Petr Pospíšil, Euroskop, 13.8.2018
Minulý týden jste se na Euroskopu mohli dočíst o estonském projektu kybernetických týmů rychlé reakce. Dnes přinášíme podrobný profil druhého projektu zaměřujícího se na posílení schopností v kybernetické bezpečnosti. Garantem projektu je Řecko a projekt aspiruje jednak na zlepšení možností identifikace kybernetických hrozeb, jednak na obranu vůči nim – která může v některých případech nabývat i podobu aktivní sebeobrany.
V anglickém originále se projekt jmenuje „Cyber Threats and Incident Response Information Sharing Platform), zjednodušeně přeloženo do češtiny tedy „Platforma pro sdílení informací o kybernetických hrozbách. Kromě Řecka se projektu aktivně účastní rovněž Itálie, Španělsko, Portugalsko, Rakousko, Maďarsko a Kypr.
Autoři projektu svoji misi v nejširším slova smyslu chápou takto: „koordinace a provádění úkonů kybernetické bezpečnosti na strategické, operativní i taktické úrovni v době míru, krize či války.“ Cílem projektu je vyvinout takové mechanismy a řešení, které přinesou nové nástroje, postupy, metody a taktiku, jež napomohou včas rozpoznat kybernetické hrozby a následně je účinně eliminovat. Hlavní přínos řeckého projektu bude spočívat ve dvou oblastech – zaprvé sdílení informací, zadruhé ochrana koncových bodů a reakce.
Projekt využívá existujících platforem a nástrojů
Projekt má navázat na již existující nástroje, jako je MISP (Malware Information Sharing Platform – platforma pro sdílení informací o škodlivém software). MISP je otevřený zdroj vyvinutý softwarovými analytiky, jenž shromažďuje, ukládá a umožňuje sdílení informací o existujících kybernetických hrozbách. Dalším existujícím nástrojem je MITRE ATT&CK, databáze poskytující informace o taktice využívané kybernetickými útočníky. Třetím mechanismem, na nějž architekti projektu plánují navázat, je MITRE CAR – kybernetické analytické úložiště (Cyber Analytics Repository), vyvinuté taktéž firmou MITRE.
Informace budou sdíleny o ukazatelích indikujících přítomnost hrozby, stejně jako o taktice a metodách používaných kybernetickými útočníky. Projekt počítá i s vyvinutím tzv. senzorů pro detekci v koncových bodech a reakci (Endpoint Detection and Response Sensor). Ty mají pomoci rozpoznat hrozící kybernetický útok včas, shromáždit o něm technické údaje, a položit tak základ úspěšnému boji proti kybernetické kriminalitě. Senzory budou vyrobeny pro operační systém Windows i Linux.
Deset pracovních balíčků, tři časové horizonty
Aktivity, realizované v rámci projektu, jsou rozděleny do deseti „pracovních balíčků“ (work packages). Jejich obsah je následující: řízení a správa; hodnocení hrozeb; právo; sdílení informací o taktice, metodách a postupech; tvorba analytických modulů; tvorba modulů pro rozpoznání hrozeb; nástroj pro Windows; nástroj pro Linux; hodnocení a šíření.
Konkrétní aktivity autoři projektu člení z hlediska času realizace do tří kategorií – krátkodobé, střednědobé a dlouhodobé. Činnost v krátkodobém horizontu zahrnuje odborné „mapování terénu“ kybernetických hrozeb. Tato fáze počítá s průzkumem dostupných otevřených zdrojů shromažďující informace o hrozbách, hodnocením existujících opatření i hrozeb, inventurou současných způsobů sdílení informací a analýzou právních aspektů. Realizace aktivit spadajících do krátkodobého horizontu má trvat dva roky a stát 860 tisíc euro.
Střednědobý horizont je nejnákladnější, zahrnuje vývojářskou činnost
Ve střednědobém horizontu má dojít k vyvinutí platforem pro sdílení informací i výše popsaných senzorů. Autoři dále předpokládají i zkvalitnění postupů pro sdílení informací a vypracování studie kompatibility s platnou unijní legislativou. Uskutečnění střednědobých opatření má zabrat rok a půl a finančně vyjde na 1,18 mil. euro.
V dlouhodobém horizontu plánují autoři projektu prostřednictvím terénních zátěžových testů ověřit odolnost uskutečněných opatření a vyvinutých nástrojů. Mezi dlouhodobé aktivity patří i vzdělávací program – školení pro uživatele i profesionály. Činnost vyhrazená pro dlouhodobý horizont má trvat jeden rok a stát 195 tisíc euro.
Spolupráce? Na národní i mezinárodní úrovni, s univerzitami i firmami
Celkové náklady na realizaci tohoto projektu PESCO tedy mají být 2,235 mil. euro. Projekt počítá i s kooperací s třetími stranami, kterými jsou soukromé subjekty (malé, střední i velké podniky), výzkumné instituty i akademická pracoviště. Na národní úrovni budou zúčastněné státy spolupracovat zejména s univerzitami a národními orgány pověřenými kybernetickou bezpečností (v Česku je takovou institucí Národní úřad pro kybernetickou a informační bezpečnost).
Kooperace bude probíhat i na mezinárodní úrovni – s Evropskou obrannou agenturou (EDA), Evropskou agenturou pro bezpečnost sítí a informací (ENISA) či Severoatlantskou aliancí (NATO). Důležitou součástí projektu tak bude pravidelná účast v kybernetických cvičeních, která tyto instituce organizují – Locked Shields, Cyber Coalition, Crossed Swords Command či Cyber Europe.
Projekt doprovází i vzdělávací a publikační činnost
V rámci vzdělávací činnosti přidružené k projektu budou organizovány speciální tréninkové kurzy o kybernetice a kybernetické bezpečnosti. Ambicí projektu je i širší zahrnutí témat bezpečnosti sítí a informací či zabezpečení mobilních telefonů do školních osnov.
Nezbytným doplňkem činnosti operativní – vývojářské (vyvíjení nástrojů, senzorů pro identifikaci hrozeb atp.) je i činnost publikační. Zaprvé budou vydávány technické manuály vysvětlující postup proti kybernetickým hrozbám v jednotlivých operačních systémech a pro jednotlivé typy uživatelů (manažeři, běžní uživatelé atd.). Zadruhé se projekt PESCO promítne i do strategických dokumentů, jako jsou národní strategie kybernetické bezpečnosti.
Autor: Petr Pospíšil, Euroskop