Estónsko si v minulom roku pripísalo nemilé prvenstvo. V apríli a máji sa stalo terčom hackerských útokov dovtedy nevídaného rozsahu, ktoré ochromili webové stránky ministerstiev, bánk či médií. Za dobre zorganizovaný a koordinovaný postup domácich odborníkov na bezpečnosť IT a špecialistov zo zahraničia si neskôr krajina vyslúžila pochvalu.
Keby hackeri podobným spôsobom zaútočili na slovenské weby, dobre zorganizovaného a koordinovaného postupu úradov či polície by sa obávať nemuseli. Na Slovensku neexistuje žiadna inštitúcia, ktorá by sa informačnou bezpečnosťou systematicky zaoberala a budovala vzťahy s odborníkmi v zahraničí. Čoskoro by sa to malo zmeniť.
Druhý pokus
Vláda chce tento rok vytvoriť stredisko pre riešenie počítačových incidentov – SCIRT (Computer Security Incident Response Team). V snahe zvýšiť internetovú bezpečnosť má zohrávať rovnakú úlohu ako požiarnici – hasiť vzniknuté problémy.
Samozrejme, bude tiež zisťovať, kto pohromu spôsobil, vyčíslovať škody i následky, zisťovať príčiny a pri podozrení z trestného činu má spolupracovať s políciou. A keďže mnohým bezpečnostným incidentom sa dá, rovnako ako požiarom, predísť, jeho náplňou bude aj prevencia v podobe školení a šírenia informácií.
Vo svete sú jednotky „kybernetických hasičov“ bežné. Fungujú ako poradné a expertné organizácie na rôznych úrovniach.
Na riešenie bezpečnostných problémov a internetovej kriminality ich vytvárajú vlády, univerzity, združenia či firmy. Okrem skratky SCIRT sa skrývajú aj pod označením CERT (Computer Emergency Response Team). V Európskej únii ich má každá členská krajina s výnimkou Slovenska, Rumunska a Bulharska.
Ani na Slovensku nie je zriadenie takéhoto strediska úplne nová myšlienka. Pohrával sa s ňou už akčný plán stratégie informatizácie spoločnosti v roku 2004.
Ten počítal s tým, že do jedného roku vznikne inštitúcia, ktorá by riešila problematiku takzvanej všeobecnosti informačnej bezpečnosti. Teda bezpečnosti informačných systémov, ktoré neobsahujú utajované skutočnosti.
Jeden CERT už dokonca na Slovensku vznikol. V prvej polovici deväťdesiatych rokov pri Slovenskej akadémii vied. Ľuďom z univerzít poskytoval informácie o problematike bezpečnosti aj dostupné bezplatné nástroje. No po niekoľkých rokoch zanikol.
Za vznik národného slovenského CSIRT posledné dva až tri roky lobovali aj subjekty zo súkromnej sféry. Predovšetkým IT Asociácia Slovenska (ITAS), Slovenská asociácia pre informačnú bezpečnosť (SASIB) a Slovenská banková asociácia (SBA).
„Aktivita nevychádzala priamo od vlády, skôr od organizácií, ktoré mali na vzniku a prevádzke strediska záujem,“ tvrdí Ivan Makatúra, vedúci pracovnej skupiny pre informačnú bezpečnosť SBA a člen SASIB. A dodáva, že pochopenie našli až na ministerstve financií, ktoré od rezortu dopravy prebralo agendu informatizácie spoločnosti v minulom roku.
Tajná štúdia
Ministerstvo financií začlenilo vytvorenie slovenského CSIRT do návrhu Národnej stratégie pre informačnú bezpečnosť. Tá je v súčasnosti v medzirezortnom pripomienkovom konaní, odkiaľ po zapracovaní prípadných pripomienok poputuje na schválenie vláde.
Ak ju vládny kabinet odobrí, koncom mája by mal byť hotový aj konkrétny návrh na vytvorenie národnej jednotky pre riešenie počítačových incidentov.
Vychádzať bude zo štúdie, ktorú si rezort nechal vypracovať asociáciou SASIB. Dokument opisuje postavenie jednotlivých organizácií CSIRT a CERT v celosvetovom meradle, okolitých krajinách a navrhuje, ako by slovenské stredisko malo vyzerať – jeho kompetencie, organizačnú štruktúru i nároky na personálne, technické a finančné zabezpečenie.
Štúdiu za 150-tisíc korún ministerstvo financií TRENDU odmietlo poskytnúť s odôvodnením, že ešte nejde o finálnu podobu materiálu.
- Čo bude CSIRT robiť
- monitorovať hrozby
- vytvárať systém včasného varovania (informovať o existujúcich hrozbách, vyhlasovať poplach)
- pomáhať pri riešení bezpečnostných incidentov
- identifikovať, zaznamenávať a vyhodnocovať bezpečnostné incidenty
- monitorovať efektívnosť navrhovaných opatrení na riešenie bezpečnostných incidentov
- koordinovať bezpečnostné stratégie jednotlivých systémov národnej informačnej a komunikačnej infraštruktúry
- spolupracovať s organizáciami pre bezpečnosť IT v iných krajinách
- zvyšovať bezpečnostné povedomie
- vytvárať legislatívu a štandardy v oblasti informačnej bezpečnosti PRAMEŇ: Návrh Národnej stratégie pre informačnú bezpečnosť v SR
Doriešiť treba napríklad otázky financovania a spôsob riadenia CSIRT, hovorí riaditeľ odboru legislatívy, metodiky, štandardov a bezpečnosti informačných systémov Ministerstva financií SR Ján Hochmann. S tým, že rezort zverejní až kompletný návrh.
Najprv len pre vyvolených...
Stredisko by malo vzniknúť už koncom tohto roku, rozbiehať sa bude postupne. V prvej fáze poslúži hlavne štátnym inštitúciám, verejnej správe a finančnému sektoru, vysvetľuje J. Hochmann.
CSIRT v nich bude monitorovať výskyt všetkých bezpečnostných incidentov, analyzovať ich a vyhodnocovať dôsledky. Ak vznikne problém, ktorý by mohol ohroziť aj ostatné subjekty, okamžite ich upozorní. A bude pomáhať aj pri ich riešení.
Ak by stredisko existovalo pred dvoma rokmi, keď do informačného systému Národného bezpečnostného úradu (NBÚ) prenikli hackeri, pomáhalo by pri hľadaní vinníkov. Keďže vtedy úrady a polícia sami nedokázali prienik vypátrať, museli prísť zahraniční experti.
„Takýto postup stojí nielen peniaze, ale hrozí aj únik informácií do zahraničia,“ poukazuje na výhody slovenského CSIRT J. Hochmann.
Pravda, ani stredisko by prieniku do NBÚ nemohlo priamo zabrániť. Administrátori úradu s vlastným tímom na počítačovú bezpečnosť vo verejnej správe totiž vtedy nedodržal ani základné bezpečnostné postupy a urobili školácke chyby. Možno by im však pomohli školenia informatických odborníkov, ktoré bude CSIRT pripravovať.
Nový úrad by mohol poskytnúť pomocnú ruku napríklad pri marcovom phishingovom útoku, ktorý obišiel väčšinu spamových filtrov slúžiacich na zablokovanie nevyžiadanej pošty. Útočník sa vtedy prostredníctvom podvodného e-mailu snažil získať citlivé údaje o účtoch klientov Slovenskej sporiteľne.
Banka po zverejnení útoku v médiách zákazníkov varovala a podala trestné oznámenie na neznámeho páchateľa. Ako by jej i potenciálnym obetiam stredisko pomohlo?
CSIRT majú bežne kontakty na organizácie a firmy, ktoré môžu účinne zasiahnuť. Stačí napríklad, aby napadnutý podnik poslal vzorku phishingového e-mailu. „My ju analyzujeme a následne aktualizujeme skenery na e-mailových portáloch.
Tie potom dokážu aj takýto spam odchytiť,“ vysvetľuje Miroslav Trnka, šéf antivírusovej firmy Eset a predseda SASIB. Stredisko by, prirodzene, upozornilo aj iné firmy a internetových providerov, aby mohli rýchlo reagovať a čo najskôr zabrániť šíreniu takejto pošty.
CSIRT môže požiadať o pomoc aj internetového providera, v ktorého sieti je umiestnený server šíriaci phishing. „Provideri nemajú záujem zúčastňovať sa na kriminálnej aktivite, podmienky prevádzkovania služby im umožňujú takýchto zákazníkov odpojiť,“ dodáva M. Trnka. Ak sa spam šíri zo serverov umiestnených v zahraničí, stredisko požiada o spoluprácu CSIRT v danej krajine.
… potom pre všetkých
Neskôr by malo slovenské stredisko pre riešenie počítačových incidentov ponúkať svoje služby aj ostatným firmám a obyvateľom.
V druhej fáze bude poskytovať aj bezplatnú poradenskú činnosť pre jednotlivcov, ako je to napríklad v centrách právnej pomoci zriadených ministerstvom spravodlivosti, hovorí J. Hochmann. Fungovať by mala aj telefonická linka, kde sa budú môcť ľudia poradiť o otázkach bezpečnosti.
Základné informácie bude CSIRT postupne uverejňovať na svojej webstránke. Používatelia tam nájdu pravidlá bezpečného používania internetu, užitočné odkazy či poradňu.
A tiež informácie o incidentoch, ktoré úrad zozbiera pri monitorovaní internetového prostredia. Prirodzenie, len tie, ktoré nebudú považované za citlivé. Nedostane sa napríklad k štatistikám o incidentoch v bankovom sektore.
Podobné informatívne webstránky už v minulosti vznikli, ale aj rýchlo zanikli. Napríklad projekt kry-sa.sk. Keď v roku 2006 štartoval, záštitu nad ním prevzalo ministerstvo dopravy a odborným garantom bol ITAS.
No zhruba po roku projekt stroskotal. Na stránke prestali pribúdať nové informácie a diskutujúci sa už odpovedí v internetovej poradni nedočkali. Problém nebol podľa I. Makatúru v nedostatku financií, ale v tom že sa o projekt nemal kto starať.
Kto to zaplatí?
Rezort financií odhaduje, že vybudovanie strediska internetovej bezpečnosti bude stáť 20 miliónov korún. Tie má ministerstvo vyčlenené v tohtoročnom rozpočte.
Financovanie úradu v ďalších rokoch zatiaľ nie je jasné. Rezort financií síce hrubú predstavu o nákladoch strediska má, no zatiaľ ju zverejňovať nechce.
Problém s peniazmi vraj nebude. Prostriedky potrebné na prevádzku do roku 2013 zabezpečíme zo štátneho rozpočtu alebo rozpočtu rezortu a počítame aj s čerpaním štrukturálnych fondov, vysvetľuje J. Hochmann.
Dúfa však, že na chod organizácie prispeje aj súkromný sektor. Podľa neho do úvahy pripadajú napríklad banky. No kým komerčná sféra túto otázku zváži, bude najprv potrebné vyriešiť všetky otázky súvisiace s fungovaním úradu.
Pre komerčné subjekty bude dôležité hlavne to, aby bol CSIRT politicky nezávislá inštitúcia, pripomína. Zatiaľ by stredisko malo pôsobiť ako organizácia ministerstva financií a až neskôr sa osamostatniť.
Na to treba upraviť legislatívu. Úpravy zákonov sú potrebné aj preto, aby CSIRT mohol spolupracovať s inými štátnymi orgánmi a súkromnými firmami.
Jeho slová potvrdzuje I. Makatúra zo Slovenskej bankovej asociácie. Podľa neho sú úvahy o finančnej spoluúčasti bánk predčasné, kým nebude jasná náplň činností CSIRT. „Osobne to považujem za možné, ale vedenie asociácie o takejto možnosti zatiaľ nerokovalo,“ uzatvára.
Ilustračné foto - Profimedia.cz
