Kritické lekce z kyberbezpečnostní historie
Kyberbezpečnostní rizika, s nimiž se dnes běžně setkáváme, ve skutečnosti nejsou nijak nová. Již v 80. letech minulého století se jimi zabývalo Ministerstvo obrany USA (DOD). V roce 1985 v publikaci Kritéria hodnocení důvěryhodného počítačového systému - "Oražová kniha" (v originále Trusted Computer System Evaluation Criteria, - the "Orange Book") formulovalo DOD základní principy pro navrhování bezpečnosti do počítačových a nad počítačovými systémy. V rámci publikace autoři rozebrali veškerá možná rizika včetně neoprávněného přístupu, zneužití škodlivého kódu, ztráty dat, životního cyklu softwaru a firmwaru, a dokonce rizika týkající se dodavatelských řetězců a vlivu třetích stran. Následně pak jen na území Spojených států bylo výrobci vyvinuto přibližně 20 systémů, které vycházely z principů popsaných v "Oranžové knize". Pro systémy s nejvyšší úrovní bezpečnosti (úroveň A1) byla jejich "důvěryhodnost" dokonce dokázána matematicky.
Ačkoli téměř všechny tyto systémy z komerčního hlediska selhaly, koncepty, které odešly společně s nimi, stále nabízejí klíčové informace pro to, jak nahlížet na dnešní kyberbezpečnostní rizika.
Příspěvek se zaměří na to, jaká bezpečnostní rizika autoři díla řešili, a také na často velmi kreativní způsoby, jak je vyřešili. Není sporu o tom, že dílo nabízí vynikající náhled na to, jak bychom měli posuzovat současná rizika a jak navrhovat bezpečnostní řešení v moderních počítačových systémech."
Robert Bigman
Robert Bigman nedávno ukončil svou úspěšnou třicetiletou kariéru v Central Intelligence Agency (CIA - dále jen Agentura). Je uznávaným odborníkem v oblasti ochrany utajovaných informací. Vyvinul technická opatření a postupy pro řízení nejcitlivějších tajemství Spojených států amerických. Jako průkopník informační bezpečnosti se podílel na vypracování bezpečnostních opatření pro vládní infrastrukturu a počítače, a to dlouho před tím, než svět komerce vůbec objevil internet. Jeho nápaditá řešení umožnila CIA naplňovat své poslání a využívat internetu bez nežádoucího odhalení. Během dvaceti pěti let zkušeností zasáhl prakticky do každé oblasti bezpečnosti informací a ochrany dat, přičemž posledních patnáct let sloužil v Agentuře na pozici Chief Information Security Officer (CISO). Jako CISO celé Agentury řídil rozsáhlou organizaci expertů a programátorů zodpovědných za ochranu všech informací Agentury. Do jeho kompetence tak patřila kryptografie, politika bezpečnosti informací, definice procesů, standardů, požadavků i testování síťové bezpečnosti a obrany. Agenturou byl také pověřen zajištěním komunikace se subjekty z oblasti informační bezpečnosti i s jejich partnery z komerční oblasti. Robert Bigman se podílel na tvorbě technických norem a politik pro téměř každou organizaci zajištující národní bezpečnost a přednesl velké množství z práv pro National Security Council, pro US Kongres i pro prezidentské komise. Jako uznání jeho odborných znalostí obdržel řadu ocenění CIA a ocenění ředitele Národní zpravodajské služby. Nyní je nezávislým poradcem pro kybernetickou bezpečnost a prezidentem 2BSecure v Bethesdě ve státě Maryland. Pracuje s vládami a Fortune 50 korporacemi, kterým pomáhá vybudovat programy informační bezpečnosti a odolávat tak sofistikovanému úsilí kybernetických zločinců narušit bezpečnost jejich informací. Poskytuje tréninkové programy a školení v oblasti technik ochrany kybernetické bezpečnosti pro státní i soukromé organizace. Mezi jeho tréninkové aktivity patří programy pro zvyšování povědomí o kybernetických a internetových hrozbách určených nejvyššímu vedení a představenstvům organizací, dále školení o zranitelnostech a technických požadavcích na bezpečnostní design určených systémovým architektům a inženýrům, školení o kybernetických bezpečnostních politikách pro odborníky IT bezpečnosti a školení o obecné kybernetické bezpečnosti pro všechny úrovně zaměstnanců v rámci organizace. Robert Bigman je rovněž autorem komplexního kurzu s názvem: „Building a High Performance Cyber Security Program“.
Vybrané nedávné aktivity (2014-2015):
- provedl Komplexní posouzení zajištění kybernetické bezpečnosti u významné organizace přístavního dozoru - provedl posouzení bezpečnosti sítě o 2-3 vrstvách u významné finanční instituce
- provedl posouzení „potřeb“ kybernetické bezpečnosti pro společnost z Fortune 50 k sestavení cestovní mapy pro nově nastoupivšího CISO společnosti
- aktuálně pomáhá významné finanční instituci v posouzení kybernetické bezpečnosti dle standardu NIST
- „briefoval“ vedení korporace zahrnuté do kritické infrastruktury o národních hackerských programech a příslušných obranných opatření
- spolupracuje s federální agenturou na sestavení technických požadavků pro zajištění bezpečnosti pro sítě a platformy příští generace, složených z lokálních i cloudových technologií.
Tel: +420 737 215 220
E-mail: