Andrea Kropáčová se nedávno vrátila z Bruselu, kde se se svými kolegy pokoušela ubránit Českou republiku před kyberútokem na elektrárenské sítě a před pokusem ukrást citlivá data českým bezpečnostním agenturám.
Oba útoky byly naštěstí jen simulované. Bruselské cvičení Cyber Atlantic 2011 mělo prověřit připravenost vlád USA a EU reagovat na rozsáhlou kybernetickou hrozbu, tedy útok z internetu na důležitou infrastrukturu státu. Za ČR se akce zúčastnily dva týmy - národní CSIRT.CZ a akademický tým CESNET-CERTS.
CSIRT, CZ.NIC a ty další
Zkratka CSIRT pochází z anglického Computer Security Incident Response Team. Český národní bezpečnostní tým CSIRT.CZ provozuje na základě dohody mezi Ministerstvem vnitra ČR od ledna 2011 sdružení CZ.NIC. Podílí se na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.
Vedle národního týmu CSIRT.CZ působí v ČR ještě tři další akreditované CSIRT týmy. CESNET-CERTS provozovaný sdružením CESNET, CZ.NIC-CSIRT provozovaný sdružením CZ.NIC a CSIRT-MU provozovaný Masarykovou univerzitou.
CZ.NIC je zájmové sdružení právnických osob, založené předními poskytovateli internetových služeb v roce 1998. Jeho hlavní činností je provozování registru doménových jmen na doméně .cz a zabezpečování provozu domény nejvyšší úrovně CZ a osvěta v oblasti doménových jmen.
Jak bezpečný tedy je český kyberprostor? Jak efektivně je Česko schopné se kyberhrozbám bránit? A co českým "strážcům sítě" zkouška plošného kyberútoku přinesla? Ptali jsme se členky českého CSIRT.CZ Andrey Kropáčové:
Datarama: Kdo dnes chrání český kyberprostor?
Andrea Kropáčová: V současné době CSIRT.CZ, provozovaný sdružením CZ.NIC. Funguje na základě memoranda s ministerstvem vnitra. Do poloviny roku 2012 by ministerstvo vnitra mělo vytvořit ještě jeden tým, tzv. vládní CSIRT.
K čemu potřebujeme dva CSIRT a v čem by se měly lišit?
Národní tým by měl být zaměřen spíše na akademickou sféru, soukromý sektor a občany. Vládní tým byl měl fungovat jako tým tzv. interního typu, který bude schopen v případě nebezpečí efektivně zasáhnout. K tomu je nutné změnit legislativu. K výkonu této pravomoci by měla být stanovena jasně daná práva a povinnosti, respektive by mělo dojít k přesnému internímu vymezení této instituce tak, aby se stala fungujícím prvkem sloužícím k ochraně zájmů státu.
Dnes tyto pravomoci máte vy, jako národní CSIRT?
Nemáme. Současný CSIRT nemá žádné výkonné pravomoci ani povinnosti. Spolupracujeme s ostatními CSIRT a s provozovateli sítí a služeb. Přijímáme a vyhodnocujeme informace o potenciálních hrozbách. V případě hrozeb či kybernetických útoků informujeme dotčené subjekty, na jejichž sítích k těmto aktivitám dochází nebo které by se mohly stát cílem útoku.
Dobrovolná spolupráce
Nedávno se internetem šířil virus Duqu, který se zaměřoval na infikování evropských energetických společností. Zabývali jste se touto hrozbou a jak si tuto reakci představit?
Ano. Ohledně Duqu jsme dostali informace od Američanů, kteří zachytili, že na určitých sítích v Česku by mohlo hrozit nebezpečí. Kontaktovali jsme proto správce těchto sítí, upozornili je na vzniklé riziko a požádali o kontrolu, případné odstranění problému a zpětnou vazbu.
Co jste se dozvěděli?
Informace od těchto subjektů zatím analyzujeme.
Z jakého titulu v podobných případech kontaktujete správce sítí? Musí s vámi jednat?
Veškerá komunikace mezi týmem CSIRT.CZ a provozovateli sítí a služeb je založená na vztazích, které si CSIRT.CZ (a sdružení CZ.NIC) za dobu svého působení s těmito subjekty vybudoval. Ke spolupráci s námi je nic nenutí, je to na dobrovolnosti.
Nejsme v Evropě jediní
Kolik lidí tvoří český národní CSIRT?
Celkem čtyři lidé, kteří pracují na poloviční úvazek. Dobrovolně jsou samozřejmě připraveni kdykoliv pomoci i ostatní odborníci sdružení CZ.NIC.
Znamená to tedy, že český kyberprostor hlídají čtyři lidé, zaměstnanci soukromé firmy, bez jakýchkoliv pravomocí?
CZ.NIC není soukromá firma v běžném slova smyslu, ale sdružení právnických osob. Na jeho řízení se může podílet každý subjekt, který do něj vstoupí.
A to nevnímáte jako bezpečnostní riziko?
Není to ideální, ale v podobné situaci nejsme v Evropě jediní. Je jen málo zemí, které mají silný vládní CSIRT. A národní CSIRT plní především koordinační roli. Úspěšná obrana a následná reakce na plošný kybernetický útok v sobě bezprostředně nutně zahrnuje spolupráci všech zainteresovaných složek.
Kdo ručí za bezpečný kyberprostor
Jak bezpečný je podle vás český kyberprostor?
Soudit, jak je na tom Česko s bezpečností v kyberprostoru, si netroufám.
Ale to byste měla, když za něj ručíte.
No právě že neručíme. Jsme ti, kdo se o bezpečnost kyberprostoru zajímají a v případě nebezpečí se mu určitě pokusíme čelit. Pomáháme, komunikujeme a spolupracujeme, ale za bezpečnost neručíme, v současné situaci ani nemůžeme.
To není příliš uklidňující zpráva. Co by se tedy stalo v případě, že Česko bude čelit závažnému útoku?
Předpokládám, že by vznikl krizový tým, jehož bychom, doufejme, byli součástí a v jehož rámci bychom pak využili našich schopností a kontaktů problém řešit. Postarali bychom se o koordinaci relevantních informací a komunikaci. Bez vlády nebo silových resortů by to ale nešlo.
V případě nebezpečí tedy český stát závisí na soukromé firmě a jejích kontaktech na operátory a správce sítí. Kolik zemí v EU je na tom podobně?
Řekla bych, že mnoho. Dobře etablované týmy vrcholné úrovně (národní, vládní) a dobře nastavenou spolupráci má například Finsko, Holandsko, Německo a částečně Velká Británie. Ty ostatní si netroufám hodnotit. Je to dáno také tím, že jsou to státy se stabilním právním prostředím, kde je možné efektivně vymáhat právo. Tyto země mají též ochranu kyberprostoru zakotvenou v legislativě.
Hrozil útok a nevěděli jsme na koho
Jak obstál český CSIRT při cvičení Cyber Atlantic 2011?
Tato cvičení nejsou soutěžní. Nehraje se tam na vítěze a poražené. Jde o to, na základě simulované situace zapojit všechny dohromady a vyzkoušet si, jaké problémy v praxi mohou vzniknout a jak bychom byli schopni podobným nebezpečím čelit v reálném čase.
Tak to muselo být pro český "soukromý" CSIRT bez pravomocí velmi poučné. Co jste si přivezli za poznatky?
Velmi poučné. Mám asi deset listů poznámek. Na vlastní kůži jsme si vyzkoušeli, že je co zlepšovat. Narazili jsme například na situaci, kdy hrozil útok na energetické organizace, které tvoří kritickou infrastrukturu země, ale nevěděli jsme, na které přesně. To je přesně moment, kdy bychom jako národní CSIRT měli komunikovat s vládou a jejími krizovými složkami a mít k dispozici popis kritické infrastruktury země a relevantní kontakty. Tuto spolupráci a sdílení informací by měl stát mít dopředu definované a nacvičené.
A znovu, v takovém případě s vámi tyto subjekty nemusí spolupracovat. Co potom?
Pokud bychom je varovali před něčím opravdu nebezpečným a oni odmítli spolupracovat, pak už role národního CSIRT nestačí a je nutné požádat o intervenci bezpečnostní složky státu. To by právě mělo vyplývat z předem dohodnutých plánů obrany, rolí a na základě předem dohodnuté spolupráce.
Deset listů poznámek
Co pro vás ještě cvičení odhalilo nečekaného?
Zjistili jsme například, že CSIRT nemají mezi sebou vyjasněné sdílení relevantních informací. Dostali jsme se do situace, kdy jsme potřebovali informace a partnerský CSIRT nám je odmítl vydat. To je třeba věc, kterou by měla reflektovat legislativa, aby se členové CSIRT nemuseli bát, že prozradí citlivé nebo osobní údaje.
Navrhnete tedy na základě poznatků z Cyber Atlantic zákonodárcům změny, které by situaci v Česku zlepšily?
Poznatky ze Cyber Atlantic použiji především a okamžitě pro rozvoj týmu CSIRT.CZ. Samozřejmě se nebráním podělit se o ně s kýmkoliv, kdo je bude chtít slyšet. Ale bohužel nejsem v pozici, kdy bych měla někomu aktivně změny navrhovat.
To se ale pohybujeme v kruhu. Nemáte pravomoci ani odpovědnost, nemůžete navrhnout změnu zákonů, poslance ani ministerstvo to nezajímá, takže příští rok budete mít dvacet listů poznámek, ale nikdo se to nedozví.
I tak to může dopadnout. Osobně nepředpokládám, že bude ale tato oblast do budoucna opomíjena. Spíše si myslím, že její důležitost a význam, a tedy i zájem o ni poroste.
Zákaz šifrování
Tento rok se témata jako hacking nebo kyberbezpečnost dostala na titulní strany novin. Hlavně díky skupinám jako LulzSec nebo Anonymous. Hrozí podle vás od těchto skupin reálné nebezpečí?
Určitě bych je nepodceňovala.
Na základě akcí těchto hacktivistů už řada zemí chystá přísnější legislativu, která státu umožní zase více nahlédnout do soukromí lidí. Myslíte, že je třeba zpřísňovat zákony?
Chce-li občan, aby ho bezpečnostní složky v prostředí internetu efektivně chránily, je absurdní si myslet, že si udrží stoprocentní soukromí a anonymitu. Chceme-li ochranu, nemůžeme těmto složkám svazovat ruce.
Stoprocentní anonymita není na internetu možná ani dnes. Ta otázka stojí jinak: chceme větší ochranu, než teď máme?
Samozřejmě bych nebyla ráda, kdyby stát viděl až na datovou úroveň. Tedy co na internetu dělám, jaká data si vyměňuji nebo aby někdo četl obsah poštovních zpráv (e-mailů). Záleželo by na konkrétních změnách. Už dnes je například ve Francii zakázáno používat šifrování. Pokud budete v Británii podezřelý a policie vás požádá o šifrovací klíč k vašemu laptopu, můžete se dostat do vězení, když odmítnete.
A to vám připadá správné? Proč bych si potom laptop šifroval?
Nepřipadá mi to správné a doufám, že tímto směrem vývoj nepůjde.
Informační stopa
Jak vnímáte otázku anonymity na internetu?
Anonymita je a není. Vytvořit na internetu falešnou identitu je jednoduché a jako uživatel nemáte moc šancí to odhalit. Na druhou stranu internet anonymní není, protože tam za sebou jako uživatelé necháváme informační stopu.
Co si myslíte o tlaku firem jako Facebook nebo Google, aby jejich uživatelé na internetu používali pravou identitu?
Je svobodná volba uživatele, které služby v prostředí internetu používá a které ne. Nikdo nikoho nenutí používat Facebook, když nesouhlasí s provozními podmínkami. Cokoliv na internetu jako uživatelé děláme, je naše odpovědnost a jen my si musíme vyhodnotit rizika svého chování a nést následky.
TIP: Líbí se vám naše články? Sledujte Dataramu na Facebooku, na Google+ nebo na Twitteru!
