Veřejně viditelné kybernetické incidenty tvoří jen malou část toho, co se v bezpečnostní sekci kyberprostoru skutečně odehrává. Většina hrozeb se řeší dříve, než má jakýkoli viditelný dopad, a zůstává skryta v každodenním provozu sítí a systémů. Právě tato „neviditelná“ vrstva bezpečnosti rozhoduje o tom, zda se z problému stane krize s fatálními dopady, nebo jen rutinní provozní epizoda. Jak taková práce vypadá v prostředí otevřené akademické infrastruktury, kterou pro českou vědu a výzkum provozuje sdružení CESNET, popisují vedoucí oddělení bezpečnosti Andrea Kropáčová a technický koordinátor Tomáš Košňar.
V rámci sdružení CESNET fungují takzvané CSIRT (Computer Security Incident Response Team) nebo CERT (Computer Emergency Response Team) týmy, tedy specializované týmy pro řešení kybernetických bezpečnostních incidentů a dohled nad bezpečností sítě. Můžete přiblížit, co takové týmy dělají a jakou roli hrají v každodenním provozu akademické infrastruktury?
Andrea Kropáčová: Zvládnutí bezpečnostního incidentu neznamená jen technicky vyřešit útok. Nejde o jednorázový zásah, ale o zvládnutí celého životního cyklu incidentu. Od včasné detekce a správné klasifikace, přes technické řešení a zmírnění dopadů, až po obnovu provozu a vyhodnocení příčin.
Andrea Kropáčová
Cílem je snížit riziko opakování. Reagovat až ve chvíli, kdy incident nastane, už dnes nestačí. Útoky jsou rychlé, komplexní a bez přípravy se řešení zpožďuje, roste rozsah škod, náklady i doba návratu k běžnému provozu. Velkou porci práce proto dnes představuje prevence.
Velmi dobrým rámcem, který může pomoci zvládnout vše organizačně, je ISMS, Systém řízení bezpečnosti informací podle normy řady ISO27000. Je to docela užitečný manuál, který popisuje, čím se v organizaci v oblasti kybernetické bezpečnosti zabývat a proč. Vede ji například k tomu, aby vytvořila a udržovala databázi takzvaných aktiv, což je velmi cenná pomůcka. Vím, co mám, vím, jakou to má pro mě cenu, a tedy mohu dělat rozhodnutí, jak to budu chránit a kolik na to vynaložím prostředků.
Když se mluví o kybernetických útocích, lidé si často představí výjimečné krizové situace. Jaká je realita z pohledu bezpečnostního týmu, jde o občasné incidenty, nebo o každodenní provoz?
Tomáš Košňar: Minimálně v oblastí síťových útoků a anomálií jde v základu o každodenní rutinu a čas od času o nadstandardní jev, který je třeba samostatně ošetřit a zanalyzovat. A následně také „naučit“ stroje, aby na něj příště reagovaly samy, je-li to v principu možné.
Akademická a výzkumná infrastruktura je specifická tím, že musí zůstat otevřená spolupráci a vzdálenému přístupu. V čem je její ochrana složitější než u běžných komerčních sítí?
Tomáš Košňar: Například v oblasti síťové komunikace má jen velmi malá část provozu předvídatelný charakter. V prostředí pro přenos a zpracování dominantně vědeckých dat nastávají běžně provozní skoky o desítky až stovku Gb/s mezi velmi variabilním množstvím koncových zařízení. Ale samozřejmě existují i malá vědecká pracoviště vykazující malé objemy provozu srovnatelné s běžnou domácností. Akademická infrastruktura je prostředí s velkým rozptylem provozních charakteristik, kde je detekce anomálií velkou výzvou a riziko chybného vyhodnocení nemalé.
Bezpečnost dnes nestojí jen na provozních opatřeních, ale i na vývoji vlastních nástrojů. Proč je podle vás důležité, že CESNET není jen uživatelem hotových řešení, ale aktivně se podílí na jejich vývoji?
Tomáš Košňar: Bez ohledu na míru automatizace a zapojení nástrojů strojového učení je v kritických situacích klíčový znalostní potenciál těch, kteří situaci řeší. Detailní znalost technologií, jejich mechanismů, souvislostí a návazností je klíčem nejen pro řešení extrémních situací, ale i pro tvorbu strategie v jednotlivých dílčích oblastech.
Tomáš Košňar
Je iluze, že například „vyškolený specialista na síť“, který nikdy žádnou síť nespravoval, vám skutečně pomůže. Jako kdekoli jinde, je „baťovský“ model osvědčenou cestou a vývoj vlastních nástrojů pro aplikaci v reálném, vámi spravovaném prostředí, má dvojí efekt. Kromě prohlubování technologických znalostí a dovedností přinese i rychlou zpětnou vazbu od uživatelů. Pochopíme, co dává smysl, což platí dvojnásob v případě, že jste sami uživateli vlastnoručně vyvíjeného nástroje.
Další motivace pro vývoj vlastních nástrojů v některých případech je prostě fakt, že pro účely a problémy, které potřebujeme řešit a které vyplývají ze specifické uživatelské komunity, které sloužíme, vhodné nástroje neexistují.
V posledních letech se stále více mluví o automatizaci, analýze velkých objemů dat nebo využití umělé inteligence. Jak tyto technologie mění práci bezpečnostních týmů v praxi?
Andrea Kropáčová: Lze použít přirovnání „dobrý sluha, zlý pán“. AI je velmi užitečný pomocník v mnoha oblastech při zajišťování bezpečnosti, od vývoje, optimalizace a zlepšování bezpečnostních nástrojů, přes pomoc s analýzou problémů, konče samotným vzděláváním bezpečnostních specialistů. AI může zkrátka pomáhat bezpečnostním týmům dělat totéž co dřív, ale rychleji, levněji a teoreticky s menším rizikem chyb. Na druhou stranu je AI také sama o sobě oblastí, která je zdrojem bezpečnostních problémů a výzev s mnoha vlastními specifiky. Klíčové je nastavení jasných pravidel tak, aby byla AI využívána bezpečně a smysluplně.
Jak poznáte, že bezpečnostní tým svou práci odvedl dobře, zvlášť když se o většině incidentů veřejnost nikdy nedozví?
Andrea Kropáčová: Tak, že jsou incidenty zvládány s minimálními dopady na fungování organizace a její zájmy. Je ale nutné zmínit, že toto nezajistí sebelepší bezpečnostní tým sám o sobě. Ruku v ruce s dobrým bezpečnostním týmem musí jít také systematická péče o všechny bezpečnostní aspekty organizace v technické i organizační rovině. Protože i když všechno budu dělat správně, budu se bezpečnosti věnovat v technické i organizační rovině, nesmím usnout na vavřínech a myslet si, že jsem stoprocentně zabezpečen. Nepřítomnost, nebo nízký výskyt závažných a nedej bože medializovaných incidentů s velkým dopadem na zájmy organizace a poškození její reputace není náhoda. Je to výsledek pečlivé, systematické a dlouhodobé práce.
Kdybyste měli říct jedno doporučení, které by si měli běžní uživatelé nebo instituce o kybernetické bezpečnosti uvědomit, jaké by to bylo?
Andrea Kropáčová: Organizace by si měly uvědomit, že kybernetická bezpečnost není zadarmo a nejedná se o jednorázový projekt, ale o průběžnou činnost. Je to sdílená odpovědnost, kde velkou roli hrají správná rozhodnutí, lidské chování a dlouhodobá disciplína. A to mnohdy větší než samotné technologie.
Samotní uživatelé zase představují nesmírně důležitou součást bezpečnosti jako takové. Na jejich chování v kyberprostoru, znalosti technologií, ale především zodpovědném přístupu závisí bezpečnost organizace, pro kterou pracují.
ČLÁNKY DO MAILU