Cyberbezpieczeństwo Skrypt PDF

Summary

Ten skrypt omawia cyberbezpieczeństwo, w tym definicję cyberprzestrzeni i jej trójwarstwowej architektury. Skupia się także na problemie atrybucji w tym kontekście. Dokument jest prawdopodobnie materiałem edukacyjnym.

Full Transcript

**[Definicja cyberprzestrzeni i jej trójwarstwowa
architektura.]**

- **Cyberprzestrzeń** (również wirtualny świat, ang. cyberspace,
hybryda będąca skrótem od cybernetics space „przestrzeń
cybernetyczna") -- iluzja świata rzeczywistego stworzona za pomocą
metod teleinformatycznych.

- Cyberprzestrzeń (def. NATO) przestrzeń służąca do przetwarzania,
przechowywania i wymiany danych i informacji, składająca się
zarówno\
z sieciowych, autonomicznych, jaki i odseparowanych (wydzielonych)
systemów łączności, informatycznych oraz innych systemów
elektronicznych wraz z przetwarzanymi, przechowywanymi i
wymienianymi w nich danymi i informacjami.

- Obraz zawierający tekst, Czcionka, linia Opis wygenerowany
automatycznie

- **Warunki konieczne**: sprzęt (hardware), oprogramowanie (software),
dane (data), sieć (network).

**Natura cyberprzestrzeni:**

- **Związek z Domenami Fizycznymi.** Cyberspace, choć stanowi część
środowiska informacyjnego, zależy od domen fizycznych powietrznej,
lądowej, morskiej i kosmicznej.

- **Cyberprzestrzeń** -- **model 3 warstwowy**:

- **Warstwa fizyczna** - obejmuje urządzenia i infrastrukturę IT w
domenach fizycznych, które zapewniają przechowywanie, transport
i przetwarzanie informacji w ramach cyberprzestrzeni, w tym
repozytoria danych i połączenia przesyłające dane między
komponentami sieci. Komponenty tej warstwy to sprzęt i
infrastruktura (urządzenia komputerowe, urządzenia
przechowywania, urządzenia sieciowe oraz łącza przewodowe i
bezprzewodowe).\
Chociaż granice geopolityczne mogą być łatwo przekraczane w
cyberprzestrzeni, istnieją nadal kwestie suwerenności związane z
domenami fizycznymi. Każdy fizyczny komponent cyberprzestrzeni
jest własnością podmiotu publicznego lub prywatnego, który może
kontrolować lub ograniczać dostęp do swoich komponentów.
Unikalne cechy tej przestrzeni muszą być brane pod uwagę we
wszystkich fazach planowania.

- **Warstwa logiczna** - an example is the Wikipedia, which exists
on multiple servers in multiple locations in the physical
domains but is represented as a single URL on the World Wide
Web. Składa się z elementów sieci wzajemnie powiązanych w sposób
abstrahowany od fizycznej struktury sieci, oparty na logice
programowania (kodzie), który steruje komponentami sieci (czyli
relacje nie są koniecznie związane z konkretnym fizycznym łączem
lub węzłem, ale z ich zdolnością do logicznego adresowania i
wymiany lub przetwarzania danych). Poszczególne łącza i węzły są
reprezentowane na warstwie logicznej, ale także różne
rozproszone elementy cyberprzestrzeni, takie jak dane, aplikacje
i procesy sieciowe niezwiązane z pojedynczym węzłem. Cele
warstwy logicznej można zaatakować tylko za pomocą zdolności
cyberprzestrzennej: urządzenia lub programu komputerowego, w tym
dowolnej kombinacji oprogramowania, firmware\'u lub sprzętu,
zaprojektowanego do wywierania wpływu w lub poprzez
cyberprzestrzeń.

- **Cyber-persona** -- warstwa stworzona poprzez pozyskanie danych
z warstwy logicznej sieci do opracowywania opisów cyfrowych
reprezentacji tożsamości aktora lub jednostki w cyberprzestrzeni
(cyber-persona). Warstwa cyber-persony składa się z kont
użytkowników sieciowych lub IT, zarówno ludzkich, jak i
zautomatyzowanych, oraz ich wzajemnych relacji. Cyber-persony
mogą być bezpośrednio powiązane z rzeczywistą osobą lub
jednostką, zawierając pewne dane osobowe lub organizacyjne (np.
adresy e-mail i IP, strony internetowe, numery telefonów,
logowania na forum internetowym lub hasła do kont finansowych).
Jedna osoba może tworzyć i utrzymywać wiele cyber-person poprzez
używanie wielu identyfikatorów.

- **Perspektywa Cyberspace w Kontekście Lokalizacji i Własności**.
Manewrowanie w cyberprzestrzeni jest złożone i zazwyczaj trudne do
obserwacji. Dlatego zespoły planujące, wykonujące i oceniające
operacje w cyberprzestrzeni korzystają z języka opisującego
cyberprzestrzeń w oparciu o lokalizację lub własność, co ułatwia
szybkie zrozumienie planowanych operacji.

2. **[Na czy polega problem Atrybucji w cyberbezpieczeństwie?
]**

**Bezpieczeństwo to problem typu „negative goal" -** W tym przypadku
\"negative goal\" oznacza unikanie negatywnych zdarzeń, zagrożeń lub
strat, a nie osiąganie pozytywnych celów.

Problem atrybucji w kontekście cyberprzestrzeni odnosi się do trudności
w przypisywaniu odpowiedzialności za konkretne działania lub ataki do
konkretnych osób, grup, lub jednostek. Dotyczy to zwłaszcza trudności w
identyfikowaniu źródła działań w cyberprzestrzeni, co może wynikać z
wykorzystywania cyber-person, złożonych sieci komputerowych, czy też
używania różnych narzędzi i technik ukrywania tożsamości.

W kontekście warstwy cyber-persony, gdzie jednostki mogą utworzyć
multipleksowane i zdecentralizowane tożsamości, przypisanie konkretnych
działań do konkretnej osoby staje się wyjątkowo trudne. Możliwość
tworzenia wielu cyber-person o różnych identyfikatorach i cechach
sprawia, że śledzenie działań związanych z daną tożsamością staje się
wyzwaniem.

3. **[Bezpieczeństwo informacji według normy normy ISO27001: Pofuność,
Integralność, Dostępność, Autentyczność ]**

Na bezpieczeństwo informacji składają się trzy elementy -- tzw. CIA
triad (od angielskich odpowiedników tych pojęć), czyli: jej **poufności
(confidentiality), integralności (integrity) i dostępności do informacji
(availability)**. Mogą być również dodatkowo brane pod uwagę takie
własności jak: autentyczność, rozliczalność niezaprzeczalność oraz
niezawodność

- **Integralność** -- zapewnia, że dane nie zostaną zmodyfikowane w
sposób inny niż przez celowe działanie danej osoby (lub funkcji
jakiejś danej aplikacji), zgodnie z oczekiwaniami organizacji, która
dane informacje przetwarza. Integralność zatem wyklucza jakiekolwiek
zmiany w danych, przez celowe działania osób trzecich jak i zarówno
przez ich przypadkową modyfikację, mając na myśli np. błąd programu.

- **Poufność -** gwarantuje, że tylko osoby upoważnione, mające dostęp
do danych ze względu na zakres swoich obowiązków służbowych, mają
możliwość wykonywania na nich operacji.

- **Dostępność -** właściwość wskazująca na to, że określone dane mogą
być wykorzystywane przez osoby w określonym czasie i w określony
sposób.

- **Autentyczność --** tożsamość danej osoby, która wykonuje określone
operacje, jest taka sama jak deklarowana**.**

- **Rozliczalność -** polega na możliwości ustalenia użytkowników,
którzy w określonym czasie dokonywali określonych operacji.

- **Niezawodność --** czas bezawaryjnego działania systemów
informatycznych.

- **Niezaprzeczalność --** umożliwia weryfikację, czy strony biorące
udział w wymianie informacji faktycznie brały w niej udział.

4. **[Podstawy bezpieczeństwa informacji: Incydent, Zagrożenie,
Podatność\
]**

- **Zagrożenie --** materialny i/lub niematerialny czynnik mogący
spowodować niepożądaną zmianę wymaganych wartości istotnych
kryteriów jakości informacji.

- **Podatności -- wady lub luki: w zasobach** (struktura fizyczna
organizacji, sprzęt i oprogramowanie, personel, procedury), **w
procesach** (zarządzanie i administrowanie, organizacja pracy,
obsada stanowisk pracy personelem), które mogą być wykorzystane
przez zagrożenia do spowodowania szkód w sys. informatycznym
organizacji lub jej działalności.

- **Incydent --** zdarzenie lub ciąg zdarzeń, która powoduje lub
może spowodować zmianę wartości istotnych kryteriów jakości
informacji.


5. **[Podatność typu zero day ()-day -- znaczenie w aktywności
cyberprzestępców.]**

Termin \"zero-day\" w informatyce odnosi się do sytuacji, w której
oprogramowanie lub system informatyczny posiada poważną lukę w
zabezpieczeniach, a atakujący wykorzystuje tę lukę przed tym, jak
dostawca oprogramowania zdąży dostarczyć skuteczną łatkę (patch) czyli
naprawę.

Obraz zawierający tekst, diagram, linia, Czcionka Opis wygenerowany
automatycznie

6. **[Trzy strategie obrony przed atakami w cyberprzestrzeni.\
]**

- **Prevention (Zapobieganie)** -- utrudnianie ataków zanim
pojawią się szkodliwe skutki.

- **Resilience** -- odporność to zdolność systemu do utrzymania
funkcjonalności i wydajności pomimo ataków lub awarii.

- **Detection and Recovery (Wykrywanie i Odtwarzanie)** -- szybkie
wykrywanie ataków i skutecznym odzyskiwaniu systemów po ich
wystąpieniu.

7. **[Atak typu DDoS.]**

[Distributed Denial of Service --] to cyberatak skierowany
na określony serwer lub sieć, mający na celu zakłócenie normalnego
funkcjonowania (dostępność) poprzez zalewanie celu ciągłym strumieniem
ruchu (**Distributed** -- przez wiele komputerów na raz). Celem ataku
DDoS jest spowodowanie odmowy dostępu do usług lub zasobów dostępowych
na serwerze lub w sieci. Atakujący generuje znaczne ilości fałszywego
ruchu sieciowego, której celem jest zasypywanie łączności lub
przeciążenie zasobów serwera, co uniemożliwia prawidłowe obsługiwanie
żądań od prawdziwych użytkowników. [Botnet] -- an army of
infected computers to do a DDoS attack.

![Obraz zawierający tekst, zrzut ekranu, Czcionka, numer Opis
wygenerowany automatycznie](media/image4.png)

**Rekomendacje KNF (przykłady)**

- **Aktywne zarządzanie routingiem:** Mechanizmy aktywnego zarządzania
routingiem mogą pomóc w dynamicznym przekierowywaniu ruchu, aby
rozproszyć obciążenie

- **Struktura połączenia z siecią Internet:** Odpowiednia struktura
połączenia z Internetem może obejmować różne poziomy obrony, takie
jak firewalle

- **Nadmiarowe pasmo:** Posiadanie nadmiarowego pasma pozwala na
łatwiejsze absorbowanie nadmiernego ruchu

- **Blackholing:** Polega na kierowaniu ruchu do \"czarnej dziury\"
(blackhole)

8. **[Phishing, spear Phishing I jego rola w atakach
cyberprzestępców.]**

**Phishing** to technika ataku, w której cyberprzestępcy używają
fałszywych komunikatów, używając socjotechniki, często w formie e-maili
czy komunikatów tekstowych, aby oszukać użytkowników i skłonić ich do
ujawnienia poufnych informacji, takich jak hasła czy numery kart
kredytowych.

**Rola**: jest powszechnie stosowany jako sposób na zdobycie poufnych
danych poprzez podszywanie się pod wiarygodne źródła, takie jak banki
czy instytucje rządowe. Cyberprzestępcy często wysyłają masowe e-maile,
licząc na to, że część odbiorców uwierzy w autentyczność komunikatu i
udzieli potrzebnych informacji.

**Spear Phishing** to zaawansowana forma phishingu, w której przestępcy
dostosowują atak do konkretnych osób lub organizacji. Ataki są
precyzyjnie ukierunkowane, a przestępcy mogą wykorzystywać wcześniej
zdobyte informacje, aby sprawić, że wiadomości wydają się bardziej
autentyczne.

**Rola**: Spear Phishing jest bardziej precyzyjny i wymaga
wcześniejszego zbierania informacji na temat celu. Ataki tego rodzaju
często mają na celu zdobycie dostępu do wrażliwych danych, takich jak
informacje korporacyjne czy dane finansowe. Przestępcy mogą również
używać spear phishingu do zainfekowania systemów złośliwym
oprogramowaniem.

**Wykorzystywane w:**

- Phishing i spear phishing często obejmują podszywanie się pod
wiarygodne źródła, co sprawia, że ofiary są bardziej skłonne
uwierzyć w autentyczność komunikatu.

- Ataki te często korzystają z techniki społecznej inżynierii,
manipulując emocjami ofiar, takimi jak strach czy ciekawość, aby
skłonić je do podjęcia określonych działań.

- Phishing może również służyć do wprowadzania złośliwego
oprogramowania na komputery ofiar, co umożliwia przestępcom zdalną
kontrolę nad systemem.

- Phishing i spear phishing pozostają powszechnymi i skutecznymi
narzędziami w rękach cyberprzestępców. Dlatego edukacja pracowników,
ostrożność w obszarze cyberbezpieczeństwa oraz stosowanie
skutecznych środków ochronnych są kluczowe w zapobieganiu tego
rodzaju atakom

9. **[Bezpieczeństwo osobiste.]**

Bezpieczna aktywność -- ROR:

- **Rozpoznanie** -- świadomość -- źródła typu CSIRT, CERT Zaufana
Trzecia Strona; zwracaj uwagę na treść powiadomień autoryzacyjnych;
bycie na bieżąco to **profilaktyka**

- **obrona** (hasła -- długie hasła trudne do złamania, manager haseł,
dwuskładnikowe uwierzytelnianie -- Gmail oferuje, aktualizacja i
legalne programy, bądź trudnym celem),

- **rekonwalescencja** (zgłoszenie do CSIRT, CERT itd., backup,
przywracanie danych -- dane w innym miejscu -- kopia odporna na
**ransomware -- czyli zaszyfrowanie naszych plików przez
atakującego**)

10. **[Co to jest water hole attack?]**

**Watering hole attack** to rodzaj ataku cybernetycznego, w którym
przeciwnik celuje w konkretną społeczność, taką jak rząd, konkretną
branżę czy region. Atakujący wybiera witrynę internetową odwiedzaną
przez tę określoną grupę użytkowników, określa jej słabości i infekuje
ją złośliwym oprogramowaniem. Celem jest skompromitowanie konkretnego
użytkownika lub grupy użytkowników na podstawie wspólnego
zainteresowania lub przynależności do określonej społeczności.

11. **[Bezpieczne hasła:]**\
\

- Menedżery haseł -- ryzyko dostępu do danych przechowywanych w
menedżerze -\> kopia zapasowa.

- Dostawcy tożsamości -- logowanie się przez Apple/Google/SSO.

- Biometria -- odcisk palca

- **Uwierzytelnianie dwuskładnikowe** -- PIN/kody SMS, token
sprzętowy, odcisk palca itd. (hasło nie wystarcza)

- **Dla samych haseł**:

- Brak wymuszonej okresowej zmiany haseł użytkowników**^1^**

- Blokada tworzenia hasła znajdującego się na liście słabych/często
używanych haseł**^2^**

- Blokada hasła zawierającego przewidywalne człony (np. nazwa firmy,
usługi)

- Minimalna długość hasła -- co najmniej 12 znaków

- Limit znaków w haśle nie mniejszy niż 64 znaki

- Brak dodatkowych kryteriów złożoności, np. znaków specjalnych, cyfr
czy dużych liter

- Długość hasła \> złożoność; długość wykazano ze jest ważniejszą
kwestią jeśli chodzi o bezpieczeństwo.

12. **[Kryptograficzna funkcja hashująca:]**

Salting -- adding a random keyword to the end of the input.

Peppering -- adding the same random value at the end of a plaintext --
not unique.

- **Funkcje Jednokierunkowe**: Kryptograficzne funkcje haszujące są
projektowane tak, aby odwrócenie procesu było praktycznie niemożliwe
obliczeniowo. Dla danego wartości hasza powinno być praktycznie
niemożliwe określenie oryginalnych danych wejściowych.

- **Odporność na Kolizje**: Choć kolizje (sytuacje, w których dwie
różne dane wejściowe generują ten sam hasz) mogą teoretycznie
wystąpić z powodu skończoności przestrzeni haszów, dobra
kryptograficzna funkcja haszująca powinna minimalizować
prawdopodobieństwo kolizji.

- **Rozsądna Szybkość:** Niektóre algorytmy haszujące są szybkie, inne
wolniejsze, ale różne szybkości spełniają różne potrzeby w
zależności od zastosowania.

- **Deterministyczne:** Bez względu na wielkość danych wejściowych,
rozmiar wyniku pozostanie niezmieniony.

- **Bardzo Czułe na Małe Zmiany**: Jest to często opisywane jako
\"efekt lawiny\". Nawet najmniejsza zmiana wejścia spowoduje
zupełnie inny wynik.

![Obraz zawierający tekst, zrzut ekranu, Czcionka, numer Opis
wygenerowany automatycznie](media/image7.png)

Obraz zawierający tekst, zrzut ekranu, Czcionka, numer Opis wygenerowany
automatycznie

13. **[Łamanie haseł brute-force:\
]**

Brute-force to technika ataku, w której atakujący próbuje zdobyć dostęp
do konta lub zasobu poprzez próbowanie wszystkich możliwych kombinacji
haseł. Proces łamania haseł brute-force polega na systematycznym
przetestowywaniu wszystkich możliwych kombinacji haseł aż do znalezienia
poprawnego. Kroki: przygotowanie listy hashy, testowanie wszystkich
kombinacji, użycie programów do łamania haseł (automatycznie testowane),
wykorzystanie technik słownikowych.

14. **[Infekcja przez złośliwe oprogramowanie.]**

- [**Malware**] - ogólne określenie dla wszelkiego
rodzaju złośliwego oprogramowania, które jest projektowane w
celu spowodowania szkody lub naruszenia prywatności użytkownika.
Obejmuje różne formy, takie jak wirusy, trojany, robaki,
ransomware i inne.

- **Metody rozprzestrzeniania** - zainfekowane załączniki
e-mailowe, złośliwe strony internetowe, infekcje poprzez
urządzenia pamięci masowej (np. pendrive\'y), fałszywe
aktualizacje oprogramowania oraz wykorzystywanie podatności w
systemie operacyjnym.

- **Skutki infekcji** - regularne aktualizacje oprogramowania,
korzystanie z oprogramowania antywirusowego, ostrożność podczas
otwierania e-maili czy klikania w linki, unikanie pobierania
plików z niezaufanych źródeł oraz stosowanie firewalli.

- **Wykrywanie i usuwanie** -- najczęściej antywirus.

https://www.youtube.com/watch?v=OXGdRY6x9tU

15. **[Mitre Att&ck\
]**

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) to
framework, czyli narzędzie, które dostarcza szczegółowe informacje na
temat różnych technik i taktyk używanych przez cyberprzestępców. Jest to
projekt organizacji MITRE Corporation, która jest organizacją badawczą
finansowaną przez rząd Stanów Zjednoczonych.

Framework MITRE ATT&CK skupia się na identyfikacji, opisie i
kategoryzacji taktyk, technik i procedur (TTPs) stosowanych przez
atakujących podczas różnych etapów ataku. ATT&CK dostarcza szczegółowych
opisów sposobów, w jakie przeciwnicy wykonują swoje działania, co
pozwala organizacjom na lepsze zrozumienie sposobów, w jakie mogą być
atakowane.

**Kluczowe elementy frameworku MITRE ATT&CK:**

**Taktyki**: Ogólne cele, które atakujący chcą osiągnąć podczas ataku.
Przykłady to taktyki takie jak wykrywalność, unikanie detekcji czy
utrzymanie dostępu.

**Techniki**: Konkretne metody, które atakujący używają do realizacji
określonych taktyk. Przykłady to wykorzystanie malware\'u, wykorzystanie
błędów w oprogramowaniu czy ataki phishingowe.

**Procedury**: Konkretne sekwencje działań, które atakujący wykonują w
ramach danej techniki. To bardziej szczegółowy opis konkretnych działań
podjętych przez przeciwników.

Framework MITRE ATT&CK jest używany w środowiskach bezpieczeństwa
informacyjnego do analizy, identyfikacji i zrozumienia potencjalnych
zagrożeń. Organizacje wykorzystują ten framework, aby poprawić swoje
zdolności w zakresie cyberbezpieczeństwa, tworząc strategie obrony i
reakcji na podstawie realistycznych scenariuszy ataków.

16. **[Zasady bezpieczeństwa dla SME:]**

- Backing up data

- Protecting organisation from malware ex. Anti-virus

- Keeping smartphones safe -- update software

- Using passwords to protect data

- Avoiding phishing attacks

17. **[Zagrożenia atakami typu Ransomware:]**

Są formą cyberataków, które mają na celu zainfekowanie systemów
komputerowych w celu zablokowania dostępu do danych lub plików ofiary, a
następnie żądania od niej zapłaty okupu w zamian za ich odblokowanie.

- Szyfrowanie danych ofiary -- pliki na zainfekowanym systemie są
nieczytelne bez klucza

- Wymuszanie okupu

- Mechanizmy rozprzestrzeniania -- phishing, system vulnerability

- Zagrożenie upublicznieniem danych.

18. **[Cyberprzestępczość w sektorze finansowym.]**

- Cyberprzestępcy często starają się włamywać do systemów bankowych,
aby uzyskać dostęp do kont klientów, informacji o kartach
kredytowych czy innych wrażliwych danych. Ataki te mogą prowadzić do
kradzieży pieniędzy, a także zagrożenia poufności finansowej
klientów.

- Ataki ransomware są często skierowane wobec instytucji finansowych,
które posiadają duże zasoby i są bardziej skłonne do płacenia okupu.
Zainfekowanie systemów instytucji finansowej może prowadzić do
zablokowania dostępu do kluczowych danych, co ma wpływ na
działalność operacyjną.

- Niektóre cyberprzestępstwa obejmują manipulacje na rynkach
finansowych. Przykładem jest atak na giełdę, w wyniku którego
przestępcy próbują wprowadzać fałszywe dane lub zmieniać kursy walut
w celu osiągnięcia korzyści finansowych.

Przykłady:

Atak na SWIFT w 2016 roku: Cyberprzestępcy skradli ponad 80 milionów
dolarów z banku centralnego Bangladeszu, manipulując systemem przekazów
SWIFT.

(inne w pdf pt. STATE-SPONSORED FINANCIAL ATTACKS)

19. **[Zasady bezpiecznego użytkowania smartfona]**

Przykład -- projekt reality mining; 100 uczestników z MIT; uczestnikom
wręczono telefony i badano lokalizacji (triangulacja); każdy telefon bez
względu na to jak jest ustawiony będąc w GSM

- Aktualizowanie systemu operacyjnego i aplikacji

- Silne hasła i biometryczne mechanizmy zabezpieczeń/uwierzytelnianie

- Korzystaj z bezpiecznych polaczen sieciowych

- Zarządzaj uprawnieniami aplikacji

- Włącz szyfrowanie danych

- Wykonuj kopie zapasowe

20. **[Rodzaje śladów cyfrowych oraz metody ochrony przez zbieraniem i
analizą śladów cyfrowych.]**

Ślady cyfrowe są danymi (i metadanymi) o ludziach, na które składają
się:

- Dane przekazane **woluntarne** (ang. volunteered data) - dane
utworzone i w sposób otwarty współdzielone przez osoby, np. profile
i wpisy w mediach społecznościowych.

- Dane **zaobserwowane** (ang. observed data) -- dane zarejestrowane w
wyniku monitorowania działań podejmowanych przez osoby, np. dane
lokalizacyjne zbierane podczas używania telefonu komórkowego.

- Dane **wywnioskowane** (ang. inferred data) -- dane o osobach
uzyskane w wyniku analizy danych woluntarnych i zaobserwowanych, np.
zdolność kredytowa.

**Metody ochrony przed zbieraniem:**

- Korzystanie z ustawień prywatności w mediach społecznościowych i
innych platformach online może pomóc w ograniczeniu dostępu do
osobistych danych.

- Kontrola zgód na monitorowanie aktywności

- Unikanie darmowych apek

- Korzystanie z VPN

21. **[STUXNET jako przykład ataku na integralność infrastruktury
krytycznej.\
]**

Miał miejsce w 2010 - atak przeciwko irańskiemu programowi nuklearnemu.
Oficjalnie władze mówiły o wzbogaceniu do 20%. Cel teoretyczny:
wzbogacenie do poziomu umożliwiającego konstrukcję bomby jądrowej.

Atak STUXNET był jednym z najbardziej zaawansowanych i wpływowych
przypadków ataku na infrastrukturę krytyczną, podkreślając potencjał
cyberbroni do wywoływania rzeczywistych szkód w środowisku fizycznym.

Atakowano wirówki które służyły do wzbogacania uranu. STUXNET
wykorzystywał luki w systemie Windows, przenosząc się między komputerami
za pomocą nośników USB. Wykorzystano specjalne mechanizmy replikacji,
aby szybko rozprzestrzenić malware w obrębie infrastruktury irańskiego
programu nuklearnego. Infekcja Kontrolerów Programowalnych: Po
zainfekowaniu systemów SCADA, STUXNET skupił się na ataku kontrolerów
programowalnych PLC (Programmable Logic Controllers), które sterują
fizycznymi procesami przemysłowymi. Atak ten miał wpływ na pracę wirówek
do wzbogacania uranu. STUXNET wykorzystał dwa unikalne luki zero-day w
systemie Windows.

22. **[Metody dezinformacji w mediach społecznościowych.]**

- **Kompromitowaniu wybranych osób** (organizacji) w państwie --
ośmieszanie, obrażanie, niszczenie reputacji czy podważanie
autorytetu.

- **Dezintegrowanie społeczeństwa** -- kreowanie kontrowersyjnych i
niejednokrotnie fałszywych treści mających dzielić, prowokować
konflikty, wywoływać spory, itp.

- **Generowaniu zgiełku informacyjnego** (ang. deluge of information)
--stwarzanie wrażenia braku możliwości określenia prawdy obiektywnej
przez masowe propagowanie sprzecznych wersji wydarzeń, teorii
spiskowych, półprawd itp.

- **Infiltracji mediów społecznościowych** -- przejmowanie kontroli
nad istniejącymi forami lub budowanie forów internetowych „pod
przykryciem" w celu infiltracji określonych grup społecznych,
wpływanie na ich działalność, m.in. poprzez kreowanie wrażenia
masowego poparcia lub odrzucenia wybranych idei.

Intencjonalne działania informacyjne w sieciach wywołują ciekawy efekt
uboczny nazywany „mgłą wojny informacyjnej" (ang. fog of information
war), polegający na tym, że raz umieszczona w sieci informacja zaczyna
żyć własnym życiem, najczęściej w sposób zupełnie spontaniczny.
Pierwotnie opublikowana informacja może ponadto podlegać różnym
transformacjom, m.in. modyfikacji, zniekształceniu, wyjęciu z kontekstu
lub innym tego typu działaniom.

**Active measures** -- tajne operacje mające na celu uzyskanie jawnego
wpływu.

Cechy:

1. Metodyczny produkt profesjonalnie zarządzanej agencji wywiadowczej

2. Zawierają element dezinformacji/decepcji: fałszywa treść, fikcyjne
źródła, ukrywanie celu działania itp.

3. Ukierunkowanie na wymierny efekt w zakresie osłabienia przeciwnika.

Np. Wywoływanie podziałów pomiędzy narodami, wbijanie klina między grupy
etniczne, tworzenie napięć pomiędzy grupami, podważanie zaufania do
instytucji, podważanie legalności rządu itp.

Rewolucja cyfrowa wzmocniła potencjał operacji dezinformacyjnych: niski
koszt, łatwość działania na odległość, szybko efekt, skalowalność,
obniżenie ryzyka dekonspiracji.

23. **[Problem prywatności]**

Liczba użytkowników stron Google 23,23mld (95% w populacji internautów,
60,5% w całej populacji). W 2015 r. 70% przychodów z reklam
zamieszczanych na stronach własnych, 20% treści marketingowe na stronach
członków sieci Google.

**Rejestrowane dane**

- informacje podane przy rejestracji konta,

- charakterystykę wykorzystania serwisów, w tym opis techniczny
urządzeń z których następuje logowania, włączając w to numer
telefonu oraz np. wybierane numery, odebrane połączenia,

- historia wyszukiwań,

- dane z plików cookies, które mogą jednoznacznie identyfikować
przeglądarkę,

- historia przeglądanych stron WWW,

- lokalizacja: IP, GPS, wifi sieci, stacje bazowe,

**Polityka prywatności i kasowane danych**

- Search: Zgodnie z oficjalnymi dokumentami Google nie kasuje logów
serwerów wyszukiwania, natomiast anonimizuje je w okresie od 18 do
24 miesięcy

- Gmail: Oficjanie kasowanie poczty elektronicznej w Gmail jest
wykonywane w okresie do 60 dni, ale nie dla offline backups

**Analiza danych w zakresie wybranych grup obywateli lub całego
społeczeństwa umożliwia:**

1. Pomiar tzw. „temperatury" nastrojów w określonych regionach, grupach
społecznych, poprzez wykorzystanie analizy semantycznej
wyszukiwanych słów kluczowych.

2. Prognozowanie zachowań wybranych grup społecznych np. wyników
wyborów

3. Monitorowanie trendów, zainteresowań, tematów, narracji w
społeczeństwie.

4. Identyfikacja i monitorowanie dyfuzji informacji w sieci na przykład
w przypadku rozwoju konfliktów społecznych.

5. Możliwość identyfikacji sieci powiązań społecznych poprzez analizę
komunikacji w ramach poczty elektronicznej.

6. Możliwość monitorowania przemieszczania się zbiorowisk ludzi, np.
manifestacji ulicznych.

7. Wykonywanie eksperymentów społecznych.

8. Wpływ na nastroje społeczne, określoną interpretację wybranych
zagadnień poprzez manipulowanie wynikami wyszukiwania

**Kto ma dostęp do danych?**

Pełny dostęp: Google\
Ograniczony, legalny dostęp: Służby: FBI, CIA, NSA, Prokuratura, Acxiom,
\...\
Ograniczony, prawdopodobny i nielegalny dostęp: zorganizowane grupy
hackerskie: Chiny, Federacja Rosyjska.

24. **[Hackowanie AI]**

**Sztuczna ogólna inteligencja (AGI)** to inteligencja maszyny, która
posiada zdolność do zrozumienia lub nauki dowolnego zadania
intelektualnego, które jest wykonywane przez człowieka:

- uczenie się w wielu dziedzinach;

- uczenie się niezależne od dziedziny;

- zrozumienie języka naturalnego;

- rozumowanie na podstawie zdrowego rozsądku,

- uczenie się na podstawie małej liczby przykładów,

- samoświadomość,

- poczucie humoru,

- miłość,

- empatia\...

**Ograniczona sztuczna inteligencja** - konkretny rodzaj sztucznej
inteligencji, w którym technologia przewyższa ludzi w bardzo ściśle
określonym zadaniu. W przeciwieństwie do ogólnej sztucznej inteligencji,
ograniczona sztuczna inteligencja skupia się na jednym podzbiorze
zdolności poznawczych i rozwija się w ramach tego spektrum.

System uczący się -- zgodnie z definicją Mitchell'a (1997) system jest
się w stanie uczyć:

- Z doświadczenia (expierience -- E)

- W kontekście realizacji zadań (tasks -- T)

- I miary jakości działania (performance measure -- P)

- Jeśli jego działanie w realizacji zadań (T)

- Mierzone z wykorzystaniem (P)

- Polepsza się wraz ze wzrostem doświadczenia (E)


**Atak infekcyjny** -- atak na proces uczenia lub aktualizacji, który
polega na ingerencji w zbiór uczący. Z wykorzystaniem A generuje
zainfekowany zbiór uczący D. Nazywany jest atakiem przyczynowym i może
być realizowany przez:

- **Infekowanie danych** -- realizowane przez dodawanie fałszywych
przykładów, modyfikowanie/usuwanie elementów zbioru. Może to wpływać
na rozkład klas w zbiorze uczącym i w efekcie wpłynąć na
klasyfikator.

- **Manipulowanie danymi** -- realizowane przez wpływanie na strukturę
zbioru uczącego przez dodanie modyfikację, usunięcie cechy wektora
x, jak i etykiety klasy j. Modyfikacja może dotyczyć manipulacji na
rzeczywistym obiekcie np. charakteryzacja osoby, której zdjęcie
trafia do zbioru uczącego.

**Atak inwazyjny** -- atak na proces testowania który polega na
ingerencji w zbiór testujący: z wykorzystaniem A wygeneruj zainfekowany
zbiór testujący D. Ten rodzaj ataku jest nazywany atakiem
eksploracyjnym. Procedura atakującego naruszająca integralność zbioru
testującego A może być realizowana przez infekowanie danych, co jest
realizowane przez dodawane do zbioru testującego fałszywych przykładów,
a także modyfikowanie lub usuwanie istniejących elementów zbioru
testującego. Atakujący stara się modyfikować zbiór w taki sposób, żeby
odzwierciedlał rozkład rzeczywistego zbioru.

**Atak na model/zmiana logiki działania systemu --** atak bezpośrednio
na model, tak aby uzyskać jego wersję zniekształconą. Może wystąpić w
sytuacji, kiedy użytkownik nieświadomie korzysta z algorytmu uczenia
maszynowego, który został pobrany z publicznie dostępnych zainfekowanych
środowisk programistycznych. Może być dokonany również poprzez transfer
modelu -- utworzenie modely, który będzie realizował celowy błąd
klasyfikacji, a następnie przekazanie go do właściwego klasyfikatora.
Dokonywano testy na modelu klasyfikacji zdjęć z rezonansu -- uzyskano
97% dokładny model, który błędnie klasyfikował.

**Atak na funkcjonujący system**-- na przykład filtr antyspamowy.

W kontekście ataku na funkcjonujące system należy jeszcze wspomnieć o
dwóch teoretycznie możliwych wektorach ataków związanych z manipulacją
wejścia i wyjścia systemu.

- **Atak na** **obiekt wejściowy** oznaczałby taką modyfikację
rzeczywistego obiektu wejściowego aby został niepoprawnie
rozpoznany, np. zmiana kolorów znaku drogowego. W tym rodzaju ataku
należy także uwzględnić fizycznie usunięcie obiektu albo
spowodowanie, że nie zostanie zauważony przez system.

- **Atak na wyjście systemu** oznaczałby zmianę wygenerowanego przez
system wyjścia albo jego usunięcie.


**Odporne sztuczna inteligencja (robust AI) -** odnosi się do zdolności
systemu sztucznej inteligencji (SI) do utrzymania wydajności i
dokładności w różnych warunkach, nawet w obliczu wyzwań, zakłóceń czy
ataków. Odporność w kontekście sztucznej inteligencji oznacza, że system
jest w stanie skutecznie funkcjonować pomimo zmienności warunków
środowiskowych, różnorodności danych wejściowych lub prób manipulacji.

**[\*\*OPRACOWANIE ROZDZIAŁU Z KSIĄŻKI:]**

Intencjonalny atak na systemy uczące się może mieć następujące cele:

1. **Obniżenie jakości klasyfikatora** (ang. misclassification) poprzez
generowanie błędów fałszywie pozytywnych lub fałszywie negatywnych
(patrz tabela 1). Konsekwencją tego typu ataku jest spadek
dokładności klasyfikacji.

2. **Celowy błąd klasyfikacji** (ang. targeted misclassification)
poprzez uzyskanie błędnej klasyfikacji dla określonych obiektów. W
takiej sytuacji klasyfikator nieoprawnie klasyfikuje konkretny
obiekt lub zbiór obiektów zgodnie z intencją atakującego.

3. **Ograniczenie dostępności** czyli uzyskanie nieakceptowalnie
długiego czas reakcji systemu na dane wejściowe, a w sytuacji
skrajnej zatrzymanie działania systemu. Celem atakującego może tez
być ograniczenie dostępności w trakcie budowanie modelu, tj. w
trakcie jego uczenia, aktualizacji i testowania.

1. **Atak na poufność** ( ang. confidentiality violation) -- polega na
zdobyciu informacji, które dotyczą procesu uczenia, aktualizacji,
testowania i użytkowania systemu. Oznacza to zdobycie informacji
obejmującej:

- obiekt x wraz z jego specyfikacją cech

- zbiór etykiet klas M

- klasyfikator Ψ

- algorytm Φ wraz z jego parametrami

- zbiór uczący D(uczenie) oraz stosowane metody aktualizacji

- zbiór testujący D(testowanie) oraz zastosowane metody testowania

- użyte biblioteki i środowiska programistyczne

- kontekst użycia systemu: intencje, cel użycia systemu, organizacja
pracy, zaangażowani pracownicy, klienci, itp.

Biorąc pod uwagę ten zakres informacji wiedzę atakującego można
podzielić na trzy grupy: pełna wiedza (**white box attack**), wiedza
częściowa (**grey box**) i brak wiedzy (**black box**). W każdym
wymienionym przypadku, nawet przy całkowitego braku wiedzy, możliwe są
skutecznie działania atakującego. W przypadku zdobycia pełnej wiedzy
mówimy o pełnej ekstrakcji modelu (ang. extraction attack).

2. Atak na integralność (ang. integrity violation) -- polega na
zakłóceniu procesu uczenia, aktualizacji lub testowania zgodnie z
celami atakującego omówionymi w poprzednim podrozdziale. Ze względu
na ważność i złożoność tego zagadnienia, temu rodzaju ataków
poświęcony jest następny podrozdział.

3. Atak on dostępność (ang. availability violation) -- polega na
spowolnieniu albo zatrzymania pracy systemu utrudniające jego
praktyczne wykorzystanie. Ten rodzaj ataku może być wykonany w
trakcie uczenia, testowania czy też poprzez zakłócenia procesu
aktualizacji systemu. Niemniej najczęściej realizowany w fazie
użytkowania (funkcjonowania) systemu.

Problemy budowania systemów uczących się:

- Problem wnioskowania indukcyjnego -- stosowanie uogólnień/wycinek
rzeczywistości

- Roblem historii i aktualizacji -- na historycznych danych

- Problem przeuczenia -- nadmierne dopasowanie do zbioru uczącego, ale
ma małą zdolność generalizacji.

25. **[Cyberbezpieczeństwo a zarządzanie ryzykiem w przedsiębiorstwie
]**

**[Ryzyko operacyjne]** -- ryzyko biznesowe pojawiające się
przy okazji codziennych działań w firmie i jakiejkolwiek aktywności
biznesowej wskutek niepewnych warunków oraz różnych ryzyk związanych z
biznesem. Zmienia lub przerywa regularną pracę przedsiębiorstwa,

**Typy:**

- Wewnętrzne czynniki lub oszustwa (Internal factors or frauds)

- Zewnętrzne oszustwa (External frauds)

- Straty związane z klientami, produktami i praktykami biznesowymi
(Losses relating to clients, products and business practices)

- Praktyki zatrudnienia i zagrożenia (Employment practices and
hazards)

- Ryzyka związane z uszkodzeniem aktywów fizycznych i zakłóceniem
działalności

- Ryzyka związane z wykonaniem, dostawą i przetwarzaniem np.
nieprawidłowe wykonywanie procesów

**Profil ryzyka operacyjnego**

- Pod pojęciem profilu ryzyka operacyjnego rozumie się skalę i
strukturę ekspozycji firmy na ryzyko operacyjne. Profil wyrażony
jest poprzez charakterystykę takich wymiarów jak:

- kapitał na ryzyko operacyjne - metoda wyznaczania wymogu
regulacyjnego (w tym rodzaje linii biznesowych) i kapitału
ekonomicznego,

- kategorie zdarzeń operacyjnych i wielkość strat, w tym budżet na
straty z tytułu ryzyka operacyjnego,

- procesy kluczowe wyznaczone w ramach Zarządzania Ciągłością
Działania,

- ryzyka zidentyfikowane oraz wycenione w ramach samooceny ryzyka, a
także analiz scenariuszowych,

- akceptowalny poziom ryzyka operacyjnego z uwzględnieniem
historycznych trendów w zakresie utylizacji tych miar.

**Cyber ryzyka w banku:**

- uzyskanie przez nieupoważnione osoby dostępu do informacji lub
systemów albo niewłaściwe wykorzystanie tych informacji i systemów
(np. kradzież danych osobowych, planów fuzji i przejęć albo
własności intelektualnej),

- kradzież i oszustwa finansowe (np. przekierowanie płatności,
uzyskanie dostępu do rachunków Klientów, oszustwa z użyciem kart
płatniczych, kradzież tożsamości, fałszerstwa i zmowy osób
uczestniczących w procesie kredytowym),

- zakłócenie działalności biznesowej (np. sabotaż, wymuszenie albo
zablokowanie usług).


26. **[Rekomendacja KNF w sprawie zarządzania ryzykiem:]**

- Bank powinien zapewnić odpowiednią **ochronę środowiska
teleinformatycznego przed szkodliwym oprogramowaniem.**

- Bank powinien zapewniać wewnętrznym **użytkownikom** systemów
informatycznych **wsparcie** w zakresie rozwiązywania problemów
związanych z ich eksploatacją, w tym wynikających z wystąpienia
awarii i innych niestandardowych zdarzeń zakłócających ich
użytkowanie.

- Bank powinien podejmować skuteczne działania mające na celu
osiągnięcie i utrzymanie odpowiedniego **poziomu kwalifikacji
pracowników** w zakresie środowiska teleinformatycznego i
bezpieczeństwa informacji przetwarzanych w tym środowisku.

- System zarządzania **ciągłością działania** banku powinien
uwzględniać szczególne uwarunkowania związane z jego środowiskiem
teleinformatycznym oraz przetwarzanymi w nim danymi.

27. **[Norma ISO 27001:]**

Norma ISO 27001 (lub ISO/IEC 21001) to międzynarodowa norma
standaryzująca Systemy Zarządzania Bezpieczeństwem Informacji (SZBI).
Przedstawia ona model SZBI, a także określa wymagania dla ustanowienia,
wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i
doskonalenia systemu. Zarządzanie bezpieczeństwem informacji związanie
jest nie tylko z ochroną systemów informatycznych. Służy także
zapewnieniu bezpieczeństwa danych osobowych, informacji handlowych oraz
innych informacji stanowiących tajemnicę przedsiębiorstwa.

Norma PN-ISO/IEC 27001 stosuje znany już dobrze
model [PDCA](https://pl.wikipedia.org/wiki/Cykl_Deminga), który jest
stosowany do całej struktury procesów SZBI. Proces wdrażania SZBI został
zdefiniowany jako:

1. **Planuj** -- ustanowienie SZBI -- ustanowienie polityki SZBI,
celów, procesów i procedur istotnych dla zarządzania ryzykiem oraz
doskonalenia bezpieczeństwa informacji tak, aby uzyskać wyniki
zgodne z ogólnymi politykami i celami organizacji.

2. **Wykonuj** -- wdrożenie i eksploatacja SZBI -- wdrożenie i
eksploatacja polityki SZBI, zabezpieczeń, procesów i procedur.

3. **Sprawdzaj** -- monitorowanie i przegląd SZBI -- pomiar wydajności
procesów w odniesieniu do polityki SZBI, celów i doświadczenia
praktycznego oraz dostarczania raportów kierownictwu do przeglądu.

4. **Działaj** -- utrzymanie i doskonalenie SZBI -- podejmowanie
działań korygujących i zapobiegawczych na podstawie wyników
wewnętrznego audytu SZBI i przeglądu realizowanego przez
kierownictwo lub innych istotnych informacji, w celu zapewnienia
ciągłego doskonalenia SZBI.

Poza zdefiniowaniem modelu zarządzania bezpieczeństwem informacji, norma
ISO 27001 zawiera opis zabezpieczeń, które należy stosować w celu
ograniczenia ryzyka. Znajdziesz je w Załączniku A i Tablicy A.1. Nie
zawierają konkretnych rozwiązań ani instrukcji. Pomogą Ci natomiast
zastanowić się czy stosujemy opisane zabezpieczenia i czy są one
wystarczające dla naszej organizacji.

Opis zabezpieczeń z Załącznika A dotyczy następujących obszarów:

1. Polityka bezpieczeństwa,

2. Organizacja bezpieczeństwa informacji,

3. Zarządzanie aktywami,

4. Bezpieczeństwo zasobów ludzkich,

5. Bezpieczeństwo fizyczne i środowiskowe,

6. Zarządzanie systemami i sieciami,

7. Kontrola dostępu,

8. Zarządzanie ciągłością działania,

9. Pozyskiwanie, rozwój i utrzymanie systemów informatycznych,

10. Zarządzanie incydentami związanymi z bezpieczeństwem informacji,

11. Zgodność z wymaganiami prawnymi i własnymi standardami.

W latach dwutysięcznych zauważono, że jednym z najcenniejszych aktywów
organizacji jest informacja. W związku z tym organizacje chciały mieć
możliwość weryfikowania faktycznego poziomu bezpieczeństwa u swoich
partnerów biznesowych. Samo dopuszczenie do audytu mogłoby oznaczać, że
SZBI nie istnieje lub nie spełnia swojej funkcji. Wymagałoby to
pokazania wszystkich szczegółów przetwarzania informacji osobie z
zewnątrz.

Z powyższego wynikła potrzeba powołania instytucji niezależnych
potwierdzających spełnienie wymagań i zgodność z normą ISO 27001.
Organizacja chcąca zdobyć to poświadczenie zaprasza akredytowaną
jednostkę certyfikującą do przeprowadzenia audytu certyfikacyjnego.
Pomyślne zakończenie audytu jest podstawą do wydania takiego
certyfikatu. Jest on ważny przez trzy lata.