Information for libraries

  • our website

Visual

You are here: Home Archiv 2024 / 02 Informace a konference Vybrané termíny z kybernetické bezpečnosti

Vybrané termíny z kybernetické bezpečnosti

Bc. Eva Horalíková / Vysoká škola ekonomická v Praze

Úvod

Kybernetický prostor zahrnuje virtuální prostředí informačních a komunikačních technologií. V kyberprostoru se obtížně hledají hranice a je těžké definovat, jak je obsáhlý (Policie, 2024). Kybernetická bezpečnost je podle Výkladového slovníku kybernetické bezpečnosti: (1) Souhrn právních, organizačních, technických a vzdělávacích prostředků směřujících k zajištění ochrany kybernetického prostoru. (2) Zajištění důvěrnosti, integrity a dostupnosti informací v kybernetickém prostoru (Jirásek et al., 2022, s. 97). S kybernetickou bezpečností souvisí i pojem informační bezpečnost, což je ochrana informací nezávisle na jejich nosiči. Patří do ní tedy i bezpečnost informací zprostředkovávaných v papírové podobě nebo předávaných ústně (Šulc, 2018). Tento článek osvětluje některé termíny a jevy, které do kybernetické bezpečnosti spadají.

Kybergrooming

Kybergrooming je typ manipulace, kdy se prostřednictvím internetu snaží útočník vzbudit důvěru dítěte nebo dospívajícího a vylákat ho na osobní schůzku. Obětí kybergroomera se nejčastěji stávají dospívající mezi 15–18 lety, neboť v tomto věku mají zvýšený zájem o oblasti navazování vztahů a sexuální tematiku. Zároveň nemají dostatek životních zkušeností a projevuje se u nich ochota více riskovat. Komunikace probíhá většinou na seznamovacích platformách nebo sociálních sítích. Ty kybergroomerovi poskytují výhodu anonymity a možnost oslovit jednoduše mnoho potenciálních obětí. Pro útočníka je klíčové vybudovat falešnou identitu a vést věrohodnou komunikaci, aby se s obětí ustanovila vzájemná důvěra.

Výzkumníci Szotkowski, Kopecký a Krejčí dělí fáze kybergroomingu do čtyř etap: přípravy na kontakt s obětí, kontaktování oběti, budování a prohlubování vztahu s obětí a příprava na osobní setkání s obětí a jeho realizace.

V první fázi si útočník vytipovává možné oběti. Často oslovuje velké množství dětí ve snaze zvýšit svoje šance. Větším počtem konverzací také útočník zkouší, jaké techniky fungují, osvojuje si i slang a styl komunikace s dospívajícími. Útočník sám vystupuje pod falešnou identitou, buď jako vrstevník či jiný dospívající, nebo jako dospělý organizátor nějaké akce, např. soutěže.

V další fázi dojde k samotnému kontaktování oběti. Pokud je kontakt navázán, začíná fáze formování a upevnění vztahu. Zde jsou využity různé typy manipulace, jako například zrcadlení, kdy se útočník snaží vybudovat vztah a důvěru na základně společných zájmů. Také je typické hojné užití chválení a lichotek ze strany agresora. Výjimkou není ani obdarovávání obětí, dříve například pomocí kreditu do mobilu. Všechny tyto taktiky mají za cíl získat o oběti co nejvíce informací.

Postupem času se kybergroomer snaží do konverzací zapojit sexuální tematiku. Může po oběti také chtít nahé fotografie nebo videa, často formou výměny. Materiály zaslané útočníkem nebývají ve valné většině autentické. Získané materiály mohou také sloužit k nátlaku a další manipulaci oběti. Nastávají situace, kdy jsou tyto materiály pořizovány bez vědomí oběti, například pomocí videohovoru.

Poslední fází je příprava na osobní setkání a jeho realizace. Agresor se snaží oběť odloučit od jejího okolí. Součástí je i zneužívání tajemství, se kterými se oběť v průběhu konverzace svěřila. Tímto kybergroomer snižuje šanci, že se oběť někomu s nastalou situací svěří. Útočník také musí připravit oběť na věkový rozdíl, například se může na osobní schůzce vydávat za příbuzného domnělého kamaráda či partnera. Pokud oběť začne mít nějaké pochyby nebo odmítá osobní schůzku, agresor se nezdráhá použít získaný sextingový materiál (vysvětlení viz níže) nebo tajemství k vydírání a vyhrožování. Pokud dojde k osobní schůzce, může na ní být oběť zneužita, nebo v krajním případě i zavražděna. V každém případě může mít kybergrooming devastující dopad na psychické zdraví oběti. Je tedy nutné důkladně zabývat se prevencí na toto téma (Kopecký et al, 2021).

Sexting

Sextingem se označuje posílání vlastních fotografií (či videí) s erotickou a sexuální tematikou prostřednictvím internetu, tzv. sextů. Tyto materiály mohou odesílateli způsobit problémy, neboť momentem odeslání se mohou internetem volně šířit. Následky mohou být závažné v osobním i profesním životě. Sextingové materiály mohou být součástí dalších jevů, jako je kyberšikana, kybergrooming nebo vydírání. Často probíhá výměna sextů. Může nastat situace, že jedna strana neposílá autentické sexty, ale touto cestou vyláká intimní materiály z druhé strany (Kopecký a Szotkowski, 2017), které dál mohou být použity k nátlaku.

Sociální inženýrství

Útoky prostřednictvím internetu se často opírají o různé techniky manipulace. Souhrnně se označují jako sociální inženýrství. Využívají slabin lidské psychologie, jako je nepozornost, strach a úzkost. Jednání lidí může být ovlivněno různými okolnostmi a být složitě předvídatelné. V současnosti je sociální inženýrství velkým rizikem pro kybernetickou bezpečnost, neboť lidé mohou sami dát útočníkům přístupové údaje, citlivé informace nebo stáhnout škodlivý software (Dubovecká, 2023).

Phishing

Termín phishing je přesmyčkou z anglického fishing, tj. rybaření – jedná se o pomyslné lovení osobních a přihlašovacích údajů. Tato metoda sociálního inženýrství používá podvržené odkazy a falešné webové stránky, které věrně imitují stránky různých služeb. Příkladem jsou například stránky sociálních sítí nebo bankovnictví. Odkazy na ně často přijdou oběti do e-mailové schránky. Do těchto falešných stránek zadá oběť přihlašovací údaje a tím je zkompromituje. Útočníci často využívají emoce, jako je strach (například, že je detekován podezřelý převod na účtu), zvědavost (situace, kdy má být oběť například na přiloženém videu) nebo radost z výhry. Typické je také využití časového tlaku. Další z variant útoku je upozornění na změnu ohledně dodání zásilky (Mikulová a Fukárková, 2024).

Obranou je důsledně kontrolovat odkazy, odesílatele a také přemýšlet o tom, zda daný úkon dává smysl (například zpráva o stavu balíčku, když jsem si nic neobjednával) (Mikulová a Fukárková, 2024). Své místo v prevenci mají též simulované phishingové útoky, kdy se žádný bezpečnostní incident nestane, ale člověka upozorní, že by se stal obětí útoku. Organizace, jako například školy nebo firmy, je pořádají v rámci prevence (Javornická, 2024).

Smishing

Smishing je útok spočívající na podobném principu jako phishing, ale podvodný odkaz je distribuován pomocí SMS zpráv. Prevence je stále stejná, tedy na odkazy nereagovat, neboť tím by útočníkům mohla oběť signalizovat, že dané číslo je používáno. V horším případě by se mohla stát obětí podvodu (Mikulová a Fukárková, 2024).

Baiting

Baiting je typ útoku, kde je využit datový nosič. Příkladem je USB disk, který je infikovaný škodlivým softwarem, ačkoliv se může na první pohled zdát neškodný. Pro odvrácení útoku tohoto typu je klíčové nechat nosič někde na veřejném místě (například na recepci firmy). Někdo zevnitř organizace může například USB disk zapojit do počítače a pomoci útočníkům dostat se do počítačové sítě. Na nosiči může být i legitimní obsah, který kryje skutečný škodlivý program. Při baitingu je zneužita přirozená zvědavost a neopatrnost lidí. Prevencí je maximální opatrnost v manipulaci s datovými nosiči, zapojovat jen prověřené (Mikulová a Fukárková, 2024).

Rizika spojená s umělou inteligencí

Umělá inteligence umožňuje zdokonalení prostředků používaných k útokům a kybernetické kriminalitě. Varováním již není špatná gramatika či převzaté obrázky. Útočníci si mohou snadno vygenerovat jakýkoliv materiál a použít jej (EUROPOL, 2023). Takzvané deepfakes (vygenerovaná videa zobrazující scény, které se nikdy nestaly) mohou být použité jako sextingový materiál k vydírání a poškození pověsti nebo jako nástroj manipulace při podvodech a šíření dezinformací (Tesař, 2022). Běžní chatboti (v současnosti ChatGPT, Copilot nebo Gemini) by měly mít implementované zábrany ohledně dotazů na nelegální témata a neměly by na ně odpovídat. Existují ovšem také služby, které tyto zábrany nemají a nedá se u nich vyloučit využití k nelegálním účelům (Šlerka, 2023). Jako konkrétní příklad lze uvést WormGPT, který pomáhal hackerům provádět útoky (Petrášová, 2024). Umělá inteligence je významný fenomén a je nutné stále sledovat její vývoj, neboť může být velmi silným nástrojem kybernetické kriminality.

Využití umělé inteligence v prevenci a osvětě

Vzdělávání a osvěta v oblasti kybernetické bezpečnosti je jedním z nejdůležitějších aspektů, o němž je nutné v současné době žáky a veřejnost informovat. Umělá inteligence může pomoci učitelům a lektorům v přípravách na výuku, například lépe diferencovat úlohy a lépe pokrýt individuální potřeby žáků. To je nutné i z důvodu inkluze ve školství. Generativní nástroje mohou také pomoci zatraktivnit lekce pomocí různých aktivit, cvičení a obrázků. Práce samotných žáků s umělou inteligencí může mít určité limity, například věková omezení nebo absence souhlasu zákonných zástupců. Umělá inteligence také slouží samotným učitelům a lektorům, kteří si sami musí vzdělání neustále doplňovat (AI dětem, 2024).

Knihovny v prevenci

Role knihoven v prevenci kybernetické a informační bezpečnosti spočívá zejména v neformálním vzdělávání ve formě besed či workshopů pro širokou veřejnost. Velkou výhodou vzdělávání v knihovnách je větší flexibilita, menší počet participantů a větší aktivní zapojení účastníků, než je běžné v klasickém formálním vzdělávání. Neformální vzdělávání také doplňuje profesní a osobní rozvoj. Je velmi vhodné, aby knihovny spolupracovaly se školami a osvěta jimi předávaná se dostala k co největšímu počtu žáků (Kovářová, 2019). Knihovny se také mohou zapojovat do akcí typu Festival bezpečného internetu, který pořádá Úřad pro informační a kybernetickou bezpečnost (NÚKIB, 2024).

Vzdělávání v knihovnách se ve velké míře týká témat digitálních kompetencí, mezi něž kybernetická a informační bezpečnost patří, a zároveň souvisí také s okruhy kritického myšlení. V prostředí anglo-amerických knihoven má osvěta na poli informační a kybernetické bezpečnosti větší tradici a je možné zde čerpat inspiraci (Kovářová, 2019).

Závěr

Digitální technologie postupem času pronikly do většiny oblastí každodenního života velké části lidí. Tím vznikla rizika nová nebo se zvětšila již existující rizika. Kybernetická bezpečnost se stala nedílnou součástí formálního a neformálního vzdělávání. V osobním i profesním životě si musí člověk dát pozor na manipulace pomocí sociálního inženýrství, na rizikovou komunikaci, seznamování se prostřednictvím technologií a na aplikace metod umělé inteligence, jako jsou například deepfakes.

 

Požitá literatura

AI DĚTEM, 2024. Využití ChatGPT ve školách — právní pohled. Online. Průvodce ChatGPT pro učitele. Dostupné z: https://gptveskole.cz/uziti-ve-skole/. [cit. 2024-07-29].

DUBOVECKÁ, Klára, 2023. Největší hrozby a zranitelnosti kybernetické bezpečnosti: #1 Sociální inženýrství. Online. KYBEZ. Dostupné z: https://kybez.cz/nejvetsi-hrozby-a-zranitelnosti-kyberneticke-bezpecnosti-1-socialni-inzenyrstvi/. [cit. 2024-07-24].

EUROPOL, 27.3.2023. The criminal use of ChatGPT – a cautionary tale about large language models. Online. Europol. Dostupné z: https://www.europol.europa.eu/media-press/newsroom/news/criminal-use-of-chatgpt-cautionary-tale-about-large-language-models. [cit. 2024-04-30].

HORALÍKOVÁ, Eva, 2024. Vybrané problémové okruhy kybernetické bezpečnosti u žáků druhého stupně základní školy. Online. Vysoká škola ekonomická v Praze. Dostupné z: https://vskp.vse.cz/92879. [cit. 2024-08-27].

JAVORNICKÁ, Petra, 5. 4. 2024. Otestujte ve firmě phishing. 5 kroků, jak vytvořit simulovanou phishingovou kampaň. Online. O2 CyberNews. Dostupné z: https://o2cybernews.cz/clanky/otestujte-ve-firme-phishing-5-kroku-jak-vytvorit-simulovanou-phishingovou-kampan. [cit. 2024-07-29].

JIRÁSEK, Petr; NOVÁK, Luděk a POŽÁR, Josef, 2022. Výkladový slovník kybernetické bezpečnosti. Policejní akademie ČR v Praze. Páté doplněné a upravené vydání. ISBN 978-80 908388-4-0.

KOPECKÝ, Kamil; SZOTKOWSKI, René a DOBEŠOVÁ, Pavla, 2021. Riziková komunikace a seznamování českých dětí v kyberprostoru. Online. První vydání. Univerzita Palackého v Olomouci. ISBN 978-80-244-5915-8. Dostupné z: https://doivup.upol.cz/pdfs/doi/9900/04/3400.pdf. [cit. 2024-07-28].

KOPECKÝ, Kamil a SZOTKOWSKI, René, 2017. Sexting a rizikové seznamování českých dětí v kyberprostoru. Online. Výzkumná zpráva. Verze 1.6. Univerzita Palackého v Olomouci. Dostupné z: https://www.e-bezpeci.cz/index.php/ke-stazeni/vyzkumne-zpravy/133-sexting vyzkumna-zprava-1-6-update/file. [cit. 2024-07-30].

KOVÁŘOVÁ, Pavla, 2019. Informační bezpečnost žáků základních škol | Lekce v knihovnách. První vydání. Masarykova univerzita. ISBN 978-80-210-9270-9.

MIKULOVÁ, Petra a FUKÁRKOVÁ, Barbora, 2024. Příběhy sociálního inženýrství. Online. MUNI CSI - MU. Dostupné z: https://security.muni.cz/kurzy/socialni_inzenyrstvi. [cit. 2024-07-24].

NÚKIB, 2024. Festival bezpečného internetu. Online. NÚKIB. Dostupné z: https://osveta.nukib.gov.cz/course/view.php?id=111. [cit. 2024-07-29].

PETRÁŠOVÁ, Markéta, 1.3.2024. Vliv umělé inteligence na kybernetickou bezpečnost. Online. KYBEZ. Dostupné z: https://kybez.cz/vliv-umele-inteligence-na-kybernetickou-bezpecnost/. [cit. 2024-07-27].

POLICIE ČR, 2024. Kyberkriminalita. Policie ČR. Online. Dostupné z: https://www.policie.cz/clanek/kyberkriminalita.aspx. [cit. 2024 07-30].

ŠLERKA, Josef, 14.8.2023. Testování hranic AI: Rizika zneužití chatbotů. Online. Investigace.cz. Dostupné z: https://www.investigace.cz/testovani-hranic-ai-rizika-zneuziti-chatbotu/. [cit. 2024-07-30].

ŠULC, Vladimír, 2018. Kybernetická bezpečnost. Plzeň: Vydavatelství a nakladatelství Aleš Čeněk, s. r. o. 147 s. ISBN 978-80-7380-737-5.

TESAŘ, Václav, 2022. Dezinformace a nová výzva deepfake. Online. Zprávy z MUNI. Dostupné z: https://www.em.muni.cz/udalosti/15160-dezinformace-a-nova-vyzva-deepfake. [cit. 2024-07-30].

Sep 02, 2024




Vyhledávání
Proměny Klementina ve fotografiích

Termín: od 5. 8. 2024

Místo: Hala služeb, Národní knihovna ČR, Klementinum 190, Praha 1

Vybrané fotografie zachycují podobu Klementina od konce 19. století do cca poloviny 20. století. Vyprávějí dávno zapomenuté příběhy, připomínají místa, která zanikla nebo v souvislosti s přestavbou Klementina pro potřeby tehdejší Veřejné a universitní knihovny změnila svou podobu.

Výstava Bibliotheca Atronomica

Termín: 18. 10. - 18. 12. 2024

Místo: Galerie Klementinum, výstavní sál

ba2024_vystava.png

Knihovnická dílna 2024

Termín: 13. - 14. 11. 2024

Místo: Národní knihovna ČR, prostor bývalé STK

další informace

Týden pro digitální Česko

Termín: 18. 11. - 24. 11. 2024

více informací o akci

tdč-black-transparent.png

Archivy, knihovny, muzea v digitálním světě

Termín: 27. - 28. 11. 2024

Místo: Národní archiv v Praze, Archivní 4, Praha 4 Chodovec

Zájemci o přednesení odborných příspěvků mohou své příspěvky (název příspěvku, stručná anotace) ohlásit do 30. 9. 2024 na adresau vit.richter@nkp.cz

více informací

Lublaňský manifest o čtení

Lublaňský manifest o čtení, český překlad

plný text