Co je a není kybernetický útok

Publikováno: 04. 02. 2020, v rubrice: Bezpečnost, autor: , zobrazeno: 3 052x

Na první pohled možná celkem jasná otázka a neméně jasná odpověď, jenže není tomu tak.

Ani po několika letech nemáme úplně jasno, co je a není kybernetický bezpečnostní incident a tápeme i v tom, co je kybernetická hrozba, takže se nelze divit, že máme problém i s definicí toho, co je to kybernetický útok (cyber attack).

Když se podíváme do ZoKB nebo VoKB, tak ani v nich není tento pojem exaktně definován, což je zvláštní, když si uvědomíme, že tento zákon a vyhláška by měly reagovat na aktuální situaci v kyberprostoru a kybernetické útoky vedoucí zpravidla k narušení kybernetické bezpečnosti a tedy i vzniku kybernetického bezpečnostního incidentu.

O moc moudřejší nebudeme, ani když nahlédneme do oficiálního výkladového slovníku kybernetické bezpečnosti, na stránkách vládního CERT, kde je kybernetický útok definován takto:

„Útok na IT infrastrukturu za účelem způsobit poškození a získat citlivé či strategicky důležité informace. Používá se nejčastěji v kontextu politicky či vojensky motivovaných útoků.“

Jednak cílem útoku nemusí být vždy poškození nebo získání citlivých informací, ale i způsobení nedostupnosti systému, jeho ovládnutí a zneužití k dalšímu útoku, převodu finančních prostředků, pozmění informací anebo způsobení nedostupnosti. A dávno se též už tento pojem nepoužívá jen v kontextu politicky či vojensky motivovaných útoků, neboť drtivá většina kybernetických útoků je dnes vedena primárně na soukromé subjekty.

To v posledním dotazníku NUKIB je kybernetický útok definován jistě mnohem výstižněji:

„Jako cílený útok třetí strany na informační infrastrukturu s cílem narušit důvěrnost, integritu a dostupnost informací v informačních systémech nebo narušení bezpečnosti služeb elektronických komunikací.“

Nicméně i zde si musíme položit otázku, zda tuto definici naplňuje i útok vedený ze strany vlastního zaměstnance, který se třeba rozhodne zneužít k provedení útoku informace, které má k dispozici. A dále zda lze dle této definice za kybernetický útok považovat i takový útok, jehož cílem je jen ovládnout a zneužít daný systém a k narušení důvěrnosti, integrity informací a dostupnosti samotného systému tak vůbec nedojde.

Jisté je, že problém s tímto pojmem nemáme jen my, ale i v zahraničí, protože jestliže např. Merriam-Webster definuje kybernetický útok jako: „An attempt to gain illegal access to a computer or computer system for the purpose of causing damage or harm.“, tak slovutná Cambridge pak zase jako: „An illegal attempt to harm someone’s computer system or the information on it, using the internet.“

No a konečně výkladový slovník NIST, který zpravidla nikdy nezklame, pak definuje kybernetický útok možná na první pohled trochu kostrbatě:

„An attack, via cyberspace, targeting an enterprise’s use of cyberspace for the purpose of disrupting, disabling, destroying, or maliciously controlling a computing environment/infrastructure; or destroying the integrity of the data or stealing controlled information.“

Ale přesto je v této definici obsaženo, zdá se, vše podstatné k tomu, aby bylo zřejmé, co je a není kybernetický útok. Možná vám tohle vše přijde jako slovíčkaření, ale správná definice rozhoduje o tom, kolik kybernetických útoků je pak jednotlivými organizacemi a státy detekováno a hlášeno.

Je nasnadě, že pokud se neshodneme ani v odpovědi na tuto naprosto fundamentální otázku, tak těžko pak můžeme porovnávat třeba odpovědí týkající se počtu kybernetických útoků a vyvozovat z nich nějaké závěry ohledně toho, jaká je úroveň kybernetické bezpečnosti v dané organizaci. A vzhledem k tomu, že neexistuje ani taxonomie hrozeb a tedy i útoků, nemůžeme už vůbec mluvit o tom, kolik bylo útoků daného typu.

To, že daná organizace reportuje výrazně méně útoků než jiná organizace obdobné velikosti nebo dokonce působící i ve stejném odvětví národního hospodářství, nemusí vůbec nic znamenat a onen rozdíl může být způsoben právě tím, co se rozhodnou označit za útok a jak se budou jednotlivé útoky počítat.

Pokud se shodneme, že např. phishing e-mail se škodlivým kódem budeme považovat za kybernetický útok, tak co když vám takových e-mailů přijde do firmy během dne třeba 100? A co když vám jich bude chodit 100 každý den? A co když ty e-maily budou zahazovány už na vstupu nějakým tím antiphishing/antimalware řešením? A co když vás bude někdo skenovat a hledat zranitelnosti ve vaší infrastruktuře? A co když vás někdo bude takhle skenovat každý den? Budete pak i tyhle útoky vyhodnocovat a hlásit? A jak budete jejich počet počítat?

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. Anatomie útoku: plošný vs. cílený útok
  2. Co je a není bezpečnostní incident
  3. Cyber threat management
  4. Skutečný počet obětí kybernetických útoků neznáme
  5. Sorry jako, ale nemyslím si, že by se jednalo o nějaký obzvlášť sofistikovaný útok

Štítky:


K článku “Co je a není kybernetický útok” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: