Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Aká je kyber-bezpečnostná doktrína EÚ?

V súčasnosti stále viac diskutovaná otázka kybernetickej bezpečnosti, ktorá trápi veľkých i malých hráčov v globálnom svete sa stáva stále akútnejšou. Kybernetickí útočníci sú mobilní, rýchli, často i profesionálni a nepatria medzi nich len organizované zločinecké skupiny, ale často štáty a dokonca aj zdanliví vzájomní spojenci. V tomto článku sa pozrieme na to, ako sa k tejto problematike stavia EÚ a postupne sa budeme venovať i konkrétnym veľkým kybernetickým incidentom, ktoré s EÚ súvisia.

Problematika je pre jeden článok príliš rozsiahlou, preto sa téme budeme venovať v niekoľkých častiach. Od zmapovania bezpečnostných opatrení, cez vízie až po konkrétne prípady zásadných kybernetických incidentov, akými boli Regin, údajné narušenie systému SWIFT zo strany NSA a s tým súvisiaca zmluva TFTP až po vízie a (ne)ochotu spolupráce jednotlivých členských krajín. Do európskej kybernetickej bezpečnosti sa žiaľ tlačí aj NATO, kde dochádza k určitým paradoxom a preto ho tiež nemožno opomenúť. Na úvod však nevyhnutný možno trocha monotónnejší stručný historický exkurz.

Kedy a ako sa to začalo? (História v skratke)

O proaktívnom prístupe ku kybernetickej bezpečnosti v EÚ žiaľ možno skôr snívať. Možno ide o silné konštatovanie hneď na úvod, ale realitu je potrebné pomenovať adresne a jasne a samozrejme je potrebné meniť ju k lepšiemu. EÚ od počiatku volí reaktívny prístup. V roku 2004 vznikla nariadením 460/2004 Európska agentúra pre bezpečnosť sietí a informácií (ENISA). Reálne je v prevádzke od augusta 2005 a hlavné sídlo má na ostrove Kréta. V súčasnosti existuje i jej väčšia pobočka v Aténach. Vznik tejto agentúry predstavuje zásadný míľnik. O podrobnostiach sa zmienime neskôr. ENISA však nemá priame výkonné právomoci a neslúži primárne ako centrum pre riadenie krízových situácií. Je skôr poradným, analytickým a konzultačným orgánom najmä pre Európsku komisiu, ale zásadne i pre lokálne CSIRTy. Jej mandát bol však najmä kvôli absencií centrálneho riadiaceho a koordinačného strediska viackrát zásadne posilnený.


obrazok
Logo agentúry ENISA. Zdroj: ENISA

V roku 2011 rada médií výslovne dezinterpretovala postavenie a úlohu EU CERTU. EU CERT bol novinármi chápaný ako centrálny koordinátor lokálnych CERT/CSIRT tímov. (Jedná sa o tímy, ktorých úlohou je predchádzať, reagovať a naprávať bezpečnostné incidenty, často sa venujú i výskumnej činnosti. Vytvárať a následne si ich nechať akreditovať môžu štátne inštitúcie, akademický i súkromný sektor.) No nie je tomu tak. Jeho príprava skutočne trvala neúmerne dlho, od návrhu v roku 2010, cez pilotnú fázu trvajúcu v roku 2011, až po zahájenie ostrej prevádzky v roku 2012. Dĺžku prípravy istotne ovplyvnila zainteresovanosť všetkých 3 kľúčových orgánov EÚ: Rady, Komisie i Parlamentu a kreovanie riadiacej komisie. Apropo EU CERT vznikal svojho času pod primárnym patronátom slovenského eurokomisára Maroša Šefčoviča. EU CERT teda nepredstavuje koordinátora štátnych CSIRT tímov, je len ich obdobou pre agentúry EÚ a so štátnymi CSIRT tímami zdieľa rovnocenné postavenie. Iná vec nastáva pri "ad hoc" prístupe napr. počas kybernetických cvičení organizovaných agentúrou ENISA, kedy je zvyčajne volený ako dočasný centrálny koordinátor. Podrobnosti neskôr.

V EÚ stále nepanuje spokojnosť medzi odbornou verejnosťou (samozrejme ani nemôže). Členské krajiny chcú podporu od EÚ pri riešení digitálneho zločinu a pri riešení problémov so sexuálnym obťažovaním skrz internet. V roku 2013 tak opäť za značenej pozornosti médií prichádza centrum Europol EC3. Koordinácia činností CSIRT tímov však v náplni práce logicky nie je. Čakáte vyšetrovacie/výkonné právomoci? Žiaľ mýlite sa, jedná sa len o "support" pre vyšetrovania členských štátov. Viac tiež neskôr.

Črtá sa prelomová smernica?

Koordinácia a najmä riadenie je stále problémom, do hry žiaľ stále viac vstupuje NATO. Platí i tu, že čo nejde v EÚ ide po zásahu USA? K tejto problematike sa vrátime v osobitej časti. Napriek cvičeniam, ktoré usporadúva agentúra ENISA, napriek jej samotnej existencii, čo predstavuje obrovský veľmi pozitívny prínos, stále nemáme funkčného centrálneho koordinátora pre prípad reálneho kybernetického útoku a skutočné miesto tzv. prvého kontaktu. Dnes jeho alternatívu v rámci EÚ preberá najmä ENISA a spravodajské zložky EÚ ako EU INTCEN (EU Intelligence Analysis Centre) a EUMS (EU Military Staff). Tento fakt konštatuje i ten najpovolanejší človek v európskej kybernetickej bezpečnosti - profesor Udo Helmbrecht, výkonný riaditeľ agentúry ENISA, v marci tohto roku na zasadaní výboru Európskeho parlamentu pre bezpečnosť a obranu - SEDE. Toto zasadanie bolo veľmi "pestré". Dozvedáme sa tu o tom, kde môže byť kameň úrazu celého procesu pomalého a zmätočného kreovania kybernetickej bezpečnosti EÚ... Tiež sa dozvedáme, že v EÚ rozhodne nie je nikto, kto by dokázal byť na tzv. horúcej linke, komisár, ktorého by v prípade masívneho útoku na siete EÚ "vytiahli z postele" a ktorý by mal i potrebné výkonné právomoci.


obrazok
Profesor Udo Helmbrecht - výkonný riaditeľ agentúry ENISA. (Zdroj: ENISA)

Niektorí ľudia hovoria o EÚ ako o obrovskej byrokratickej mašinérií, ktorá vydáva nariadenia, usmernenia apod. Lenže v oblasti kybernetickej bezpečnosti a bezpečnosti celkovo sa členské krajiny nechcú vzdať svojho lokálneho postavenia, nechcú príliš ochotne zdieľať s EÚ dáta strategicky dôležité pre centrálnu koordináciu a odmietajú často i zverejniť, aké presne majú obranné a útočné IT prostriedky. Dokonca paradoxne skôr v tomto smere spolupracujú ochotnejšie s NATO ako s EÚ. Tento fakt na zasadaní výboru SEDE komentoval Heli Tiirmaa-Klaar vedúci koordinácie kybernetickej politiky z Conflict Prevention and Security Policy Directorate. Veľmi často je i samotná úroveň IT infraštruktúry a ich organizácie IT bezpečnosti tragická. Diplomaticky to konštatuje i správa Európskeho hospodárskeho a sociálneho výboru od spravodajcu Thomasa McDonogha k nižšie uvedenému návrhu zásadnej smernice.

Bez efektívnej spolupráce v rámci EÚ to nejde

Odhliadnuc od politického aspektu, z odborného hľadiska je spolupráca krajín EÚ v rámci kybernetickej bezpečnosti a predanie určitých právomoci centrálnemu európskemu regulátorovi v tejto oblasti nevyhnutná. Jedná sa najmä o koordináciu a možnosť promptne reagovať (teda prijímať rozhodnutia) na európskej úrovni. Útočníci totiž hranice nepoznajú, jednotlivé krajiny sa nedokážu účinne brániť bez rýchlej, ale zároveň veľmi efektívnej spolupráce.

V procese je však návrh avizovanej smernice, ktorý by mohol byť istým spôsobom prelomový. Jedná sa o návrh Európskeho parlamentu a Rady o opatreniach na zabezpečenie vysokej úrovne bezpečnosti sietí a informácií v Únii. Či sa proces schvaľovania dostane k zdarnému koncu, bez dodatočných zmien, ktoré by mali za následok zníženie efektívnosti tejto smernice uvidíme, snáď v blízkej dobe.

Ako by to malo fungovať?

Nižšie uvidíte ideál, ako by mala vyzerať spolupráca a koordinácia od národnej po EÚ úroveň. K tejto schéme sa podrobne vrátime ešte v druhej časti seriálu. Daná schéma však žiaľ zatiaľ nefunguje, tak ako zamýšľa Európska komisia a agentúra ENISA. Dôvody prečo ste si z časti prečítali vyššie.


obrazok
Model riadenia kybernetickej bezpečnosti EÚ. (Zdroj: ENISA)

EÚ delí spoluprácu, riadenie a koordináciu do 3 segmentov. Sieťová a informačná bezpečnosť (NIS) - môžeme povedať, že sa jedná primárne o civilný sektor. Vymožiteľnosť práva - najmä policajná, či justičná spolupráca a do tretice obrana - vojenská spolupráca. Ako vidíte EÚ myslí aj na oblasť, o ktorej väčšina analytikov mylne tvrdí, že bez NATO nie je realizovateľná.

NIS na národnej úrovni zastupujú lokálne CSIRT/CERT tímy, ale i komerčné, či akademické NIS autority a na úrovni EÚ hneď niekoľko inštitúcií. Niektoré sme už spomenuli, zvyšne si ponecháme nabudúce. Tiež vidíte, že hlavný centrálny koordinátor absentuje - zatiaľ ho zastupuje z veľkej časti ENISA. V sekcii vymožiteľnosti práva stoja národné jednotky (polícia, styční dôstojníci), na úrovní EÚ je to najmä Europol. Text vyššie vám ozrejmil prečo to zatiaľ nie-veľmi funguje. Podrobne v druhej časti. Posledná, azda najzaujímavejšia, časť je obranná - vojenská. Na národnej úrovni obranné jednotky - armáda, ministerstvo obrany, vojenská rozviedka, na EÚ úrovni najmä EUMS. Tejto problematike sa budeme podrobne venovať nabudúce i v kontexte NATO.

EÚ dbá i na spoluprácu s komerčným sektorom (EP3R) a navonok, podľa EÚ napr. vo vzťahu k NATO, OBSE, či OSN by kybernetickú stratégiu EÚ mala zastupovať vysoká predstaviteľka EÚ pre zahraničné veci a bezpečnostnú politiku, v súčasnosti Frederica Mogherini s podporou služby EEAS - European External Action Services. Jedná sa o zložitú a komplexnú problematiku, ktorú s modelovou analýzou potenciálneho chovania sa voči kybernetickému útoku na siete EÚ rozoberieme nabudúce.

Británia dáva opäť prednosť USA

Potvrdením nie veľmi vysokej ochoty spolupracovať v rámci EÚ je i nasledujúci prípad. Ako si zaiste niektorí čitatelia už všimli, pri mnohých bezpečnostných záležitostiach, jeden príklad za všetky – kedy Veľká Británia ako jediná krajina v rámci EÚ vetovala zriadenie trvalého generálneho štábu pre obranu a bezpečnosť EÚ (OHQ) v roku 2011, čím v zásade podkopala kreovanie európskych bezpečnostných štruktúr nezávislých na NATO a USA, i v tomto prípade Británia ochotne kooperuje a zdieľa dáta najmä s USA. Okrem mnohých kanálov, ktoré sú otvorené v rámci kybernetickej spolupráce prostredníctvom NATO, pristupuje táto krajina i k priamej bilaterálnej spolupráci. Obe krajiny vytvárajú spoločne tzv. „cyber cells“ – kybernetické bunky, ktoré primárne slúžia na zdieľanie informácií a simuláciu kybernetických hrozieb v záujme zvýšenia kooperácie v tejto oblasti. Americká NSA a britská GCHQ dokonca plánujú osobitné kybernetické cvičenia vo vlastnej réžií. Cieľom spolupráce má byť i hľadanie spôsobu ako zabrániť zneužívaniu šifrovanej komunikácie potenciálnych teroristov skrz sociálne siete.

Na vzájomnej spolupráci dvoch krajín v oblasti kybernetickej bezpečnosti v zásade nie je nič zlé. Avšak naskytuje sa otázka, aký zmysel má osobitná bilaterálna spolupráca, keď vysoká miera kooperácie v oblasti IT bezpečnosti medzi oboma krajinami prebieha prostredníctvom NATO a USA sa tiež zúčastňujú rozsiahlych kybernetických cvičení EU-USA – Cyber Atlantic. Dokonca rokovania o spolupráci v tomto smere prebiehajú aj v rámci EU-US Cyber Dialogue pod záštitou European External Action Service (EEAS).

V každom prípade by prvoradým záujmom Británie mala byť orientácia na ešte užšiu spoluprácu s EÚ ako na spoluprácu s USA. Ak David Cameron odôvodňoval, zablokovanie zriadenia EÚ OHQ, okrem toho, že sa verejne netajil obavami zo straty vplyvu USA v Európe, i zbytočnými finančnými nákladmi, tento krok vyznieva absurdne a skôr poukazuje na snahu oboch krajín vytvoriť si separátne know-how, systém na zdieľanie dát a strategických informácií a možností kyber-tréningov bez participácie zvyšku EÚ. V konečnom dôsledku však toto konanie môže smerovať len k zhoršeniu prehĺbenia kyber-kooperácie v rámci samotnej EÚ.

Záver

Toľko na úvod, nabudúce sa pozrieme na organizáciu IT bezpečnosti v EÚ ale i na vzťah k NATO oveľa podrobnejšie. Rozoberieme si niekoľko paradoxov, ktoré tu vznikajú a pozastavíme sa i pri stave kybernetickej bezpečnosti v rámci Slovenska v porovnaní so susedným Českom a pri rôznych kybernetických cvičeniach.


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info