Incidenty řešené v roce 2016

Nejdříve se zaměříme na incidenty. Z kvantitativního pohledu jsme v roce 2016 vyřešili přes 1 000 ticketů. Každý ticket znamená pro statistiky jeden incident bez ohledu na jeho závažnost a komplexnost. Národní CSIRT tým totiž dostává jako point of contact různé druhy hlášení. Může jít například o hlášení spamu, nebo jde o hlášení několika tisíc IP adres zapojených do botnetu. Každému ticketu/incidentu je přiřazena určitá důležitost a vyžaduje různý čas potřebný k vyřešení.

Co se týče roku 2016, výraznějším způsobem stouplo hlášení velkých bloků českých IP adres, které patřily do botnetů. Boj proti botnetům je však často srovnatelný s bojem s větrnými mlýny. Úlohou národního týmu pak je informovat všechny koncové sítě, ve kterých se adresy nacházejí, s žádostí o nápravu situace. I když je proces incident handlingu velice těžké automatizovat, protože každý incident vyžaduje ověření člověkem, pro incidenty obsahující desítky a stovky adres vytvořil tým CSIRT.CZ poloautomatizovaný nástroj, který umožňuje rozdělení adres do požadovaných koncových sítí.

Další problém, který se vyskytoval poměrně často, byl ransomware.

Rozvoj bezpečnostních týmů

Zájem o formalizaci práce bezpečnostních týmů v soukromých společnostech trval i v roce 2016. Čtyři soukromé týmy rozšířily seznam oficiálních týmů v Trusted-Introducer. Ještě před pár lety se o oficiální uznání týmů různými mezinárodními organizacemi ucházely zpravidla výlučně akademické týmy, po nich přišly na řadu národní a vládní týmy. V uplynulých letech sledujeme stále rostoucí zájem týmů poskytovatelů připojení k internetu, přičemž v roce 2016 začaly přibývat týmy soukromých společností, které začínají poskytovat služby CSIRT týmů jako jednu ze svých služeb. V roce 2016 tak počet oficiálních tuzemských CSIRT týmů v rámci služby Trusted Introducer stoupl na 26. Spolu s Německem a Francií tak Česká republika patří mezi státy s nejvyšším počtem bezpečnostních týmů v Evropě.

Že zájem o práci CSIRT týmů i jejich počet stoupá, je vidět také na pracovních skupinách (working groups), které CSIRT.CZ již několik let organizuje. O obě pracovní skupiny CSIRT.CZ konané v roce 2016 byl zatím největší zájem, o čemž svědčí jak počet účastníků, tak zúčastněných týmů. Osvědčily se také semináře sdílení praktických aspektů fungování CSIRT týmů, které se konají v Akademii CZ.NIC.

Směrnice NIS

Uspořádání a fungování bezpečnostních týmů na centrální úrovni (tj. národní a vládní týmy) se napříč Evropskou unií zásadně liší, což někdy ztěžuje komunikaci a spolupráci mezi státy. Právě proto byla, po několika letech diskusí, v roce 2016 schválena Směrnice Evropského parlamentu a rady (EU) 2016/1148 o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v EU (směrnice NIS). Jedním z cílů této směrnice je stanovení minimálních kritérií pro všechny státy Evropské unie v oblasti kybernetické bezpečnosti tak, aby došlo k postupnému vyrovnání napříč všemi zeměmi a sjednocení ochrany vnitřního trhu.

Rok 2016 proto znamenal pro všechny evropské státy začátek příprav sjednocujících národních legislativ, které budou reflektovat požadavky směrnice. Každý stát bude muset mít autoritu odpovědnou za oblast kybernetické bezpečnosti a vrcholové CSIRT týmy (dle uvážení jednotlivých států, zpravidla jeden až dva). K tomu je potřeba, aby všechny státy nadefinovaly požadavky na hlášení incidentů pro provozovatele základních služeb a pro poskytovatele digitálních služeb. Oblasti, kterými budou provozovatelé základních služeb a poskytovatelé digitálních služeb dotčeni, jsou ve směrnici dány a na jednotlivých členských státech je, aby stanovily dopadová kritéria, díky kterým budou vymezeny skutečně kritické služby v jednotlivých oblastech konkrétních států.

Zuzana Duračinská Autorka článku je bezpečnostní analytička sdružení CZ.NIC, které provozuje Národní bezpečnostní tým CSIRT.CZ (Cyber Security Incident Response Team).