Bezpečnostní týmy
Organizovaná kyberobrana
První útoky na počítačové sítě se objevily poměrně brzy – už na sklonku internetového pravěku v druhé polovině 80. let minulého století. Na rodící se fenomén kybernetických útočníků jako první reagovaly americké technické univerzity, které začaly zakládat první týmy zodpovědné za systematickou ochranu sítě. V roce 1998 tak z iniciativy tehdejší hlavní internetové autority organizace DARPA vznikl na půdě pittsburghské Carnegie Mellon University tým CERT, který měl za úkol zastavit počítačový vir Morris, jenž v té době jako první dokázal napadnout síť ve skutečně masivním měřítku.
Důležitost podobných týmů se zvýšila v polovině 90. let, kdy došlo k masivnímu rozšíření Internetu mezi běžné uživatele, a tedy i k nárůstu počítačové kriminality. Jednotky, kterým se tehdy začalo říkat CSIRT – Computer Security Incident Response Team (Tým pro reakci na bezpečnostní incidenty počítačů), měly za úkol rychle rozpoznat internetové útoky a minimalizovat případné škody.
Dnes je zvykem, že každá země, případně i větší organizace má své bezpečnostní CSIRT týmy. S ohledem na globální povahu Internetu hraje v jejich práci důležitou roli vzájemná komunikace. Díky ní mají týmy prakticky okamžitě informace o rodících se rizicích a hrozbách a také si mohou vyměňovat cenné informace.
V Evropě se zástupci týmů CSIRT setkávají v rámci pracovní skupiny TF-CSIRT, jejíž vznik iniciovala a organizuje sdružení TERENA (Trans-European Research and Education Networking Association), evropská mezinárodní organizace podporující aktivity v oblasti Internetu, infrastruktur a služeb v rámci akademické komunity. V celosvětovém měřítku má podobnou roli organizace FIRST (Forum for Incident Response and Security Teams).
Počítačová bezpečnost v Česku
První česká jednotka rychlého nasazení pro případ on-line bezpečnostní hrozby vznikala od roku 2004 pod hlavičkou akademického sdružení CESNET. V letech 2007–2010 se již jednalo o mezinárodně uznávané pracoviště. K 1. lednu 2011 pak na základě dohody s Ministerstvem vnitra přešel od roku 2007 paralelně budovaný národní CSIRT.CZ pod správu sdružení CZ.NIC.
Jeho provozováním a financováním bylo pověřeno sdružení CZ.NIC, které spravuje národní internetovou doménu nejvyššího řádu .CZ. Od 1. dubna 2012 platí nová dohoda uzavřená s Národním bezpečnostním úřadem, který od října roku 2011 v české státní správě zodpovídá za problematiku kybernetické bezpečnosti.
Mezi hlavní úkoly CSIRT.CZ spadá řešení bezpečnostních incidentů vzniklých v počítačových sítích, koordinace jejich odstranění a jejich prevence. CSIRT.CZ zároveň pomáhá zakládat nezávislá lokální pracoviště, přitom poskytuje nezbytné znalosti pro budování nových týmů a přispívá k efektivnější spolupráci.
Také slouží jako instance „poslední záchrany“ v případech, kdy napadená síť nedokáže kontaktovat správce sítě, která je zdrojem útoku, nebo kdy správa dané sítě na hlášení nereaguje. Služby CSIRT.CZ nejsou určené koncovým uživatelům, ale správcům sítí a poskytovatelům připojení k Internetu.
Práce týmu v praxi
Význam činnosti týmu pro kybernetickou bezpečnost ukázaly například série útoků na české webové služby začátkem března 2013. Ty mohou posloužit jako dobrý příklad pro představu, jak podobné týmy vlastně fungují. Tehdejší útok postupně způsobil nedostupnost významných portálů, zpravodajských serverů a dalších služeb včetně systémů pro elektronické bankovnictví některých bank. Jednalo se mimo jiné o Seznam.cz, iDNES.cz či Novinky.cz, z bankovních institucí se útok týkal například České národní banky, České spořitelny nebo ČSOB.
Tým CSIRT.CZ od prvního dne březnových útoků působil jako konzultant pro napadené společnosti, státní správu a veřejnost. Bezprostředně po zjištění útoků se v sídle CSIRT.CZ (v tomto případě v sídle správce domény .cz CZ.NIC, které je v ČR za provoz týmu odpovědné) sešel krizový štáb. Ten zajišťoval především koordinaci komunikace mezi klíčovými subjekty – správci dotčených sítí, poskytovateli připojení k Internetu, bezpečnostními složkami včetně národního bezpečnostního úřadu, zahraničními partnery i médii. Stejně tak tým navrhoval a koordinoval potřebná opatření pro odstranění bezpečnostních mezer a lepší zabezpečení.
Zároveň zastával i preventivní funkci. Společnostem, které připadaly v úvahu jako další možný cíl, případně se samy obávaly útoku, podával spolehlivé informace a doporučení na základě údajů o infrastruktuře dané sítě.
Po ukončení útoků byla celá událost vyhodnocena. Výsledky analýzy pak posloužily k vytvoření instrukcí pro posílení imunity sítí vůči napadením podobného typu.
Doporučená videa Jak na Internet:
Máme se bát kybernetických útoků?
Online bezpečnost
Finanční služby na Internetu
Doména, IP adresa, DNS
Šifrování
Další zajímavé články a zdroje:
Před třiceti lety se začal šířit první počítačový červ. Jeho autora museli soudit podle nového zákona, Pavla Lioliasová (iRozhlas.cz)
Národní CSIRT České republiky – oficiální stránky
CSIRT.CZ, Wikipedie
Internet má za sebou nejmasivnější útok historie, podobný by porazil i největší české weby, Michal Altair Valášek (Hospodářské noviny)
DDoS útok loni řešila třetina českých firem. Jak se bránit?, Martin Panák (Lupa.cz)