Cyberbezpieczeństwo. Zarys wykładu - ebook

Autorzy omawiają najważniejsze kwestie z zakresu bezpieczeństwa w cyberprzestrzeni zarówno z perspektywy prawa, jak i technologii.

W opracowaniu przedstawiono m.in.:
• najistotniejsze regulacje wpływające na obszar cyberbezpieczeństwa, w tym najnowsze unormowania UE w tym zakresie, łącznie z dyrektywą NIS2;
• mechanizmy ochrony prawnej związane z naruszeniami danych osobowych;
• procedury postępowania w zakresie zabezpieczenia dowodów elektronicznych;
• najważniejsze zasady, które należy uwzględnić w budowanych programach cyberhigieny dla użytkowników;
• cyberbezpieczeństwo jako proces oraz mierniki jego oceny;
• przegląd najważniejszych zabezpieczeń technicznych, w tym związanych z kryptograficzną ochroną danych;
• procedury postępowania w przypadku wystąpienia incydentu;
• strategie ataku i obrony w cyberprzestrzeni;
• nowe techniki kwantowe rzucające wyzwanie wszystkim dotychczasowym założeniom, według których budowane są obecne systemy cyberbezpieczeństwa.

Publikacja jest przeznaczona dla każdego, komu bliska jest kwestia bezpieczeństwa danych i informacji w sieci. Będzie cennym źródłem wiedzy dla operatorów usług kluczowych i dostawców usług cyfrowych, a także specjalistów zajmujących się na co dzień zagadnieniami z obszaru bezpieczeństwa IT oraz zarządzaniem incydentami i audytem wewnętrznym struktur IT, pracowników organów administracji publicznej, jak i prawników – sędziów, prokuratorów, adwokatów i radców prawnych. Zainteresuje również studentów nauk humanistycznych, kierunków technicznych oraz uczelni wojskowych.

WYKAZ SKRÓTÓW | str. 13

WSTĘP | str. 19

CZĘŚĆ I

WPROWADZENIE DO PROBLEMATYKI CYBERBEZPIECZEŃSTWA

ROZDZIAŁ I

PODSTAWOWE POJĘCIA IbPODSTAWYbPRAWNE BEZPIECZEŃSTWA

WbCYBERPRZESTRZENI | str. 25

1. Pojęcia cyberbezpieczeństwa i cyberprzestrzeni | str. 25

1.1.  Wprowadzenie | str. 25

1.2.  Pojęcie cyberprzestrzeni | str. 27

1.3.  Pojęcie cyberbezpieczeństwa | str. 31

1. Cyberbezpieczeństwo jako przedmiot badań | str. 37
2. Podstawy prawne cyberbezpieczeństwa | str. 42

3.1.  Regulacje cyberbezpieczeństwa w działalności ONZ | str. 42

3.2.  Inicjatywy legislacyjne Rady Europy | str. 47

3.3.  Dorobek prawny Unii Europejskiej | str. 49

ROZDZIAŁ II

TECHNOLOGIE TELEINFORMATYCZNEb– PODSTAWY, ROZWÓJ

IbBEZPIECZEŃSTWO SYSTEMÓW TELEINFORMATYCZNYCH | str. 74

1. Wprowadzenie | str. 74
2. Podejście usługowe w metodykach COBIT ® i ITIL ® | str.  76
3. Kilka słów o bezpieczeństwie operacyjnym organizacji | str. 78
4. Modele sieciowe | str. 84

4.1.  Model ISO OSI | str. 84

4.2.  Porównanie modelu ISO/OSI z modelem TCP/IP | str. 88

1. Klasyfikacja ataków sieciowych według modelu ISO/OSI | str. 90

5.1.  Ataki w 2. warstwie łącza danych | str. 90

5.2.  Ataki w 3. warstwie sieciowej | str. 94

5.3.  Ataki w 4. warstwie transportowej | str. 97

5.4.  Ataki w 7. warstwie aplikacji | str. 98

5.5.  Podsumowanie klasyfikacji ataków wg warstw ISO/OSI | str. 102

1. Firewall podstawowym elementem chroniącym sieć komputerową | str. 103
2. Historia eskalacji zagrożeń w cyberprzestrzeni | str. 109
3. Dedykowany atak APT/TPT | str. 111
4. Ataki APT na infrastrukturę krytyczną, szczególnie energetyczną państw | str. 116

9.1.  Czynniki wpływające na podatność infrastruktury energetycznej na cyberataki | str. 117

9.2.  Przykłady ataków APT na sektory energetyczne państw | str. 119

9.2.1.  Ataki na elektrownie w USA, Turcji i Szwajcarii w 2017 r. | str. 119

9.2.2.  Infrastruktura krytyczna wschodniej flanki NATO i Ukrainy w latach 2021/2022 | str. 120

9.3.  Sytuacja w polskiej cyberprzestrzeni po 14.02.2022 r. | str. 123

9.4.  Ataki na instytucje rządowe, dezinformacja społeczeństw i ingerencje

w wybory | str. 125

9.4.1.  Wzrost liczby ataków na sektory rządowe państw | str. 125

9.4.2.  Dezinformacja w sieci | str. 127

9.4.3.  Atak grupy prorosyjskich hakerów Killnet na Włochy | str. 127

9.4.4.  Atak grupy haktywistów Anonymous | str. 128

9.4.5.  Przykład ataku phishingowego w Polsce na Krajową Radę Komorniczą | str. 128

1. Stopnie alarmowe CRP obowiązujące na terytorium Polski | str. 132
2. Architektura zerowego zaufania | str. 134
3. Planowanie architektury korporacyjnej (organizacji) z cyberbezpieczeństwem | str. 134
4. Ontologia „Siatka Zachmana” | str. 143
5. Geneza powstania siatki SABSA | str. 160
6. Podsumowanie | str. 167

CZĘŚĆ II

CYBERBEZPIECZEŃSTWO PAŃSTWA

ROZDZIAŁ III

EUROPEJSKI IbKRAJOWY SYSTEM CYBERBEZPIECZEŃSTWA | str. 175

1. Podstawy ustrojowe europejskiego cyberbezpieczeństwa | str. 175
2. Dyrektywa NIS | str. 179
3. Dyrektywa NIS 2 | str. 185
4. Organizacja krajowego systemu cyberbezpieczeństwa | str. 191

ROZDZIAŁ IV

OCHRONA INFRASTRUKTURY KRYTYCZNEJ WbCYBERPRZESTRZENI | str. 208

1. Zagrożenia i ryzyka | str. 208
2. Cztery kroki analizy i oceny sytuacji | str. 218

2.1.  Hiperboliczna mapa internetu | str. 218

2.2.  Model OSI | str. 220

2.3.  Matryca cyberbezpieczeństwa | str. 222

2.4.  Kompetencje | str. 225

2.5.  Cykl życia systemów | str. 228

1. Technologie kwantowe a nowe spojrzenie na problematykę cyberbezpieczeństwa | str. 228

3.1.  Komputer kwantowy – zagrożenie dla cyberbezpieczeństwa | str. 230

3.2.  Algorytm asymetryczny | str. 231

3.3.  Algorytmy symetryczne | str. 232

3.4.  Algorytmy hybrydowe | str. 233

3.5.  Kryptografia postkwantowa i kwantowa | str. 235

1. Podsumowanie | str. 239

ROZDZIAŁ V

CYBERBEZPIECZEŃSTWO WbŁĄCZNOŚCI ELEKTRONICZNEJ | str. 241

1. Uwagi wprowadzające | str. 241
2. Wielopłaszczyznowość problematyki ochrony łączności elektronicznej | str. 244
3. Ochrona łączności elektronicznej w prawie Unii Europejskiej | str. 246

3.1.  Podstawowe regulacje | str. 246

3.2.  Zagadnienia węzłowe prawa łączności elektronicznej | str. 254

3.2.1.  Poufność transmisji | str. 254

3.2.2.  Bezpieczeństwo sieci i usług | str. 257

3.2.3.  Ochrona przed niezamówionymi informacjami handlowymi i spamem | str. 259

1. Płaszczyzna przepisów krajowych | str. 261
2. Oczekiwane kierunki zmian w prawodawstwie | str. 266

ROZDZIAŁ VI

CYBERBEZPIECZEŃSTWO IbCYBERAKTYWNOŚĆ MILITARNA | str. 268

1. Geneza i istota zjawiska | str. 268
2. Współczesne rozumienie cyberbezpieczeństwa w naukach społecznych | str. 270
3. Ewolucja wojskowego myślenia o cyberbezpieczeństwie i cyberoperacjach militarnych | str. 275

3.1.  Stany Zjednoczone | str. 275

3.2.  NATO | str. 282

1. Współczesne koncepcje doktrynalne cyberwalki – wybrane przykłady | str. 284

4.1.  Militarne operacje w cyberprzestrzeni i poprzez cyberprzestrzeń | str. 287

4.2.  Bezpieczeństwo sieci informacyjnych nienależących do Departamentu Obrony | str. 289

1. Kognitywna sfera cyberzagrożeń | str. 290

5.1.  Rosyjskie poglądy na wojnę informacyjną | str. 290

5.2.  Chińskie poglądy na walkę informacyjną | str. 293

5.3.  Walka w sferze poznawczej (Cognitive Warfare) | str. 297

1. Przyszłość | str. 299

CZĘŚĆ III

CYBERBEZPIECZEŃSTWO WbPRAWIEbGOSPODARCZYM

ROZDZIAŁ VII

PROWADZENIE DZIAŁALNOŚCI GOSPODARCZEJ WbCYBERPRZESTRZENI | str. 305

1. Wstęp | str. 305

1.1.  Pojęcie prawa gospodarczego | str. 305

1.2.  Zasady i źródła prawa gospodarczego | str. 307

1.3.  Prawo gospodarcze a cyberprzestrzeń i cyberbezpieczeństwo | str. 308

1. Prawo gospodarcze a prawo autorskie | str. 309

2.1.  Podstawowe informacje | str. 309

2.2.  Prawo autorskie w internecie | str. 311

2.3.  Odpowiedzialność cywilna za naruszenie praw autorskich | str. 314

2.4.  Uwagi końcowe | str. 316

1. Zawieranie umów a cyberprzestrzeń | str. 317

3.1.  Zagadnienia ogólne | str. 317

3.2.  Oświadczenia woli | str. 319

3.3.  Formy czynności prawnych | str. 322

3.4.  Sposób i okoliczności zawarcia umowy | str. 328

1. Wybrane umowy związane z cyberprzestrzenią i cyberbezpieczeństwem | str. 333

4.1.  Wprowadzenie | str. 333

4.2.  Umowa licencyjna | str. 334

4.3.  Umowa o świadczenie usług drogą elektroniczną | str. 341

4.4.  Umowa o rejestrację domeny internetowej | str. 345

4.5.  Umowa sprzedaży przez internet | str. 349

4.6.  Umowa o świadczenie usług telekomunikacyjnych | str. 352

ROZDZIAŁ VIII

CYBERBEZPIECZEŃSTWO ZbPERSPEKTYWY PRZEDSIĘBIORCY | str. 356

1. Uwagi wprowadzające | str. 356
2. Źródła wymagań w obszarze cyberbezpieczeństwa | str. 359
3. Model zarządzania bezpieczeństwem IT według normy ISO/IEC 27001 | str. 362

3.1.  Historia standaryzacji w obszarze systemów zarządzania bezpieczeństwem

informacji | str. 362

3.2.  Rodzina norm ISO/IEC 27000 | str. 363

3.3.  Ramowy model SZBI | str. 364

3.4.  Procesowe zarządzanie bezpieczeństwem (PDCA) | str. 366

3.5.  Katalog zabezpieczeń | str. 368

1. Model zarządzania cyberbezpieczeństwem według normy ISO/IEC 27032 | str. 369
2. Inne schematy zarządzania cyberbezpieczeństwem | str. 372

5.1.  Wytyczne i rekomendacje instytucji Unii Europejskiej (ENISA) | str. 373

5.2.  Wytyczne i rekomendacje publikowane w Stanach Zjednoczonych | str. 375

1. Podsumowanie | str. 378

ROZDZIAŁ IX

ZARZĄDZANIE RYZYKIEM WbCELU ZAGWARANTOWANIA

CYBERBEZPIECZEŃSTWA | str. 379

1. Wprowadzenie | str. 379
2. Terminologia i spektrum zarządzania ryzykiem IT | str. 380
3. Modelowanie zarządzania ryzykiem IT | str. 383

3.1.  Ramowa struktura zarządzania ryzykiem IT | str. 383

3.2.  Rejestr ryzyka | str. 386

3.3.  Kontekst | str. 386

3.4.  Opis modelu Bow-Tie | str. 387

3.5.  Koncepcja oceny ryzyka | str. 387

3.6.  Zdarzenia ryzyka i krajobraz zagrożeń | str. 390

3.7.  Konsekwencje | str. 391

3.8.  Środki kontroli | str. 392

3.9.  Ocena ryzyka wrodzonego i rezydualnego | str. 392

3.10.  Plany postępowania z ryzykiem | str. 393

1. Podsumowanie | str. 393

ROZDZIAŁ X

CYBERBEZPIECZEŃSTWO WbUSŁUGACHbPŁATNICZYCH | str. 394

1. Wstęp – znaczenie bezpieczeństwa w świadczeniu usług płatniczych | str. 394
2. Model odpowiedzialności dostawcy usług płatniczych i użytkownika

za nieautoryzowane transakcje płatnicze | str. 400

1. Zarządzanie ryzykami operacyjnymi i ryzykami dla bezpieczeństwa

w wytycznych Europejskiego Urzędu Nadzoru Bankowego i rekomendacji

Komisji Nadzoru Finansowego | str. 402

1. Bezpieczeństwo świadczenia usług płatniczych w ustawie o usługach płatniczych | str. 404
2. Model zgłaszania incydentów | str. 404
3. Silne uwierzytelnienie klienta | str. 405

6.1.  Wyłączenia względem stosowania silnego uwierzytelnienia klienta | str. 408

6.2.  Analiza ryzyka transakcji | str. 409

6.3.  Płatności zbliżeniowe | str. 410

6.4.  Opłaty za transport i parking | str. 410

6.5.  Zaufani odbiorcy płatności i transakcje powtarzające się | str. 410

6.6.  Transakcje o niskiej wartości | str. 411

6.7.  Wyłączenia dla usługi dostępu do informacji na rachunku płatniczym | str. 411

6.8.  Monitoring transakcji | str. 411

1. Poufność i integralność indywidualnych danych uwierzytelniających użytkowników

usług płatniczych | str. 412

1. Wymogi dotyczące powszechnej i bezpiecznej komunikacji | str. 414
2. Rozporządzenie DORA – nowe, horyzontalne podejście do cyberbezpieczeństwa

w sektorze finansowym | str. 417

9.1.  Wstęp | str. 417

9.2.  Zakres przedmiotowy i podmiotowy rozporządzenia DORA | str. 419

9.3.  Zarządzanie ryzykiem związanym z ICT | str. 420

9.4.  Strategia operacyjnej odporności cyfrowej | str. 425

9.5.  Zarządzanie incydentami związanymi z ICT, ich klasyfikacja i zgłaszanie | str. 426

9.5.1.  Klasyfikacja incydentów | str. 428

9.5.2.  Zgłaszanie incydentów | str. 428

9.6.  Testowanie operacyjnej odporności cyfrowej | str. 429

9.7.  Zarządzanie ryzykiem ze strony zewnętrznych dostawców usług ICT | str. 431

ROZDZIAŁ XI

CYBERBEZPIECZEŃSTWO WbPRAWIE WŁASNOŚCI INTELEKTUALNEJ | str. 433

1. Wprowadzenie | str. 433
2. Pojęcie własności intelektualnej | str. 433
3. Prawo autorskie i prawa pokrewne | str. 435

3.1.  Prawo autorskie | str. 435

3.1.1.  Programy komputerowe | str. 437

3.2.  Prawa pokrewne | str. 438

1. Prawo własności przemysłowej | str. 438

4.1.  Prawo patentowe | str. 438

4.2.  Prawo wzorów użytkowych | str. 439

4.3.  Prawo wzorów przemysłowych | str. 439

4.4.  Prawo znaków towarowych | str. 439

4.5.  Ochrona oznaczeń geograficznych | str. 440

4.6.  Ochrona topografii układów scalonych | str. 440

4.7.  Ochrona baz danych | str. 440

1. Prawo ochrony konkurencji | str. 441
2. Kwestia cyberbezpieczeństwa w odniesieniu do praw własności intelektualnej | str. 441

6.1.  Cyberbezpieczeństwo na poziomie krajowym | str. 441

6.2.  Cyberbezpieczeństwo w sektorze prywatnym | str. 443

6.3.  Cyberbezpieczeństwo a użytkownik końcowy | str. 445

1. Wybrane problemy własności intelektualnej w aspekcie cyberbezpieczeństwa | str. 446

7.1.  Cyberbezpieczeństwo programów komputerowych | str. 446

7.2.  Internet rzeczy | str. 447

7.3.  Uczenie maszynowe | str. 449

7.4.  Chmura obliczeniowa | str. 451

CZĘŚĆ IV

CYBERBEZPIECZEŃSTWO AbOBYWATEL

ROZDZIAŁ XII

OCHRONA DANYCH OSOBOWYCH | str. 455

1. Wprowadzenie | str. 455
2. Rys historyczny | str. 455
3. Rozporządzenie ogólne o ochronie danych osobowych (RODO) | str. 457
4. Zakres przedmiotowy i podmiotowy RODO | str. 458
5. Zasady dotyczące przetwarzania danych osobowych | str. 466
6. Podstawy prawne przetwarzania | str. 470
7. Bezpieczeństwo danych osobowych | str. 477
8. Przejrzyste informowanie osób, których dane dotyczą | str. 480
9. Prawa osób, których dane dotyczą | str. 484
10. Organ nadzorczy | str. 492
11. Administracyjne kary pieniężne | str. 493
12. Pozostałe kwestie | str. 494
13. Przepisy krajowe o ochronie danych osobowych | str. 495
14. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680

(tzw. dyrektywa policyjna) | str. 501

ROZDZIAŁ XIII

PRAWNA OCHRONA DZIECI IbMŁODZIEŻY WbCYBERPRZESTRZENI

ZEbSZCZEGÓLNYM UWZGLĘDNIENIEM OCHRONY

PRZEDbTREŚCIAMIbPORNOGRAFICZNYMI | str. 502

1. Wstęp | str. 502
2. Podstawowe zagrożenia | str. 503
3. Zagrożenie dzieci i młodzieży dostępem do pornografii w cyberprzestrzeni | str. 505
4. Stan prawny dotyczący zagrożeń dzieci w cyberprzestrzeni w odniesieniu

do innych zagrożeń niż dostęp do treści pornograficznych | str. 507

1. Prawna ochrona dzieci przed dostępem do pornografii | str. 511
2. Podsumowanie | str. 515

CZĘŚĆ V

CYBERPRZESTĘPCZOŚĆ

ROZDZIAŁ XIV

KARNOPRAWNE RAMY ODPOWIEDZIALNOŚCI ZA PRZESTĘPSTWA

POPEŁNIANE WbCYBERPRZESTRZENI | str. 519

1. Uwagi wprowadzające | str. 519
2. Przestępstwa stricte komputerowe | str. 521

2.1.  Nieautoryzowany dostęp do systemu komputerowego (hacking) | str. 521

2.2.  Nielegalny podsłuch komputerowy (naruszenie tajemnicy komunikacji) | str. 524

2.3.  Naruszenie integralności danych komputerowych | str. 525

2.4.  Naruszenie integralności systemu komputerowego | str. 527

1. Przestępstwa związane z wykorzystaniem sieci i systemów teleinformatycznych

oraz nowych technologii | str. 529

1. Przestępstwa popełnione z wykorzystaniem komputera i sieci teleinformatycznych | str. 532
2. Przestępstwa z wykorzystaniem komputerów skierowane przeciwko wolności

seksualnej popełnione na szkodę małoletniego | str. 535

1. Przestępstwa przeciwko czci | str. 537

ROZDZIAŁ XV

PRZESTĘPSTWA WbCYBERPRZESTRZENIb– PROBLEMATYKA

KARNA IbŚLEDCZA | str. 540

1. Uwagi wprowadzające | str. 540
2. Dowód cyfrowy – pojęcie i klasyfikacja | str. 541
3. Dowód cyfrowy a prawo dowodowe | str. 544
4. Miejsce popełnienia przestępstwa w świecie wirtualnym | str. 548
5. Karnoprocesowa problematyka dowodzenia znamion przestępstw komputerowych | str. 552
6. Kryminalistyka cyfrowa – płaszczyzny i problemy | str. 555
7. Dowody z urządzeń mobilnych | str. 556
8. Kryptowaluty – ocena wpływu na płaszczyzny przestępczej działalności | str. 561

BIBLIOGRAFIA | str. 563

AUTORZY | str. 581