Počítačová bezpečnost

Počítačová bezpečnost, kybernetická bezpečnost neboli bezpečnost informačních technologií (IT bezpečnost), resp. bezpečnost informačních a komunikačních technologií (ICT bezpečnost), je obor informatiky, který se zabývá ochranou počítačových systémů a sítí před neoprávněným přístupem k systémům – informacím, a před počítačovou kriminalitou – krádeží nebo poškozením hardwaru, softwaru nebo elektronických údajů, jakož i před narušením nebo zneužitím poskytovaných služeb, před kybernetickým útokem. Hlavním cílem je zajistit důvěrnost, integritu a dostupnost systémů a informací v nich.

Charakteristika

Počítačová ochrana ve třech krocích:

prevence – ochrana před hrozbami (riziky)
detekce – odhalení neoprávněných činností a slabých míst v systému
náprava – odstranění slabých míst v systému

Počítačová bezpečnost, zabezpečení informací v počítačích, tj. odhalení a zmenšení rizik spojených s používáním počítače, zahrnuje:

omezení fyzického přístupu k počítači a jeho zařízením, ochrana před neoprávněným manipulováním se zařízeními počítačového systému
umožnit přístup jen oprávněným osobám dodržujícím bezpečnostní pravidla pro práci s počítačem a údaji, ochrana před neoprávněnou manipulací s údaji
ochranu informací před krádeží, nelegální tvorbou kopií údajů nebo jejich poškozením
použití hardwarových zařízení, např. hardwarových klíčů, které vynucují bezpečnostní opatření a snižují závislost počítačové bezpečnosti na software
využití mechanismů operačního systému, které vynucují chování programů v souladu s počítačovou bezpečností
omezení množství programů, kterým je nutné důvěřovat
využití záznamů o změnách v programech a systémech (logování a verzování)
využití zabezpečení operačního systému
využití bezpečného šifrování (kryptografie) při komunikaci, práci s údaji, jejich přenosu
využití bezpečného ukládání a zálohování údajů
plánování reakce na incident, organizace přístupu k řešení a řízení následků počítačového bezpečnostního incidentu nebo poškození (kompromitace) s cílem zabránit narušení nebo zmařit kybernetický útok
zajištění autentizace, autorizace a integrity údajů

Zranitelná místa a útoky

Zranitelnost chápeme jako citlivé místo či nedostatek systému. Mnoho jich je popsáno v databázi Common Vulnerabilities and Exposures. V řízení zranitelností je opakující se praxe identifikace, kategorizace a následné nápravy a mitigace objevených zranitelností. Využitelnou zranitelností rozumíme takovou zranitelnost, pro kterou existuje alespoň jeden fungující útok nebo exploit.^[1]

Abychom zabezpečili počítačový systém, je důležité znát útoky, které na něj mohou být cíleny. Zde jsou některé druhy rizik:

Backdoors – zadní vrátka

Zadní vrátka jsou metoda obcházení standardní autentizaci a zabezpečení obecně. Mohou vzniknout několika způsoby, včetně základním návrhu přímo nebo kvůli špatné konfiguraci. Zadní vrátka mohou být také úmyslně nainstalovány vývojářem jako nástroj pro debugging systému, nebo útočníkem s nekalými úmysly. Avšak bez ohledu na motivy jejich existence představují zadní vrátka v systému zranitelnost.

Denial of service (odepření služby)

Útoky typu denial of service jsou navržené tak, aby zařízení nebo síťové zdroje byly nedostupné pro jejich legitimní uživatele.^[2] Útočníci mohou upřít službu jednotlivým obětem, například záměrným zadáním chybného hesla tolikrát po sobě dokud nezpůsobí uzamčení účtu oběti, nebo mohou přetížit kapacity zařízení nebo sítě a zablokovat tak všechny její uživatele najednou.

Zatímco síťový útok z jedné IP adresy může být blokován přidáním nového pravidla brány firewall, distribuované odepření služby (DDoS) častěji pochází z velkého počtu bodů ovládaných C2 serverem – bránit se je pak mnohem obtížnější. Takové útoky mohou pocházet ze zombie počítačů v botnetu, ale umožňuje to i řada dalších technik, jako je DDoS odrazem, nebo zesílením, kde jsou zneužité počítače přinuceny posílat provoz na cílový systém (oběť).

Útoky s přímým přístupem

Neoprávněný uživatel, který získá fyzický přístup k počítači, je z něj pravděpodobně schopen data přímo kopírovat. Útočník se může k citlivému zařízení dostat například jeho koupí, nepředcházelo specializované smazání dat.^[3] Mohou také ohrozit bezpečnost modifikací operačního systému, instalací červů, keyloggerů a jiného malwaru; případně pomocí odposlouchávacích zařízení nebo i pomocí bezdrátové myši.^[4] I když je systém chráněn standardními bezpečnostními opatřeními, mohou být schopni je obejít bootováním jiného operačního systému nebo nástroje z disku CD-ROM nebo jiného média.

Možnou obranou proti těmto útokům je šifrování disku a Trusted Platform Module.

Odposlech

Odposlech znamená tajné poslouchání soukromých rozhovorů, typicky mezi hosty v síti. Například programy jako Carnivore a NarusInsight byly použity FBI a NSA pro odposlouchávání systémů poskytovatelů internetových služeb. Dokonce i zařízení, které fungují jako uzavřený systém (tj., bez kontaktu s okolním světem) lze odposlouchávat pomocí sledování slabých elektromagnetických přenosů generovaných hardwarem.

Spoofing

Padělání (spoofing) je obecně podvodný nebo škodlivý postup, ve kterém je komunikace odeslána z neznámého zdroje, který se tváří jako zdroj známý přijímači.^[5] Spoofing nejvíce převládá v komunikačních mechanismech, které nemají vysokou úroveň zabezpečení.^[6]

Tampering

Tampering popisuje škodlivou modifikaci produktů nebo dat. Příkladem jsou takzvané "Evil Maid" útoky a bezpečnostní služby, které vkládají do směrovačů schopnost odposlechu.^[7]

Elevace oprávnění

Elevace oprávnění popisuje situaci, kdy je útočník s omezenými oprávněními schopen svá oprávnění bez povolení zvýšit. Například když se běžný uživatel stane bez povolení administrátorem.

Phishing

Phishing je snaha získat citlivé informace, jako jsou uživatelská jména, hesla či informace o kreditní kartě, přímo od uživatelů.^[8] Phishing se obvykle provádí pomocí falešných e-mailových zpráv nebo zneužitím instant messagingu. Často se snaží uživatele přesvědčit k zadání údajů na falešných webových stránkách, které se zdají (téměř) totožné s legitimními stránkami. „Lovením” důvěřivých obětí lze phishing klasifikovat jako nelegální využití sociálního inženýrství.

Zero day útoky

Zero day útok není označení pro konkrétní techniku. Je to označení pro zranitelnosti softwaru, které jsou odhaleny (a případně zneužívány) ještě před vydáním aktualizace, která příslušnou chybu opravuje. Je to tedy třída velmi závažných zranitelností, protože ani zcela aktualizovaný systém není proti zneužití takových chyb odolný a až do doby vydání příslušné opravy je potřeba systém chránit jinými prostředky (např. aplikačním firewallem, úplným vypnutím některých funkcí apod.).

Clickjacking

Clickjacking, také známý jako "UI redressing nebo User Interface redressing" (převléknutí uživatelského rozhraní), je exploit při kterém útočník oklame uživatele matoucím UI, a tak ho donutí aby kliknul na tlačítko nebo odkaz, na který kliknout nechtěl.^[9] To se provádí pomocí různě průhledné vrstvy. Útočník v podstatě "unese" (ang. hijacking) kliknutí určené pro horní stránku a přesměruje jej je na nějaké jiné irelevantní, potenciálně škodlivé stránky.

Sociální inženýrství

Sociální inženýrství je snaha přesvědčit uživatele, aby dobrovolně prozradil své citlivé údaje, například hesla pro přístup k soukromým službám (e-mail, sociální sítě, internetové bankovnictví…), čísla bankovních karet, PIN kód a podobně. Například tak, že se vydává za existující instituci (banku, poskytovatele služeb…) nebo i za kamaráda, příbuzného atp.^[10] Typické je naléhání na rychlé "řešení", aby oběť neměla čas útok odhalit.

Populární a výdělečný podvod tohoto typu zahrnuje falešné e-maily zasílané na účetní nebo finanční oddělení firem. Na začátku roku 2016 ohlásil v USA Federální úřad pro vyšetřování (FBI), že, v průběhu dvou let, stály podobné podvody americké firmy více než 2 miliardy dolarů.^[11]

Obětí se v květnu 2016 staly také Milwaukee Bucks NBA. Útočník se vydával za prezidenta týmu Petera Feigina, což mělo za následek únik daňových formulářů všech zaměstnanců týmu.^[12]

Motivace útočníků

Stejně jako u fyzické bezpečnosti se motivace pro narušení počítačové bezpečnosti u jednotlivých útočníků liší. Může jít o prostý vandalismus, aktivismus (taká zvaný hacktivismus), hledání finančního zisku, nebo pouze vzrušení. Dnes je již běžnější také vidět státem podporované útočníky nebo skupiny útočníků s dobrými zdroji (Pokročilá trvalá hrozba).. Například Markus Hess, který hackoval pro KGB, jak popisoval Clifford Stoll v knize The Cuckoo’s Egg.

Motivace některých útočníků lze navíc vysledovat až k extremistickým organizacím, které se snaží kyberútoky využít k politickým cílům. Popularizace internetu, mobilních technologií a zlevnění počítačů vedlo ke zlepšení dovedností, ale také k ohrožení prostředí, která jsou považována za nezbytné pro běžné fungování společnosti. Všechna kritická aktiva se stávají citlivější k ohrožení, což vedlo k řadě studií o tom, jak mitigovat rizika s ohledem na motivace těchto aktérů. Existují výrazné rozdíly v motivaci nezávislých hackerů a aktérů národních států, kteří útočí na základě ideologie.

Standardní součástí modelování hrozeb pro jakýkoli informační systém je identifikace toho, co by mohlo být motivací k útoku na tento systém. Úroveň a podrobnosti opatření se budou lišit v závislosti na systému, který má být zabezpečen. Osobní počítač, banka a tajná vojenská síť čelí velmi odlišným hrozbám, i když používané ochranné technologie bývají v základu podobné.

Bezpečnostní politika

Aby byla ochrana počítačového systému efektivní, je potřebné vypracovat bezpečnostní politiku (ang. Security Policy). Cílem této politiky je docílení takového stavu, aby úsilí, riziko odhalení a finanční prostředky potřebné na narušení bezpečnostního systému byly adekvátní v porovnání s hodnotou aktiv, která jsou danými opatřeními chráněna.

Části bezpečnostní politiky

Zabezpečení fyzického přístupu: Zabezpečení fyzického přístupu spočívá v zabránění přístupu nepovolaných osob k částem počítačového systému. K tomuto zabezpečení se používají bezpečnostní prvky jako přidělení rozdílných práv zaměstnancům, elektronické zámky, výstražná zařízení, kamerové systémy, autorizační systémy chráněné hesly, čipovými kartami, autentizační systémy na snímání otisků prstů, dlaně, oční duhovky, rozpoznání hlasu, audity na sledování a zaznamenávání určitých akcí zaměstnanců (vstup zaměstnanců do místnosti, přihlášení se do systému, kopírování údajů atd.).

Zabezpečení počítačového systému

Zabezpečení počítačového systému spočívá v zabezpečení systému před útokem crackerů, škodlivého softwaru (viry, červy, trojské koně, spyware, adware…). do této části patří i zaškolení zaměstnanců, aby se chovali v souladu s politikou počítačové bezpečnosti a dodržovali zásady bezpečného chování na síti.

Součástí zabezpečení počítačového systému může být také penetrační testování (pentest), což je kontrolovaná simulace hackerského útoku, kterou provádějí bezpečnostní experti za účelem odhalení zranitelností. Tento test systematicky prověřuje systémy pomocí stejných metod a nástrojů jako skuteční hackeři, ale kontrolovaným a nedestruktivním způsobem. Výsledkem je detailní zpráva s konkrétními doporučeními, jak nalezené bezpečnostní nedostatky odstranit.^[13]^{[chybí lepší zdroj]}

Zabezpečení informací

Zabezpečení informací spočívá v bezpečném zálohování dat. Záloha dat by měla být vytvořena tak, aby ji neohrozil útočník ani přírodní živelní pohroma (požár, záplavy, pád letadla…). Zálohovaná data je také potřeba chránit proti neoprávněné manipulaci použitím způsobu šifrování. Záloha dat má být aktuální.

Ekonomické a právní zabezpečení

Ekonomické a právní zabezpečení spočívá ve správné motivaci zaměstnanců a jejich postihu v případě nesouladu.

Informování o bezpečnostních incidentech ale nemá preventivní vliv.^[14]

Reference

V tomto článku byly použity překlady textů z článků Computer security na anglické Wikipedii, Počítačová bezpečnosť na slovenské Wikipedii a Computer security na anglické Wikipedii.

↑ Computer Security and Mobile Security Challenges [online]. [cit. 2016-08-04]. Dostupné online.
↑ Distributed Denial of Service Attack [online]. [cit. 2014-11-12]. Dostupné online.
↑ Selling your old laptop or phone? You might be handing over your data too. techxplore.com [online]. [cit. 2025-04-08]. Dostupné online.
↑ AMNA. Wireless mouse leave billions at risk of computer hack: cyber security firm [online]. 2016-03-30 [cit. 2022-05-25]. Dostupné online. (anglicky)
↑ Vishing a spoofing - Policie České republiky. policie.gov.cz [online]. [cit. 2025-06-16]. Dostupné online.
↑ What is Spoofing? - Definition from Techopedia. Techopedia.com [online]. [cit. 2022-05-25]. Dostupné online. (anglicky)
↑ GALLAGHER, Sean. Photos of an NSA "upgrade" factory show Cisco router getting implant [online]. Ars Technica, May 14, 2014 [cit. 2014-08-03]. Dostupné online.
↑ Identifying Phishing Attempts [online]. Case [cit. 2016-08-27]. Dostupné v archivu pořízeném dne 2015-09-13.
↑ ČEPIČKA, David. Clickjacking: budeme se bát?. Computertrends [online]. [cit. 2025-06-16]. Dostupné online.
↑ ARCOS SERGIO. Social Engineering [online]. Dostupné online.
↑ SCANNELL, Kara. CEO email scam costs companies $2bn. Financial Times. 24 Feb 2016. Dostupné online [cit. 7 May 2016].
↑ Bucks leak tax info of players, employees as result of email scam. Associated Press. 20 May 2016. Dostupné online [cit. 20 May 2016].
↑ ŽÁK, Patrik. Penetrační test: Co to je a proč ho vaše firma potřebuje. sysnetshield.com [online]. 2025-09-10 [cit. 2025-09-23]. Dostupné online.
↑ Research reveals massive failures in US cybersecurity laws. techxplore.com [online]. [cit. 2024-02-19]. Dostupné online.

Související články

Externí odkazy

Obrázky, zvuky či videa k tématu počítačová bezpečnost na Wikimedia Commons

[1] Computer Security and Mobile Security Challenges [online]. [cit. 2016-08-04]. Dostupné online.

[2] Distributed Denial of Service Attack [online]. [cit. 2014-11-12]. Dostupné online.

[3] Selling your old laptop or phone? You might be handing over your data too. techxplore.com [online]. [cit. 2025-04-08]. Dostupné online.

[4] AMNA. Wireless mouse leave billions at risk of computer hack: cyber security firm [online]. 2016-03-30 [cit. 2022-05-25]. Dostupné online. (anglicky)

[5] Vishing a spoofing - Policie České republiky. policie.gov.cz [online]. [cit. 2025-06-16]. Dostupné online.

[6] What is Spoofing? - Definition from Techopedia. Techopedia.com [online]. [cit. 2022-05-25]. Dostupné online. (anglicky)

[7] GALLAGHER, Sean. Photos of an NSA "upgrade" factory show Cisco router getting implant [online]. Ars Technica, May 14, 2014 [cit. 2014-08-03]. Dostupné online.

[8] Identifying Phishing Attempts [online]. Case [cit. 2016-08-27]. Dostupné v archivu pořízeném dne 2015-09-13.

[9] ČEPIČKA, David. Clickjacking: budeme se bát?. Computertrends [online]. [cit. 2025-06-16]. Dostupné online.

[10] ARCOS SERGIO. Social Engineering [online]. Dostupné online.

[11] SCANNELL, Kara. CEO email scam costs companies $2bn. Financial Times. 24 Feb 2016. Dostupné online [cit. 7 May 2016].

[12] Bucks leak tax info of players, employees as result of email scam. Associated Press. 20 May 2016. Dostupné online [cit. 20 May 2016].

[13] ŽÁK, Patrik. Penetrační test: Co to je a proč ho vaše firma potřebuje. sysnetshield.com [online]. 2025-09-10 [cit. 2025-09-23]. Dostupné online.

[14] Research reveals massive failures in US cybersecurity laws. techxplore.com [online]. [cit. 2024-02-19]. Dostupné online.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]