dnes je 28.3.2024

Input:

Bezpečnost informačního systému: hrozby, rizika, útoky a havarijní plán

17.5.2022, , Zdroj: Verlag Dashöfer

6.5.5
Bezpečnost informačního systému: hrozby, rizika, útoky a havarijní plán

RNDr. Dagmar Brechlerová, Ph.D., České vysoké učení technické v Praze, Fakulta biomedicínského inženýrství, Kladno

Úvod do problematiky bezpečnosti informačního systému

Informační technologie hrají v dnešní společnosti stále větší roli, urychlují pokrok a usnadňují práci jednotlivým uživatelům informačních systémů. Avšak právě dnešní informační trendy a nejnovější technologie v oblasti výpočetní techniky a elektronické komunikace zvyšují riziko pro informační bezpečnost. Prudký rozvoj informačních technologií je totiž provázen i stejně dynamickým rozvojem v oblasti počítačové kriminality, což si vynucuje potřebu činit opatření v oblasti ochrany proti útokům v rámci organizace nebo mimo ni.

Informační technologie zaznamenaly v posledních zhruba 30 letech masové rozšíření mezi všechny vrstvy populace. Došlo k výraznému pokroku v oblasti hardwarových prostředků a také odpovídajícímu rozvoji programového vybavení. Internetová nebo mobilní komunikace je denní součástí životů obyvatel velké části světa. Informační technologie slouží k šíření a prohlubování poznatků i v dalších oblastech, jako jsou věda nebo např. medicína. Využívání informačních technologií pro sdílení zdravotnických informací je dnes naprostou samozřejmostí, dokonce je v řadě případů povinné (eRecept apod.).

Tento vývoj má ale i svoje stinné stránky. Internet a mobilní komunikace mohou být cílem kriminálních aktivit, mohou však také prostě selhat. Vzhledem k tomu, že součástí informačního sytému je skoro vždy člověk, je přirozené, že člověk má obvykle svůj podíl také na případném selhání. Před tímto nebezpečím je nutné informační systém chránit. Jedním ze základních způsobů ochrany je např. využívání silné autentizace jméno a silné heslo využití biometrických údajů (sken obličeje, otisk prstu), které je v současnosti velmi využívané.

Součástí celkového řešení však musí být řada dalších dílčích kroků. Zabezpečení větších celků nebo organizací je třeba tedy řešit rámcově, a to účinným řízením bezpečnosti organizace.

Zejména ve zdravotnictví je nutno si uvědomit, že údaje o pacientech (např. zdravotní stav, sexuální orientace apod.) jsou údaji nejen osobními, ale dokonce citlivými ve smyslu GDPR a navazujícího zákona č. 110/2019 Sb., o zpracování osobních údajů a jejich zneužití podléhá přísným sankcím. Dalším závažným problémem je fakt, že chybu, jakou znamená prozrazení zdravotních údajů, nelze nijak napravit. Na rozdíl např. od čísla bankovního účtu nemůžeme změnit krevní skupinu, informace o chronickém onemocnění či další důležité údaje o pacientech. Navíc, pokud dojde k nějaké havárii a některé zdravotní údaje bychom měli pouze v elektronické podobě v jedné verzi bez zálohování, mohlo by to mít za následek nenávratnou ztrátu či dokonce vést k ohrožení zdraví pacientů. Představme si například, že bude vymazána databáze vyšetření vedená jen elektronicky nebo registr dárců krve či laboratoř, jejíž informační systém zkolabuje. Průběžné zálohování zde musí mít pevné místo.

Informační bezpečnost je nedílnou součástí budování informačních systémů. Významným a základním prvkem v bezpečnosti organizace je tzv. bezpečnostní politika. Jejím cílem je ochrana majetku, pověsti a předmětu činnosti organizace. Bez pevně stanovených pravidel se organizace nebo společnost vystavuje zvýšenému riziku ohrožení při kybernetickém útoku, při selhání zařízení či úložiště a dalších situacích.

Bezpečnostní politika samotná není zárukou úspěchu v oblasti zabezpečení informačního systému organizace, dalším a velmi důležitým krokem je i její aktivní prosazování, monitoring a tvorba bezpečnostních standardů. Soukromé nebo státní instituce by měly mít aktivní zájem na řízení své bezpečnosti (často i ze zákona musejí, viz zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů). Tento zákon sice ve zdravotnictví dopadá jen na největší nemocnice, ale může být vodítkem (zejména jeho doprovodné texty jako vyhlášky) i pro menší instituce. Vyplatí se jim to i po stránce ekonomické, jelikož je mnohem jednodušší odstranit případné ohrožení nebo slabinu systému, než následně likvidovat vzniklé škody.

Důležitou součástí bezpečnostní politiky organizace je havarijní plán. Zdravotnické zařízení, jako je například velká nemocnice, má obvykle samostatné IT oddělení, jehož některý pracovník se bezpečnosti IT věnuje, nebo si nemocnice pro tuto činnost najme specializovanou firmu. Ale i menší či dokonce malá zařízení musejí tuto situaci řešit. Tento text se věnuje také havarijním plánům a jejich významu a je určen pro jednotlivou ordinaci nebo menší pracoviště několika lékařů, případně pro jednotlivého lékaře, který využívá osobní počítač s některým zdravotnickým IS, a o tuto techniku pečuje buď sám, nebo s pomocí osoby zkušené ve využívání výpočetní techniky.

Pojem bezpečnost informačního systému (IS)

Před výkladem o havarijních plánech je zapotřebí vysvětlit základní pojmy z oblasti bezpečnosti IT. Pojem bezpečnost informačního systému bývá chápán různě. Obvykle se pod tímto termínem rozumí bezpečnost jak hardwaru a softwaru, tak informací v něm uchovávaných, přenášených a zpracovávaných. Patří sem dále i komunikační, fyzická a personální bezpečnost, ochrana před přírodními hrozbami apod. Často bývá tato bezpečnost zužována pouze na ty části IS, které jsou provozovány s pomocí výpočetní techniky. To je velmi nesprávné, neboť i dobře zabezpečený výpočetní systém je bezcenný, pokud ostatní části jako fax, papírové dokumenty (např. papírové karty pacientů atd.) jsou volně přístupné. O jak komplexní problém se jedná, je jasné z definice, co se pod pojmem bezpečnost IS rozumí. Za bezpečný se považuje IS zajištěný fyzicky, administrativně, logicky a technicky. Absolutně bezpečný systém ale neexistuje.

Mezinárodní normalizační organizace ISO definuje bezpečnost IS jako zajištění proti nebezpečím, minimalizaci rizik a komplex administrativních, logických, technických a fyzických opatření pro prevenci, detekci a opravu nesprávného použití IS.

Základní pojmy bezpečnosti IS

Pro základní výklad pojmů bezpečnosti rozložíme IS na komponenty:

  • hardware (dále HW) – procesor, paměti, terminál, datová úložiště, chytrý telefon apod. (v zásadě "hmatatelné" prvky),

  • software (dále SW) – aplikační programy, operační systém apod. (programové vybavení),

  • data – data v zařízeních, data v databázi, vstupní a výstupní data, data o pacientech, data posílaná mezi laboratoří a lékařem apod.

Data, HW a SW tvoří tzv. aktiva organizace, pro organizaci je to určitá hodnota. Informační systém jsou pak aktiva a lidé. Pro doplnění uvádíme dvě další používané definice:

1. Informační systém je množina lidí, dat a postupů, které působí společně pro získání užitečných informací.

2. Informační systém je množina lidí, postupů a techniky, navržené, postavené, provozované a udržované pro potřeby sběru, zaznamenávání, zpracování, uchovávání, vyhledávání a zpřístupňování informací.

Obecně z hlediska výkladu bezpečnosti IS není podstatné, jak je daný IS orientován, např. IS univerzity, zdravotní IS, IS pro výzkum, IS bankovní, personální agenda apod. Je pravda, že některé složky bezpečnosti mohou být v konkrétním případě, v různých oblastech významnější. Je nutné upozornit, že pohled na bezpečnost IS ve státních (vojenských, policejních) a komerčních (obchodních, finančních) sektorech se bude lišit. Ve zdravotnictví je pak nezbytné mít stále na paměti, že IS obsahuje osobní a citlivé údaje pacientů a musí být chráněna především důvěrnost těchto dat.

Důležitými pojmy v oblasti bezpečnosti jsou bezpečnostní hrozba, bezpečnostní útok, bezpečnostní mechanismus a bezpečnostní funkce (služby). Problémem je, že v této oblasti existuje řada různých definic – jinak jsou tyto pojmy definovány obecně, jinak třeba pouze v oblasti bezpečnosti sítí.

V IS rozlišujeme objekty IS a subjekty IS. Objekt IS je pasivní, přístupný tzv. autorizovaným subjektům IS, je to např. soubor s daty pacientů. Subjekt IS je aktivní (osoba, proces), autorizovatelný pro práci s objektem, změnu stavu objektu, získání informací z objektu, tedy čtení určitého souboru, zápis do něj, prohlížení souboru apod. Autorizace subjektu znamená určení, že daný subjekt je z hlediska této činnosti důvěryhodný. S tím souvisí pojem autentizace, což je proces ověření pravosti identity, např. autentizace heslem, pomocí otisku prstu apod.

  • Hrozba je možné nebezpečí, že bude využito zranitelnosti systému.

  • Útok je každá akce, která kompromituje bezpečnost informací vlastněných organizací.

  • Zranitelnost je nedostatek nebo slabina bezpečnostního systému, která může být zneužita hrozbou tak, že dojde k poškození nebo zničení hodnoty aktiv.

  • Každý IS je zranitelný, implementace tzv. bezpečnostní politiky pouze snižuje pravděpodobnost úspěchu útoku, případně útok zpomaluje, v žádném případě jej však zcela neeliminuje.

  • Bezpečnostní mechanismus je mechanismus, který útok detekuje, působí preventivně či pomáhá systému zotavit se z bezpečnostního útoku.

  • Bezpečnostní služby – funkce (security services). Bezpečnostní služba je služba, která zvětšuje, zvyšuje bezpečnost systému při zacházení s daty a informacemi. Někdy se definují security services (bezpečnostní služby) jako služby poskytované systémem z důvodu zajištění adekvátní bezpečnosti.

Bezpečnostní služby

Mezi bezpečnostní služby můžeme počítat následující:

a) Důvěrnost (confidentiality) znamená přístup k aktivům (např. k chráněným datům pacientů) pouze pro autorizovaný subjekt, tj. např. lékaře. Jedná se o identifikaci a výběr toho, kdo smí provádět operace typu číst, tisknout, vidět nebo pouze vědět o existenci objektu. Někdy se také nazývá tajnost (angl. Secrecy, privacy). Problém je s určením, kdo je důvěryhodný, a co to je porušení důvěrnosti, zda je porušením vidět např. jen slovo, kus textu apod. Tento problém je velmi závažný a zásadní. Tato složka zajištění bezpečnosti je nejznámější a asi nejlépe pochopitelná. Pouze určený příjemce bude číst daný obsah dokumentu. Je to ochrana proti tzv. pasivnímu útoku. S ohledem na obsah zprávy (souboru) mohou být identifikovány různé hladiny utajení. Nejširší, nejrozšířenější služby chrání při transportu veškerý obsah zprávy mezi dvěma uživateli po určenou dobu. Např. u privátní sítě, která je vytvořena mezi dvěma systémy, je obsah chráněn po celou dobu přenosu touto privátní sítí. Některá řešení také umožňují chránit pouze určitou část zprávy. Ovšem řešení určená pro transport nechrání obsah uložený po doručení, což je často vysoce žádoucí. Porušením důvěrnosti ve zdravotnictví může být již to, že některý pacient je evidován v určité databázi (psychiatrických pacientů, HIV pozitivní apod.). Tedy, aniž je záznam o něm prozrazen, již existence tohoto záznamu je prozrazením důvěrnosti.

b) Integrita – modifikace aktiv (HW, SW, data) je možná pouze autorizovanou stranou – subjektem a pouze autorizovaným způsobem. Jen subjekt smí např. psát, měnit, měnit status, mazat, vytvářet. Z hlediska zasílání informací integrita zaručuje, že zpráva (message) nebyla během transportu mezi zdrojem a konečným cílem pozměněna, resp. pokud je pozměněna, je možno to rozeznat. Prověření integrity zprávy znamená použití takových technických prostředků, které jsou schopny prokázat pozměnění dat. Problémem je, že integritu lidé chápou různě, nejčastěji si pod tímto pojmem představují ochranu preciznosti, přesnosti, nemodifikovatelnosti či modifikovatelnost pouze přijatelným způsobem, přijatelnou cestou, autorizovaným procesem, konzistenci apod. Ve zdravotnictví je zásadní věcí možnost prokázat, že elektronický záznam o pacientovi je možno změnit pouze definovanou osobou (lékař, sestra) a pouze definovaným způsobem.

c) Autentičnost – lze zjistit původce informací. Je to schopnost zajistit, že lze dokázat, že autorem zprávy (záznamu) je určitá osoba a nemůže to popřít. Avšak sem patří i schopnost zajistit, že spojení není přerušeno třetí stranou.

d) Neopakování – proces, který dokazuje platně, že uživatel provedl transakci, se nazývá neopakování. Tedy zajištění toho, že někdo nezneužil odchycených údajů k opakování zaslání zprávy apod.

e) Přístupnost, dostupnost – autorizovaný subjekt musí mít přístup k aktivům, nedojde k odmítnutí služby, tj. nemůžeme např. zajistit důvěrnost tak, že k datům není přístup, že je nikdo nesmí číst, tj. že by subjekt nedostal to, na co má právo. Další možná definice: Vlastnost, že daná služba je dostupná, když je zapotřebí, a to bez zbytečného zdržení. Nejčastějším útokem proti dostupnosti, tj. opakem dostupnosti, je tzv. (Distributed) denial of service - (D)DOS. Jde o takový útok, který zahltí množstvím požadavků určité stránky/server, následkem čehož dojde k přetížení a stránky či služba nemohou reagovat.

f) Access control – je schopnost řídit přístup ke zdrojům.

Hlediska bezpečnosti a jejich vztah

Za původní tři významné bezpečnostní služby byly původně považovány utajení, přístupnost a integrita. Tyto tři výše uvedené cíle se mohou překrývat, ale i vylučovat, je nutno vždy určit nějaký přijatelný kompromis. Pro různé organizace je tento kompromis různý, záleží na tom, co preferují, zda např. rychlost poskytování informací, nebo naopak silné utajení apod. Jiné preference bude mít lékař, jiné prodejce letenek a jiné některá ze složek armády či ministerstvo.

Obr. 1 Vztah jednotlivých hledisek bezpečnosti

Výše uvedená hlediska se považují za klasická, dnes se k nim navíc počítají:

  • prokazatelnost odpovědnosti,

  • nepopíratelnost odpovědnosti,

  • spolehlivost,

  • autentičnost, pravost, hodnověrnost,

  • neodmítnutí – odesílatel nemůže zapřít odeslání zprávy.

A je možno nalézt řadu dalších důležitých položek bezpečnosti.

Funkce prosazující bezpečnost

Při zabezpečení systému určíme tzv. bezpečnostní cíle a ty chceme prosadit, proto použijeme funkce IS, které přispívají ke splnění bezpečnostních cílů, jsou to funkce prosazující bezpečnost. Bezpečnostní mechanismus pak implementuje funkci prosazující bezpečnost. Tento mechanismus může být slabý, střední či silný.

Typy mechanismů

Mechanismy rozeznáváme:

  • logické – kryptografie, normy, autentizace zpráv, etické normy, řízení přístupu,

  • technické – šifrovače, autentizační a identifikační karty,

  • fyzické – trezory, stínění, zámky apod.

Důvěryhodný IS

Důvěryhodný IS (subjekt či objekt) je entita, o které je podán důkaz, že její chování je v souladu s určenou bezpečnostní politikou, že jí můžeme věřit. Absolutně bezpečný systém neexistuje, jak již bylo uvedeno dříve! Každý IS má nějakou slabinu, nějaké zranitelné místo využitelné k útoku. Útok je využití tohoto zranitelného místa. Zranitelná místa existují např. vzhledem k:

  • chybám v analýze IS,

  • chybám v návrhu IS,

  • chybám v implementaci IS,

  • složitosti SW,

  • existenci skrytých kanálů pro přenos informace.

Zranitelná místa mohou vznikat v celém cyklu vývoje a provozu IS: návrh, specifikace, projekt, konstrukce, provoz. Hrozba je tedy možnost využít zranitelné místo IS k útoku na IS, k útoku na aktiva.

Hrozby mohou být různého druhu. Povodeň, požár, zaplavení místnosti od prasklého potrubí, selhání klimatizace a v důsledku toho selhání počítačů, hacker, který napadl informační systém, vnitřní útočník, lidské pochybení, špatný zápis do souboru, uložení špatné verze souboru apod. Všechny tyto hrozby mohou nějak ohrozit IS.

Subjektivní hrozby – působení lidí

Úmyslné:

  • vnější útočníci – hackeři, špioni, konkurence,

  • vnitřní – vlastní zaměstnanec, který je ve výpovědi, podplacený, vydíraný, chybující, záměrně škodící, ale také třeba členové rodiny, kterým umožníme přístup k zařízení apod., obvykle se udává, že úmyslný útok vnitřního

Nahrávám...
Nahrávám...