Sdružení CZ.NIC převzalo od 1. ledna 2011 zodpovědnost za provoz národního pracoviště CSIRT.CZ. Co přesně to znamená a co je vlastně CSIRT.CZ?
Se zkratkami CSIRT a CERT se poslední dobou můžeme setkat čím dál tím častěji – ať už ve výstupech z jednání orgánů státní správy, nebo z novinových článků. Obávám se ale, že poměrně značná část veřejnosti ještě stále úplně přesně neví, co to vlastně je a co se za těmito zkratkami vlastně skrývá.
CSIRT týmy
V uplynulých cca 10 letech zaznamenáváme masivní komercionalizaci Internetu. Zvyšuje se počet uživatelů a počet kritických aplikací, ať už ze sféry komerční (elektronické bankovnictví, elektronické obchody, …) nebo ze sféry státní (armádní a policejní systémy, informační servis státní správy a samosprávy, …).
S tím souvisí i zvyšující se počet bezpečnostních incidentů a nárůst jejich závažnosti a vzniká tak potřeba jednak vytvořit, zformalizovat a zefektivnit obranu proti těmto útokům, a také vzdělávat uživatele, aby byli hrozby a rizikové situace schopni rozpoznat.
Za tímto účelem jsou vytvářeny tzv. CERT (Computer Emergency Response Team) nebo CSIRT (Computer Security Incident Response Team). Dlužno dodat, že ačkoliv každá z těchto zkratek má trochu jiný význam a hlavně trochu jinou historickou genezi, ve skutečnosti se dnes za oběma zkratkami skrývají stejné typy týmů.
CSIRT týmy vznikají na úrovni jednotlivých organizací, přičemž jde jak o organizace, které zprostředkovávají chod Internetu (ISP, webhosteři, …), tak i o organizace, které prostředí Internetu používají ke své hlavní činnosti (banky, velké společnosti). CSIRT týmy vznikají i v orgánech státní správy, a to jak v bezpečnostních složkách jako je armáda nebo policie, tak v ostatních orgánech (ministerstva apod.).
Základní úlohou každého CSIRT týmu je spolupráce při řešení incidentů, které se týkají oblasti jeho působnosti. Standardně tedy CSIRT tým řeší problém, který se vyskytne v rámci jeho vlastní síťové infrastruktury, tedy tam, kde má fyzické možnosti k zásahu.
Mimochodem – i z tohoto popisu je zřejmé, že nejde o nic převratného nebo v praxi neexistujícího. Každá větší organizace má dnes (různě velký) bezpečnostní tým, který je více nebo méně formálně ustanoven a plní své úkoly. Rozdíl mezi běžným bezpečnostním týmem a týmem typu CSIRT je zejména ve sdílení informací a stanovení formálních postupů.
Každý CSIRT tým totiž veřejně deklaruje svá pravidla činnosti – kontaktní informace, způsob, jak a kdy je možné členy týmu zastihnout, jeho složení a zejména pak definuje oblast (síť, domény, služby), ve které je způsobilý konat a nad kterou má příslušné pravomoci a odpovědnosti. Jde o jednu z nejdůležitějších definic týmu. Na základě pole působnosti je potom tým kontaktován napadenými a řeší jemu příslušející problémy.
Hierarchie
V případě, že se řeší konkrétní incident, snaží se ho zúčastnění řešit přímo u zdroje. Pokud je tedy napadený zapojen (nebo alespoň informován o existenci) do struktury CSIRT, je často možné najít konkrétního odborníka v místě sítě, odkud je útok veden. Ten potom také dokáže efektivně problém řešit a jeho reakce jsou předvídatelné – vždyť svá pravidla hry sám dobrovolně zveřejnil. Tento postup je velmi pružný – tím, že komunikace neprochází přes různé úrovně, je rychlá a přesná a stejná potom může být i reakce.
Pokud však napadený nemůže nalézt odpovídající protějšek (ať už proto, že neexistuje, nedává o sobě žádné použitelné informace nebo prostě nereaguje), hodila by se nějaká eskalační úroveň, a to zejména v případech, kdy útok přichází ze zahraničí.
CSIRT týmy ale žádnou oficiální hierarchii nemají. Na běžné komunikační úrovni ji nahrazují sdružováním se v rámci profesních organizací (nejznámějšími jsou asi v celosvětovém měřítku organizace FIRST a v rámci Evropy potom aktivita Trusted Introducer).
Národní CSIRT
Kromě toho existuje forma tzv. národních CSIRT týmů. Týmy tohoto typu jednají s ostatními CSIRTy jako rovný s rovnými. Jsou součástí stejných struktur a také si stanovují vlastní pravidla hry. Jejich role v celém systému je ale odlišná. Národní CSIRT totiž plní funkci jakéhosi last resort – bodu poslední instance. Jejich cílem je v rámci státu nebo oblasti, kde působí, zprostředkovat kontakt mezi napadeným a týmem, který může útok řešit přímo.
Národní CSIRT tedy využívá svých konkrétních znalostí prostředí ve své zemi, kontaktů, které má k dispozici (oficiálních i neoficiálních), a často jako výrazné plus zafunguje i znalost jazyka konkrétní země.
Mandát „národního CSIRTu“ tým zpravidla získává oficiálně, prostřednictvím pověření od příslušného orgánu státní moci. Pokud však národní CSIRT není vytvořen s takovýmto formálním pověřením, často v reálné praxi plní jeho roli koordinátora jiný z etablovaných týmů dané země.
Pro pochopení odlišností národního CSIRTu je důležité si uvědomit, že tým neřeší přímo konkrétní napadení a incidenty. Jeho role skutečně spočívá ve zprostředkování kontaktu, případně v koordinaci postupu jednotlivých řešitelů v případě, že problém je rozsáhlejší a jeho řešení vyžaduje spolupráci více složek.
Národní CSIRT také neplní roli statistického centra. Vede si sice evidenci o incidentech, které mu jsou hlášeny a které řeší, jde však zpravidla pouze o špičku ledovce – z principu fungování celé struktury jsou incidenty, které projdou přes systém národního CSIRTu zpravidla jen zlomkem celkového počtu. Většina incidentů se vyřeší v rámci přímé komunikace, bez nutnosti eskalací a zprostředkování.
Co naopak národní CSIRT ve svém popisu práce má, je vzdělávání a spolupráce. Jedná se jak o osvětu směrem k veřejnosti, tak – zejména – o působení v rámci internetové infrastruktury. Cílem je podpora vytváření dalších CSIRT týmů v zemi, jejich uvádění na mezinárodní scénu a podpora při zavádění standardních postupů a procedur. To vše výrazně zvyšuje transparentnost prostředí a dává potom napadeným šanci efektivně se dobrat nápravy.
Národní a/nebo vládní CSIRT
Často se také můžeme setkat s pojmem vládní CSIRT. Jaký je tedy rozdíl (pokud vůbec) mezi národním a vládním týmem?
Národní CSIRT se obecně zaměřuje zejména na pomoc v oblasti komerčních organizací a akademických institucí. Řídí se vlastní politikou, stanovenou na základě dohody mezi jednotlivými participujícími členy, přičemž tyto postupy nejsou vynutitelné a vycházejí z obecného konsensu. Má především edukační a koordinační roli.
Vládní CSIRT se zaměřuje na oblast státní správy a samosprávy a na řešení incidentů, které ohrožují bezpečnost státu. Často jde o státní instituci, pro kterou jsou vytvořeny i konkrétní zákony a která může mít i možnost přímého zásahu v případě problému.
Oba týmy spolu samozřejmě musí spolupracovat a komunikovat, pokud tedy jde o dvě oddělené instituce.
Jak to tedy bývá v praxi? Záleží na situaci v konkrétní zemi. Možné jsou v principu všechny varianty, které si umíme představit. Jsou země, kde funguje jeden úřad (vládní CSIRT), který plní jak roli last resort pro komerční sféru, tak roli vládní směrem ke státní správě a je řízen zcela specifickým zákonem, který mu často dává i poměrně rozsáhlé pravomoci. Jsou země, kde oba týmy fungují vedle sebe, mají příslušně rozdělené role a vzájemně spolupracují. A jsou i země, kde obě role plní pracoviště národního CSIRTu, zpravidla na základě nějaké konkrétní dohody s příslušným státním orgánem.
Situace v ČR
Prvním formalizovaným bezpečnostním týmem v České republice byl CESNET-CERTS, který vznikl v roce 2004. V roce 2008 potom bylo v rámci grantu nazvaného Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky vybudováno modelové pracoviště CSIRT.CZ. Vzniklo na půdě sdružení CESNET, jeho činnost zajišťovali pracovníci již zmíněného CESNET-CERTS a fungoval až do konce roku 2010.
K 1. lednu tohoto roku chod tohoto pracoviště plynule přešel pod správu sdružení CZ.NIC. Stalo se tak na základě memoranda, které uzavřelo Ministerstvo vnitra České republiky a sdružení CZ.NIC na konci minulého roku. Součástí memoranda je oficiální pověření týmu vykonávat funkci národního CSIRT pro Českou Republiku. Kromě toho se sdružení CZ.NIC zavazuje až do 30. června 2012 plnit roli kontaktního centra pro vládní CSIRT této země.
V rámci aktivity Trusted Introducer jsou dnes z ČR evidovány (kromě zde zmíněných CSIRT.CZ a CESNET-CERTS) ještě bezpečnostní tým Masarykovy univerzity CSIRT-MU a interní tým CZ.NIC CZ.NIC-CSIRT.
K tomu, aby počet takto etablovaných týmů v Česku rostl, slouží mimo jiné i pracovní skupina CSIRT.CZ. Ta je aktivní již několik let (v podstatě od začátku fungování modelového pracoviště) a její činnost bude nadále pokračovat. Spolupráce tohoto typu je jedna z činností, které CSIRT.CZ má ve svém popisu práce. Je otevřená, takže případní zájemci jsou samozřejmě vítáni. Pro ilustraci – posledního setkání, které proběhlo v dubnu 2011, se zúčastnilo téměř 40 účastníků z řad ISP, poskytovatelů obsahu, bankovního sektoru, bezpečnostních složek, kritické infrastruktury.
Bezpečnostním týmům, jejich práci a vůbec situaci v České republice bude věnováno také několik přednášek na konferenci Internet a Technologie 11, která se uskuteční 8. a 9. června 2011 v Praze.