Implementace Národní strategie a Zákona o kybernetické bezpečnosti v roce 2015 Ing. Jaroslav Šmíd náměstek ředitele sekce kybernetické bezpečnosti
o Legislativní rámec o Národní centrum kybernetické bezpečnosti o Činnost GovCERT o Incidenty o Určování KII a VIS o Mezinárodní spolupráce o Kybernetická cvičení o Zvyšování povědomí a osvěta o Akční plán k Národní strategii kybernetické bezpečnosti na období let 2015-2020 2
o 1.1.2015 vešel v účinnost zákon č. 181/2014 Sb., o kybernetické bezpečnosti, společně s prováděcími předpisy, o V únoru vláda přijala Národní strategii kybernetické bezpečnosti na období let 2015-2020, o V květnu byl schválen Akční plán ke Strategii 3
o Národní strategie kybernetické bezpečnosti ČR na období let 2015 až 2020 představuje ucelený soubor opatření, který definuje vizi České republiky v oblasti kybernetické bezpečnosti a pojmenovává sledovaný cílový stav, o Formuluje rovněž základní principy, které bude při zajišťování kybernetické bezpečnosti následovat a dodržovat, 4
o Vychází z hlavních cílů Národní strategie kybernetické bezpečnosti ČR na období let 2015 až 2020, o Na příštích pět let definuje konkrétní úkoly jednotlivým rezortům a institucím a stanovuje termíny jejich plnění, 5
o U každého ze 141 úkolů je uveden subjekt, který za splnění odpovídá, a termín, do kdy se tak má stát, o Vyžadována aktivní součinnost a spolupráce povinných subjektů ve smyslu zákona č. 181/2014 Sb., o kybernetické bezpečnosti, a dalších subjektů veřejné správy ČR v koordinaci a dle potřeb uvedeného odpovědného subjektu 6
o Gestorem problematiky kybernetické bezpečnosti a národní autoritou v této oblasti je Národní bezpečnostní úřad, který provozuje Národní centrum kybernetické bezpečnosti (NCKB)., o NCKB se skládá ze dvou oddělení o vládní bezpečnostní tým GovCERT.CZ o Oddělení teoretické podpory, výzkumu a vývoje 7
o GovCERT poskytuje především pomoc s technickým řešením kybernetických bezpečnostních incidentů, provádí penetrační testování, analýzu malware a zajišťují sdílení informací o incidentech a budoucích trendech v této oblasti s IT komunitou i veřejností, 8
o Oddělení teoretické podpory, výzkumu a vývoje, se soustředí na netechnické aspekty kybernetické bezpečnosti, zejména na tvorbu a implementaci kybernetické bezpečnostní politiky ČR, určování kritické informační infrastruktury (KII) a významných informačních systémů (VIS), mezinárodní spolupráci, osvětu a vzdělávání, publikační činnost a další aktivity. 9
2015 preventivní analýza veřejně dostupných informací ze serverů státních institucí spadajících do kompetence GovCERT.CZ, které by mohla sloužit a v reálných případech slouží pro přípravu sofistikovaného cíleného kybernetického útoku na dané subjekty, 10
o budování laboratoře pro forenzní analýzu nahlášených i jinak detekovaných kybernetických bezpečnostních incidentů, která s jejich rostoucím počtem nabývá na aktuálnosti. Laboratoř bude využívána i během cvičení kybernetické bezpečnosti a při spolupráci s národními i mezinárodními partnery ( Policie ČR nebo např. Evropským centrem pro počítačovou kriminalitu EC3 spravovaným Europolem). o, 11
o V rámci svých proaktivních činností GovCERT.CZ analyzuje data z uzavřených a veřejně dostupných zdrojů, jež obsahují indikátory o kompromitaci systémů, o Prvním nástrojem je Incident Handling Automation Project (IHAP) shromažďující informace o phishingových útocích, útocích hrubou silou, průnicích do sítí, spamu, exploit kitech a skenování zranitelností, 12
o Druhým nástrojem je Botnet Feed, který je vyvíjen týmem GovCERT.CZ, za účelem sběru a zpracování dat o koncových stanicích zapojených do sítí botnetů. Data jsou získávána z převzatých řídících serverů (C&C). Zdrojem dat je společnost Microsoft, o Pro Českou republiku se měsíčně jedná o stovky tisíc indikátorů kompromitace, ale jen malá část z nich spadá do působnosti GovCERT.CZ. 13
o Třetím nástrojem je Shadwoserver poskytující informace o malwaru, botnet sítích a dalších elektronických podvodných aktivitách. Zdrojem dat je dobrovolná mezinárodní skupina profesionálních bezpečnostních pracovníků Shadowserver Foundation. 14
o První čtvrtletí roku 2015 se vyznačovalo četnými útoky na principu sociálního inženýrství, kdy útočníci na své oběti cílili pomocí sofistikovaných podvodných zpráv. Tyto podvodné zprávy ve většině případů obsahovaly škodlivou přílohu nebo odkaz směřující na podvodné webové stránky. Útočníci těmito zprávami v nejvíce případech cílili na zákazníky e-shopů, bank, zaměstnance státní správy a další skupiny. 15
V lednu byl nejvážnějším řešeným incidentem DDoS útok směřující na instituci státní správy, K nejzávažnějšímu útoku za měsíc únor patřila další vlna špionážního malwaru Turla, kdy docházelo k útoku na návštěvníka kompromitovaných IP adres a domén, Březen byl z hlediska incidentů zajímavý zranitelností v protokolu SSL/TLS známou pod označení FREAK. Touto zranitelností bylo ohroženo přibližně 70 serverů státních a jiných významných institucí. 16
o V květnu byl nejzávažnějším incidentem útok na webové stránky státní instituce, kdy se útočníkům z albánské skupiny AnonCoders podařilo neznámým způsobem hacknout server poskytovatele, na kterém běžely mimo jiných i webové stránky zmíněné instituce. Útočníkům se během útoku podařilo pozměnit obsah webových stránek, kde zanechali informace upozorňující, že došlo k napadení stránky 17
o Začátek léta se nesl v podání šifrovacích malware, kdy nezávisle na sobě došlo ke kompromitaci několika počítačových stanic na různých státních institucích a zašifrování uživatelského obsahu, o V červnu byl např.řešen incident, kdy neznámí útočníci hacknuli webové stránky státní instituce. Na ně následně umístili škodlivý kód a pozměnili jejich obsah. Dále se útočníkům podařilo získat přístup k e- mailové schránce zaměstnance dotčené instituce. 18
o Za následující měsíce červenec a srpen se bezpečnostní incidenty týkaly převážně podvodných zpráv a jednoho severokorejského botnetu, do kterého byly zapojeni i uživatelé z České republiky. Významnou událostí z tohoto období pak je zjištění podezření na infikaci několika počítačů instituce státní právy malwarem Duqu 2. Toto podezření se v průběhu šetření události nepotvrdilo. 19
o V třetím čtvrtletí se projevil nárůst infikace počítačů institucí státní správy ransomwarem. Jednalo se o šifrovací malware využívající algoritmu AES-256. Tak jako v předešlých případech se větší část dat podařilo obnovit ze zálohy, o Byla také zaznamenána další phishingová kampaň, která cílila na státní instituce. Útočníci se v e-mailech vydávali za správce e-mailového serveru instituce a žádali uživatele buď o navýšení limitu e-mailové schránky, nebo o změnu přihlašovacího hesla přes zaslaný odkaz na patřičný formulář. 20
o V listopad byl nejvýznamnějším incidentem spearphishingový útok, kdy se neznámým útočníkům podařilo infikovat pracovní počítač pracovníka státní správy a následně rozesílat podvodné zprávy na další státní instituce zemí Evropské Unie. Zprávy obsahovaly jako přílohu malware, který byl následně identifikován jako špionážní malware Turla/Snake/Uroburos. Na řešení incidentu GovCERT.CZ spolupracoval s několika evropskými CERT týmy, včetně týmu CERT-EU. 21
o Počet řešených bezpečnostních incidentů v roce 2015 rostl i ve sféře působnosti CSIRT.CZ, zejména v kategoriích malware a jiné, kam patří například fast flux, podvodné informace na webových stránkách, incidenty z honeypotů či problémy se SOHO routery. 22
o Do Kritické informační infrastruktury (KII) obecně patří takové informační a komunikační systémy, jejichž narušení by mohlo mít závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu. Jsou to zejména ty systémy, na kterých jsou zcela nebo významně závislé další prvky kritické infrastruktury (například elektrárny, přenosové soustavy, některé banky apod.). 23
Mezi Významné informační systémy (VIS) patří ty, jejichž narušení by mohlo omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci. Správcem VIS proto může být pouze orgán veřejné moci, v současnosti však významným informačním systémem nemůže být informační systém ve správě obce. Za posouzení naplnění kritérií pro významné informační systémy odpovídá sám správce ( 3 odst. 2 vyhlášky 317/2014 Sb.). 24
o Zákon o kybernetické bezpečnosti ukládá správcům KII i správcům VIS množství povinností. Kromě obecných povinností, jako jsou například hlášení kontaktních údajů a hlášení kybernetických bezpečnostních incidentů, jde o povinnosti spojené se zavedením mnoha organizačních a bezpečnostních opatření podle vyhlášky č. 316/2014 Sb., o kybernetické bezpečnosti. Správci KII a VIS mají pro naplnění některých povinností jednoroční přechodnou lhůtu. U KII se tato lhůta počítá od určení, u VIS od posouzení. 25
o Po vstupu ZKB v účinnost NBÚ zahájil proces určování prvků KII, které společně s VIS začaly plnit povinnosti podle zákona. K dnešku je určeno formou opatření obecné povahy nebo usnesení vlády určeno 76 prvků KII (48-státní, 28-soukromé), v procesu OOP 22, OOP připraveno pro 7prvků., o Je nahlášeno 131 VIS zatím chybí 6 krajů, tj. cca 155 prvků VIS bude v novele vyhlášky, o Byl připraven systém kontroly podle ZKB schválen plán kontrol. Zkušenosti získané v prvním roce pomohly k identifikaci možných budoucích legislativních změn. 26
o Rok 2015 byl ve znamení prohlubování spolupráce se strategickými partnery Izraelem, Spojenými státy a Korejskou republikou. Mezi další zahraniční partnery s vysokou mírou bilaterální spolupráce patří Itálie, Německo, Lucembursko, Rumunsko, Kanada a Estonsko, o V rámci EU Česká republika v roce 2015 pokračovala v práci na vyjednávání směrnice o bezpečnosti sítí a informací (NIS), představené Evropskou komisí v únoru 2013. Konečný návrh byl na úrovni COREPER členskými státy schválen dne 18. prosince 2015. 27
o NBÚ se také aktivně podílel na přípravě nového formátu Memoranda o porozumění s NATO o spolupráci v oblasti kybernetické obrany, které následně dne 12. října 2015 podepsal ředitel úřadu Ing. Dušan Navrátil a náměstek generálního tajemníka NATO Sorin Ducaru. ČR se stala prvním členským státem NATO, který toto memorandum podepsal. 28
o V roce 2015 NBÚ pokračoval v rámci několika evropských projektů v poskytování asistence státům, které budují systém kybernetické bezpečnosti. Za tímto účelem se uskutečnily workshopy o institucionálním, právním a technickém rámci kybernetické bezpečnosti pro Jordánsko, Srbsko a Bosnu a Hercegovinu. Zástupci NBÚ také rámci projektu TAIEX Evropské komise prezentovali naše zkušenosti na žádost ukrajinské vlády v Kyjevě. 29
Další rozvoj zaznamenala Central European Cyber Security Platform (CECSP). Jejímiž členy jsou Česká republika, Maďarsko, Polsko, Rakousko a Slovensko. Na posledním technickém setkání v prosinci 2015 zástupci vládního GovCERT představili partnerům některé své projekty, například na tvorbu koordinačního centra pro české bezpečnostní týmy, webového portálu pro sdílení informací nebo ICS-SCADA laboratoře. 30
o V březnu 2015 proběhlo Mezinárodní cvičení orgánů krizového řízení NATO Crisis management exercise (CMX), kterého se NBÚ účastnil. Hlavním koordinátorem cvičení na národní úrovni byla Sekce obranné politiky a strategie MO (SOPS MO), NBÚ mělo svého zástupce v tzv. ředitelství cvičení, které bylo odpovědné za monitoring celkového vývoje cvičení a hodnocení splnění cílů a úkolů. 31
o V dubnu se Česká republika opět zapojila do největšího mezinárodního technického cvičení kybernetické bezpečnosti Locked Shields, které je každoročně pořádáno prostřednictvím NATO Cooperative Cyber Defence Center Of Excelence v Estonském Tallinnu, tento rok se zapojil rekordní počet více jak 400 odborníků z 16 zemí světa. Česká republika tentokrát skončila na celkovém sedmém místě, nicméně získala prvenství ve dvou ze tří samostatných kategorií, a to právní a mediální. 32
o Národní cvičení CYBER CZECH 2015: ve dnech 16. 18. června 2015 uspořádal NBÚ ve svém pražském sídle a ve spolupráci s European Cyber Security Initiative a Evropskou obrannou agenturou (EDA) teoretické cvičení kybernetické bezpečnosti s názvem Strategic Decision Making Course & Exercise on Cyber Crisis Management. Cílem této teoretické (tzv. table-top) části cvičení bylo prostřednictvím fiktivního scénáře prověřit schopnosti státu rozhodovat a účinně používat dostupné prostředky při zvládání krize v kybernetickém prostoru. 33
o Národní cvičení CYBER CZECH 2015: technická část cvičení proběhla ve spolupráci s ÚVT-MU ve dnech 6. a 7. října 2015 a hlavním cílem bylo ověřit praktické znalosti zvládání kybernetických incidentů v souvislosti s ochranou prvků kritické informační infrastruktury a procvičit postupy podle ZKB včetně komunikace s médii při zvládání nastalé krize. Cvičení se v roli obránců, tzv. modrých týmů, zúčastnilo dvacet zástupců z řad ministerstev a subjektů KII. Jejich úkolem bylo bránit informační infrastrukturu fiktivní jaderné elektrárny, na kterou útočil tým hackerů, tzv. červený tým, složený ze zaměstnanců NBÚ a ÚVT MU. 34
o V listopadu 2015 se NBÚ spolu s Ministerstvem obrany již popáté společně zapojili do každoročního aliančního cvičení kybernetické bezpečnosti Cyber Coalition, které proběhlo pod řízením NATO Allied Command Transformation. 35
o V roce 2015 NBÚ uskutečnil první cvičení na klíč pro zahraničního partnera. Jednalo se o americké Ministerstvo obrany a velitelství kybernetických sil USA (USCYBERCOM). Na jejich žádost NBÚ vyslal dva experty a připravil modul do vzdělávacího programu budoucích členů velitelství kybernetických sil a dalších složek. Zaměstnanci NBÚ připravili specializované školení a návazné strategické tabletop cvičení reflektující aktuální dění ve světě. Událost měla kladný ohlas a představitelé Pentagonu projevili zájem o opakování i v roce 2016 36
o NBÚ na různých fórech, seminářích a konferencích odborné i široké veřejnosti méně i více podrobně vysvětloval jednotlivé paragrafy zákona a z nich vyplývající práva a povinnosti, zejména pro správce prvků kritické informační infrastruktury (KII) a významných informačních systémů (VIS). 37
o Konkrétní informační akcí k zákonu o kybernetické bezpečnosti byl například květnový celodenní seminář, který NCKB uspořádalo na půdě Fakulty podnikatelské VUT Brno. Na něm objasněno znění zákona především těm, kteří s ním mají co do činění a na které dopadá, tedy například ICT manažerům, ICT administrátorům, právníkům, bezpečnostním ředitelům a zástupcům povinných osob podle zákona. 38
o V květnu byl pod záštitou NBÚ, Masarykovy univerzity v Brně a odborného časopisu Global Politics uspořádán 2. ročník konference CyberCon Brno 2015. Konference byla primárně určena pro odbornou veřejnost a akademickou sféru. Hlavní témata příspěvků byla kybernetické bojiště, právní aspekty kybernetické bezpečnosti či kybernetické hrozby a společnost. 39
o NBÚ připravil Návrh koncepce vzdělávání v problematice kybernetické bezpečnost, který již byl předjednán s představiteli parlamentního Výboru pro vědu, vzdělání, kulturu, mládež a tělovýchovu. 40
o 141 úkolů pro 17 subjektů o NBÚ/NCKB, MO, MZV, MV, MPO, MF, MŠMT, MPSV, MS, VZ, BIS, ÚZSI, TAČR, PČR, VP, ÚV ČR, ČTÚ o Je vyžadována aktivní součinnost a spolupráce povinných subjektů ve smyslu zákona č. 181/2014 Sb., o kybernetické bezpečnosti, a dalších subjektů veřejné správy ČR v koordinaci a dle potřeb uvedeného odpovědného subjektu 41
42
o Odpovědný subjekt odpovědný za plnění úkolu a koordinaci při plnění + povinnost předávání evidence o plnění svých úkolů NBÚ/NCKB o Plnění: průběžně / deadline (Qx 20xx) o Kontrola: o průběhu implementace AP 2015 2020 informována Vláda ČR každoročně v rámci Zprávy o stavu kybernetické bezpečnosti ČR 43
o Min. 2x ročně probíhá jednání všech POCs (podzim/jaro) + ad hoc jednání s vybranými subjekty dle potřeby plnění AP o 18. září 2015: uskutečněno 1. pracovní setkání všech POCs odpovědných dle AP o 10. listopadu 2015: v rámci RKB oficiálně ustavena Pracovní skupina pro harmonizaci národních pozic (PS-NÁR), jejímž hlavním cílem je diskuze nad implementací AP, řešení výzev a identifikace problematických oblastí spojených s implementací AP o Další jednání PS-NÁR plánováno na duben 2016 44
o Primární cíl (agenda): Diskuze o aktuálním stavu implementace / informování o plnění úkolů od odpovědných subjektů Identifikace a řešení problematických oblastí a výzev spojených s implementací AP Harmonizace postupu v implementaci s ohledem na blížící se termíny Informování o plánovaných akcích v oblasti kybernetické bezpečnosti (cvičení, workshopy, semináře, konference) o Sekundární cíl: osobní setkávání a navázání pracovních vztahů mezi jednotlivými osobami odpovědnými za plnění AP, zlepšení komunikace a navyšování důvěry mezi subjekty na národní úrovni 45
o Všechny relevantní subjekty odevzdávají 1x ročně písemně (prosinec/leden) speciální formulář (distribuován NCKB) s evidencí o plnění úkolů za uplynulý kalendářní rok o NBÚ/NCKB zpracovává všechny vstupy jako přílohu (tzv. implementační report ) každoroční Zprávy o stavu kybernetické bezpečnosti ČR o Evidence (důkazy) o implementaci: o Soupis aktivit a činností prováděných v rámci plnění relevantních úkolů k subjektu o Zohledňován deadline a odpovědnost 46
o Aktuálně v procesu zpracovávání o Pouze úkoly průběžně / do Q4 2015 = 107 úkolů za rok 2015 o ZoSKB každoročně předkládána v dubnu na schůzi BRS a následně Vládě ČR o Obsah implementačního reportu integrace vstupů relevantních subjektů do jednotné formy za celou ČR o Design formou přehledné tabulky o Spolupráce se subjekty na dobré úrovni o Implementace zatím téměř bezproblémová, u dvou úkolů žádost o posun termínu 47
o Začátek budování Národního centra kybernetických sil o Kontinuální navyšování (personálních, znalostních, technologických) kapacit Národního centra kybernetické bezpečnosti o Posilování schopností Policie ČR potírat a vyšetřovat kybernetickou kriminalitu o Vzdělávací akce a cvičení kybernetické bezpečnosti o Aktivní mezinárodní spolupráce, navazování nových kontaktů, rozšiřování mezinárodní agendy o Intenzivní spolupráce se subjekty KII a VIS a jejich podpora o 48
Ing. Jaroslav Šmíd j.smid@nbu.cz www.nbu.cz www.govcert.cz