CERT-y muszą się dostosować do zagrożeń hybrydowych [WYWIAD]

8 sierpnia 2018, 08:53
F-SEcure
Fot. Kārlis Dambrāns/Flickr/CC 2.0

O pracy i organizacji CERT-ów, fińskich doświadczeniach oraz wyzwaniach na przyszłości dla tych struktur mówi dla Cyberdefence24.pl Erka Koivunen Chief Information Security Officer w F-Secure i były szef fińskiego CERT-u.

Sprawował Pan funkcje dyrektor fińskiego CERT-u, jak ta instytucja powinna według Pana wyglądać oraz działać?

Przede wszystkim należy określić czym się zajmuje się CERT. Jest to instytucja odpowiedzialna za koordynację reagowania na incydenty. Wymaga to, zatrudnienia personelu, który analizuje podejrzane anomalie i daje odpowiedzi na zaistniałe problemy. Instytucje tego typu mają za zadanie koordynować działania licznych firm, podmiotów państwowych oraz pojedynczych użytkowników, pracując razem w celu odpowiedzi na incydenty.

Ile CERT-ów jest w Finlandii?

Mamy jeden państwowy CERT, którego byłem szefem. Ten CERT zapewnia swoje usługi całej Finlandii. Został on umieszczony w ramach Fińskiego Urzędu Regulacji Telekomunikacyjnych (Finnish Communications Regulatory Authority), gdzie miał on możliwość prowadzenia bezpośrednich rozmów z przedstawicielami telekomów. Każdy używa sieci telekomunikacyjnych, więc było to naturalne miejsce dla CERT-u. Pomagał on również chronić sieci i systemy rządowe, ale nie pełnił roli oficjalnego CERT-u rządowego. Zmieniło się to w roku 2015, kiedy postanowiono, że instytucja ta będzie nadzorować koordynację odpowiedzi na incydenty w ramach sieci i systemów teleinformatycznych fińskiego rządu. Ponadto siły zbrojne posiadają własny CERT. Każdy telekom w Finlandii ma obowiązek posiadać zdolności do reagowania na incydenty. Większość dużych organizacji również ma albo dąży do posiadania takich umiejętności ze względu na ciągłe ataki DDoS, phishing czy rozsyłanie malware'u. Muszą one mierzyć się z rosnącą liczbą incydentów. Dlatego są zmuszone powołać swoje zespoły CERT. Jak widać, w Finlandii mamy wiele CERT-ów.

W jaki sposób sprawić, żeby komunikacja między nimi przebiegała sprawnie a ich obowiązki nie pokrywały się ze sobą?

Każdy z CERT-ów odpowiedzialny jest za obsługę pewnego konkretnego obszaru. Jeżeli mamy do czynienia z CERT-em telekomów będzie on odpowiedzialny za reagowanie na incydenty, z którymi do czynienia maja ich użytkownicy. Narodowy CERT stara się zachęcić do wymiany informacji. Należy jednak zrozumieć, że w środowisku CERT-ów nie możesz zmusić innych organizacji do robienia konkretnych rzeczy i np. wymiany informacji. Podstawowe założenie polega na tym, że wymiana informacji i współpraca jest całkowicie dobrowolna. Ponadto istnieją przepisy prawne, które nie pozwalają na dzielenie się pewnymi rodzajami danych. Przykładowo, w Finlandii mamy obowiązek dochowania tajemnicy bankowej. W kwestiach dotyczących phisingu, konieczne jest najczęściej poznanie danych kont tzw. mułów, informacji o kartach kredytowych czy debetowych. Fińskie prawo zakazuje ujawniania tych informacji. Dlatego też eksperci w ramach CERT-u są niezwykle wdzięczni za każdą pomoc, bo mają świadomość, że nie wszystkie podmioty chcą się na równi dzielić informacjami. Nie można jednak zapobiec temu, że część zadań CERT-ów będzie się ze sobą pokrywać. Mogą czasami nawet wykonywać czynności, które są ze sobą sprzeczne, przykładowo badając jeden incydent, tylko, że z innej perspektywy. Często to wygląda jednak tak, że jeden z CERT-ów zainteresowany jest analizą malware, inny blokuje ruch sieciowy, jeszcze inny wpływa na serwery DNS.

W trakcie mojej kadencji na stanowisku szefa fińskiego CERT-u, wielokrotnie przez przypadek, albo mieliśmy szczęście i napotykaliśmy na jakaś kampanię malware, czy działania cyberprzestępców. Narodowy CERT próbuje brać udział w nieformalnych sieciach, jak np. sieci społecznościowe czy profesjonalne i w ten sposób nakłonić instytucje i osoby do podzielenia się informacjami. Jeżeli praca wszystkich CERT-ów byłaby odgórnie koordynowana to mogłaby być odrobinę bardziej efektywna, ale bazując na moich doświadczeniach byłaby ona krótka i dość krucha. Ponadto taki sztywny model zarządzania spowodowałby, że CERT-y miałby problemy z szybkim dostosowaniem się do zmieniającego się krajobrazu bezpieczeństwa. Elastyczność i nieformalna natura CERT-ów powodują, że są niezwykle przydatne w reagowaniu na ataki.  

CERT-y i zdolności reagowania na incydenty powinny być postrzegane jako usługi dla społeczeństwa, a nie jako kwestie wyłącznie rządowe. Kiedy spróbujemy zminimalizować komponent rządowy i skupić się na pomocy społeczeństwu to wygramy. Czasami oznacza, to że utrzymywane CERT-y muszą pozostać w miarę słabe.

Finlandia przyjęła trochę inny model rozwoju CERT-ów niż pozostała cześć Europy. Może Pan wyjaśnić tę różnicę?

Jedna z rzeczy, którą najbardziej cenię w naszym fińskich modelu było to, że zaczynaliśmy od dostarczania naszych usług dla całej Finlandii. Większość państw w Europie najpierw utworzyło rządowy CERT, cywilny bądź wojskowy, który był odpowiedzialny za sieci i systemy rządowe. Część państw rozszerzało kompetencje CERT-ów akademickich czyniąc je odpowiedzialnymi za ochronę sieci i systemów rządowych. W mojej opinii nie jest to najlepsze rozwiązanie, ponieważ akademickie CERT-y nie posiadają specjalnego mandatu. Mogą właściwe operować tylko w ramach sieci akademickich.

W przypadku CERT-u rządowego i CERT-u akademickiego prywatny biznes, odpowiedzialny za infrastrukturę krytyczną państwa, jak np. przedsiębiorstwa z sektora energetycznego, czy telekomy, zostawały w ten sposób bez żadnego wsparcia ze strony CERT-u. Obywatele państwa, którzy są najczęściej ofiarami cyberataków i w ich wyniku tracą pieniądze też nie mogli liczyć na pomoc. Większość krajów, która na początku stworzyła CERT-y rządowe, w przeciągu kilku lat doszła do wniosku, że muszą je poszerzyć w celu dostarczenia usług do organizacji prywatnych. Finlandia obrała inną drogę i oferowała je wszystkim za darmo. Pozwoliło to na stworzenie nieformalnej siatki kontaktów i umożliwiło skuteczną reakcje na incydenty. Przykładowo dużo łatwiej było przekonać telekomy do zablokowania części ruchu sieciowego. Takie podejście miało jednak pewne negatywne cechy i przez długi okres czasu nie udawało się odpowiednio chronić systemów i sieci rządowych.  

Jako były szef CERT-u jakie wskazówki dałby Pan innym szefom tych instytucji ?

Jeżeli miałby komuś udzielić rady to rekomendowałbym znalezienie odpowiedniej równowagi pomiędzy dwoma przeciwstawnymi biegunami czyli, że staramy się ochronić wszystkich, zaniedbując ochronę sieci rządowych, czy wręcz przeciwnie. Jest to wybór pomiędzy modelem fińskimi a modelem innych państw europejskich. Zagrożenia w cyberprzestrzeni są horyzontalne i dotyczą wszystkich. W ten sposób trzeba myśleć tworząc CERT. Nie można się po prostu zamknąć w silosie. Należy też pamiętać, że celem CERT-ów jest łączenie ludzi.

Jakie były najpoważniejsze ataki i wyzwania z którymi musiał Pan sobie radzić jako szef CERT-u?

Zależy od podmiotu, który chroniliśmy. Najczęstszym problemem dla sektora prywatnego i obywateli było złośliwe oprogramowanie, phishing i oszustwo oraz ataki typu DDOS. Ponadto dążono do wyrządzenia jak największych szkód finansowych i zmniejszenia zaufania ludzi do usług cyfrowych. W tym sensie, CERT-y odgrywają ważną rolę w celu przeciwdziałania temu trendowi.  W tym przypadku mamy do czynienia z wykorzystaniem najbardziej zaawansowanych narzędzi i metod, z którymi zwykli użytkownicy nie będą mieli do czynienia. Mogą one wpłynąć na stosunki dyplomatyczne, zaciemnić linię pomiędzy czasami pokoju a wojny. Należy znaleźć odpowiedni balans pomiędzy walką z najpoważniejszymi zagrożeniami i tym najpowszechniejszymi. W trakcie zwalczania ataków APT nauczyłem się wiele na temat strategii odpowiedzi na nie oraz mechanizmów ataku. Jednym z największym wyzwań jest wykrycie ich na czas. 

W Polsce będziemy mieli CERT-y odpowiedzialne za konkretne obszary infrastruktury krytycznej, oddzielny CERT dla sektora energetycznego, inny dla telekomunikacyjnego. Mamy również prywatne CERT-y. Wygląda na to, że będzie ich za dużo.

Niekoniecznie, wszystko zależy do tego w jaki sposób będą one ze sobą współpracować. Ilość CERT-ów nie ma większego znaczenia. Dobrym przykładem praktycznym jest Norwegia. Norwegia ma CERT-y sektorowe (finansowy, energii, itp.) i CERT narodowy. 

Czy mają one jasną hierarchię czyli, kto opowiada za co?

Moim zdaniem reagują z alergią na słowo hierarchia. Opowiadają one za konkretny sektor i kiedy trzeba to ze sobą współpracują. Umiejscowienie ich w strukturyzowanej, sztywnej hierarchii doprowadzi do utraty przez nie, ich największej zalety czyli elastyczności. Ponadto utrudni to kontakt z innymi partnerami i wymianę informacji. Będą chciały zachować je dla siebie. 

Jaka będzie przyszłość CERT-ów?

Obecnie wraz z pojawianiem się zagrożeń hybrydowych, które nie tylko bazują na technologii i cyberatakach, ale również wykorzystują media, kanały dyplomatyczne, relacje biznesowe, korupcję czy fake newsy potrzebujemy nowej strategii. Przeciwnicy starają się zdestabilizować społeczeństwa, sektor prywatny oraz procesy demokratyczne. CERT-y analizując zagrożenia muszą być teraz świadome czy nie ma szerszego kontekstu tej sytuacji. Powinny odgrywać rolę łącznika z kontrwywiadem. Ta współpraca stale rośnie i jest o wiele większa niż 5 lat temu. CERT-y potrzebują bardziej interdyscyplinarnego podejścia uwzględniającego nauki ekonomiczne i społeczne w celu zrozumienia zachowania ludzkiego oraz sposobów wpływania na nie. CERT-y nie mogą niczego zrobić, jeśli widzą, że mają do czynienia z operacjami hybrydowymi, których celem jest wywarcie wpływu, ale mogą dostarczyć informacje na temat konkretnych rodzajów zagrożeń, politykom, mediom i społeczności naukowej. Dzięki tym danym można skutecznie przeciwdziałać operacjom wpływu. CERT-y muszą być połączone nie tylko na poziomie technologicznym, ale również budować swoją siatkę kontaktów na bardziej abstrakcyjnym poziomie.

KomentarzeLiczba komentarzy: 0
No results found.