16. června 2023 v rámci konference konané na závěr 2. semestru oboru Design informačních služeb jsem měl možnost prezentovat výsledky své Praxe II – Výzkumný projekt.
V rámci výzkumu jsem se zabýval tvorbou a validací pomocných kartiček popisujících metody kyberbezpečnostních testování (KBT), které mají sloužit specialistům v ICT – nejen bezpečnostním specialistům – pro lepší designování KBT.
S podporou výzkumných nástrojů jsem pomocné kartičky vytvořil, s pomocí vhodné validace ověřil, zda splňují očekávání a potřeby koncových uživatelů, tedy zda takový produkt je ten správný pro svůj účel.
Přibližně hodinové povídání (během konference jsem nakonec měl jen 20 minut):
PDF prezentace ke stažení:
Základní popis pomocných kartiček
- Materiál: papír, PDF.
- Formát: A6.
- Prezentované informace:
- Každá kartička se zabývá jednou metodou kyberbezpečnostního testování.
- Stručný a jasný popis.
- Český název, anglický název, základní otázka, kterou metoda řeší, popis činnosti testera, důležitá poznámka.
Pokračování z 1. semestru
Svou praxi v druhém semestru jsem zaměřil na pokračování tématu, které mě zaujalo v prvním semestru – „Typologie kyberbezpečnostních testů“. Tehdy se mi podařilo zodpovědět některé základní výzkumné otázky:
- Které další typy KBT existují vedle penetračního testování? Odpověď: „Existuje celá řada KBT – jejich výčet je uveden v rámci jednotlivých zkoumaných literatur (blíže uvedeno v samostatné seminární práci). Je patrné, že některé zdroje si definice různých typů KBT definují v rozporu s jinými zdroji. Například OSSTM penetrační testování staví na rovinu double blind či black-box testování, ale NÚKIB pod penetračním testováním spatřuje nejen black-box, ale také white-box a grey-box.“
- Má význam vytvářet novou typologii KBT? Odpověď: „Nově budované typologie – zvláště není-li pro jejich tvorbu dostatek prostředků – mohou vnášet do již ustálených metodik nejasnosti, neboť jsou zatíženy subjektivními reinterpretacemi autorů. Avšak pokud se jedná o designování KBT na míru zákazníkovi, pak jistě má smysl mít k dispozici portfolio různých přístupů, technik a metodik, které je vhodné při takovém designování uvažovat.“
Definice a důležitost kyberbezpečnostního testování
Bezpečnost představuje základní kvalitativní, ale i deklarativní, charakteristiku v mnoha aspektech lidského života a je také základní lidskou potřebou. Její důležitost pramení ze skutečnosti, že její existence poskytuje pocit klidu a bezpečí. Bezpečnost je stav, kdy člověk nebo skupina nemusí mít obavy o své blaho, majetek nebo jiné hodnoty. Jde o situaci, kdy nehrozí žádné bezprostřední nebo potenciální nebezpečí – pak se cítíme bezpečně.
V digitálním světě, v němž se stále více našeho života odehrává, se bezpečnost stává ještě specifičtější. Kyberbezpečnost, tedy oblast zabývající se ochranou informačních systémů, sítí a digitálních technologií, resp. kyberprostoru, je klíčová pro zachování naší digitální bezpečnosti. Ať už se jedná o jednotlivce, organizace nebo dokonce celé národy či kultury, kyberbezpečnost se stává nepostradatelnou součástí našeho života.
Důležité je zmínit, že i přesto, že kyberbezpečnost je často spojována s technologiemi, lidé jsou její nedílnou součástí. Jsou to lidé, kteří navrhují a vyvíjejí naše digitální systémy a sítě, kteří je spravují a provozují, a kteří je využívají v každodenním životě. Bez ohledu na roli, kterou lidé ve vztahu k technologiím či ke kyberprostoru hrají, jejich chování, znalosti a schopnosti mají přímý vliv na úroveň kyberbezpečnosti.
Jedním ze základních nástrojů pro zajištění kyberbezpečnosti je kyberbezpečnostní testování. Tento proces umožňuje ověřit, jak dobře informační systém, síť nebo digitální služba odolává hrozbám. Kyberbezpečnostní testování je tedy nástroj, který umožňuje proaktivně identifikovat a opravit slabiny v našich systémech a sítích. Dříve… např. než je mohou zneužít útočníci.
Lidé hrají klíčovou roli v kyberbezpečnosti, ať už jako vývojáři, správci, nebo uživatelé informačních systémů a sítí. Jejich rozhodnutí, zkušenosti a chování ovlivňují míru kyberbezpečnosti. Proto je nezbytné investovat nejen do technologických řešení, ale také do vzdělání a osvěty lidí v oblasti kyberbezpečnosti.
Kyberbezpečnostní testování je esenciální nástroj pro zajišťování bezpečnosti informačních systémů. Například pomáhá předpovědět a předcházet kybernetickým útokům tím, že identifikuje slabá místa a chyby v systémech a sítích dříve, než je zneužijí potenciální útočníci. Bezpečnost je nezbytnou součástí našeho života, jak v reálném světě, tak v kyberprostoru. Bezpečnost je nejen stav, ale také pocit, který nám umožňuje žít bez strachu a obav. Proto by měla být kyberbezpečnost prioritou pro každého, kdo se pohybuje v digitálním světě.
Význam různých metod KBT
Různé metody KBT jsou důležité pro posouzení celkové úrovně zabezpečení informačních systémů a sítí. Každá z těchto metod se zaměřuje na odlišné aspekty kyberbezpečnosti, což poskytuje ucelený a holistický pohled na stav bezpečnosti.
Jednou z těchto metod je penetrační testování, které simuluje skutečné kybernetické útoky s cílem dosáhnout průniku do systémů. Tímto způsobem se testuje odolnost systému vůči útokům a zjišťuje se, jak efektivní jsou ochranné bariéry proti potenciálním hrozbám. Tvrdí se (ale já o tom pochybuji), že penetrační testy jsou nezbytné pro ověření, zda jsou implementované bezpečnostní opatření dostatečně a zda nedochází k žádným nečekaným chybám nebo slabým místům.
Další metodou je testování sociálního inženýrství, které odhaluje například to, jak snadno mohou být lidé zmanipulováni k ohrožení bezpečnosti systému. Lidé jsou často považováni za nejslabší článek v kyberbezpečnosti, a proto je důležité porozumět tomu, jak jsou náchylní k různým taktikám sociálního inženýrství, jako je například phishing.
Testování fyzické bezpečnosti je další nezbytnou složkou kyberbezpečnosti. Toto testování ověřuje, zda jsou hardwarové a fyzické kontroly, jako jsou zámky a bezpečnostní kamery, funkční a zda nejsou snadno obejitelné. Tento druh testování je klíčový k zajištění, že fyzické prvky infrastruktury jsou také odolné vůči útokům.
A existuje mnohem, mnohem více různých metod KBT!
Všechny tyto metody poskytují jedinečný pohled na kyberbezpečnost a mohou být nezbytné pro ucelené pochopení stavu kyberbezpečnosti. Kombinace těchto přístupů a technik vede ke komplexnějšímu a úplnějšímu pohledu na stav kyberbezpečnosti.
Jak jsem zkoumal?
Věnování se výzkumu založeném především na své vlastní praxi mi umožnilo hlouběji se ponořit do procesu KBT a identifikovat hlavní problémy a rizika spojená s tímto procesem. Přestože jsem se pohyboval v neformálním, subjektivním výzkumném prostředí, měl jsem jasný cíl: optimalizovat proces kybernetického testování pro zvýšení jeho efektivity a snížení potenciálních rizik.
Tento typ výzkumu vyžaduje silnou míru reflexivity. Jako výzkumník jsem se musel kriticky zamýšlet nad svými vlastními zkušenostmi, postoji a předsudky a uvědomit si, jak ovlivňují mé výsledky. To bylo nezbytné pro udržení objektivity a integrity mého výzkumu.
Etika hraje v tomto procesu také klíčovou roli. I přes neformální charakter mého výzkumu bylo důležité dodržovat etické normy, jako je zachování důvěrnosti a získávání souhlasu od jiných zúčastněných stran. Respektoval jsem tuto zásadu po celou dobu mého výzkumu, přestože jsem byl v rámci rozhovorů často odkázán na pouhé poznámky ve svém zápisníku, neboť vzhledem k potenciální citlivosti informací mi nebylo dovoleno nahrávání.
Jelikož je tento druh výzkumu velmi založen na osobních zkušenostech, je důležité pečlivě dokumentovat myšlenky, pozorování a zjištění. Bylo nezbytné si uvědomit tuto omezenost a zajišťovat, že mé závěry – v mezích možností (např. etických) jsou pečlivě podložené a dokumentované.
Navzdory subjektivní povaze tohoto typu výzkumu jsem usiloval o nalezení způsobů, jak ověřit své zjištění. To zahrnovalo porovnávání výsledků s literaturou, získávání zpětné vazby od jiných odborníků a testování zjištění v jiných kontextech.
Hlavním cílem tohoto mého výzkumu je vylepšení. Proto byly mé výsledky zaměřené na aplikaci a přinášely konkrétní výhody. Položil jsem si jasný cíl: „Optimalizovat proces KBT pro zvýšení jeho efektivity a snížení potenciálních rizik.“
S tímto cílem jsem položil základní výzkumné otázky:
- Jaké jsou potenciální rizika spojená s procesem KBT?
- Jaké jsou slabiny v procesu KBT?
- Jaké strategie či nástroje lze použít pro snížení rizik spojených s KBT?
Na základě své praxe a výzkumu jsem byl schopen zodpovědět tyto otázky a přinést snad cenné náhledy do tohoto procesu:
- V procesu kyberbezpečnostního testování jsem identifikoval několik potenciálních rizik, včetně škod způsobených testováním, falešně negativních výsledků, nedetekování skutečných hrozeb a zneužití informací získaných při testování atd. Toto byla témata, která mě zaujala a plánoval jsem se jim intenzivněji věnovat.
- Slabiny v procesu KBT, které jsem identifikoval, zahrnovaly neznalost základních metod KBT, nedostatek kvalifikovaných odborníků, špatnou komunikaci a koordinaci, nedostatečnou prioritizaci a aktualizaci testovacích nástrojů a technik, a také nedostatečnou dokumentaci atd. Byly to další oblasti, které mě intenzivně zajímaly a chtěl jsem je dále prozkoumat.
- Rovněž jsem zjistil, že existují strategie a nástroje, které mohou pomoci snížit rizika spojená s KBT. Vzdělávání se ukázalo jako klíčový nástroj pro zvyšování porozumění a dovedností spojených s KBT. Dalšími strategiemi bylo používání profesionálních nástrojů, vývoj a implementace politik a postupů a pravidelné testování atd.
V závěru mého výzkumu jsem se zaměřil na možnosti vzdělání v oblasti KBT. Zdálo se mi, že vzdělání je jedním z nejefektivnějších nástrojů pro zlepšení porozumění procesům KBT a pro minimalizaci rizik s ním spojených.
Výsledky mého výzkumu v oblasti KBT mě nasměrovaly k hlouběji orientovanému studiu různých metod KBT. Uvědomil jsem si, že existuje široká škála metod, ale profesionálové v oblasti informačních a komunikačních technologií (ICT) často mají omezené nebo nesprávné pochopení těchto metod. Tato skutečnost mě přiměla k vytvoření designérských kartiček o jednotlivých metodách KBT, které by mohly pomoci vzdělávat profesionály v této oblasti a rozšiřovat jejich porozumění.
Před vytvořením těchto kartiček jsem se zaměřil na provedení řady orientačních rozhovorů s kolegy z oboru. Tyto neformální rozhovory, někdy také označované jako exploratorní rozhovory, mě posunuly hlouběji do problematiky a umožnily mi získat detailnější pohled na pocity, názory a zkušenosti jednotlivců, kteří se nějak podílejí na KBT.
S osmi respondenty, kteří měli přímou zkušenost s KBT, včetně bezpečnostních specialistů, vývojářů, projektových manažerů a správců systémů, jsem vedl rozhovory na různá témata týkající se KBT. Moje hypotéza, že profesionálové v oblasti ICT mají různé úrovně porozumění různým metodám KBT, byla potvrzena.
Ptal jsem se jich na otázky: Jaké metody KBT jste již použili v praxi? Jaký typ KBT považujete za nejúčinnější a proč? Setkali jste se s nějakými nejednoznačnostmi nebo nejasnostmi při definování různých typů KBT? Jaké jsou podle vás hlavní výzvy při provádění KBT? A jaký dopad má podle vás použití různých metod KBT na celkovou bezpečnost systémů?
Odpovědi na tyto otázky mi poskytly cenné informace a hlubší pochopení toho, jak profesionálové v oblasti ICT vnímají a používají různé metody KBT. Zjistil jsem, že mnoho z nich má nízké nebo omezené znalosti různých metod KBT, což potvrdilo mou původní hypotézu.
Tyto zjištěné informace mě utvrdily v mém přesvědčení, že existuje naléhavá potřeba zvýšit úroveň znalostí o různých metodách KBT mezi odborníky v oblasti ICT. Vzdělávání v této oblasti se mi jeví jako klíčové pro zlepšení praxe KBT a celkové zvýšení kybernetické bezpečnosti. Proto jsem se rozhodl vytvořit řadu designérských kartiček, které popisují různé metody KBT. Každá kartička obsahuje jasné informace o konkrétní metodě – český název metody, anglický název metody, základní otázku, kterou metoda řeší, činnost testera, důležitou poznámku. Cílem těchto kartiček je pomoci odborníkům v oblasti ICT lépe porozumět různým metodám KBT a umožnit jim lépe kyberbezpečnostní testování designovat.
Testování kartiček
Testování a shromažďování zpětné vazby na mé informační kartičky bylo klíčovým krokem v jejich vývoji. První zkušenosti a názory jsem získal na konferenci CIO Agenda 2023, kde jsem představil metody a důležitost tématu účastníkům. Bylo to užitečné, protože jsem mohl získat zpětnou vazbu od širokého spektra odborníků v oblasti ICT. Celková průměrná známka 1,48 ze 110 respondentů ukázala, že mé příspěvky byly obecně dobře přijaty. Nicméně byly zde také užitečné rady na vylepšení, které jsem si vzal k srdci.
Dalším krokem bylo získání zpětné vazby od kolegů. Bylo pro mě velmi důležité zjistit, jak vnímají srozumitelnost, úplnost a vizuální provedení informací na kartičkách. Na základě jejich zpětné vazby jsem provedl několik úprav na kartičkách, jako je doplnění rizik k jednotlivým metodám a označení nejčastěji používaných metod. Navíc jsem přešel na černé písmo na bílém pozadí pro lepší čitelnost a plánuji začlenit infografiku pro lepší přehlednost.
Třetí fází testování bylo použití kartiček během kurzu o bezpečnosti webových aplikací. Přestože jsem z technických důvodů neměl dostatek času ukázat kartičky během samotného kurzu, bylo mi umožněno je předat 15 respondentům a požádat je o vyplnění dotazníku. Tato zkušenost mi umožní získat ještě hlubší pochopení o tom, jak jsou kartičky vnímány a jak mohou být vylepšeny.
Posledním krokem bylo provést kvantitativní výzkum formou dotazníku. Dotazník byl navržen tak, abych získal konkrétní informace o tom, jak respondenti hodnotí kartičky v různých aspektech, jako je užitečnost, srozumitelnost, úplnost a vizuální provedení.
Zároveň jsem chtěl zjistit, jaké nové metody KBT se respondenti dozvěděli díky kartičkám nebo kurzu, jak vnímají jejich praktickou použitelnost a zda by bylo užitečné mít více takových kartiček na jiná témata. Tato fáze byla zvláště důležitá, protože mi poskytne konkrétní a kvantifikovatelná data, která budu moci použít k dalšímu vylepšení a úpravě kartiček. Celkově považuji tento proces shromažďování zpětné vazby a úpravy kartiček na základě této zpětné vazby nezbytný pro jejich úspěšný vývoj. Bez těchto kroků by bylo obtížné zjistit, zda kartičky efektivně naplňují svůj účel a zda je možné je nějak vylepšit. To mi umožňuje vytvořit kartičky, které nejen že poskytují užitečné a srozumitelné informace o různých metodách KBT, ale také jsou atraktivní a praktické pro uživatele.
Závěr
Závěrem lze říci, že testování informačních kartiček na téma KBT je procesem, který zdaleka není u konce. Přestože bylo získáno mnoho cenných zpětných vazeb a nabyto mnoha zkušeností, stále je potřeba dalšího ověřování a zkoumání. Už teď je však jasné, že některé aspekty kartiček je třeba upravit, ať už se jedná o textaci, vizuální provedení, nebo obsahovou úplnost. Drobné úpravy, jako jsou tyto, mohou významně zvýšit jejich užitečnost a použitelnost.
Další cíl, který stojí přede mnou, je umělecky pojatá expozice metod KBT. Potřebuji najít rovnováhu mezi uměleckým ztvárněním a odbornou „správností“.
Dále chci masivněji rozšířit celý projekt. Přestože v současné době existuje jen několik desítek kartiček, v blízké budoucnosti by se jejich počet mohl navýšit. Tímto krokem chci pokrýt co nejširší spektrum metod KBT a zajistit, aby byla poskytnuta co nejúplnější informace. Počet se ale nesmí stát kontraproduktivním.
V neposlední řadě plánuji do září 2023 vydání publikace, která bude obsahovat všechny dosud získané informace a zkušenosti. Tato publikace bude dalším významným krokem v mém úsilí o zvýšení povědomí o metodách KBT a jejich efektivním využití.
Očekávám, že tento projekt přinese významné výhody nejen pro jednotlivé profesionály v oblasti ICT, ale také pro celý tento obor, především kyberbezpečnostní.
Nejen konferenční překážky
Přestože se celkový průběh konference a moje prezentace nevyvíjely zcela dle mých očekávání – viz dále, tato zkušenost mě přivedla k novému poznání a uvědomění si některých důležitých faktorů.
Ukázalo se, že pečlivé plánování a příprava na takové události, stejně jako zohlednění všech proměnných a různých forem účasti, jsou naprosto klíčové. Tato zkušenost mě také posílila v mém přesvědčení o významu komunikace a výměny informací – jak v rámci organizace takových událostí, tak mezi řečníky a účastníky. Myslím, že tato lekce mi bude velmi prospěšná při budoucích podobných akcích a rozhodně se z ní poučím.
Ačkoliv jsem se kvůli neplánovaným překážkám cítil poněkud odříznutý a „nesvůj“, celkově se konference nesla v pozitivním a konstruktivním duchu. Bylo velmi inspirativní a obohacující vidět a slyšet, co všechno moji kolegové studenti dokázali vytvořit a jaké inovativní přístupy a nápady představili.
Konference měla skvělou atmosféru plnou sdílení znalostí a podporu mezi účastníky. Byla to příležitost k setkání se s různými myšlenkami a přístupy, které budu moci využít v další práci. I přes určité potíže to byla cenná zkušenost, které si opravdu vážím.
Výrazné zkrácení příspěvku
Prezentaci jsem měl připravenu na 60 minut, ale nakonec jsem ji musel „smrsknout“ do 20 minut. Vycházel jsem z tabulky ke konferenci „Program závěrečné výzkumné konference“, kde je u mého jména uvedeno 11:00 – 12:00. Vzhledem k tomu, že něco takového se stalo jen mně, myslím si, že se jednalo o můj omyl – asi jsem přehlédl či přeslechnul informaci o 20 minutách.
Především on-site akce
Konference byla připravena především pro studenty, kteří se dostavili na fakultu fyzicky, nikoliv „především“ pro ty, kteří se zúčastnili online – přestože distanční studium probíhá primárně online formou.
Pokud je konference připravena především pro studenty, kteří se dostavili fyzicky na fakultu, může to mít – a myslím, že mělo – několik důsledků:
- Omezený přístup pro online účastníky: Online studenti, kteří se nemohou nebo nemohli fyzicky dostavit na fakultu, mohou mít omezený přístup ke konferenci. Může jim chybět možnost osobní účasti na prezentacích, diskusích a interakci s ostatními účastníky.
- Snížená interakce mezi studenty: Pokud se většina studentů setká osobně na fakultě, může to vést k menší interakci mezi studenty v online prostředí. Diskuze a výměna názorů mohou být omezeny na účastníky, kteří jsou fyzicky přítomni, což může vést ke ztrátě rozmanitosti a sdílení poznatků.
- Nerovnost v přístupu ke zdrojům: Pokud je konference především zaměřena na fyzicky přítomné studenty, mohou mít online studenti omezený přístup k materiálům, prezentacím a záznamům konference. To může vést ke sníženému přístupu ke zdrojům a informacím, které jsou představovány na konferenci.
- Frustrace online studentů: Online studenti, kteří se cítí vyloučeni z fyzické konference, mohou pociťovat frustraci nebo pocit méněcennosti. Pokud je fyzická přítomnost preferována a online účast je brána jako vedlejší, může to vést k negativnímu vnímání a rozdělení mezi studenty.
Je důležité si uvědomit, že distanční studium a online vzdělávání jsou významnou součástí moderního vzdělávání. Proto je vhodné zajistit, aby konference a akce pokud možnost v celém svém rozsahu poskytovaly možnosti pro oba typy studentů – jak ty, kteří se mohou zúčastnit osobně, tak i ty, kteří se účastní online.
Prezentace může být pro osoby s těžkou dyslexií, … náročná
Vlastně nevím, jestli mohu definovat, jak těžkou … poruchu (resp. rozdíly ve zpracování jazyka a čtení ve srovnání se standardními očekáváními) s neurologicko-biologickým základem mám. Těžko se ta těžkost určuje – přestože na něco takového tzv. mám papír.
Musím konečně přijmout individuální povahu své dyslexie (apod.) a respektovat, že mohu mít své vlastní specifické projevy a reakce v různých situacích. Únava, zvýšená úzkost a stres, snížená koncentrace, … Zvláště pokud něco takového mohu mít komplikováno s dalšími „problémy“ typu PTSD.
Vlastně aktivní přemýšlení o těchto okolnostech a individuální povaze mé dyslexie mi může pomoci při přípravě a zvládání budoucích prezentací. Mohl bych zvážit například:
- Sebeuvědomění: Mít jasnou představu o svých silných stránkách a obtížích spojených s dyslexií. Uvědomit si, jaké jsou mé nejčastější problémy při prezentacích a které aspekty mi mohou způsobovat nejvíce stresu.
- Příprava: Možná bych měl racionálněji investovat čas do přípravy na prezentaci. Vytvořit si strukturovaný plán obsahu, použít vizuální pomůcky, které mi pomohou organizovat myšlenky, a vytvořte si prezentaci, která je pro mě snadno čitelná. Vlastně více textu v prezentacích používám často jako jakousi pomyslnou záchranu, kdybych se v prezentaci začal topit… ale ve stresu s v ní topím tím více, čím více textu obsahuje.
- Relaxační techniky: Naučím se relaxační techniky, které mi pomohou uvolnit stres a zvýšit koncentraci. Například hluboké dýchání, meditaci, vizualizaci nebo jiné relaxační metody…
Musím experimentovat s různými strategiemi a najít ty, které mi nejlépe vyhovují. Přijetí individuální povahy dyslexie a práce na zvládnutí obtíží může vést k lepším výsledkům a většímu sebevědomí při prezentacích.
Přestože má minulost byla pestrá, duhová s mnoha černými pruhy, … musím se na ni dívat sice jako na něco zajímavého, nikoliv však jako na něco, co bylo jen tragického … musím pohlížet do krásné budoucnosti optimisticky, s otevřenou myslí, bez obav, s důvěrou v lidi … prostě tak.
Co tím autor (tedy já) myslí?
Autor tímto textem vyjadřuje, že ačkoliv jeho minulost byla složitá a plná výzev (označených jako „černé pruhy“), nesmí se na ni dívat pouze jako na sérii tragédií. Místo toho si uvědomuje, že tyto zkušenosti ho formovaly a přinesly mu určité poznání nebo moudrost (tím je míněno „něco zajímavého“).
Když autor mluví o „krásné budoucnosti“, vyslovuje svůj optimismus a víru v lepší zítřky. Chce se dívat do budoucna s otevřenou myslí, což znamená, že je ochoten přijmout nové zkušenosti, názory a příležitosti, aniž by se nechal ovlivnit svými předchozími zkušenostmi („bez obav“). Také vyjadřuje důvěru v lidi, což může naznačovat jeho vědomí, že lidé kolem něj mohou mít pozitivní vliv na jeho život a budoucnost.
Tím, že říká „prostě tak“, autor možná naznačuje, že tyto názory nejsou výsledkem dlouhého a zdlouhavého zamyšlení, ale jsou pro něj jednoduše přirozené a intuitivní.
Tak asi tak, dál bych to nerozebíral.