Co je a není kybernetický útok

Na první pohled možná celkem jasná otázka a neméně jasná odpověď, jenže není tomu tak.

Ani po několika letech nemáme úplně jasno, co je a není kybernetický bezpečnostní incident a tápeme i v tom, co je kybernetická hrozba, takže se nelze divit, že máme problém i s definicí toho, co je to kybernetický útok (cyber attack).

Když se podíváme do ZoKB nebo VoKB, tak ani v nich není tento pojem exaktně definován, což je zvláštní, když si uvědomíme, že tento zákon a vyhláška by měly reagovat na aktuální situaci v kyberprostoru a kybernetické útoky vedoucí zpravidla k narušení kybernetické bezpečnosti a tedy i vzniku kybernetického bezpečnostního incidentu.

O moc moudřejší nebudeme, ani když nahlédneme do oficiálního výkladového slovníku kybernetické bezpečnosti, na stránkách vládního CERT, kde je kybernetický útok definován takto:

„Útok na IT infrastrukturu za účelem způsobit poškození a získat citlivé či strategicky důležité informace. Používá se nejčastěji v kontextu politicky či vojensky motivovaných útoků.“

Jednak cílem útoku nemusí být vždy poškození nebo získání citlivých informací, ale i způsobení nedostupnosti systému, jeho ovládnutí a zneužití k dalšímu útoku, převodu finančních prostředků, pozmění informací anebo způsobení nedostupnosti. A dávno se též už tento pojem nepoužívá jen v kontextu politicky či vojensky motivovaných útoků, neboť drtivá většina kybernetických útoků je dnes vedena primárně na soukromé subjekty.

To v posledním dotazníku NUKIB je kybernetický útok definován jistě mnohem výstižněji:

„Jako cílený útok třetí strany na informační infrastrukturu s cílem narušit důvěrnost, integritu a dostupnost informací v informačních systémech nebo narušení bezpečnosti služeb elektronických komunikací.“

Nicméně i zde si musíme položit otázku, zda tuto definici naplňuje i útok vedený ze strany vlastního zaměstnance, který se třeba rozhodne zneužít k provedení útoku informace, které má k dispozici. A dále zda lze dle této definice za kybernetický útok považovat i takový útok, jehož cílem je jen ovládnout a zneužít daný systém a k narušení důvěrnosti, integrity informací a dostupnosti samotného systému tak vůbec nedojde.

Jisté je, že problém s tímto pojmem nemáme jen my, ale i v zahraničí, protože jestliže např. Merriam-Webster definuje kybernetický útok jako: „An attempt to gain illegal access to a computer or computer system for the purpose of causing damage or harm.“, tak slovutná Cambridge pak zase jako: „An illegal attempt to harm someone’s computer system or the information on it, using the internet.“

No a konečně výkladový slovník NIST, který zpravidla nikdy nezklame, pak definuje kybernetický útok možná na první pohled trochu kostrbatě:

„An attack, via cyberspace, targeting an enterprise’s use of cyberspace for the purpose of disrupting, disabling, destroying, or maliciously controlling a computing environment/infrastructure; or destroying the integrity of the data or stealing controlled information.“

Ale přesto je v této definici obsaženo, zdá se, vše podstatné k tomu, aby bylo zřejmé, co je a není kybernetický útok. Možná vám tohle vše přijde jako slovíčkaření, ale správná definice rozhoduje o tom, kolik kybernetických útoků je pak jednotlivými organizacemi a státy detekováno a hlášeno.

Je nasnadě, že pokud se neshodneme ani v odpovědi na tuto naprosto fundamentální otázku, tak těžko pak můžeme porovnávat třeba odpovědí týkající se počtu kybernetických útoků a vyvozovat z nich nějaké závěry ohledně toho, jaká je úroveň kybernetické bezpečnosti v dané organizaci. A vzhledem k tomu, že neexistuje ani taxonomie hrozeb a tedy i útoků, nemůžeme už vůbec mluvit o tom, kolik bylo útoků daného typu.

To, že daná organizace reportuje výrazně méně útoků než jiná organizace obdobné velikosti nebo dokonce působící i ve stejném odvětví národního hospodářství, nemusí vůbec nic znamenat a onen rozdíl může být způsoben právě tím, co se rozhodnou označit za útok a jak se budou jednotlivé útoky počítat.

Pokud se shodneme, že např. phishing e-mail se škodlivým kódem budeme považovat za kybernetický útok, tak co když vám takových e-mailů přijde do firmy během dne třeba 100? A co když vám jich bude chodit 100 každý den? A co když ty e-maily budou zahazovány už na vstupu nějakým tím antiphishing/antimalware řešením? A co když vás bude někdo skenovat a hledat zranitelnosti ve vaší infrastruktuře? A co když vás někdo bude takhle skenovat každý den? Budete pak i tyhle útoky vyhodnocovat a hlásit? A jak budete jejich počet počítat?

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Co je a není kybernetický útok” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: