Ćwiczenia ochrony cyberprzestrzeni

Wstęp

Polski rząd, chcąc wyjść naprzeciw temu zadaniu, zlecił Ministerstwu Administracji i Cyfryzacji opracowanie „Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej na lata 2011-2016”. Dokument ten w ogólny sposób opisuje strategiczne cele Programu, dając w ten sposób spore pole manewru przy jego realizacji. Skierowano go do wszystkich osób korzystających z sieci teleinformatycznych i zwykłych użytkowników Internetu oraz do administracji rządowej. Proponowane są działania legislacyjne, czyli stworzenie odpowiedniej infrastruktury prawnej, działania proceduralno-organizacyjne; działania edukacyjne na wszystkich szczeblach edukacji, a także w ramach szkoleń dla pracowników, z główną myślą o uzmysłowieniu wagi problemu. Ważnym aspektem są także działania techniczne, do których realizacji pozostawiono największą swobodę. Dokument opisuje w sposób ramowy przekazywanie informacji, współpracę, koordynację i obowiązki różnych instytucji. Występuje w nim rozróżnienie pomiędzy incydentami w sieci, cyberprzestępczością i cyberterroryzmem związanym z infrastrukturą publiczną i militarną. Polityka Ochrony Cyberprzestrzeni uwzględnia rozwój technologiczny, dlatego jest bardzo ogólnikowa i jest aktualizowana przynajmniej raz na rok.

Współtwórcą powyższego dokumentu jest CERT-Polska (Computer Emergency Response Team), organizacja będąca pierwszą linią obrony w zagrożeniach teleinformatycznych. W Polsce zespół działa od 2009 roku, w corocznym raporcie CERT znajdują się szczegółowe informacje o zaistniałych zagrożeniach w sieci na terenie Rzeczypospolitej Polskiej, głównie dotyczące jednostek administracji publicznej. Znajdziemy w nim podział ilościowy i jakościowy zaistniałych incydentów, znalezione podatności na wybranych stronach WWW oraz lokalizacje, z których przeprowadzono ataki.

Podobną działalność, ale w skali globalnej, prowadzi IBM X-Force, wspierający obronę teleinformatyczną dla ponad 100 milionów użytkowników z ponad 350 instytucji finansowych na całym świecie. Od roku 2010 X-Force wydaje raporty, w których opisuje aktualne zagrożenia. Według tego raportu najwięcej ataków, bo aż 28%, jest przeprowadzane przeciwko firmom związanym z IT. Drugie miejsce, 15% wszystkich ataków, zajmują ataki na agencje rządowe. Trzecim najbardziej zagrożonym sektorem narażonym na 12% ataków są instytucje finansowe. Najpopularniejsze typy ataków to kolejno: DDoS (20% , distributed denial of service, rozproszone ataki blokujące serwis), SQL injection (13%), malware (10%, złośliwe oprogramowanie), XSS (1%, cross site scripting, wstrzykiwanie kodu).

Powyższe raporty opisują głównie statystyki zagrożeń. Rzeczywisty poziom zabezpieczeń w danej firmie można sprawdzić za pomocą audytów bezpieczeństwa. Sprawdzają one aktualny stan formalny i rzeczywisty danego przedsiębiorstwa. Tańszą alternatywą są testy penetracyjne, które często mają przebieg nieformalny. Sposobami podniesienia kwalifikacji pracowników są różnego rodzaju szkolenia, jednak niektórych doświadczeń nie można wynieść ze szkoleń. Dobrą formą przetestowania kompetencji jest np. realizacja ćwiczeń, w których można sprawdzić na bieżąco swoje umiejętności i porównać je do kompetencji innych specjalistów w tej dziedzinie.
W sytuacjach kryzysowych nie tylko umiejętności pracowników odpowiedzialnych za bezpieczeństwo są istotne. Ważną kwestią są procedury, jakie powinni realizować, oraz aspekty prawne. Może się zdarzyć, że w sytuacji kryzysowej pracownik musi szybko ocenić, czy działać w interesie firmy, czy postępować według procedur albo według aktualnego prawa krajowego lub międzynarodowego.

W tym kontekście stworzono międzynarodowe ćwiczenia dotyczące ochrony cyberprzestrzeni. Biorą w nich udział ludzie reprezentujący zarówno różne instytucje prywatne, jak i rządowe. Starają się oni przetestować fikcyjne scenariusze oparte albo na realnych zdarzeniach, albo na realnych zagrożeniach. Zdarzenia są fikcyjne, ale używane metody ataków i obrony oraz profilaktyki są jak najbardziej rzeczywiste i aktualne. W przeciwieństwie do codziennej praktyki, w ćwiczeniach czasami używa się mniej aktualnych wersji oprogramowania, które posiadają luki, między innymi po to, by testy były bardziej dynamiczne.

Międzynarodowe ćwiczenia

• W listopadzie 2002 roku na szczycie NATO w Pradze podjęto decyzję o utworzeniu Programu Obrony Cybernetycznej „The Cyber Defense Program” i Zdolności Reagowania na Incydenty Komputerowe „The Computer Incident Response Capability”.
• Spektakularny cyberatak na Estonię w 2007 roku spowodował przyjęcie w roku 2008 Strategii Obrony Cybernetycznej „The Policy on Cyber Defence”, a w maju 2008 podpisane zostało Memorandum o utworzeniu w Tallinnie w Estonii Centrum Kompetencyjnego ds. Obrony Teleinformatycznej „The Concept for Cooperative Cyber Defense Centre of Excellence” (CCD COE).
• W październiku 2008 przyznano pełną akredytację dla Centrum jako „The NATO Centre of Excellence” oraz status „The International Military Organization” – IMO. Centrum w Tallinie nie jest jednostką operacyjną i nie podlega strukturom dowodzenia NATO.
• W listopadzie 2011 roku do CCDCOE przystąpiła Polska i USA.

Odpowiedzią na cyberatak na Estonię z 2007 roku były zorganizowane 6 grudnia 2008 roku pierwsze ćwiczenia przeprowadzone między szwedzkimi i estońskimi uniwersytetami. Gospodarzem była wyższa uczelnia techniczna w Tallinie. Zaprezentowano cyberataki na ważne strony internetowe, konta e-mail oraz serwery DNS. Tallin był gospodarzem wielu późniejszych międzynarodowych ćwiczeń tego typu.

CCDCoE wraz ze Szwedzką Akademią Obrony Narodowej (Swedish National Defence College, SNDC) postanowił powtórzyć ten eksperyment w maju 2010 roku. Tym razem na większą skalę zorganizowano pierwsze międzynarodowe ćwiczenia „Baltic Cyber Shield”. Kolejnymi współorganizatorami tego przedsięwzięcia byli Szwedzka Agencja Badań Obrony („Swedish Defence Research Agencyę, FOI), Estońska Liga Cyber Obrony (Estonian Cyber Defence League, ECDL), NATO Communication and Information Systems Services Agency Computer Incident Response Capability – Technical Centre (NCSA NCIRC – TC).

Następnym ważnym, dużym ćwiczeniem, które warto odnotować było „Cyber Europe”, które odbyło się 4 listopada 2010 roku. Trwało tylko 7 godzin, od 10:00 do 17:00. Zorganizowali je członkowie UE oraz ENISA (European Union Agency for Network and Information Security) ze wspomaganiem JRC (Joint Research Centre). Głównym ośrodkiem ćwiczących były Ateny. Uczestnicy pochodzili z 22 krajów, z czego 50 osób było bezpośrednio w głównym ośrodku, a reszta brała w nim udział zdalnie ze swoich miejsc pracy, jednocześnie wypełniając swoje codzienne obowiązki. Główną ideą ćwiczenia było sprawdzenie reakcji ćwiczących na krytyczne zdarzenia w trakcie realizacji swoich normalnych prac.

W 2011 roku odbył się pierwszy „Cyber Coalition”. Była to dobra okazja do przetestowania współpracy krajów należących do NATO. Jej celem było przeciwdziałanie atakom na dużą skalę w wirtualnej infrastrukturze NATO oraz przeciw pojedynczym krajom. Brało w nim udział ponad 100 specjalistów z 23 krajów NATO oraz z 6 innych partnerskich państw.

Kolejna edycja „Cyber Coalition” odbyła się 13–16 listopada 2012. Ćwiczenie odbyło się razem z „Crisis Management Exercise (CMX). Udział w nim wzięli członkowie NATO oraz Węgry i Estonia. Testowane scenariusze obejmowały narastające zagrożenia atakami: chemicznym, biologicznym i radiologicznym.

Według raportu z działalności ABW za rok 2013, „Cyber Coalition 2012” było pierwszym ćwiczeniem międzynarodowym, w którym wzięli udział Polacy.
Mówi się, że od roku 2012, „Cyber Coalition” zmieniło nazwę na „Locked Shields”(LS), jednak pierwsze ćwiczenie LS odbyło dopiero się 26-28 marca 2012 roku, ponad pół roku przed ćwiczeniem z listopada.

Manewry „Locked Shields 2012” odbyły się w Tallinie i brało w nich udział ponad 250 osób z wielu organizacji. Zorganizowane zostały w ramach kooperacji między innymi szwajcarskich sił zbrojnych (SAF), fińskich sił obronnych (FDF), Centrum Kompetencyjnego ds. Obrony Teleinformatycznej (Cooperative Cyber Defence Centre of Excellence, NATO CCD COE), Estońskiej Ligi Obrony Cybernetycznej (Estionian Cyber Defence League, ECDL) oraz innych instytucji rządowych i firm prywatnych.

Testowane sytuacje oparto na prawdziwych wydarzeniach. Przykładem jest grupa hakerów aresztowana przez Interpol oskarżonych o prowadzenie hostingu w celu kradzieży tożsamości, wyłudzeń finansowych oraz ataków DDoS. Innym pierwowzorem był zhakowany system chłodzenia serwerowni firmy CoolAirz czy oskarżenia ISP (internet service provider) o działania szpiegowskie w dużej grupie francuskich studentów.

Kolejna edycja programu „Locked Shields” odbyła się 23-26 kwietnia 2013 roku. Wzięło w niej udział 18 organizacji z 15 państw, w tym m.in. NATO. Podobnie jak we wcześniejszej edycji programu uczestnicy zostali podzieleni na grupy: Blue, Red, Green, White, Legal, Yellow. Główną różnicą w stosunku do LS2012 było użycie większej liczby nowoczesnych urządzeń oraz większe nastawienie na współpracę między niebieskimi drużynami.

W dniach 22–23 maja 2014 roku odbyła się kolejna edycja „Locked Shields”, w którą zaangażowane było ponad 300 osób pochodzących z 17 krajów. Tegoroczny scenariusz opisywał ochronę fikcyjnego kraju „Berylia” przed zmasowanymi cyberatakami.

Ćwiczenia Polskie

Bazując na „Baltic Cyber Shield”, zorganizowano polskie ćwiczenie dotyczące ataków w cyberprzestrzeni: „Cyber Exe-Polska”. Pierwsza edycja odbyła się 19 września 2012 we wrocławskiej Hali Stulecia. Wzięło w niej udział około 80 osób z 13 instytucji. Harmonogram ćwiczeń obejmował nie tylko samo przeprowadzenie ćwiczenia, ale całą organizację: identyfikację zagrożeń i tematyki zajęć, planowanie, przeprowadzenie ćwiczenia oraz końcową ocenę wszystkich przedsięwzięć.

W odróżnieniu do „Locked Shields” scenariusz był starannie opracowany, nie przypominał niezaplanowanego pola walki jak w międzynarodowych manewrach, podobny był raczej do skrupulatnie przygotowanego ataku cyber terrorystycznego. Przeprowadzono go na infrastrukturę teleinformatyczną w środowisku testowym, która była wzorowana na rzeczywistych odpowiednikach.

Cyber-Exe Polska 2013 odbyło się 29 października 2013. Ćwiczenie dotyczyło ataków na instytucje finansowe. Organizatorem ćwiczenia była Fundacja Bezpieczna Cyberprzestrzeń, a partnerami organizacyjnymi Rządowe Centrum Bezpieczeństwa oraz firma doradcza Deloitte.

Podsumowanie

Zarówno krajowe, jak i międzynarodowe ćwiczenia ochrony cyberprzestrzeni są organizowane w podobnym celu: sprawdzenie kompetencji, zwiększenie umiejętności uczestniczących oraz analiza aspektów prawnych podczas sytuacji kryzysowej.

„Cyber-Exe”, „Locked Shields”, „Cyber Coalition” wywodzą się od wspólnego przodka: „Baltic Cyber Shield”. Polskie wydarzenie kontynuuje tradycję i przy dobrej organizacji wykonywane jest w ciągu jednego dnia. Ćwiczenia międzynarodowe mają znacznie więcej uczestników i zostały rozszerzone na dwa dni. Obecnie „Locked Shields” jest największym przedsięwzięciem tego typu na świecie. Oba wydarzenia uwzględniają zwykle jeden dodatkowy dzień, tzw. „dry day” , najczęściej tuż przed właściwym ćwiczeniem. Zarezerwowany jest on na zapoznanie się ze środowiskiem, przetestowanie go i na przeprowadzenie próbnych ataków.

Porównując raporty z ćwiczeń lokalnych i międzynarodowych, można zauważyć drobną różnicę. Raporty z dużych ćwiczeń skupiają się na opisie przeprowadzanego scenariusza, „dry day” i samym przeprowadzonym ćwiczeniu. Dobrze opisane są metody ataków, obrony, kolejne fazy ćwiczeń oraz sposoby punktowania. Znaleźć tu można także statystyki konkretnych udanych i nieudanych ataków. Raport polskiego ćwiczenia „Cyber-Exe” opisuje zdarzenie w szerszym zakresie. Zawiera informacje od procesu planowania, przez identyfikację zagrożeń, realizację samego ćwiczenia aż po opis wniosków i zaproponowanie rekomendacji na przyszłość.

Rozbieżności w charakterze raportu mogą wynikać z tego, że oba ćwiczenia są przeprowadzane w nieco innej formie. Testy międzynarodowe przypominają pole bitwy z różnymi grupami agresorów i broniących się. Po przeprowadzonej bitwie dobrze jest spojrzeć na statystyki, np. kto jakich metod używał. Polskie ćwiczenie przypomina dobrze zaplanowany atak terrorystyczny, podane są więc konkretne rodzaje używanych metod w kolejnych fazach. W tym przypadku statystyki nie odgrywają kluczowej roli, wystarczy wynik w formie opisowej.

Ważnym elementem każdego ćwiczenia jest dobrze zaplanowany scenariusz. Powinien być w miarę możliwości realistyczny oparty na prawdziwych zagrożeniach, dzięki czemu można przetestować metody działania, aby później powtórzyć je w prawdziwym życiu. Duże ćwiczenia starają się testować sytuacje, w których wymagana jest kooperacja organizacji międzynarodowych. Nasze lokalne ćwiczenia nie muszą być prowadzone na taką skalę, ale organizatorzy starają się także zorganizować je w taki sposób, aby możliwa była kooperacja instytucji prywatnych i rządowych.

Oba rodzaje ćwiczeń różnią się od siebie i często wymagają innego podejścia. Dzięki różnicom uczestnicy mogą zdobyć nowe, cenne doświadczenia. Ważne jest, by tego typu ćwiczenia odbywały się systematycznie. Wiedza uzyskana w ten sposób jest wykorzystywana także przy tworzeniu „Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej”.

Na zakończenie cytat z początkowego fragmentu raportu „Cyber-Exe Polska 2013”:

Cyber-Exe Polska 2013 dowiodło, że procedury i wyposażenie są warunkiem koniecznym, ale niewystarczającym, by nawet duża organizacja mogła sprostać zaawansowanemu atakowi teleinformatycznemu. Podczas reakcji na cyberatak istotną rolę odgrywa także doświadczenie pracowników, ich kreatywność i osobiste zaangażowanie oraz zdolność do koordynacji działań w sytuacjach kryzysowych.

Bibliografia

1. Agencja Bezpieczeństwa Wewnętrznego: Raport z działalności Agencji Bezpieczeństwa Wewnętrznego w 2013r. Warszawa 2014.
2. CERT.GOV.PL: CERT.GOV.PL Raport o stanie bezpieczeństwa RP w 2013 roku. Warszawa 2014.
3. Cyber-EXE Polska: CYBER-EXE POLSKA 2012 ĆWICZENIA Z OCHRONY W CYBERPRZESTRZENI, PRZYGOTOWANIE PRZEBIEG ANALIZA WNOSKI I REKOMENDACJE, RAPORT. Warszawa 2012.
4. Cyber-EXE Polska: CYBER-EXE POLSKA 2013 RAPORT Z ĆWICZENIA W ZAKRESIE OCHRONY PRZED ZAGROŻENIAMI Z CYBERPRZESTRZENI DLA POLSKIEGO SETKORA BANKOWEGO, PRZYGOTOWANIE, PRZEBIEG, ANALIZA, WNIISKI I REKOMENDACJE. Warszawa 2013.
5. European Union Agency for Network and Information Security (ENISA): Cyber Europe 2010 – Evaluation Report. Heraklion – Crete, Greece 2011.
6. IBM: IBM X-Force Threat Intelligence Quarterly, 1Q 2014. United States of America 2014.
7. Ministerstwo Administracji i Cyfryzacji: Polityka Ochrony Cybeprzestrzeni Rzeczypospolitej Polskiej. Warszawa 2013.
8. NATO Cooperative Cyber Defence Centre of Excellence (CCD CoE): Baltic Cyber Shield Cyber Defence Exercise 2010, After Action Report. Tallinn, Estionia 2010.
9. NATO Cooperative Cyber Defence Centre of Excellence (CCD CoE): Cyber Defence Exercise Locked Shields 2012, After Action Report. Estonia, Tallinn 2012.
10. NATO Cooperative Cyber Defence Centre of Excellence (CCD CoE): Cyber Defence Exercise Locked Shields 2013, After Action Report. Estonia, Tallinn 2013.
11. CCDCOE. Estonian-Swedish Cyber Defence exercise was won by students of the Tallinn Technology University.[online] (December 9, 2008)
12. Security and Defence Agenda. Nato Cyber-Defence Exercise [online] (19.12.2011)
13. North Atlantic Treaty Organization. Cyber Coalition 2011 exercise tests NATO procedures for cyber defence [online] (13.12.2011)
14. General Knowledge Today. Cyber Coalition 2013: NATOS’s largest-ever cyber-security exercise held in Estionia. [online] (1.12.2013)
15. CCDCOE. Poland Was Crowned the Winner of Locked Shields 2014 [online] (23.05.2014)
16. Sekurak. Cyberćwiczenia NATO – Polacy górą! [online] (24.05.2014)

Retkiewicz Adam