Hlavní navigace

Skutečně se kybernetická obrana neobejde bez šmírování?

Autor: DBaS
Zbyněk Pospíchal

Vojenské zpravodajství chce do soukromých sítí umístit sondy pro sledování provozu. Existuje ale lepší obrana před kybernetickými útoky.

Ve Sněmovně leží návrh na nové pravomoci Vojenského zpravodajství (VZ), jehož součástí je i kontroverzní návrh na odposlouchávání internetového provozu. Zkusíme se zamyslet nad tím, zda odposlech pro to, co označují jako „kybernetickou obranu“, skutečně potřebují a zda neexistují jednodušší, účelnější a méně kontroverzní metody, jak dosáhnout stejného cíle.

Jak vyplývá i z na Lupě nedávno zveřejněného rozhovoru, lidé z Vojenského zpravodajství docela dobře chápou, že může nastat situace, kdy útoky na infrastrukturu dosáhnou takové intenzity, až se stanou nezvladatelnými a začnou způsobovat reálné hospodářské škody. Jistě, kritické systémy (státní i soukromé) mohou zůstat od veřejných sítí ve velké míře izolovány, nicméně i tak zůstává mnoho systémů, které od veřejného internetu prostě odpojit nejde, jedná se zejména o systémy určené pro širokou veřejnost. Příkladem budiž datové schránky, internetová bankovnictví, obchodní rejstřík, ARES, elektronická podání daňových přiznání (kupř. přiznání k DPH už ani na papíře bez postihu podat nelze) atd. Nedostupnost těchto systémů by způsobovala škody jak soukromým osobám a firmám, tak i veřejné správě.

Cílem aktivit Vojenského zpravodajství je takové situaci zabránit a právě v zabránění takovému celkovému ochromení veřejného a hospodářského života spatřuje VZ smysl pojmu „kybernetická obrana“. Potud návrh dává smysl.

Vojenské zpravodajství ovšem dále tvrdí, že pro úspěšnou kybernetickou obranu potřebuje disponovat daty – a za tím účelem chce umístit do sítí poskytovatelů služeb elektronických komunikací zvláštní zařízení, říkejme jim třeba sondy, pomocí kterých by do živého datového provozu mohlo vidět. Není ovšem až tak docela zřejmé, co bude, až VZ ta data mít bude.

Obranu před útoky dnes poskytovatelé služeb elektronických komunikací běžně provádějí. Prostý koncový uživatel může nabýt dojmu, že to patrně nestačí, zvláště vystrčí-li jakékoli zařízení na veřejnou IP adresu a začne-li sledovat, co všechno se na tu adresu snaží připojit. To jsou ovšem poněkud jiné útoky – jde o pokusy o nalezení a proniknutí do zranitelného systému. Těch je skutečně mnoho, probíhají různými způsoby, míří na různé služby, problém je znám, je palčivý, s celou problematikou dokonce několika způsoby souvisí, ale to není ten problém, na který kybernetická obrana míří. Aby mohly probíhat všechny penetrační útoky, portscany, phishingy, aby mohly téct spamy a aby na síti mohly probíhat i ostatní, ať už legální nebo nelegální aktivity, musejí ty sítě především fungovat. Na prvním místě je tedy obrana infrastruktury pro služby elektronických komunikací. Za tímto účelem si jednotlivé sítě pořizují či vytvářejí různě sofistikované detekční a ochranné nástroje. Funkčnost jejich infrastruktury jim zajišťuje jejich příjmy, nefunkční infrastruktura znamená výpadek příjmů – těžko najít lepší motivaci k udržení oné infrastruktury provozuschopné.

Je tedy zjevné, že poměrně detailní informace o probíhajících útocích, zejména o takových, které svojí silou mohou fungování infrastruktury elektronických komunikací přímo ohrožovat, poskytovatelé mají. Dokonce mají nástroje, které umožňují intenzitu těchto útoků otupit, nebo je dokonce zcela eliminovat. Sem patří různá opatření od RTBH přes BGP FlowSpec, různé sofistikované a drahé „čističky“ či chcete-li, TMS a koneckonců sem patří i projekt FENIX sdružení NIX.CZ.

Pozor, teď nastoupí argument – perla: (Kybernetickou) obranu státu prý není možné ponechat v soukromých rukou. Ponechme stranou, že jiné ruce než soukromé může libovolná vláda získávat leda z nádob na amputované končetiny, ostatně i ty tanky, stíhačky a palivo do nich vyrábějí soukromé subjekty, a přejděme k jádru problému – optické kabely, spojující Českou republiku se zahraničím, jaksi až na zanedbatelné výjimky vlastní právě soukromé subjekty. Soukromé subjekty, které se víceméně překrývají se subjekty zmíněnými v předchozích odstavcích – poskytovatelé služeb elektronických komunikací. Lze to připodobnit k situaci, kdy by soukromý subjekt vlastnil vždy nějaký ten průsmyk, kterým lze do ČR projít a udržoval komunikaci, která onen průsmyk spojuje s vnitrozemím. Jeden by tedy vlastnil například Všerubský průsmyk, druhý Jablunkovský průsmyk a třetí dejme tomu Vlárský průsmyk. Všechny by tam měly vybudované nějaké to opevnění. Lze jim přispět na to, aby ono opevnění bylo kvalitnější, pokud takové není, nicméně obranu těch průsmyků vykonávají nějak zejména ony. Ony znají svůj obranný systém lépe než kdo jiný a tak mohou být o řád efektivnější… Tak nějak je tomu i u poskytovatelů služeb elektronických komunikací – znají své sítě, znají výkon svých zařízení, mají své plány, investují do vzdělání a schopností obslužného personálu, který má také možnost přijít s problematikou reálně do styku a získat tak nějaké ty „bojové zkušenosti“ v první linii. Pokud mají něco dělat hlavní obranné síly, je to zajištění situace, kdy na problém síly soukromého subjektu už nestačí. V případě onoho přirovnání k obraně průsmyků by to byl možná výpad do nepřátelského týlu nebo zajištění nové linie dotyku, v případě útoku na síť elektronických komunikací je to obrana před útoky takové velikosti, že zaplňují veškerou kapacitu upstreamových připojení té které konkrétní sítě.

WT100

Řešení tohoto problému dnes existuje. Nazývá se scrubbing. Taková scrubbingová centra pro odrážení útoků až do řádu terabitů provozuje několik různých firem v celosvětovém měřítku (jinak to ani nemá valný smysl). Je to drahé, poskytuje to dalšímu subjektu mnoho informací o provozu toho kterého operátora, směrování provozu přes scrubbingové centrum zvyšuje latence, vede to k deagregaci prefixů a tedy k dalšímu bobtnání globální routovací tabulky, nicméně je to způsob, jak řešit opravdu velké kybernetické útoky proti infrastruktuře, tedy přesně to, co si Vojenské zpravodajství vzalo za úkol. Od zákazníka (tedy poskytovatele služeb elektronických komunikací) takové scrubbingové centrum potřebuje znát jen cíl útoku a malý vzorek provozu.

Protože si nemyslím, že bychom politiky a vojáky této republiky mohli odradit od myšlenky bránit zemi proti kybernetickým hrozbám vlastními silami (když už ji proti žádnému jinému ohrožení, které by stálo za řeč, nikdy v moderní historii ubránit nedokázali, dodali by patrně zlí jazykové), pak by asi dávalo smysl, kdyby Vojenské zpravodajství nějaký scrubbingový systém začalo budovat, ideálně ve spolupráci s partnery z NATO, protože takový systém dnes může odchytávat útoky proti ČR, za týden proti Belgii a za měsíc třeba proti Dánsku, společně si tyto země mohou dovolit systém s mnohem větší kapacitou a ten systém bude také lépe využit. Nakonec to vyjde daňového poplatníka určitě levněji, než vybudovat a vydržovat jediný tankový prapor, o letectvu nemluvě. Vojenskému zpravodajství pak postačí informace od postižených o vektorech těch útoků, nějaké vzorky závadného provozu. To postižené subjekty v takovém případě zajisté rády poskytnou – a to je důvodem, proč skutečně není nezbytné nikomu ukládat žádnou novou povinnost.

Našli jste v článku chybu?