Co je a není kybernetický útok
Na první pohled možná celkem jasná otázka a neméně jasná odpověď, jenže není tomu tak.
Ani po několika letech nemáme úplně jasno, co je a není kybernetický bezpečnostní incident a tápeme i v tom, co je kybernetická hrozba, takže se nelze divit, že máme problém i s definicí toho, co je to kybernetický útok (cyber attack).
Když se podíváme do ZoKB nebo VoKB, tak ani v nich není tento pojem exaktně definován, což je zvláštní, když si uvědomíme, že tento zákon a vyhláška by měly reagovat na aktuální situaci v kyberprostoru a kybernetické útoky vedoucí zpravidla k narušení kybernetické bezpečnosti a tedy i vzniku kybernetického bezpečnostního incidentu.
O moc moudřejší nebudeme, ani když nahlédneme do oficiálního výkladového slovníku kybernetické bezpečnosti, na stránkách vládního CERT, kde je kybernetický útok definován takto:
„Útok na IT infrastrukturu za účelem způsobit poškození a získat citlivé či strategicky důležité informace. Používá se nejčastěji v kontextu politicky či vojensky motivovaných útoků.“
Jednak cílem útoku nemusí být vždy poškození nebo získání citlivých informací, ale i způsobení nedostupnosti systému, jeho ovládnutí a zneužití k dalšímu útoku, převodu finančních prostředků, pozmění informací anebo způsobení nedostupnosti. A dávno se též už tento pojem nepoužívá jen v kontextu politicky či vojensky motivovaných útoků, neboť drtivá většina kybernetických útoků je dnes vedena primárně na soukromé subjekty.
To v posledním dotazníku NUKIB je kybernetický útok definován jistě mnohem výstižněji:
„Jako cílený útok třetí strany na informační infrastrukturu s cílem narušit důvěrnost, integritu a dostupnost informací v informačních systémech nebo narušení bezpečnosti služeb elektronických komunikací.“
Nicméně i zde si musíme položit otázku, zda tuto definici naplňuje i útok vedený ze strany vlastního zaměstnance, který se třeba rozhodne zneužít k provedení útoku informace, které má k dispozici. A dále zda lze dle této definice za kybernetický útok považovat i takový útok, jehož cílem je jen ovládnout a zneužít daný systém a k narušení důvěrnosti, integrity informací a dostupnosti samotného systému tak vůbec nedojde.
Jisté je, že problém s tímto pojmem nemáme jen my, ale i v zahraničí, protože jestliže např. Merriam-Webster definuje kybernetický útok jako: „An attempt to gain illegal access to a computer or computer system for the purpose of causing damage or harm.“, tak slovutná Cambridge pak zase jako: „An illegal attempt to harm someone’s computer system or the information on it, using the internet.“
No a konečně výkladový slovník NIST, který zpravidla nikdy nezklame, pak definuje kybernetický útok možná na první pohled trochu kostrbatě:
„An attack, via cyberspace, targeting an enterprise’s use of cyberspace for the purpose of disrupting, disabling, destroying, or maliciously controlling a computing environment/infrastructure; or destroying the integrity of the data or stealing controlled information.“
Ale přesto je v této definici obsaženo, zdá se, vše podstatné k tomu, aby bylo zřejmé, co je a není kybernetický útok. Možná vám tohle vše přijde jako slovíčkaření, ale správná definice rozhoduje o tom, kolik kybernetických útoků je pak jednotlivými organizacemi a státy detekováno a hlášeno.
Je nasnadě, že pokud se neshodneme ani v odpovědi na tuto naprosto fundamentální otázku, tak těžko pak můžeme porovnávat třeba odpovědí týkající se počtu kybernetických útoků a vyvozovat z nich nějaké závěry ohledně toho, jaká je úroveň kybernetické bezpečnosti v dané organizaci. A vzhledem k tomu, že neexistuje ani taxonomie hrozeb a tedy i útoků, nemůžeme už vůbec mluvit o tom, kolik bylo útoků daného typu.
To, že daná organizace reportuje výrazně méně útoků než jiná organizace obdobné velikosti nebo dokonce působící i ve stejném odvětví národního hospodářství, nemusí vůbec nic znamenat a onen rozdíl může být způsoben právě tím, co se rozhodnou označit za útok a jak se budou jednotlivé útoky počítat.
Pokud se shodneme, že např. phishing e-mail se škodlivým kódem budeme považovat za kybernetický útok, tak co když vám takových e-mailů přijde do firmy během dne třeba 100? A co když vám jich bude chodit 100 každý den? A co když ty e-maily budou zahazovány už na vstupu nějakým tím antiphishing/antimalware řešením? A co když vás bude někdo skenovat a hledat zranitelnosti ve vaší infrastruktuře? A co když vás někdo bude takhle skenovat každý den? Budete pak i tyhle útoky vyhodnocovat a hlásit? A jak budete jejich počet počítat?
Štítky: kybernetická bezpečnost
K článku “Co je a není kybernetický útok” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.