Bezpečnost v IT

Náš život se čím dál více přesouvá do online světa. Svět bez informačních a komunikačních technologií je pro naši společnost již téměř nepředstavitelný, ale souvisí s tím řada rizik. Je třeba mít na paměti, že čím více využíváme informační a komunikační technologie, tím více dat o nás tyto technologie ukládají a sdílejí. Stáváme se tak zranitelnějšími a bezpečnost proto značně nabývá na důležitosti.

Kyberkriminalita a kyberbezpečnost

Informační a komunikační technologie jsou oborem, který se velmi rychle vyvíjí. Prudký rozvoj těchto technologií ovšem doprovází podobně rychlý růst kyberkriminality. Jde o druh trestné činnosti, která je páchána v prostředí informačních a komunikačních technologií, včetně počítačových sítí. 

V praxi se bohužel stává, že bezpečnosti nebývá věnována taková pozornost, jaká je potřeba. Požadavky na rychlost, cenu systému nebo málo času na vývoj mohou zavinit nedodržení bezpečnostních zásad. Bezpečnost je pak často chápána jako navíc vynaložené náklady, a je proto zanedbávána. Do systému bývá přidána až později, což ovšem může vyžadovat změny v návrhu, a to může být značně drahé. Vyplatí se proto nastavit si bezpečnostní požadavky již v návrhové fázi celého projektu a důsledně je poté dodržovat. Náklady na vývoj budou sice o něco vyšší, ale v budoucnu mohou ušetřit nejen další vynaložené prostředky a čas za dodatečné opravy, ale mohou předejít například ztrátě, úniku či poškození dat, finančním ztrátám, narušení soukromí, a dalším velmi nepříjemným situacím.

Systém je vždy tak silný, jak je silný jeho nejslabší článek. Tím nejslabším článkem může být i lidský faktor. Řadě následků kybernetických útoků, které jsou zaviněny  lidskou hloupostí či neznalostí, je možné se vyhnout, pokud jsou dodržovány základní principy kybernetické bezpečnosti. Kybernetická bezpečnost je souhrn prostředků, postupů a technologií určených k ochraně sítí, počítačů, programů, dat a informací před útoky, poškozením nebo neoprávněným přístupem k nim. 

Cílem kybernetické bezpečnosti je, mimo jiné, zajištění důvěrnosti, integrity a dostupnosti chráněných informací. Důvěrnost je vlastností zaručující, že informace nebude dostupná neautorizovanému subjektu. Integrita je vlastností, která zaručuje úplnost a přesnost zpracované nebo přenášené informace. Dostupnost zaručuje, že informace bude dostupná autorizovanému subjektu. Dále je třeba zabezpečit autentizaci uživatelů a zdrojů, účtovatelnost operací, ochranu proti neautorizované manipulaci, modifikaci nebo poškození či úplnému zničení informací.

Kryptologie

Kryptologie je věda zabývající se tvorbou a luštěním šifer. Lze ji rozdělit na kryptografii a kryptoanalýzu. Kryptografie je věda o tvorbě šifer, naproti tomu kryptoanalýza je věda o luštění šifer.

Nejprve se v šifrách používaly jednoduché záměny znaků zprávy (tzv. substituce), měnilo se pořadí znaků ve zprávě (tzv. transpozice) nebo byla používána metoda kódové knihy. Postupně se ovšem ukázalo, že pro zajištění vyšší bezpečnosti je zapotřebí používat sofistikovanější šifrovací postupy. Šifry se postupně stávaly stále složitějšími. K jejich použití, analýze a návrhu se začala používat matematika a postupně tak vznikla kryptografie jako věda. 

Kryptografii v dnešní době lze použít nejen k utajování obsahu zpráv, ale rovněž například k prokazování původu doručených zpráv. Představme si, že odesílatel svoji zprávu předává přenosovým systémem, například přes počítačovou síť, příjemci. K přenosovému systému mohou mít však kromě odesílatele a příjemce přístup i neoprávněné osoby. Tyto neoprávněné osoby, útočníci, mohou usilovat o čtení nebo pozměnění přenášených zpráv. Kryptografické techniky umožňují odesílateli a příjemci zajistit ochranu přenášených dat před uvedenými hrozbami. V případě utajování obsahu zpráv nejsou útočníci schopni zjistit, jaké zprávy jsou v přenosovém systému předávány, jedná se o tzv. důvěrnost zpráv. V případě prokazování původu zpráv si příjemce může ověřit, zda přijatá zpráva skutečně pochází od daného odesílatele, zda tedy tato zpráva nebyla během přenosu případným útočníkem nějakým způsobem pozměněna, nebo dokonce nebyla celá podvržena. V tomto případě se jedná o tzv. autentičnost zpráv.

Steganografie

Steganografie je podoborem kryptografie. Jejím cílem je zprávu ukrýt tak, aby si případný útočník nebo nepovolaná osoba nevšimla, že komunikace vlastně vůbec probíhá. V kryptografii si je útočník nebo nepovolaná osoba obvykle vědoma toho, že jsou data sdělována, protože může vidět zašifrovanou zprávu. Při steganografii se útočník nebo nepovolaná osoba nemusí dozvědět, že pozorovaná data obsahují skryté informace. Případné odhalení skryté zprávy pak vlastně znamená její prolomení. Aby ani v tom případě nedošlo k prozrazení obsahu zprávy, kombinuje se steganografie s dalšími šifrovacími metodami.

Kvantová kryptografie

V klasické kryptografii se používají různé matematické metody, aby se zamezilo útočníkům možné získání obsahu přenášené zprávy. Kvantová kryptografie k tomu ovšem používá zákony fyziky, konkrétně kvantové chování jednotlivých fotonů světla. To zajišťuje, že se informace přenášená fotony při odposlechu změní. Útok lze pak snadno detekovat. Výhodou také je, že úspěšný odposlech přitom útočníkovi neposkytne dostatek informací pro narušení bezpečnosti.

Bezpečnost na FIT ČVUT

Výuku bezpečnosti na FITu zajišťuje Katedra informační bezpečnosti, jejímž vedoucím je pan prof. Ing. Róbert Lórencz, CSc. Katedra nabízí bakalářský obor Bezpečnost a informační technologie, jenž bude nahrazen specializací Informační bezpečnost v nové akreditaci bakalářského studijního programu Informatika, který bude vyučován od akademického roku 2021/2022. Dále katedra nabízí navazující magisterskou specializaci s názvem Počítačová bezpečnost.

Pro výzkum v oblasti bezpečnosti je na FITu k dispozici hned několik laboratoří. V Laboratoři etického hackování si mohou studenti vyzkoušet, jak napadnout nebo hackovat různé systémy. Laboratoř forenzní analýzy je věnována zkoumání a zabezpečování digitálních stop pro účely forenzní analýzy. Laboratoř RFID se zabývá výzkumem zabezpečení bezkontaktních a kontaktních čipových karet. Laboratoř vestavné bezpečnosti je zaměřena na bezpečnost Internetu věcí, kyber-fyzikálních systémů a vestavných systémů. Ve spolupráci s Fakultou jadernou a fyzikálně inženýrskou ČVUT vzniká nová laboratoř s názvem Laboratoř kybernetické bezpečnosti jaderných zařízení, která se bude věnovat oblastem jako je etické hackování, penetrační testování a počítačové forenzní vědy.

Během studia bezpečnosti na FITu se tak může student například naučit jak hledat potenciální rizika, zabezpečit počítačové systémy a sítě, navrhovat a realizovat bezpečný hardware a software, ovládat teorii kryptologie a matematických principů počítačové bezpečnosti nebo třeba detekovat útoky v počítačových sítích. Své teoreticky nabyté zkušenosti si pak může vyzkoušet v praxi třeba právě v některé z našich laboratoří.

Foto:

[1] https://asseco.com/files/public/_processed_/csm_Togo_b7ced0b0d4.png

[2] https://images.idgesg.net/images/article/2018/02/security_safety_vulnerability_vulnerabilities_risks_danger_threats_hacking_stealing_phishing_ddos_virus_spyware_malware_crime_thinkstock_485001496-100750012-large.jpg

[3] https://miro.medium.com/max/700/1*93XwJElHihqipKy6YJItyw.jpeg

Pavla Louthánová

Chci být FIT tělem i duší, vážím si možnosti studia na této fakultě. Ráda se vzdělávám a přijímám výzvy. Líbí se mi možnost zapojit se do fakultního dění a komunity. Baví mě řešení různých hlavolamů, kreslení, procházky v přírodě. Kontaktovat mě můžete na louthpav@fit.cvut.cz.