Denník N

Aká bezpečnosť je kybernetická?

Ľudia sú na informáciách závislí. A nie je to len závislosť v zmysle pohľadov, neustále uprených do mobilných telefónov. Závislosť na informáciách sa týka mnohých spoločenských odvetví.

Informácií je dnes viac, než kedykoľvek v histórii. Informácie sú navyše spracúvané rýchlejšie a   v obrovských objemoch, a to najmä elektronicky. Preto sa aj hrozby presúvajú do toho imaginárneho obláčika, nazvaného „kybernetický priestor“.

Závislosť na spätnej väzbe

Organizmy, systémy, podsystémy, ekosystémy majú jednu spoločnú vlastnosť – vymieňajú si informácie. Tie následne  podľa svojich vlastných potrieb spracovávajú, využívajú alebo si ich zapamätajú. Medzi jednotlivými komponentami systému či organizmu vzniká vzťah, ktorý sa nazýva spätná väzba.

Systémy sa vzájomne ovplyvňujú a ich reakcie závisia len na spôsobe odovzdávania a prijímania informácií. To platí rovnako pre človeka, pre počítače, pre zvieratá, rastliny, astronomické objekty, ale aj pre výrobné linky, dopravu, vojenské operácie, či pre riadenie štátov. Závislosť na spätnej väzbe je univerzálna a platí pre celý známy i neznámy vesmír. Kybernetika je veda o komunikácii dynamických systémov.

Kybernetika s bezpečnosťou však súvisí iba nepriamo.

Životné priestory

Pojem „priestor“ si najčastejšie spájame s fyzickým priestorom, ktorý sme schopní vnímať svojimi zmyslami. Až následne si pojem priestor stotožňujeme s inými abstraktnými prostrediami, v ktorých žijeme fyzicky, či virtuálne –  napríklad osobný priestor, verejný priestor, záujmový priestor, ekonomický priestor, atď. Pri snahe o kategorizáciu priestorov a väčšiu úroveň detailu by sme z informatiky zachádzali až do filozofických vied.

Podľa jednej z mnohých (takmer podobných) definícií je kybernetický priestor: „komplexné prostredie, ktoré je výsledkom interakcie ľudí, softvéru a služieb na internete prostredníctvom technologických zariadení a sietí, ktoré sú k nemu pripojené, a ktoré neexistujú v žiadnej fyzickej podobe“.

Definície kybernetického priestoru nájdete v mnohých odborných slovníkoch, aj v zákone o kybernetickej bezpečnosti. Zo všetkých definícií vyplýva, že predpona „kyber“ nadobúda zmysel vtedy a práve vtedy, ak je predmet diskusie v oblasti elektronického spracovania dát. Dôležité je poznamenať, že elektronické spracúvanie si nesmieme zamieňať s digitálnym spracúvaním. To by znamenalo, že sa obmedzujeme len na spracovanie založené na znázorňovaní dát číslicami.

Zjednodušene sa dá tvrdiť, že v dnešnej informačnej dobe sa prídavné meno „kybernetický“ chápe ako synonymum výrazu „týkajúci sa kybernetického priestoru“, teda v prenesenom zmysle „elektronicky spracúvaný“.

Bezpečnosť ako merateľný stav

Vráťme sa k nadpisu. Čo znamená „bezpečnosť“? Podľa medzinárodnej technickej normy je bezpečnosť stav bez nebezpečenstva alebo hrozby. Bodka. Jednoduché. Stav. Bezpečnosť nie je subjektívny pocit bezpečia, ale objektívny a merateľný stav.

Pojem bezpečnosť pôvodne pochádza z latinského „securitas“, čo znamenalo bezstarostnosť, bezpečnosť, istotu, pokoj, ochranu a zabezpečenie. V každom význame je to stav, v ktorom je chránený život, zdravie, prostredie či majetok.

Zaujímavé je chápanie bezpečnosti v rámci spoločenských vied. Tu je bezpečnosť vnímaná ako súhrn spoločenských vzťahov, ktoré upravuje právo a ktoré chránia záujmy fyzických a právnických osôb, záujmy spoločnosti a ústavné zriadenie. Je to najvyššia  miera nebezpečenstva, ktorú spoločnosť v určitej oblasti života pripúšťa.

Na výslednú bezpečnosť sa dá pozerať dvoma spôsobmi: objektívne – ako na skutočnú absenciu hrozieb, alebo subjektívne – ako na dôsledok absencie vnímania ohrozenia.

Informačná, alebo kybernetická bezpečnosť?

Oba výrazy sú správne. Dôležité je pochopiť, ako spolu súvisia.

Informačná bezpečnosť znamená bezpečnosť informácií. To je situácia, v ktorej sú informácie považované za bezpečné. Je to časť informačného manažmentu bez ohľadu na fyzikálny stav dát, bez ohľadu na ich formát, bez ohľadu na spôsob ich interpretácie a bez ohľadu na médium, prostredníctvom ktorého sú uchovávané a prenášané. Podľa definície: Informačná bezpečnosť je zachovanie dôvernosti, integrity a dostupnosti informácií. [ISO/IEC 27032, čl. 2.33].

Na druhú stranu  Kybernetická bezpečnosť je zachovanie dôvernosti, integrity a dostupnosti informácií v kybernetickom priestore [ISO/IEC 27032, čl. 4.20].

Vnímate ten rozdiel? Oba druhy bezpečnosti majú rovnaký cieľ – ochranu informácií. Až na to, že bezpečnosť kybernetická“ sa týka len informácií v kontexte kybernetického priestoru. 

Ak by som sa mal vyjadriť exaktne, tak “kybernetická bezpečnosť” je podmnožinou množiny “informačná bezpečnosť” preto, že všetky jej prvky sú zároveň prvkami množiny “informačná bezpečnosť”, zatiaľ čo inverzne toto tvrdenie neplatí.

Niektorí autori opisujú kybernetickú bezpečnosť nie ako podmnožinu informačnej bezpečnosti, ale ako prienik dvoch iných množín – informačných aktív a „neinformačných“ aktív. V zmysle nasledujúceho grafu.

Zaujímavý názor, ale len vtedy, ak ho použijeme ako doplnkovú ilustráciu. Toto zobrazenie totiž obchádza dva fakty: takmer všetky definície popisujú kybernetický priestor abstraktne, bez potreby jeho fyzického vymedzenia a tiež, že kybernetická bezpečnosť sa ako odbor zapodieva zachovaním dôvernosti, integrity a dostupnosti INFORMÁCIÍ. „Neinformačné aktíva“ samozrejme už podľa svojho pomenovania nie sú informáciami. Neinformačné informačné aktíva je zjavný oxymoron.

Bezpečnosť informácií v kyberpriestore

Kyberbezpečnosť sa týka opatrení, ktoré by zainteresované strany mali podniknúť na zaručenie bezpečnosti informácií v kyberpriestore. Kyberbezpečnosť sa opiera o rôzne subdomény – aplikačnú bezpečnosť, sieťovú bezpečnosť, internetovú bezpečnosť,  bezpečnosť priemyselných riadiacich systémov, bezpečnosť kritickej infraštruktúry, ako o svoje základné stavebné kamene.  Samozrejme sa kybernetická bezpečnosť týka aj tých najcitlivejších oblastí, vrátane národnej obrany, vyšetrovania počítačovej kriminality, základných služieb, ochrany života a zdravia občanov.

Nemýľme si objekt so subjektom

Ak chceme nájsť hranicu medzi tým čo je a čo už nie je kybernetická bezpečnosť, musíme rozlišovať, či sa na definíciu kybernetickej bezpečnosti pozeráme z pohľadu subjektu, teda pozorovateľa, ktorého sa elektronicky spracúvané informácie týkajú, alebo z pohľadu objektu, teda predmetu pozorovania. Dáta v tomto vzťahu predstavujú OBJEKT, zatiaľ čo ľudia, ktorí vnímajú dopad hrozieb sú SUBJEKT pozorovania. Aj v právnej teórii je objekt predmetom, či cieľom, ktorý má byť právnym vzťahom v súvislosti s predmetom dosiahnutý. Za objekt za považujú statky, aktíva. V tomto prípade tzv. informačné aktíva.

Rozdielne ponímanie odborovej kategorizácie bezpečnosti spočíva v chybnom presadzovaní pohľadu najmä z pozície subjektu a určitom vedomom potláčaní podstaty, či existencie objektu. Objektom ochrany je faktické zaručenie bezpečnosti informácií, nie pocit bezpečia vlastníkov informácií.

Kyberbezpečnosť nakoniec aj ako selfmarketing

Pokiaľ ide o politikov a manažérov, u nich to obsesívne používanie výrazu „kybernetická bezpečnosť“ spočíva najmä v marketingu. Skrátka – výraz „kybernetický“ a predpony „kyber“ či „cyber“ znejú príťažlivejšie a prednášajúceho to v očiach poslucháčov robí odborne zdatnejším.

Áno, sme závislí na informačných a komunikačných technológiách. Korelácia však nie je kauzalita a bolo by nekorektné tvrdiť, že predponu „kybernetický“ alebo „cyber“ dáme každej ľudskej činnosti, pre ktorú je dôležité počítačové spracovanie dát.

Prečo je teda časť bezpečnosti „kybernetická“? Pretože sa týka ochrany údajov a informácií v kybernetickom priestore.

Ivan Makatura

 

Teraz najčítanejšie

Kompetenčné a certifikačné centrum kybernetickej bezpečnosti

Centrum spája slovenskú komunitu a tvorí štandardy pre posudzovanie, vzdelávanie a európske projekty v oblasti kybernetickej bezpečnosti. Služby Kompetenčného centra zahŕňajú široké profesionálne portfólio auditu, konzultačných služieb a certifikácie osôb, produktov a manažérskych systémov.  

Tento blog je platený.