Hlavní navigace

Nesmíme se nechat zahltit zákony, říká šéfka nejstaršího českého CSIRT týmu

Petr Krčmář

Nejstarší český CSIRT tým v těchto dnech slaví své desáté narozeniny. S jeho šéfkou, Andreou Kropáčovou, jsme si povídali o situaci v oblasti počítačové bezpečnosti i přibývající legislativní zátěži.

Doba čtení: 13 minut

Nápad starý 15 let

Týmu CESNET-CERTS je v těchto dnech deset let, byl to první CSIRT tým v Česku?

Ano, byl to úplně první tým. Musíme si uvědomit, že každý nový tým musí být zařazen do mezinárodních struktur a ostatní organizace ho musí přijmout.

Jak dlouho to trvalo?

Celé to začalo vlastně už v roce 2003, kdy se zrodila myšlenka, že by měl CESNET založit vlastní CSIRT tým a formalizovat tak činnost, kterou stejně už dělal. Tedy reagovat na bezpečnostní incidenty, o kterých se dozví, nebo je sám detekuje. Umožnilo to upevnit schéma řešení jednotlivých problémů a připravit procesně vše podstatné tak, aby byl CESNET na všechny situace předem připraven. To je hlavním smyslem celé mezinárodní struktury: aby byly týmy dobře připravené k řešení incidentů.

Koho to tehdy napadlo?

Tenkrát jsme byli správci sítí a služeb a jednou k nám do kanceláře přišel náš kolega Milan Sova a položil nezapomenutelnou otázku: „Co se děje při bezpečnostních incidentech a jak se o nich dozvídáte?“ Hleděli jsme na něj s překvapením, protože to už tehdy samozřejmě byla jedna z běžných součástí naší práce. My jsme byli ti, ke kterým přicházela hlášení o bezpečnostních incidentech a my jsme je pak vlastními silami řešili. Ten dotaz nám ukázal, že povědomí o naší práci je hodně roztříštěné a obecně se neví, že je tu možnost nahlásit incident a že ho někdo bude řešit.

Nakonec náš rozhovor vyústil v rozhodnutí, že CESNET založí oficiální CSIRT tým a napojí jej na mezinárodní struktury. Hlavně to ale mělo konstituovat jeho roli uvnitř organizace, tak aby bylo jasné, že tu takový tým je, co dělá, jaká má pravidla, jaká je jeho sféra působnosti a podobně.

Ještě v roce 2003 jsme byli s kolegou Pavlem Káchou posláni na školení do Varšavy, které obsahovalo velmi komplexní uvedení do problematiky. Spoustu jsme toho už znali, ale dozvěděli jsme se právě ty praktické otázky o provozu CSIRT týmu. O rok později jsme pak prostřednictvím úřadu Trusted Introducer požádali o založení týmu a získali jsme prvotní status „listed“.

Aby se mohl nový tým zapojit, potřebuje podporu dvou již akreditovaných týmů. To jsme tenkrát vůbec nevěděli. Dodnes vlastně netušíme, kdo nám tu podporu tenkrát dal, protože jsme se téměř s nikým ještě neznali a v Česku jsme byli jediní. Dnes se to obvykle dělá tak, že se nový tým nejprve aktivně zapojí do komunity, začne si budovat vztahy, poznávat lidi a procesy a teprve pak požádá o zařazení a přiznání statusu „listed“. My jsme to tehdy udělali naopak, ale podporu jsme dostali. Asi jsme se tenkrát ve Varšavě dobře uvedli, koneckonců školitelé byli členy již etablovaných CSIRT týmů, takže podpora přišla zřejmě od nich.

Kdo je Andrea Kropáčová?

Andrea Kropáčová se oblasti bezpečnosti věnuje od roku 2003, kdy ve sdružení CESNET vybudovala bezpečnostní tým CESNET-CERTS, první CSIRT tým, který byl v České republice etablován a uznán světovou bezpečnostní infrastrukturou. Tyto zkušenosti využila při budování a vedení dalšího bezpečnostního týmu CSIRT.CZ, který od roku 2011 plní roli Národního CSIRT týmu České republiky a je provozován sdružením CZ.NIC, pro které Andrea v letech 2011 až 2015 pracovala. V letech 2011 až 2014 vybudovala se svým týmem Forenzní laboratoř (FLAB), která je expertní bezpečnostní jednotkou sdružení CESNET. V současné době se věnuje rozvoji bezpečnostních služeb a bezpečnostní strategii e-infrastruktury CESNET a reprezentaci sdružení CESNET v národních i mezinárodních bezpečnostních infrastrukturách. Získané vědomosti a zkušenosti využívá pro osvětovou a vzdělávací činnost.

Je to obvyklý přístup, že organizace zakládající nový CSIRT tým stejně bezpečnostní incidenty řeší, takže se pro ni vlastně moc nemění?

Ano, je to tak. Pokud se chce tým zapojit do mezinárodních struktur, tak musí předem jasně definovat: co je zač, pro koho pracuje, kdo ho financuje, kdo jsou členové, jak je možné je kontaktovat a jaká je sféra působnosti. To je velmi důležité, je to možné udělat pomocí čísla autonomního systému, výčtem adresových bloků nebo třeba doménových jmen. Jsou samozřejmě také týmy, které nemají pevnou vazbu na konkrétní internetové služby nebo infrastrukturu, ale jsou třeba vládním nebo národním týmem, který operuje na úrovni státu. Modelů je mnoho, existují třeba i týmy zabývající se analýzou provozu a ty také nejsou zodpovědné za žádnou konkrétní infrastrukturu. My jsme byli klasický interní tým uvnitř organizace zodpovědný za rozsáhlou infrastrukturu s AS 2852. Bylo jasné kdo jsme, kde jsme a jak je možné nás kontaktovat.

CSIRT tým je pevným bodem

Změnilo se něco v principu činnosti CSIRT týmů za těch deset let?

Základ práce zůstává pořád stejný. Bezpečnostní tým má mít především schopnost reagovat na incident a umět ho nějakým způsobem řešit. Samozřejmě se ale mění hodně to, jak je mezinárodní infrastruktura organizována. Bavíme se třeba o tom, zda by na týmy neměly být kladeny vyšší nároky, protože existují skupiny, které nereagují na bezpečnostní hlášení a podobně.

Samozřejmě se také prohlubuje spolupráce a zlepšuje se předávání důležitých informací. V posledních letech se do toho ale začínají postupně nabourávat různé legislativní snahy o zavedení pravidel pro prostředí internetu. Řekla bych, že jde až o regulatorní snahy. Často vedou k paradoxním situacím, kdy mají bezpečnostní týmy problém si spolu vyměňovat důležité informace, protože některé z nich jsou klasifikovány jako citlivé údaje. Zatím se nám to daří řešit a doufáme, že na to legislativci budou myslet. Máme tu evropskou organizaci ENISA, která se snaží situaci vyrovnávat. Řada zkušených týmů, které existují třeba více než 20 let, již pronikla do různých poradních orgánů a fór, kde má možnost se k problematice vyjadřovat.

Důkazem toho, že se to celé pohybuje správným směrem, je i Česká republika, která má dnes tři desítky CSIRT týmů, má národní tým (CSIRT.CZ), vládní tým (GovCERT.CZ), spoustu týmů v soukromém sektoru, v bankách a podobně. Je to dobrý příklad toho, jak to může správně fungovat, když se legislativa uchopí správně a existují silné subjekty, které jsou schopné to celé posouvat správným směrem.

Proč je právě v Česku tolik CSIRT týmů?

Přepočítáno na obyvatele máme týmů skutečně nejvíc na světě. V absolutních číslech jsme v roce 2017 předstihli Francii a Německo. Je to podle mě hlavně dobrým základem z minulosti, protože je tu hodně vysokých škol, které se na vysoké úrovni zabývají tvrdými vědami a informatikou. Dobrým příkladem je Masarykova univerzita, kde to dotáhli tak daleko, že mají obory zabývající se kyberbezpečností, kyberprávem a podobně.

Zároveň je to důsledek pokynu Evropské unie, že každý stát musí mít národní a vládní CSIRT. To vytvořilo tlak na jednotlivé státy, aby se začaly bezpečností vážně zabývat. Nakonec tak u nás vznikl národní tým CSIRT.CZ, který byl založen také na půdě sdružení CESNET a později byl předán do rukou sdružení CZ.NIC, kde je provozován jako Národní CSIRT ČR dodnes.

Další posun vznikl kvůli zákonu o kybernetické bezpečnosti, který přinesl řadu pravidel pro provoz rozsáhlých infrastruktur a především kritické infrastruktury a významných služeb. Obrovským způsobem to pak ještě urychlil projekt FENIX, který začal v roce 2014 a ve svých pravidlech pro nové členy má také povinnost mít CSIRT tým. Tohle všechno vede k tomu, že se organizace zabývají bezpečností nejen po té nutné technické stránce, ale i po organizační. Má obrovskou výhodu mít samostatnou jednotku, která jasně ví, co má dělat, jakou má zodpovědnost, politiku a podobně.

Důležité milníky CESNET-CERTS

  • 2003: Rozhodnutí o konstituování oficiálního CSIRT týmu ve sdružení CESNET. Začátek budování týmu.
  • 2004: Zapojení týmu do mezinárodní infrastruktury při TF-CSIRT platformě organizované TERENA, přiznání statusu „listed“ úřadem Trusted Introducer.
  • 2005 – 2006: Konsolidace týmu, vývoj prvních nástrojů pro podporu činností týmu, první bezpečnostní služby pro organizace zapojené do sítě CESNET, uspořádání prvního semináře o bezpečnosti.
  • 2007: Zapojení do řešení grantu MV ČR „Problematika kybernetických hrozeb z hlediska bezpečnostních zájmů České republiky", 2007 – 2010. Položení základů bezpečnostního týmu CSIRT.CZ
  • 2008: Akreditace týmu CESNET-CERTS, získání statusu „listed“ pro tým CSIRT.CZ, ustanovení Pracovní skupiny CSIRT.CZ.
  • 2009: CESNET provozuje a rozvíjí oba týmy – CESNET-CERTS a CSIRT.CZ a usiluje o vyjasnění situace okolo provozu národního CSIRT ČR.
  • 2010: Zapojení do Pracovní skupiny E-CRIME Kraje Vysočina. Účastní se cvičení Cyber Europe 2010 pořádaném ENISA. MV ČR přiznalo týmu CSIRT.CZ status Národního CSIRT ČR a dohodlo se s CZ.NIC na jeho dalším provozování.
  • 2011: V polovině roku byl dokončen transfer CSIRT.CZ do sdružení CZ.NIC. Začala se budovat Forenzní laboratoř CESNET (flab.cesnet.cz). Účastní se cvičení Cyber Atlantic 2011.
  • 2012: CESNET začíná vyvíjet systém pro sdílení a analýzu bezpečnostních událostí – systémy Warden (warden.cesnet.cz) a Mentat (mentat.cesnet.cz). Účastní se cvičení Cyber Europe 2012.
  • 2013: Spouští se pilotní provoz systému Warden, je zapojeno 23 datových zdrojů umístěných v síti CESNET. CSIRT se aktivně zapojuje do dění „DDoS týdne“, kdy proběhly útoky na řadu www služeb.
  • 2014: CESNET se stává zakládajícím členem projektu FENIX (fe.nix.cz). Forenzní laboratoř přechází do ostrého provozu. Účastníme se cvičení Cyber Europe 2014.
  • 2015: Je podán návrh projektu SABU do výzvy programu bezpečnostního výzkumu České republiky 2015 – 2020 (BV III / 1 VS) financovaném MV ČR a je úspěšný. Projekt je postaven nad systémy Warden a Mentat.
  • 2016: Začíná se řešit projekt SABU (sabu.cesnet.cz). CSIRT se účastní cvičení Cyber Europe 2016. Rozjíždí se také projekt PROTECTIVE z výzvy H2020.
  • 2017: CESNET-CERTS se zapojuje do publikování postřehů z bezpečnosti na Root.cz.

Je v Česku ještě prostor pro další CSIRT týmy?

Určitě ano a budou přibývat. Dnes je to už i otázka prestiže, když váš konkurent tým má a vy ještě ne. Navíc to otevírá dveře do komunikačních platforem, jako je například Pracovní skupina CSIRT.CZ, kterou organizuje Národní CSIRT, a která se setkává přibližně dvakrát ročně. Myslím si, že nezanedbatelné může být také vytváření obchodních příležitostí – mám-li CSIRT tým, tak bezpečnost opravdu umím a zabývám se jí po všech stránkách.

Pro jak velkou organizaci má smysl se vlastním CSIRT týmem zabývat?

Myslím si, že by bylo pěkné, kdyby všichni velcí poskytovatelé připojení měli svůj tým. CSIRT tým je totiž jasně daná jednotka, za kterou můžete přijít, když řešíte nějaký problém. Samozřejmě tu existují i osobní a neformální vazby, přes které je možné problémy řešit. My se tu všichni známe, Česko je malé, takže za ta léta o sobě všichni vědí. Ale jde také o mezinárodní úroveň a o to mít opravdu pevný kontaktní bod, pokud ho potřebujete.

Zákonů a nařízení je moc

Je zmíněný český zákon o kybernetické bezpečnosti dobrým krokem?

Je určitě dobře, že zákon vznikl a je dobře, že jsme prošli celým procesem jeho vzniku tím správným způsobem. Zpětně nahlíženo to byl evoluční počin. Odborníci v oblasti bezpečnosti se spolu naučili komunikovat a Národní bezpečnostní úřad zvolil velmi dobrý a otevřený přístup. Komunikoval s odbornou veřejností a zajímal ho názor komunity.

Řada lidí ale očekávala, že jeho vstoupením v platnost se řada věcí skokově změní nebo dokonce zlepší. To se nestalo, ale ani to nebylo účelem. Šlo o to vytvořit nějaký základní rámec, ve kterém se bude řešení odehrávat, jak bude činnost probíhat a kam se to celé bude ubírat. Především to je ale nástroj pro vládní CSIRT, který dostal na starost kritickou infrastrukturu státní správy, které má poskytovat metodickou pomoc. Tohle ten zákon plní.

Když odhlédneme od kritické infrastruktury státu, tak si myslím, že to byla obrovská příležitost k tomu, aby si ajťáci ve svých organizacích udělali pořádek. Měli možnost začít o bezpečnosti mluvit s managementem, dohodnout se na konkrétních pravidlech a podobně. Pořád za námi chodí s nářky, že by toho hodně chtěli změnit, že na to vedení neslyší a nedává peníze. Zákon ale jasně řekl, že za bezpečnost nezodpovídá ajťák, ale organizace a vedení to musí reflektovat. Tohle podle mých zkušeností hodně pomohlo, protože mají páku k tomu, aby ke své práci požadovali dostatečné prostředky.

Potřebujeme ještě nějaké další podobné zákony, nebo nám stačí to, co už máme?

Například na GDPR se mi těžko hledá něco, o čem bych mohla mluvit pozitivně. Byla bych spíš pro to, aby se další zákony už neinicializovaly a dal se čas a prostor k tomu, abychom se mohli vypořádat s tím, co tu máme. Změn je v poslední době hodně a my to vnímáme velmi silně: zákon o kybernetické bezpečnosti, který v roce 2017 prošel novelizací a tím se do něj transponovala směrnice NIS, související nové vyhlášky, GDPR, eIDAS, ePrivacy a tak dále. To je obrovské množství a mám trochu strach, abychom se neutopili ve formě a nebyli zahrnuti haldou pravidel a papírů. Pak by nám unikalo to hlavní – obsah.

Existuje nějaká oblast, ve které by naopak dobrý zákon prospěl?

Určitě by pomohlo, kdyby všechny legislativní pokyny pamatovaly na to, že součástí jakékoliv bezpečnosti je schopnost umět incidenty řešit. Nedílnou součástí toho je mít možnost získat informace a vyměnit si je, navzájem je sdílet. S novými legislativními rámci už to začíná být problém. Když se některý stát rozhodne, že IP adresa je osobní údaj a vezme se to totálně rigidně, nemůžeme je jednoduše sdělit protistraně. Přitom je to často základní údaj, pokud chceme někoho informovat o bezpečnostní situaci.

Je potřeba mít na paměti, že jsou tu specifické skupiny, které potřebují v legislativě speciální ukotvení, aby mohly konat to, co konat mají. Legislativa jim to nemá komplikovat.

Není to tím, že jsou zákony tvořeny bez účasti odborníků?

Zrovna u GDPR se takové vysvětlení nabízí. Ale třeba u zmíněného zákona o kybernetické bezpečnosti to bylo jinak, ten je napsaný velmi dobře. Tady je nutno vysmeknout poklonu Národnímu bezpečnostnímu úřadu, jak se k tomu postavil.

Čím to je, že další zákony se tímto způsobem nedělají?

Zřejmě záleží na tom, kdo je tvůrcem daného zákona, jak přistoupí k jeho tvorbě a jestli má odvahu jít s kůží na trh a udělat otevřenou diskusi.

Další rozšiřování služeb

Kam se chce CESNET v oblasti bezpečnosti posunout za dalších deset let?

Mám-li mluvit o budoucnosti, musím se vrátit na chvíli do minulosti. Velký boom se u nás odehrál v roce 2011, kdy se začaly jednotlivé linie bezpečnosti propojovat a vzájemně podporovat. Začali jsme s plošným sběrem a vyhodnocováním událostí a incidentů z celé naší infrastruktury, která je osazena řadou bezpečnostních nástrojů. To je projekt Warden, na který později navázal projekt SABU. Hodně jsme také pokročili v oblasti monitoringu datových toků pomocí NetFlow a také vlastních hardwarově akcelerovaných síťových karet, které jsou posazeny na perimetru sítě CESNET, kdy jsme tyto informace začali více a více vytěžovat z bezpečnostního hlediska. V roce 2011 jsme také položili základy Forenzní laboratoře CESNET s cílem mít nejen expertní dovednosti a nástroje pro ex-post analýzu něčeho co se už stalo, ale umět negativním jevům předcházet a chyby odhalovat v předstihu. Tohle všechno jsme dělali s tím, aby nám pomohly se správou naší infrastruktury a ochranou uživatelů.

Postupně se ale některé projekty vyčlenily a dají se použít samostatně mimo naši infrastrukturu nebo v jiných organizacích. Ve zlepšování nástrojů bychom chtěli dále pokračovat, řada z nich je už dále vyvíjena na základě požadavků našich uživatelů. Většinu vyvíjeného software máme jako open source.

To samozřejmě vede k našemu dalšímu cíli, kdy bychom chtěli mít naši infrastrukturu co nejlépe monitorovanou, měli jasný přehled o dění uvnitř a zároveň chceme mít možnost to nějak rychle a inteligentně zpracovat a v přehledné formě to vrátit zpátky správcům jednotlivých sítí. Je to snaha celého odvětví, například kolegové v národním CISRT řeší podobné problémy. Spějeme k tomu, že se naše systémy propojí a budeme společně tvořit vzájemně komunikující infrastrukturu.

Probíhá i nějaká snaha o společný vývoj?

Vyvíjíme vše otevřeně a například náš systém Warden je už součástí velkého H2020 projektu PROTECTIVE. Během následujících dnů nám začne pilotní ověření provozu. Vše je to postavené nad naším systémem, který bude doplněn o další prvky.

Jsou nějaké další služby, které chystáte?

NMI18_Sedivy

Velkou oblastí, které se chceme věnovat, je vzdělávání. Máme velké plány v oblasti pořádání seminářů, školení a dalších akcí. Všechno co vymyslíme a připravíme, chceme dále sdílet s komunitou.

Děkuji za rozhovor.

Našli jste v článku chybu?