Základy kybernetické bezpečnosti
Bezpečnost a analýza dat
Ing. Vladimír Lazecký
vladimir.lazecky@viavis.cz
− Ing. Vladimír Lazecký
− CEO společnosti VIAVIS a.s.
− V oboru od roku 1994
− VIAVIS je nezávislá konzultační společnost
− Ochrana a bezpečnost informací, integrovaná bezpečnost
− Řešení bezpečnostních incidentů
− Kyber bezpečnost
− Soudní znalci
− Bezpečnostní management
Dovolte, abych se představil
− Motivace
− Základní pojmy a principy
− Informační systémy
− Systematické řešení – technická a organizační opatření
− Incident management, BCP
− Trendy v oblasti informační a kybernetické bezpečnosti
Základní témata předmětu
− Ukázat reálný obsah pojmu „kybernetická bezpečnost“
− Kybernetická nebo informační bezpečnost?
− Je více bezpečností?
− Pouze téma odborníků?
− Jaká je reálná role státu
− Role informační bezpečnosti v současném světě
− Bezpečnost x svoboda
− Předat alespoň základní nadhled nad obor
− Pochopení problému a principů
− Korigovat nereálné představy
Cíl přednášek
− Kyberne?ka:
− Je věda, která se zabývá obecnými principy řízení a přenosu informací ve
strojích, živých organismech a společenstvích (www.wikipedia.cz)
− Kyberne?cká bezpečnost (Cyber Security)
− Souhrn právních, organizačnícȟ, technických a vzdělávacích prostředků
směřujících k zajištění ochrany kyberneFckého prostoru
− hcp://www.cybersecurity.cz
− Kyberne?cký prostor (Cyberspace)
− Digitální prostředí umožňující vznik, zpracování a výměnu informací tvořené
informačními systémy, službami a sítěmi elektronických komunikací
− hcp://www.cybersecurity.cz
Kybernetická bezpečnost – pojmy, pojmy, pojmy…
− Kybernetický útok (Cyber Attack)
− Útok na IT infrastrukturu za účelem způsobit poškození a získat citlivé či
strategicky důležité informace.
− Tyto definice nejsou úplně přesné:
− Kybernetická bezpečnost je stále bezpečností
− Nejde pouze o útoky na IT infrastrukturu – velká komplexnost
− Nebezpečí chápání zodpovědnosti uživatelů:
− „O to se stará ajťák, tomu nerozumím“
− „Jde o problém státu, mne se to netýká“
− „Nemám co tajit, kdo by na mne útočil“
Kybernetická bezpečnost – zatím jen motivace
− Důvodem pro ochranu čehokoli je hodnota
− Pokud je něco bezcenné, nemá smysl to chránit
− Každá hodnota sebou nese riziko
− S růstem hodnoty roste riziko incidentu
− Bezpečnost – existuje jich více?
− Dá se problém zúžit jen na kybernetickou bezpečnost?
− Je kybernetická bezpečnost problém pouze odborníků?
MoFvace – proč bezpečnost
− Informace vždy hrály rozhodující úlohu:
− Války – převaha informací byla vyšší hodnotou než vojenská
− Vlády – ekonomická politika, mezinárodní politika, bezpečnostní politika
− Soukromý sektor – průmyslová špionáž
− Marketing – Apple, automotive, politické strany
− Nový trend – informační boj, hybridní hrozby
− Útoky na fakta a jejich ověřitelnost – fake news
− Na základě špatných dat nelze učinit správná rozhodnutí
− Mediální realita, postpravda, relativizace
− Více mimoběžných realit
− Jak lze ověřovat realitu?
Něco málo historie
− Neoprávněné získání informací – fyzická špionáž
− Manipulace s informacemi
− Zamezení přístupu k informacím
− Pokusy se děly vždy
− Globální prostor získání informací usnadňuje (kyber prostor)
− Dopady incidentů:
− Ovlivnění životů lidí
− Polikcké dopady
− Ekonomické dopady
− Narušení společnosk
− Nepoměr mezi náklady na incident a jeho dopady
− Vysoká efek?vita
Něco málo historie
− Ochrana informací:
− Snaha o ochranu tady byla vždy (neviditelný inkoust…)
− Dnes:
− Radikálně se mění technologie
− Lidská mentalita se nemění
− Chybí bezpečnostní zkušenost
− Nevnímání rizik
− Závislost na způsobu zpracování informací
− Rostou dopady incidentů – globální dopady
− Základní metody ochrany zůstávají - technické x organizační x hodnotové
Informační závislost extrémně roste
Něco málo historie
− Rozvoj IT přinesl kvalitativní změnu
− Rozvoj Internetu – 90. léta:
− Velmi snadný přístup k informacím
− Rychlost komunikace
− Nikdo nebyl připraven na nový typ hrozeb
− Ochrana je reaktivní
− Bezpečnost IT systémů – historicky se jim věnovala malá pozornost
− Změna od roku 2000 – první publikované vážné bezpečnostní incidenty
− Začal převažovat zájem o IT bezpečnost
− „Bláznivé“ investice do IT ochrany
− Ochrana soukromí?
Něco málo historie
− Proč se stáváme závislými?
− Veřejná správa
− Business – B2B, B2C…
− Kritická infrastruktura
− Sociální sítě
− Cloud
− Internet věcí
− Technologie řídí životy
− Vidíte důvod?
Proč internet?
− Jak je snadné „ukrást“ cenou informaci?
− Veletrhy kdysi x internet nyní
− Jak je obqžné chránit drahé know how?
− Dříve:
− Úspěch byl podmíněn nápadem, rychlosq, šikovnosq, na realizaci nápadu byl
čas
− Existoval lokální business – globální bariéry
− Náklady na rozjezd podnikání
− Nyní:
− „Úspěšní se nápady inspirují, bohaT nápady kradou…“ (www.ihned.cz)
Všimli jste si, jak se změnil svět?
− Ochrana osobnosti a svobody jednotlivce
− Monitoring „od kolébky do hrobu“
− Telekomunikační operátoři
− IS veřejné a státní správy, registry
− Kamerové systémy
− Platební systémy, EET, IoT…
− Bezpečnostní systémy
− Terorismus
− Infrastruktura IS – využívá internet
− Dobrovolné „uložiště“ soukromých informací:
− Sociální sítě…
− Kde je hranice?
− Dá se ochrana osobnosti vynutit zákonem?
− Co lze dělat s informací umístěnou na internet?
Nové problémy dneška
− Společnost měla nápad – jednoduchá technologie s úsporami 80% proti
cenám konkurence
− Do vývoje investovala nemalé prostředky
− Na vývoji se podíleli externisté
− Mezi externisty a společností neexistovaly objednávky a smlouvy specifikující
předmět plnění
− Komunikace, vše probíhalo elektronicky, volně, nešifrovaně
− Externisté samostatně registrovali průmyslový vzor
− Požadavek externistů na velké licenční poplatky
− Pro management nastala obtížně řešitelná situace – hysterická reakce
− Po návratu k racionálnímu uvažování se situaci podařilo vyřešit
− Jde o problém „kybernetické bezpečnosti“?
− Jde o problém informační bezpečnosti?
− Úplně jiný problém?
Je „kyberneFcká bezpečnost“ pouze problém IT nebo internetu?
− Společnost byla obchodně velmi úspěšná, realizovala výrobek s vysokou
přidanou hodnotou a velkou marží
− Výrobek byl unikátní, obchod byl velmi úspěšný s minimálním úsilím
− Několik obchodníků založilo své SRO
− Převedli technickou dokumentaci, zákazníky – prokazatelným způsobem
(maily, datová uložiště)
− Vyráběli jinde, prodávali levněji
− Společnost se bránila u soudu
− Soud prohrála – argument soudce – zaměstnanci nevěděli, že jde o obchodní
tajemství…
A jiný…
− Úniky emailové korespondence polikků
− Nabourání se do účtů na sociálních síqch
− Nabourání se do počítačů
− Extrakce dat
− Ovládnuq technologií
− K čemu stát potřebuje všechna tato data?
− Podklady pro holokaust…
Hořce úsměvné incidenty
− Problém informační (kybernetické) bezpečnosti:
− Jde o souboj myšlenek – téměř bez technických omezení a limitů
− Proaktivní ochrana s účinností 100% je nemožná
− Bezpečnostní mechanismy:
− Pochopení principů
− Reakce na známá rizika
− Poučení se ze známých incidentů
− Předpoklad vývoje
− Existuje dokonalý antivir?
− Člověk – nejzranitelnější článek řetězce
− Nejnebezpečnější incidenty jsou ty, o kterých se oběť nedozví…
Uvědomte si
− Neexistuje jedna bezpečnost – vše souvisí se vším
− S růstem hodnoty rostou rizika
− Nepoměr mezi náklady na útok a jeho možnými dopady
− Technologie předbíhá bezpečnost
− Chybí bezpečnostní zkušenost
− „Kyber a informační bezpečnost“ nezná limity J
ShrnuV moFvačního úvodu
− Základní pojmy:
− Informace
− Bezpečnost, informační bezpečnost
− Kybernetická a informační bezpečnost
− Přístupy k informační a kybernetické bezpečnosti
− Informační systém, ICT
− Digitální stopa
− Digitální identita
Nudné základní pojmy
− Jak chápete pojmy:
− Informace
− Data
− Informační systém
− Bezpečnost
− Kybernekcká bezpečnost
− Informační bezpečnost
Základní pojmy - informace
− Informace:
− Existuje mnoho definic, vybírám:
− Sdělitelný poznatek, který má smysl a snižuje neznalost
− Informační šum, fake news…
− Data:
− Vyjádření informací schopné přenosu, uchování, interpretace, zpracování
− Rozdíl data x informace?
− Pojem informace je nutno chápat obecně – ne pouze data v elektronické podobě
− Jednotka informace – 1 bit – víte, co znamená?
Základní pojmy - informace
− Vlastnosti informace důležité pro informační bezpečnost:
− Hodnota informace
− Důvěrnost – souvisí s hodnotou
− Dostupnost
− Integrita
− Nosič informace - médium:
− Kamenná deska
− Lidé
− IT systémy
− Papírová dokumentace
− Pozor na METADATA
Základní pojmy - informace
− Hodnota informace
− Hodnota je vlastnost informace
− Rozdílná hodnota pro jednotlivé subjekty
− Hodnota informace může být pro vlastníka zanedbatelná, pro útočníka
obrovská (veřejná správa)
− Existují metodiky na oceňování informací:
− Cenu informace subjekt nejlépe zjistí při incidentu
− Informace velmi rychle mění hodnotu
− Vznik rozsáhlých škod:
− Marketing
− HOAX
− Poškození dobrého jména
− Důvěryhodnost
Specifika informace – hodnota informace
− Rozdílnost podstaty – informace x hmotná věc
− Ztráta informace x ztráta věci
− Změna informace x změna věci
− Podvržená informace x podvržená věc
− Neúplná informace x neúplná věc
− Ověření autenkcity informace
− Velmi efekkvní nástroje boje – dezinformace
− Rozdíl při idenkfikaci incidentu – informace x hmotná věc
− Bezpečnostní incidenty – prolomení bezpečnos? informací – nemusí být nikdy
zjištěny
Specifika informace – informace x hmotná věc
− Informační společnost:
− Informační ekonomika
− Informace je zbožím, komoditou
− Informace ovlivňují život každého jedince
− Informační politika – PR týmy L
− Kde je míra?
− Jedním z aspektů posouzení míry je bezpečnost
− Bohužel míra potřeby bezpečnosti se u subjektů liší
− Liší se i hodnota informace
− Vyostřující se spor:
− Míra osobní svobody x informace poskytované státu
Specifika informace – informační společnost
− „Nečekané problémy“:
− Ověření autenticity dříve x dnes
− Etické normy – je normální lež premiéra?
− Dostupnost informací
− Rychlost šíření informací
− Změna hodnoty informace
− Záměna identity
− Dosažení soukromí a anonymizace
− Co je informace a co šum
− V technologiích se ztrácí člověk a lidský faktor
− Odpovědní manageři a úředníci nechápou principy
− Ovládnutí komunikace – ovládnutí společnosti?
Specifika informace – informační společnost
− Neexistuje jednotná a ucelená definice
− Definice v zákoně č. 184/2014 o kybernetické bezpečnosti:
− Digitální prostředí umožňující vznik, zpracování a výměnu informací tvořené
informačními systémy, službami a sítěmi elektronických komunikací
− Nejen globální počítačová síť sítí s probíhající online komunikací
− Často se chybně zužuje pouze na internet
− Jde o širší virtuální prostor
Kybernetický prostor – Cyberspace
− Vlastnosk podstatné pro bezpečnost:
− Míra otevřenosk systému – otevřený x uzavřený digitální systém
− Přístupnost širokému okruhu uživatelů – vynuktelnost autenkzace uživatele
− Pocit anonymity – velikost zdrojů na idenkfikaci
− Obqžnost vynuktelné regulace v globálním měřítku
− Což může být výhodou J
− Míra regulace x svoboda
− Vytěžování dat a metadat
− Pochopitelnost principů pro běžné uživatele
− Vytváření bezpečnostních návyků a chování
Kybernetický prostor – Cyberspace
Kyber prostor – co zahrnuje
WEBINT harvests and extracts information from all layers of the Web, from the surface web – that is
easily accessible to all and also from the Deep and Dark web layers that are protected by various
security and access mechanisms.
+ Surface (Open Web) Collection. The web surface applies to any site that can be indexed by a
standard search engine, such as news, blogs, and commercial sites. For each targeted web site or
https://czechsmartcitycluster.com/
Kyber prostor – chytrá města, IoT
Interakce s kyber prostorem
Confidential and proprietary information of Verint Systems Inc. © All rights reserved worldwide
Dynamic Data Model: Defining Each Entity Model
+ Entity definition:
- Fields
- Relations
- UI definition
- Behavior
+ From scratch or exist
configuration
DDM Benefits:
+ Decouples the custo
data from the Analy
layer
+ Short implementatio
+ Friendly to partners
hcps://www.verint.com/
− Neexistence anonymity
− Digitální stopa
− Svět víry
− Metadata
− Retrospektiva
− Limity
Některé vlastnosti kyber prostoru
Svět víry
Co ví telekomunikační operátor – ne anonymita
https://www.usetreno.cz/telco-score/
Telco Scoring – ne anonymita
https://www.e15.cz/finexpert/pujcujeme-si/velky-bratr-vas-sleduje-24-7-banky-
si-klienty-mohou-proklepnout-dle-telcoscore-1341152
Co monitorují automobilky – ne anonymita
https://www.skoda-auto.cz/modely/karoq/karoq-sportline/karoq-sportline-
konektivita
Co monitorují automobilky – ne anonymita
https://hakin9.org/what-data-does-your-car-collect-on-you-infographic-
by-the-zebra/
RetrospekFvní rizika
Digitální stopy - retrospektiva
I toto je kyber svět a kyber bezpečnost
https://www.scmp.com/economy/china-economy/article/3096090/what-
chinas-social-credit-system-and-why-it-controversial
− Bezpečnost není stav – častý omyl (nic není absolutně bezpečné)
− Je vlastnost ak?va určená svou mírou – schopnose odolávat hrozbám
− Neexistuje „oddělená bezpečnost“
− BOZP
− Informační
− Kybernekcká
− Fyzická
− Personální
− Krizová
− Administrakvní
− Procesní
− …
Základní pojmy – bezpečnost
− Bezpečnost = zajištění důvěrnosti, dostupnosti a integrity informace
ISO/IEC 27001
− Důvěrnost – zajištění přístupu k informacím pouze oprávněným osobám
− Dostupnost – zajištění přístupu k informacím v požadovaném čase
− Integrita – zajištění celistvosti a neměnnosti informace:
− Zobrazená data jsou totožná se zdrojovými
− Data jsou kompletní, nic nechybí
− Neexistují osiřelá data (SPZ bez auta…)
− Zachování dat v jejich definované struktuře
− Zabezpečení dat u prováděných změn:
− Odolnost proti neoprávněným změnám
− Identifikace pokusů o neoprávněnou změnu
Základní pojmy – bezpečnost informace
− Bezpečnost - ochrana informací:
− Během jejich vzniku, zpracování, ukládání, přenosu a likvidace
− Využitím logických, technických, fyzických a organizačních opatření
− Všechny aspekty musí být v souladu:
− Technická bezpečnost x chování uživatele
− Bezpečnost x komfort užívání
− Nesoulad generuje hrozby
Základní pojmy – bezpečnost informace
− Bezpečnost není jen funkcí systémů zpracovávajících informace
− Bezpečnost systému není pouze funkcí bezpečnosti jednotlivých komponent
− Bezpečný celek není pouhé sestavení z bezpečných prvků
− Požadavky na bezpečnost systému:
− Systém jehož činnost nezpůsobuje nebezpečné stavy
− Každá porucha vede bezpečným směrem
− Míra bezpečnosti x míra spolehlivosti
− Bezpečnostní incidenty lze identifikovat
− Je definována míra bezpečnosti
Základní pojmy – bezpečnost systému
− Komplexní zajištění bezpečnos?:
− Informací
− Systémů
− Uživatelů
− Poskytovaných služeb
− Na výše uvedeném závislých akkv:
− Businessu
− Ekonomiky
− Organizací
− Státu
− Jednotlivců
− …..
Kybernetický prostor – bezpečnost
− Bezpečnostní incident – prolomení důvěrnosti, dostupnosti nebo integrity
− Aspekty bezpečnostních incidentů:
− Identifikace
− Klasifikace
− Reakce - protiopatření
− Měření účinnosti protiopatření
− Časové hledisko
− Dopad incidentu
− Poučení – nápravná opatření
Základní pojmy – bezpečnostní incident
− Úmyslné bezpečnostní incidenty v kyberprostoru
− Nelze je zužovat pouze na několik málo medializovaných typů
− Cíle:
− Zisk pro útočníka
− Poškození protivníka
− Politické cíle
− Něco si dokázat
− Zjištění informací
− Manipulace, vydírání
− Získání zdrojů
− Získání kontroly nad obětí
− Útočníka to „pouze“ baví
− Opakování – nejhorší dopady mají incidenty, o nichž se oběť nedozví
Kyber kriminalita
− Míra bezpečnosti je daná mírou ochrany nejslabšího článku vůči hrozbě
− Neplatí extrémy:
− Absolutní ochrana – ochrana proti všem myslitelným rizikům
− Žádná ochrana – nemá smysl informace chránit, stejně vždy uniknou
− Prevence je vždy levnější, než náklady na řešení incidentu a vzniklé škody
− Pokud je vůbec možná
− Bezpečnostní aspekty je třeba zahrnout již do návrhu systému
− Ex post implementace je vždy nákladnější
− Paradox – lze vůbec implementovat proaktivní bezpečnost?
Několik užitečných pouček
− Nutno si uvědomit – bezpečnost je jen jedna a její míra je dána mírou
nejslabšího článku
− Přístup k informační bezpečnosk dle způsobu řešení:
− Informační bezpečnost není řešena
− Ad hoc přístup
− „Default“ přístup
− Hysterický přístup
− Základní přístup
− Přístup na základě managementu rizik – zvládání rizik
− Integrovaný systemakcký přístup založený na relaci s hodnotou akkv
− Přemýšlejte – kdy má který přístup smysl?
− Co může udělat stát?
Přístupy k informační bezpečnosti
− Přístup k informační bezpečnosti dle oblastí:
− IT bezpečnost
− Personální bezpečnost
− Objektová bezpečnost
− Fyzická bezpečnost
− Přesah do BOZP, QMS, EMS, FMEA
− Přemýšlejte – kdy má který přístup smysl?
− Na jaký argument slyší manažeři a politici? J
Přístupy k informační bezpečnosF
− Základní požadavky:
− Pokrytí všech oblastí, kde se aktiva vyskytují
− Ochranná opatření musí být integrovaná (teorie nejslabšího článku)
− Náklady na ochranu musí být v relaci s hodnotou aktiv
− Efektivní přístup:
− Systematický a integrovaný systém řízení managementu informační
bezpečnosti založený na managementu - zvládání rizik
− Best practices – technické normy a standardy
… více v samostatné přednášce
Systematické řešení informační bezpečnosti
− Systém, který zpracovává informace
− Jakýkoli systém – nejen IT (kartotéka, telekomunikační systémy…)
− Co to je zpracování:
− Získání informací – transformace na data
− Uchování, zpracování, propojení, přenos dat
− Interpretace dat – transformace na informaci
− Z mnoha informací poskytnout interpretaci těch nejdůležitějších
− Zničení nepotřebných dat
− Vznik metadat
Informační systém
− Technologie pro pořizování, získávání, zpracování, přenos, uchování, ničení a
vyhledávání informací
− Historicky se oddělovaly IT a komunikační technologie
− Dnes toto oddělení postrádá smysl
− ICT proniká do nových oblasq:
− Provoz domácnosq
− Zábava
− Automokve
− Veřejný prostor
− Soukromý život
Informační a komunikační technologie – IT, ICT
− Jakákoli systematická práce (zpracování) s informacemi
− Lze jej modelovat různě:
− HW, SW, datové přenosy, procesy, lidé, metody
− Automatizované systémy
− Neautomatizované systémy (telefonní seznam)
− Pro ochranu informací je nutné postihnout úplný systém (vše, kde se informace
vyskytují)
− Přemýšlejte, lze chránit informace u nesystematické práce s nimi?
− Lze chránit veškeré informace?
Informační systém
− Jakákoli interakce s kyber prostorem
− Vzniká na různých úrovních
− Uživatel ji nikdy nemá zcela pod kontrolou
− Nelze se jí zbavit
− Lze ji pouze částečně zastřít
− Metadata = data o datech
Digitální stopa
Metadata – ukázka .docx -> .zip
− Nejedná se pouze o office dokumenty
- hVps://support.microsoY.com/cs-cz/office/odebr%C3%A1n%C3%AD-
skryt%C3%BDch-dat-a-osobn%C3%ADch-%C3%BAdaj%C5%AF-kontrolou-
dokument%C5%AF-prezentac%C3%AD-nebo-se%C5%A1it%C5%AF-356b7b5d-
77af-44fe-a07f-9aa4d085966f
− Mnoho návodů nejen na youtube:
− hVps://www.youtube.com/watch?v=jsTLn_sbMUc
− hVps://www.youtube.com/watch?v=V1mdx4W35UE
− hVps://support.microsoY.com/cs-cz/office/video-odebr%C3%A1n%C3%AD-
osobn%C3%ADch-dat-ze-soubor%C5%AF-17b30a75-206f-44e0-9de3-afeedbf6bfa1
− Co je v kyber prostoru nelze vzít zpět…
Metadata - ukázka
Digitální stopa a víra
https://thehackernews.com/2021/01/google-discloses-flaws-
in-signal-fb.html
Odezvy výrobců – všimněte si dat odstranění…
https://thehackernews.com/2021/01/google-discloses-flaws-
in-signal-fb.html
Digitální stopa a anonymita
https://www.csoonline.com/article/2975193/9-steps-
completely-anonymous-online.html
− Data uložená uživateli
− Obsah komunikace
− Záznamy o akSvitách
Jaké záznamy na internetu vznikají – digitální stopy
https://www.techrepublic.com/article/encrypting-
communication-how-and-why-to-do-it-well/
Kdo má k digitální stopě přístup
hcps://www.mvcr.cz/clanek/analyzy-odposlechu-a-zaznamu-
telekomunikacniho-provozu-a-sledovani-osob-a-veci-dle-trestniho-radu-a-
ruseni-provozu-elektronickych-komunikaci-policii-cr-archiv.aspx
− Zákon o telekomunikačních službách
− Kdokoli, kdo má přístup ke komunikaci
− Kdokoli, kdo má přístup k obsahu
− Provozovatelé služeb
− Útočník s využitím invazivních a neinvazivních metod (OSINT)
Kdo má přístup k digitální stopě
− Nejde o triviální problém
− Absolutní anonymity nelze dosáhnout
− Neexistuje jedno všeobjímající řešení
− Řešení:
− Chování uživatele
− Kombinace technických opatření
− Bezpečnost je vždy na úkor komfortu
Jak chránit své soukromí a být anonymní
- Definice
- Konzervativní identita
- Biometriky
- Behaviorální biometriky
- Bezpečnostní pohled
Digitální identita
- Jednoznačná identifikace subjektu v kyber prostoru
- Osobní identita = jméno, příjmení, další data
- Zástupná = nickname, email…
- Vysoká míra záruky, že subjekt je tím, za koho se vydává
Digitální idenFta
Digitální identita
hcps://support.apple.com/cs-cz/guide/mac-help/mchlp2695/mac
Zákonné úpravy digitální identity
https://www.eidentita.cz/Home
Projekt bankovní idenFty
https://bankovni-identita.cz/
Proč je digitální idenFta důležitá
https://generator.email/
Pro koho je digitální identita důležitá
https://analytics.google.com/analytics/web/...
Motivace útoků na identitu
https://www.acamstoday.org/digital-identity-and-financial-
crimes-2/
− Je poskytována dobrovolně
− Využívá mechanismů s vědomím a kontrolou uživatele
−
Konzervativní digitální identita
https://www.seznam.cz/
Konzervativní digitální identita
hcps://www.nist.gov/itl/applied-cybersecurity/kg/back-basics-mulk-
factor-authenkcakon
Hesla, hesla, hesla
hcps://www.howtogeek.com/343947/how-to-check-if-
your-password-has-been-stolen/
− Svou identitu je třeba chránit
− Vědět kde a jakou jsme poskytli
− Rozdělení identit
− Ověřovat hesla
− Vysoké požadavky na bezpečnost:
− Hesla v hlavě
− Více faktové ověření
Několik doporučení
− Proč se využívají stále častěji?
− Největší slabina biometrik?
Biometriky a digitální identita
− Fyzické biometriky:
− OSsky prstů
− Obličej
− Oční rohovka, oční duhovka
− Tvar uší
− Krevní řečiště v dlani
− Hlas
− Digitální podpis
− DNA
Biometriky
https://www.csoonline.com/article/3339565/
what-is-biometrics-and-why-collecting-
biometric-data-is-risky.html
Biometriky
https://duo.com/labs/research/the-good-and-bad-of-biometrics
− Nemáme ji tak úplně pod kontrolou
− Založená na Big Data
− Využívá umělou inteligenci
− Vzniká i u poskytovatele služby
− Biometrika založená na analýze chování
Nekonzervativní digitální identita
Bezpečnostní aspekty behaviorálních biometrik
https://www.forbes.com/sites/forbestechcouncil/2019/05/13/behavioral-
biometrics-is-the-future-of-user-authentication/
− Způsob psaní na klávesnici
− Pohybové charakterisSky
− Používání myši nebo touchpadu
− Chování v kyber prostoru:
− Interakce s technologií
− Využívání aplikací
− Režim vybíjení baterií
− Lokace užívání, geolokace
− Využívání soc. síf
− Vztahy
− Zájmy a interakce na zprávy
Behaviorální biometriky – co využívají
https://docs.microsoft.com/en-us/windows/win32/secbiomet/winbio-
biometric-type-constants
Behaviorální biometriky – některé implementace
Behaviorální biometriky – některé implementace
https://www.biometricupdate.com/202011/apple-patent-filing-details-
new-biometric-authentication-sensors-for-wearable-devices
Behaviorální biometriky – Google Android
https://www.biometricupdate.com/201605/google-to-offer-android-
login-based-on-behavioral-biometrics-by-end-of-year
Využití v bankovním sektoru
https://nudatasecurity.com/
Mobilní technologie a behaviorální biometriky
https://www.researchgate.net/figure/Over-300-touch-
traces-of-zoom-in-gestures-from-30-users-From-68-With-
permission_fig2_337183791
Behaviorální biometriky - využití v reklamě
https://www.adpicker.ai/
− Výhody:
− Jednoduchost užití
− Růst spolehlivosti
− Přívětivost
− Odhalování rizikového chování
− Rizika:
− Biometrika
− Big Data u provozovatele
− Vzniká nezávisle na vůli uživatele
− Nové možnosti zneužití
− Manipulace
Behaviorální biometriky shrnutí
− Edukace:
− Principy
− Výhody/nevýhody
− Biometrika pod kontrolou:
− Úprava chování
− VPN
Behaviorální biometriky - eliminace rizik
Odkaz pro kontrolu
https://www.vpnmentor.com/blog/what-does-google-
know-about-you/
Máte nějaké dotazy?
Děkuji za pozornost
Ing. Vladimír Lazecký