiča súboru (pevný disk, USB, DVD) – ukradnutie, zničenie, vada
- Poškodenie nosiča súboru
- Neuloženie súboru na médium
- Vymazanie súboru
S možnosťou obnovy
Bez možnosti obnovy
- Prepísanie súboru iným súborom
- Nečitateľné médium s uloženým súborom
- Žiadna záloha súboru, žiadne zdroje stratených informácií na papieri
- Žiadna záloha súboru, ale dáta sú v papierovej alebo inej podobe
- Záloha súboru tiež stratená (napr. pri požiari datacentra)
- Stará verzia zálohy
- Off-line záloha
- Záloha nie je aktuálne dostupná
- Existuje zlatý kľúč (key escrow)
- Neexistuje zlatý kľúč
- Šifra prelomiteľná (slabá šifra, krátky kľúč)
- Šifra neprelomiteľná (silná šifra, dlhý kľúč)
Súbor je uložený lokálne
- Priestor IS je nedostupný (napr. po pracovnej dobe)
- Nejde prúd
- Nejde aplikácia
- Zabudnuté meno, heslo
- Pomalá odozva systému
- Nepovolený prístup k súboru
Súbor je uložený vzdialene (cloud, dátové centrum)
- Strata konektivity
- Krátkodobá nedostupnosť služby (napr. cloudovej)
- Dlhodobá nedostupnosť služby
- Krach poskytovateľa služby, kde je súbor uložený
- Zabudnuté meno, heslo.
- Aplikácia otvárajúca súbor je nefunkčná
- Nepovolený prístup
K aplikácii
K súboru
- Ukončenie technickej podpory dodávateľom
- Krach dodávateľa
- Chýbajúca zmluva na technickú podpora
- Dodávateľ nemá kvalifikovaný personál na technickú podporu
- Dlhá zmluvná reakčná doba v prípade problému, chyby
- Dlhá alebo žiadna zmluvná doba na odstránenie problému, chyby
- OS bežiaci bez servisných balíčkov a záplat
- Nepodporovaná verzia OS
- Nová verzia OS
- Aplikácie bežiace bez servisných balíčkov a bezpečnostných záplat
- Nepodporované verzie aplikácií
- Utajované informácie o bezpečnosti aplikácie (security by obscurity)
- Nová verzia aplikácie
- Nie je požadované heslo alebo silnejší bezpečnostný mechanizmus
- Autentizácia heslom bez bezpečnostných požiadaviek (dĺžka, znaky, obmena)
- Uhádnuteľné heslá
- Nezmenené prednastavené heslá
- Príliš silné požiadavky na heslá (dĺžka, obmena)
- Zdieľanie hesla viacerými osobami
- Používanie len hesla pri prístupe k citlivým údajom
- Umožňujúce útočníkovi vykonať aktivitu v mene iného používateľa.
- Umožňujúce útočníkovi dostať sa k údajom obídením nastavených reštrikcií prístupu.
- Umožňujúce útočníkovi vystupovať v mene inej entity.
- Umožňujúce útočníkovi realizovať DoS aktivitu.
- Umožňuje útočníkovi vykonávať zber informácií o IS a používateľoch.
- Umožňuje útočníkovi utajiť svoje aktivity.
- Umožňuje ľahké narušenie bežne vykonávaných činností.
- Je vstupným bodom pre útočníkove aktivity umožňujúcim vykonať neautorizovanú činnosť.
- Detekcia útokov na IS vo svete: 379,972,834
- Detekcia malígnych objektov (skripty, exploity, vykonateľné súbory a pod.): 26,084,253
- Detekcia nežiadúcich softvérových entít: of 110,731,713
- Malígne URL: 65,034,577
- Notifikácie o pokusoch napadnúť bankový účet alebo zneužiť platobnú kartu: 5,903,377
- Dočasná nedostupnosť služby
- Dlhodobá nedostupnosť služby
- Strata služby
- Časté výpadky
- Pomalá služba
- Komplikované použitie služby
- Nevhodný GUI
- Služba požaduje špecializovaný HW alebo SW
- Skryté podmienky používania (napr. addware)
- Komplikované podmienky licenčných zmlúv
- Služba so skrytým účtovaním (napr. volanie vo forme osobitne spoplatnených volaní)
- Predaj tovarov nejasného pôvodu (napr. liekov) na Internete
- Ponúkanie „zázračných prípravkov" na Internete
- Neseriózne ponuky MLM služieb
- Neseriózne sprostredkovanie práce v zahraničí
...
- Služba P2P siete k šíreniu nelegálnych súborov
- Ponuka nelegálneho SW a obsahu
- Nelegálny on-line gambling
- On-line distribúcia drog
- Šírenie detskej pornografie
- Predaj zakázaných výrobkov (napr. zbraní, chemikálií)
1. Stránky zamerané na krádež identity
2. ATM scam (zneužitie bankomatu)
3. Falošný účet na preplatenie (Counterfeit Cashier's Check scam)
4. Falošné stránky finančných inštitúcií a ich služieb
5. Falošné internetové obchody
6. Ďalšie falošné www stránky
7. Podvodné oznámenia výhier
8. Podvody s platbou vopred za budúci veľký prínos (napr. nigérijské)
9. Stránky ponúkajúce výhodnú prácu doma
10. Telemarketingové podvody
11. Podvody s manipuláciou trhu akcií
12. Pyramídové schémy na Internete (investície, franchising)
13. Ponziho schémy na internete (výhodné investície)
14. Fraudy s využitím bankových prísľubov a záruk
15. Falošné internetové aukcie
16. Podvody s mobilnými telefónmi (hovory, platby)
Druhá časť, Prvá hlava Trestného zákona
- Využívanie internetového prostredia drogovými dílermi (chaty, fóra, P2P siete).
- Využívanie elektronických mien na anonymné platby (napr. Bitcoin).
- Návody na výrobu drog na Internete.
- Propagácia a reklama anabolík na www stránkach
- Diskusné fóra propagujúce anaboliká
- Napr. vydieranie využitím vyhrážok na zverejnenie intímnych fotografií a videí, ktoré predtým útočník získal (napr. zo smartfónu), osobitné riziko pre deti na Internete.
- Ransomware, napr. malware, ktorý zašifruje pevný disk používateľa a žiada poplatok za odšifrovanie.
- Vysoká miera bezpečnosti a anonymity pre vydierača komunikujúceho s obeťou na Internete.
- Vydieranie osôb realizujúcich zakázané aktivity na Internete (šírenie a sťahovanie detskej pornografie).
- Napr. nátlak a vyhrážky zasielané mailom alebo SMS.
- Ohováranie a kompromitácia osoby na internetových fórach alebo blogoch, článkoch ako súčasť nátlaku.
- Šírenie nepravdivých informácií
o osobe na sociálnych sieťach ako súčasť nátlaku.
- Podnecovanie násilia voči danej osobe v internetovom prostredí.
- Kybernetické šikanovanie ako súčasť nátlaku.
- Napr. zosmiešňovanie a nátlak na osobu prostredníctvom sociálnych sietí pre jej vierovyznanie.
- Podnecovanie nenávisti voči osobe kvôli jej vierovyznaniu alebo ateizmu v internetových médiách, fórach, diskusiách, chatoch, sociálnych sieťach, blogoch.
- Napr. zverejňovanie súkromných fotografií, videa a zvukových nahrávok iných osôb z ich obydlia v internetovom prostredí (zvyčajne celebrít, politikov).
- Sledovania osôb v obydlí (dronom s kamerou, aj cez diaľkovo aktivovanú webovú kameru, inštaláciou odpočúvacieho zariadenia, hacknutím počítača).
- Napr. odpočúvanie komunikačnej linky alebo digitálnej ústredne.
- Neautorizované dešifrovanie zašifrovanej správy.
- Hacknutie a monitoring počítača vrátane zasielaných a prijímaných správ.
- Monitorovanie nezabezpečenej wifi siete.
- Napr. zneužívanie mladistvých prostredníctvom sociálnych sietí, využitím web kamery.
- Zasielanie sexuálne ofenzívneho obsahu dotknutej osobe.
- Manipulácia s psychikou mladistvých za účelom následného sexuálneho zneužívania (chat, komunikácia na sociálnych sieťach, zasielanie SMS a MMS.
- Lákanie mladistvých na sexuálne aktivity,napr. s prísľubom odmeny.
- Napr. zvádzanie k záhaľčivému alebo nemravnému životu príbuzným, známym, cudzou osobou využitím sociálnych sietí, zasielaním mailov a SMS, chatom a video chatom, propagáciou nemravného života na www stránkach a internetových fórach.
- Nemravný informačný obsah na Internete (pornografia aj spojená s násilím), ktorý je voľne prístupný aj malým deťom.
- Stránky a fóra podporujúce alebo propagujúce užívanie alkoholu aj drog.
- Stránky a fóra podporujúce násilie, extrémizmus, radikalizáciu.
- Napr. účasť na šírení nelegálnej hudby, videa, programov na Internete
- Účasť na aktivitách na Internete, ktoré možno kvalifikovať ako priestupky (extrémistické aktivity, kybernetické šikanovanie, ohováranie spolužiakov, stalking).
- Napr. šikanovaním alebo vyhrážaním sa na diaľku využitím SMS, chatu, mailu.
- Vydieraním zverejnenia intímnych fotografií alebo videa na Internete.
- Neustálym sledovaním osoby
monitoringom jej aktivít.
- Neustálym zasahovaním do internetových aktivít osoby.
- Napr. duševného vlastníctva v elektronickej podobe.
- Prístupu k platenej telekomunikačnej alebo internetovej službe (veci, ktorej odber podlieha spoplatneniu).
- Peňazí z účtu napr. zneužitím internetbankingu, phisingom.
- Neoprávnený prevod akcií elektronickými prostriedkami.
- Podpora prípravy krádeže prostriedkami kybernetického priestoru:
- Zneužitie zaručené elektronického podpisu
- Zásah do elektronickej databázy katastra
- Elektronické monitorovanie aktivít potenciálnej obete (napr. vyjadrení na Facebooku, kedy ide na dovolenku)
- Napr. zneužitím Internetbankingu zamestnávateľa oprávnenou osobou.
- Manipuláciou údajov majetkovej povahy v databáze.
- Prisvojenie si softvérovej licencie.
- Napr. mobilu s predplatenými službami.
- Hacknutého počítača alebo počítača v práci na súkromné aktivity.
- Wifi siete, ktorá nie je verejne prístupná.
- Softvéru
- Plateného prístupu na Internet.
- Platených internetových
a telekomunikačných služieb. ...
- Napr. skopírované platobné karty, ale aj prechovávanie takejto falošnej karty.
- Výroba ale aj použitie počítačového programu na spáchanie daného trestného činu.
- Neoprávnené používanie elektronických peňazí.
- Napr. využitím internetového prostredia a služieb pri fiktívnom internetovom predaji alebo fiktívnej e-aukcii.
- Uvedením do omylu pri predstavovaní a špecifikácii výrobku alebo služby na www stránkach a špecializovaných fórach („zázračný výrobok“ nemá deklarované vlastnosti).
- Podvody pri "super-výhodných"
internetových investíciách a obchodoch ponúkaných na Internete.
- Podvody s fiktívnymi výhrami (oznámenie o výhre cez podvodný mail alebo SMS, ale požiadavka istej platby predom na administráciu).
- Podvody s fiktívnym dedičstvom alebo darom (oznámenie cez podvodný mail alebo SMS, ale požiadavka istej platby predom na administráciu dedičstva alebo daru).
- Napr. publikovanie nepravdivých alebo nereálnych údajov o výnosoch, majetkových pomeroch podniku na www stránkach, v internetových fórach a sociálnych sieťach, zasielanie do mailu a SMS.
- Manipulácia s publikovanými údajmi o podniku na Internete s cieľom zmeny hodnoty akcií (napr. o problémoch podniku, mimoriadnom zisku podniku).
- Manipulácia s účtovníctvom v elektronickej podobe.
- Neoprávnený zásah do softvéru pre internetový predaj, zmenu alebo výber peňazí alebo na poskytovanie platených výkonov, služieb, informácií či iných plnení.
- Napr. manipulované internetové lotérie.
- Podvodné stávkové kancelárie na internete.
- Softvérové ovplyvňovanie losovania.
- Zavádzajúce a skresľujúce informácie k ponúkaným službám s charakterom úžery v elektronických médiách a na www stránkach.
- Napr. proaktívne šírenie alebo nasadenie malvéru, ktorý zničí, poškodí alebo urobí neupotrebiteľnou cudziu vec (počítač, program, údaje).
- Hacknutie počítača, ktoré má za následok znefunkčnenie počítača alebo jeho softvéru.
- Narušenie funkcionality počítačovej alebo telekomunikačnej siete DDoS útokom.
- Stiahnutie neautorizovaného softvéru na pracovnom počítači a softvér obsahuje malvér, ktorý poškodí údaje na počítači.
- Napr. neoprávnený prístup do počítača a jeho pevný disk (hackerský útok).
- Zneužitie cudzieho počítača a jeho údajov(napr. nechráneného heslom).
- Cracknutie chráneného programu na nosiči s ochranou.
- Publikovanie spôsobu prelomenia ochrany softvéru.
- Využitie nástroja na prelomenie ochrany softvéru.
- Proaktívne šírenie a nasadzovanie malwaru narúšajúceho údaje a programy.
- Zneužitie informácií na nájdenom USB.
- Vytváranie, publikovanie a podhodenie neautentických dát.
- Neoprávnené sledovanie neverejného prenosu dát.
- Napr. poškodzovanie dobrej povesti súťažiteľa v kybernetickom priestore (šírenie fám, falošných informácií, ohováranie, účelové blogy, cieľovo zasielaný spam, ...).
- Konanie, ktoré je v rozpore so zákonom upravujúcim ochranu hospodárskej súťaže (napr. on-line koordinácia časti súťažiteľov počas jednotlivých fáz súťaže, skryté dohody komunikované cez maily, chaty, video-chaty, SMS).
- Nelegálne získanie súťažných podkladov v elektronickej podobe, dokumentácie priebehu súťaže a aukcie.
- Napr. ponúkanie neoprávnených internetových služieb (najmä v oblasti predaja, sprostredkovania, nepoctivých hier).
- Využívanie internetu na propagáciu svojho neoprávneného podnikania.
- Ponuky na internete na neoprávnené zamestnanie sa.
- Internetové aktivity sprostredkovateľov zamestnancov pre neoprávnené zamestnávanie.
- Nelegálna práca na diaľku v kybernetickom priestore (tele-working), ktorá je ťažko odhaliteľná.
- Úmyselné zadanie nepravdivých alebo hrubo skresľujúcich údajov do IS účtovníctva.
- Neúmyselná chyba pri zadávaní údajov do IS.
- Neautorizované zmeny v účtovných dátach autorizovanou osobou (napr. účtovníkom).
- Neautorizované zmeny v účtovných dátach neautorizovanou osobou (napr. iným zamestnancom).
- Strata údajov, ktoré sú predmetom hospodárskej a obchodnej evidencie (napr. dôjde k poruche počítača a údaje nie sú zálohované).
- Úmyselné zničenie údajov, ktoré sú predmetom hospodárskej a obchodnej evidencie (napr. pri zahladzovaní stôp).
- Hacknutie údajov, ktoré sú predmetom hospodárskej a obchodnej evidencie.
- Zásah do technického alebo programového vybavenia počítača spracovávajúceho predmetné údaje.
Narušenie predmetných IS alebo centrálnych databáz v rozsahu, ktorý spôsobí škodu veľkého rozsahu, obzvlášť závažnú poruchu v chode hospodárstva Slovenskej republiky alebo iný obzvlášť závažný následok.
- Sledovaním komunikácie
- Kopírovaním údajov z databázy
- Kopírovaním alebo sledovaním vyplnených formulárov
- Získaním média s údajmi (USB pamäť)
- Získaním identity alebo oprávnení osoby pristupujúcej k údajom (hacking)
- Vydanie alebo vyzradenie tajomstva nepovolanej osobe.
- Ohrozenie tajomstva chybou softvéru.
- Ohrozenie tajomstva chybou, činnosťou používateľov (omylom zaslaný mail, zabudnuté USB s tajomstvom, voľne prístupný počítač).
- Využitie kybernetického priestoru a jeho prostriedkov na neoprávnené použitie informácie dosiaľ verejne neprístupnej, ktorú získala osoba vo svojom zamestnaní, povolaní, postavení alebo vo svojej funkcii a ktorej zverejnenie podstatne ovplyvňuje rozhodovanie v obchodnom styku, a uskutoční alebo dá podnet na uskutočnenie zmluvy alebo operácie na organizovanom trhu cenných papierov alebo tovaru.
- Napr. insider trading.
- Predávanie takto získaných elektronických informácií za úplatu.
- Poskytnutie takýchto elektronických informácií za úplatok alebo výhodu.
- Využitie kybernetického prostredia na nekalé obchodné praktiky (www stránky, mail / spam s ponukami, SMS), napr.
- Klamlivé informácie
- Zavádzanie
- Podvádzanie
- Uvedenie do omylu, ...
Využitie modernej tlačovej techniky na falšovanie peňazí alebo cenných papierov.
- Využitie modernej DTP a tlačovej techniky v návrhu a tlači falošných kolkových známok, poštových cenín a nálepiek.
- Využitie internetu k podpore distribúcie falošných kolkových známok, poštových cenín a nálepiek.
Využitie softvéru a modernej tlačovej techniky v návrhu a tlači falošných označení tovaru.
- Napr. používanie nelegálneho internetového obsahu ( hudba, video, literatúra, ...)
- Distribúcia nelegálneho internetového obsahu ( hudba, video, literatúra, ...)
- Napr. používanie nelegálneho softvéru.
- Distribúcia nelegálneho softvéru.
- Používanie softvéru nad rámec licencie.
- Porušenie autorských práv zásahom do softvéru alebo internetového obsahu.
- Crack a hack softvéru.
- Napr. ponúkané služby na internete umožňujúce nedovolené obchodovanie so zbraňami.
- Diskusné fóra, návody a informačné príspevky podporujúce nedovolené ozbrojovanie a obchodovanie so zbraňami (ako na to, právne slabiny, ako realizovať nelegálnu úpravu legálnej zbrane, ...)
- Návod, ako si vytlačiť zbraň na 3D tlačiarni.
- Možnosť vytlačiť si skoro všetky časti zbrane na 3D tlačiarni.
- Nábor nových členov na Internete.
- Plánovanie aktivít skupiny na sociálnych sieťach.
- Koordinácia aktivít využitím smartfónov, tabletov, sociálnych sietí.
- Informačná podpora zločineckej skupiny – napr. poskytovaním informácií z vnútra organizácie, ktorá je predmetom záujmu skupiny.
- Využívanie sociálnych sietí na propagáciu aktivít a plánovanie akcií.
- Koordinácia aktivít využitím smartfónov, tabletov, sociálnych sietí.
- V spojení s cudzou mocou spáchanie v kybernetickom priestore alebo využitím prostriedkov kybernetického priestoru trestného činu úkladov proti Slovenskej republike, teroru, záškodníctva alebo sabotáže, napr.
- Vážnym narušením dôvernosti alebo integrity dôležitej databázy orgánu verejnej moci.
- Narušením chodu systému kritickej informačnej infraštruktúry.
- Vyvolaním paniky a runu na banky.
- Napr. vydanie skupiny osôb do nebezpečenstva smrti, ťažkej ujmy na zdraví alebo cudzieho majetku do nebezpečenstva škody veľkého rozsahu tým, že útočník naruší elektroniku riadiaceho alebo výrobného systému.
- Vydanie cudzieho majetku do nebezpečenstva škody veľkého rozsahu narušením informačného alebo riadiacieho systému kritickej infraštruktúry.
- Narušenie kybernetickej časti systému kritickej infraštruktúry.
- Narušenie kybernetickej časti systému obrany a ochrany.
- Narušenie systému ochrany utajovaných skutočností.
- Narušenie IS daného orgánu alebo inštitúcie.
- Narušenie riadiaceho alebo výrobného systému organizácie.
Vyzvedanie skutočnosti utajovanej na ochranu záujmov Slovenskej republiky alebo na ochranu záujmov iného štátu, medzinárodnej organizácie, nadnárodnej organizácie alebo združenia štátov, na ochranu záujmov ktorých sa Slovenská republika zaviazala, označenú podľa zákona stupňom utajenia Prísne tajné alebo Tajné, s cieľom vyzradiť ju cudzej moci alebo cudziemu činiteľovi v kybernetickom priestore alebo prostriedkami kybernetického priestoru,napr.
- Hackerský prienik do systému s utajovanou skutočnosťou.
- Vyzvedanie správcom alebo používateľom daného systému.
- Monitorovanie prenosu údajov obsahujúcich utajované skutočnosti
- Kompromitácia šifrovacích kľúčov a následné vyzvedanie.
Zber údajov obsahujúcich takú utajovanú skutočnosť.
- Zneužitie pamäťového média s utajovanou skutočnosťou.
- Zber údajom správcom alebo používateľom systému.
Z nedbanlivosti spôsobené vyzradenie utajovanej skutočnosti
- Nedodržiavanie bezpečnostných
opatrení IS s US.
- Zdieľanie autentizačných prostriedkov.
- Umožnenie inej osobe prístupu k počítaču.
- Chybné nastavenie prístupových práv používateľom.
- Prepojenie T prostredia s Internetom.
- Obídenie kryptografických mechanizmov kvôli zjednodušeniu práce.
Spôsobenie straty veci obsahujúcej utajovanú
skutočnosť
- USB
- CD alebo DVD
- Notebook
- Tablet
- Smartfón
Druhá časť, ôsma hlava Trestného zákona
- Vyhrážanie sa usmrtením, ublížením na zdraví
alebo spôsobením škody v úmysle pôsobiť na výkon právomoci orgánu verejnej
moci, alebo pre výkon právomoci orgánu verejnej moci využitím mailu, SMS,
chatu, vyjadrením na sociálnej sieti.
- Možný útok prostredníctvom dronu, neskôr hacknutím vecí dlhodobej spotreby v čase IoT.
Verejný činiteľ v úmysle spôsobiť inému škodu alebo zadovážiť sebe alebo inému neoprávnený prospech vykonáva svoju právomoc spôsobom odporujúcim zákonu v kybernetickom priestore alebo prostriedkami kybernetického priestoru, napr.:
- Napr. manipuluje elektronickú aukciu.
- Zasiela elektronické podklady v procese obstarania neautorizovaným osobám.
- Poskytuje informácie zvýhodňujúce jednu stranu elektromickými prostriedkami (mail, chat, SMS).
- Zasiahne do IS verejnej správy neautorizovaným spôsobom.
Verejný činiteľ, ktorý pri výkone svojej právomoci z nedbanlivosti zmarí alebo podstatne sťaží splnenie dôležitej úlohy, napr.
- Nemá uložené potrebné údaje pre dokladovanie realizovaných činností (napr. zápisníc z rokovaní, rozhodnutia, vedenie podateľne, vedenie príručnej registratúry).
- Nezálohoval potrebné údaje a došlo k ich strate.
Verejný činiteľ, ktorý z nedbanlivosti nesplní povinnosť vyplývajúcu z jeho právomoci pri správe majetku štátu, majetku obce, majetku vyššieho územného celku alebo majetku verejnoprávnej inštitúcie, hoci vedel, že tým môže porušiť alebo ohroziť záujem chránený týmto zákonom, ale bez primeraných dôvodov sa spoliehal, že také porušenie alebo ohrozenie nespôsobí, napr.
- Nezabezpečí zo zákona alebo štandardov vyplývajúcu bezpečnosť IS verejnej správy.
- Spôsobí stratu dôležitých údajov (napr. vymazanie nezálohovaných údajov).
- Umožní neautorizovaným osobám prístup k IS.
- Prijatie úplatku v súvislosti s obstaraním IKT alebo jej údržby a technickej podpory.
- Prijatie úplatku vo forme IKT: notebook, tablet, smartfón, softvér.
- Využitie elektronickej komunikácie na manažment prijímania úplatkov.
- Využitie anonymných elektronických peňazí na prijatie úplatku.
- Verejné podnecovanie na trestný čin využitím kybernetického priestoru (najmä na sociálnych sieťach, v diskusiách pod internetovými príspevkami, ale aj mailom či blogom) – napr. voči iným rasám, migrantom, LGBT, sociálne neprispôsobivým a pod. Je uľahčené pocitom anonymity prispievateľov na Internete.
- Verejná výzva na hromadné neplnenie dôležitej povinnosti využitím kybernetickoého priestoru, napr. prostrednícvom blogu, spamu, hoaxu, alebo SMS.
- Výzva na závažné porušovanie verejného
poriadku využitím kybernetického priestoru, napr. pri organizácii akcie
extrémistického zoskupenia prostrednícvom
SMS, mailu, chatu, blogu, spamu.
Schvaľovanie trestného činu alebo verejne vychvaľovanie pre trestný čin jeho páchateľa prostredníctvom kybernetického priestoru (napr. v internetových diskusiách, na sociálnych sieťach, v blogu, na www stránke). Je uľahčené pocitom anonymity prispievateľov na Internete.
- V kybernetickom priestore sa týka najmä
falšovania, pozmenenia alebo marenia dôkazu v elektronickej podobe.
- Túto
aktivitu je možné vykonať aj na diaľku a zmarenie dôkazu sa odohrá veľmi
rýchlo.
- Na diaľku je možné aj falšovať alebo pozmeniť odkaz v elektronickej podobe. Bez auditovacích súborov je táto činnosť ťažko dokázateľná.
- Problémom je, ak sa takéto obvinenie objaví aj v elektronických médiách, preukáže sa, že krivé, ale iná osoba ho verejne citovala alebo rozširovala.
- Túto činnosť možno učiniť aj na diaľku.
V kybernetickom priestore je možné podporiť prevádzačstvo rôznymi spôsobmi, napr. :
- Operatívne zdieľanie informácií prevádzačmi (SMS, telefónovanie, chat, mail).
- Marketing prevádzačov v kybernetickom priestore – Internet, SMS, médiá (rozšírené v prípade terajšej masovej imigrácie).
- Skúsenosti a praktické rady osobám so záujmom o túto aktivity dostupné na internete (napr. právne rady, organizačné aspekty).
- Nepriame PR prevádzačstva médiami a sociálnymi sieťami (napr. publikované cenníky za jednotlivé služby, informácie o nízkom počte odsúdených za prevádzačstvo, bezpečné trasy)
Stimuly pre prevádzačstvo politickými vyjadreniami prezentovanými v médiách, šírenými v kybernetickom priestore (napr. berieme všetkých – aj tých, ktorí k sa nám nelegálne dostanú).
Druhá časť, Deviata hlava Trestného zákona
- Napr. využitie kybernetického priestoru (www stránky, blogy, vlogy, sociálne siete, SMS, maily a pod.) na vyhrážanie sa smrťou, ťažkou ujmou na zdraví alebo inou ťažkou ujmou skupine obyvateľov.
- Využitie prostriedkov kybernetického priestoru na prípravu alebo realizáciu spôsobenia škody veľkého rozsahu alebo násilia proti skupine obyvateľov.
- Napr. vyhrážanie sa smrťou, ťažkou ujmou na zdraví alebo inou ťažkou ujmou takým spôsobom, že to môže vzbudiť dôvodnú obavu, realizované na diaľku zasielaním SMS, mailov, videí, zvukových nahrávok.
- Vyhrážanie sa v chate / sociálnych sieťach.
- Napr. šírenie hoaxu (ľuďmi šírená vymyslená správa najmä mailom).
- Poplašné správy v internetových diskusiách.
- Poplašné správy v blogoch a príspevkoch.
- Poplašné správy zasielané hromadnými SMS.
- Napr. sociálne siete sú vhodné médium na rýchle zorganizovanie výtržníckej akcie.
- Výtržníci si vedia robiť PR zverejňovaním videí na sociálnych sieťach.
Internetové prostredie je využívané na nábor, zjednávanie alebo ponúkanie prostitúcie prostredníctvom špecializovaných sociálnych sietí a www stránok, ako aj zasielaním spamu.
Kybernetický priestor umožnil rozvoj detskej pornografie do nebývalých rozmerov.
- Napr. využívanie Internetu pre vznik a organizáciu pedofilných skupín podporujúcich alebo realizujúcich výrobu detskej pornografie.
- Nadväzovanie kontaktu s nezletilými na sociálnych sieťach za účelom výroby detskej pornografie.
- Nahrávanie video-chatu s nezletilými s pornografickým obsahom (po prechádzajúcej manipulácii alebo vydieraní).
- Využitie lacných a malých videokamier na natáčania nezletilýchv masovejšom rozsahu.
- Ľahká úprava nahratého materiálu editačnými video editormi.
- Ľahká produkcia DVD s detskou pornografiou.
- Vznikla aj nová oblasť: zobrazovanie realistických virtuálnych postáv pripomínaujúcich deti s pornografickým obsahom alebo počítačové hry s touto tématikou.
Napr. prechovávanie detskej pornografie na pevnom disku, DVD, USB pamätiach a pod.
- Doma
- V práci (kompromitácia zamestnávateľa)
Úmysel získať prístup k detskej pornografii prostredníctvom elektronickej služby (stačí úmysel, nemusí byť prístup!).
- Napr. ponúkanie pornografie deťom využitím Internetu (mail, videochat, www stránky).
- Využitie kybernetického priestoru na výrobu, predaj, uvádzanie do obehu, rozširovanie alebo zverejňovanie pornografie, distribúcie nosičov zvuku alebo obrazu, zobrazení ohrozujúcich mravnosť, v ktorých sa prejavuje neúcta k človeku a násilie alebo ktoré zobrazujú sexuálny styk so zvieraťom alebo iné sexuálne patologické praktiky.
- Obsah niektorých počítačových hier pre dospelých ohrozujúci mravnosť.
Využitie kybernetického priestoru (mail, SMS, vyjadrenie v elektronických médiách, na sociálnych sieťach, v chate) na oznámenie nepravdivého údaju o osobe, ktorý je spôsobilý značnou mierou ohroziť jej vážnosť u spoluobčanov, poškodiť ju v zamestnaní, v podnikaní, narušiť jej rodinné vzťahy alebo spôsobiť jej inú vážnu ujmu.
Využitie kybernetického priestoru (internet, telekomunikačné prostredie) na neoprávnené poskytnutie, sprístupnenie alebo zverejnenie osobných údajov o inom zhromaždené v súvislosti s výkonom verejnej moci alebo v súvislosti s výkonom svojho povolania, zamestnania alebo funkcie (napr. predaj údajov marketingovým firmám).
- Napr. využitie kybernetického priestoru (internet, telekomunikácie) na spôsobenie vážnej ujmy na právach osobe tým, že ju uvedie niekoho do omylu alebo využije jej omyl.
- Vydávanie sa za verejného činiteľa pri uvádzaní osoby do omylu (spam, SMS, keď je osobu ťažké overiť).
- Neoprávnene porušenie tajomstva zvukového záznamu, obrazového záznamu alebo iného záznamu, počítačových dát alebo iného elektronického dokumentu uchovávaného v súkromí iného tým, že ich niekto zverejní alebo sprístupní tretej osobe (napr. na sociálnej sieti) alebo iným spôsobom použije a inému tým spôsobí vážnu ujmu na právach (napr. hacker, alebo účastník zaznamenanej aktivity).
Porušenie dôvernosti neverejne prednesených slov alebo iného prejavu osobnej povahy neoprávneným zachytením záznamovým zariadením a takto zhotovený záznam sprístupnený tretej osobe (napr. na sociálnej sieti, v maili, na www stránke) alebo iným spôsobom použitý (zaslaný do elektronických médií) s tým, že a inému spôsobí vážnu ujmu na právach.
- Zverejňovanie videí z týrania zvierat na sociálnych sieťach.
- Pozitívne reakcie na takého videá na sociálnych sieťach.
- Napr. podnecovaním k vojne na internete (blogy, príspevky, vyjadrenia v diskusiách, príspevky na sociálnych sieťach).
- Propagácia vojny alebo podpora vojnovej propagandy (šírenie príspevkov, zasielanie mailov, vytvorenie www stránok, ...).
- Napr. tvorbou internetového obsahu s úmyslom vážne zastrašiť obyvateľstvo, hrozí spáchaním zločinu ohrozujúceho život, zdravie ľudí, ich osobnú slobodu alebo majetok (obľubená aktivita islamistov).
- Využitím internetu (www stránky, fóra, sociálnej siete) osoba zhromažďuje alebo poskytuje finančné alebo iné prostriedky na účely ich použitia alebo umožnenia ich použitia na spáchanie činu terorizmu.
- V internetovom prostredí osoba poskytuje znalosti metód alebo techník na výrobu alebo použitie výbušnín, jadrových, biologických alebo chemických zbraní alebo iných podobne škodlivých alebo nebezpečných látok na účely spáchania činu terorizmu,
- V internetovom prostredí osoba verejne podnecuje na spáchanie trestného činu terorizmu (video, blog, príspevok v diskusiách, na sociálnych sieťach, zasielaním mailu alebo SMS).
- Prostredníctvom sociálnych sietí, chatu, video-chatu, SMS, mailu osoba požiada iného, aby spáchal alebo mal účasť na spáchaní činu terorizmu.
- Napr. v kybernetickom priestore realizovaná propagácia skupín osôb alebo hnutia, ktoré násilím, hrozbou násilia alebo hrozbou inej ťažkej ujmy smeruje k potlačeniu základných práv a slobôd osôb (cez www stránky, blogy, články, vyjadrenia v internetových diskusiách, zasielanie mailu alebo SMS).
- V kybernetickom priestore realizovaná podpora skupín osôb alebo hnutia, ktoré násilím, hrozbou násilia alebo hrozbou inej ťažkej ujmy smeruje k potlačeniu základných práv a slobôd osôb - nábor nových členov, získavanie prívržencov, ekonomická a právn podpora (cez www stránky, blogy, články, vyjadrenia v internetových diskusiách, zasielanie mailu alebo SMS ).
Napr. výroba extrémistických materiálov využitím IKT (HW, SW, tlač, nahrávanie na pamäťové médiá) vo forme textov, obrázkov, animácií, hudby, videí, ...
Napr. využitie IKT na rozmnožovanie, prepravu, zadovažovanie, sprístupňovanie, uvádzanie do obehu, ponúkanie, predaj, zasielanie alebo rozširovanie extrémistických materiálov (kopírky, napaľovačky CD, DVD, ponuka a rozširovanie cez www stránky, maily, SMS, internetová zásielková služba).
- Napr. na serveri, počítači, v tablete a mobile (domácom, pracovnom).
- Na pamäťových médiách (CD, DVD, USB).
Využitie kybernetického priestoru (www stránky, blogy, vlogy, sociálne siete, SMS, maily a pod.) na aktivitu, ktorá verejne popiera, spochybňuje, schvaľuje alebo sa snaží ospravedlniť holokaust, zločiny režimu založeného na fašistickej ideológii, zločiny režimu založeného na komunistickej ideológii alebo zločiny iného podobného hnutia, ktoré násilím, hrozbou násilia alebo hrozbou inej ťažkej ujmy smeruje k potlačeniu základných práv a slobôd osôb.
Využitie kybernetického priestoru (www stránky, blogy, vlogy, sociálne siete, SMS, maily a pod.) na verejné hanobenie národa, jeho jazyka, niektorej rasy alebo etnickú skupiny; jednotlivca alebo skupiny osôb pre ich príslušnosť k niektorej rase, národu, národnosti, farbe pleti, etnickej skupine, pôvodu rodu, pre ich náboženské vyznanie alebo preto, že sú bez vyznania.
- Využitie kybernetického priestoru (www stránky, blogy, vlogy, sociálne siete, SMS, maily a pod.) na verejné podnecovanie k násiliu alebo nenávisti voči skupine osôb alebo jednotlivcovi pre ich príslušnosť k niektorej rase, národu, národnosti, farbe pleti, etnickej skupine, pôvodu rodu alebo pre ich náboženské vyznanie
- Využitie kybernetického priestoru (www stránky, blogy, vlogy, sociálne siete, SMS, maily a pod.) na hanobenie horeuvedených skupín.
- Využitie kybernetického priestoru (www stránky, blogy, vlogy, sociálne siete, SMS, maily a pod.) na verejné ospravedlňovanie činov považovaných za genocídium, zločin proti ľudskosti alebo vojnový zločin.
- Hudba
- Video
- Fotografia
- Literatúra
- Odborné texty
- Databázy
- Cracknuté programy
- Ďalšie autorské diela
Extrémistické materiály
Materiály podporujúce:
- popieranie a schvaľovanie holokaustu a zločinov politických režimov
- hanobenie národa, rasy a presvedčenia
- podnecovanie k národnostnej, rasovej a etnickej nenávisti
- podnecovanie, hanobenie a vyhrážanie osobám pre ich príslušnosť k niektorej rase, národu, národnosti, farbe pleti, etnickej skupine alebo pôvodu rodu
- rasového, etnického alebo národnostného pôvodu
- vierovyznania
- veku
- rodu / pohlavia / sexuálnej orientácie
- štátnej príslušnosti
- jazyka
- sociálneho postavenia
- zdravotného postihnutia
- fyzického atribútu (napr. blondína)
- vzdelania
- schopností
- daností
- publikovaného informačného obsahu (elektronické články, blogy, vlogy)
- vyjadrení v diskusiách pod publikovanými článkami
- príspevkov na sociálnych sieťach
- zasielaného mailu alebo jeho príloh
- zasielanej SMS alebo MMS
- zvukovej alebo videonahrávky
- iné formy
Prezentované násilie
- Obrázky
- Videoklipy
- Filmy
- Počítačové hry pre dospelých
Pornografia
- Soft porno
- Hard core porno
Obsah manipulujúci so svetonázorom a hodnotovým systémom
- Extrémisti
- Šarlatáni
- Sekty
- Politická manipulácia
Extrémne
- Extrémistické hnutia a skupiny
- Ultra (pravicové, ľavicové) politické strany a hnutia
- Náboženskí fanatici a sekty (napr. islamisti)
- Teroristi
NGO skupiny
- Aktivisti
- Hacktivisti
- Silne vyhranené aktivistické skupiny
Mainstreamové
- Politické hnutia
- Politické strany
Záujmové skupiny a hnutia (napr. ekologické)
Lobistické skupiny
Náboženské skupiny
Iné štáty
Internetová propaganda
- Účelové články v spriatelených médiách (napr. vo forme vyhranených až extrémistických)
- Účelové blogy
- Účelový výber blogov a odkazov
- Manipulácia v prezentovanom obsahu (účelové tvrdenia, polopravdy, fámy, konšpirácia, klamstvo)
- Moderovanie diskusií pod článkami v prospech danej skupiny ...
Proaktívny nábor stúpencov
- Špecializované www stránky
- Internetové eventy
- Blogy
- Zasielané maily a SMS
Soft usmerňovanie názorov
- Preferencia istej skupiny názorov a postojov v médiách
- Obmedzovanie niektorej skupiny názorov a postojov v médiách
Protiakcie iných skupín alebo proti iným skupinám
- Trolling
- Flameware
Využitie internetu na:
- kompromitáciu osôb druhej strany
- zosmiešnenie
- zneváženie
- spochybnenie dôveryhodnosti
- Narušenie dostupnosti virtuálneho objektu (napr. v dôsledku nedostupnosti aplikácie)
- Narušenie integrity virtuálneho objektu
- Narušenie dôvernosti virtuálneho objektu
- Vymazanie objektu
- Ukradnutie objektu
- Zneužitie identity majiteľa objektu
- Spáchanie priestupku / trestného činu kybernetickým útokom voči virtuálnym objektom
- Spáchanie priestupku / trestného činu využitím virtuálnych objektov kybernetického priestoru
Správa kybernetického priestoru potrebuje legislatívny a normatívny rámec, organizačné a personálne zabezpečenie. Osobitnú oblasť správy predstavuje oblasť ochrany kybernetického priestoru a kybernetickej bezpečnosti.
- Chýbajúci zákon o kybernetickej bezpečnosti
- Chýbajúce vykonávacie predpisy, najmä štandardy a postupy
- Kompetencie ústredných orgánov štátnej správy
- Kompetencie orgánov činných v trestnom konaní
- Postihovanie trestnej činnosti
- Povinnosti orgánov verejnej moci
- Povinnosti prevádzkovateľov kritickej infraštruktúry
- Nové formy trestnej činnosti.
- Posúdenie niektorých foriem si vyžaduje hlboké technologické znalosti.
- Orgán verejnej moci zodpovedný za
kybernetickú bezpečnosť má nepostačujúce organizačné zabezpečenie.
- Nepostačujúce kompetencie pre vecne príslušné autority v oblasti kybernetickej bezpečnosti.
- Chýbajúce orgány verejnej moci zodpovedné za výkon ochrany kybernetickej bezpečnosti (len CSIRT pri Datacentre MF).
- Nepostačujúce personálne vybavenie (málo osôb)
- Nepostačujúca odbornosť personálu
- Nepostačujúca úroveň preverenia personálu
- Nepostačujúce technické vybavenie personálu
- Zamestnanci vykonávajúci neautorizované činnosti (špionáž, sabotáž, kompromitácia údajov)
- Pomalé eskalačné procedúry voči rýchlosti kybernetického útoku.
- Nepostačujúca súčinnosť orgánov verejnej moci pri obrane proti kybernetickému útoku.
- Nepostačujúca rýchlosť a technické vybavenie pri zaisťovaní digitálnych stôp a dôkazov.
- Komplikované vyšetrovanie a dokazovanie.- Zneužitie identity správcu inou osobou
- Poškodenie identifikačného alebo autentizačného tokenu
- Strata identifikačného alebo autentizačného tokenu
- Ukradnutie identifikačného alebo autentizačného tokenu
- Chybné pridelenie prístupových práv používateľom
- Omylom nainštalovaná stará verzia systému
- Nevedomé vymazanie dôležitého súboru
- Nevedomá zmena konfiguračného súboru
- Chybná konfigurácia systému
- Chybná reakcia na kybernetický útok
- Zabudnutie zmeny prednastaveného hesla alebo konfigurácie
- Zabudnutie informovať používateľov o zmene v systéme ...
Nátlak alebo hrubý nátlak na vykonanie neautorizovanej činnosti
- Zo strany nadriadených
- Zo strany kolegov
- Zo strany rodinných príslušníkov
- Zo strany cudzej osoby (zločinca)
Ohováranie (napr. na sociálnych sieťach, v odbornej verejnosti)
Vyhrážanie sa správcovi, rodinným príslušníkom
Vydieranie (napr. kompromitujúcimi fotografiami)
Kompromitácia (napr. detskou pornografiou)
Krivé obvinenie (napr. anonymami)
- Pracovné preťaženie
- Stres
- Psychické problémy
- Holdovanie hazardným hrám
- Drogová závislosť
- Internetové závislosti
- Nejasné kompetencie
- Kumulácia role správcu aj bezpečnostného správcu
- Zdieľanie hesla alebo autentizačného tokenu
- Ľahko uhádnuteľné heslo
- Nedostatočné vedomosti
- Bezpečnostné riziká osoby ...
- Osobné údaje osoby súvisiace s identitou
- Heslo
- Čipová karta a PIN kód
- eID
- Ďalšie elektronické preukazy
- Biometrické údaje
- Podvod
- Okradnutie osoby
- Kompromitácia osoby
- Napr. vytvorenie facebookej stránky pod jej menom
- Extrémistické príspevky v diskusiách pod nickom danej osoby
- Vytvorenie falošných dokladov na meno osoby a ich aplikáciou spôsobená škoda osobe
- Konanie v mene danej osoby
- Na prevod nehnuteľností
- Na akceptáciu podmienok zmluvy
-Na podpis zmluvy
- Na súhlas s platbou
- Osoba, ktorá je oprávnená s údajmi pracovať
- Iná osoba s možným prístupom k údajom (spolupracovník, správca IT)
- Blízka osoba (príbuzný, známy)
- Náhodná osoba
- Hacker / kriminálna skupina
- Osobné identifikačné údaje
- Biometrické údaje
- Zdravotné záznamy
- Intímne záznamy (foto, video, SMS a pod.)
- Súkromná sociálna interakcia s inými osobami (chat, domáce video, foto, SMS, komentáre)
- Myšlienky, úvahy a plány
- Rozpracované autorské diela
- Pracovné údaje
-Tajomstvá, ktoré súvisia s danou osobou (napr. k akým utajovaným skutočnostiam má osoba prístup)
- Osobné údaje súvisiace s pracovnou činnosťou (napr. platové náležitosti).
- Digitálne stopy v kybernetickom priestore.
- Smartfón
- USB pamäť
- Digitálny fotoaparát
- Tablet
- Pevný disk počítača
- Pri prenose sieťou
- Sociálna sieť
- Záznam z domácej videokamery
- Video natočené dronom
- Odpočúvanie
-Informácie z inteligentných zariadení domácnosti
Motívy orgánov verejnej moci
- Boj proti terorizmu
- Boj proti extrémizmu
- Boj proti praniu špinavých peňazí
- Boj proti detskej pornografii
- Boj za ochranu autorských práv
Motívy komerčného sektora
- Efektívnejší marketing
- Predikcia potrieb používateľa
- Modelovanie správania sa používateľov
- Identifikácia vhodného okamihu pre ponuku
Motívy médií
- Získavania zaujímavých informácií o celebritách
- Získavanie informácií o činnostiach politikov a významných podnikateľov
- Prihlásenie sa (do siete, aplikácie)
- Elektronické platby
- Navštívené www stránky
- Vyjadrenia na sociálnych sieťach
- Blogy, články
- Pamäťové médiá so súbormi (pevný disk, USB, pamäťová karta)
- Operačná pamäť a displej počítača, tabletu, smartfónu
- Sociálne kontakty a interakcia so sociálnym okolím
- Využívanie smartfónu (GPS, SMS, MMS, hovory)
- Údaje z monitoringu
- Monitoring sieťovej komunikácie (napr. plošne niektoré spravodajské služby)
- Lokálny monitoring wifi sietí
- Záznamy kamier na verejných priestranstvách, obchodoch, firmách, úradoch
- Lokalizačné dáta zo smartfónu
- Na diaľku zberané údaje z odberných miest koncových odberateľov (energia, plyn, teplo, voda)
- Údaje z inteligentnej elektroniky a vecí (Internet of Things)
- Domáce spotrebiče
- Fitness a wellness zariadenia a gadgety
- Spotrebná elektronika
- Hračky
- Telemedicínske zariadenia
- Videozáznamy z dronov
- Zneužitá domáca kamera a mikrofón v počítači, tablete, smarfóne alebo v inej digitálnej elektronike
- Pocit prítomnosti „Veľkého brata“
- Odmietanie niektorých internetových aktivít
- Automatická kategorizácia osôb na základe získaných stôp (napr. priradenie k extrémistickej skupine, podozrivým osobám)
- Automatické blokovanie aktivít osoby, ktoré nemusia byť nelegálnymi ativitami
- Autocenzúra (strach prezentovať otvorene svoje názory a postoje)
- Využívanie šifrovej ochrany
Časté prípady:
- Kybernetické šikanovanie
- Ohováranie na Internete
- Obeť podvodu v kybernetickom priestore
- S vlastným pričinením
- Bez vlastného pričinenia
- Okradnutie o peniaze na účte
- Napr. porušovanie autorských práv (sťahovanie hudby a videa)
- V rámci internetových diskusií a fór vyjadrenia a príspevky napĺňajúce podstatu priestupku trestného činu
- Zverejnenie nepravdivej informácie o inej osobe
Porušovanie autorských práv
- nelegálne sťahovanie hudby a videa
- distribúcia nelegálnej hudby a videa
- používanie nelegálneho softvéru
- distribúcia nelegálneho softvéru
- ďalšie formy
- Hacking
- V rámci internetových diskusií a fór vyjadrenia a príspevky napĺňajúce podstatu trestného činu
- Ďalšie priestupky a trestné činy uvedené v časti "Informačný obsah a aktivity v kybernetickom priestore súvisiace s trestnou činnosťou".
- Sociálna izolácia, apatičnosť k okoliu
- Preferencia virtuálnych kontaktov pred fyzickými
- Nedostatok času pre fyzické kontakty kvôli nadmernému času na Internete
- Povrchnosť vo vzťahoch (až stovky virtuálnych „priateľov“)
- Neschopnosť budovať fyzický, nielen virtuálny vzťah
- Klesajúca úroveň sociálnych zručností pri fyzickej interakcii s inými osobami
- Digitálna nevera
- Radikalizácia osoby (napr. islamisti)
- Vplyv extrémistických názorov
- Vplyv šarlatánstva
- Podporovaná viera v konšpirácie
- Vyvolaná nedôvera voči všetkým informáciám
- Pôsobenie reklamy
- Oslabenie pamäťových schopností
- Povrchnosť vnímania informácií
- Čiastočná strata komunikačných schopností a plynulej reči
- Zjednodušené vyjadrovanie a vetná skladba
- Nesústredenosť
- Narušenie rozlišovania medzi virtuálnym a reálnym svetom
- Sociálne siete
- Počítačové hry
- Používanie smartfónu
- Internetový gambling
- Sledovanie pornografie na Internete
- Nedostatok pohybu
- Dopady nevhodného sedenia
- Choroby chrbtice
- Syndróm karpálneho tunela
- Nepravidelná strava
- Nedodržiavanie pitného režimu
- Problémy so zrakom
- Zanedbanie osobnej hygieny
- Poruchy spánku
- Nedostatok spánku
- Časový posun spánku (pozde v noci spať, na obed vstať)
- Zvýšené riziko dopravných nehôd kvôli písaniu SMS a pod. za volantom
- Zabudnutie mobilu, tabletu, notebooku
- Nestabilita na burzách v dôsledku synergických javov vyvolaných masovou interakciou aplikácií pre automatizované rýchle nákupy a predaje akcií.
- Neoprávnené zablokovanie činnosti používateľa automatizovaným systémom (napr. pri prístupe k službám chybou aplikácie, IAM údajmi).
- Problémy dostať sa k technickej podpore pri automatizovaných hlasových systémoch výberu ponuky.
- Nerozvíjanie manuálnej zručnosti preferenciou internetových aktivít
- Závislosť na počítačových hrách
- Ľahko prístupný nevhodný obsah
- Skreslené vnímanie skutočnosti
- Závislosť na kybernetickom priestore (sociálne siete, smartfóny, hry)
- Kybernetické šikanovanie
- Ľahko prístupný nevhodný obsah
- Obete sexuálneho zneužívania na Internete
- Nadmerná závislosť na kybernetickom priestore (sociálne siete, hry, mobily, chat, iné aktivity)
- Informácie a vplyv drogovej scény
- Vplyv extrémistických ideológií
- Kybernetické šikanovanie
- Obete sexuálneho zneužívania na Internete
- Digitálne vylúčenie
- Nedostatočné IKT vedomosti a zručnosti
- Problém s rozpoznaním kybernetických hrozieb útokov
- Ľahko zneužiteľná skupina internetovými podvodníkmi, šmejdmi
- Zázračné lieky
- Zázračná liečba
- Super výhodné nákupy
- Ľahká obeť hackerov
- Digitálne vylúčenie
- Nízka odolnosť voči hoaxom, fámam
- Výpadky infraštruktúrnych služieb
- Narušené bankové služby (napr. vypadol bankový IS)
- Strata peňazí na účte (napr. hacker previedol peniaze, používateľ na termínovaný účet nepozerá)
- Meškanie vybavovanej agendy (nejde IS orgánu verejnej moci)
- Ohrozenie pracovnej pozície (firma stratila kvôli úniku obchodného tajomstva zákazku)
- Dopravná nehoda (napr. vodič oproti bol zaujatý smartfónom, auto bez vodiča zlyhalo)
- Poškodenie zdravia (napr. došlo k zámene liekov v automatickom dávkovači, vypadol monitoring na JIS)
- Narušenie aktív danej osoby (údaje, služby, hmotný a nehmotný majetok – neoprávnený prevod, zneužitie, ukradnutie, znehodnotenie)
- Konanie v mene danej osoby (napr. vyjadrenia v diskusiách, zasielanie žiadostí, údajov, vyslovenie súhlasu, ...)
- Vytvorené falošné doklady na danú osobu a ich využitie v prospech inej osoby
- Vytvorenie stránky na sociálnej sieti pod cudzou identitou
- Osobou, ktorá je oprávnená s údajmi pracovať
- Inou osobou s možným prístupom k údajom
- Firmou, ktorá zhromažďuje údaje o spotrebiteľoch
- Hackerom alebo zločineckou skupinou
- Cudzími spravodajskými službami
- Strata údajov
- Napr. o odpracovaných rokoch
- Narušenie integrity údajov
- Neaktuálne údaje
- Nesprávne zaradenie v databázach verejnej správy (napr. chybou alebo zámenou s inou osobou)
- Napr. osoba je zaradená ako člen extrémistickej skupiny a je zastavená na hraniciach.
- Ohovárania na sociálnych sieťach
- Krivého obvinenia
- Podvodu pri manipulácii s databázami verejnej správy (napr. katastrom)
- Záznamy kamier na verejných priestranstvách
- Záznamy kamier v automobiloch
- Záznamy zo smartfónu o polohe osoby
Znevýhodnenie voči osobám využívajúcim služby a možnosti kybernetického priestoru
- Pracovné (menšia šanca sa zamestnať)
- Sociálne (menej sociálnych kontaktov)
- Informačné (obmedzený prístup k dôležitým informáciám)
Neprístupnosť kybernetického priestoru
- Osoby nemajú technické vybavenie
- Osoby nemajú peniaze na mesačné platby za pripojenie
Neznalosť práce s aplikáciami
č. 92/242/EHS z 31. marca 1992 o
bezpečnosti informačných systémov,
č. 2011/292/EÚ z 31. marca 2011 o bezpečnostných predpisoch na ochranu utajovaných skutočností EÚ,
Stratégia kybernetickej bezpečnosti Európskej únie (Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace), 2013
Návrh smernice Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii (Proposal for a Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union)
Oznámenie Komisie z 28. marca 2012 o zriadení Európskeho centra boja proti kybernetickej kriminalite (EC3), COM(2012)140
- Zákon č. 460/1992 Zb. (Ústava Slovenskej republiky)
- Listina základných práv a slobôd
- Ústavný zákon č. 227/2002 Z. z. (o bezpečnosti štátu v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu)
- Zákon č. 387/2002 Z. z. (o riadení štátu v krízových situáciách mimo času vojny a vojnového stavu)
- Zákon č. 110/2004 Z. z. (o fungovaní Bezpečnostnej rady Slovenskej republiky v čase mieru)
- Zákon č. 319/2002 Z. z. (o obrane Slovenskej republiky)
- Zákon č. 42/1994 Z.z. (o civilnej ochrane obyvateľstva)
-Zákon č. 45/2011 Z. z. (o kritickej infraštruktúre)
- Zákon č. 251/2012 Z. z. (o energetike a o zmene a doplnení niektorých zákonov)
- Zákon č. 261/2002 Z. z. (o prevencii závažných priemyselných havárií a o zmene a doplnení niektorých zákonov)
- Zákon č. 143/1998 Z. z. (o civilnom letectve (letecký zákon) a o zmene a doplnení niektorých zákonov)
- Zákon č. 483/2001 Z. z. (o bankách a o zmene a doplnení niektorých zákonov)
- Zákon č. 250/2007 Z. z. (o ochrane spotrebiteľa)
- Zákon č. 215/2004 Z. z. (o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov)
- Zákon č. 122/2013 Z.z. (o ochrane osobných údajov a o zmene a doplnení niektorých zákonov)
- Zákon 211/2000 Z.z. (o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov)
- Zákon č. 351/2011 Z. z. (o elektronických komunikáciách)
- Zákon č. 308/2000 Z. z. (o vysielaní a retransmisii a o zmene zákona č. 195/2000 Z.z. o telekomunikáciách)
- Zákon 305/2013 Z.z. (o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov)
- Zákon 275/2006 Z.z. (o informačných systémoch verejnej správy a o zmene a doplnení niektorých zákonov)
- Zákon č. 395/2002 Z. z. (o archívoch a registratúrach a o doplnení niektorých zákonov)
- Zákon č. 300/2005 (Trestný zákon)
Ústava Slovenskej republiky vymedzuje okrem iného základné
práva a slobody pre fyzické a právnické osoby. Presadzovanie týchto
práv a slobôd, aj ich ochrana je rozpracovaná v následných právnych
predpisoch.
Fyzická aj právnická osoba očakáva, že vznikom nových skutočností
budú aj zákony a podzákonné normy adekvátne reagovať na nové možné hrozby
pre základné práva a slobody.
Kybernetický priestor - sociálne siete, Internet vecí, ale aj digitalizácia riadiacich a výrobných systémov a ich prepojenie vytvára nové skutočnosti, ktorých dopad je tak závažný, že si často vyžaduje osobitnú právnu úpravu.
(1) Nedotknuteľnosť osoby a jej súkromia je zaručená ...
Používanie dronov alebo iných autonómnych kybernetických zariadení (UAV, UGV) fyzickými osobami umožňuje nové, zatiaľ ťažko postihnuteľné formy narúšania súkromia – napr. natáčaním diania v obydlí osoby, alebo až priamy fyzický zásah do súkromia. Narúšať súkromie môžu veci s elektronikou (IoT – Internet of Things), ktoré v sebe obsahujú kameru alebo mikrofón a sú pripojené alebo pripojiteľné na Internet.
Existujúca právna úprava v nepostačujúcej miere vymedzuje ochranu pred týmto novým druhom kybernetických hrozieb, aj keď Zákon č. 143/1998 Z. z. (o civilnom letectve (letecký zákon) a o zmene a doplnení niektorých zákonov) dáva istý právny rámec - ak chce obyvateľ Slovenska používať dron, ktorý váži viac ako 20 kg alebo má kameru či fotoaparát, potrebuje na to povolenie Dopravného úradu. Zároveň ak chce niekto používať drony na fotografovanie alebo filmovanie, musí mu to schváliť aj MO SR. Pokuta je ale stanovená na max. 330 eur.
(1) Každý má právo na zachovanie ľudskej dôstojnosti, osobnej cti, dobrej povesti a na ochranu mena.
(2) Každý má právo na ochranu pred neoprávneným zasahovaním do súkromného a rodinného života.
(3) Každý má právo na ochranu pred neoprávneným zhromažďovaním, zverejňovaním alebo iným zneužívaním údajov o svojej osobe.
Istá anonymita kybernetického priestoru a jeho medzinárodný charakter umožňujú novým a ľahkým spôsobom narúšať ľudskú dôstojnosť, osobnú česť, dobrú povesť a dobré meno. Ak dôjde k narušeniu na sociálnej sieti alebo v spame elektronickej pošty spravovanej mimo Slovenkej republiky, v existujúcich právnych a technických mechanizmoch nie je jednoduché v rámci existujúcej právnej úpravy zabezpečiť toto ústavné právo.
Kybernetický priestor poskytuje nové formy neoprávneného zasahovania do súkromného a rodinného života, využitím sociálnych sietí, mailu, príspevkov v elektronických médiách a ich sprievodných diskusiách, ale aj využívaním dronov a ďalších autonómnych kybernetických zariadení a zariadení Internetu vecí (IoT).
Každá činnosť používateľa v kybernetickom priestore vytvára elektronickú stopu. Zber údajov z elektronických stôp, ale aj používateľom poskytnutých údajov v rámci internetových služieb a sociálnej komunikácie rozširuje existujúce možnosti neoprávneného zhromažďovania, zverejňovania alebo inéhozneužívania údajov o osobe. Právna úprava v predmetnej oblasti poskytne rámec techických a právnych prostriedkov na obmedzenie alebo postih nových foriem neutorizovaných činností a ohrozovania základných slobôd.
...
(5) Iné zásahy do vlastníckeho práva možno dovoliť iba vtedy, ak ide o majetok nadobudnutý nezákonným spôsobom alebo z nelegálnych príjmov a ide o opatrenie nevyhnutné v demokratickej spoločnosti pre bezpečnosť štátu, ochranu verejného poriadku, mravnosti alebo práv a slobôd iných. Podmienky ustanoví zákon.
Významné narušenie kybernetického priestoru môže ohroziť bezpečnosť štátu, verejný poriadok, mravnosť alebo práva a slobod iných v miere, ktorá si môže vyžiadať zásah štátu do vlastníckeho práva. Tento možný zásah vyžaduje doplnenie existujúcej právnej úpravy.
Akt vstúpenia do obydlia s doteraz chápal najmä ako akt týkajúci sa osoby. Používanie dronov alebo iných autonómnych kybernetických zariadení (UAV, UGV) fyzickými osobami umožňujúcich autonómny alebo operátorom riadený vstup do obydlia vytvára novú právnu skutočnosť.
(1) Listové tajomstvo, tajomstvo dopravovaných správ a iných písomností a ochrana osobných údajov sa zaručujú.
(2) Nikto nesmie porušiť listové tajomstvo ani tajomstvo iných písomností a záznamov, či už uchovávaných v súkromí, alebo zasielaných poštou, alebo iným spôsobom; výnimkou sú prípady, ktoré ustanoví zákon. Rovnako sa zaručuje tajomstvo správ podávaných telefónom, telegrafom alebo iným podobným zariadením.
Využívanie internetového prostredia na dopravu správ, ktoré obsahujú
listové tajomstvo alebo osobné údaje vedie k tomu, že pri ich doprave sa
správy dostávajú mimo Národného kybernetického priestoru, ktorý je
v jursdickii Slovenskej republiky.
V kybernetickom priestore sa objavujú nové formy útokov voči dôvernosti listového tajomstva, tajomstva iných písomností a záznamov, tajomstva správ podávaných telefónom alebo iným podobným zariadením (smartfónom), ktoré zatiaľ nie sú plne legislatívne pokryté.
Pre kybernetickú bezpečnosť je dôležité vymedzenie rámca
tohto zákona, nakoľko masívny kybernetický útok Slovenskú republiku, jej ekonomiku aj obyvateľstvo môže viesť k vyhláseniu mimoriadneho stavu.
(1) Slovenská republika vykonáva štátnu moc s cieľom zachovať mier a bezpečnosť štátu, najmä brániť svoju zvrchovanosť, územnú celistvosť, nedotknuteľnosť hraníc a demokratický poriadok, chrániť život a zdravie osôb, základné práva a slobody, majetok a životné prostredie a plniť záväzky vyplývajúce z členstva v organizácii vzájomnej kolektívnej bezpečnosti a z medzinárodných zmlúv, ktorými je Slovenská republika viazaná. Vypovedať vojnu alebo vyhlásiť vojnový stav, výnimočný stav a núdzový stav možno len za podmienok ustanovených v tomto ústavnom zákone.
(2) Základnou úlohou verejnej moci v čase vojny, vojnového stavu, výnimočného stavu a núdzového stavu je vykonávať všetky potrebné opatrenia na obranu štátu a zachovanie jeho bezpečnosti, na ochranu života a zdravia osôb, na ochranu majetku, na dodržiavanie základných práv a slobôd, na odvrátenie ohrozenia alebo na obnovu narušeného hospodárstva, najmä riadneho fungovania zásobovania, dopravy a verejných služieb v obciach a na riadne fungovanie ústavných orgánov.
(3) Bezpečnosť je stav, v ktorom je zachovávaný mier a bezpečnosť štátu, jeho demokratický poriadok a zvrchovanosť, územná celistvosť a nedotknuteľnosť hraníc štátu, základné práva a slobody a v ktorom sú chránené životy a zdravie osôb, majetok a životné prostredie.
Narušenia kybernetického priestoru majú potenciál významným spôsobom narušiť zdravie osôb, majetok a životné prostredie, plnenie záväzkov vyplývajúce z členstva v organizácii vzájomnej kolektívnej bezpečnosti (NATO) a z medzinárodných zmlúv (EÚ, OSN a ďalšie). Záväzky voči NATO a EÚ priamo adresujú bezpečnosť kybernetikého priestoru – napr. Stratégia kybernetickej obrany NATO, Stratégia kybernetickej bezpečnosti Európskej únie a z nich vyplývajúce povinnosti pre členské krajiny.
Preto ochrana kybernetického priestoru je súčasťou potrebných opatrení v čase výnimočného stavu a núdzového stavu na obranu štátu a zachovanie jeho bezpečnosti, na ochranu života a zdravia osôb, na ochranu majetku, na dodržiavanie základných práv a slobôd, na odvrátenie ohrozenia alebo na obnovu narušeného hospodárstva, najmä riadneho fungovania zásobovania, dopravy a verejných služieb v obciach a na riadne fungovanie ústavných orgánov.
Na dosiahnutie bezpečnosti ako stavu, je nutné realizovať aj množinu opatrení na ochranu kybernetického priestoru – významné narušenie kybernetického priestoru môže narušiť bezpečnosť štátu.
(5) Ozbrojené sily Slovenskej republiky (ďalej len „ozbrojené sily"), ozbrojené zbory, Hasičský a záchranný zbor, záchranné služby sú povinné plniť úlohy pri zachovávaní mieru a bezpečnosti štátu; iné právnické osoby a fyzické osoby oprávnené na podnikanie v rozsahu vymedzenej pôsobnosti zodpovedajú za plnenie týchto úloh podľa osobitného zákona.
Zohľadňujúc možný rozsah kybernetických hrozieb z hľadiska ohrozenia bezpečnosti štátu a rolu Národného bezpečnostného úradu ako ústredného orgánu štátnej správy pre kybernetickú bezpečnosť, bude potrebné bod (5) čl. 1 pravdepodobne upraviť.
(1) Núdzový stav môže vláda vyhlásiť len za podmienky, že došlo alebo bezprostredne hrozí, že dôjde k ohrozeniu života a zdravia osôb, a to aj v príčinnej súvislosti so vznikom pandémie, životného prostredia alebo k ohrozeniu značných majetkových hodnôt v dôsledku živelnej pohromy, katastrofy, priemyselnej, dopravnej alebo inej prevádzkovej havárie; núdzový stav možno vyhlásiť len na postihnutom alebo na bezprostredne ohrozenom území.
...Vzhľadom na súčasný stav kybernetickej bezpečnosti nepredpokladáme, že kybernetické hrozby môžu viesť k vyhláseniu výnimočného stavu. Predpokladáme ale, že môžu viesť k vyhláseniu núdzového stavu, tak ako je definovaný v Čl. 5
Kybernetické ohrozenia nie sú
taxatívne vymenované v podmienkach pre vznik núdzového stavu, ale môžu
dosiahnuť úroveň, keď dôjde k „ohrozeniu života a zdravia osôb alebo k ohrozeniu
značných majetkových hodnôt“, preto bude potrebné článok 5 upraviť vo zozname
dôsledkov.
Čl. 5, bod (3) taxatívne vymenúva obmedzenia základných práv a slobôd a ukladanie povinností. Ak vznikne stav vyžadujúci vyhlásenie núdzového stavu v dôsledku závažného kybernetického útoku alebo narušenia, bude potrebné uložiť aj povinnosti, ktoré nie sú v aktuálnom znení bodu (3) uvedené.
§1 Tento zákon ustanovuje
a) organizáciu a pôsobnosť orgánov štátnej správy na úseku kritickej infraštruktúry,
b) postup pri určovaní prvku kritickej infraštruktúry,
c) povinnosti prevádzkovateľa pri ochrane prvku kritickej infraštruktúry a zodpovednosť za porušenie týchto povinností.
V zákone nie je priamo uvedené, že zničenie alebo narušenie prvku alebo sektora kritickej infraštruktúry môže viesť k vyhláseniu núdzového stavu.
Prvkom kritickej infraštruktúry (ďalej len „prvok“) najmä inžinierska stavba, služba vo verejnom záujme a informačný systém v sektore kritickej infraštruktúry, ktorých narušenie alebo zničenie by malo podľa sektorových kritérií a prierezových kritérií závažné nepriaznivé dôsledky na uskutočňovanie hospodárskej a sociálnej funkcie štátu, a tým na kvalitu života obyvateľov z hľadiska ochrany ich života, zdravia, bezpečnosti, majetku, ako aj životného prostredia.
Z pohľadu kybernetickej bezpečnosti patrí medzi prvky kritickej
infraštruktúry služba vo verejnom záujme a informačný systém v sektore
kritickej infraštruktúry.
Absentuje tu komunikačná sieť, riadiaci systém (SCADA systémy - napr. jadrovej elektrárne, plynovodu) a výrobný systém (produkcia nafty a benzínu), u ktorých narušenie by tiež mohlo mať závažné nepriaznivé dôsledky na uskutočňovanie hospodárskej a sociálnej funkcie štátu.
technickým zabezpečovacím prostriedkom najmä systém na kontrolu vstupu, elektronický zabezpečovací systém, kamerový systém, elektrická požiarna signalizácia, zariadenie na detekciu látok a predmetov, zariadenie proti odpočúvaniu a zariadenie na fyzické ničenie nosičov informácií.
Na ochranu kritickej infraštruktúry špecifikuje zákon v §2, písm. n) technický zabezpečovací prostriedok.
Medzi prostriedkami ochrany absentujú prostriedky ochrany kybernetického priestoru - technické prostriedky sieťovej bezpečnosti (napr. IDS, IPS), softvérové prostriedky (napr. antimalware softvér, SIEM softvér, šifrovací softvér).
Medzi orgánmi verejnej správy uvedenými v § 3 absentuje Bezpečnostná rada Slovenskej republiky a Národný bezpečnostný úrad, zodpovedný za kybernetickú bezpečnosť.
Taktiež v povinnostiach orgánov verejnej moci (§ 4 - § 6) absentujú procesy manažmentu závažných bezpečnostných incidentov
prvkov kritickej infraštruktúry alebo aspoň odkaz na iné právne predpisy.
V prípade bezpečnostných incidentov kybernetickej povahy je situácia ešte zložitejšia, pretože môžu pôsobiť cez viaceoro sektorov a bezpečnostný útok s jeho následkami môže byť mimoriadne krátky (minúty).
V zákone nie je priamo uvedené, že zničenie alebo narušenie prvku alebo sektora kritickej infraštruktúry môže viesť k vyhláseniu núdzového stavu.
Z pohľadu kybernetickej bezpečnosti údaje tohto registra sú relevantné pre budúcu evidenciu mimoriadne významných systémov kybernetického priestoru.
Požaduje sa postupovať podľa bezpečnostného plánu v prípade hrozby
narušenia alebo zničenia prvku.
Z pohľadu ochrany kybernetického priestoru
sa podľa bezpečnostného plánu nastupuje nie v prípade hrozieb, ale
bezpečnostných incidentov. Hrozba hackerského útoku alebo napadnutia malwarom
je trvalá. Podľa bezpečnostného plánu sa má v kybernetickom priestore postupovať v prípade získania informácií o náraste pravdepodobnosti hrozby alebo jej dopadu nad určenú hranicu.
Prevádzkovateľ je povinný bezodkladne oznámiť príslušnému ústrednému orgánu
a) zmenu v predmete činnosti, ktorá môže mať vplyv na určenie prvku a jeho zaradenie do sektora,
b) predaj prvku alebo inú zmenu majetkovoprávneho vzťahu k prvku,
c) vstup do likvidácie, vyhlásenie konkurzu alebo povolenie reštrukturalizácie.
V prílohe č. 2 je špecifikovaný minimálny postup pri vypracoúvaní bezpečnostného plánu. V bezpečnostnom pláne absentuje požiadavka na plánovanie kontinuity činností (BCP) a jeho súčasti – havarijného plánovania (Disaster Recovery).
V prílohe č. 3 sú uvedené sektory kritickej infraštruktúry:
1. Doprava
2. Elektronické komunikácie
3. Energetika
4. Informačné a komunikačné technológie
5. Pošta
6. Priemysel
7. Voda a atmosféra
8. Zdravotníctvo
V zozname absentuje napr. bankový sektor. Pritom vážny výpadok
bankových služieb (nemožnosť zaplatiť kartou v obchode, vybrať si peniaze
v bankomate) alebo ich narušenie (veľká defraudácia vedúca k runu
na banku) spĺňa všetky podmienky pre
zaradenie do medzi sektory kritickej infraštruktúry.
Podmienky kritickej infraštruktúry spĺňa aj úsek verejnej správy, či poľnohospodárstvo a zásobovanie potravinami a ďalšie. Preto bude potrebné aj z pohľadu identifikácie prvkov kritickej infraštruktúry tento zoznam aktualizovať.
- Výnos Ministerstva financií Slovenskej republiky č. 55/2014 Z.z. o štandardoch pre informačné systémy verejnej správy.
- Vyhláška Národného bezpečnostného úradu č. 301/2013 Z. z. o priemyselnej bezpečnosti a o bezpečnostnom projekte podnikateľa.
- Vyhláška Národného bezpečnostného úradu č. 331/2004 Z. z. o personálnej bezpečnosti a o skúške bezpečnostného zamestnanca.
- Vyhláška Národného bezpečnostného úradu č. 336/2004 Z. z. o fyzickej bezpečnosti a objektovej bezpečnosti v znení vyhlášky Národného bezpečnostného úradu č. 315/2006 Z. z..
- Vyhláška Národného bezpečnostného úradu č. 337/2004 Z. z., ktorou sa upravujú podrobnosti o certifikácii mechanických zábranných prostriedkov a technických zabezpečovacích prostriedkov a o ich používaní v znení neskorších predpisov.
- Vyhláška Národného bezpečnostného úradu č. 453/2007 Z. z. o administratívnej bezpečnosti v znení vyhlášky Národného bezpečnostného úradu č. 232/2013 Z. z..
- Vyhláška Národného bezpečnostného úradu č. 339/2004 Z. z. o bezpečnosti technických prostriedkov.
- Vyhláška Národného bezpečnostného úradu č. 340/2004 Z. z., ktorou sa ustanovujú podrobnosti o šifrovej ochrane informácií.
- Vyhláška Národného bezpečnostného úradu č. 131/2009 Z. z. o formáte, obsahu a správe certifikátov a kvalifikovaných certifikátov a formáte, periodicite a spôsobe vydávania zoznamu zrušených kvalifikovaných certifikátov (o certifikátoch a kvalifikovaných certifikátoch) v znení neskorších predpisov.
- Vyhláška Národného bezpečnostného úradu č. 132/2009 Z. z. o podmienkach na poskytovanie akreditovaných certifikačných služieb a o požiadavkách na audit, rozsah auditu a kvalifikáciu audítorov v znení vyhlášky č. 61/2014 Z. z..
- Vyhláška Národného bezpečnostného úradu č. 133/2009 Z. z. o obsahu a rozsahu prevádzkovej dokumentácie vedenej certifikačnou autoritou a o bezpečnostných pravidlách a pravidlách na výkon certifikačných činností v znení vyhlášky č. 62/2014 Z. z..
- Vyhláška Národného bezpečnostného úradu č. 134/2009 Z. z., ktorou sa ustanovujú podrobnosti o požiadavkách na bezpečné zariadenia na vyhotovovanie časovej pečiatky a požiadavky na produkty pre elektronický podpis (o produktoch elektronického podpisu) v znení vyhlášky č. 63/2014 Z. z..
- Vyhláška Národného bezpečnostného úradu č. 135/2009 Z. z. o formáte a spôsobe vyhotovenia zaručeného elektronického podpisu, spôsobe zverejňovania verejného kľúča úradu, podmienkach platnosti pre zaručený elektronický podpis, postupe pri overovaní a podmienkach overovania zaručeného elektronického podpisu, formáte časovej pečiatky a spôsobe jej vyhotovenia, požiadavkách na zdroj časových údajov a požiadavkách na vedenie dokumentácie časových pečiatok (o vyhotovení a overovaní elektronického podpisu a časovej pečiatky) v znení neskorších predpisov.
- Vyhláška Národného bezpečnostného úradu č. 136/2009 Z. z. o spôsobe a postupe používania elektronického podpisu v obchodnom styku a administratívnom styku.
- ochrana národného kybernetické priestoru je systémom fungujúcim koncepčne, koordinovane, efektívne, účinne a na právnom základe;
- bezpečnostné povedomie všetkých zložiek spoločnosti sa systematicky zvyšuje;
- súkromný a akademický sektor, ako aj občianska spoločnosť sa aktívne zúčastňujú na formovaní a realizácii politiky Slovenskej republiky v oblasti kybernetickej bezpečnosti;
- je zabezpečená efektívna spolupráca na národnej, ako aj medzinárodnej úrovni;
- prijaté opatrenia sú primerané a rešpektujú ochranu súkromia a základné ľudské práva a slobody.
Koncepcia navrhuje prijať a prioritne riešiť nasledujúcich sedem kľúčových opatrení:
- vytvorenie inštitucionálneho rámca riadenia kybernetickej bezpečnosti;
- vytvorenie a prijatie legislatívneho rámca kybernetickej bezpečnosti;
- rozpracovanie a aplikácia základných mechanizmov zabezpečenia správy kybernetického priestoru;
- podpora, vypracovanie a zavedenie systému vzdelávania v oblasti kybernetickej bezpečnosti;
- stanovenie a aplikácia kultúry riadenia rizík a systému komunikácie medzi zainteresovanými stranami;
- aktívna medzinárodná spolupráca;
- podpora vedy a výskumu v oblasti kybernetickej bezpečnosti.
NATO, ktorého sme súčasťou vydalo viacero dokumentov v oblasti kybernetickej bezpečnosti:
- Politika kybernetickej obrany NATO (NATO Policy on Cyber Defence),
- Akčný plán kybernetickej obrany NATO (NATO Cyber Defence Action Plan),
- Posilnená politika kybernetickej obrany NATO (Enhanced NATO Policy on Cyber Defence).
- Existujúca jednotka pre riešenie počítačových bezpečnostných incidentov
- Plánované jednotkz pre riešenie počítačových bezpečnostných incidentov
- Ďalšie vecne príslušné autority
Najčastejšie úlohy a činnosti fyzickej ochrany:
- Riadenie prístupu osôb vstupujúcich do chráneného areálu, zóny, objektu, priestoru, prípadne aj kontrola odchodu.
- Sprevádzanie osôb po areáli, objekte, zóne, priestore, ak to bezpečnostná politika vyžaduje.
- Kontrola vjazdu a výjazdu motorových vozidiel do areálu, zóny.
- Udržiavanie poriadku, poskytovanie informácií, hlásenie mimoriadnych udalostí a pod.
- Kontrola areálu, zóny, objektu, priestoru.
- Fyzická ochrana perimetra areálu, objektu.
- Fyzická ochrana určených osôb.
- Zásah v prípade výskytu podozrivej osoby alebo neštandardnej udalosti v objekte.
- Eskalácia narušenia, ak to situácia vyžaduje.Patria tu:
- mreže
- bezpečnostné dvere
- bezpečnostné zámky a zámkové mechanizmy
- ochranné fólie na sklenené výplnePatria tu:
- uzamykateľné kovové skrine,
- skriňové trezory,
- sejfy,
- bezpečnostné pokladnice,
...
poplachovým systémom sústava elektrických, elektronických, mechanických alebo iných súčiastok tvoriacich predmet pevne zabudovaný na chránenom objekte alebo na chránenom mieste, alebo v chránenom objekte, ktorý po neoprávnenom zásahu na chránenom objekte alebo na chránenom mieste alebo po neoprávnenom zásahu do chráneného objektu alebo do chráneného miesta, alebo konaním osoby v chránenom objekte alebo na chránenom mieste v súlade so zákonom a s inými všeobecne záväznými právnymi predpismi, vyvolá svetelný, zvukový alebo iný signál.
V oblasti krízového manažmentu či ochrany kritickej
infraštruktúry, kybernetického priestoru alebo národnej bezpečnosti je potrebné
mať definované stupnice, ktoré umožnia klasifikovať daný bezpečnostný
incident.
Stupnice bývajú vo viacerých
oblastiach, ale najčastejšie sa hodnotí veľkosť dopadu, frekvencia alebo
pravdepodobnosť výskyt bezpečnostného incidentu a doba obnovy alebo
reakcie na zmiernenie dopadov po bezpečnostnom incidente.
V danom datasete navrhujeme stupnice,
ktoré sú ľahko používateľné v praxi nielen na úrovni štátu, ale aj
územného celku, obce, firmy či občana.
Aj EÚ v rámci ochrany kritickej infraštruktúry sa zaoberá hodnotením dopadov pri narušení prvku infraštruktúry a stanovuje hranicu, kedy možno daný prvok priradiť k prvkom kritickej infraštruktúry. Frekvencia výskytu udalosti a dobou obnovy alebo reakcie na zmiernenie dopadov sa nezaoberá. Pritom aj tieto faktory sú podstatné pri hodnotení prvkov infraštruktúry a rozhodovaní o ich kritickosti.
Dopady hodnotí EÚ v štyroch dimenziách:
- Verejné zdravie (osobné ujmy - casualties criterion)
- Strata životov
- Zranení
- Ekonomické kritériá (economic effects criterion podľa EÚ)
- Životné prostredie
- Spoločenské dopady (public effects criterion)
- Významné narušenie života istého poču občanov
- Strata dôvery obyvateľstvaV tejto oblasti existujú viaceré kritériá
hodnotenia – počet mŕtvych, počet zranených, chorobnosť, stratené roky života
v dôsledku predčasného úmrtia alebo choroby – tzv. DALYs.
Navrhovaná škála hodnotenie je aplikovateľná od mesta, územný celok a štát až po svet. Príklady hodnôt v škále sú uvedené pre Slovenskú republiku a svet.
SR: 5,4 mil. obyvateľov, cca. 200 mil. potenciálne stratiteľných DALYs
Svet: 7 mld. obyvateľov
Úroveň / % populácie / diel / SR osôb,cca. / Svet /
dopadu
0 0,
00000001 10^-10 1:1000 ročne 1
1 0, 0000001 10^-9 1:100 ročne 7
2 0, 000001 10^-8 1:10 ročne 70
3 0, 00001 10^-7 1 700
4 0,0001 10^-6 5 7.000
5 0,001 10^-5 54 70.000
6 0,01 10^-4 540 700.000
7 0,1 10^-3 5.400 7.000.000
8 1 10^-2 54.000 70.000.000
9 10 10^-1 540.000 700.000.000
10 100 1 5.400.000 7.000.000.000
Úroveň 10: existencionálne riziká vedúce k zániku ľudstva.
Príklady dopadov pre jednotlivé úrovne (ľudstvo)V tejto oblasti existujú viaceré kritériá hodnotenia – buď v absolútnych hodnotách (USD, euro) alebo ako diel HDP. Diel HDP je vhodnejší, lebo umožňuje porovnávať udalosti v rôznom čase a zohľadňuje inflačné vplyvy (USD v 70. rokoch mal inú hodnotu ako dnes, ale strata 10 % HDP je stále rovnaký dopad).
Navrhovaná škála hodnotenia je aplikovateľná od osoby, cez firmu, obec, územný celok a štát až po svet. Príklady hodnôt v škále sú uvedené pre Slovenskú republiku a svet.
HDP Slovenskej republiky za r. 2014: 76,5 mld. euro
HDP sveta za r. 2014: cca. 78.000 mld. USD, čo je cca. 70.000 mld. euro
Úroveň / % HDP / diel / SR, euro / Svet, mil. USD /
dopadu
0 0,
00000001 10^-10 7,6 0,0078
1 0, 0000001 10^-9 76,5 0,078
2 0, 000001 10^-8 765 0,78
3 0, 00001 10^-7 7.650 7,8
4 0,0001 10^-6 76.500 78
5 0,001 10^-5 765.000 780
6 0,01 10^-4 7,65 mil. 7.800
7 0,1 10^-3 76,5 mil. 78.000
8 1 10^-2 765 mil. 780.000
9 10 10^-1 7,65 mld. 7,8 mil.
10 100 1 76,5 mld. 78 mil.
11 1000 10 765 mld. 780 mil.
Príklady zaradenia niektorých udalostí podľa škály (SR)
Úroveň 11: existencionálny dopad pri zničení územia, infraštruktúry a veľkej strate obyvateľstva. Príkladom krajiny s dopadom vojny na úrovni 11 je asi Sýria.
Úroveň 0 - 3 potrebujeme pre male škody s vysokou frekvenciou výskytu, napr.
- náklady na jedno liečenie počas pandémie vs. celkové náklady pandémie pri 1 mil. chorých
- náklady v dôsledku straty času osoby pri výpadku Internetu vs. 2 milióny postihnutých občanov pri masívnom kybernetickom útoku
- náklady na jeden súdny prípad vs. vyše 3 mil. vedených súdnych prípadov v SR (napr. exekúcií)
Úroveň 8 - 9:
- Dlhodobé javy:
o Zhoršovanie demografickej situácie
o Neintegrovanosť sociálne neprispôsobených občanov do pracovného procesu
o Korupcia v sektore
o Silné dopady klimatickej zmeny
- Udalosti:
o Prehratý mimoriadne vážny súdny spor (v SR napr. o magnezit)
o Silná pandémia
o Run na banky
Úroveň 9 - 10:
- Dlhodobé javy:
o Kumulovaný dopad zlej demografickej situácie
o Mimoriadne silné možné dopady klimatickej zmeny
- Udalosti:
o Rozpad eurozóny
o Rozpad EÚ
o Vojnový stav
o Nová globálna ekonomická kríza
o Mimoriadne silná pandémia s vyššou mortalitou
o Radiačná havária vedúca k trvalému vyradeniu JE
o Strata eurofondov v novom PO
o Geomagnetická búrka na Carringtonovej úrovni (nepripravená energetika)
o Platobná neschopnosť krajiny (ako sa stalo v Grécku)
Úroveň 10:
- Udalosti:
o Použitie ZHN na území krajiny
o Extrémna pandémia (vysoká mortalita – ako Ebola, a nákazlivosť – ako chrípka, napr. použitím biologických ZHN)
o Výbuch supervulkánu (Yellowstone, USA)
o Pád meteoritu mimo nášho kontinentu, úroveň č. 9 Turínskej stupnice
Úroveň 11:
- Udalosti:
o Globálny jadrový konflikt
o Pád meteoritu, úroveň č. 10 Turínskej stupnice
o Výbuch hypernovy v blízkosti Slnečnej sústavy
V tejto oblasti existuje prirodzená škála hodnotenia založená na používaných časových jednotkách.
Navrhovaná škála hodnotenia je aplikovateľná na
udalosti týkajúce sa udalostí u osoby, firmy, obce, územného celku a štátu
až po svet. Príklady hodnôt v škále sú uvedené pre Slovenskú republiku.
Úroveň nula je nastavená na dlhú časovú hodnotu, s ktorou sa
v bezpečnosti reálne pracuje a ráta.
Horná úroveň nie je ohraničená (udalosti na úrovni sveta môžu byť aj v biliónoch – napr. počet finančných transakcií). Turínska škála hodnotí impakty málo pravdepodobných udalostí, preto jej hodnota 10 zodpovedá udalosti s frekvenciou výskytu takmer 0.
Úroveň Frekvencia udalosti, (cca. ročne)
0 Raz za 100.000 rokov a menej
1 Raz za 10.000 rokov
2 Raz za 1.000 rokov
3 Raz za 100 rokov
4 Raz za 10 rokov
5 Raz za
1 rok
6 10 krát za rok
7 100 krát za rok
8 1000 krát za rok
9 10.000 krát za rok
10 100.000 krát za rok
11 1 mil. krát za rok
12 10 mil. krát za rok
13 100 mil. krát za rok
14 1 mld. krát za rok
15 10 mld. krát za rok
16 100 mld. krát za rok
17 1 bil. krát za rok
Pri hodnotení a klasifikácii bezpečnostného incidentu je dôležitá aj očakávaná doba obnovy narušeného systému bezpečnostným incidentom. Počas stavu, keď funkcionalita nie je obnovená, dochádza ku kumulatívnemu nárastu straty či dopadu.
Navrhovaná škála
pracuje s prirodzenými časovými jednotkami. Pre úroveň 0 bola vybratá
časová škála, keď sa ešte pracuje s pojmom doba obnovy. Pri kratších
časoch sú už v terminológii danej technickej oblasti používané iné pojmy.
Úroveň Doba obnovy
0 pod 0,1 sek.
1 0,1 sek.
2 sekundy
3 minúty
4 hodiny
5 dni
6 týždne
7 mesiace
8 1 rok a viac
9 10 rokov a viac
10 100 rokov a viac
11 obnova nemožná
Obnova je nemožná, ak sa realizuje existencionálna hrozba pre Zem ako celok.