DSM 2015/2

Rozhovor s Marií Kovářovou

Petr Hampl
Členka představenstva České pojišťovny, odpovědná za provozní útvary včetně IT, hovoří o svém pohledu na informační bezpečnost, schvalování investic, přípravě dlouhodobých bezpečnostních strategií, požadavcích na manažera informační bezpečnosti, ochotě podstupovat rizika, možnostech omezit z bezpečnostních důvodů uživatele i o změnách, které očekává v souvislosti s novými technologiemi a novými typy útoků. Zamýšlí se také nad vztahem mezi „byznysem“ a technologickou bezpečností a nad rolí uživatelů.

Rozhovor s Jeffem Bardinem

Petr Hampl
Podle hlavního zpravodajského důstojníka projektu Treadstone 71 se opakovaně potvrdilo, že bezpečnost založená na obraně perimetru nefunguje a že je zapotřebí vycházet z jiného paradigmatu, které obsahuje i možnost protiúderu, nebo dokonce preventního úderu. Zabývá se také tím, do jaké míry může tyto metody využít běžný podnik. V další části rozhovoru formuluje požadavek, aby počítačová zařízení, která nedosahují stanovené úrovně bezpečnosti, nesměla být uvedena na trh. Uživatelé bez dostatečných bezpečnostních znalostí by neměli být pouštěni do virtuálního prostoru. Zamýšlí se také nad vztahem manažera IT a IT bezpečnosti, dochází k závěru, že řada bezpečnostních problémů je důsledkem chybně vybudovaných systémů.

Rozhovor s J. Bardinem zdarma zde... 

Reportování (neboli hlášení) bezpečnostních incidentů

Kolektiv autorů, editorka Andrea Kropáčová
Článek se zabývá zásadami a pravidly pro efektivní hlášení bezpečnostních incidentů. Popisuje, jaké informace má hlášení obsahovat, jakými kanály může být předáváno, vysvětluje, proč je důležité jednat rychle, a zdůrazňuje význam kreativity při reakci na bezpečnostní incidenty. Další část textu popisuje roli a způsob fungování národního CSIRT v České republice a uvádí ilustrativní výčet, jaká hlášení mu mají být zasílána. Dále je na třech ilustrativních případech vysvětleno, jakým způsobem probíhá zpracování bezpečnostního incidentu. Závěrečná část vymezuje, jaká hlášení musí být podávána ze zákona a kterými subjekty a jaká jiná hlášení jsou důležitá, ale nepovinná.

Implementace šifrovaných virtuálních serverů

Jiří Vrbický
Případová studie ze společnosti Cloud4com popisuje implementaci technologického řešení umožňujícího zákazníkovi cloudových služeb volit, na kterých virtuálních serverech bude aplikováno šifrování, a držet šifrovací klíče, aniž by k nim získal přístup provozovatel. První část článku uvádí relativně detailní výčet uživatelských požadavků, i těch na architekturu řešení. Následuje popis toho, jak probíhal výběr produktu a z jakého důvodu padla volba právě na SafeNet ProtectV. Navazuje popis studie proveditelnosti, integrace a stručná zmínka o některých speciálních technologických problémech, které bylo zapotřebí vyřešit. Rámeček stručně uvádí do současného trhu s produkty třídy KMS (Key Management Server – správa šifrovacích klíčů).

Vícefaktorová autentizace s využitím tokenu

Jakub Horák, Václav Špáňa
Úvodní část příspěvku se zabývá omezeními jednofaktorové autentizace a diskutuje o možnosti využívat jako druhý faktor mobilní telefon. Další text se zabývá možnostmi autentizačního tokenu. Definuje osm základních požadavků, které musí řešení založené na využití tokenu splňovat, a odvozuje z toho požadavky technologické – na využitý protokol, na vlastní token i na backendovou aplikaci. Poměrně důkladně je popsán proces autentizace s využitím jednorázového hesla včetně přenosu klíče a inicializace tokenu. V závěrečných kapitolách jsou naznačeny zásady pro implementaci, možnosti připojení interních aplikací a diskutuje se o alternativě zrychlené a zjednodušené autentizace.

Prováděcí předpisy k zákonu o kybernetické bezpečnosti – část II.

Vladimír Smejkal
Druhá část článku popisuje obsah vyhlášky č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti). Probírá postupně zákonné podklady vyhlášky, povinné osoby, o čem vyhláška pojednává, bezpečnostní opatření podle zákona a vyhlášky, organizační opatření, řízení rizik, bezpečnostní politiky a další bezpečnostní prvky, zvládání kybernetických bezpečnostních událostí, řízení kontinuity činností a audit kybernetické bezpečnosti.

Detekce podvodů v on-line prostředí – část I.

Jan Mészáros
Článek představuje obecný model on-line podvodů a model systému pro jejich detekci. Postupně jsou probrány možné cíle podvodů, jejich aktéři (útočníci a oběti) a nejobvyklejší techniky provedení (sociální inženýrství, malware, man-in-the-middle). Následuje výčet charakteristik, jako jsou míra automatizace či typ potřebné expertízy. Dále je představen obecný model systému pro identifikaci podvodů a základní způsoby detekce podvodů. Zvláštní pozornost je věnována fingerprintingu, detekci robotů, analýze a monitoringu chování a testování pomocí pravidel.

Právní aspekty interních směrnic – část I.

Karel Malinka, Radim Polčák, Zdeněk Říha
První díl seriálu se zaměřuje na zásadní chyby, kterých je vhodné se při psaní interních směrnic vyvarovat. V úvodu si všímá bezpečnostního opatření jako základního stavebního kamene kybernetické bezpečnosti z pohledu českého práva, dále diskutuje o vztahu mezi požadavky směrnic a požadavky zákonů. Pozornost je rovněž věnována definicím pojmů, jako je „počítač“ či „telefon“. Závěrečná část je věnována praktické vykonavatelnosti, kde jsou rozebrány otázky typu, nakolik lze pokládat za závazné i takové povinnosti, které fakticky nepřispívají ke zvýšení bezpečnosti.

Recenze knihy Vladimíra Smejkala Kybernetická kriminalita

Jindřich Kodl