Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Prihlásenie

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Kyberbezpečnostná doktrína EÚ a stav v SR i ČR

Ako fungujú mechanizmy pre kooperáciu pri riešení kybernetických incidentov v rámci EÚ, kde sa prístup jednotlivých krajín výrazne líši? Dokáže EÚ čeliť kybernetickým útokom aj bez pomoci NATO? Aký je prístup Slovenska ku kybernetickej bezpečnosti v porovnaní s Českom? Aj na tieto otázky sa pokúsime nájsť odpovede v tomto článku. Ako si budete môcť prečítať, v oblasti IT bezpečnosti na európskej i národnej úrovni je stále veľa problémov.

Článok je pokračovaním predošlého dielu, ktorý popisuje mnoho pojmov, s ktorými ďalej operujem bez bližšieho vysvetlenia, preto je ak ste nečítali úvodnú časť oboznámiť sa s týmito pojmami a so základnou filozofiou.

Prišiel útok, reaguje EÚ

Na začiatok sa vráťme k diagramu, ktorý som použil už v predošlej časti. Tento model udáva, ako by mala fungovať kooperácia EÚ v oblasti kybernetickej bezpečnosti. Aby ste mohli porozumieť nasledujúcemu textu, prosím prečítajte si, ako delí EÚ spoluprácu na segmenty a ako by tie mali medzi sebou vzájomne spolupracovať.

obrazok
Model riadenia kybernetickej bezpečnosti EÚ. (Zdroj: ENISA)

Minule sme sa teda zoznámili s úlohami jednotlivých inštitúcií a dnes sa pozrieme, ako by sa zachovala EÚ v prípade útoku. Zabudnime teraz na NATO (to spomeniem v ďalšom pokračovaní).

Modelovo podľa 3 segmentov, EÚ rozlišuje 3 typy incidentov, pri ktorých môže intervenovať. Prvým je útok na civilné, obchodné, prípadne iné biznis štruktúry. V tomto prípade je dôležitý rozsah, EÚ sa spravidla zapojí ak incident prekročí hranice jednej krajiny. Primárne teda nerieši lokálne incidenty (i keď metodicky pri nich môže podať pomocnú ruku). Väčší incident v tomto prípadne by mala riešiť Európska komisia v spolupráci s ENISA, CERT-EU a EP3R.

Ak by sa jednalo o kriminálny počin, na úrovni EÚ sa aktivuje koordinácia vedená centrom Europol EC3, prípadne CEPOL a Eurojust. Nutné je podotknúť, že spomínané inštitúcie nemajú žiaľ vyšetrovacie právomoci a vedia poskytnúť iba forenzné služby a kooperovať spoluprácu rôznych krajín. Pri úniku osobných dát sa postupuje podľa nariadenia 2002/58/EC.

Najzaujímavejším je útok považovaný za "vojenský". Jednať sa môže napr. o kybernetickú špionáž sponzorovanú nejakým štátom. V tomto prípade by zasiahnutej krajine malo pomôcť EU Military Staff (EUMS) a European Defense Agency (EDA). EUMS oficiálne spadá pod EEAS a je v podstate výkonným orgánom, v súčasnosti ho vedie rakúsky generál a delí sa na niekoľko podložiek. Tie by mali byť schopné poskytnúť všetky služby pre vojenskú operáciu, od plánovanie, spravodajských informácií až po samotnú kooperáciu, riadenie a logistiku. Samotná vojenská akcia - nasadenie síl a techniky by mala pri súčasnom nastavení systému spadať pod EUFOR.

obrazok
Štruktúra organizácie EUMS. (Zdroj: EEAS)

Z obrázku možno vidieť, že tvorba spravodajských informácií pre EUMS by mala pripadať Slovensku. EUMS je žiaľ v súčasnosti z časti závislé na prostriedkoch, ktoré poskytuje NATO v zmysle zmlúv Berlín Plus.

O zhromažďovanie strategických dát sa stará časť služby EEAS (European External Action Service) patrí tu i spomínané EUMS. Pre vojenskú oblasť má EUMS vybudované "Intelligence directorate", zber civilných dát rieši EU Situation Center (EU SITCEN/EU INTCEN). Obe spravodajské zložky spoločne budujú veľkú databanku spravodajských údajov - SIAC. Ak ste dočítali a vravíte, že ste nikdy tieto názvy nepočuli, opýtajte sa médií a analytikov, prečo nehovoria o bezpečnostnej činnosti EÚ. Avšak spomínané organizácie zväčša len koordinujú zdieľanie informácií a pomáhajú EEAS, ktoré ich môže plne využívať. V prípade kybernetického útoku naprieč EÚ musí byť aktivovaná klauzula solidarity - článok 222 Zmluvy o fungovaní EÚ.

obrazok
Spravodajská štruktúra EÚ.

Ako môžete vidieť, EÚ je plne pripravená na to, aby si v oblasti kybernetickej bezpečnosti poradila aj bez účasti NATO. Samozrejme jednotlivé zložky EÚ musia markantne zlepšiť kooperáciu s národnými inštitúciami a na to je potrebná najmä politická vôľa, ktorá žiaľ absentuje. Úzka spolupráca naprieč EÚ je však nevyhnutná. Útočníci nepoznajú hranice a spolupracujú žiaľ často oveľa lepšie ako my. Ak chce EÚ byť schopná čeliť týmto hrozbám, musí skutočne popracovať na viacerých vrstvách koordinácie, spoločného velenia a spolupráce. Dôležitá je i úroveň povedomia o kybernetickej bezpečnosti v jednotlivých členských štátoch EÚ.

Slovensko konečne prijalo strategickú koncepciu

Slovenská republika je žiaľ v porovnaní s Českom v oblasti kybernetickej bezpečnosti o niekoľko stupňov nižšie. Kým v Česku už naplno dochádza k praktizovaniu zákona o kybernetickej bezpečnosti (viac nižšie), SR zatiaľ len v júni tohto roku prijala "Koncepciu kybernetickej bezpečnosti Slovenska". Tá vysoko sebakriticky hneď v úvode konštatuje, že SR je na tom v tejto oblasti nedobre. Chýba komplexný zákon, ktorý by sa venoval problematike IT bezpečnosti i centrálna národná autorita.

Koncepcia spomína niekoľko roztrúsených nariadení vlády, či zákonov, ktoré nepriamo pojednávajú o IT bezpečnosti. No v zapätí pravdivo konštatuje, že je to veľmi nedostatočné. Tiež sa obsiahlo venuje nutnosti spolupracovať s EÚ a NATO. Najdôležitejšie však je, že prichádza i s konkrétnymi krokmi ako zmeniť nedobrý stav k lepšiemu. V súčasnosti pôsobí oficiálne na slovenskú jediný CSIRT (postavenie CSIRT.MIL je sporné). Jedná sa o CSIRT-SK patriaci pod Ministerstvo financií (MF) a následne spadajúci ešte pod Datacentrum. Viac sme písali tu. Oproti SR, Česko má CSIRTov len na národnej úrovni hneď niekoľko (viac ďalej). CSIRT-SK pôsobí ako autorita najmä pre štátne inštitúcie a verejnú správu. MF je zatiaľ neformálnym koordinátorom IT bezpečnosti na Slovensku.

obrazok

Koncepcia uvádza, že do konca roka by malo dôjsť k prijatiu "akčného plánu", ktorý zrealizuje konkrétne návrhy samotnej koncepcie. Do konca februára 2016 by mal byť vláde predložený skutočne veľmi potrebný komplexný zákon o Kybernetickej bezpečnosti. Nutné je zmeniť i kompetenčný zákon. Primárnu autoritu v oblasti IT bezpečnosti v rámci SR by sa mal zastávať Národný bezpečnostný úrad (NBÚ). De facto by tak malo ísť o národnú jednotku CSIRT, ktorú v ČR zastupuje zoskupenie viacerých subjektov a patrí pod CZ-NIC. Štát chce v tejto oblasti i vzdelávať a napraviť paradoxy, kedy napr. pojem "kybernetický" neobsahuje žiadny terminologický slovník. Nutné je dodať, že praktické body koncepcie sú zatiaľ pomerne vágne, i keď sa jedná o pomerne zásadný posun, a tak neostáva nič iné než čakať na podobu konkrétneho návrhu zákona. Tiež bude potrebné vyriešiť neformálne i nepísané záležitosti, a to najmä neochotu inštitúcií medzi sebou spolupracovať a vôbec sa venovať kybernetickej bezpečnosti. V konečnom dôsledku to bude možno náročnejšie než samotná právna úprava.

Kybernetická bezpečnosť v Česku

V Česku nadobudol na začiatku tohto roka platnosť komplexný zákon o kybernetickej bezpečnosti. Zákon definuje okrem centrálnych strategických autorít, ktoré sa v ČR zaoberajú bezpečnostnými incidentmi, i povinnosti pre organizácie a spoločnosti. Tieto sú povinné dať do súladu so zákonom svoje interné predpisy a zradiť patričné zložky, postupy atď. S napĺňaním týchto požiadaviek v ČR pomáha už mnoho konzultačných spoločností. Zaujímavé je však najmä riadenie IT bezpečnosti z kompetenčného hľadiska na národnej úrovni. Zákon definuje 2 pracoviská venujúce sa kybernetickej bezpečnosti: Národný CSIRT - ten zastrešuje na základe memoranda s českým NBÚ CZ-NIC, jedná sa o združenie subjektov najmä zo súkromného sektora a vládny CERT - GovCERT.CZ, prevádzkovaný priamo NBÚ.

NBÚ tiež pôsobí ako Národné centrum kybernetickej bezpečnosti (NCKB) a koordinuje spoluprácu naprieč všetkými CSIRT tímami v ČR. Má tiež na starosti vzdelávanie a bezpečnostné štandardy. Ak sa však pozriete na počet CSIRTov, ktoré dosiahli určitý stupeň integrácie do štruktúr TF-CSIRT, pre Česko narazíte na počet 22. Jedná sa o mnohé akademické, výskumné, ale i CSIRTy súkromných spoločností. CZ-NIC prevádzkuje i osobitý CSIRT pre top level doménu .cz, nechýba ani CSIRT akademickej siete CESNET. SR žiaľ oficiálne zastupuje jediný, už spomínaný CSIRT-SK. Kybernetický zákon tiež definuje všetky potrebné prevenčné, vzdelávacie, informačné a analytické záležitosti. Popri ňom ČR prijala i Národnú stratégiu kybernetickej bezpečnosti 2015 – 2020, ktorá nadviazala na prepracovanú Bezpečnostnú stratégiu. Zdá sa tak, že máme našich susedov v čom doháňať a zároveň sa nimi môžeme aj inšpirovať.

Svetové ekonomické fórum to však vidí inak

Pri porovnaní SR a ČR potom paradoxne vyznieva hodnota globálneho indexu kybernetickej bezpečnosti (GCI), ktorý vznikol v rámci iniciatívy Patnership for Cyber Resilience, ktorú zastrešuje Svetové ekonomické fórum. V tomto rebríčku skončilo Slovensko úspešnejšie ako Česko, konkrétne na 8. mieste, Česká republika až na 10., na 9. priečku sa dostalo Poľsko. Kritériami boli napr. budovanie kapacít, právne či reakčné opatrenia. Pýtate sa ako je takýto výsledok možný? My tiež. :-)

Záver

Nabudúce sa pozrieme na vzťah kybernetickej bezpečnosti EÚ verzus NATO. Ten je veľmi komplikovaný a mnohé informačné zdroje či média si ho vykladajú po svojom. Kľúčovou stále zostáva najmä otázka, či je EÚ po všetkých stránkach v kybernetickej bezpečnosti sebestačná...


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Spamy.cz PHP Fushion Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info SPYEMERGENCY.com