Exatel na ćwiczeniach Cyber Europe [relacja]

CyberDefence24: Jaki wymiar miało szkolenie Cyber Europe? Czy były to zawody typu CTF,  a może bardziej tradycyjne szkolenia bazujące na dwóch wzajemnie zwalczających się drużynach – Red Team oraz Blue Team?

Exatel: Cyber Europe 2016 organizowane przez Europejską Agencję Bezpieczeństwa Sieci i Informacji (ang. European Network and Information Security Agency, w skrócie ENISA) to ćwiczenia, które realnie trwają od końca kwietnia bieżącego roku. Co jakiś czas pojawiają się kolejne zadania do realizacji. I tak na samym początku rzeczywiście były to zawody typu CTF (Capture the Flag). Kolejne przekazywane nam zadania to m.in. analiza zagrożeń typu malware, zainfekowanych stron internetowych czy kampanii marketingowych. To, co miało miejsce ostatnio, było drugim etapem tych ćwiczeń. W ich trakcie symulowany był zmasowany atak na infrastrukturę teleinformatyczną w całej Europie (z elementami działań globalnych). Celem tego etapu było sprawdzenie gotowości całej Europy, poszczególnych krajów oraz wybranych podmiotów do obrony przed zaawansowanymi atakami płynącymi z cyberprzestrzeni. O skali tych ćwiczeń świadczyć może fakt, że zaangażowanych w nie było 29 krajów europejskich. Z Polski – oprócz Exatela – uczestniczyło jeszcze kilka innych podmiotów.

Całość ćwiczeń skupiała się na dwóch aspektach. Pierwszym z nich było sprawdzenie, czy sami uczestnicy są gotowi na tego rodzaju zagrożenia (pod względem technicznym i proceduralnym). Sprawdzane były nie tylko umiejętności ekspertów od cyberbezpieczeństwa, ale również mechanizmy ochrony własnej infrastruktury, klientów czy sprawności komunikacyjnej. Drugim elementem była odpowiedź na pytanie – czy potrafimy współpracować na poziomie zarówno krajowym, jak i europejskim.

Z naszej perspektywy musimy przyznać, że ćwiczenia były przygotowane w sposób nad wyraz profesjonalny. Inscenizowane były nie tylko same infrastruktury (nie działaliśmy na realnie istniejących sieciach czy rozwiązaniach bezpieczeństwa), ale również działania opinii publicznej czy tworzący się automatycznie w tego typu sytuacjach chaos informacyjny. To była naprawdę dobra lekcja.

CD24: Czy szkolenie przewidywało jakąś rywalizację? Uzyskali Państwo jakieś wyróżnienie?

E.: Pewne elementy rywalizacji były. Ale – jak już mówiłem – głównym celem było sprawdzenie możliwości współpracy i wyzwolenie w uczestnikach chęci kooperacji zgodnie z hasłem przewodnim „Stronger2gether”. Bo trzeba pamiętać, że ataki hakerskie rzadko są pojedynczymi działaniami. Te największe i najbardziej szkodliwe dla organizacji to zmasowane ataki, za którymi stoją często zorganizowane grupy a nawet rządy państw.

Co zaś się tyczy podsumowania – nie mamy obecnie żadnych tego typu informacji. Samo szkolenie skończyło się w zeszły piątek. Pierwsze podsumowania będą dopiero niebawem.

CD24: Czy szkolenie odbywało się w jednym miejscu, gdzie zostali zebrani wszyscy uczestnicy, czy korzystali Państwo z łączy internetowych, aby podłączyć się do specjalnie przygotowanej sieci wirtualnej?

E.: Jak już mówiłem – szkolenie było międzynarodowe. Koordynacja przebiegała z Aten, a aktywnie działało 29 państw. Można powiedzieć, że były to olbrzymie wirtualne manewry wojskowe, jakie ostatnio widujemy na całym świecie (również w Polsce). Z tym, że tutaj żołnierzami byli eksperci ds. cyberbezpieczeństwa. A zagrożeniami np. problemy z łącznością (odcięcie od światowych zasobów internetu, ataki z wykorzystaniem dronów i rozwiązań informatycznych na centra danych). No i całkowicie wirtualne pole bitwy.

CD24: Co szkolenie dało osobom pracującym w Exatel?

E.: Exatel, jako firma specjalizująca się w cybernetycznej ochronie innych podmiotów, reakcje na zagrożenia tego typu ma opracowane bardzo dobrze. Ale tutaj sprawdzane też było, jak dobrze potrafimy rozwiązywać potencjalne ataki na nas samych. Co więcej – sprawdzane było, jak dobrze opracowane są mechanizmy powiadamiania innych jednostek i współpraca z nimi.

Naszym zdaniem wypadliśmy dobrze. Nasi pracownicy stanęli na wysokości zadania i sprawnie rozwiązywali kolejne napotykane problemy. Chociaż – co jest kluczowe – zauważyliśmy też miejsca, które można poprawić. Wiemy, które procedury wymagają doprecyzowania. Dzięki wymianie informacji pomiędzy uczestnikami w trakcie ćwiczeń wiemy też, jakie mechanizmy zastosowali inni i które – być może – warto będzie zastosować u nas.

CD24: Będą Państwo uczestniczyć w innych wydarzeniach tego typu, niekoniecznie organizowanych przez ENISA?

E.: Jeśli pojawi się taka możliwość, na pewno będziemy ją poważnie rozważać. Warto podkreślić, że w podobnych wydarzeniach braliśmy już udział (np. w polskich ćwiczeniach z cyberbezpieczeństwa „Cyber EXE 2014”).

CD24: Szkolenie na stronie ENISA jest opisane dosyć lakonicznie,  czy mogą Państwo zdradzić, co atakowaliście lub broniliście w przestrzeni sieciowej?

E.: Przed ich rozpoczęciem uczestnicy nie mieli za dużo informacji. Dopiero w czwartek rano poznaliśmy szczegóły, w tym rozwiązania infrastrukturalne i technologiczne, którymi dysponowaliśmy. Bo – jak już wspominałem – całe ćwiczenia odbywały się w środowisku wirtualnym.

Wszyscy uczestnicy byli celami ataków. „Wróg” – jak to zazwyczaj bywa w świecie cyfrowym – na początku nie był znany. Sam atak przeprowadzony był z zaskoczenia, a jego efekt był niemal natychmiastowy. Pierwszym uderzeniem tj. atakiem DDoS „trafiona” została infrastruktura firm telekomunikacyjnych. Doprowadziło to do powstania najgorszego efektu z możliwych, czyli całkowitego braku dostępu do globalnej sieci Internet. Kolejne etapy to skomplikowany malware, potencjalny wyciek danych osobowych, atak na centra przetwarzania danych z wykorzystaniem dronów i łączności bezprzewodowej, działania phishingowe (podszywanie się pod firmę) związane z zawyżonymi fakturami, atak wizerunkowy na członków Zarządu. Wszystko to przy „akompaniamencie” paniki w mediach (inscenizowanej na kilku stworzonych na potrzeby ćwiczenia portalach informacyjnych i portalach społecznościowych). Jak widać, olbrzymia liczba zdarzeń i to na przestrzeni tylko dwóch dni. W efekcie mogliśmy przetestować nie tylko wiedzę naszych pracowników, ale i funkcjonujące u nas procedury oraz potencjalne możliwości współpracy.

CD24: Jak Państwo oceniacie swoje przygotowanie na tle innych krajów?

E.: Jak już wspominałem – nie mamy oficjalnej informacji o tym, jak nasza firma wypadła na tle innych uczestników. Wątpliwe, czy jako pojedynczy „gracz” taka wiadomość w ogóle do nas dotrze. Bo pamiętajmy, że nadrzędnym celem nie była rywalizacja pomiędzy uczestnikami. Kluczowe było sprawdzenie, czy jesteśmy gotowi na globalną katastrofę telekomunikacyjną, czy wewnętrznie firma jest w stanie sprostać takim wyzwaniom (pod względem uruchomienia odpowiednich mechanizmów kontroli i zarządzania) oraz czy potrafimy współpracować zarówno w obrębie kraju, jak i na poziomie europejskim. Wiem natomiast, że za jakiś czas ma pojawić się raport z tego wydarzenia. I wtedy – mam nadzieję – poznamy końcowe wnioski z ćwiczeń.

CD24: Czy podczas szkolenia udało się Państwu nawiązać współpracę z innymi podmiotami biorącymi udział w szkoleniu?

E.: Tak, choć nie przebiegało to w sposób zorganizowany. Z naszego punktu widzenia pierwszego dnia nawiązała się współpraca wśród części polskich uczestników. Drugiego dnia rozpoczęła się wymiana informacji już na poziomie europejskim. W tych oddolnych, spontanicznych inicjatywach zabrakło jednak systematyczności. Ale myślę, że główny cel tych ćwiczeń - czyli pokazanie konieczności współpracy w takich sytuacjach – został osiągnięty.

Czytaj też: Europejskie ćwiczenia cyberbezpieczeństwa - Cyber Europe 2016