3_Šesták, Krulík_Informační bezpečnost a ochrana

3_Šesták, Krulík_Informační bezpečnost a ochrana

Informační bezpečnost a ochrana kritické informační infrastruktury
jako priorita bezpečnostního výzkumu v rámci České republiky
Prof. Ing. Bedřich Šesták, DrSc.; Mgr. Oldřich Krulík, Ph.D.
Jeden z možných rámců dalšího směřování České republiky v oblasti vědy
a výzkumu představuje usnesení Vlády České republiky ze dne 19. července 2012
č. 552, o Národních prioritách orientovaného výzkumu, experimentálního vývoje
a inovací. Jeho text pochází z dílny Technologické agentury České republiky.1
Nakolik se nejedná o strategický dokument jediný (další existují nebo se připravují
přímo v rámci Ministerstva vnitra České republiky2), není od věci se s jeho obsahem
seznámit. Tématem, které nás přitom bude zajímat nejvíce, jsou otázky informační
bezpečnosti, respektive ochrany kritické informační infrastruktury.
Stávající priority aplikovaného výzkumu (Biologické a ekologické aspekty udržitelného
rozvoje, Molekulární biologie a biotechnologie, Energetické zdroje, Materiálový výzkum,
Konkurenceschopné strojírenství, Informační společnost, Bezpečnost a obrana, Priority
rozvoje společnosti) nejsou nadále definovány jako cíle, ale jako oblasti zájmu.
Struktura dokumentu je nyní rozdělena do šesti oblastí (skupin cílů či úkolů):






Konkurenceschopná ekonomika založená na znalostech.
Udržitelnost energetiky a materiálových zdrojů.
Prostředí pro kvalitní život.
Sociální a kulturní výzvy.
Zdravá populace.
Bezpečná společnost.
Tyto pasáže jsou dále strukturovány do podkapitol, respektive podúkolů.
1
2
Priority 2030: Foresight v České republice do roku 2030 <http://www.priority2030.cz/>.
Technologická agentura České republiky <http://www.tacr.cz>.
Meziresortní koncepce bezpečnostního výzkumu a vývoje České republiky do roku 2015. Ministerstvo
vnitra České republiky <http://www.mvcr.cz/clanek/meziresortni-koncepce-bezpecnostniho-vyzkumu-avyvoje-cr-do-roku-2015.aspx>.
Bezpečnostní výzkum. Ministerstvo vnitra České republiky
<http://www.mvcr.cz/bezpecnostni-vyzkum.aspx>.
1
Zmínky o tématu informační bezpečnosti a ochrany kritické informační
infrastruktury, obsahuje nejprve oblast č. 3: Prostředí pro kvalitní život.
Jeho kapitola 2 (Globální změny) konstatuje, že „Globální změny, ke kterým ve světě
dochází a které ovlivňují užití přírodních zdrojů, je možné nahlížet z různých úhlů pohledu –
vedle ekonomického nebo informačního, také z hlediska změny klimatu.“
Kapitola 5 (Člověk, věda a nové technologie) k tomu dodává: „Patrně
nejpronikavějším výsledkem vědecko-výzkumných aktivit jsou výstupy v oblasti tzv. vyspělých
technologií, jež prostupují veškeré sféry života od každodennosti po způsoby vzdělání, práce i
zábavy (bio-, nano- a informační technologie). Rozvoj komunikačních technologií podstatně
ovlivňuje vývoj společnosti a má zásadní socioekonomické důsledky pro dostupnost
informací, možnosti jejich využívání a zároveň potřebu jejich důslednější ochrany, ale i pro
převažující formy komunikace mezi lidmi (fenomén sociálních sítí apod.). Protože množství
informací, které k lidem prostřednictvím informačních technologií a médií přichází je
enormní, je třeba určitým způsobem tyto informace filtrovat, resp. dbát na jejich kvalitu a
korektnost. V této snaze by zároveň neměly být omezovány svobody jedince a jeho možnosti
projevovat vlastní názor.“
Daleko nejdetailněji téma informační bezpečnosti sleduje oblast č. 6: Bezpečná
společnost.
Jeho kapitola 1. (Bezpečnost občanů, podoblast 1.2: Ochrana před kriminalitou,
extremismem a terorismem) konstatuje následující: „Objem zjištěné trestné činnosti v České
republice setrvale klesá3, nicméně celá oblast vyžaduje trvalé úsilí. Kriminální scéna prochází
permanentním
procesem
adaptace
na
nové
sociální
a technologické impulsy ... Lze se i důvodně domnívat, že objem celkové trestné činnosti je
podstatně vyšší než zjištěný. Veřejnost řadu případů neoznamuje a mnoho případů latentní
kriminality (např. kriminalita proti duševnímu vlastnictví, korupce) je obecně tolerováno.
Organizované
zločinecké
skupiny,
extremisté
a
teroristé
patří
k nejprogresivnějším uživatelům moderních informačních a komunikačních technologií. V
této oblasti lze mj. očekávat nárůst kybernetických útoků ze strany mezinárodních
organizovaných skupin a vzrůst rizik spojených se zneužíváním osobních údajů, záznamů a
digitální identity uživatelů, či s jejich vývozem za hranice České republiky.“
Kapitola 2 v rámci stejné oblasti (Bezpečnost kritických infrastruktur
a zdrojů, podoblast 2.1: Ochrana, odolnost a obnova kritických infrastruktur) k tomu
dodává: „… Zajištění funkčnosti kritických infrastruktur spočívá na všech třech faktorech,
kterými jsou ochrana kritických infrastruktur, odolnost kritických infrastruktur a obnova
3
V době vypracování dokumentu tomu tak sice bylo, dnes (2014) je situace odlišná, nemluvě o
objemné kriminalitě nehlášené a statisticky nepodchycené.
MAREŠOVÁ, Alena; KRULÍK, Oldřich. Latence kriminality a nejčastejší důvody neoznamování případů
podezření na spáchání trestného činu nebo přestupku. In: Bezpečnostní situace v České republice. Ed.
Marešová, Alena. Praha: odbor bezpečnostní politiky Ministerstva vnitra České republiky, 2012, CD-ROM. ISBN
978-80-260-3275-5.
2
funkce kritických infrastruktur po přerušení její funkce … Smyslem ochrany kritických
infrastruktur je snížení zranitelnosti působením vnějších vlivů, jedná se o ochranu proti
účinkům přírodních pohrom a úmyslných antropogenních činů. Smyslem zvyšování odolnosti
je zajištění robustnosti systémů kritických infrastruktur proti výskytu přírodních,
technologických a antropogenních (včetně chyb obsluhy) hrozeb. Děje se tak zahrnutím
robustnosti (včetně zajištění alternativních a náhradních mechanismů) do procesů
navrhování,
výstavby,
obsluhy
a údržby systémů kritických infrastruktur s cílem zabezpečení alespoň určité nouzové úrovně
služeb. Zajištění obnovy kritických infrastruktur spočívá v úsilí o minimalizace doby obnovy
tak, aby se s ohledem na dopady přerušení funkce kritických infrastruktur zabránilo rozvoji
krizové
situace
(její
vážnost
narůstá
obvykle
exponenciálně
v závislosti na době přerušení funkce kritických infrastruktur)…“
S obsahem kapitoly souvisí následující stěžejní cíl č. 2.1 (sestávající ze čtyř odrážek):
 „Zajištění funkčnosti kritických infrastruktur s cílem zamezit rozvinutí nežádoucích
stavů vzniklých v důsledku vnějších vlivů, zahrnujících přírodní pohromy a úmyslné
antropogenní činy, do kritických situací.
 Rozvoj metodik a aplikačních postupů rizikových analýz (stanovení relevantních
hrozeb, analýza a kvantifikace rizik), metodik a aplikačních postupů navrhování a
výběru preventivních opatření (včetně analýzy nákladů a užitků) k odvrácení hrozeb
pro jednotlivé druhy kritické infrastruktury.
 Aplikace managementu kontinuity činností organizací kritické infrastruktury.
 Vývoj nových technologických řešení, která zahrnují metody získávání klíčových
informací ze všech dostupných zdrojů k účinné detekci a identifikaci možných
nebezpečí … metody řešení nastalých incidentů při kybernetických útocích nebo
výpadcích informační infrastruktury.“
Několik dalších cílů avizuje kapitola 3 (Krizové řízení a bezpečnostní politika,
podoblast 3.3: Systémy analýzy, prevence, odezvy a obnovy):
 Dílčí cíl 3.3.1: Zlepšení systémů získávání a třídění bezpečnostních informací:
„Zlepšení systému získávání a třídění bezpečnostně relevantních informací všech
typů pro ochranu obyvatelstva i kritických infrastruktur: identifikace zdrojů, systémy
ukládání, ochrany a zpřístupnění dat, mezinárodní spolupráce, interoperabilita.
Zdokonalování
spolupráce
bezpečnostních
složek
a státní správy a samosprávy při identifikaci, předávání informací
a informačních zdrojů.“
 Dílčí cíl 3.3.2: Analýza bezpečnostních informací: „Vyvinout nové metody analýzy
informací
bezpečnostního
charakteru,
kombinace
strukturovaných
a nestrukturovaných informací (databáze, web, text, mluvená řeč), data mining,
knowledge engineering, odvozování znalostí (reasoning). Hodnocení aktuálnosti
3
a relevance informací a to i v mezinárodním kontextu. Identifikace vhodných příjemců
analyzovaných a agregovaných výstupů.“
 Dílčí cíl 3.3.3: Zdokonalování účinnosti bezpečnostního systému a krizového řízení:
„Průběžná
analýza
informačních
potřeb.
Nastavení
rozhodovacích
a informačních procesů a zodpovědností všech složek. Zabezpečení informačních toků
při
prevenci
i
v
krizových
situacích.
Propojení
technologií
a rozhodovacích procesů státní správy. Návaznost informačního systému na složky
krizového řízení. Analýza účinnosti preventivních opatření vzhledem
k informačnímu systému, analýza průběhu krizových situací, hodnocení dopadů
dostupnosti informací. Opatření pro odstranění nedostatků a zvýšení odolnosti
informačního systému v technologické i organizační oblasti.“
Poslední relevantní částí oblasti 6 je kapitola 4. (Obrana, obranyschopnost
a nasazení ozbrojených sil, podoblast 4.1, Rozvoj schopností ozbrojených sil; dílčí cíl 4.1.4,
Rozvoj komunikačních a informačních systémů a kybernetická obrana): „Cílem je rozvoj
vojenských komunikačních a informačních systémů a zvyšování jejich odolnosti proti
kybernetickým hrozbám a vytváření podmínek pro přenos utajovaných informací.“
Tolik k výstupům Technologické agentury. Nyní nahlédněme, zda a nakolik jsou
v souladu s Meziresortní koncepcí bezpečnostního výzkumu a vývoje České republiky do
roku 2015.4 Bezesporu je tu zřejmá značná synergie. Priority Koncepce jsou totiž naplňovány
prostřednictvím
následujících
výzkumných
aktivit,
vycházejících
z přesně vymezených potřeb a požadavků státní správy (výběr):





4
Vyvinout nové metody a nástroje pro odhalování a vyšetřování případů kybernetické
kriminality a ochrany informačních systémů před kybernetickými hrozbami.
Zvýšit úroveň ochrany společnosti před teroristickými útoky novými metodami
a prostředky pro potírání organizované kriminality.
Zkvalitnit ochranu obyvatelstva v případě rizik vyplývajících z průmyslových havárií,
včetně radiačních, živelních pohrom nebo teroristických útoků na základě specifikace
priorit,
nových
postupů,
mechanismů,
metod,
technologií
a technických prostředků ochrany zdraví a životů lidí, majetku a životního prostředí.
Provést výzkum nově vznikajících trendů při užívání internetu a jeho online
technologií a rozvinutí problematiky predikce vážnosti hrozby (threat assessment),
stanovit postupy a zavést je do bezpečnostní praxe.
Aktualizovat a zvýšit bezpečnost informačních a komunikačních technologií,
specifikovat nové požadavky na výstavbu nových informačních systémů, stanovit
Meziresortní koncepce bezpečnostního výzkumu a vývoje České republiky do roku 2015. Ministerstvo
vnitra České republiky <http://www.mvcr.cz/clanek/meziresortni-koncepce-bezpecnostniho-vyzkumu-avyvoje-cr-do-roku-2015.aspx>.
4
zásady a doporučení pro řízení havarijních a krizových stavů při přerušení kontinuity
zpracování dat v informačním systému.
Mgr. Oldřich Krulík, Ph.D.
Absolvent politologie Fakulty sociálních věd University Karlovy, kde v letech 2001
– 2005 působil i jako pedagog. Mezi lety 2001 až 2009 pracovník odboru bezpečnostní
politiky Ministerstva vnitra (boj proti terorismu, informační bezpečnost atd.). Od roku 2010
je akademickým pracovníkem Policejní akademie České republiky v Praze, od roku 2013 ve
funkci proděkana pro vědu a výzkum Fakulty bezpečnostního managementu.
Kontakt: [email protected]
Prof. Ing. Bedřich Šesták, DrSc.
Titul profesor mu byl udělen roku 1988 v rámci Českého vysokého učení technického v oboru
fyzika plazmatu. Od roku 2002 působí v rámci Policejní akademie České republiky v Praze,
aktuálně na pozici prorektora pro vědu a výzkum a vedoucího Katedry krizového řízení.
Kontakt: [email protected]
5
Priority bezpečnostního výzkumu v České republice v rámci stejného dokumentu –
co se týče informační bezpečnosti a ochrany informační kritické infrastruktury – byly
stanoveny takto:
A. Základní priority
1. Bezpečnost občanů
 Terorismus, organizovaná kriminalita a další formy závažné kriminality ohrožující
bezpečnost státu.
 Ochrana obyvatelstva.
 Kybernetická kriminalita, on-line vyšetřování.




2. Bezpečnost kritických infrastruktur
hlavní priority
Komunikační a informační systémy – služby pevných telekomunikačních sítí, služby
mobilních telekomunikačních sítí, radiová komunikace a navigace, satelitní
komunikace, televizní a radiové vysílání, přístup k internetu a datovým službám,
poštovní a kurýrní služby.
Bankovní a finanční sektor – správa veřejných financí, bankovnictví, pojišťovnictví,
kapitálový trh.
vedlejší priority
Automatické identifikace podezřelého chování v kritických infrastrukturách.
Spojení mezi různými infrastrukturami.
B. Priority podpůrné (průřezové) ve vztahu k prioritám základním




5. Situační připravenost (informovanost)
Nová pravidla a nové technologie pro podporu sdílení informací – identifikace
adekvátních metod pro sdílení informací.
Rámec mezinárodní spolupráce týkající se fúze datových zdrojů.
Zpravodajské sledování.
Bezpečné a spolehlivé komunikační metody mezi bezpečnostními složkami.
6. Identifikace lidí a prostředků
 Metody utajení informací.
Namísto závěru je možné konstatovat, že oba přístupy se do jisté míry překrývají. Je
pouze otázkou, zda a nakolik tomu bude i po roce 2015, kdy se u druhého jmenovaného
dokumentu očekává určitá aktualizace.
6
Literární prameny





Bezpečnostní
výzkum.
Ministerstvo
vnitra
České
republiky.
[online]
<http://www.mvcr.cz/bezpecnostni-vyzkum.aspx> (citováno 12. října 2014).
MAREŠOVÁ, Alena; KRULÍK, Oldřich. Latence kriminality a nejčastejší důvody
neoznamování případů podezření na spáchání trestného činu nebo přestupku. In:
Bezpečnostní situace v České republice. Ed. Marešová, Alena. Praha: odbor bezpečnostní
politiky Ministerstva vnitra České republiky, 2012, CD-ROM. ISBN 978-80-260-3275-5.
Meziresortní koncepce bezpečnostního výzkumu a vývoje České republiky do roku 2015.
Ministerstvo vnitra České republiky. [online] <http://www.mvcr.cz/clanek/ meziresortnikoncepce-bezpecnostniho-vyzkumu-a-vyvoje-cr-do-roku-2015.aspx> (citováno 12. října
2014).
Priority 2030: Foresight v České republice do roku 2030. [online]
<http://www.priority2030.cz/> (citováno 12. října 2014).
Technologická agentura České republiky. [online] <http://www.tacr.cz> (citováno 12.
října 2014).
7