Také Jihomoravský kraj postihly na jaře 2020 široce diskutované ransomware útoky na tuzemské nemocnice. Tyto a další bezpečnostní problémy ukazují, jak zdejší (nejenom) státní instituce nejsou na problémy v kybernetickém prostoru připraveny.
Jihomoravský kraj se snaží reagovat. Od roku 2016 provozuje Kybernetické operační centrum (KOC), jež centrálně monitoruje a vyhodnocuje kybernetické bezpečnostní hrozby v sítích krajského úřadu a příspěvkových organizacích v celém kraji. Nově došlo k technickému rozšíření tohoto centra.
Vedoucí KOC Aleš Staněk v rozhovoru pro Lupu popisuje, jak centrum funguje, kolik sítí má pod dohledem, na jaké útoky nejčastěji naráží, jaké informace se zpracovávají či jak při odhalení problémů postupuje. Zmiňuje také tradiční problém informačních technologií ve státním sektoru, a sice tabulkové platy a velmi těžké hledání odborníků.
Proč bylo založeno Kybernetické operační centrum?
Oddělení Kybernetické operační centrum vzniklo v roce 2016 v reakci na přijetí zákona o kybernetické bezpečnosti. Od září roku 2016 je v provozu dohledové centrum KOC. Hned při vzniku se počítalo s tím, že bude pracoviště zajišťovat služby příspěvkovým organizacím kraje. V březnu 2017 byly připojeny první tři. Na těch se otestovalo, že je koncept funkční, a postupně ve dvou dalších vlnách byly připojeny další organizace (zákazníci). Většímu rozšiřování brání personální limity na straně KOC.
Jsou problematické finance na další kvalifikované lidi?
Toto je obrovský problém, jsme úředníci placení podle tabulek. Platy neodpovídají situaci na trhu práce. Pokud se objeví zajímavý uchazeč o práci v KOC, často ho odradí právě nabízený plat.
Kolik lidí u vás pracuje?
V současnosti jsou obsazena dvě místa analytiků a na poloviční úvazek u nás pracuje jeden specialista dohledu a vedoucí KOC. Do týmu patří také DPO (Data Protection Officer) a kolegyně, která řeší zejména administrativu kolem problematiky GDPR. Od založení KOC se bohužel dosud nepodařilo naplnit volná místa. Využíváme rovněž takzvané dohodáře.
Veškerý provoz infrastruktury pro nás zajišťuje externí firma. To výrazně pomáhá zefektivnit procesy při správě infrastruktury. Externí firma nám nabízí specialisty na jednotlivé systémy, mimo jiné provozuje vlastní testovací prostředí. My nemusíme řešit provoz a soustředíme se na bezpečnostní dohled.
Fungujete na směny, aby byl zajištěn nonstop dohled?
V tomto počtu lidí nelze zajistit vícesměnný provoz. Vzhledem k tomu, že na úřadu můžeme využívat pružnou pracovní dobu, ve všední dny pokrýváme dobu od zhruba šesti do osmnácti hodin.
Při rozjezdu a rozšiřování KOC jste dle vašich slov narazili na procesní a administrativní překážky. Co konkrétně máte na mysli?
Problémy máme s vymezením kompetencí. Bezpečnost úkoluje provoz IT a ten občas nepřikládá požadavkům bezpečnosti dostatečnou váhu. Brání se změnám, které mají zvýšit bezpečnost, s odůvodněním, že na to nemají kapacity, finanční ani lidské. Z počátku byla externí bezpečnost pro zákazníky chápána jako „špiclování“ ze strany zřizovatele a byl kladen aktivní odpor.
Problémem je také personální naplnění KOC. Zaměstnanci potřebují neustále školit, IT školení jsou ve srovnání se školeními pro ostatní úředníky násobně dražší. Není možné najít dostatek financí pro odměňování, jsme vázáni tabulkami.
Jaké investice jsou na provoz a další rozvoj KOC potřeba?
Roční provoz bez mzdových nákladů je ve výši zhruba jednoho a půl milionu korun.
Architektura Kybernetického operačního centra v Jihomoravském kraji před rozšířením
Jaké jste už během vaší práce zaznamenali útoky?
Asi nejčastější jsou nejrůznější phishingové kampaně, dále BEC (business e-mail compromise útoky) či útoky na veřejně dostupné nedostatečně aktualizované zranitelné systémy (VPN, RDP, webové aplikace). Zaznamenali jsme také pokusy o supply chain útoky. Řešili jsme špatně zabezpečené aplikace. Dodavatel používal heslo shodné s username o délce dvou znaků a toto heslo bylo funkční v aplikaci napříč více kraji a dalšími organizacemi, které aplikaci používaly.
Jaký je postup v případě, že odhalíte napadení?
Pozitivní nález v systémech provozovaných Jihomoravským krajem, které jsou zařazeny mezi VIS (významný informační systém), jsme povinni neprodleně nahlásit Národnímu úřadu pro kybernetickou a informační bezpečnost (NÚKIB). Samozřejmě kontaktujeme správce systémů, popíšeme problém a případně dále spolupracujeme na jeho odstranění. U příspěvkových organizací je to jednodušší, nespadají pod zákon o kybernetické bezpečnosti, není tedy povinnost hlásit. Primárním komunikačním kanálem je založení ticketu, při závažných detekcích pro urychlení využíváme telefonní spojení na pohotovost jednotlivých PO.
Je rozšiřování KOC reakcí na ransomware útoky, které proběhly na zdejší nemocnice?
Po incidentu v benešovské nemocnici uspořádal Dušan Chvojka (náměstek ředitele pro ICT Nemocnice Na Homolce a zároveň DPO benešovské nemocnice) 16. ledna loňského roku konferenci, na které byly pro pozvané bezpečnostní profesionály prezentovány všechny informace z incidentu v Benešově. Vzhledem k tomu, že se fungování IT v nemocnicích výrazně podobá, mohl by se stejný scénář zopakovat v kterékoli jiné nemocnici. To se potvrdilo mimo jiné ve Fakultní nemocnici Brno Bohunice.
Hledal jsem možnosti, jak změnit detekční schopnosti KOC, abychom podobný útok zachytili dříve, než se začnou šifrovat data. Z možností jsem vsadil na technologii EDR (Endpoint Detection & Response). Ve státní správě je třeba nejdříve zajistit peníze, k tomu musí být patřičné zdůvodnění a pak podpora zastupitelů a radních, kteří nakonec vše schvalují.
V tomto případě pomohla čísla – náklady na nápravu škod po útocích v Benešově činily 50 milionů korun a ve FN Brno to bylo 150 milionů. Ve srovnání s tím je rozpočet deset milionů na šest let zanedbatelná částka. Tím však práce na projektu zdaleka ještě nezačaly. Musel jsem připravit technickou část pro zadání výběrového řízení a celým procesem projít až do realizace.
Kolik sítí, systémů a institucí máte pod dohledem?
V současnosti máme pod dohledem síť Jihomoravského kraje, sítě všech krajských nemocnic, síť Zdravotnické záchranné služby Jihomoravského kraje, geograficky velmi členitou síť Správy a údržby silnic a sítě tří středních škol. Do celkového počtu šestnáct pak zbývá síť KOC. Tu samozřejmě monitorujeme také. Aktuálně probíhá sběr logů z více než 660 zařízení různého typu a kritičnosti, od switche po firewall. Celkově máme evidováno 715 logujících zařízení, kdy některá z těchto zařízení logují nepravidelně a po určitou dobu mohou být i odpojena.
Jak velké objemy dat zpracováváte?
Za rok 2020 evidujeme přes 27 miliard logů, kdy se v průměru jedná o 625 milionů za týden. Konkrétně síť Krajského úřadu Jihomoravského kraje generuje týdně více než 140 milionů logů a za loňský rok se jedná o sedm miliard logů pouze z této sítě. Z pohledu velikosti dat je v dvanáctiměsíční záloze drženo přes 13 terabajtů dat. Logy uchováváme pro všechny připojené organizace po dobu jednoho roku, starší data se přepisují novými.
Jaká data sbíráte a co v nich hledáte?
Před nasazením EDR to byly čistě jen logy z infrastruktury připojených organizací a některých klíčových aplikací. Logy se sbírají, indexují a dále vyhodnocují zejména pro kontrolu dodržování standardů a dobrých praktik (best practices), detekci a reporting útoků a anomálií, přehled v událostech a orientaci v prostředí nebo forenzní a reverzní analýzu aktivit v prostředí. Obecně nás zajímají takové aktivity, které mohou vést k bezpečnostní události nebo incidentu.
Architektura Kybernetického operačního centra v Jihomoravském kraji po rozšíření
KOC se napojuje na ESET Cloud, kde získává aktualizace, repozitář a podobně. Jsou i nějaké další služby či databáze, ze kterých čerpáte?
Ano, je to znázorněno v přiloženém schématu. Další technologie, která využívá cloud výrobce, je Flowmon. Při řešení bezpečnostních událostí využíváme analýzu IP adres a domén, analýzu reputace a přijatých e-mailů, kontrolu prolomených databází, databáze zranitelností nebo třeba databázi MITRE ATT&CK.
Jaký je podíl lidské a strojové práce?
Bez práce analytiků a spolupráce se správci systémů se neobejdeme. Neexistuje absolutní bezpečnost, a už vůbec se nedá zajistit nákupem nějakého super chytrého black boxu. Strojové zpracování je nezbytné, tak obrovské množství informací by se bez toho ručně zpracovat nedalo. Lidská práce je pak potřeba k rozhodnutí, zda konkrétní činnost byla záměrná a legální, nebo šlo o činnost útočníka. Připojení z exotické geolokace k systému a jeho konfigurace může znamenat úspěšné prolomení obrany, ale také to může být administrátor na dovolené, který zrovna pomáhá svému kolegovi na dálku. Mezi tím stroj rozdíl asi neuvidí.
Jak vypadá váš technologický stack?
Tady nebudu moc konkrétní, popíšu to spíše blokově. Logy ze sítí zákazníků jsou kolektorem po blocích komprimovány a šifrovaným tunelem odesílány do KOC. V KOC se v nezměněné (RAW) podobě uloží do log managementu syslog-ng Store Box. Nejmladší data jsou uložena v části s rychlými SSD, starší pak odkládáme na NAS. Přes smart konektory jsou klíčové prvky napojeny do SIEM (ArcSight). Jedná se zejména o logy z firewallů, z technologií pro správu a ověřování identity, řízení přístupových oprávnění a podobně. Pro zákazníky provozujeme webový portál, přes který se mohou dostat k našim technologiím a kdykoli třeba dohledat logy jakékoliv události v jejich síti. Nejdůležitější technologie sledujeme přes provozní monitoring, k tomu používáme Centreon. Pro evidenci požadavků na správce a oboustrannou komunikaci využíváme ticketovací systém Request Tracker. Vyhodnocujeme net flow pomocí technologie Flowmon.
Používáte pouze vlastní serverovou infrastrukturu, nebo vám něco běží ve veřejných cloudech?
Veškerá infrastruktura KOC je vlastní. Pro specifické činnosti (například fake phishingová kampaň) občas využíváme VPS pro běh e-mailového serveru a podobně. Naše technologie běží zčásti na samotném WH a zčásti ve virtualizaci.
Mluvíte o kolektorech. To znamená, že do organizací, které monitorujete, umisťujete hardwarové prvky?
Po technické stránce se připojením organizace rozumí integrace kolektoru do infrastruktury organizace, zprovoznění logování na aktivních prvcích sítě a jejich odesílání na kolektor. Kolektor je server v majetku KOC. V síti zákazníka se chová jako pasivní prvek, kdy na specifických portech přijímá logy. V projektu EDR se kolektory využily pro běh virtuálního stroje, na kterém běží server ESET Enterprise Inspector (EEI).
Tento nástroj je právě předmětem rozšíření KOC?
Enterprise Inspector byl pořízen právě v rámci rozšiřovacího projektu EDR. S výhodou se využilo toho, že pouze dvě nemocnice využívaly jiný antivirový systém než ESET. Pro většinu správců sítí tak bylo jednodušší pracovat ve známém prostředí. Hardwarové kolektory se rozšířily o RAM a diskový prostor, aby se daly využít jako servery EEI. Ty jedou ve virtuálním stroji na serverech kolektorů. V infrastruktuře nemocnic nebylo třeba nic složitě implementovat, „jen“ se doinstalovali EEI agenti na koncová zařízení. Postupně se pak detekce z EEI napojily přes smart konektor do našeho SIEM.
Jsou na straně těchto organizací potřeba specifické zásahy nebo navyšování rozpočtů?
Připojované organizaci nevzniknou po připojení žádné vícenáklady, pokud se ovšem nepočítá lidská práce. Provoz IT v připojené organizaci na základě požadavků z KOC má více práce. Všechny zjištěné nedostatky musí řešit. Pokud je v organizaci IT outsourcováno, pak se to projeví na vyšším čerpání servisních hodin, a to samozřejmě s sebou nese vyšší finanční náklady.
Budete chtít vaše know-how poskytovat například dalším krajům či jiným státním organizacím?
Tady je potřeba rozdělit know-how na dvě části. První část je to, co je opravdu naše (myšleno KOC) a co je našeho dodavatele dohledového centra. Samozřejmě nemáme problém se o naše zkušenosti podělit. Dříve jsem aktivně vyhledával možnosti, jak KOC více propagovat. Přednášel jsem na konferencích, snažil se připravovat články pro různá média. Výsledkem byly dvě konzultace, jedna se zástupci GIBS a druhá se zakladatelem komunitní iniciativy a platformy Hospital SOC (hSOC). U zrodu této iniciativy stál již zmiňovaný Dušan Chvojka. Nikdo jiný zájem neprojevil.
Spolupracujete s NÚKIBem nad rámec toho, co řeší zákon o kybernetické bezpečnosti?
Spolupráce dle požadavků zákona je samozřejmostí, nad rámec občas pošleme nějaké zajímavé události, které jsme řešili. Snažíme se spolupracovat i jinak, například jsme u nás spolupořádali semináře pro IT pracovníky z krajských úřadů, na kterých přednášeli odborníci z NÚKIB.
