Hlavní navigace

Pozadí kybernetických cvičení. Co a proč se cvičí?

Zuzana Duračinská

Kybernetické cvičení není úplně nový pojem. Jedná se o koncept simulování kyberútoků na fiktivní organizaci nebo přímo na stát. První cvičení se na evropské úrovní uskutečnilo v roce 2010.

Pokud chceme porovnat způsob organizovanosti a úrovně těchto cvičení z roku 2010 a toho posledního, letošního, bavíme se o dvou různých věcech. K velkému posunu došlo primárně ze dvou důvodů. Organizace, které cvičení organizují, jako například Evropská agentura pro síťovou a informační bezpečnost (ENISA) nebo NATO Cooperative Cyber Defence Centre of Excellence (CCD COE), dnes dokáží alokovat velké množství zdrojů na organizaci takovéhoto cvičení.

Co se týče lidských zdrojů, tak v roce 2010 pracovalo v ENISA na cvičeních jen několik lidí, přičemž dnes je to již poměrně velký tým o přibližně deseti lidech, kterého jedinou agendou je příprava kybernetického cvičení. Na takovýchto akcích se pracuje několik měsíců, a to díky stále se zvyšujícím nárokům na jejich organizační i technickou složku. Druhý výrazný posun nastal u samotných týmů, které působí v roli hráče. Zatímco před několika roky tvořilo týmy jen několik lidí, dnes tyto týmy výrazně posílily své kapacity a to ve všech směrech – od technického po operační či legislativní.

Jaké jsou naše zkušenosti s kybernetickými cvičeními

Každé cvičení je jiné. Rozlišnost spočívá jak v organizaci cvičení tak v jeho zaměření. Důležitý je pochopitelně cíl cvičení. Pokud je cílem ověření evropská spolupráce, nebudou součástí cvičení technické úlohy. Když ale bude cílem ověření technických schopností týmu, nebudou mít hlavní roli bezpečnostní manažeři. Při cvičení jako je například Cyber Europe, které je pořádané organizací ENISA, dochází často ke sloučení více cílů najednou. Podle určených cílů jsou potom stavěny také úkoly.

Čtěte: Cvičení NATO: válečným zpravodajem v kybernetické válce

Sdružení CZ.NIC a tým CSIRT.CZ byly letos v rámci cvičení Cyber Europe již počtvrté v pozici koordinátora pro Českou republiku. Toto cvičení bývá, co se počtu hráčů týče, nejrozsáhlejší. Cvičení Cyber Europe se letos účastnilo 30 států, přičemž v každém státě se počet hráčů lišil – od dvou až do třiceti. Každý stát proto deleguje jednu organizaci, respektive jednu osobu v organizaci, která se stará o přípravu na cvičení. Úlohou těchto plánovačů je pomáhat s přípravou přímo ENISE a poté koordinovat přípravu cvičení ve svém státě. To znamená identifikovat hráče, pomáhat jim s přípravou na cvičení, vysvětlovat jim, na co se připravit a asistovat při případných řešeních problémů, které mohou nastat (a nastanou) před cvičením nebo v průběhu.

Celý tento proces je poměrně dlouhý a náročný. Pokud je plánovačem jedna osoba, nedokáže usměrnit více než deset hráčů (myšleno týmů lidí). Proto jsme tento rok nabídli možnost zúčastnit se kybernetického cvičení jen oficiálním CSIRT týmům, které mají minimálně status listed. Z českých CSIRT týmů se tentokrát podařilo vytvořit devět týmů, což bylo z mého pohledu plánovače dostatečné.

Cvičení se skládalo z operačních a technických úkolů a trvalo dva dny. Zde je třeba připomenout, že již od dubna se přes 15 týmů zapojilo do řešení technických úkolů. Ty se týkaly především forenzní analýzy a analýzy malwaru. Týmy mohly řešit tyto úkoly podle vlastních časových schopností, přičemž se od nich nevyžadovala žádná spolupráce. Účast na cvičeních je zdarma a není nijak závazná. Nejčastější překážkou účasti jsou časové možnosti jednotlivých týmů.

Jak jsem již uvedla, v rámci cvičení měl každý tým svoji úlohu. Poskytovatel cloudových služeb řešil forenzní analýzu serveru, při které měl zjistit, jakým způsobem útočník na server pronikl, tedy identifikovat zranitelnou aplikaci a popsat způsob proniknutí do systému skrz tuto aplikaci. ISP zase analyzoval síťový provoz, aby identifikoval způsob provedení DDoS útoku a navrhl vhodnou obranu. Další týmy pak analyzovaly malware. Na národní úrovni zaštiťoval koordinaci a potřebné předávání informací hráč v roli CSIRT a na mezinárodní úrovni pak řešil další tým komunikaci se zahraničím. Cílem cvičení bylo prostředníctví mezinárodní spoluprací zabránit šíření malware, který byl ve hře použit a jehož jednotlivé části a klíče byly na národních úrovních postupně odhalovány. Až po spojení všech klíčů se úkol celého cvičení vyřešil.

Problémy, s nimiž se setkáváme

Problémů může být během cvičení více a na různých stranách. Cvičení totiž mají tři zásadní elementy: organizaci pořádající cvičení, plánovače za daný stát a samotné hráče. Vzhledem k tomu, že cvičení probíhá často jen dva dny, je důležité věnovat dostatečnou pozornost přípravě na každé straně. Nejčastějším problémem, který jsme letos pozorovali, byly potíže hráčů při zjišťování, co přesně se od nich vyžaduje. Během cvičení se musí hráči vžít do jiné role (například Internet Service Provider může vystupovat jako poskytovatel cloudových služeb).

U technických úloh bývá zadání snadnější, u operačních úloh může změna role způsobit problémy. I když je scénář cvičení dost podrobně připraven, počítá se s možnosti, že hráči nebudou plnit úlohy přesně tak, jak jsou dané. Občas se však bohužel stane, že hráči vezmou scénář až příliš do vlastních rukou, což často narazí u organizátorů a plánovač nebo moderátor cvičení musí zasáhnout a věci uvést na správnou míru.

Kybernetická cvičení v posledních letech výrazně narostla. Věřím, že se každý, kdo se nějakého cvičení alespoň jednou účastnil, něco naučil. Zajímavé a prospěšné je, že cvičení často prověří také soudržnost týmů a jejich schopnost rychle spolupracovat na řešení akutních problémů pod určitou dávkou stresu. To se týmy na žádném školení nenaučí. Zároveň tato zkušenost spojí týmy, což se může v případě skutečných útoků velice hodit.

Našli jste v článku chybu?
Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

DigiZone.cz: „Black Friday 2016“: závěrečné zhodnocení

„Black Friday 2016“: závěrečné zhodnocení

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Vitalia.cz: Co pomáhá dítěti při zácpě?

Co pomáhá dítěti při zácpě?

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí