Kybernetická bezpečnosť nie je dielom jednotlivca, ale organizácie
Jediný spôsob, ktorým dá stopercentne vyhnúť bezpečnostnému incidentu, je vypnúť všetky zariadenia, inak je tu vždy riziko, že sa niečo stane. Našťastie ho je možné znižovať, hovorí Veronika Paulínyová z CSIRT FEI STU.
Veronika, vysvetli na úvod, čo je CSIRT?
Ide o skratku anglického názvu Computer Security Incident Response Team, čo je označenie pre tím, respektíve jednotku pre detekciu a reakciu na počítačové bezpečnostné incidenty.
Čo si treba predstaviť pod takým incidentom?
Je to akákoľvek udalosť, ktorá narušuje, alebo má potenciál narušiť počítačovú bezpečnosť vzhľadom na nastavené politiky organizácie. Môže ohroziť dôvernosť, dostupnosť alebo integritu informácií alebo informačného systému, ktorý je potrebné chrániť.
Aké informácie je potrebné chrániť?
Takzvané aktíva; delia sa na primárne a podporné. Primárne sú najmä informácie, činnosti a procesy slúžiace na napĺňanie poslania organizácie. Pre náš univerzitný CSIRT je primárnym aktívom edukačná a vedecká činnosť fakulty. Primárne aktíva závisia od podporných aktív, čo sú napríklad informačné systémy, počítačová sieť, technologická infraštruktúra, ale aj ľudia zabezpečujúci spracovanie informácií. Pre nás je to najmä fungovanie akademického informačného systému, dostupnosť univerzitnej počítačovej siete študentom aj vyučujúcim, zabezpečenie laboratórií a mnohé ďalšie.
Je možné, aby všetky tieto aktíva chránila jedna organizácia?
Áno, pokiaľ správne funguje spolupráca medzi všetkými jej členmi. Ak sú pracovníci dostatočne informovaní, ochotní incidenty nahlasovať, a predovšetkým dodržiavať nastavené bezpečnostné politiky. Bezpečnosť nie je dielom jednotlivca, ale celej organizácie. Ako univerzitný CSIRT máme výhodu, že mnohé oblasti bezpečnosti na fakulte majú svojich správcov a koordinátorov, s ktorými môžeme komunikovať.
Čo konkrétne robí pracovník CSIRT-u na našej fakulte?
Jeho úlohou je sledovať a reagovať na nebezpečné zaobchádzanie s aktívami. Robí to dvoma formami. Prvou je možnosť získania podnetu od zamestnanca alebo študenta pomocou formulára, alebo osobne. Jedným z nahlásených incidentov bola napríklad tlačiareň, ktorá tlačila bez vyzvania na papiere nahnevaných smajlíkov a nepekné slová. Druhou formou je náš vlastný monitoring. V kooperácii s výpočtovým strediskom aktuálne nasadzujeme do siete takzvané monitorovacie zariadenia. Majú za úlohu sledovať dianie na sieti a nahlásiť podozrivú aktivitu.
Čo je, prípadne môže byť podozrivou aktivitou?
To, že sledujeme sieť, neznamená, že nad každým počítačom v sieti sedí člen CSIRT-u a sleduje, kto si počas pracovných hodín otvoril Facebook. To nie je pre fakultu potenciálnym nebezpečenstvom, a teda to nie je podozrivá aktivita. Naopak, bezpečnostným incidentom je napríklad sto študentských počítačov v jednej učebni posielajúcich dopyt na GitHub (vzdialený server) s pokusom o prihlásenie sa. Takáto aktivita pripomína snahu o DDoS (angl. Distributed Denial of Service), čo je útok, kedy množstvo počítačov vyžiada odpoveď od obete, aby ju tak zahltila žiadosťami, čo má za následok zlyhanie cieľového zariadenia. Takáto podozrivá aktivita je automaticky zaznamenaná monitorovacím zariadením, ktoré o nej informuje členov CSIRT-u. CSIRT následne rozhodne, či ide o bezpečnostný incident, na ktorý treba reagovať, alebo či len v danej miestnosti prebieha cvičenie, v rámci ktorého sa študenti učia pracovať s GitHub-om.
Existujú podozrivé aktivity, ktoré môže človek prehliadnuť, pretože nevie, že by mohli byť nebezpečné?
Určite áno. Mnohé bezpečnostné incidenty sa začínajú ako malý detail, ktorý bol objavený náhodou. Niekomu pripadal podozrivý, a tak sa ho rozhodol nahlásiť. Napríklad môžeme uviesť spoločnosť vlastniacu automaty s nápojmi. Pri každom výbere z automatu odišla z karty suma o 10 centov vyššia, než uvedená suma. Jedna študentka sa to rozhodla nahlásiť a zistilo sa, že išlo o bezpečnostnú chybu systému, ktorá bola pravdepodobne už dlhší čas takticky zneužívaná pre osobné obohatenie sa útočníka. Všetci pred touto študentkou si povedali, že 10 centov nie je dôležitých, alebo si rozdiel vôbec nevšimli. Odhadovaná suma, ktorú útočník takto získal, bola niekoľko tisíc eur (niektoré fakty tohto príbehu mohli byť pozmenené).
Ako vyzerá bezpečné narábanie s počítačom, aby bezpečnostný incident nevznikol?
Jediný spôsob, ktorým dá stopercentne vyhnúť akémukoľvek jeho vzniku, je vypnúť a odpojiť všetky zariadenia od elektrickej energie a zavrieť ich do skrine. Inak je tu vždy riziko, že sa niečo stane. Našťastie, toto riziko je možné mitigovať, teda znižovať na akceptovateľnú mieru tak, že každý používateľ vie, s akými informáciami alebo technikou narába, čo a ako môže robiť, pričom ani nemá oprávnenia na to, čo robiť nemôže. Je to kombinácia edukácie a pridelenia právomocí len autorizovaným a len na čas, kedy je to pre nich relevantné.
Akým spôsobom edukácia prebieha?
Formu si volí a prispôsobuje organizácia, keďže je potrebné zvážiť špecifickosť jej prostredia. Štandardne prebieha formou bezpečnostných školení. Tie je možné „okoreniť“ napríklad zaslaním phishingového alebo iného falošného e-mailu. Po kliknutí na prílohu bude namiesto inštalácie škodlivého softvéru zamestnanca informovať, že táto príloha síce nie je škodlivá, no ak by bola, systém jeho počítača by bol v tomto momente napadnutý. Pre naučenie sa rozlišovať, čo je falošný e-mail a čo reálny, odporúčame napríklad od csirt.sk (Slovenský vládny CSIRT) phishingový test: https://www.csirt.gov.sk/archiv/osvedcene-postupy/navody-a-odporucania/phishingovy-test-871.html.
Čo všetko sa môže naučiť študent, ktorý sa stane členom CSIRT FEI STU?
Máme tu študentov aj vyučujúcich, ktorí sa zaujímajú o kyberbezpečnosť. Aktuálne máme študentov aplikovanej informatiky, ktorí chcú získať praktické skúsenosti v oblasti bezpečnosti (monitorovanie, nasadzovanie bezpečnostných nástrojov, sledovanie sieťovej prevádzky) nad rámec výučby, ale aj zvedavcov a výskumníkov, ktorí chcú pohnúť bezpečnosť vpred. Skupina študentov sa venuje vývoju našej webovej stránky a formulára na nahlasovanie incidentov. Spoluprácu poskytujeme aj pre záverečné práce. Ďalšia časť „CSIRTákov“ sa venuje edukačnej činnosti. Na fakulte zabezpečujeme predmety počítačová kriminalita a operačné systémy. V kooperácii so SPŠE Zochova naši členovia učia stredoškolákov predmety kyberbezpečnosť, počítačové siete a programovanie. Napriek tomu, že sme veľmi mladý univerzitný CSIRT (založený v roku 2023), máme pomerne široký záber praxe, edukácie a výskumu. Veríme, že v budúcnosti sa ešte rozšíri.
Poznáte nejaké iné univerzitné CSIRT-y? Ste nejako prepojení?
Áno, všetky CSIRT-y si zakladáme na tom, aby sa povedomie o dôležitosti kyberbezpečnosti šírilo, a preto sme otvorení spolupráci. Komunikujeme s CSIRT-MU (CSIRT na Masarykovej univerzite v Českej republike). Má značné skúsenosti a históriu, keďže bol založený v roku 2009. Na Slovensku je CSIRT UPJŠ na Univerzite Pavla Jozefa Šafárika v Košiciach, ktorý je prvým univerzitným CSIRT-om na Slovensku.
Text: Terézia Krajčírová
Foto: archív respondentky