Informácií je dnes viac ako kedykoľvek predtým. Spracúvanie informácií prebieha rýchle a vo veľkom rozsahu, prevažne elektronicky. Výsledkom toho sa aj hrozby presúvajú do abstraktného kybernetického priestoru. Nasledujúci text je úryvkom z knihy „Príručka manažéra kybernetickej bezpečnosti".
Závislosť na spätnej väzbe
Systémy v prírode aj technike majú jednu spoločnú vlastnosť – vymieňajú si informácie. Tie následne podľa svojich vlastných potrieb spracovávajú, využívajú alebo si ich zapamätajú. Ak si jednotlivé komponenty akéhokoľvek systému či organizmu vymieňajú informácie, vznikajú medzi nimi informačné väzby, vzťahy. Spätná väzba (angl. „feedback“) je taký systémový vzťah, ktorým sa vykoná prenos časti výstupnej informácie na pôvodný informačný vstup, alebo na nový informačný vstup.
Všetky dynamické systémy sa vzájomne ovplyvňujú a ich reakcie závisia len na spôsobe odovzdávania a prijímania informácií. To platí rovnako pre človeka, pre počítače, pre zvieratá, rastliny, astronomické objekty, ale aj pre výrobné linky, dopravu, vojenské operácie, či pre riadenie štátov. Závislosť na spätnej väzbe je univerzálna a platí pre celý známy i neznámy vesmír. Kybernetika je veda o komunikácii dynamických systémov.
Kybernetika s bezpečnosťou súvisí iba nepriamo.
Životné priestory
“Priestor" si zvyčajne spájame s fyzickým vymedzením, ktoré vnímame zmyslami. V prenesenom zmysle sa týmto pojmom označujú aj abstraktné prostredia v ktorých žijeme fyzicky, či virtuálne: osobný, verejný, ekonomický, informačný priestor. Pri snahe o kategorizáciu priestorov a väčšiu úroveň detailu by sme z informatiky zachádzali až do filozofických vied.
Pojem kybernetický priestor bol popularizovaný v roku 1984 v kyberpunkovom sci-fi románe Neuromancer od Williama Gibbsona. Neskôr sa tento výraz spájal najmä s počítačovými hrami a postupne prepájanými počítačovými sieťami. Časť románu, ktorá je zvyčajne citovaná, je nasledujúca: „Kybernetický priestor. Hromadná halucinácia, ktorú denne prežívajú miliardy oprávnených v každom z národov, v ktorých sa deti učia matematické pojmy... Grafické zobrazenie údajov získaných z každého počítača v ľudskom systéme. Nepredstaviteľná zložitosť. Riadky svetla rozprestierajúce sa v medzipriestore mysle, zhlukov a súhvezdí dát. Ako ustupujúce svetlá miest...“
Takýto poetický opis je, samozrejme, len umeleckou predstavou spisovateľa, navždy mu však bude patriť historické „čestné“ miesto medzi definíciami kybernetického priestoru. V odbornej oblasti sa však používajú formálne definície.
Podľa slovenského zákona o kybernetickej bezpečnosti je kybernetickým priestorom globálny dynamický otvorený systém sietí a informačných systémov, ktorý tvoria aktivované prvky kybernetického priestoru, osoby vykonávajúce aktivity v tomto systéme a vzťahy a interakcie medzi nimi. Definícia použitá v Zákone, nie je menšinová a obstojí aj v porovnaní s technickými normami, alebo aj s inou, než národnou legislatívou.
Informačná bezpečnosť je situácia, v ktorej sú informácie považované za bezpečné. Je to časť informačného manažmentu bez ohľadu na fyzikálnu povahu dát, ich formát, spôsob ich interpretácie a bez ohľadu na médium, prostredníctvom ktorého sú uchovávané a prenášané. Podľa definície: informačná bezpečnosť je zachovanie dôvernosti, integrity a dostupnosti informácií [ISO/IEC 27032, čl. 2.33].
Na druhej strane kybernetická bezpečnosť je zachovanie dôvernosti, integrity a dostupnosti informácií v kybernetickom priestore [ISO/IEC 27032, čl. 4.20].
Vzťah týchto dvoch oblastí je teda inkluzívny: „kybernetická bezpečnosť“ je podmnožinou množiny „informačná bezpečnosť“ preto, že všetky jej prvky sú zároveň prvkami množiny „informačná bezpečnosť“, zatiaľ čo inverzne toto tvrdenie neplatí. Cieľ je rovnaký – ochrana informácií, ale bezpečnosť „kybernetická“ sa týka len informácií v kontexte kybernetického priestoru.
Zjednodušene sa dá tvrdiť, že v dnešnej informačnej dobe sa prídavné meno „kybernetický“ chápe ako synonymum výrazu „týkajúci sa kybernetického priestoru“, teda v prenesenom zmysle „elektronicky spracúvaný“. Zo všetkých definícií vyplýva, že predpona „kyber“ nadobúda zmysel vtedy a práve vtedy, ak je predmet diskusie v oblasti elektronického spracovania dát.
Bezpečnosť ako merateľný stav
Podľa slovníka (ISBN 8022409324) je bezpečnosť stav bez reálneho nebezpečenstva alebo hrozby. Bezpečnosť nie je subjektívny pocit bezpečia, ale objektívny a merateľný stav bez nebezpečenstva, alebo tiež - kvantifikovateľný stav rizika.
Pojem bezpečnosť pôvodne pochádza z latinského „securitas“, čo znamenalo bezstarostnosť, bezpečnosť, istotu, pokoj, ochranu a zabezpečenie. V každom význame je to stav, v ktorom je chránený život, zdravie, prostredie či majetok.
V rámci spoločenských vied je bezpečnosť vnímaná ako súhrn spoločenských vzťahov, ktoré upravuje právo a ktoré chránia záujmy fyzických a právnických osôb, záujmy spoločnosti a ústavné zriadenie. Je to najvyššia miera nebezpečenstva, ktorú spoločnosť v určitej oblasti života pripúšťa.
Bezpečnosť informácií sa dá stanoviť a merať prostredníctvom jej troch základných kvalitatívnych atribútov: dôvernosti, dostupnosti a integrity. (Pozornému čitateľovi iste neunikne, že tieto atribúty sú niekoľkokrát opakované aj v GDPR - isteže to je o bezpečnosti údajov...)
Dôvernosť – je určiteľná hodnota, do akej je prístup k informácii obmedzený pre vopred definovanú entitu, ktorá je efektívne oprávnená na prístup k tejto informácii
Dostupnosť - je atribút spoľahlivosti informácie a zároveň aj bezpečnostná požiadavka, ktorá je paradoxne typicky ako jediná, zahrnutá do zmlúv o úrovni poskytovaných služieb (SLA)
Integrita – je určiteľná hodnota, do akej sú informácie aktuálne a bezchybné.
Detailnejšie definície a spôsob určovania a merania týchto hodnôt nájdete v technických normách.
Kybernetická bezpečnosť sa týka opatrení, ktoré by zainteresované strany mali podniknúť na zaručenie bezpečnosti informácií v kyberpriestore.
Kyberbezpečnosť zohľadňuje opatrenia z rôznych subdomén: aplikačnej bezpečnosti, sieťovej bezpečnosti, internetovej bezpečnosti, bezpečnosti priemyselných riadiacich systémov, bezpečnosti kritickej infraštruktúry a ďalších. Dotýka sa aj citlivých oblastí ako národná obrana, vyšetrovanie počítačovej kriminality a ochrana života a zdravia občanov.
Nemýľme si objekt so subjektom
Na bezpečnosť sa dá nazerať dvoma spôsobmi: objektívne – ako na skutočnú absenciu hrozieb, alebo subjektívne – ako na dôsledok absencie vnímania ohrozenia.
Ak chceme nájsť hranicu medzi tým čo je a čo už nie je kybernetická bezpečnosť, musíme rozlišovať, či sa na definíciu kybernetickej bezpečnosti pozeráme z pohľadu pozorovateľa (subjektu), ktorého sa elektronicky spracúvané informácie týkajú, alebo z hľadiska predmetu pozorovania (objektu). Dáta a informácie v tomto vzťahu predstavujú OBJEKT, zatiaľ čo ľudia, ktorí vnímajú dopad hrozieb sú SUBJEKT pozorovania. Aj v právnej teórii je objekt predmetom, či cieľom, ktorý má byť právnym vzťahom v súvislosti s predmetom dosiahnutý, upravený. Za objekt sa považujú statky, aktíva, prípadne stav týchto prvkov. V tomto prípade tzv. informačné aktíva a ich prípadný stav, či charakteristika (bezpečnosť, alebo jej absencia).
Rozdielne ponímanie odborovej kategorizácie bezpečnosti spočíva v chybnom presadzovaní pohľadu najmä z pozície subjektu a určitom vedomom potláčaní podstaty, či existencie objektu. Objektom ochrany je faktické zaručenie bezpečnosti informácií, nie pocit bezpečia vlastníkov informácií.
Abstraktný model bezpečnosti
V opise artefaktov ktorými chceme pomenovať jednotlivé fázy, činnosti, a stavy v bezpečnosti, je možné inšpirovať sa z normy NIST SP 800-53 Security and Privacy Controls, ktorá v jednej zo svojich verzií navrhla schému vzťahov medzi jednotlivými komponentami a pojmami v bezpečnosti, spojených do tzv. modelu dôveryhodnosti.
Vzťah medzi kľúčovými komponentami v modeli bezpečnosti:
V prvom kroku vedúcemu ku stavu bezpečnosti (t. j. spoľahlivosti) informačných aktív by mali vlastníci týchto aktív transparentne definovať bezpečnostné požiadavky.
Bezpečnostné požiadavky by mali byť odvodené od cieľov organizácie a odvodené od prevádzkových požiadaviek, od požiadaviek právnych predpisov a na základe technických noriem. Bezpečnostné požiadavky sa typicky definujú v bezpečnostnej stratégii. Ňou sa zároveň deklaruje záväzok vedenia organizácie ku podpore informačnej a kybernetickej bezpečnosti v organizácii.
Aby sa dosiahla požadovaná vyspelosť ochrany informačných aktív a aby mohli byť splnené ciele stanovené v bezpečnostných požiadavkách, organizácia musí zaručiť určité spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti.
Spôsobilosti je možné dosiahnuť len reálnym konaním a zmenami vo fyzickom svete. Za účelom dosiahnutia spôsobilostí je potrebné aplikovať určité bezpečnostné funkcie, t. j. nastaviť vlastnosti prostredia, spustiť poskytovanie určitých služieb, implementovať bezpečnostné mechanizmy, stanoviť postupy týkajúce sa ochrany informačných aktív.
Bezpečnostnými opatreniami sa nazývajú práve tie úlohy, procesy, roly a technológie, ktoré zaručujú plnenie potrebných bezpečnostných funkcií, a teda sprostredkovane bezpečnostných spôsobilostí, a bezpečnostných požiadaviek stanovených stratégiou informačnej a kybernetickej bezpečnosti.
Hlásenia o incidentoch, správy auditu, správy z testovania, hlásenia o chybách, výsledky analýzy zraniteľností, hrozieb a rizík, popisy konfigurácií, riadenie súladu a vnútorná kontrola sú často chybne zamieňané s pojmom opatrenie. Avšak tieto typy aktivít, procesov, a výstupov nie sú podľa technických noriem bezpečnostným opatrením, ale dôkazmi o stave bezpečnosti a procesmi pre overovanie efektivity bezpečnostných opatrení (viď. napríklad spomínanú NIST SP 800-53 Security and Privacy Controls).
Kyberbezpečnosť ako moderný výraz
Pojem "kyber" sa stáva trendovým. Pokiaľ ide o politikov a manažérov, u nich mnohokrát nadužívanie výrazu „kyber“ spočíva najmä v selfmarketingu. Pretože výraz „kybernetický“ ako aj predpony „kyber“ či „cyber“ znejú príťažlivo a prednášajúceho to v očiach poslucháčov robí odborne zdatnejším.
Korelácia nie je kauzalita a bolo by nekorektné tvrdiť, že predponu „kybernetický“ alebo „cyber“ je potrebné používať pri každej ľudskej činnosti, pre ktorú je dôležité počítačové spracovanie dát. Pojem „kybernetická bezpečnosť“ by mal byť používaný len v kontexte ochrany informácií v kybernetickom priestore.
Prečo je teda časť bezpečnosti „kybernetická“? Pretože sa týka ochrany údajov a informácií v kybernetickom priestore. Ale nie je to kybernetika.
