text převzat z webu gdpr.cz
Závislost na zpětné vazbě
Systémy v přírodě i technice mají jednu společnou vlastnost – vyměňují si informace. Ty pak podle svých potřeb zpracovávají, využívají nebo si je ukládají. Když si jednotlivé komponenty libovolného systému nebo organismu vyměňují informace, vznikají mezi nimi informační vazby, vztahy. Zpětná vazba (feedback) je takový systémový vztah, kdy se část výstupní informace přenáší zpět na původní či na nový vstup.
Všechny dynamické systémy se navzájem ovlivňují a jejich reakce závisí pouze na způsobu předávání a přijímání informací. Platí to stejně tak pro člověka, počítače, zvířata, rostliny, astronomické objekty, ale i výrobní linky, dopravu, vojenské operace či řízení států. Závislost na zpětné vazbě je univerzální a platí pro celý známý i neznámý vesmír.
Kybernetika je věda o komunikaci dynamických systémů. S bezpečností však souvisí jen nepřímo.
Životní prostory
„Prostor“ si obvykle spojujeme s fyzickým vymezením, které vnímáme smysly. V přeneseném významu jde i o abstraktní prostředí, ve kterém žijeme fyzicky či virtuálně: osobní, veřejný, ekonomický, informační prostor. Při snaze o kategorizaci prostorů a hlubší pochopení detailu bychom z informatiky zacházeli až k filozofickým vědám.
Termín „kybernetický prostor“ byl zpopularizován v roce 1984 kyberpunkovým sci-fi románem Neuromancer od Williama Gibsona. Později se tento výraz spojoval především s počítačovými hrami a postupně propojenými počítačovými sítěmi. Část románu, která je obvykle citována, zní: „Kybernetický prostor. Masová halucinace, kterou denně prožívají miliardy oprávněných ve všech národech, kde se děti učí matematickým pojmům… Grafické znázornění údajů získaných z každého počítače v lidském systému. Nepředstavitelná složitost. Řádky světla rozprostřené v meziprostoru mysli, shluků a souhvězdí dat. Jako ustupující světla měst…“
Takový poetický popis je, samozřejmě, pouze uměleckou představou spisovatele, navždy mu však bude patřit historické „čestné“ místo mezi definicemi kybernetického prostoru. V odborné oblasti se používají formální definice.
Podle slovenského zákona o kybernetické bezpečnosti je kybernetický prostor globální dynamický otevřený systém sítí a informačních systémů, který vytvářejí aktivované prvky kybernetického prostoru, osoby vykonávající aktivity v tomto systému a vztahy a interakce mezi nimi. Definice použitá v zákoně není okrajová a obstojí i ve srovnání s technickými normami nebo s jinou než národní legislativou.
Informační bezpečnost je stav, ve kterém jsou informace považovány za bezpečné. Je to součást informačního managementu bez ohledu na fyzikální povahu dat, jejich formát, způsob jejich interpretace a bez ohledu na médium, prostřednictvím kterého jsou uchovávány a přenášeny. Podle definice: informační bezpečnost je zachování důvěrnosti, integrity a dostupnosti informací [ISO/IEC 27032, čl. 2.33].
Na druhé straně kybernetická bezpečnost je zachování důvěrnosti, integrity a dostupnosti informací v kybernetickém prostoru [ISO/IEC 27032, čl. 4.20].
Vztah těchto dvou oblastí je tedy inkluzivní: „kybernetická bezpečnost“ je podmnožinou množiny „informační bezpečnost“, protože všechny její prvky jsou zároveň prvky množiny „informační bezpečnost“, zatímco obráceně toto tvrzení neplatí. Cíl je stejný – ochrana informací, ale „kybernetická“ bezpečnost se týká pouze informací v kontextu kybernetického prostoru.
Zjednodušeně lze říci, že v dnešní informační době se přídavné jméno „kybernetický“ chápe jako synonymum výrazu „týkající se kybernetického prostoru“, tedy v přeneseném smyslu „elektronicky zpracovávaný“. Ze všech definic vyplývá, že předpona „kyber“ má smysl tehdy a pouze tehdy, pokud je předmětem diskuse oblast elektronického zpracování dat.
Bezpečnost jako měřitelný stav
Podle slovníku (ISBN 8022409324) je bezpečnost stav bez reálného nebezpečí nebo hrozby. Bezpečnost není subjektivní pocit bezpečí, ale objektivní a měřitelný stav bez nebezpečí nebo také – kvantifikovatelný stav rizika.
Pojem bezpečnost původně pochází z latinského „securitas“, což znamenalo bezstarostnost, bezpečnost, jistotu, klid, ochranu a zabezpečení. V každém významu jde o stav, ve kterém je chráněn život, zdraví, prostředí či majetek.
V rámci společenských věd je bezpečnost vnímána jako souhrn společenských vztahů, které upravuje právo a které chrání zájmy fyzických a právnických osob, zájmy společnosti a ústavní zřízení. Je to nejvyšší míra nebezpečí, kterou společnost v určité oblasti života připouští.
Bezpečnost informací lze stanovit a měřit prostřednictvím jejích tří základních kvalitativních atributů: důvěrnosti, dostupnosti a integrity. (Pozornému čtenáři jistě neunikne, že tyto atributy se opakují i v GDPR – samozřejmě jde o bezpečnost údajů…)
Důvěrnost – je měřitelná hodnota vyjadřující, do jaké míry je přístup k informaci omezen pro předem definovanou entitu, která je efektivně oprávněna k přístupu k této informaci.
Dostupnost – je atribut spolehlivosti informace a zároveň i bezpečnostní požadavek, který je paradoxně obvykle jako jediný zahrnut do smluv o úrovni poskytovaných služeb (SLA).
Integrita – je měřitelná hodnota vyjadřující, do jaké míry jsou informace aktuální a bezchybné.
Podrobnější definice a způsob určení a měření těchto hodnot naleznete v technických normách.
Kybernetická bezpečnost se týká opatření, která by zúčastněné strany měly podniknout k zajištění bezpečnosti informací v kyberprostoru.
Kyberbezpečnost zahrnuje opatření z různých subdomén: aplikační bezpečnosti, síťové bezpečnosti, internetové bezpečnosti, bezpečnosti průmyslových řídících systémů, bezpečnosti kritické infrastruktury a dalších. Dotýká se i citlivých oblastí, jako je národní obrana, vyšetřování počítačové kriminality a ochrana života a zdraví občanů.
Nepleťme si objekt se subjektem
Na bezpečnost se lze dívat dvěma způsoby: objektivně – jako na skutečnou absenci hrozeb, nebo subjektivně – jako na důsledek absence vnímání ohrožení.
Pokud chceme najít hranici mezi tím, co je a co už není kybernetická bezpečnost, musíme rozlišovat, zda se na její definici díváme z pohledu pozorovatele (subjektu), kterého se elektronicky zpracovávané informace týkají, nebo z hlediska předmětu pozorování (objektu).
Data a informace v tomto vztahu představují OBJEKT, zatímco lidé, kteří vnímají dopad hrozeb, jsou SUBJEKT pozorování.
I v právní teorii je objekt předmětem nebo cílem, který má být právním vztahem v souvislosti s předmětem dosažen či upraven. Za objekt se považují statky, aktiva, případně kombinace těchto prvků, v tomto případě tzv. informační aktivaa jejich případný stav či charakteristika (bezpečnost nebo její absence).
Odlišné chápání odborné kategorizace bezpečnosti spočívá v chybném prosazování pohledu hlavně z pozice subjektu a určitém vědomém potlačování podstaty či samotné existence objektu. Objektem ochrany je faktické zajištění bezpečnosti informací, nikoli pocit bezpečí jejich vlastníků.
Abstraktní model bezpečnosti
Při popisu artefaktů, jimiž chceme pojmenovat jednotlivé fáze, činnosti a stavy v oblasti bezpečnosti, je možné inspirovat se normou NIST SP 800-53 Security and Privacy Controls, která v jedné ze svých verzí navrhla schéma vztahů mezi jednotlivými komponenty a pojmy v bezpečnosti, spojených do tzv. modelu důvěryhodnosti.
V tomto modelu lze (v obráceném pořadí) jednotlivé komponenty slovně popsat následovně:
• V prvním kroku vedoucím ke stavu bezpečnosti (tj. spolehlivosti) informačních aktiv by měli vlastníci těchto aktiv transparentně definovat bezpečnostní požadavky.
• Bezpečnostní požadavky by měly vycházet z cílů organizace a být odvozeny od provozních potřeb, požadavků právních předpisů a na základě technických norem.
Bezpečnostní požadavky se typicky definují v bezpečnostní strategii. Ta zároveň deklaruje závazek vedení organizace k podpoře informační a kybernetické bezpečnosti v organizaci.
• Aby se dosáhlo požadované vyspělosti ochrany informačních aktiv a aby mohly být splněny cíle stanovené v bezpečnostních požadavcích, musí organizace zajistit určité způsobilosti v oblasti informační a kybernetické bezpečnosti.
• Způsobilosti lze dosáhnout pouze reálnými kroky a změnami ve fyzickém světě. Za účelem dosažení způsobilostí je nutné aplikovat určité bezpečnostní funkce, tj. nastavit vlastnosti prostředí, zahájit poskytování určitých služeb, implementovat bezpečnostní mechanismy, stanovit postupy týkající se ochrany informačních aktiv.
• Bezpečnostní opatření jsou právě ty úkoly, procesy, role a technologie, které zajišťují plnění potřebných bezpečnostních funkcí, a tedy zprostředkovaně bezpečnostních způsobilostí a bezpečnostních požadavků stanovených strategií informační a kybernetické bezpečnosti.
Hlášení o incidentech, zprávy auditu, zprávy z testování, hlášení o chybách, výsledky analýzy zranitelností, hrozeb a rizik, popisy konfigurací, řízení souladu a vnitřní kontrola jsou často chybně zaměňovány s pojmem opatření. Tyto typy aktivit, procesů a výstupů však podle technických norem nejsou bezpečnostním opatřením, ale důkazy o stavu bezpečnosti a procesy pro ověřování efektivity bezpečnostních opatření (viz například zmíněnou NIST SP 800-53 Security and Privacy Controls).
Kyberbezpečnost jako moderní pojem
Pojem „kyber“ se stává trendovým. Pokud jde o politiky a manažery, u nich často nadužívání výrazu „kyber“ spočívá zejména v selfmarketingu, protože výraz „kybernetický“ i předpony „kyber“ či „cyber“ znějí atraktivně a v očích posluchačů činí řečníka odborně zdatnějším.
Korelace není kauzalita a nebylo by korektní tvrdit, že předponu „kybernetický“ nebo „cyber“ je nutné používat při každé lidské činnosti, pro kterou je důležité počítačové zpracování dat. Pojem „kybernetická bezpečnost“ by měl být používán pouze v kontextu ochrany informací v kybernetickém prostoru.
Proč je tedy část bezpečnosti „kybernetická“? Protože se týká ochrany údajů a informací v kybernetickém prostoru. Ale není to kybernetika.
