Polityka i prawo
Dyrektor NC Cyber: Analiza ryzyka głównym priorytetem na przyszłość
O przyszłości Narodowego Centrum Cyberbezpieczeństwa, projekcie ustawy o krajowym systemie cyberbezpieczeństwa i współpracy z sektorem prywatnym mówi dla Cyberdefence24.pl Juliusz Brzostek - dyrektor Narodowego Centrum Bezpieczeństwa.
NC Cyber istnieje prawie 2 lata. Czy mógłby Pan przedstawić jak w tym czasie ewoluowała inicjatywa?
NC Cyber rozwija się zasadniczo wokół dwóch filarów. Jednym z nich jest realizacja zadań, które będą nałożone na nas przez ustawę o krajowym systemie cyberbezpieczeństwa. Do tego wymagany jest profesjonalny zespół. W minionym okresie rozwinęliśmy swoje zaplecze eksperckie i organizacyjne. Ze stosunkowo małego zespołu ekspertów NASK, pracujących m.in. w zespołach CERT Polska i Dyżurnet.pl, utworzona została wielozadaniowa struktura organizacyjna, w której kwestie cyberbezpieczeństwa analizowane są zarówno z punktu widzenia technicznego, jak i strategicznego (policy level). Uzupełniliśmy posiadane już kompetencje techniczne w dziedzinie bezpieczeństwa IT o ekspertów specjalizujących się w systemowej organizacji cyberbezpieczeństwa w skali kraju i we współpracy transgranicznej. Drugim filarem jest budowa efektywnego partnerstwa publiczno-prywatnego, jakim jest System Partnerski NC Cyber.
Jaką rolę przydziela NC Cyber projekt ustawy o krajowym systemie cyberbezpieczeństwa?
Zgodnie z projektem, wybrane jednostki organizacyjne NC Cyber wraz z innymi jednostkami NASK, będą jednym z trzech zespołów CSIRT (Computer Security Incident Response Team) poziomu krajowego. W projekcie ustawy są to zespoły CSIRT GOV, CSIRT MON i CSIRT NASK.
Projekt ustawy definiuje obszarów odpowiedzialności (constituency) zespołów CSIRT poziomu krajowego. Zespół CSIRT GOV ma odpowiadać za urzędy administracji centralnej i infrastrukturę krytyczną. W jego kompetencjach będzie też monitorowanie i minimalizowanie zagrożeń o charakterze terrorystycznym, niezależnie od tego jakiego podmiotu owo zagrożenie dotyczy. Zespół CSIRT MON będzie odpowiedzialny za analizę incydentów i monitorowanie zagrożeń obserwowanych w ramach struktur resortu obrony narodowej. Zespołowi CSIRT NASK projekt powierza odpowiedzialność za konkretne podmioty, wymienione w dokumencie. Jednak w praktyce jesteśmy gotowi do objęcia swoimi działaniami wszystkich podmiotów spoza obszarów constituency pozostałych dwóch zespołów CSIRT. Nie traktujemy więc zawartej w projekcie listy jako zamkniętego katalogu.
Proszę zwrócić uwagę, że do tej pory działający w NASK zespół CERT Polska nie miał ustawowo określonego constituency i każdy mógł zgłosić incydent przez formularz na stronie https://www.cert.pl/. Tak będzie nadal. Zachęcamy do zgłaszania incydentów każdego, również indywidualnego użytkownika. Do tego dojdą po prostu obowiązki ustawowe, a więc niektóre podmioty, zdefiniowane w rozporządzeniu do ustawy będą miały obowiązki raportowania incydentów do CSIRT NASK.
W związku z tymi obowiązkami zespół CSIRT NASK ma wg. ustawy m.in. za zadanie: monitorować incydenty naruszające bezpieczeństwo teleinformatyczne, szacować ryzyko, związane z zaistniałymi incydentami, współpracować z zespołami sektorowymi, przekazywać informacje o istotnych zdarzeniach do innych państw, sporządzać i przekazywać ministrowi właściwemu ds. cyfryzacji aktualne raporty o poziomie zagrożeń w obszarze cyberbezpieczeństwa, koordynować obsługę incydentów, pochodzących ze swojego obszaru constituency
W projekcie ustawy zostały również sformułowane obowiązki, związane z przyjmowaniem zgłoszeń i podejmowanie interwencji wobec przypadków rozpowszechniania w internecie treści nielegalnych, w tym zwłaszcza materiałów prezentujących seksualne wykorzystywanie dzieci (tzw. pornografia dziecięca). Aktualnie obowiązek ten pełni zespół interwencyjny Dyżurnet.pl, który wchodzi w skład NC Cyber. Projekt ustawy nakłada na wszystkie trzy zespołu CSIRT poziomu krajowego obowiązek wzajemnej współpracy, zapewniającej spójny i kompletny system zarządzania ryzykiem w zakresie cyberbezpieczeństwa. Warto jednak podkreślić, że współpraca ta miała już miejsce i przepisy sankcjonują w tym aspekcie zastany stan, tworząc mechanizmy które mają wzmacniać taką współpracę, jak Zespół ds. Incydentów Krytycznych.
Ponadto z pewnością NC Cyber jest i będzie - zgodnie z projektem ustawy - zapleczem analityczno-eksperckim. NASK Państwowy Instytut Badawczy jest ośrodkiem badawczo-rozwojowym wiodącym w skali kraju w zakresie badań malware oraz doskonalenia rozwiązań sieciowych i systemów ochrony sieci. NC Cyber, jako inicjatywa działająca w strukturze NASK PIB ma unikatową okazję stale współpracować z ekspertami innych pionów i korzystać z ich kwalifikacji i doświadczenia.
Jak przebiega rozwój Systemu Partnerskiego NC Cyber? Jakie nowe podmioty dołączyły?
Prowadzimy aktualnie rozmowy z 80 podmiotami, które zapraszamy do udziału w Systemie Partnerskim. Do tej pory NC Cyber podpisało porozumienie o współpracy z 44 podmiotami. Proces włączania kolejnych Partnerów przebiega sprawnie, chociaż w tempie wyznaczonym przez wymogi formalnych negocjacji treści umów, zatwierdzania ich na odpowiednim szczeblu po każdej ze stron.
Na czym polega System Partnerski?
System Partnerski NC Cyber to dobrowolny i bezpłatny system, którego głównym celem jest współpraca w zakresie bezpieczeństwa cybernetycznego. Do programu zapraszane są podmioty, które korzystają z systemów teleinformatycznych w oferowanych usługach. Chodzi o takie kluczowe dla społeczeństwa usługi, których zakłócenie może mieć negatywne skutki społeczne lub gospodarcze. Mogą to być zarówno podmioty prywatne, jak i publiczne. Celem programu jest przede wszystkim bezpośrednia wymiana informacji pomiędzy uczestnikami systemu i NC Cyber, a także w razie konieczności z przedstawicielami administracji publicznej i organów ścigania. System Partnerski to także doradztwo, spotkania oraz wspólne ćwiczenia procedur reagowania. Formalną podstawą wstąpienia do Systemu Partnerskiego jest podpisanie trójstronnego porozumienia o współpracy w zakresie cyberbezpieczeństwa pomiędzy Partnerem, Ministerstwem Cyfryzacji i Państwowym Instytutem Badawczym NASK. Z podmiotami, które wyraziły wolę współpracy podpisywane są następnie szczegółowe umowy współpracy w ramach Systemu Partnerskiego NC Cyber. Poza formalnymi umowami fundamentem współpracy jest zaufanie między Partnerami, stanowiące niezbędny warunek systematycznej i efektywnej wymiany informacji.
Uczestnicy systemu partnerskiego zyskują m.in. dostęp do Strefy Partnera, wydzielonych usług takich jak np. MISP, forum wymiany wiedzy, czatu do szybkiego komunikowania, dystrybucji komunikatów i raportów tygodniowych, możliwość uczestniczenia w cyklicznych spotkaniach Partnerów, na których poruszane są ważne kwestie strategiczne i techniczne w zakresie współpracy na rzecz bezpieczeństwa w cyberprzestrzeni, możliwość współpracy w ramach różnych grup zadaniowych, możliwość zaangażowania się w opracowywanie rozwiązań pozwalających radzić sobie z nowymi typami zagrożeń w sposób efektywny, dostęp do wczesnych informacji o zagrożeniach, które skutecznie ostrzegają lub wspomagają działania ochronne, możliwość wypracowania bardziej adekwatnych, uwzględniających specyfikę sektora, regulacji czy rekomendacji
Jakie są główne problemy we współpracy?
Zagadnienia dotyczące zarejestrowanych incydentów naruszających bezpieczeństwa sieci organizacji i dzielenie się tymi informacjami z innymi podmiotami to wrażliwy temat. NC Cyber zapewnia jednak zachowanie poufności informacji, udzielając publicznie tylko informacji statystycznych. Dlatego dla właściwej współpracy kluczowa jest budowa zaufania pomiędzy Partnerami. To duże wyzwanie, bo przede wszystkim zaufanie nie jest czymś, co można zyskać w momencie podpisania umowy czy porozumienia. To cykliczne działania, spotkania w różnych formatach i dostarczanie informacji, która jest dla Partnerów wartościowa. W zeszłym roku realizowaliśmy w NC Cyber projekt na temat partnerstw publiczno – prywatnych i ISAC w Europie (Cooperative Models for Public Private Partnership and Information Sharing and Analysis Centers). Nasi eksperci przebadali kilkanaście krajów w Unii Europejskiej i wniosek jest jeden: budowanie zaufania i partnerstw pomiędzy różnymi sektorami to wyzwanie dla wszystkich, bez względu na wielkość kraju, czy stopień zaawansowania w budowie systemu cyberbepzieczeństwa. Nie ma jasnej i prostej instrukcji jak to robić, bo w ostatecznym rozrachunku wszystko sprowadza się do relacji pomiędzy konkretnymi osobami.
Muszę jednak przyznać, że widać efekty naszej pracy. W porównaniu z poziomem początkowym, obserwujemy istotny wzrost zaufania między uczestnikami systemu. Ich doświadczenia wpływają też na pozytywny stosunek potencjalnych nowych Partnerów do inicjatywy.
Mieliśmy do czynienia z dwiema dużymi epidemiami złośliwego oprogramowania ransomware WannaCry i NotPetya. Jaką rolę NC Cyber odegrało w walce z nimi?
NC Cyber miało od początku kontakt z partnerami zagranicznymi w krajach, w których zagrożenie wystąpiło na znaczącą skalę. Dotyczy to przede wszystkim ekspertów zespołu CERT Polska, którzy utrzymują stałą współpracę międzynarodową, m.in. reprezentując Polskę w europejskiej sieci CSIRT oraz FIRST. Korzystając z danych pozyskiwanych własnymi narzędziami oraz przekazywanych przez partnerów, eksperci CERT Polska analizowali zagrożenie, na bieżąco analizując sposoby propagacji infekcji i możliwe skutki jej szerzenia się. Na bieżąco wymienialiśmy też informacje z organami ścigania i instytucjami państwa, odpowiedzialnymi za podejmowanie strategicznych decyzji w obszarze bezpieczeństwa sieci. Komunikaty o zagrożeniu i przebiegu incydentu były kierowane do Partnerów NC Cyber oraz do dostawców usług kluczowych. Niecałą dobę po zaistnieniu pierwszych incydentów została opublikowana pełna analiza techniczna zdarzenia.
Tego typu zdarzenia mobilizują specjalne mechanizmy w strukturach NC Cyber i są bojowym testem procedur i kanałów współpracy. Po zakończeniu kryzysu zawsze drobiazgowo analizujemy nasze działania i wyciągamy wnioski, usprawniające nasze postępowanie w przyszłości.
Chciałbym dodać w tym momencie, że do szacowania ryzyka w momencie wystąpienia zdarzeń o dużej skali (chociaż nie tylko) potrzeba zgłoszeń incydentów od użytkowników, którzy obserwują coś niepokojącego. Nadal mamy do czynienia ze zbyt niską świadomością społeczną w tym zakresie. Należy zgłaszać do odpowiednich instytucji wszelkie podejrzenia zaistnienia działań nielegalnych lub sytuacji niebezpiecznych. Nie po to, żeby kogoś ścigać, ani nie dlatego, że ktoś nie poradzi sobie sam i potrzebuje pomocy. Chodzi o to, że informacje, które do nas docierają, powiększa pulę incydentów, umożliwiając pełniejszą ocenę sytuacji.
Z którymi podmiotami zagranicznymi współpracuje NC Cyber i w jakim zakresie?
Zespół CERT Polska reprezentuje nasz kraj w sieci europejskich CSIRT. Sieć ta rozwija wielostronną współpracę w ramach europejskiego ekosystemu cyberbezpieczeństwa. Odbywa się to m.in. poprzez wspólne ćwiczenia. Na początku roku odbyły się ćwiczenia CyberSOPEx. Na czerwiec zostały zaplanowane szeroko zakrojone ćwiczenia CyberEUROPE. Ponadto nasi eksperci biorą udział w międzynarodowym projekcie wymiany kadr pomiędzy CERT-ami w 10 krajach.
Zespół Dyżurnet.pl – jedyny w Polsce zespół reagowania na nielegalnie i szkodliwe treści w internecie - należy do międzynarodowego stowarzyszenia INHOPE (International Association of Internet Hotlines). Jest to międzynarodowe stowarzyszenie zrzeszające zespoły reagujące z całego świata, które współpracują ze sobą w celu zwalczania materiałów przedstawiających seksualne wykorzystywanie dzieci. Obecnie w InHope działa ponad 50 zespołów z 45 krajów.
Nasi eksperci biorą również aktywny udział m.in. w pracach Europejskiej Agencji ds. Bezpieczeństwa Sieci Informacji ENISA
Oprócz tego eksperci NC Cyber (przede wszystkim CERT Polska) uczestniczą m.in. w pracach:
- Geant TF-CSIRT (Grupa zadaniowa ds. Zespołów reagowania na incydenty bezpieczeństwa komputerowego, TF-CSIRT). Zapewnia ona forum, w którym członkowie społeczności CSIRT ze społeczności badawczej i sieci edukacyjnej oraz innych sektorów, takich jak instytucje związane z obronnością i organy ścigania z całego świata wymieniają doświadczenia i wiedzę w zaufanym środowisku w celu poprawy współpracy i koordynacji.
- FIRST (globalne forum reagowania na incydenty i bezpieczeństwa). Jest to wiodąca organizacja i uznany światowy lider w reagowaniu na incydenty. Członkostwo w FIRST umożliwia zespołom reagowania na incydenty skuteczniejszą reakcję na incydenty bezpieczeństwa zarówno w sposób reaktywny, jak i proaktywny.
- APWG - Grupa robocza APWG Crypto Currency. Pomaga ona giełdom kryptowalut, portfelom, funduszom inwestycyjnym i konsumentom chronić swoje aktywa kryptowalut przed phishingiem i atakami ukierunkowanymi.
- No More Ransom. Zapoczątkowana przez firmy i organizacje działające na rzecz bezpieczeństwa w internecie inicjatywa ma na celu ograniczenie skutków stosowania ransomware - oprogramowania szyfrującego, rozprowadzanego w internecie przez przestępców. Inicjatywa udostępnia bezpłatnie istniejące klucze deszyfrujące, dzięki którym można odblokować dane w komputerze zainfekowanym przez wiele różnych ransomware.
Podczas naszej rozmowy rok temu mówił Pan, że jednym z celów NC Cyber jest nabranie pełnej zdolności operacyjnej. Czy udało się to osiągnąć?
Od lipca 2017 roku działania operacyjne NC Cyber były intensywnie rozwijane. Wdrożone zostały liczne procesy, profesjonalizujące naszą pracę. Wśród nich warto wymienić udoskonalenie procesu przyjmowania i obsługi zgłoszeń i incydentów oraz raportowania czy monitorowania zagrożeń.
Wdrażaniu procesów towarzyszyło dokumentowanie sposobu działania, dostosowanie się do systemu zarządzania bezpieczeństwem informacji. A dojrzałość operacyjna została potwierdzona przyznaniem certyfikatu ISO 27001.
Jakie są główne priorytety NC Cyber na najbliższe lata?
Nasze działanie musi być zorganizowane w sposób gwarantujący profesjonalne wykonanie niezbędnych czynności w każdych, zwłaszcza kryzysowych warunkach. W tym celu konieczne jest metodyczne wdrażanie kolejnych procesów. Spośród tych procesów absolutnie priorytetowy jest proces szacowania ryzyka, którego potrzebujemy jako kraj, by umożliwić skuteczne działania władzom, odpowiedzialnym za strategiczne decyzje w zakresie bezpieczeństwa. System oceny poziomu zagrożenia, w myśl nowych przepisów UE, będzie ujednolicony w obrębie Unii Europejskiej. Więc również nasze procedury muszą uwzględniać te regulacje i obowiązki wobec partnerów we wspólnocie.
Drugim kluczowym zadaniem jest stałe rozbudowywanie Systemu Partnerskiego. Zależy nam na tym, bo sprawne działanie Systemu będzie szansą na zapobieganie rozwoju zagrożenia. Działania NC Cyber, wskazane w projekcie ustawy dotyczą przede wszystkim reagowania na zaistniałe incydenty – post factum. Tymczasem mając rozbudowaną sieć współpracy można działać wyprzedzająco – ostrzegać i chronić.
Odnosząc się do całości krajowego systemu cyberbezpieczeństwa, chciałbym dodać, że aby podnosić poziom wspólnego bezpieczeństwa, trzeba współpracować. Jak wspomniałem, mamy do czynienia z działaniami na rzecz zdefiniowania obszarów odpowiedzialności (constituency) zespołów CSIRT poziomu krajowego. Definicje pomagają zoperacjonalizować i podzielić obowiązki. To bardzo ważne dla optymalizacji działań. Jednak do sukcesu, według mnie, w zasadniczy stopniu przyczyni się synergia trzech płaszczyzn działania:
- technicznej,
- strategiczno-analitycznej (policy level),
- ciągłego doskonalenia poprzez edukację i wspólne ćwiczenia.
Dyrektor Narodowego Centrum Bezpieczeństwa Juliusz Brzostek będzie prelegentem podczas nadchodzącej edycji SecureTech Congress w dniach 18-19 kwietnia 2018 r.