Nežádoucí odhalení (Disclosure), modifikace (Alteration) nebo zničení (Destruction) určitých informací může vést k finanční ztrátě, poškození dobrého jména společnosti a v nejhorším případě i k ohrožení života jejich zaměstnanců nebo klientů. Z těchto důvodů je nutné informace před narušením důvěrnosti (Confidentality), dostupnosti (Availability) a integrity (Integrity) odpovídajícím způsobem chránit a to během celého jejich životního cyklu.

Vždy je třeba zvážit, jak vysoký stupeň ochrany si daná informace opravdu zaslouží.  tj. jaký soubor opatření na úrovni organizační, logické a fyzické bezpečnosti je třeba přijmout. Především proto, že zavedení těchto opatření bude něco stát a přinese určitá omezení při práci s informacemi. Stanovit skutečně odpovídající úroveň ochrany je možné jedině na základě detailní analýzy rizik. Vzhledem k tomu, že v praxi není dost dobře možné, aby si každý vlastník informace prováděl analýzu dopadů, hrozeb a zranitelností sám, protože na to většinou nemá čas a často ani odpovídající znalosti, je běžné, že vrcholový management společnost nechá za tímto účelem provést analýzu rizik.

Cílem takové analýzy je identifikace informací, které společnost zpracovává a dále určení hrozeb, které by mohly ohrozit důvěrnost, integritu a dostupnost těchto informací. Pro jednotlivé typy informací se poté na základě takto provedené analýzy rizik určí formou nějakého závazného dokumentu klasifikační stupně a zároveň se pro jednotlivé klasifikační stupně rozhodne o zavedení příslušných opatření, které musí všichni zaměstnanci dodržovat, aby byla zajištěna důvěrnost, integrita a dostupnost těchto informací.

Dostupnost a důvěrnost
Pokud budeme klást důraz jen na zajištění dostupnosti a důvěrnosti informací bez ohledu na zajištění jejich integrity, může dojít k situaci, že informace jsou sice oprávněné osobě dostupné v okamžiku, kdy je potřebuje, avšak tato osoba nemá žádnou záruku, že nedošlo k jejich nežádoucí modifikaci.

Veškerá pozornost byla soustředěna jen na zajištění dostupnosti a důvěrnosti a otázka integrity byla podceněna.

Důvěrnost a integrita
Pokud budeme klást důraz jen na zajištění důvěrnosti a integrity informací bez ohledu na zajištění jejich dostupnosti, může dojít k situaci, že informace jsou sice dostatečně chráněny proti nežádoucí modifikaci a vyzrazení, ale nejsou dostupné v okamžiku, kdy s nimi oprávněná osoba potřebuje pracovat.

Veškerá pozornost byla soustředěna jen na zajištění integrity a důvěrnosti a otázka dostupnosti byla podceněna.

Integrita a dostupnost
Pokud budeme klást důraz jen na integritu a dostupnost bez ohledu na zajištění důvěrnosti, můžeme se dostat do situace, že informace sice bude dostatečně chráněna proti nežádoucí modifikaci, ale dostane se i k osobě, která není oprávněna se s ní seznamovat.

Veškerá pozornost byla soustředěna jen na zajištění integrity a dostupnosti a otázka důvěrnosti byla podceněna.

Nyní se již můžeme zamyslet nad tím, jak souvisí požadavky na zajištění důvěrnosti, integrity a dostupnosti informací s předmětem podnikání a tedy i typem zpracovávaných informací a poskytovaných služeb. Z výše uvedeného vyplývá, že ve většině případů je třeba věnovat pozornost všem bezpečnostním atributům, ne vždy je však možné a efektivní věnovat všem atributům stejnou pozornost, protože každé opatření něco stojí. V praxi se tak klade na některý atribut větší důraz. Jako příklad si vezmeme např. transakční systém v bance. Je v celku logické, že bude kladen spíše větší důraz na integritu a dostupnost než na důvěrnost, to především proto, že veškeré transakce, které se uskutečňují v elektronické podobě, musí být správně a v požadovaném čase zaúčtovány. Důvěrnost je jistě také důležitá a její zajištění je navíc vyžadováno zákonem, nicméně možná ztráta plynoucí z narušení důvěrnosti je ve většině případů mnohem nižší, než ztráta způsobená narušením integrity nebo dostupnosti. Je tomu tak proto, že za únik informací o klientech nebo jejich transakcích, pokud se na to přijde, může být sice udělena pokuta, např. na základě série občanských stížností a rozhodnutí o náhradě škody, ale ta zdaleka nedosahuje výše možných ztrát v případě narušení integrity nebo dostupnosti.

Je třeba vzít v úvahu, že nejvyšší pokuta, kterou může úřad pro ochranu osobních údajů udělit právnické osobě je 5.000.000 Kč, v případě fyzické osoby 1.000.000 Kč. Položme si dále otázku, kolik pokut úřad za své existence jednotlivým firmám uložil a jaká byla výše těchto pokut. Zamysleme se také nad tím, jaká je nabídka a poptávka na trhu po produktech k zajištění dostupnosti a integrity a produktech pro zajištění důvěrnosti. Vezměme také v úvahu skutečnost, že zatímco v případě narušení dostupnosti informací se o tom jejich vlastník často hned dozví, tak v případě narušení integrity je šance na odhalení již mnohem nižší a v případě narušení důvěrnosti mohou informace z firmy dlouhodobě unikat a daná firma se o tom dokonce vůbec nemusí dozvědět, neboť konkurence těchto informací použije pro sebe. Lze se proto jen domnívat, že obdobný přístup k důvěrnosti, integritě a dostupnosti bude zaujímat nejspíš většina podniků, a nelze ho odmítat, protože má své jasné opodstatnění. Pokud jde o důvěrnost, ta je na prvním místě např. v armádě.

Poznámka: Důvěrnost (Confidentality), integrita (Integrity) a dostupnost (Availability) se označuje jako CIA triáda. Jejím opakem je DAD triáda: odhalení (Disclosure), modifikace (Alteration) nebo zničení (Destruction). Můžeme také říci, že vlastník usiluje o CIA a útočník o DAD.

Related posts:

1. CIA: Integrita
2. CIA: Dostupnost
3. CIA: Důvěrnost

O zničení (destruction) určitých informací se v informační bezpečnosti hovoří jako o narušení jejich dostupnosti (availability). Co to ale znamená, když výrobce u svého systému uvádí dostupnost 99,999%? Pokud jako základ vezmeme 365 dní v roce, tak jednoduchým výpočtem zjistíme, že systém může být až 5 minut za rok nedostupný.

Na první pohled se zdá, že dostupnost symbolizovaná pěti devítkami je dostatečná, musíme si ale uvědomit, že systémem se zde dost často myslí jen samotný HW, nikoliv operační systém a aplikace. U operačních systémů a aplikací se tyto parametry záměrně neuvádí a jejich výrobce radši žádné záruky ani neposkytuje nebo se omezuje na lakonické prohlášení, že systém je navrhnut pro běh 99,999%. Nicméně jsou to především OS a aplikace a v některých případech i síť, které dost často bývají hlavní příčinou nedostupnosti většiny IS. Nedostupnosti, která zdaleka překračuje výše proklamovanou hodnotu. A uživateli IS je víceméně jedno, co je onou příčinou, pro něj je nedostupný systém resp. jeho služby, kterých využívá.

Ač je populární uvádět dostupnost systému v % za rok, je mnohem přesnější a praktičtější uvádět RTO (Recovery Time Objective) a RPO (Recovery Point Objective), kde:

• RTO vyjadřuje, za jak dlouho po výpadku musí být systém funkční, resp. jak dlouhý výpadek může být tolerován. Pro RTO rovno nule by to znamenalo vybudovat zcela redundantní infrastrukturu.
• RPO vyjadřuje, kolik práce resp. jaké množství dat může být ztraceno. Jde o to, že záloha je dejme tomu naplánována na 03:00 a v 09:00 dojde k havárii diskového pole. Změněny, které byly provedeny mezi 03:00 a 09:00 jsou tedy nenávratně ztraceny.

Dobu nedostupnosti (RTO) a ztrátu dat (RPO) je třeba od sebe odlišovat, když se provádí business impact analýza, od které se odvíjí návrh celé architektury řešení. Častou chybou je, že se uvažuje jen o RTO a na RPO se zcela zapomíná.

Jako logické řešení se nabízí v případě, kdy je požadována vysoká dostupnost, vše duplikovat. A duplikovat lze opravdu vše, od napájení přes HDD, které se zapojí jako RAID1, řadiče, až po celý počítač nebo síť. Ovšem v době, kdy je většina systémů postavena na vícevrstvé architektuře, to znamená duplikovat minimálně webový server, aplikační server a databázový server. Takový systém se stává potom nejen složitějším a tedy i náročnějším na správu, ale především se vzrůstající složitostí roste i počet míst, na kterých může dojít k selhání a celé řešení pak musí být schopno se samo vypořádat se závadou, která může vzniknout prakticky na kterémkoliv prvku nebo síťovém spojení mezi kterýmikoliv prvky.

Jestliže dostupnost každé komponenty je 99,999% potom dostupnost celého řešení lze matematicky vyjádřit jako třetí mocninu 99,999% (Počítáme s 99,999% dostupností pro každou komponentu, 99,999% dostupností pro jednoduchou konfiguraci a s 99,999% pro zdvojenou konfiguraci) což je 99,997% tedy výpadek o délce necelých 16 minut za rok.

Tohle však není až tak podstatné, protože se objevuje mnohem závažnější problém a to, že v okamžiku, kdy provedeme duplikaci celého řešení (jednu konfiguraci si označíme jako primární a druhou jako sekundární, někdy se používá termín aktivní a pasivní), musíme zajistit, že v případě výpadku kterékoliv primární komponenty dojde k přepnutí na sekundární komponentu a ta přejde z pasivního módu do aktivního. Jestliže má toto řešení fungovat, musí být navíc zajištěna synchronizace mezi komponentami, aby bylo možno obsloužit stávající uživatele systému, dokončit zpracování jejich transakcí a nové uživatele směrovat na právě aktivní komponentu. Ten, kdo bude takové řešení navrhovat, bude muset tyto stavy ošetřit a to jak v samotné aplikaci, tak i na síťové vrstvě, a toto není v žádném případě triviální úkol. Protože pokud tyto stavy neošetří, hrozí například tzv. Split Brain Syndrom, kdy by v důsledku ztráty komunikace mezi primární a sekundární konfigurací mohly začít obě části pracovat na sobě zcela nezávisle a po obnově spojení by pak každá část obsahovala jiná data a transakce a systém by nevěděl jak je sloučit. Byla by tak sice zajištěna vysoká dostupnost, ale narušena integrita.

Pozn.: Co se týká používání pojmů primární-sekundární vs. aktivní-pasivní, jde o to, zda duplikované komponenty jsou naprosto stejné nebo ne. V případě, že je použito v záložním řešení méně výkonných komponent je vhodnější hovořit o primární a sekundární části. Pojmy aktivní a pasivní zase naopak lépe vystihují stav, ve kterém se tyto dvě části nacházejí a je vhodnější je používat v případě naprosto identických komponent.

Related posts:

1. CIA: Důvěrnost-Integrita-Dostupnost
2. CIA: Integrita
3. CIA: Důvěrnost

O nežádoucí modifikaci (alteration) se proto v informační bezpečnosti hovoří jako o narušení integrity (Integrity). V případě integrity je třeba si uvědomit, že pokud dojde k nežádoucí změně dat, a to ať už úmyslně, náhodou, nebo technickým selháním v důsledku působení vyšší moci, nemusí být tato nežádoucí změna vůbec odhalena a může uplynout dlouhá doba, než si někdo něčeho všimne. Čím později se na tento bezpečnostní incident přijde, tím závažnější bude jeho dopad.

Problém spočívá v tom, že je velice obtížné dohledat jaký byl původní záznam, protože nebudeme vědět, kdy přesně ke změně došlo. Navíc změn může být mezitím provedeno několik, v takové situaci potom bude zhola nemožné dohledat, jaká byla původní hodnota. Na tomto místě je třeba také zdůraznit, že opatření určené pro zajištění dostupnosti jako je zálohování a archivace vám příliš nepomohou, protože daná poslední změna se bude pravděpodobně nacházet i na záložních a archivních médiích a vy pokud nebude mít k dispozici logy o činnostech v systému, nebude vědět, k jakému dni máte data obnovit.

Předpokládejme, že máme databázi pacientů, která obsahuje jejich osobní údaje, informace o prodělaných nemocech, ošetření apod. Předpokládejme, že nemocnice si je vědoma toho, že tato důvěrná data je třeba chránit a proto je při ukládání šifruje a řídí k nim přístup. Jak může být narušena integrita dat, když  jsou data šifrována? Mám na mysli nějaký složitější útok než ten, že útočník data poškodí, to by bylo moc jednoduché. Na takovýto bezpečnostní incident by se hned přišlo, protože data by se nepovedlo dešifrovat. Na první pohled se zdá, že pokud útočník nezná klíč, kterým jsou data šifrována, bude jakékoliv narušení integrity dat ihned odhaleno.

Útok však může být mnohem sofistikovanější, útočník může zjistit, např. podle názvů sloupců co je nejspíš jeho obsahem. Dále je třeba si uvědomit, že většinou se nešifrují všechny informace, ale i kdyby se šifrovaly, proti útoku, který má útočník v úmyslu provést by nám to stejně nepomohlo. Je třeba si uvědomit, že pokud se bude v daném sloupci nacházet stejná hodnota, bude i výsledek šifrování dané hodnoty stejný. Útočník tak vůbec nepotřebuje dešifrování provádět, on ani nepotřebuje vědět, co přesně je v daném poli uloženo za hodnotu! Útočník např. pouze prohodí zašifrovaný text ve sloupci krevní skupina u několika pacientů stejného věku, které se lečí u stejného doktora, nebo prohodí diagnózu, předepsané léky apod. Takováto změna by mohla  vést až k úmrtí a pokud ji útočník provede jen u malého procenta pacientů nemusí být jeho útok nikdy odhalen.

Jak se ale proti takovému útoku, spočívajícímu v narušení integrity, bránit? Nejjednodušší je auditovat všechny změny, aby bylo možné zjistit, kdy a kým byla změna provedena. Toto opatření by však mělo být použito pouze jako součást sady opatření. Jako vhodné řešení se jeví použití vícevrstvé architektury, kde data budou šifrována v aplikaci a do databáze budou ukládána v zašifrovaném tvaru, takže ani administrátor DB nebude vědět, co se v DB nachází za data. Před uložením dat do databáze by se pak pro vybraná data provedl v aplikaci kontrolní součet za použití jednocestné funkce např. SHA256, ten by se zašifroval a uložil do databáze. Aplikace by pak po načtení dat z databáze spočítala kontrolní součet a porovnala by ho s dešifrovaným kontrolním součtem uloženým v DB. Pokud by byl výsledek porovnání stejný, znamenalo by to, že data nebyla v databázi modifikována. Samozřejmě, že slabé místo se nám posunulo z databázové vrstvy na aplikační, protože ten kdo zná klíč použitý k šifrování, je schopen i data změnit. Nicméně dalo by se třeba uvažovat o použití nějaké ho HW modulu, který by šifrování prováděl.

Výše uvedený útok by mohl postihnout jakoukoliv společnost, tedy ne jen nemocnici. U společností, jejichž předmětem podnikání je nákup a prodej by se mohlo např. jednat o prohození adresy, což by mělo za následek, že zboží by občas přišlo někam jinam, než původně mělo. U banky mohlo dojít třeba ke změně kurzovního lístku a tím by se zrealizovaly obchody pro banku v nevýhodném kurzu. V armádním systému by mohlo dojít ke změně souřadnic vlastních a nepřátelských jednotek nebo ke změně barev signalizující oblasti, které jsou neutrální a oblastí, kde se nachází vlastní jednotky a nepřítel.

Poznámka: Tento článek se nesnaží přinést odpověď na otázku, jak data co nejlépe zabezpečit. Výše uvedený příklad slouží pouze pro ilustraci a aby si čtenář uvědomil, proč je zajištění integrity tak důležité.

Related posts:

1. CIA: Důvěrnost-Integrita-Dostupnost
2. CIA: Důvěrnost
3. CIA: Dostupnost

O nežádoucím zpřístupnění (disclosure) určitých informací se v informační bezpečnosti proto hovoří jako o narušení jejich důvěrnosti (confidentiality). Většina společností pracuje se spoustou informací, které je třeba klasifikovat a volba vhodného klasifikační schématu (classification scheme) je proto pro úspěšné zavedení klasifikace informací ve společnosti naprosto zásadní.

 

Pro snadné zapamatování těchto pěti klasifikačních stupňů je možné použít jako mnemotechnickou pomůcku větu „US Can Stop Terrorism.“, kde velká písmena definují pořadí jednotlivých stupňů od nejnižšího až po nejvyšší. V komerční sféře se však nejčastěji používá těchto čtyř klasifikačních stupňů:

• Confidential (důvěrné) – nejvyšší stupeň, nežádoucí zpřístupnění těchto informací může mít až zničující dopad na společnost (strategické plány, zdrojové kódy).
• Private (soukromé) – nežádoucí zpřístupnění těchto informací může mít negativní dopad na společnost (osobní údaje o zaměstnancích a klientech).
• Sensitive (citlivé) – nežádoucí zpřístupnění těchto informací může mít negativní dopad na společnost (informace o projektech, plánovaných změnách, vývoji cen)
• Public (veřejné) – nejnižší stupeň, veřejně známé informace, nežádoucí zpřístupnění těchto informací by nemělo nikoho poškodit, a nemělo by mít žádný dopad na společnost (e-mailové adresy, telefonní čísla, jména zaměstnanců).

Je otázka, zda i v tomto případě lze tvrdit, že klasifikační stupně jsou uvedeny od nejvyššího k nejnižšímu, neboť důvěrné i soukromé informace se obvykle v praxi chrání stejným způsobem a tudíž by mohly být označeny i stejným klasifikačním stupněm. Domnívám se, že naprosté většině soukromých subjektů by mohlo vyhovovat následující klasifikační schéma:

• Veřejné – informace je určena pro širokou veřejnost
• Interní – informace je určena pouze pro zaměstnance dané společnosti a přístup k ní mají jen zaměstnanci dané společnosti.
• Důvěrné – informace je určena pouze pro vybrané zaměstnance a přístup k ní mají jen vybraní zaměstnanci.
• Soukromé – informace je určena pouze pro vybrané zaměstnance a přístup k ní mají jen vybraní zaměstnanci.
• Přísně důvěrné – informace je určena pouze pro vybrané zaměstnance a přístup k ní mají jen vybraní zaměstnanci.

Nabízí se otázka, zda pět klasifikačních stupňů není pro komerční sféru zbytečně moc a zda důvěrné a soukromé informace opravdu neklasifikovat jen jedním klasifikačním stupněm, což je jistě na delší diskusi stejně jako používání klasifikačních stupňů důvěrné a přísně důvěrné. Podstatné je, že každé informaci, kterou bude společnost vytvářet, zpracovávat nebo uchovávat, musí být přiřazen odpovídající klasifikační stupeň a bez ohledu na klasifikační stupeň by měly být dodržovány určité zásady. Některé společnosti přijaly zásadu, že klasifikační stupeň např. u veřejných informací nebudou uvádět, a tedy že vše, co nebude označeno klasifikačním stupněm, bude automaticky považováno za veřejné. Existuje zde však nezanedbatelné riziko, že někdo opomene klasifikační stupeň uvést a někdo jiný se bude oprávněně domnívat, že se jedná o informaci veřejnou a zveřejní ji. Klasifikační stupeň by proto měl být uveden vždy.

Je zřejmé, že pro zajištění důvěrnosti je nezbytné implementovat vhodná opatření na úrovni fyzické, logické a organizační bezpečnosti, např. že média musí být uložena pod zámkem a stejně tak i dokumenty nesmí být ponechány po odchodu z pracoviště volně na stole, ale musí být uzamčeny. Jedná se o tzv. zásadu prázdného stolu (clear desk policy). Nebo že přísně důvěrné informace v elektronické podobě musí být šifrovány. Další obecnou zásadou bez ohledu na klasifikační stupeň by mělo být, že na dokumentu bude vždy uveden jeho autor, datum vytvoření a na každé straně bude uvedeno číslo stránky a celkový počet stran.

Klasifikační stupeň informace se může a dost často se také v průběhu životního cyklu informace mění. Jako příklad si můžeme uvést informace související s novým produktem nebo službou, kterou se společnost chystá uvést na trh. Tyto informace jsou zpočátku důvěrné – je s nimi seznámen jen úzký okruh osob a vyzrazení těchto informací je nežádoucí. Později, v době kdy je produkt nebo služba dokončena a připravena k uvedení na trh, se tato informace stane interní. Je tomu tak proto, že dost často jsou to právě vlastní zaměstnanci, kteří se s novým produktem nebo službou seznamují jako první ještě dříve, než dojde k oficiálnímu představení širší veřejnosti, aby mohly být odstraněny případné závady, které nebyly v rámci testování produktu nebo služby odhaleny. V okamžiku, kdy je produkt nebo služba zaměstnanci v praxi prověřena, jsou provedeny případné změny a dojde k uvedení na trh, stává se informace o produktu nebo službě veřejnou a je nanejvýš žádoucí, aby se tato informace dostala k co největšímu počtu potenciálních klientů. Na tomto jednoduchém příkladu vidíme, jak se klasifikační stupeň informace postupně měnil z „důvěrného“ přes „interní“ až na „veřejný“. Je zřejmé, že kritickým bodem je okamžik, kdy dochází ke změně klasifikačního stupně, protože se změnou klasifikačního stupně souvisí úroveň ochrany a tedy i způsob, jak se s informací zachází.

Related posts:

1. CIA: Důvěrnost-Integrita-Dostupnost
2. Analýza rizik: Kvantifikace aktiv z pohledu důvěrnosti
3. CIA: Integrita