Stworzony przez Pana zespół CERT przy NASK wkrótce poszerzy zakres kompetencji i stanie się narodowym centrum reagowania na incydenty komputerowe. Jak będzie wyglądały zadania i działalność CERT po zmianach zapowiedzianych przez Ministerstwo Cyfryzacji?
Jeszcze za wcześnie, by o tym mówić w szczegółach. Cały projekt przygotowywany jest z inicjatywy Ministerstwa Cyfryzacji. Są różne koncepcje funkcjonowania, trwają próby oszacowania zasobów, którymi dysponujemy. To jest wciąż rozwijający się proces. Możemy zaplanować prace i określić nowe zadania CERT bardzo szeroko, ale najpierw policzmy, jakie zasoby trzeba będzie na to przeznaczyć.
Jakie Pana zdaniem powinny być najważniejsze zadania CERT-u Narodowego?
Mówiąc o narodowym centrum cyberbezpieczeństwa musimy zdefiniować pewien zestaw obowiązków. To, co najważniejsze, to przyjęcie roli koordynacyjnej. Centrum musi zapewniać także wykonanie założeń dyrektywy NIS. Kolejne zadanie to przyjmowanie sygnałów i informowanie o zagrożeniach w cyberprzestrzeni. To kwestia odpowiedniej analizy i reakcji na pojawiające się incydenty. Chodzi też o tworzenie rekomendacji dla podmiotów odpowiedzialnych za cyberbezpieczeństwo.
Centrum będzie miało znakomity całościowy obraz zagrożeń w sieci. Niebezpiecznie byłoby jednak twierdzić, że jeden CERT jest w stanie przyjąć wszystkie informacje, wszystko przetworzyć, i jeszcze opracować wszystkie rekomendacje. To niemożliwe. Potrzebna jest współpraca z istniejącymi obecnie (a także tymi, które ewentualnie powstaną w przyszłości) zespołami typu CSIRT odpowiedzialnymi za określone sektory gospodarki. Z narodowym CERT-em w roli koordynatora.
Oczywiście w pięć minut takiego systemu się nie zbuduje. Trzeba także opierać się na dużych przedsiębiorstwach, które i tak tworzą własne CERT-y lub inne formy monitorujące i reagujące, wspierać współpracę pomiędzy nimi- jeśli jeszcze nie współpracują. Etapem pośrednim w budowaniu systemu współpracy mogą być centra wymiany informacji typu ISAC, gdzie przedsiębiorstwa z danej branży zaczną ściślej współpracować w tej dziedzinie. Pomocny w tym procesie byłby system zachęt i benefitów wynikających z takiej współpracy, wymiana dobrych praktyk, wymiana informacji na temat analizowanych zagrożeń. Narodowy CERT będzie mógł wtedy współpracować z jednym lub dwoma przedstawicielami danego sektora, a nie z, powiedzmy, kilkudziesięcioma firmami osobno.
Która branża powinna być szczególnie chroniona przed cyberatakami?
Z pewnością można tu wskazać sektor bankowy i finansowy. Trzeba jednak zaznaczyć, że w naszym kraju są to sektory bardzo zaawansowane jeśli chodzi o standardy bezpieczeństwa – szczególnie dotyczy to dużych instytucji. Narażone są po pierwsze nie tyle systemy banków (choć one są ustawicznym celem ataków), co użytkownicy usług typu „home banking”.
Sektor telekomunikacyjny ma własne uregulowania, które są pierwowzorem dla dyrektywy NIS. Jak to działa? W moim pojęciu, w praktyce nie działa. Jeśli nie wyciągniemy wniosków z doświadczeń tego sektora, to może się okazać, że wdrażanie dyrektywy będzie klapą. Nie w sensie przepisów, bo na papierze możemy wykazać, że wszystko mamy. Chodzi o realną wartość dodaną
Myśląc o skutecznej ochronie należy także stale edukować użytkowników usług, bo metody ataków są coraz bardziej zaawansowane. To jednak nie jedyna branża, którą należy chronić. W dyrektywie NIS pojawia się określenie „essential service providers”, czyli dostawcy kluczowych, czy podstawowych usług. To właśnie na nich musimy się skoncentrować. To na pewno sektor energetyczny, gdzie świadomość zagrożeń jest już bardzo wysoka. Także sektor paliwowy, transportu czy zdrowia w oczywisty sposób się do nich zaliczają. Inne usługi, jak np. dostawa wody pitnej, nie są obecnie zbadane pod kątem zależności od cyberbezpieczeństwa.
Powinniśmy pamiętać, że te same typy kluczowych przedsiębiorstwa, które u nas działają, działają też za na granicą. Wiele doświadczeń można podpatrzeć w innych krajach. Chodzi o to, żeby zachęcić przedsiębiorstwa do dwóch podstawowych rzeczy: stosowania przynajmniej pewnych minimalnych standardów i rozwiązań bezpieczeństwa oraz zgłaszania poważnych incydentów. Dziś np. firmy niechętnie informują kogokolwiek o pojawiających się skutecznych atakach. Boją się utraty wiarygodności. Wielkim problemem jest więc stworzenie takich warunków, żeby nie było negatywnych konsekwencji dla przedsiębiorców po zgłoszeniu incydentów.
Sektor telekomunikacyjny od paru lat ma własne uregulowania, które są pierwowzorem dla tych, które zapisano w dyrektywie NIS. Jak to działa w tym wypadku? W moim pojęciu, w praktyce nie działa. Jeśli więc nie wyciągniemy wniosków z doświadczeń tego sektora, to może się okazać, że wdrażanie dyrektywy będzie klapą. Nie w sensie przepisów, bo na papierze możemy wykazać, że wszystko mamy. Chodzi o realną wartość dodaną, jaką dyrektywa NIS może wnieść dla podwyższenia poziomu bezpieczeństwa w kraju.
Na razie wszystko wskazuje na to, że głównym zadaniem narodowego CERT-u będzie reagowanie na incydenty. A co z przewidywaniem nowych form ataków?
Dla mnie to jedna z podstawowych kwestii. Głęboka analiza trendów, budowanie obrazu sytuacyjnego zagrożeń i działania R&D (research and development) to ważne kompetencje, które powinny być rozwijane na poziomie krajowym. Dziedzina taka jak cyberbezpieczeństwo wymaga ciągłych badań nad procesami zachodzącymi w cyberprzestrzeni oraz metodami radzenia sobie z zagrożeniami, a do tego trzeba mieć zasoby i umiejętności. Jeśli ograniczymy się do reagowania – zginiemy. Zagrożeń cały czas przybywa, dlatego podstawa to dobry obraz sytuacyjny wynikający z głębokich analiz. Druga ważna rzecz to budowanie zabezpieczeń, a dopiero trzecia: reagowanie.
Co jest dziś największym zagrożeniem ze strony cyberprzestępców?
Są dwie kategorie zagrożeń. Pierwsza to ataki, które przynoszą konkretne zyski. Mowa tu o metodach łatwo i szeroko stosowanych, takich jak trojany bankowe czy ransomware np. połączony z zapowiedziami ataków DDoS. Łatwe pieniądze, duża skala - tak to sobie wyobrażają przestępcy. Osobna sprawa to ataki kierowane, które wymagają dużej wiedzy i umiejętności atakujących. To są ataki typu ATP, celowane na konkretne protokoły czy usługi, jak np. ostatnie ataki na system SWIFT.
Trendy w zagrożeniach trzeba też cały czas analizować. To, co wydawało nam się ważne trzy lata temu, ze względu na dynamikę trendów, jutro może być już zupełnie nieaktualne.
Wśród zagrożeń są więc dwa nurty- jeden udoskonala znane metody wyłudzenia od użytkowników pieniędzy lub danych, druga tendencja to coraz bardziej zaawansowane ataki kierowane na kluczowe systemy. Takie ataki mogą być niezauważone przez dłuższy czas. Kiedy jednak wyjdą na jaw, może się okazać, że dziesiątki tysięcy małych ataków to nic w porównaniu z tym jednym, o którym nie wiedzieliśmy. Nie można zapominać o żadnej z tych sfer, jedna od drugiej jest zależna.
Działania skoncentrowane tylko na jednej kategorii zagrożeń to połowa sukcesu. Wśród części specjalistów dominuje podejście, by chronić głównie infrastrukturę krytyczną i podstawowe usługi. Przez to często zapominamy o ogromnej masie ataków na zwykłych użytkowników sieci. Z drugiej strony producenci rozwiązań bezpieczeństwa kładą nacisk na statystyki pokazujące, w jaki sposób atakowani są użytkownicy. O drugim rodzaju zagrożeń mówią dla ograniczonych forów, bo uważają, że to sfera indywidualnego podejścia przedsiębiorstw, sektorów. Dyrektywa NIS może spowodować, że konieczne stanie się podejście łączące oba te trendy. W dyrektywie są zapisy o zależności wymagającej współpracy międzysektorowej.
Patrząc na takie kraje jak Wielka Brytania czy Holandia widzimy, że oba obszary zagrożeń są tam równie poważnie traktowane. Jest mowa o całym ekosystemie, który musi być bezpieczny.
Za jakiś czas może okazać się, że na pierwsze miejsce wśród zagrożeń wychodzi np. bezpieczeństwo Internetu rzeczy. Dziś nikt nie ma chyba dobrego pomysłu, co z tym zrobić. W tym wypadku wchodzimy raźnym krokiem w kolejną niebezpieczną przestrzeń.
Krzysztof Silicki: doradca dyrektora NASK, dyrektor ds. Współpracy z ENISA (Agencją Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji). Założyciel pierwszego w Polsce zespołu reagującego na incydenty naruszające bezpieczeństwo w sieci – CERT NASK (obecnie CERT Polska). W latach 2001-2013 był dyrektorem ds. Technicznych NASK instytut badawczy.
Czytaj też: Gen. Nowak: budujemy wojewódzkie klastry cyberbezpieczeństwa