STA je objavila vest o nameri Vlade RS, da do konca leta 2013 izdela strategijo kibernetske varnosti in vzpostavi ustrezni nacionalni organ. Hkrati se omenja ustanovitev dodatnega, vladnega GOV-CERT. Na tviterju je težko razpredati na temo odzivanja na omrežne incidente, tu je nekaj misli na to temo.

Preventiva ni vse

Pristop k zaščiti e-bančništva ob njegovi vpeljavi konec 90. let prejšnjega stoletja je bil enostaven: vrzimo v lonec primerno dozo šifriranja in poskrbimo za digitalno avtentikacijo uporabnika “in je”. No, ni. Podobno je z drugimi omrežnimi napadi. Ni dovolj le skrb za zaščito, požarne pregrade in protivirusne programe. Vseh požarov nikoli ne boste odpravili s preventivo in dobrimi praksami. Na koncu potrebujete tudi gasilce.

Gasilci na internetu smo certovci (CERT = Computer Emergency Response Team). Smo tisti, ki se prvi odzovemo na problem, pomagamo pri odpravljanju posledic incidenta, svetujemo pri zaščiti in s povezovanjem različnih dogodkov sestavimo “the big picture”, ki nam omogoča primerne ukrepe.

Vaja dela mojstra

Če sistemski skrbnik razmišlja večinoma o postavitvi in optimizaciji strežnikov, programer o primernem ogrodju za razvoj nove spletne aplikacije, ne eden ne drugi običajno ne bosta vedela, kaj storiti v primeru vdora v računalniški sistem ali kakšne druge zlorabe. Odzivanje na incidente je obrt, ki jo izboljšamo z izkušnjami (seveda je potrebna ustrezna strokovna podlaga). Zato je primerno, da v večjih podjetjih nekaj IT kadra izobrazijo tudi za te primere, v največjih pa je prav, da imajo prav ekipo, ki skrbi za zaščito in odzivanje. Tudi internet ponudniki, seveda. Primeri: KPN-CERT, Siemens CERT, SKY-CERT.

Velik sistem je tudi omrežje državnih ustanov HKOM, ki ima svoje posebnosti. Je bolj zaprto in nadzorovano, kot splošni internet, pravila za izmenjavo in varovanje podatkov morajo biti stroga. Pomislite na različne registre, ki morajo biti dostopni zaradi e-storitev in se skladiščijo tam. Zato je smiselno, da tudi upravljalec omrežja HKOM (Direktorat za informatiko in e-upravo, Ministrstvo za notranje zadeve) ima na voljo ustrezno ekipo za odzivanje.

Koliko certov?

V manjših podjetjih in drugih ustanovah je seveda nemogoče pričakovati, da bodo pri le nekaj zaposlenih sposobna imeti lasten usposobljen kader za informacijsko varnost, zato morajo storitve iskati drugje. Na trgu lahko najdejo ponudnike varnostnih rešitev in zavarovanja v primeru škode. Za podporo pri odzivanju na varnostne incidente pa ponavadi poskrbi država (v IT svetu in sicer), ker praksa kaže, da se komercialni model za prvo odzivanje (first responders) ne obnese. Te naloge opravljajo nacionalni odzivni centri CERT, ki so tudi enotna kontaktna točka za prijavo incidentov. CERT centre vzpostavljajo tudi vojske, ker so omrežni napadi že nekaj let podporni del vojaškega delovanja, to pa ima svoje posebnosti (odzivni center je tudi NATO zahteva).

Ali imeti en sam državni in nacionalni center, ali vloge ločiti, je vprašanje, ki pa nima samo enega odgovora. Odgovor na to je odvisen od trenutne situacije, zgodovine, razdelitev pristojnosti, itn. Švica, Avstrija, Danska in Hrvaška uporabljajo spodnji model.

Predlog

Nacionalni odzivni center SI-CERT:

• področje delovanja: širša javnost,
• vmeščenost v nacionalne storitve (register slovenskih domen, vrhnja DNS infrastruktura, stičišča za izmenjavo internet prometa SIX),
• sodelovanje z internet ponudniki in gostitelji (običajno večje akcije z masovnimi okužbami, tudi zaščita osnovne internet infrastrukture) in naloge v sklopu sodelovanja z Agencijo za pošto in elektronske komunikacije, kot določa ZEKom-1,
• nacionalni program izobraževanja in ozaveščanja.

Vladni odzivni center GOV-CERT:

• področje delovanja: sistemi javne uprave,
• zaščita virov in sistemov na državnem nivoju (registri, sistemi e-uprave),
• skrb za informacijske komponente kritične infrastrukture v državi.

Operativa vs. strategija

Sam sem že kdaj cinično omenil, da se bomo v naši državi utopili v strategijah, medtem ko nam operativno stvari ne delujejo. Vendar pa imamo problem tudi s tem, da operativno že nekako gasimo požare, a odkritih problemov ne rešujemo vedno dovolj učinkovito, ker informacija z operativnega nivoja le malokrat pride do odločevalcev v državi. Visoko umeščen nacionalni organ za kibernetsko varnost bi morda to popravil. Ampak vsekakor je to stvar “medresorskega usklajevanja”.