Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Štítky

Vyhľadávanie

You are here

Domov
Upozornenie: Obsah je licenčne chránený a bez písomných súhlasov autora článku a vlastníka webovej stránky nesmie byť v žiadnej forme ďalej kopírovaný a šírený v pôvodnom, či v akokoľvek upravenom stave.

Riaditeľka CSIRT.sk: Vznik bol neľahký - rozhovor o hrozbách, aktivitách i pôsobnosti našej kybernetickej jednotky

O neľahkom vzniku, činnosti, bezpečnostnom povedomí, riešení bezpečnostných incidentov, ale i o vzťahu inštitúcií verejnej správy k IT bezpečnosti, sme sa rozprávali s riaditeľkou CSIRT.sk - Ing. Petrou Hochmannovou. Nevynechali sme ani medzinárodnú spoluprácu, IT hrozby, kybernetické cvičenia, spoluprácu s políciou, či krátky pohľad na prípad NBÚ.

Vznik a pôsobnosť

Mohli by ste prosím, našim čitateľom na úvod stručne ozrejmiť význam a základné poslanie inštitúcie CSIRT.sk?

Útvar poskytuje služby spojené so zvládaním bezpečnostných incidentov, odstránením ich následkov a obnovou činnosti postihnutých IS inštitúciám, najmä verejnej správy, a to prioritne organizáciám prevádzkujúcim prvky kritickej infraštruktúry štátu. Hlavnou náplňou útvaru CSIRT.SK je poskytovať služby aktívne, teda reakcia a analýza bezpečnostných incidentov a služby preventívne ako monitoring digitálneho priestoru, publikovanie oznámení a varovaní o aktuálnych hrozbách a zraniteľnostiach, vzdelávanie a zvyšovanie povedomia v oblasti informačnej bezpečnosti. Zároveň poskytuje odborné konzultácie k zabezpečeniu infraštruktúry, predchádzaniu bezpečnostných incidentov a zvyšovaniu úrovne bezpečnosti v inštitúciách. Organizuje a účastní sa na národných a medzinárodných simulačných cvičeniach a zabezpečuje spoluprácu s národnými a medzinárodnými organizáciami pôsobiacimi v oblasti informačnej bezpečnosti. Pôsobnosť útvaru je však podstatne širšia a je podrobnejšie uvedená v materiáli schválenom uznesením vlády SR.


obrazok

V dokumente na vašich stránkach uvádzate počiatok zriaďovania inštitúcie CSIRT.sk v roku 2009, v čase, keď podobné bezpečnostné tímy iných krajín už nejakú dobu fungovali. Čo bolo rozhodujúcim krokom pre zriadenie inštitúcie tohto typu na Slovensku?

Slovenská republika predstavovala v tejto problematike do roku 2009 biele miesto na mape. V rámci Európy sme patrili medzi posledné krajiny, ktoré nemali útvar typu CERT/CSIRT zriadený. U nás vznikol na základe požiadavky EÚ za účelom zabezpečenia komplexnej ochrany celého EÚ priestoru proti počítačovým útokom, ako aj vytvorenia kontaktného bodu na národnej úrovni. V roku 2000 sme mali veľké šťastie, že sme sa stali členskou krajinou OECD (Organisation for Economic Co-operation and Development) bez existencie tohto útvaru v SR. Pre lepšiu názornosť, „Organizácia pre hospodársku spoluprácu a rozvoj“ je medzivládna organizácia tridsiatich štyroch ekonomicky najrozvinutejších štátov sveta, ktoré prijali princípy demokracie a trhovej ekonomiky a podmienkou prijatia do nej v súčasnosti je mať nielen zriadený, ale v prvom rade aj funkčný tím odborníkov CERT/CSIRT. Takže sa dá povedať, že dnes SR spĺňa aj túto podmienku.

Slovenská republika predstavovala v tejto problematike do roku 2009 biele miesto na mape. V roku 2000 sme mali veľké šťastie, že sme sa stali členskou krajinou OECD bez existencie tohto útvaru v SR.

Odkiaľ ste čerpali „know-how“ pri zriaďovaní CSIRTu, obracali ste sa s otázkami na európske inštitúcie ako ENISA, alebo skôr na obdobné bezpečnostné tímy iných krajín?

Ministerstvo financií čerpalo pri realizácii tejto úlohy skúsenosti predovšetkým zo zahraničia, pretože všetky pokusy o zriadenie takéhoto expertného týmu dovtedy v SR stroskotali. MF SR konalo podľa vzoru krajín, ktoré tento projekt už úspešne realizovali. Ide predovšetkým o vyspelé krajiny EÚ, akými sú Nemecko, Anglicko, Fínsko a ďalšie, vrátane asistencie agentúry ENISA, ktoré aj v súčasnosti predstavujú vrchol v informačnej bezpečnosti. Náš zriaďovateľ sa pri štarte dokázal prekvapivo odpútať od vnútorného prostredia a zaužívaných praktík v krajine a pochopiteľne vsadil kartu prioritne na zahraničnú spoluprácu, čo prinieslo dlho očakávaný výsledok. Tento postup nám bol na začiatku vytknutý, ale dnes sa ukazuje, že bol správny.

Náš zriaďovateľ sa pri štarte dokázal prekvapivo odpútať od vnútorného prostredia a zaužívaných praktík v krajine...

Mnoho ľudí možno prekvapí prečo patrí CSIRT pod rezort ministerstva financií a nie napríklad pod ministerstvo vnútra, prípadne priamo pod úrad vlády. Môžete nám prosím ozrejmiť zmysel tohto začlenenia?

Zmysel umiestnenia útvaru CSIRT.SK v rezorte ministerstva financií sa zdá byť na prvý pohľad prekvapujúci, ale vysvetlenie je možné nájsť v súčasnej legislatíve a rozdelení kompetencií. Konkrétne je to kompetenčný zákon č. 575/2001 Z. z. a zákon č. 275/2006 Z. z. o informačných systémoch verejnej správy, kde ministerstvo financií riadi a koordinuje informačnú bezpečnosť vo verejnej správe a vydáva štandardy pre informačné systémy, vrátane bezpečnostných. Ďalej, ministerstvo financií je v zmysle zákona č. 45/2011 o kritickej infraštruktúre gestorom sektorov kritickej infraštruktúry „Informačné systémy a siete“, vrátane „Internetu“ a zabezpečuje správu „Národnej domény“ v SR. Taktiež je možné upozorniť, že „finančný sektor“ so svojimi celoplošnými informačnými systémami, aj keď v citovanom zákone nie je explicitne uvedený, patrí bezpochyby medzi najkritickejšie prvky kritickej infraštruktúry z hľadiska počítačových útokov, nielen u nás, ale aj v celosvetovom meradle. Ja osobne som presvedčená, že to bola najlepšia voľba, zriadiť takýto špecializovaný útvar práve tam.

Osobne som presvedčená, že to bola najlepšia voľba, zriadiť takýto špecializovaný útvar práve tam.

CSIRT.sk bol zriaďovaný v piatich etapách. Ktorú fázu zriaďovania považujete za najťažšiu? Dnes by mal byť CSIRT.sk už plne funkčný a inštitúcia by tak mala poskytovať všetky služby. Je tomu v súčasnosti skutočne tak? Vyskytujú sa pri pokrývaní nejakej oblasti problémy?

V tom čase išlo o úplne novú a málo známu problematiku a proces presadenia návrhu na rokovanie vlády v roku 2009 bol neľahký. Až potom však nastali reálne komplikácie. V priebehu tretej etapy bol konštatovaný sklz v rozsahu takmer dvoch etáp. Zdalo sa, že realizácia úlohy, aj napriek dobrej príprave, opäť stroskotá. Za najťažšie obdobie, z pohľadu realizácie jednotlivých etáp, však považujem to, čo nasledovalo potom. Bola to reálna a tvrdá práca a dobiehanie veľkého časového sklzu pri napĺňaní úloh podľa časového harmonogramu, pričom okolie k nám v začiatkoch nebolo naklonené. Možno aj preto, že táto problematika bola neznáma a pre nezainteresovaných neprioritná. Prudký obrat situácie nastal v dôsledku úzkej spolupráce so zahraničnými subjektmi a akademickým sektorom. V súčasnosti je špecializovaný útvar CSIRT.SK akreditovaný na medzinárodnej úrovni, čo zároveň znamená jeho akceptáciu v rámci celého sveta.

Zdalo sa, že realizácia úlohy, aj napriek dobrej príprave, opäť stroskotá...

Spolupráca s verejnou správou, riešenie a nahlasovanie bezpečnostných incidentov

CSIRT.sk sa orientuje najmä na štátne inštitúcie a inštitúcie verejnej správy. Ako hodnotíte spoluprácu s týmito inštitúciami? Majú najrôznejšie úrady a organizácie dostatok informácií o vašom pôsobení? V akej miere sa na vás obracajú?

Spolupráca s inštitúciami verejnej správy sa stále prehlbuje. Zo začiatku nášho pôsobenia spočívala iba v spolupráci pri riešení bezpečnostných incidentov a konzultácií k návrhu zabezpečenia informačnej infraštruktúry, ale v súčasnosti sa rozšírila aj na spoluprácu na rôznych projektoch, vzdelávacích aktivitách s cieľom zvyšovania povedomia o informačnej bezpečnosti a výmeny informácií o aktuálnych bezpečnostných hrozbách.
Úroveň povedomia o informačnej bezpečnosti je v rámci inštitúcií rôzna a niektoré inštitúcie ešte stále o našej existencií nevedia avšak v prípade bezpečnostného incidentu si nás rýchlo dokážu vyhľadať.

Niektoré inštitúcie ešte stále o našej existencií nevedia avšak v prípade bezpečnostného incidentu si nás rýchlo dokážu vyhľadať.

Obracajú sa na vás i súkromné spoločnosti, alebo neziskové organizácie? Poskytujete nejakým spôsobom súčinnosť i v prípade bezpečnostného incidentu v rámci privátnej sféry?

Prioritne poskytujeme služby verejnej správe, so žiadosťou o pomoc pri riešení bezpečnostných incidentov sa na nás obracajú aj organizácie zo súkromného sektora a to hlavne zahraničné finančné inštitúcie a bezpečnostné agentúry v prípade, že je útok vedený z IP adresného rozsahu SR a cieľ útoku nevie dohľadať priamo zdroj útoku. Tu poskytujeme súčinnosť na základe našich aktuálnych kapacít, nakoľko primárne sa zaoberáme verejnou správou.

V súčasnosti neexistuje zákonná povinnosť pre organizácie hlásiť bezpečnostné incidenty, avšak tento stav sa vďaka EÚ pravdepodobne čoskoro zmení. Aký je však váš názor na základe získaných skúseností, mali by byť povinné štátne i neštátne inštitúcie hlásiť bezpečnostné incidenty? Ak áno od akého stupňa závažnosti?

Vzhľadom na to, že kritické služby pre občanov sú v značnej miere poskytované zo strany súkromného sektora (hovoríme tu o finančnom sektore, telekomunikáciách, zdravotníctve a preprave), štát (a v konečnom dôsledku aj EÚ) potrebuje nájsť spôsob, akým získa globálny prehľad o aktuálnych hrozbách. Možnosťou je teda aj povinné nahlasovanie bezpečnostných incidentov do centrálneho bodu, ktorý ich následne vyhodnotí a na základe toho môžu byť prijaté technické, organizačné a legislatívne opatrenia na ich elimináciu.
Miera závažnosti bezpečnostných incidentov sa v každom zo sektorov vyhodnocuje inak. V súčasnosti nedisponujeme všeobecne záväznou metodikou, ktorá by jednoznačne stanovovala hranicu, od ktorej by sa mal bezpečnostný incident nahlasovať. Je však potrebné upozorniť na skutočnosť, že pri jej definovaní je potrebné zaangažovať účastníkov všetkých dotknutých sektorov, aby výsledkom bola metodika, ktorá nezaťažuje dotknuté subjekty zbytočným nahlasovaním bezpečnostných incidentov, ale na druhej strane, aby získané údaje podávali hodnoverný obraz o aktuálnej situácií.
Príkladom existujúceho stanovenia parametrov definujúcich závažnosť incidentu je v zmysle Zákona o elektronických komunikáciách č. 351/2011, ktorý ukladá povinnosť nahlasovať podnikom, ktoré poskytujú verejné siete alebo služby, povinnosť bezodkladne informovať TÚ SR o narušení bezpečnosti alebo integrity, ktoré mali významný vplyv na prevádzku sietí alebo služieb v závislosti od 1. doby pretrvávania bezpečnostného incidentu a 2. počtu postihnutých účastníkov.


obrazok

Keď sa pozastavíme pri riešení konkrétneho incidentu, akým spôsobom prebieha jeho riešenie z vašej strany? Vystupujete v pozícii určitého konzultanta, ktorý len spracuje zaslané údaje a vydá isté odporúčania, alebo priamo vyrážate na miesto incidentu, kde zabezpečujete konkrétne informácie napr. o prieniku do systému, či pomáhate s nápravou systému do pôvodného stavu?

Vo väčšine prípadov sa jedná o koordináciu riešenia, teda o konzultácie a sprostredkovanie komunikácie medzi všetkými dotknutými organizáciami, ale v prípade požiadavky sme pripravení vykonať analýzu bezpečnostného incidentu „on-site“, navrhnúť a implementovať riešenie na jeho elimináciu.

V prípade požiadavky sme pripravení vykonať analýzu bezpečnostného incidentu „on-site...“

V popise vašich služieb sa nachádza i pomoc vyšetrovacím orgánom, polícii a súdom. Mohli by ste nám prosím, priblížiť spoluprácu s políciou? V akej miere polícia, či prokuratúra využíva vaše služby? A aké služby môžete týmto zložkám poskytnúť?

CSIRT.SK má k dispozícií odborné kapacity na podporu policajného zboru pri vykonávaní vyšetrovania. V súčasnosti polícia a prokuratúra nevyužíva naše služby, ktoré sú im ale plne k dispozícií.
CSIRT.SK môže polícií a prokuratúre pomôcť v prípade potreby analýzy útoku alebo trestného činu dotýkajúceho sa problematiky informačnej bezpečnosti, ako aj odbornými konzultáciami a forenznou analýzou digitálnych dôkazov.

V súčasnosti polícia a prokuratúra nevyužíva naše služby, ktoré sú im ale plne k dispozícií.

Ak by ste sa mohli kvázi pochváliť, podarilo sa vám pri vašej činnosti odhaliť nejaký sofistikovaný útok typu APT, prípadne útok nesúci prvky priemyselnej špionáže?

V rámci našej činnosti sme sa stretli s incidentmi, ktoré mohli mať charakter APT. Predpokladáme, že na Slovensku prebiehajú aj ďalšie útoky typu APT rovnako ako v iných krajinách. Odhaľovanie týchto útokov je prakticky nemožné bez komplexného monitoringu sieťovej prevádzky vo všetkých potenciálne pre útočníka zaujímavých inštitúciách a organizáciách a ich komplexnej hĺbkovej obrany.

Mohli by ste konkretizovať nejaký bezpečnostný incident, kde prevládalo podozrenie, alebo ste dokázali, že sa jednalo o útok typu APT?

Príkladom APT útoku (presnejšie povedané jednou z kampaní tohto útoku), bol už medializovaný pokus o infiltráciu štátnych inštitúcií škodlivým kódom Red October. Z počiatku sme nevedeli ani my, že sa jedná o APT útok (resp. jeho časť), túto informáciu sme obdŕžali od zahraničných partnerských inštitúcií až neskôr, a preto sme pri riešení postupovali ako pri bežnom incidente. Išlo teda o vykonanie opatrení:
1. Kontaktovanie správcov e-mailových serverov v dotknutých inštitúciách.
2. Identifikácia a odstránenie daného e-mailu a preverenie, či daný e-mail už nebol zamestnancom otvorený, v prípade, že áno
3. Skenovanie pracovných staníc s operačným systémom Windows jedným z antivírusových riešení, ktoré stihli aktualizovať vírusové databázy a poskytujú ochranu voči aktuálnej verzii škodlivého kódu.
4. Monitorovanie neobvyklej prevádzky

V rámci našej činnosti sme sa stretli s incidentmi, ktoré mohli mať charakter APT. Predpokladáme, že na Slovensku prebiehajú aj ďalšie útoky typu APT...

V popise práce máte i mapovanie zraniteľností. Okrem klasického monitoringu, spolupracujete i s neverejnými programami rôznych súkromných spoločností, ako napr. Microsoft, ktoré v nich informujú o zraniteľnostiach svojich produktov ešte skôr ako je uverejnená aktualizácia resp. oprava?

CSIRT.SK je zapojený do rôznych neverejných programov a projektov, v rámci ktorých získava aktuálne informácie o existujúcich zraniteľnostiach. Ale aj z dôvodu existencie NDA ich nie je možné konkrétne menovať.

Vykonávate v rámci svojich možností i analýzu malware?

Pracovníci CSIRT.SK absolvovali odborné školenia na analýzu malware ako aj jeho proaktívnu detekciu so zameraním na identifikáciu botnetov do istej úrovne. Doteraz nebola požiadavka žiadnej inštitúcie na vykonanie takejto analýzy.

Nedávno sa pán minister Glváč nechal v médiách počuť, o tom, že na Slovensku by bolo potrebné zriadiť kybernetickú jednotku aj na úrovni armády a priblížiť sa tak partnerským krajinám v NATO. Aký máte názor na zriadenie takéhoto bezpečnostného tímu a nakoľko sa líši od civilného CSIRT tímu?

Keď sa pozrieme na súčasnú legislatívu, zákon o informačných systémoch verejnej správy pokrýva priestor verejnej správy, v ktorom koordinácia a riadenie informačnej bezpečnosti prislúcha ministerstvu financií. V jeho pôsobnosti bol pre tento priestor zriadený útvar CSIRT.SK v DataCentre. Zákon sa ale nevzťahuje na informačné systémy verejnej správy, ktoré sa týkajú zabezpečenia obrany a bezpečnosti Slovenskej republiky a utajovaných skutočností. Priestor je teda rozdelený na civilnú časť, kde pôsobí CSIRT.SK, a na systémy zabezpečujúce obranu štátu. Logicky z toho vyplýva potreba vytvorenia tímu typu CSIRT/CERT pre priestor zabezpečujúci obranu štátu na Ministerstve obrany SR.
Okrem tejto skutočnosti prichádzajú aj požiadavky na členské štáty z medzinárodných organizácií s vojenským zameraním (NATO), ktoré požadujú, aby mali členské štáty pripravené takéto tímy na okamžitý zásah. Treba si uvedomiť, že vojenské tímy CSIRT/CERT sú činné nepretržite a neaktivujú sa iba v stave kybernetického ohrozenia. To znamená, že v sektore, v ktorom pôsobia, poskytujú trvalé služby, ktorými sú najmä: dohľad nad infraštruktúrou sústreďujúc sa na detekcie prienikov a analýzy škodlivého kódu, pôsobia ako kontaktný bod pre túto špecifickú oblasť a spolupracujú s ostatnými bezpečnostnými tímami a organizáciami, čím prispievajú k zvyšovaniu celkovej úrovne bezpečnosti v štáte.

Aké aktivity plánujete smerom do budúcna v oblasti rozvoja vašej inštitúcie? Prípadne aké zaujímavé programy chystáte pre odbornú verejnosť, štátne inštitúcie, či laikov?

Útvar CSIRT.SK v súčasnosti nie je ako taký zakotvený v legislatíve. Z toho vyplýva, že nemôže priamo ukladať povinnosti a nemá zákonné právo vyžadovať súčinnosť. V prípade detegovaného útoku môže zasiahnuť do komunikačnej infraštruktúry organizácie len s jej súhlasom. Taktiež nemôže zmeniť nastavenia sieťových prvkov v dotknutej organizácii, resp. svojvoľne blokovať útočiacu prevádzku alebo odpojiť zdroj útoku. V takomto prípade sa musí spoliehať na spoluprácu zo strany prevádzkovateľa alebo poskytovateľa internetového pripojenia určenú na zmluvnom základe. V kritických prípadoch sa útvar opiera o kompetencie svojho zriaďovateľa, ktorým je Ministerstvo financií SR. Už v krátkom čase sa očakáva existenčné zakotvenie útvaru v legislatíve SR. Súčasťou tohto významného procesu bude aj zákonné ustanovenie niektorých priamych kompetenčných právomocí, ktoré prispejú k účinnejšiemu riešeniu bezpečnostných incidentov.

Útvar CSIRT.SK v súčasnosti nie je ako taký zakotvený v legislatíve. Z toho vyplýva, že nemôže priamo ukladať povinnosti a nemá zákonné právo vyžadovať súčinnosť.

Medzinárodná spolupráca

Bezpečnostné tímy sú v dnešnom svete doslova odkázané na vzájomnú spoluprácu, najmä v rámci Európy. Ako by ste mohli všeobecne špecifikovať vašu spoluprácu so zahraničnými subjektmi?

Veľmi dobrá spolupráca založená na neformálnych vzťahoch, ktoré sa ukazujú ako veľmi efektívne pri riešení bezpečnostných incidentov s medzinárodným charakterom. Túto neformálnu spoluprácu posilňujú aj medzinárodné združenia vytvárajúce platformy určené na výmenu informácií.
Žiaden bezpečnostný tím v Európe v súčasnosti nie je v stave, aby bol schopný reagovať na každý mysliteľný útok. Jedinou možnosťou pre tieto tímy je spolupráca na vnútroštátnej a medzištátnej úrovni. Táto spolupráca rámci Európy prebieha prostredníctvom rôznych združení CSIRT/CERT tímov (TF-CSIRT, FIRST).

Žiaden bezpečnostný tím v Európe v súčasnosti nie je v stave, aby bol schopný reagovať na každý mysliteľný útok.

Ako spolupracujte s agentúrou European Network and information Security Agency (ENISA), ktorá má v rámci sieťovej bezpečnosti EÚ asi najzásadnejšie postavenie?

V prvom rade je to metodická činnosť v oblasti prípravy cvičení zameraných na ochranu proti počítačovým útokom. Ďalej sú to spoločné vzdelávacie aktivity, projekty, začlenenie do expertných pracovných skupinách a podieľanie sa na vytváraní metodických materiálov.

V roku 2011 sa média pomerne hlasito zaoberali potrebou vzniku CERT/CSIRT tímu na úrovni EÚ. Po ročnej pilotnej fáze tento európsky CERT vstúpil do plnej prevádzky, avšak už bez väčšej odozvy zo strany médií. Môžete nám prosím objasniť, ako vlastne EU-CERT funguje, akým spôsobom mu podliehate, prípadne ako je to s jeho koordináciou CERT/CSIRT tímov v rámci EÚ a s plánmi ohľadne jeho ďalšieho vývoja?

EU-CERT je zásahový tím pre európske inštitúcie, v rámci komunity vystupuje ako rovnocenný člen, ostatné tímy mu nepodliehajú a v dohľadnej dobe podliehať nebudú.


obrazokobrazokobrazok

Podobne so záujmom sledovali média i vznik European Cybercrime Centre (EC3), ktoré spadá pod Europol, spolupracujete nejakým spôsobom s touto organizáciou?

V súčasnosti nie.

Predpokladám, že ste nadviazali spoluprácu i s bezpečnostnými tímami susedných krajín. S ktorou krajinou je táto spolupráca najintenzívnejšia a v čom vidíte jej hlavný prínos?

Najintenzívnejšia spolupráca je so susednými krajinami, tímami z Česka, Maďarska, Poľska a Rakúska. Hlavným prínosom je výmena informácií o riešených bezpečnostných incidentoch o aktuálnych hrozbách, zdieľanie best practices, analýz a nástrojov na riešenie bezpečnostných incidentov.

Mohli by ste nám prosím, v stručnosti objasniť postavenie a fungovanie organizácie TF-CSIRT?

TF-CSIRT predstavuje európske združenie vládnych, súkromných a akademických tímov typu CSIRT/CERT. Združenie vytvára fórum pre spoluprácu založenú na dôvere, ktorá je zabezpečená prostredníctvom procesu akreditácie jednotlivých tímov. Po nadobudnutí akreditácie sa tím začleňuje do komunity, získava prístup k informáciám o aktuálnych hrozbách, vzdelávacím aktivitám a výskumným projektom.

Spolupráca na lokálnej úrovni a povedomie o IT hrozbách

V rámci Slovenska určite spolupracujete s rôznymi organizáciami, mohli by ste špecifikovať o aké subjekty ide napr. ISP, bezpečnostné spoločnosti, poskytovatelia webhostingu a pod? Akou formou najčastejšie spolupracujete s týmito organizáciami?

Na súkromné inštitúcie, akými sú poskytovatelia internetového pripojenia alebo webhostingy sa obraciame na dennej báze za účelom eliminácie pretrvávajúceho útoku. Či sa jedná o zastavenie šírenia škodlivého kódu alebo o odstavenie phishingovej stránky, ich súčinnosť je pre našu činnosť nepostrádateľnou. Spolupracujeme aj s inými organizáciami a inštitúciami na území SR. Spolupráca je budovaná na základe vzájomnej dôvery.

Na súkromné inštitúcie, akými sú poskytovatelia internetového pripojenia alebo webhostingy sa obraciame na dennej báze za účelom eliminácie pretrvávajúceho útoku... Ich súčinnosť je pre našu činnosť nepostrádateľnou...

Okrem riešenia bezpečnostných incidentov, mapovania bezpečnostných zraniteľností a edukačnej činnosti zaiste prevádzkujete aj vlastný výskum. Môžete nám priblížiť akým spôsobom prebieha, prípadne s akými inštitúciami (napr. univerzitami, bezpečnostnými spoločnosťami) pri ňom spolupracujete?

Nie, na vlastný výskum v súčasnosti nemáme personálne kapacity.

Určite je vám známy pojem honeypot a honeynet. Používate tieto nástroje pri svojej výskumnej prípadne analytickej činnosti? Ak áno, akým spôsobom, do akej miery?

V súčasnosti využívame honeypot na identifikáciu útokov na našu infraštruktúru. Rovnako prebieha posledná fáza budovania laboratória, v rámci ktorého je pripravované aj laboratórne prostredie pre proaktívnu analýzu škodlivého kódu. V rámci tohto prostredia sú plánované ďalšie honeypoty.

Ak sa pozrieme na povedomie o IT bezpečnosti na Slovensku, ako by ste hodnotili úroveň tohto povedomia u štátnych podnikov a vzťah manažmentu k bezpečnostným opatreniam? Ide o laxný prístup, alebo si vedúci jednotlivých inštitúcií riziká plynúce z tejto oblasti začínajú uvedomovať?

O tejto situácii by Vás podrobnejšie informovali naši kolegovia na ministerstve financií, ktorí vykonávajú prieskum stavu a navrhujú účinné opatrenia. Bude závisieť len na vyššom manažmente a predovšetkým na vláde ako tieto opatrenia budú presadzované. Stav povedomia o informačnej bezpečnosti v súčasnosti nie je na požadovanej úrovni, bohužiaľ ani v rámci manažmentu vrcholových inštitúcií verejnej správy. Jedno z najúčinnejších opatrení pripravované ministerstvom financií v tejto oblasti je príprava vedomostných štandardov pre kategórie používateľov a pilotný projekt vzdelávania v oblasti informačnej bezpečnosti pre štátne inštitúcie. Projekt je v súčasnosti v realizácii a CSIRT.SK sa na ňom aktívne podieľa.

Stav povedomia o informačnej bezpečnosti v súčasnosti nie je na požadovanej úrovni, bohužiaľ ani v rámci manažmentu vrcholových inštitúcií verejnej správy.

Veľkým problémom sú školské zariadenia, kde často nie je vypracovaná ani elementárna bezpečnostná politika. Nabádate nejakým spôsobom ministerstvo školstva a zriaďovateľov, aby našli spôsob ako zlepšiť povedomie o IT bezpečnosti i v tomto sektore?

Zvyšovanie povedomia a vzdelávanie v oblasti informačnej bezpečnosti je podrobne rozpracované v materiáli „Systém vzdelávanie v oblasti informačnej bezpečnosti v SR“ schválenom uznesením vlády SR č. 391/2009. Citované uznesenie vlády obsahuje aj úlohu B.2., ktorá ukladá ministrovi školstva v spolupráci s ministerstvom financií implementovať systém vzdelávania v oblasti informačnej bezpečnosti v SR pre cieľové skupiny a zaradiť ho do všetkých vzdelávacích programov formálneho aj neformálneho vzdelávania. V súčasnosti ide o jednu z najrozsiahlejších vzdelávacích aktivít v tejto oblasti v gescii ministerstva financií.


obrazok

Súhlasili by ste so zákonnou úpravou, ktorá by prikazovala všetkým štátnym inštitúciám vypracovať bezpečnostnú politiku a zásady ako postupovať v prípade riešenia bezpečnostných incidentov?

Takáto zákonná úprava existuje, jej dodržiavanie je však otázne. Jedná sa o Zákon č. 275/2006 o informačných systémoch verejnej správy a k nemu príslušný Výnos MF SR MF/013261/2008-132 o štandardoch pre informačné systémy verejnej správy, časť bezpečnostné štandardy.

Takáto zákonná úprava existuje, jej dodržiavanie je však otázne...

IT hrozby na Slovensku a ich predpokladaný vývoj

Ak sa pozrieme na Slovensko štatisticky, mohli by ste nám povedať v akom sektore prevláda aký pomer hlásených bezpečnostných incidentov? S akými incidentmi majú najväčší problém štátne inštitúcie?

V prvom polroku bolo evidovaných 62 závažných počítačových incidentov, ktoré boli nahlásené zahraničnými partnermi, subjektmi SR, alebo boli zistené priebežným monitoringom CSIRT.SK. Z tohto počtu bolo zaznamenaných 19 incidentov typu malware, do ktorého boli zaradené aj hlásenia o botnetoch a zraniteľnostiach webových portálov. Bol zaznamenaný výrazný nárast počtu prípadov podvodných e-mailov, v ktorých bol umiestnený formulár pre získanie prihlasovacích údajov používateľov (phishing), alebo v prílohe boli pripojené infikované súbory typu pdf. Niektoré podvodné e-maily obsahovali odkazy na malware umiestnený na web stránkach útočníkov. Ďalej boli riešené pokusy o prienik do systémov typu SQL injection a code injection. V kategórií iné, s počtom 6, sú zaradené napríklad aj DoS/DDoS útoky na inštitúcie štátnej správy SR. Počet a typy závažných incidentov sú uvedené v nasledovnej tabuľke a grafe:


obrazok

Okrem závažných incidentov riešených individuálne bolo v prvej polovici roka 2013 špecializovaným útvarom CSIRT.SK riešených viac ako 74 000 hlásení o podozrení na škodlivú aktivitu z IP adresného priestoru SR. Najpočetnejšie bolo podozrenie na zapojenie do siete botnet, potom nasledovali aktivity typu spam a zraniteľnosť typu openresolver.
Detailné počty a typy incidentov za sledované obdobie sú uvedené v nasledovnej tabuľke:


obrazok

Nočnou morou všetkých bezpečnostných pracovníkov väčších spoločností sú APT útoky, ako sa podľa vás bude vyvíjať trend tejto vysoko sofistikovanej hrozby?

Počet, sofistikovanosť, ako aj dopady APT útokov budú mať rastúci trend. Na zabezpečenie organizácie voči APT útokom bude potrebné dôkladne navrhnúť, implementovať a prevádzkovať komplexnú hĺbkovú obranu. Zároveň bude potrebné mať k dispozícií bezpečnostných špecialistov okrem národnej úrovne ako aj na úrovni jednotlivých inštitúcií. Na exponovaných inštitúciách je potrebné vybudovať aj lokálne jednotky CSIRT, ktoré budú koordinované národným CSIRT tímom pre rýchly a efektívny zásah v prípade prebiehajúceho útoku. Na druhej strane veľa správcov systémov sa vyhovára na APT útoky a používa ich na zakrytie často svojej odbornej nespôsobilosti a nedbalosti.

Veľa správcov systémov sa vyhovára na APT útoky a používa ich na zakrytie často svojej odbornej nespôsobilosti a nedbalosti.

Útočníci sú čim ďalej vynaliezavejší a to svedčí i o praktikách odrážajúcich sa v technikách sociálneho inžinierstva, či v oblasti phishingových útokov. Aké máte skúsenosti s týmto druhom incidentov a kam myslíte, že bude smerovať ďalej vynaliezavosť útočníkov?

S útokmi využívajúcimi sociálne inžinierstvo sa stretávame dennodenne. V súčasnosti je to najjednoduchší spôsob ako zaútočiť na sieť. Zvlášť phishing a whaling (phishing na manažment organizácie) sa preukazujú ako veľmi nebezpečné vzhľadom na ich efektivitu.
Predpokladáme, že aj v našich podmienkach budú časom implementované aj ďalšie typy útokov, ktoré v súčasnosti sú realizované skôr v USA a západnej Európe, ako sú infikované USB kľúče, VISHING a podobne.

S útokmi využívajúcimi sociálne inžinierstvo sa stretávame dennodenne. V súčasnosti je to najjednoduchší spôsob ako zaútočiť na sieť.

Kybernetické cvičenia

Váš bezpečnostný tím sa zúčastnil cvičenia CyberEurope 2012, ktoré organizovala ENISA, aký máte názor na tento typ cvičení? Niektorí odborníci im vyčítajú po technickej stránke príliš jednostranné zameranie - v prevažnej miere len na DoS resp. DDoS útoky. Privítali by ste rozšírenie o ďalšie typy útokov?

Agentúra ENISA organizovala doteraz dve medzinárodné cvičenia Cyber Europe. Ich primárnym cieľom bolo posilnenie spolupráce, preverenie existujúcich eskalačných procesov a postupov na národnej a medzinárodnej úrovni, na čo bol navrhovaný scenár s DDoS útokom vhodný. Cieľom ďalšieho cvičenia, ktoré sa bude konať budúci rok a na ktorého príprave participuje aj CSIRT.SK, je prehĺbiť aj technický aspekt, čo jednoznačne vítame.

Mohli by ste viac priblížiť technické aspekty, ktoré spomínate?

Pre začiatok by sme uvítali scenár vyžadujúci od účastníkov napr. analýzu sieťovej prevádzky, identifikáciu C&C, dešifrovanie komunikácie, jednoduchú analýza malvéru.


obrazok

Ako hodnotí vo svojej správe v rámci tohto cvičenia úspešnosť Slovenska ENISA? A ako ste spokojná s výkonom vášho tímu vy osobne? Môžete nám prosím, ešte ozrejmiť, ktoré všetky subjekty v rámci Slovenska sa na cvičení zúčastnili? A aké boli názory týchto subjektov na cvičenie?

Výsledky cvičenia, ktoré sumarizovala agentúra ENISA, boli prezentované v anonymizovanej podobe a nebolo možné z nich jednoznačne určiť, ktoré krajiny uspeli a ktoré nie, čo koniec koncov ani nebolo cieľom cvičenia.
Vzhľadom na to, že úloha nášho tímu spočívala nielen v úlohe hráča, ale aj plánovača a koordinátora cvičenia na národnej úrovni, môžem hodnotiť účasť nášho tímu veľmi pozitívne. Efektivita komunikácie s inštitúciami na národnej a medzinárodnej úrovni bola primeraná, čo sa prejavilo v časnom riešení úloh vyplývajúcich zo scenára cvičenia.
Inštitúciami zapojenými do cvičenia boli MV SR, MDVaRR SR, TÚ SR, MF SR, ako aj organizácie rezortu ministerstva financií. Účastníci by však v budúcnosti uvítali reálnejší scenár.

Môžem hodnotiť účasť nášho tímu veľmi pozitívne... Účastníci by však v budúcnosti uvítali reálnejší scenár.

Čaká vás podobné cvičenie i tento rok? Prípadne plánuje ENISA usporiadať v blízkej dobe i ďalšie podobné aktivity? Plánuje sa Slovensko nejakým spôsobom o pár mesiacov zapojiť do European Cyber Security Month 2013 pod záštitou agentúry ENISA?

Tento rok sa v plnej miere sústredíme na organizáciu tretieho národného cvičenia SISE 2013 (Slovak Information Security Exercise 2013). Na rozdiel od medzinárodných cvičení, kde scenár vytvára centralizovaná pracovná skupina v zahraničí a jednotlivé krajiny ho do značnej miery preberú a iba čiastočne upravia na vlastné pomery, pri národných cvičeniach je celá organizácia a návrh scenára na nás. Zatiaľ čo cieľovými skupinami medzinárodných cvičení organizovaných agentúrou ENISA alebo NATO sú hlavne bezpečnostné zložky štátu a krízový manažment, pri národných cvičeniach sa sústredíme na operatívu, teda na konkrétnych systémových administrátorov s cieľom zvýšiť ich kompetencie v oblasti identifikácie, analýzy a eliminácie bezpečnostného incidentu v ich organizácií.
Zatiaľ sme nad aktívnym zapojením sa do ECSM2013 neuvažovali.

Tento rok sa v plnej miere sústredíme na organizáciu tretieho národného cvičenia SISE 2013.

Je podľa vás prínosom, aj vzhľadom na udalosti posledných týždňov, ak sa takéto cvičenia realizujú i v spolupráci s USA, alebo sa prikláňate skôr k názoru, že postačujúce sú len cvičenia v rámci EÚ?

Zapojenie sa USA do cvičení je jednoznačným prínosom. Jednak do samotného plánovania a realizácie cvičenia prinášajú vysokú expertnú úroveň a zároveň tak dochádza k vzájomnej spolupráci, kde obe strany získajú priestor na identifikáciu problémov v komunikácií a následne sa vytvorí priestor pre zladenie postupov za účelom dosiahnutia efektívnej ochrany globálneho priestoru.

Zapojenie sa USA do cvičení je jednoznačným prínosom...

Prípad NBÚ

V roku 2006 sa stal v Národnom bezpečnostnom úrade (NBÚ) pomerne závažný bezpečnostný incident. Niet pochýb o tom, čo nakoniec čiastočne konštatoval i súd, že nemalou mierou pochybili správcovia ich siete. Spolupracujete v súčasnosti nejakým spôsobom s touto inštitúciou a dohliadate na ich bezpečnostnú politiku, aby sa podobný incident už neopakoval? Poskytujete za podobným účelom konzultácie aj iným štátnym strategickým inštitúciám?

CSIRT.SK spolupracuje so všetkými relevantnými inštitúciami, ktoré majú záujem spolupracovať. Inštitúciám pomáhame pri zavedení systému riadenia informačnej bezpečnosti, pri analýze úrovne zabezpečenia ako aj pri implementácií bezpečnostných opatrení. Inštitúciám ďalej ponúkame bezpečnostné školenia, ohodnotenie zraniteľností a bezpečnostné konzultácie podľa potrieb a požiadaviek inštitúcie. CSIRT.SK v súčasnosti nemá kompetencie kontrolovať dodržiavanie bezpečnostných politík.

CSIRT.SK spolupracuje so všetkými relevantnými inštitúciami, ktoré majú záujem spolupracovať...

Po prieniku do siete NBÚ nasledovalo vyšetrovanie, ktoré žiaľ neprinieslo takmer žiadne výsledky. Polícia sa so žiadosťou o pomoc neúspešne obrátila na americkú FBI. Dokázali by ste dnes z forenzného hľadiska zabezpečiť pri podobnom incidente plnú súčinnosť a poskytnúť prostriedky na potrebnú analýzu zaistených prostriedkov? Respektíve, je práve toto udalosť, pri ktorej by v súčasnosti namiesto neúspešnej FBI podalo pomocnú ruku už spomínané špecializované centrum Europolu EC3?

V prípade, že by sa NBÚ na nás obrátilo s požiadavkou o poskytnutie súčinnosti pri riešení takéhoto incidentu, tak áno. Dnešný CSIRT.SK má k dispozícií vyškolených špecialistov a vybavené laboratórium pre forenznú analýzu podobných typov incidentov a bolo by to jeho povinnosťou. Pokiaľ ide o spomínanú spoluprácu so zahraničím, dnešný CSIRT.SK ju má s viacerými špecializovanými organizáciami, a verím, že pri požiadavke o pomoc by nám vyšli v ústrety.

Práca riaditeľky CSIRT.sk musí byť istotne nemierne náročná, ostáva vám tak popri tejto činnosti čas i na iné aktivity?

Ak chce človek držať krok s touto dynamicky sa vyvíjajúcou oblasťou, musí investovať veľmi veľa zo svojho voľného času vzdelávaniu.

Rozhovor bol autorizovaný zo strany CSIRT.sk a MF SR.

Ing. Petra Hochmannová

obrazok

Od roku 2010 pôsobí v oblasti informačnej bezpečnosti na pracovisku špecializovaného útvaru pre riešenie počítačových incidentov - CSIRT.SK v organizácii DataCentrum, v zriaďovateľskej pôsobnosti MF SR. Najprv zastávala pozíciu informačného špecialistu pre bezpečnosť IKT so zameraním na riešenie incidentov, nadväzovanie medzinárodnej spolupráce, na koordináciu projektov v oblasti informačnej bezpečnosti a na plánovanie a realizáciu cvičení na ochranu prvkov kritickej infraštruktúry. V súčasnosti je riaditeľkou CSIRT.SK. Vykonáva koncepčnú, koordinačnú a metodickú činnosť v oblasti informačnej bezpečnosti, riadi spoluprácu s domácimi a medzinárodnými organizáciami v rozsahu vecnej problematiky a zastupuje SR v expertných pracovných skupinách zaoberajúcich sa ochranou kritickej informačnej infraštruktúry a bojom proti počítačovej kriminalite.

Zodpovedá priamo za činnosť troch oddelení. Prvým je technické oddelenie, ktoré rieši na dennej báze štandardné typy bezpečnostných incidentov, monitoruje a zhromažďuje informácie o úrovni informačnej bezpečnosti v SR a o aktuálnych hrozbách a rizikách voči národnej informačnej a komunikačnej infraštruktúre SR. Neštandardné typy bezpečnostných incidentov sú eskalované na podrobnejšiu analýzu analytickému oddeleniu, ktoré okrem riešenia bezpečnostných incidentov vykonáva penetračné testovanie a ohodnocovanie zraniteľností, zabezpečuje rozvoj systému včasného varovania, reakcie na bezpečnostné incidenty a zdieľania informácií a prevádzkuje sieťové/forenzné laboratórium. Tretím oddelením je oddelenie vzdelávania, ktoré spracováva praktické poznatky útvaru nadobudnuté z jeho činnosti a implementuje ich do bezpečnostných vzdelávacích programov, prednášok, publikácií a podieľa sa tak na zvyšovaní povedomia verejnosti v oblasti informačnej bezpečnosti.

Zdroj textu a fotografie: CSIRT.sk

Komentáre

IMHO je CSIRT mrtva a smradlava ryba ale aspon ta baba je zlata :}

Takéto hodnotenie od vás je neadekvátne, z čoho vychádzate? CSIRT.sk tím sa snaží v rámci možností, ktoré má. V rámci SR však agenda IT security nie je práve populárna a možnosti zďaleka nie sú najlepšie. Za to však CSIRT.sk nemôže...


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Soom.cz
Hoax.cz Crypto-world.info