Na Úrade podpredsedu vlády SR pre investície a informatizáciu sme sa stretli s riaditeľom CSIRT.SK. Lukášom Hlavičkom (LH). Hovorili sme o riešení kybernetickej bezpečnosti na úrovni štátu, zaujímali nás platy IT špecialistov v štátnej sfére a výhľad do budúcna.
Lukáš Hlavička:
Vyštudoval informatiku na Fakulte matematiky, fyziky a informatiky na Univerzite Komenského v Bratislave. V roku 2010 začal pracovať v CSIRT.SK ako systémový inžinier. O dva roky neskôr sa stal vedúcim analytického oddelenia, od roku 2016 je riaditeľom CSIRT.SK. Je súdnym znalcom v odbore kriminalistická informatika a je držiteľom medzinárodných certifikátov CiSSP (Certified Information System Security Professional), CEH (Certified Ethical Hacker), CHFI (Computer Hacking Forensic Investigator) a GCFA (Global Information Assurance Certification Forensic Analyst).
TOUCHIT: Podľa vášho životopisu by som vás typoval skôr na komerčnú sféru. Prečo ste sa zamestnali v štátnom sektore?
LH: Je to z viacerých dôvodov. Jednak som chcel vrátiť Slovensku to, čo do mňa v rámci vzdelávania investovalo. Za druhé na Úrade podpredsedu vlády SR pre investície a informatizáciu (UPVII) sa stretávam s výzvami, na aké by som v komerčnej sfére nikdy nenatrafil. Je to jednoducho zaujímavá práca.
TOUCHIT: A tu zarobíte dosť? Hovorí sa predsa o nízkych platoch pre IT-čkárov v štátnej sfére.
LH: Myslím si, že UPVII sa celkom stará a platy tu už nie sú neakceptovateľne nízke. Samozrejme, nie je to na hornej hranici komerčného sektora, ale platy sú relatívne slušné.
TOUCHIT: Láka vás teda samotný obsah – kybernetická bezpečnosť v rámci štátu (medzitým zazvonil pohotovostný telefón pána Hlavičku a my sme náš rozhovor na chvíľu prerušili). Nedávno sme tu na Slovensku mali bezpečnostný incident. Mohli by ste nám o ňom povedať viac?
LH: Bohužiaľ, konkrétne záležitosti tohto prípadu nie sú verejné. Ale môžem to popísať všeobecne, ako by sa postupovalo v takomto prípade. Bol to útok typu pokročilá perzistentná hrozba. Útok by sme detegovali na základe monitoringu, anomálneho správania a informácií zvonka. V okamihu, keď bol bezpečnostný incident identifikovaný, zrealizovali by sme tzv. incident response. To znamená, že zasiahne nejaký špecialista alebo celý tím a začne prvotnú analýzu tohto bezpečnostného incidentu. Je to taká rýchla analýza, čo sa vlastne stalo.
Prirovnať to môžeme k situácii, že do nemocnice privezú pacienta, ktorý nedokáže hovoriť. Musí prebehnúť prvá analýza, čo sa mu vlastne je a na základne nej sa ďalej postupuje.
U nás sa rozpozná, či treba nejaký systematickejší zásah, alebo postačí len jednoduchý úkon na danom zariadení či serveri, resp. treba spustiť celý proces riešenia bezpečnostných incidentov. Ak je to celý proces, tak sa identifikuje, ako ďaleko sa prienik rozšíril v rámci infraštruktúry. Zistí sa, aké zariadenia boli napadnuté, aké dokumenty unikli či vôbec nejaké dokumenty unikli. Ďalej sa pátra po tom, ako sa útočníci pripájali, o čo mali záujem a pod. Snažíme sa teda prienik presne lokalizovať a zabrániť ďalšiemu šíreniu útoku (bezpečnostného incidentu).
Paralelne s tým už prebieha systematická analýza. Ak je to nejaký malvér, analyzuje sa škodlivý kód, realizuje sa behaviorálna a statická analýza. Forenzní analytici analyzujú logy, obsahy diskov a pamäte a vykonáva sa celá forenzna analýza. Na základe toho sa zistí, o čo reálne ide a už vieme, či treba nikoho kontaktovať alebo požiadať o pomoc. Zistíme, kam sa útočník presne dostal a analytici krok po kroku získavajú komplexný obraz o tom, čo sa vlastne stalo.
Už priebežne s tým sa snažíme o bezpečnostné opatrenia napr. blokovania nežiadúcej komunikácie pomocou firewall pravidiel, implementácie určitých opatrení, technológií, sond a pod. Začneme zachytávať aj to, čo sa predtým nezachytávalo a je potrebné na získanie dostatočného prehľadu o bezpečnostnom incidente.
Keď je obraz útoku konečný, vypracuje sa o celom procese záverečná správa. V ideálnom prípade je útočník z infraštruktúry kompletne odstránený, jeho zadné vrátka sme našli a tiež odstránili a tie vektory, akými sa útočník do infraštruktúry dostal sú ošetrené tak, aby sa sem nabudúce nemohol týmto spôsobom dostať.
Toto však stále nie je koniec takéhoto pokročilejšieho bezpečnostného incidentu. Nasledujú totiž penetračné testy. To znamená, že príde iná skupina ľudí, ktorí sa tvária ako útočníci a snažia sa otestovať zraniteľnosti jednotlivých častí voči určitým typom útokov (najčastejšie tým typom útokov, ktoré sú relevantné vzhľadom na riešený incident ale často aj komplexné penetračné testy ). Na základe toho sa preverí celý systém. Výsledkom je záverečná správa, ktorá sa odovzdáva dotyčnej inštitúcii. Ďalší tím ľudí na záver pomáha s implementáciou bezpečnostných opatrení do organizácie alebo určitej infraštruktúry.
TOUCHIT: No vyzerá to tak, že sa nenudíte. Koľko trvá celý takýto proces?:
LH: Je to rôzne, podľa typu útoku. Od niekoľko dní, cez niekoho týždňov, mesiacov až po viac ako rok.
TOUCHIT: Ako v prvej fáze zistíte, že vôbec nejaký útok nastal?
LH: Najčastejšie nájdeme nejaký indikátor kompromitácie. Napr. táto IP-čka, tento malvér, tento hash alebo táto doména už bola súčasťou nejakého útoku v minulosti. Na monitorovacích systémoch sa to identifikuje a zistí, že toto tu už bolo a treba zasiahnuť. Ďalej nejaký automatizovaný obranný systém (IDS alebo IPS) deteguje útok. Alebo na neštandardné správanie poukáže behaviorálna analýza. Môže to byť aj nejaký výstup z firewallu na základe určitého korelačného pravidla alebo si všimneme nejakú anomáliu na sieti. Napr. ňou preteká veľké množstvo dát, zistíme veľký počet prihlásení, jedna osoba sa prihlasuje z dvoch rôznych IP-čiek paralelne, pričom tieto sú od seba výrazne geograficky vzdialené. A existujú aj ďalšie príznaky.
TOUCHIT: Ako najčastejšie postupujú útočníci pri útoku?
LH: Napr. pošlú infikovaný email alebo inak infikovanú správu. Obeť na to klikne alebo otvorí prílohu a ak je daný exploit dosť dobrý, obíde ochranné mechanizmy. Tak prenikne do infraštruktúry cez počítač obete. Najzaujímavejšie sú pritom zero-day exploity, teda také, na ktoré ešte neexistuje oprava od výrobcu. Následne nákaza využíva možnosti napadnutého počítača a snaží sa vykonať čo najviac škody. Chce napr. eskalovať svoje privilégia, rozšíriť sa do ďalšej časti siete, ukradnúť dáta, zmeniť ich alebo zašifrovať.
Ďalej môže nastať situácia, že sa útočník snaží využiť webové služby (prípadne ľubovoľné služby dostupné z Internetu) a cez ne hackovať webovú stránku. Ale sú aj ďalšie spôsoby pomocou sociálneho inžinierstva – napr. útočník niekoho osloví a pod zámienkou ho presvedčí, aby do svojho pracovného počítača zasunul infikovaný USB kľúč, alebo útoky typu water holing a ďalšie.
Najviac viditeľný je DDOS útok, kedy je nejaký server zahltený opakovanými požiadavkami vo veľkom množstve.
TOUCHIT: Ľudia, ktorých pri bezpečnostnom incidente spomínate ako sú analytici, etickí hackeri, forenzni analytici – to všetko sú zamestnanci UPVII? Spolupracujete aj s takými bezpečnostnými firmami ako je slovenský Eset?
LH: Áno, veľká časť spomínaných špecialistov sú naši zamestnanci. Čo sa týka analýzy malvéru, máme aj vlastné kapacity, ale spolupracujeme aj so spoločnosťou Eset.
TOUCHIT: Ste riaditeľom jednotky CSIRT.SK. O čo presne ide?
LH: CSIRT (Computer Security Incident Response Team) je tím špecialistov určený na zvládnutie počítačových bezpečnostných incidentov. CSIRT je skratka paralelná k skratke CERT (Computer Emergency Responce Team), ktorá vznikla ešte niekedy v 80-tych rokoch minulého storočia na americkej Carnegie Mellon University.
Tam sa stal veľký bezpečnostný incident, pri ktorom sa počítačový červ šíril internetom a zhadzoval jednotlivé počítače. V rámci toho si vláda a iné inštitúcie uvedomili, že potrebujú tím špecialistov, ktorý by im v takejto situácii pomohol. Dôvodom bol narastajúci význam počítačov v tej dobe, ktoré bolo potrebné chrániť. A to je aj súčasná úloha CSIRTu na Slovensku z pohľadu štátnej a verejnej správy.
Na Slovensku máme niekoľko CSIRT tímov. My sme organizovaní pri UPVII a vznikli sme už v roku 2009, pričom sme začali vykonávať úlohu národného a vládneho CSIRTu.
V januári 2018 bol prijatý zákon o kybernetickej bezpečnosti, ktorý stanovil povinnosti a práva entitám v rámci kybernetickej bezpečnosti a zriadil aj niekoľko CSIRTov. Vládna jednotka je na UPVII, ďalšie sú v Národnej agentúre pre sieťové a elektronické služby NASES, na Národnom bezpečnostnom úrade (NBÚ) (národný CSIRT tím) , v Slovenskej informačnej službe (SIS) a vo vojenskom spravodajstve (MIL CSIRT). Zákon predpokladá vznik aj ďalších CSIRTov v rámci jednotlivých sektorov. Jednotky zabezpečujú preventívnu, reaktívnu, ale hlavne systematickú ochranu proti kybernetickým hrozbám.
TOUCHIT: Čo plánujete ďalej na UPVII?
LH: Bol spracovaný dokument, ktorý viedol UPVII, ale boli v ňom špecialisti aj z komerčného sektora, štátnych inštitúcií a aj z bezpečnostných zložiek a na základe neho bude UPVII systematicky budovať kybernetickú bezpečnosť vo verejnej správe. Úrad je jednak garantom informatizácie a jednak je sektorovou autoritou v podsektore informatizačné technológie verejnej správy v zmysle zákona o kybernetickej bezpečnosti. Táto koncepcia je postavená na troch pilieroch: princíp prevencie a riadenia, princíp reakcie a technologických spôsobilostí a princíp kontroly. Tieto tri piliere sú doplnené o princíp kontinuálneho vzdelávania a národnej a medzinárodnej spolupráce.
Následne je treba tieto piliere riešiť na troch úrovniach: legislatívnej, organizačnej a na technickej. Z hľadiska technického je to zabezpečené pomocou Národného projektu na riešenie kybernetických bezpečnostných incidentov v Slovenskej republike. V rámci neho UPVII spolu s NBU, NASES a SIS vytvára tzv. core alebo kostrový systém na riešenie kybernetických bezpečnostných incidentov vo verejnej správe v čase mieru.
Bohužiaľ, do bezpečnosti sa v minulosti investovalo málo a my teraz musíme teraz dobiehať aj minulosť. NASES rieši Govnet a Ústredný portál verejnej správy a spoločné moduly. Vládny CSIRT bude riešiť všetko iné, na čo NASES nemá kompetencie vo verejnej správe a NASESu poskytuje špeciálne činnosti ako sú forenzné analýzy, penetračné testy a pod. SIS má špecifické vlastnosti a obohacuje systém o informácie, ktoré nám umožnia preventívne identifikovať niektoré typy incidentov a pripraviť sa vopred na ne. NBU ako garant kybernetickej bezpečnosti riadi, kontroluje a monitoruje celú činnosť a vytvára si prehľad o kybernetickej bezpečnosti na úrovni celého Slovenska, súčasne prevádzkuje národný CSIRT tím.
TOUCHIT: Aká je úloha etických hackerov a prečo by sa IT špecialisti mali zamestnať v rámci CSIRT?
LH: Predovšetkým my ponúkame možnosť stretnúť sa s bezpečnostnými incidentami, aké sa nikde inde nevyskytnú. IT špecialisti tu nájdu zaujímavú prácu, môžu pomôcť Slovensku a dostanú aj sa na školenia a dostanú vzdelávanie, ktoré nie je dostupné pre komerčný svet. Ide napr. o vzdelávanie v rámci NATO a CSIRT komunít. Ponúkame aj slušný plat adekvátny postaveniu skôr priemerného, žiaľ ešte nie špičkového IT špecialistu.
Etických hackerov zamestnávame ako špecialistov na penetračné testy. A máme celý tím takýchto ľudí a ďalej ho rozširujeme. A aj z pohľadu toho, ako sa umiestňujeme na rôznych súťažiach, je jasné, že sme špička. V roku 2016 sme napr. spoločne s CSIRT.MIL(hlavný participant), NASES a NBU skončili ako prví na svete v rámci cvičenia NATO Locked Shields 2016.
TOUCHIT: Spomínaní etickí hackeri sú vaši kmeňoví zamestnanci?
LH: Samozrejme, etickí hackeri sú naši zamestnanci a sú na nich kladené ešte vyššie požiadavky na zodpovednosť, spoľahlivosť a technické znalosti ako na iných. Určite nechceme, aby dáta, ku ktorým by mohli prísť, sa neskôr ocitli niekde verejne prístupné.
TOUCHIT: Koľko je momentálne zamestnancov v rámci CSIRTu?
LH: Momentálne je v rámci CSIRT 18 zamestnancov, do konca 2019 by nás malo byť 31. Bezpečnostné dohľadové centrum na UPVII má plánovaných 14 ľudí. Dokopy celá sekcia kybernetickej bezpečnosti má mať do konca roka 2019 až 70 ľudí.
TOUCHIT: Čo musia zamestnanci podpísať, ak chcú neskôr zmeniť zamestnávateľa?
LH: Pred nástupom musia podpísať mlčanlivosť o všetkých dátach a informáciách, o ktorých sa v práci dozvedeli. To platí, prirodzene, aj po skončení pracovného pomeru. Všetci zamestnanci CSIRT majú bezpečnostné previerky minimálne stupňa D (dôverné), ale väčšina analytikov má stupeň T (tajné) a vyššie.
TOUCHIT: Spolupracujete z hľadiska riešenia bezpečnosti aj s inými štátmi?
LH: Áno, spolupracujeme hlavne v rámci štátov EÚ prakticky na dennej báze. Asi najčastejšie s Českou republikou.
TOUCHIT: Ak sa po voľbách zmení politická klíma na Slovensku, môže to zásadne ovplyvniť riešenie kybernetickej bezpečnosti na Slovensku?
LH: No, pozrieme sa na to prakticky. Keď sa nastupujúci politici oboznámia s realitou, tak si myslím, že sa na UPVII nezmení nič. Kybernetická bezpečnosť totiž nie je politická téma, to je odborná téma. UPVII je garantom kybernetickej bezpečnosti a samozrejme, že sa to rieši aj politicky, ale túto tému treba riešiť v prvom rade odborne a systematicky. Myslím si, že nech je pri vláde hocikto, tak sa nič zásadné na riešení kybernetickej bezpečnosti nezmení. Občania sa stále musia spoľahnúť na to, že dostanú kvalitné služby a ich osobné údaje nebudú zneužité. A to sa budeme vždy starať.
Ďakujem za rozhovor. Za TOUCHIT sa pýtal Ondrej Macko