Základná terminológia
Existuje niekoľko pojmov, ktorých znalosť je nevyhnutná pre správne pochopenie vzťahov v rámci informačnej bezpečnosti. V tomto dokumente uvádzame výber takýchto pojmov, ako doplnok k pojmom, ktoré sú už vysvetlené v rámci ďalších tém tohto kurzu.
Poznámka: slová zvýraznené modrou farbou sú ďalšie pojmy vysvetlené v rámci dokumentu.
Aktívum (asset)
Označuje všetko, čo má pre nás nejakú hodnotu, a teda vyžaduje ochranu. Príkladom aktíva je počítač, osobné údaje, dôležité interné dokumenty, zamestnanci a pod. Cieľom informačnej bezpečnosti je zabezpečiť aktíva informačných systémov, spoločností a pod.
Aktualizačný balík (Service pack)
Súhrn (balík) viacerých aktualizácií, ktoré sa dajú inštalovať naraz.
Algoritmus
Postupnosť krokov, ktoré vedú k vyriešeniu daného problému/úlohy. (napr. aj recept na koláč je algoritmus).
Antivírus/Antivírusový program
Program, ktorý vykonáva jednu alebo viacero z nasledujúcich funkcií: vyhľadávanie malvéru (pomocou jednej alebo viacerých rôznych techník,
často s možnosťou ich výberu alebo nastavenia režimu vyhľadávania), liečenie infikovaných súborov, zálohovanie a obnova systémových oblastí na disku, ukladanie kontrolných informácií o súboroch na disku, poskytovanie informácií o vírusoch atď.
Autentifikácia
Proces overovania identity užívateľa.
Autentifikačné/Prihlasovacie údaje (Credentials)
Údaje, ktoré sa prenášajú na určenie deklarovanej identity daného subjektu. Inými slovami sú to údaje, ktoré slúžia na overenie toho, že je niekto naozaj tým, za koho sa vydáva.
Autorizácia (Authorization)
Udeľovanie práv, ktoré zahŕňa udeľovanie prístupu na základe prístupových práv subjektu. Udelenie prístupu je potrebné na vykonávanie určitých činností v informačnom systéme alebo prístupu k dátam. Dochádza k nemu po úspešnej autentifikácii.
Bezpečnostný incident
Udalosť, ktorá ohrozuje alebo potenciálne ohrozuje dôvernosť, integritu alebo dostupnosť informačného systému alebo informácií, ktoré systém spracováva, uchováva alebo prenáša, alebo ktorá predstavuje porušenie alebo bezprostrednú hrozbu porušenia bezpečnostných politík, bezpečnostných smerníc alebo štandardných bezpečnostných prevádzkových pravidiel.
Kontakty na nahlásenie bezpečnostného incidentu na UPJŠ sú zverejnené na oficiálnej stránke csirt.upjs.sk.
Biometrický
Vzťahuje sa na používanie špecifických atribútov, ktoré odrážajú jedinečné biofyziologické charakteristiky, ako je odtlačok prsta alebo odtlačok hlasu, na overenie totožnosti osoby.
Bod obnovy dát (Recovery point objective (RPO))
Bod v čase, do ktorého sa musia obnoviť údaje po poruche.
Botnet (Sieť ovládaných zariadení)
Sieť infikovaných počítačov ovládaná jedným zariadením, ktoré má prístup k ich výpočtovému výkonu. Umožňuje rozsiahlu nezákonnú činnosť – najmä útoky DDoS a rozosielanie nevyžiadanej pošty.
CAPTCHA
Počítačový program alebo systém určený na rozlíšenie ľudského vstupu od strojového, zvyčajne ako spôsob, ako zabrániť spamu a automatickému získavaniu údajov z webových stránok.
Certifikačná autorita
V oblasti počítačovej bezpečnosti je to tretia strana, ktorá vydáva digitálne certifikáty a využíva svoju autoritu na potvrdenie pravosti údajov, ktoré existujú vo voľne prístupnej časti certifikátu.
Certifikácia
V počítačovej bezpečnosti proces, ktorým tretia strana poskytuje záruku, že celý systém spracovania údajov alebo jeho časť spĺňa bezpečnostné požiadavky. Proces overovania spôsobilosti komunikačných and informačných systémov na prácu s utajovanými skutočnosťami,
schvaľovania tejto spôsobilosti a vydávania certifikátu.
Cookie
Údaje, ktoré môže webová aplikácia uložiť v počítači prihláseného užívateľa. Prehliadač potom tieto údaje automaticky odošle aplikácii pri každom budúcom prístupe. Súbor cookie sa dnes najčastejšie používa na rozpoznanie používateľa, ktorý už predtým navštívil aplikáciu, alebo na uloženie používateľských nastavení pre web. Dnes sa o nich často hovorí v súvislosti so sledovaním pohybu a návykov používateľa na niektorých webových stránkach.
Creative commons (CC)
Nezisková organizácia so sídlom v Mountain View v Kalifornii v Spojených štátoch amerických, ktorá sa venuje rozširovaniu škály kreatívnych diel, ktoré sú k dispozícii ostatným na legálne vytváranie a zdieľanie. Organizácia uvoľnila niekoľko autorských práv – licencií známych ako licencie Creative commons, ktoré sú pre verejnosť bezplatné.
Dark web (z ang.)
Ide o časť internetu, ktorú bežné vyhľadávače (napr. Google) nevidia. Poskytuje väčšiu anonymitu, a preto sa využíva na rôzne účely – od ochrany súkromia až po nelegálne aktivity, ako sú predaj drog, prihlasovacích údajov, či objednávka hekerských služieb.
Databáza
Súbor štruktúrovaných údajov, ktoré opisujú vlastnosti údajov a vzťahy medzi zodpovedajúcimi entitami (záznamami).
Dátové centrum
Dátové centrum je zariadenie používané na umiestnenie počítačových systémov a súvisiacich komponentov, ako sú telekomunikačné a úložné systémy. Vo všeobecnosti zahŕňa redundantné alebo záložné zdroje napájania, redundantné dátové komunikačné spojenia, riadenie prostredia (napr. klimatizácia, hasenie požiarov) a rôzne bezpečnostné zariadenia.
Doménove meno (Domain name)
Názov na identifikáciu počítača, zariadenia alebo služby v sieti (vrátane internetu). Často sa používa iba skrátený pojem doména. Príklad názvu domény: www.abcdefgh.sk.
Dopad
Dôsledky určitého činu alebo udalosti. V kybernetickej bezpečnosti dopad hovorí o tom ako kybernetický útok alebo incident môže ovplyvniť bezpečnosť informácií alebo systémov. Napríklad úspešný útok môže viesť k kompromitácii citlivých údajov alebo oslabeniu celkovej kybernetickej obrany.
Dostupnosť (Availability)
Vlastnosť byť prístupný a použiteľný na požiadanie oprávneného subjektu.
Dôvernosť (Confidentiality)
Vlastnosť, že informácie nie sú prístupné alebo sprístupnené neoprávneným osobám, subjektom alebo procesom.
EDR (z angl. Endpoint Detection and Response)
Bezpečnostná technológia, ktorá monitoruje, deteguje a reaguje na hrozby na koncových zariadeniach (napr. počítače, servery) v reálnom čase. Na rozdiel od bežného antivírusu, EDR analyzuje aj neznáme a pokročilé útoky a umožňuje rýchlu reakciu na bezpečnostné incidenty.
Elektronická pošta (E-mail)
Ide o formu digitálnej komunikácie, ktorá umožňuje odosielanie a prijímanie správ prostredníctvom počítačových sietí, najčastejšie internetu.
End-to-end šifrovanie
Ide o ochranu obsahu vašej komunikácie tým, že sa správy zašifrujú priamo na vašom zariadení a môžu byť dešifrované len prijímateľom – nikto iný, ani poskytovateľ služby, k nim nemá prístup.
Exploitácia
Proces zneužitia zraniteľnosti.
Firewall
Komplexný systém bezpečnostných opatrení, ktoré by mali zabrániť neoprávnenému elektronickému prístupu k počítaču alebo konkrétnym službám v sieti. Taktiež systém zariadení alebo súbor zariadení, ktoré by mohli byť nakonfigurované tak, aby na základe súboru pravidiel a iných kritérií povoľovali, zakazovali, šifrovali, dešifrovali alebo pôsobili ako sprostredkovateľ (proxy) pre všetku počítačovú komunikáciu medzi rôznymi bezpečnostnými doménami. Firewall môže byť implementovaný ako hardvér alebo softvér, prípadne ako kombinácia oboch.
Forenzná analýza/vyšetrovanie
Analýza digitálnych údajov na získanie dôkazov o aktivitách užívateľov (útočníkov) v oblasti informačných a komunikačných technológií.
Hardvér
Fyzické komponenty systému (zariadenia) alebo časti systému (napr. počítač, tlačiareň, periférne zariadenie)
Hašovacie funkcie
Ide o jednosmernú matematickú transformáciu vstupných údajov (textu) na súbor (odtlačok prsta, hash). Z výpočtového hľadiska je prakticky nereálne získať pôvodné údaje späť z vráteného hashu. Táto funkcia sa používa v aplikáciách zabezpečenia údajov (napr. autentifikácia, digitálny podpis, kontrola integrity).
Heker
Pojem heker sa mnohokrát stotožňuje s pojmom útočník. V skutočnosti je hacker jedna z kategórií útočníkov, ktorá má dostatočné znalosti, schopnosti a nástroje na vykonanie útoku.
Hektivisti
Sú podobní hekerom. Odlišujú sa však špecifickými cieľmi ich útokov. Napríklad ochranou životného prostredia, ochranou kryptomien a pod.
Honeypot (z angl.)
Honeypot predstavuje pascu na útočníkov. Ide o falošný systém alebo sieť, ktorá sa tvári ako skutočný cieľ. Môže existovať vo vnútri skutočnej počítačovej siete alebo izolovane mimo nej. Honeypot môže obsahovať zraniteľnosti, ktoré sa zdajú byť atraktívnymi pre útočníkov. V skutočnosti sú všetky aktivity na tejto sieti sledované a zaznamenávané.
Hrozba (threat)
Hrozba predstavuje potenciálnu príčinu nežiaduceho incidentu, ktorý môže narušiť bezpečnosť systému alebo organizácie a spôsobiť škodu. Ide o akýkoľvek faktor schopný pôsobiť proti aktívu takým spôsobom, že ho môže poškodiť. Príklady hrozieb zahŕňajú požiar, škodlivý kód, únik údajov, zničenie dokumentácie, phishing, spam a ďalšie bezpečnostné riziká.
Identifikácia
Úkon alebo proces, ktorým subjekt predstavuje identifikátor systému, aby na základe ktorého môže systém rozpoznať entitu a odlíšiť ju od iných entít.
Identita
Súbor charakteristík, ktoré jednoznačne identifikujú konkrétny objekt – vec, osobu, udalosť.
Incident
V prostredí IKT (Informačných a Komunikačných Technológiách) je incident udalosť, ktorá je zvyčajne spojená s poruchou siete alebo služby alebo zhoršením ich kvality.
Informácia
Akékoľvek znakové vyjadrenie, ktoré má pre komunikátora a prijímateľa zmysel.
Informačné a komunikačné technológie (IKT)
Pod informačnými a komunikačnými technológiami rozumieme všetky technológie zaoberajúce sa spracovaním a prenosom informácií, najmä počítačové a komunikačné technológie a softvér.
Informačný systém
Funkčný celok umožňujúci cieľavedomé a systematické získavanie informácií, spracovanie, ukladanie a prístup k informáciám a údajom. Zahŕňa údaje a zdroje informácií, médiá, hardvér, softvér a nástroje, technológie a postupy, súvisiace normy a zamestnancov.
Infraštruktúra verejných kľúčov (PKI)
V kryptografii týmto označujeme infraštruktúru na správu a distribúciu verejných kľúčov z asymetrickej kryptografie. PKI vďaka prenosu dôvery umožňuje používať neznáme verejné kľúče na overovanie elektronického podpisu bez toho, aby sa musel overovať každý z nich osobitne. Prenos dôvery sa môže realizovať buď prostredníctvom certifikačnej autority alebo prostredníctvom dôveryhodnej siete (napr. PGP).
Insider (z angl.)
Kategória útočníkov, ktorým je samotný používateľ vo vnútri organizácie.
Integrita
Ochrana pred nesprávnou modifikáciou alebo zničením informácií, ktorá zahŕňa zabezpečenie nepopierateľnosti, úplnosti, presnosti a pravosti informácií.
IP adresa (Internet Protocol Address)
Jedinečný číselný identifikátor, ktorý sa priradzuje každému zariadeniu pripojenému k počítačovej sieti, ktorá používa internetový protokol na komunikáciu. IP adresa umožňuje jednoznačné určiť umiestnenie a identitu zariadenia v rámci počítačovej siete.
IP spoofing (z angl.)
Podvrhnutie zdrojovej IP adresy zariadenia (počítača), ktoré iniciuje pripojenie (s príjemcom) s cieľom utajiť skutočného odosielateľa. Táto technika sa používa predovšetkým pri útokoch DoS.
Kompromitácia
Narušenie bezpečnosti informácií, ktoré môže viesť k poškodeniu programu alebo údajov, ich modifikáciu, zničenie alebo sprístupnenie neoprávneným subjektom.
Komunikačný systém
Systém, ktorý zabezpečuje prenos informácií medzi koncovými používateľmi. Zahŕňa koncové komunikačné zariadenia, prenosové prostredie, správu systému, manipuláciu zo strany personálu a prevádzkové podmienky a postupy.
Kritická infraštruktúra
Systémy a služby, ktorých nefunkčnosť alebo nesprávna funkčnosť by mala vážny dopad na bezpečnosť štátu, jeho ekonomiku, verejnú správu a v konečnom dôsledku na zabezpečenie základných každodenných potrieb obyvateľstva.
Kryptografia
Veda o šifrovaní – disciplína, ktorá zahŕňa princípy, prostriedky a metódy transformácie údajov s cieľom skryť ich sémantický obsah, zabrániť ich neoprávnenému použitiu alebo zabrániť ich nezistenej modifikácii.
Kybernetická bezpečnosť
Súbor právnych, organizačných, technologických a vzdelávacích prostriedkov zameraných na zabezpečenie ochrany kybernetického priestoru.
Cybercriminality
Trestná činnosť, v ktorej sa určitým spôsobom objavuje počítač ako súhrn technického a programového vybavenia (vrátane údajov) ako predmet záujmu tejto trestnej činnosti (s výnimkou takejto trestnej činnosti ktorých predmetom sú opísané zariadenia považované za nehnuteľný majetok) alebo ako prostredie (objekt) alebo ako nástroj trestnej činnosti.
Kybernetická vojna
Používanie počítačov a internetu na vedenie vojny v kybernetickom priestore. Systém rozsiahlych, často politicky motivovaných, súvisiacich a vzájomne vyprovokovaných organizovaných kybernetických útokov a protiútokov.
Kybernetický priestor
Digitálne prostredie umožňujúce vznik, spracovanie a výmenu informácií, tvorené informačnými systémami a službami a sieťami elektronických komunikácií.
Kybernetický útok
Útok na IT infraštruktúru s cieľom spôsobiť škodu a získať citlivé alebo strategicky dôležité informácie. Najčastejšie sa používa v kontexte politicky alebo vojensky motivovaných útokov.
Licencia
Povolenie a tiež dokument, ktorý toto povolenie zaznamenáva.
Malvér
Toto je všeobecný názov pre škodlivé programy. Škodlivý softvér zahŕňa počítačové vírusy, trójske kone, červy, spyware a pod.
Monitorovanie
Určenie stavu systému, procesu alebo činnosti. Na určenie stavu môže byť potrebná kontrola, dohľad alebo kritické pozorovanie.
Národná autorita
Štátny orgán zodpovedný za otázky kybernetickej bezpečnosti.
Nepopierateľnosť
Schopnosť preukázať výskyt deklarovanej udalosti alebo činnosti a jej pôvodcov.
Obnovenie údajov/obnova údajov
Akt obnovy alebo znovuzískania údajov, ktoré boli stratené alebo bola narušená ich integrita. Metódy zahŕňajú kopírovanie údajov z archívu, rekonštrukciu údajov zo zdrojových údajov alebo obnovu údajov z alternatívnych zdrojov.
Odmietnutie služby – Denial of Service (DoS)
Typ útoku, ktorý preťaží internetovú službu alebo systém nadmerným počtom požiadaviek, čo vedie k jeho spomaleniu, výpadku alebo nedostupnosti pre bežných používateľov. Pojem DDoS (Distributed Denial of Service) označuje formu DoS, pri ktorej útok pochádza z viacerých zdrojov súčasne.
Ohodnocovanie rizík
Proces porovnávania výsledkov analýzy rizík s kritériami rizík s cieľom určiť či je riziko a/alebo jeho veľkosť prijateľné alebo tolerovateľné.
Ohodnocovanie zraniteľností
Proces identifikácie, kvantifikácie a stanovenia priorít (alebo poradia) zraniteľností v systéme.
Operačný systém (OS)
Softvér, ktorý riadi vykonávanie programov a ktorý môže ponúkať rôzne služby, napr. prideľovanie zariadení, plánovanie, riadenie vstupov a výstupov a správu údajov. Príkladom operačných systémov je systém Microsoft Windows, MS DOS, LINUX, UNIX, Solaris a iné.
Penetračné testovanie
Ide o proces, pri ktorom sa simulujú reálne kybernetické útoky s cieľom identifikovať zraniteľnosti v systémoch, aplikáciách alebo sieťach. Cieľom je overiť úroveň zabezpečenia, odhaliť slabé miesta a poskytnúť odporúčania na ich odstránenie.
Počítačová bezpečnosť
Odvetvie informatiky zamerané na ochranu počítačových systémov, sietí, údajov a digitálnych zariadení pred neoprávneným prístupom, zneužitím, poškodením alebo odcudzením. Zahŕňa technológie a procesy, ktoré chránia digitálne aktíva a zabezpečujú dôvernosť, integritu and dostupnosť informácií.
Poskytovateľ služby
Každá fyzická alebo právnická osoba, ktorá poskytuje niektoré z informačných služieb spoločnosti.
Prienik
Neoprávnený prístup do počítačového systému, siete alebo služby.
Princíp nulovej dôvery (Zero Trust)
Ide o bezpečnostný model, ktorý vychádza z predpokladu, že žiadna osoba ani zariadenie by nemalo byť automaticky dôveryhodné. Každé
pripojenie sa považuje za nedôveryhodné, kým sa neoverí. V rámci tohoto princípu sa implementuje napríklad dôsledné overovanie identity, či obmedzenie prístupu všetkých používateľov na nevyhnutné minimum.
Prístupové právo
Povolenie subjektu na prístup ku konkrétnemu objektu pre konkrétny typ operácie.
Protiopatrenie (Countermeasure)
Akákoľvek činnosť (napr. školenie), technológia (napr. firewall), či proces (napr. riadenie prístupu), ktorý čiastočne alebo úplne chráni aktíva alebo časť aktív pred pôsobením konkrétnej hrozby, resp. konkrétnych hrozieb.
Riadenie prístupu
Je to súbor politík, procesov a technológií, ktoré zabezpečujú, že iba oprávnené osoby alebo systémy majú obmedzený a kontrolovaný prístup k informačným aktívam (napr. dátam, aplikáciám, systémom) na základe obchodných a bezpečnostných požiadaviek.
Riziko
Pravdepodobnosť, s akou bude daná hodnota (aktívum) zničená alebo poškodená (dopad) pôsobením konkrétnej bezpečnostnej hrozby, ktorá pôsobí na slabú stránku tejto hodnoty, sa nazýva riziko. Príkladom v prípade útoku – phishingovej kampane – je pravdepodobnosť prezradenia prístupových údajov zamestnancov do systémov organizácie (napr. do emailového účtu).
Rola
Súhrn špecifikovaných činností a potrebných povolení pre subjekt pôsobiaci v informačnom alebo komunikačnom systéme.
SIEM (z angl. Security Information and Event Management)
SIEM je bezpečnostný nástroj, ktorý centralizovane zhromažďuje, analyzuje a vyhodnocuje dáta z rôznych IT systémov v reálnom čase. Umožňuje detekciu hrozieb a poskytuje prehľad o bezpečnostných udalostiach na jednom mieste.
Sieť
Množina počítačových terminálov (pracovných staníc) a serverov, ktoré sú prepojené, aby si mohli vzájomne vymieňať údaje a aby mohli navzájom komunikovať.
Skript
Súbor inštrukcií napísaných v určitom formálnom jazyku, ktoré riadia činnosť zariadenia, programu alebo systému.
Skript kiddies (z angl.)
Osoby, ktoré nie sú skúsení hekeri. Na škodlivú činnosť používajú nástroje dostupné na internete bez ich hlbšieho pochopenia.
SOC (Security Operations Center) tím
Ide o tím, ktorý nepretržite (24/7) monitoruje, deteguje a analyzuje kybernetické hrozby a podozrivé aktivity v organizácii. Jeho hlavnou úlohou je prevencia, včasná detekcia a rýchla reakcia na bezpečnostné udalosti. Závažnejšie incidenty typicky delegujú na iných odborníkov (CSIRT).
Softvér (programové vybavenie)
Súbor programov používaných v počítači, ktoré vykonávajú spracovanie údajov, alebo špecifické úlohy.
Spam
Nevyžiadaná pošta, ako sú reklamy alebo iné nevyžiadané správy, zvyčajne komerčného charakteru, ktorá sa šíri na internete.
Subjekt
V počítačovej bezpečnosti je to aktívna entita, ktorá môže pristupovať k objektom.
Súbor logov
Súbor obsahujúci informácie o aktivitách subjektov v systéme. Prístup k tomuto súboru je kontrolovaný.
Súborový systém
Metóda organizovania a ukladania údajov vo forme súborov, aby sa k nim dalo jednoducho pristupovať.
Systémový administrátor
Osoba zodpovedná za správu a údržbu počítačového systému.
Tím na riešenie počítačových bezpečnostných incidentov (Computer security incident response team - CSIRT)
CSIRT je tím odborníkov na informačnú bezpečnosť, ktorý deteguje, analyzuje a rieši bezpečnostné incidenty a pomáha pri obnove systémov. Okrem reaktívnych služieb poskytuje aj prevenciu a vzdelávanie, informuje o zraniteľnostiach a navrhuje opatrenia na ich odstránenie.
Tím na riešenie počítačových pohotovostných služieb (Computer emergency response team - CERT)
CERT sa zameriava na rýchlu reakciu na kritické kybernetické incidenty a krízové situácie. Hoci sa používa ako synonymum pre CSIRT, jeho hlavným cieľom je urgentné riešenie rozsiahlych hrozieb a poskytovanie varovaní o nových útokoch.
Udalosť
Výskyt alebo zmena určitej skupiny okolností.
URL adresa
Adresa webovej stránky.
Útočník
Jednotlivec, skupina, organizácia alebo vláda, ktorá vedie alebo má v úmysle vykonávať škodlivé činnosti.
Útok
Ide o úmyselné alebo neúmyselné využitie zraniteľnosti s cieľom spôsobiť škodu, stratu alebo narušenie aktív (napr. dát, systémov alebo služieb). Zahŕňa akékoľvek škodlivé aktivity, ktoré sa pokúšajú zhromažďovať, narušovať, degradovať, zničiť alebo odmietať prístup k informačným systémom a ich zdrojom.
Užívateľ (alebo používateľ)
Každá fyzická alebo právnická osoba, ktorá využíva službu informačnej spoločnosti s cieľom vyhľadávať informácie alebo k nim získavať prístup.
Vektor útoku (Attack vector)
Vektor útoku je spôsob alebo cesta, ktorou útočník využíva zraniteľnosť na prienik do systému, získanie neoprávneného prístupu alebo spôsobenie škody. Predstavuje metódu, akou je útok realizovaný. Napr. ak sa chce útočník dostať do interného systému spoločnosti, môže využiť rôzne vektory útoku ako phishingová kampaň, zneužitie zraniteľnosti softvéru, útok hrubou silou na uhádnutie prístupového hesla.
Zahltenie
Náhodné alebo úmyselné vloženie veľkého objemu údajov, ktoré má za následok odopretie služby.
Záplata (Patch)
Aktualizácia, ktorá opravuje bezpečnostný problém alebo nestabilné správanie aplikácie, rozširuje jej možnosti alebo zlepšuje jej výkon.
Zneužitie (Exploit)
Chyba alebo chyba v programe, softvéri, sekvencii príkazov alebo kóde umožňujúca používateľovi používať programy, počítače alebo systémy neočakávaným alebo neoprávneným spôsobom. Tiež bezpečnostná diera alebo prípad využívajúci bezpečnostnú dieru.
Zombie
Infikovaný počítač, ktorý je súčasťou siete ovládaných zariadení (botnet).
Zraniteľnosť
Je pojem používaný v riadení rizík pre označenie slabiny či nedostatku (aktíva). Zraniteľnosť umožňuje uplatnenie hrozby. Pri analýze rizík je zraniteľnosť vlastnosťou aktíva.