Bezpečnosť | blog.sme.sk

Jozef Vyskoč

Pripravuje sa eGovernment – budú mu ľudia dôverovať?

Keď firma pripravuje úplne nový produkt alebo službu, jej manažéri o.i. vopred naplánujú aktivity zamerané na to, aby u ľudí (zákazníkov) vytvorili pozitívny vzťah k novinke, aby o ňu mali záujem, aby ju chceli. Je to logické, veď ak si novinka nezíska dostatočné množstvo zákazníkov, výdavky spojené s jej vývojom a uvedením na trh budú bez úžitku premárnené. Štát síce nie je komerčná firma, ale v dnešnej dobe sa predsa len občas ocitne v obdobnej pozícií. Napríklad keď – prinajmenšom navonok – deklaruje snahu o efektívne vynakladanie verejných finančných prostriedkov a zároveň sa chystá svojim občanom ponúknuť „nové služby“ pod hlavičkou eGovernmentu. Budú pri tom „štátni manažéri“ uvažovať/postupovať podobne ako manažéri komerčných firiem?

11. apr 2011
Páči sa: 0x
Prečítané: 1 379x
11

Jozef Vyskoč

Estónci sa dočkali prvého spochybnenia internetového hlasovania

O zaujímavé spestrenie nedávnych parlamentných volieb v Estónsku sa postaral študent univerzity v Tartu. Objavil totiž a názorne demonštroval spôsob, ako ovplyvniť výsledky volieb prostredníctvom systému hlasovania cez Internet, ktorý sa v Estónsku používa, a na základe toho požiadal o anulovanie výsledkov volieb. Estónsky Najvyšší súd pred niekoľkými dňami jeho žiadosť zamietol ako neopodstatnenú, celý prípad však podľa môjho názoru stojí za povšimnutie a zamyslenie sa nad nie vždy vopred zrejmými dôsledkami zavedenia systému hlasovania cez Internet.

25. mar 2011
Páči sa: 0x
Prečítané: 2 809x
30

Jozef Vyskoč

Pre koho sa pripravuje eGovernment?

Kedysi dávno, v časoch pred Internetom, bol pri riešení (bezpečnosti) IS určujúci iba jeden záujem – záujem prevádzkovateľa systému. Jemu patril systém i dáta, on určoval pravidlá a ostatní (používatelia systému) sa proste museli prispôsobiť, alebo si „ani neškrtli“. Internet bez centrálnej autority to zmenil – sebecké presadzovanie vlastných záujmov, možné v prostredí jednej (vlastnej) organizácie, by narážalo na záujmy či práva iných účastníkov pripojených na Internet. K tomu so zmenami vnímania ochrany súkromia pribudla nutnosť rešpektovať práva a záujmy aj ľudí, ktorých osobné údaje sa skladujú v rôznych databázach, a to aj keď nie sú priamymi používateľmi toho-ktorého systému. Skrátka, v dnešnej dobe by už návrh, vytvorenie i prevádzkovanie čo len trochu väčšieho systému mali prebiehať tak, aby sa vyvážene zohľadnili oprávnené záujmy zainteresovaných „kľúčových hráčov“. Mali. Keďže minimálne v prípade eGovernmentu pôjde o spracúvanie osobných údajov prakticky všetkých obyvateľov tejto krajiny, zrejme aj oni patria medzi „kľúčových hráčov“... budú sa ich záujmy brať do úvahy?

18. nov 2010
Páči sa: 0x
Prečítané: 1 899x
11

Jozef Vyskoč

Má štát ucelenú predstavu informačnej spoločnosti?

Aká je základná „filozofia“ prístupu k bezpečnosti a ochrane súkromia v budovaní informačnej spoločnosti na Slovensku? Takáto otázka ma napadla počas počúvania prednášok v prvom dni konferencie Information Security Solutions Europe 2010 v Berlíne. Konkrétne tých, ktoré boli venované aktivitám nemeckých vládnych inštitúcií – jednu z „keynote“ prednášok mal nemecký federálny minister vnútra (Thomas de Maizire) a jeden z niekoľkých paralelných blokov prednášok bol venovaný novej nemeckej eID-karte, ktorá sa začne vydávať od 1. novembra 2010. Vlastne to začalo už otváracím prejavom prof. Pohlmanna (v roli prezidenta asociácie TeleTrusT), konkrétne

8. okt 2010
Páči sa: 0x
Prečítané: 1 139x
1

Jozef Vyskoč

Ľudský faktor v informačnej bezpečnosti

V súčasnosti sa už bežne v súvislosti s informačnou bezpečnosťou hovorí i píše o tzv. ľudskom faktore – o tom, aký vplyv na praktickú úroveň bezpečnosti systému majú „ľudia okolo“. Pod tým sa spravidla myslia používatelia IS a hrozby, ktoré dokážu vyvolať svojou (ne)činnosťou ... a azda každý správca systému to vie podoprieť historkami o tom, aké nezmysly a hlúposti popáchali „jeho“ používatelia. Pozoruhodne často však absentujú zmienky o ďalších osobách, ktoré tiež patria do kategórie „ľudí okolo“ – ako keby (ne)činnosť manažérov organizácie, správcu systému, bezpečnostného manažéra, audítorov, externých konzultantov, či pri širšom zábere aj autorov súvisiacich koncepčných a strategických dokumentov, noriem, štandardov a zákonov nemala na úroveň bezpečnosti systémov žiaden vplyv. Je to zvláštne, keďže vzhľadom k „váhe“ osôb, spomenutých v predchádzajúcej vete, môžu mať ich rozhodnutia či návrhy naozaj vážne dôsledky na samotné riešenie, resp. na úroveň praktickej bezpečnosti systémov organizácie, či celej spoločnosti. Prečo sa vlastne mlčky predpokladá, že len bežní používatelia sú nevedomí keď príde na informačnú bezpečnosť?

24. sep 2010
Páči sa: 0x
Prečítané: 2 501x
4

Jozef Vyskoč

Ako sa rieši a ako by sa mohla (mala) riešiť bezpečnosť IS

Riešenie bezpečnosti informačných systémov sa spravidla chápe ako otázka nasadenia nejakého súboru bezpečnostných produktov, v zriedkavom prípade doplnených o zavedenie systému riadenia bezpečnosti (ISMS – information security management system). Pri takomto nazeraní sa potom zdá byť prirodzené bezpečnosť riešiť až potom, ako je systém navrhnutý a implementovaný, resp. minimálne sú stanovené základné charakteristiky systému a kľúčových aplikácií. V takejto situácii je však manévrovací priestor pre riešenie bezpečnosti obmedzený rozhodnutiami, ktoré boli prijaté pri návrhu (a/alebo pri implementácii) systému, pri ktorých sa nezvažovali ich dôsledky pre bezpečnosť. Bezpečnostný špecialista potom už naozaj nemá veľa možností, čo môže urobiť, ale ako samozrejmosť sa očakáva, že za úroveň bezpečnosti bude niesť veľký diel zodpovednosti. Pritom by stačilo relatívne málo – pochopiť, že častokrát už rozhodnutia prijaté v úvodných fázach procesu, na konci ktorého je hotový IS, ovplyvňujú ako možné hrozby, tak aj možnosti ako sa im dá čeliť. Asi najvýraznejšie sa to prejavuje na príkladoch systémov, ktoré sú unikátne – ako napríklad

6. júl 2010
Páči sa: 0x
Prečítané: 3 390x
25

Jozef Vyskoč

Prečo riešiť bezpečnosť počítača aj keď v ňom nie sú citlivé údaje

Ešte stále sa nájde dosť ľudí, ktorí bezpečnosť počítačov/informačných systémov zužujú len na problém ochrany citlivých údajov, ktoré sú v nich uložené. Ak si niekto nedokáže predstaviť, čo „zlé“ sa môže stať hoci aj v prípade počítača, v ktorom nie sú nejako zvlášť citlivé údaje, mal by trochu popremýšľať, alebo aspoň viac pozornosti venovať rôznym udalostiam a správam o nich. Napríklad tej spred pár dní – nešlo v nej o žiadnu špionáž či technicky zručného hackera, len o banálny prípad muža, ktorý zahorel láskou k vydatej kolegyni. Jeho pokus o odstránenie prekážky vzájomného vzťahu – manžela kolegyne – bol relatívne priamočiary ...

6. apr 2010
Páči sa: 0x
Prečítané: 3 268x
19

Jozef Vyskoč

EZKO ako učebnicový príklad riešenia bezpečnosti

Nahliadnutie do zborníka príspevkov nedávno konanej konferencie Informačná bezpečnosť 2010 mi poskytlo ďalšie informácie o prístupe k bezpečnosti v projekte Elektronickej zdravotnej knižky občana (EZKO). Aj keď doteraz sprístupnené informácie rozhodne nie sú kompletné, čo-to prezrádzajú o „filozofii“ riešenia bezpečnosti v tomto projekte, a snáď aj v rámci slovenského e-Health. Na ich základe som dospel k názoru, že projekt EZKO by mohol byť v učebniciach informačnej bezpečnosti uvádzaný ako príklad riešenia bezpečnosti. Dokonca v dvojroli – „ako sa to má robiť“ i „ako sa to robiť NEMÁ“ – podľa toho, koho záujmy majú byť prioritné pri riešení bezpečnosti informačného systému.

17. feb 2010
Páči sa: 0x
Prečítané: 2 778x
17

Jozef Vyskoč

Ekonómia a informačná bezpečnosť

Ako som na tomto mieste už párkrát spomenul, pre vývoj disciplíny informačnej bezpečnosti je v posledných rokoch charakteristická inšpirácia „netechnickými“ disciplínami, ako psychológia, sociológia či ekonómia. Keďže podľa mojich vedomostí sa tomuto trendu rozvoja informačnej bezpečnosti na Slovensku nikto seriózne nevenuje (budem len rád, ak ma niekto opraví a upozorní na jednotlivcov či pracoviská, ktorí/é sa takýmto smerom rozvoja disciplíny zaoberajú), snáď bude užitočné uviesť ilustratívny príklad prínosu nového pohľadu na existujúce problémy v praxi riešenia bezpečnosti. Konkrétne, uvažujme

3. feb 2010
Páči sa: 0x
Prečítané: 1 509x
2

Jozef Vyskoč

Chystá sa zákon o informačnej bezpečnosti

Priznám sa, keď Národná stratégia pre informačnú bezpečnosť v SR avizovala zámer vypracovať zákon o informačnej bezpečnosti, staval som sa k tomu skepticky. Tak a teraz tu máme jeho náčrt – Ministerstvo financií zverejnilo na pripomienkové konanie návrh tzv. legislatívneho zámeru zákona o informačnej bezpečnosti. To, že neobsahuje znenie konkrétnych ustanovení (paragrafov), umožňuje bez zbytočného vyrušovania detailami urobiť si predstavu o tom, čo a akým spôsobom sa má riešiť prijatím takého zákona.

28. dec 2009
Páči sa: 0x
Prečítané: 2 343x
4

Jozef Vyskoč

Akčný plán informačnej bezpečnosti

Ministerstvo financií zverejnilo ďalší z dokumentov, ktorý by mal upravovať vývoj v oblasti informačnej bezpečnosti na Slovensku - Návrh úloh Akčného plánu na obdobie rokov 2009 až 2013. Tak sa do neho začítajme...

2. dec 2009
Páči sa: 0x
Prečítané: 2 896x
2

Jozef Vyskoč

Elektronická zdravotná karta občana a bezpečnosť

Prípad „Elektronická zdravotná karta občana“ (EZKO) vzbudil slušný záujem médií i ľudí, čo sa o.i. premietlo do značného počtu článkov a príspevkov v diskusných fórach. Analýzou samotnej špecifikácie EZKO ako aj prezentovaných názorov možno dôjsť k dvom hlavným záverom – a) počet ľudí, ktorí si uvedomujú dôležitosť bezpečnosti a ochrany súkromia rastie (dobrá správa) a b) pri návrhu i hodnotení EZKO absentuje komplexný pohľad, ľudia sa sústreďujú len na niektoré, často okrajové, problémy a ignorujú omnoho väčšie (zlá správa). Pokúsme sa prehľadne charakterizovať kľúčové otázky bezpečnosti EZKO a súvisiace názory (téma EZKO a ochrana súkromia si zaslúži samostatný článku), teda bez toho, aby sme sa zaplietli do zbytočných detailov. Za cenu istého zjednodušenia na to použijeme nasledovné podobenstvo...

27. okt 2009
Páči sa: 0x
Prečítané: 2 960x
23

Jozef Vyskoč

Informačná bezpečnosť na ceste k eGovernmentu na Slovensku

Dvadsaťpäť rokov nie je v existencii civilizovanej spoločnosti nejaká významná doba, v rámci existencie moderných informačných a komunikačných technológií (IKT) i informačnej bezpečnosti je to však naozaj dosť. Pred vyše štvrťstoročím (v r. 1983) boli v USA publikované vôbec prvé kritériá hodnotenia bezpečnosti počítačových systémov, tzv. Orange book (oficiálny názov „Trusted Computer Security Evaluation Criteria“). Ich autori už vtedy jasne presadzovali princíp, podľa ktorého celková bezpečnosť systému závisí okrem nasadenia rôznych bezpečnostných mechanizmov aj od toho,

23. sep 2009
Páči sa: 0x
Prečítané: 3 817x
4

Jozef Vyskoč

CERTovský návrh

Keď 2. novembra 1988 večer vypustil Robert T. Morris do prostredia Internetu dnes už známeho „Internetového červa“ (Internet Worm), zrejme nemal predstavu, čo tým spôsobí. Prebdená noc (základná analýza činnosti červa, ako aj jeho spätný preklad do jazyka C boli ukončené až 3. novembra nadránom) mnohých postihnutých, ktorí sa usilovali zistiť čo sa vlastne deje a ako sa proti dovtedy neznámej hrozbe brániť, ako aj mediálny rozruch boli len prvým a okamžitým dôsledkom. Rýchle odhalenie vinníka (Morrisa prezradil jeho kamarát) však Američanom nestačilo

7. máj 2009
Páči sa: 0x
Prečítané: 2 702x
10

Jozef Vyskoč

Po Národnej stratégii sme sa dočkali návrhu systému vzdelávania

Čo si myslíte o dokumente, z ktorého sa dá usúdiť, že už čoskoro by sa žiaci základných a stredných škôl mali učiť základy kryptológie, manažmentu informačnej bezpečnosti, riadenia prístupu, aplikačnej bezpečnosti, bezpečnosti prevádzky, sieťovej bezpečnosti, plánovania kontinuity činností a legislatívy a etiky z oblasti informačnej bezpečnosti? Že prečo by sa mali základy kryptológie či manažmentu bezpečnosti učiť aj žiaci, ktorí sa v živote budú pohybovať v iných sférach ako v informatike (a tých je a bude väčšina)? Aj tam budú používať počítače a aj používatelia – počítačoví laici podľa predstáv autora „Návrhu systému vzdelávania v oblasti informačnej bezpečnosti v SR“ (ďalej len „Návrh“) musia na nejakej základnej úrovni ovládať uvedené oblasti (Návrh do kategórie laikov zaraďuje aj žiakov základných a stredných škôl). Návrh zverejnilo Ministerstvo financií 31.marca, nie ako predčasný prvoaprílový žartík, ale ako jeden z dokumentov nadväzujúcich na Národnú stratégiu pre informačnú bezpečnosť v SR (ďalej „Stratégia“), ktorú v minulom roku prijala vláda. Návrh sa vyznačuje viacerými charakteristikami, ktoré má spoločné so Stratégiou, a s ktorými sa akosi neviem stotožniť.

3. apr 2009
Páči sa: 0x
Prečítané: 2 157x
2

Jozef Vyskoč

Nová škola informačnej bezpečnosti

Tak nazvali svoju knihu (The New School of Information Security, Addison-Wesley, 2008)) Adam Shostack a Andrew Stewart. Nie je to iba ďalšia z množstva kníh venovaných riešeniam bezpečnosti – na rozdiel od iných diel sa v tomto prípade autori zamýšľajú – a poriadne kriticky – nad samotnou disciplínou informačnej bezpečnosti. Základný prístup autorov naznačuje už názov prvej kapitoly („Observing the World and Asking Why“) – otázka „prečo“ je jedna z kľúčových, prinajmenšom pre prvú polovicu knihy. Stručne – je ťažké sa zbaviť dojmu, že informačná bezpečnosť zlyháva, a preto je namieste zamyslieť sa, prečo je svet IT/bezpečnosti taký, aký je. Ak informačná bezpečnosť zlyháva, asi na to ideme zo zlého konca. Ak dnes neprijímame dobré rozhodnutia, prečo je to tak?

6. mar 2009
Páči sa: 0x
Prečítané: 2 970x
2

Jozef Vyskoč

Voľby cez Internet?

Táto téma sa nás z času na čas objaví, podľa poslednej iniciatívy ohlásenej aj na blog.sme.sk by mala byť dokonca otázkou v referende. Potešilo ma, že v diskusii k zmienenému článku nechýbali triezve hlasy, upozorňujúce na to, že bezpečnosť v tomto prípade neznamená len postarať sa o to, aby boli hlasy správne sčítané, ale že problém je o dosť zložitejší. Na druhej strane ma trochu prekvapilo, že diskutujúci ako keby nedocenili vážnosť hrozby

10. feb 2009
Páči sa: 0x
Prečítané: 2 988x
27

Jozef Vyskoč

Stav informačnej bezpečnosti na Slovensku

Môj vzťah k prieskumom, obzvlášť k tým, ktoré sa týkajú informačnej bezpečnosti či ochrany súkromia, možno charakterizovať ako opatrne rezervovaný. Na druhej strane im neupieram, že prinajmenšom umožňujú získať približnú predstavu o stave, či „typických“ názoroch na stav, v danej oblasti. A niekedy výsledky prieskumu predstavujú celkom zaujímavé čítanie, obzvlášť ak prieskum kombinuje otázky dvoch typov – tie, ktoré sa pýtajú na skutočnosti a tie, ktoré sa pýtajú na úsudok respondenta. V takom prípade totiž možno porovnať, do akej miery sa nahlásené skutočnosti zhodujú s vlastnými úsudkami respondentov.

26. jan 2009
Páči sa: 0x
Prečítané: 2 997x
2

Jozef Vyskoč

Kto sa na Slovensku vyjadrí k téme kyberterorizmu?

Kyberterorizmus - téma, ktorú nie tak dávno „spopularizovala“ praktická skúsenosť Estónska. Malá hádanka - ak sa na Slovensku niekto pokúsi vytvoriť priestor na diskusiu či prezentáciu názorov na tému kyberterorizmu či útokov väčšieho rozsahu v kyberpriestore, koho názory tam budú chýbať?

25. jan 2009
Páči sa: 0x
Prečítané: 3 512x
19

Jozef Vyskoč

Internetová generácia a reálny svet

Informačné technológie, Internet, virtuálny svet ... ich vplyv sa od istého okamihu začína odrážať aj v reálnom svete. Stojí za to sa nad touto témou aspoň z času na čas zamyslieť. Rôzne historky, zábavné pre nezúčastnených, môžu trebárs signalizovať potenciálne problémy s uplatňovaním právnych noriem. Napríklad, nie je virtuálne zabitie ako virtuálne zabitie... vášniví hráči niektorých počítačových hier majú „na svedomí“ množstvo virtuálne zabitých virtuálnych postáv či všakovakých príšer, a nikto im to nevyčíta. Keď však jedna japonská účastníčka interaktívnej hry v návale emócií z náhleho rozvodu jej predstaviteľky vo virtuálnom svete

28. dec 2008
Páči sa: 0x
Prečítané: 3 586x
40