Súkromný sektor by mal byť motorom IT bezpečnosti

(zdroj: CSIRT.SK)

Vláda SR nedávno schválila Koncepciu kybernetickej bezpečnosti SR na roky 2015 – 2020. Aký je podľa vás jej hlavný prínos?

Slovenská republika doteraz nemala národnú autoritu kybernetickej bezpečnosti. Chýbalo taktiež komplexné zastrešenie tejto problematiky.

Dôsledkom toho bolo, že niektoré oblasti nemali svojho pána, teda neboli pokryté. Niektoré oblasti boli naopak duplicitné, napr. budovanie kapacít alebo budovanie komunikačných kanálov. Koncepcia pomohla zanalyzovať aktuálny stav bezpečnosti v Slovenskej republike, identifikovať konkrétne výzvy a adresovať naše potreby v tejto oblasti.

Ako sa po prijatí koncepcie mení postavenie CSIRT.SK?

CSIRT.SK je špecializovaný útvar DataCentra, ktoré je rozpočtovou organizáciou ministerstva financií. Pozícia ministerstva financií sa výrazným spôsobom nemení. V zmysle platnej legislatívy stále zostáva zodpovedné za koordináciu a riadenie informačnej bezpečnosti v oblasti informačných systémov verejnej správy a taktiež zodpovedá za jeden zo sektorov kritickej infraštruktúry, ktorým sú „Informačné a komunikačné technológie“.

V koncepcii sa však objavuje rozdelenie na národný, vlády a ďalšie útvary označené ako CERT/CSIRT. Čo to v praxi znamená? Bol doteraz iba jeden CSIRT, ale už existovalo rozdelenie na menšie podzložky?

Doteraz existoval oficiálne jeden CSIRT a to ten, ktorý bol zriadený na ministerstve financií. Ten bol plne akreditovaný a zapojený do medzinárodných štruktúr. Tento CSIRT vzniká už v roku 2009.

V roku 2010 začal byť operatívny a plnil úlohu národného kontaktného bodu pre nahlasovanie bezpečnostných incidentov – last resort CSIRT-u, teda akoby funkciu koordinátora a národného tímu.

Plnil aj funkcie vládneho tímu a tak poskytoval služby spojené s riešením bezpečnostných incidentov primárne inštitúciám verejnej správy v spolupráci s providermi a ostatnými bezpečnostnými zložkami a vlastníkmi a prevádzkovateľmi informačných systémov.

Bude to znamenať aj nejaké štiepenie vašej organizácie?

Nie, bude to znamenať, že časť úloh, ktoré v súčasnosti zastrešuje CSIRT.SK, prejde práve pod nový národný tím, ktorý bude zriadený v rámci Národného bezpečnostného úradu.

Čo sa týka aktualizácií rôznych stratégií kybernetickej bezpečnosti, ako sa dá zabezpečiť to, aby boli dlhšie platné?

Toto je veľmi ťažké zabezpečiť. Dynamický vývoj v oblasti informačných a komunikačných technológií neumožňuje predikovať nové hrozby, ktorým budeme čeliť.

Môžeme si to uviesť na príklade mobilných technológií. Pár rokov dozadu, keď sa kreovala prvá stratégia informačnej bezpečnosti, za ktorú zodpovedalo ministerstvo financií, nepočítala s týmto trendom a hrozba tam nie je adresovaná.

Je potrebné vopred analyzovať prostredie. Je potrebné, aby na takýchto koncepčných a strategických dokumentoch participovali naozaj odborné kapacity nielen zo štátneho sektora, ale aj zo súkromného sektora a z akadémie.

Dá sa pri tvorbe strategických dokumentov inšpirovať v zahraničí?

Áno, dá sa. Slovenská republika sa má kým a čím inšpirovať. Lídrami v oblasti informačnej bezpečnosti v EÚ sú Nemecko či Holandsko. Máme aj stratégiu kybernetickej bezpečnosti, ktorú vytvorila Európska únia. Sú to všetko veľmi aktuálne dokumenty, ktoré poukazujú na hrozby globálneho charakteru. Týkajú sa aj Slovenskej republiky. Práve týmito dokumentmi sa môžeme inšpirovať.

Za väčšinu bezpečnostných incidentov v súkromnej sfére môžu interní zamestnanci, ako je to v prípade inštitúcií verejnej správy?

Trend je úplne rovnaký aj v prípade verejnej správy. Hovorí sa, že ľudský faktor je najväčšia zraniteľnosť v celom tomto systéme.

Interní zamestnanci sú zodpovední za neúmyselné úniky informácií spôsobené napríklad nekvalifikovanými zásahmi do infraštruktúry, chybnými konfiguráciami, ale aj neúmyselným porušovaním bezpečnostných politík napríklad tým, že si na pracovné stanice inštalujú vlastné aplikácie a programy. Využívajú verejné elektronické služby, ktoré ohrozujú a zvyšujú zraniteľnosť danej infraštruktúry.

Potom sú tu samozrejme úmyselné úniky informácií. Je veľmi zložité správne motivovať zamestnancov štátnej správy. Finančné ohodnotenie nie je porovnateľné so súkromným sektorom, čoho dôsledkom je, že zamestnanci sú zraniteľnejší v prípade, že im niekto ponúkne za informácie odplatu.

Sú tu taktiež cielené útoky. Veľmi vďačný typ útoku, relatívne lacný, sú phishingové útoky. Sú osvedčené a zaberajú nielen vo verejnej správe, ale aj v súkromnom sektore.

Trúfnu si zamestnanci vo verejnom sektore na vynášanie dát?

Nehovorím, že je to bežné, ale riziko tam je.

Ako sa dá vyrovnať s útokmi, ktoré prichádzajú z prostredia, kde nemá prakticky nikto jurisdikciu?

Po technickej stránke treba dbať na zabezpečenie odolnosti vlastnej infraštruktúry a to najmä tej kritickej. Po stránke politickej treba vyvíjať tlak na rôznych medzinárodných fórach, ktoré sa zaoberajú problematikou kybernetickej bezpečnosti.

Veľké úspechy má v tejto oblasti Organizácia pre a spoluprácu v Európe (OBSE), ktorá vytvorila prvý set opatrení na budovanie dôvery, tzv. confidence building measures. Tie majú znížiť riziko výskytu konfliktov vyplývajúcich z používania informačných a komunikačných technológií. V súčasnosti sa kreuje ďalší set.

Ďalej Organizácia spojených národov momentálne rokuje o kódexe informačnej bezpečnosti.  Aj tu je priestor pre krajiny z Európskej únie, aby vyvíjali nátlak na tie, ktoré na zabezpečenie veľmi nedbajú.

Jedna vec je ale vôľa, druhá vec je možnosť. Sú krajiny s veľmi zložitou ekonomickou a politickou situáciou, kde kybernetická bezpečnosť naozaj nie je prioritou. Kolegovia z estónskeho CSIRT-u nás informovali, že najviac útokov na ich webové služby pochádza z Egyptu. Nie je to preto, že by mal Egypt nejaký eminentný záujem v Estónsku. Je to spôsobené práve tým, že Egypt má nízku mieru zabezpečenia infraštruktúry a vďaka tomu je používaný ako proxy (prostredník) na realizáciu útokov.

Samozrejme aj v tejto oblasti nastala zmena. Vyspelé krajiny investovali do egyptských kapacít, do vzdelávania a do zvyšovania povedomia.

Majú signatári rôznych medzinárodných dohovorov aj reálny záujem o ich dodržiavanie?

Z mojich skúseností vyplýva, že áno. Sú pravidelné rokovania na relatívne vysokej úrovni, kde členské štáty OBSE majú povinnosť odreportovať, ako sú na tom s implementáciou jednotlivých opatrení na budovanie dôvery a aké sú ďalšie plánované kroky.

Platí, že existuje rastúci trend bezpečnostných incidentov?

Určite áno. Zvyšuje sa počet bezpečnostných incidentov, vzrastá ich sofistikovanosť a cielenosť. Tento trend bude stále len narastať. Vyplýva to z toho, že sa aktivity z tzv. off-line sveta prenášajú do on-line sveta. Tým pádom bude táto oblasť pre útočníkov čoraz atraktívnejšia.

Motiváciou sú relatívne nízke náklady na páchanie trestnej činnosti s relatívne vysokým ziskom, anonymita či zlá vymožiteľnosť práva. To sú všetko aspekty, ktoré hovoria o tom, že kybernetická kriminalita bude mať vzrastajúci trend.

Na základe našich štatistík dokážeme povedať, že je minimálne 10 % všetkých pracovných staníc na Slovensku kompromitovaných; veľká časť zraniteľných. Takto kompromitované zariadenia sa následne využívajú na realizáciu rôznych automatizovaných útokov, či už ide o DDoS útoky (Distributed Denial of Service Attack – zahltenie služby) alebo prostredníctvom siete botnetov.

Čo je však horšie, tieto zariadenia sú používané aj na cielené útoky na kritickú infraštruktúru, na finančný sektor alebo verejné inštitúcie. Tam je tá motivácia už nielen ekonomická, ale aj politická. Vznikajú tým veľké škody.

Čo je potrebné k tomu, aby sa do riešenia informačnej bezpečnosti viac zapojil aj súkromný sektor a akademická sféra?

Súkromný sektor by mal byť paradoxne motorom riešenia otázok kybernetickej bezpečnosti. 80 % kritickej infraštruktúry je v rukách súkromného sektora. Úlohou štátu by malo byť hlavne vytváranie podmienok. To jednak z pohľadu legislatívy, ale aj za aktívneho prispievania vo forme know-how. Tu sa ale očakáva určitá kompetentnosť a miera odbornosti úradníkov. Je to taktiež aj prostredníctvom sprostredkovania informácií o aktuálnych hrozbách, s ktorými štát disponuje tým, že je poprepájaný s ostatnými bezpečnostnými zložkami.

Súkromný a akademický sektor je ďalej možné stimulovať investovaním do výskumu a vývoja v oblasti informačnej bezpečnosti. Podľa mňa je dôležité zjednodušiť podnikanie v tejto oblasti. Momentálne sa rieši problematika startupov.  Majú veľký potenciál prispieť k riešeniu problematiky, pretože dokážu efektívnejšie reagovať na aktuálne výzvy.

Posledným, no nie menej dôležitým aspektom je dôvera. V krajinách ako Holandsko, Nemecko alebo Fínsko je prepojenie troch sektorov veľmi úzke a dlhodobé. Tam tá dôvera je. Na Slovensku sa v súčasnosti stále len buduje.

Akú formu môže mať budovanie dôvery?

Koncepcia navrhuje zriadenie platformy pre diskusiu. Je to jedna z možných ciest. Ministerstvo financií v spolupráci s Univerzitou Komenského a Slovenskou technickou univerzitou buduje Centrum excelentnosti pre informačnú bezpečnosť.