Česká republika bude mít nový informační systém, ve kterém se budou sbírat informace o kybernetických útocích, hrozbách a incidentech. Ministerstvo vnitra vypsalo zakázku za 30 milionů korun, kterou nakonec získalo sdružení CZ.NIC a spolupracovat na něm bude s akademickým sdružením CESNET. To nyní začíná pracovat na přesných technických detailech. Systém má zlepšit kyberbezpečnost země.

Výsledkem projektu, který by měl být hotový do čtyř let, bude takzvaný systém Cyber Threat Intelligence (CTI). V něm se budou sbíhat kyberbezpečnostní informace z řady sítí a systémů a na základě práce s daty bude možné realizovat detekci, identifikaci a prevenci proti kybernetickým hrozbám. Incidenty bude možné vyhodnocovat a vyvozovat další nutné kroky v případě problémů.

CTI systémy jsou zjednodušeně řečeno databáze plné bezpečnostních informací, které zároveň mají potřebný kontext. Tyto databáze si provozují i různé společnosti, které k nim často dávají přístup svým zákazníkům a podobně.

Přehled o státní infrastruktuře

Podobných „sběrných“ aplikací na neziskové úrovni už v Česku několik funguje. Samotný CESNET společně s Masarykovou univerzitou rozjel projekt SABU, který se zaměřuje na akademický svět a tuzemské bezpečnostní týmy. Sdružení CZ.NIC pak provozuje projekt PROKI zaměřený více na koncovou oblast. Oba systémy byly rovněž podpořeny ministerstvem vnitra.



Autor: CESNET Schéma Cyber Threat Intelligence (CTI)

Nový CTI má tyto zdroje informací sjednotit a přidat k nim řadu dalších. Bude získávat data ze systémů státní správy, externích hlášení, honeypotů, logů, akademických sítí, datových center, IDS a mnoha dalších. Data různého druhu se dostanou na jedno „normalizované“ místo, sjednotí se, očistí a bude nad nimi možné provádět analýzy a vytvářet mapy a výstupy.

Stát zajímá zejména to, co se děje v kritické infrastruktuře a sítích veřejné správy. Tam podle mnoha informací nemusí být kyberbezpečnostní situace zcela ideální. Dvanáct státních institucí například porušilo kyberbezpečnostní zákon a ukazuje se, že sítě a systémy státu trápí řada nedostatků. CTI je mimo jiné reakcí na tuto situaci a také naplňuje body, které jsou uvedeny v zákonu o kybernetické bezpečnosti, strategii a akčním plánu.

CTI tak má získávat i informace z chystaných sond, které bude již brzy nasazovat startující Národní úřad pro kybernetickou a informační bezpečnosti (NÚKIB, přerozený z Národního centra kybernetické bezpečnosti). Zdrojem dat a informací budou veřejně dostupné zdroje, data získávaná při provozu e-infrastruktury CESNET, projekty SABU a PROKI a případně další body, jako jsou routery Turris. Ten původně startoval jako kyberbezpečnostní projekt pracující právě s posbíranými daty.

Zapojení soukromého sektoru

Uvažuje se i o tom, že by se do posílání bezpečnostních informací mohl dobrovolně zapojit i soukromý sektor. Mohl by sdílet anonymizované údaje a takzvaná metadata. Stejně tak by firmy a organizace naopak mohly získat přístup k výstupům CTI. Základní informace by mohly být k dispozici zdarma a počítá se s vývojem API rozhraní. Podrobnosti o zapojení bezpečnostní komunity se řeší. K dispozici by měla být různá práva a výstupy.

Hlavními uživateli CTI každopádně mají být ministerstvo vnitra, vládní bezpečnostní CERT tým, NÚKIB a bezpečnostní CERT týmy. „Určitě se zde nebavíme o žádném šmírovacím systému. Jde o anonymizovaný systém zaměřený čistě na analýzu bezpečnosti,“ říká pro Lupu Andrea Kropáčová z CESNETu, která se na CTI podílí. Data vhodná pro analýzu se mají uchovávat půl roku.

CESNET sám, stejně jako CZ.NIC, má s podobnými aktivitami dlouhodobé zkušenosti. „Není to pro nás zelená louka. Na CESNETu pozorujeme milion bezpečnostních hlášení denně. Hodně z nich je nerelevantních. CTI bude umět data očistit a zaměřit se na to, co je využitelné,“ popisuje Kropáčová.

Na vlastním železe

Do e-infrastruktury CESNET je aktuálně připojeno 330 organizací. Tato infrastruktura poskytuje zdroje dat a má sloužit i jako testovací prostředí CTI. CZ.NIC chce zase využít svých zkušeností z provozování bezpečnostního týmu CSIRT.CZ a provozování infrastruktury pro doménu .cz. Důležitou roli bude hrát i jeho Turris.

Na CTI bude pracovat celkem pěti- až šestičlenný tým, mimo jiné kolem Martina Žádníka z brněnské kanceláře CESNETu. Ten teď řeší technické detaily a výběr technologií. Využijí se graph algoritmy pro dohledávání souvislostí, strojové učení pro reputační databáze, připraveno bude i webové rozhraní pro výstupy.

CTI s velkou pravděpodobností poběží na jednom serveru se stovkami GB paměti RAM a desítkami procesorových jader. Diskové pole má mít 64 TB. Na výběr dodavatele hardwaru se ještě bude vypisovat výběrové řízení. Jeho pořízení je součástí vypsaného projektu. Po dobu řešení bude server ve správě CESNETu, v jehož infrastruktuře bude i provozován. CESNET bude po dokončení odborným gestorem.

Projekt nyní vstupuje do fáze vývoje. Během čtyř let by měl běžet. „Odhadujeme, že během dvou let bychom mohli začít ukazovat první výsledky,“ myslí si Žádník.