Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Ćwiczenia ochrony cyberprzestrzeni

17 lutego 2015, 11:10 | Teksty | komentarze 2
Jakie zagrożeniach niesie ze sobą cyberprzestrzeń?

Zaczniemy od opisu rzeczywistych incydentów w kraju oraz działań przeciwko instytucjom finansowym na całym świecie. Następnie wyjaśnię ideę i krótką historię organizowania ćwiczeń, by przejść do opisów kolejnych ich edycji (m.in.: „Baltic Cyber Shield”, „Cyber Coalition”, „Locked Shields”). Nie zabraknie też polskich akcentów (wygrana polskiej ekipy na „Locked Shields 2014” oraz testy „Cyber-Exe”).

Wstęp

Bezpieczeństwo jest procesem ciągłym, a nie jest stanem lub produktem końcowym. W wyniku globalizacji i szybkiego rozwoju technologii informacyjnych pojęcie bezpieczeństwa teleinformatycznego nie powinno być lekceważone. Powoli zatraca się granica pomiędzy światem rzeczywistym a wirtualnym. Pojęcie bezpieczeństwa jest ważne w przypadku małych firm, dużych korporacji międzynarodowych, państw, a także koalicji międzynarodowych.

Polski rząd, chcąc wyjść naprzeciw temu zadaniu, zlecił Ministerstwu Administracji i Cyfryzacji opracowanie „Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej na lata 2011-2016”. Dokument ten w ogólny sposób opisuje strategiczne cele Programu, dając w ten sposób spore pole manewru przy jego realizacji. Skierowano go do wszystkich osób korzystających z sieci teleinformatycznych i zwykłych użytkowników Internetu oraz do administracji rządowej. Proponowane są działania legislacyjne, czyli stworzenie odpowiedniej infrastruktury prawnej, działania proceduralno-organizacyjne; działania edukacyjne na wszystkich szczeblach edukacji, a także w ramach szkoleń dla pracowników, z główną myślą o uzmysłowieniu wagi problemu. Ważnym aspektem są także działania techniczne, do których realizacji pozostawiono największą swobodę. Dokument opisuje w sposób ramowy przekazywanie informacji, współpracę, koordynację i obowiązki różnych instytucji. Występuje w nim rozróżnienie pomiędzy incydentami w sieci, cyberprzestępczością i cyberterroryzmem związanym z infrastrukturą publiczną i militarną. Polityka Ochrony Cyberprzestrzeni uwzględnia rozwój technologiczny, dlatego jest bardzo ogólnikowa i jest aktualizowana przynajmniej raz na rok.

Dokument określa zalecenia, do których powinny dostosować się wszystkie podmioty administracji rządowej. Pozostałe jednostki i urzędy państwowe mogą ją stosować na zasadzie rekomendacji. Adresatami Polityki pośrednio są wszyscy użytkownicy cyberprzestrzeni, zarówno osoby fizyczne, jak i przedsiębiorcy korzystający z Internetu.

Współtwórcą powyższego dokumentu jest CERT-Polska (Computer Emergency Response Team), organizacja będąca pierwszą linią obrony w zagrożeniach teleinformatycznych. W Polsce zespół działa od 2009 roku, w corocznym raporcie CERT znajdują się szczegółowe informacje o zaistniałych zagrożeniach w sieci na terenie Rzeczypospolitej Polskiej, głównie dotyczące jednostek administracji publicznej. Znajdziemy w nim podział ilościowy i jakościowy zaistniałych incydentów, znalezione podatności na wybranych stronach WWW oraz lokalizacje, z których przeprowadzono ataki.

Podobną działalność, ale w skali globalnej, prowadzi IBM X-Force, wspierający obronę teleinformatyczną dla ponad 100 milionów użytkowników z ponad 350 instytucji finansowych na całym świecie. Od roku 2010 X-Force wydaje raporty, w których opisuje aktualne zagrożenia. Według tego raportu najwięcej ataków, bo aż 28%, jest przeprowadzane przeciwko firmom związanym z IT. Drugie miejsce, 15% wszystkich ataków, zajmują ataki na agencje rządowe. Trzecim najbardziej zagrożonym sektorem narażonym na 12% ataków są instytucje finansowe. Najpopularniejsze typy ataków to kolejno: DDoS (20% , distributed denial of service, rozproszone ataki blokujące serwis), SQL injection (13%), malware (10%, złośliwe oprogramowanie), XSS (1%, cross site scripting, wstrzykiwanie kodu).

W Polskim raporcie znajduje się dokładniejszy wykaz zaistniałych incydentów. Tu ataki DDoS/DoS nie były najpopularniejszym zagrożeniem, zaś w wykrytych podatnościach witryn WWW pierwsze miejsce zajęły XSS, a drugie Blind SQL / SQL injection. Analizując oba raporty, można znaleźć pewne podobieństwa oraz rozbieżności w zagrożeniach lokalnych i globalnych.

Powyższe raporty opisują głównie statystyki zagrożeń. Rzeczywisty poziom zabezpieczeń w danej firmie można sprawdzić za pomocą audytów bezpieczeństwa. Sprawdzają one aktualny stan formalny i rzeczywisty danego przedsiębiorstwa. Tańszą alternatywą są testy penetracyjne, które często mają przebieg nieformalny. Sposobami podniesienia kwalifikacji pracowników są różnego rodzaju szkolenia, jednak niektórych doświadczeń nie można wynieść ze szkoleń. Dobrą formą przetestowania kompetencji jest np. realizacja ćwiczeń, w których można sprawdzić na bieżąco swoje umiejętności i porównać je do kompetencji innych specjalistów w tej dziedzinie.
W sytuacjach kryzysowych nie tylko umiejętności pracowników odpowiedzialnych za bezpieczeństwo są istotne. Ważną kwestią są procedury, jakie powinni realizować, oraz aspekty prawne. Może się zdarzyć, że w sytuacji kryzysowej pracownik musi szybko ocenić, czy działać w interesie firmy, czy postępować według procedur albo według aktualnego prawa krajowego lub międzynarodowego.

W tym kontekście stworzono międzynarodowe ćwiczenia dotyczące ochrony cyberprzestrzeni. Biorą w nich udział ludzie reprezentujący zarówno różne instytucje prywatne, jak i rządowe. Starają się oni przetestować fikcyjne scenariusze oparte albo na realnych zdarzeniach, albo na realnych zagrożeniach. Zdarzenia są fikcyjne, ale używane metody ataków i obrony oraz profilaktyki są jak najbardziej rzeczywiste i aktualne. W przeciwieństwie do codziennej praktyki, w ćwiczeniach czasami używa się mniej aktualnych wersji oprogramowania, które posiadają luki, między innymi po to, by testy były bardziej dynamiczne.

 

Międzynarodowe ćwiczenia

  • W listopadzie 2002 roku na szczycie NATO w Pradze podjęto decyzję o utworzeniu Programu Obrony Cybernetycznej „The Cyber Defense Program” i Zdolności Reagowania na Incydenty Komputerowe „The Computer Incident Response Capability”.
  • Spektakularny cyberatak na Estonię w 2007 roku spowodował przyjęcie w roku 2008 Strategii Obrony Cybernetycznej „The Policy on Cyber Defence”, a w maju 2008 podpisane zostało Memorandum o utworzeniu w Tallinnie w Estonii Centrum Kompetencyjnego ds. Obrony Teleinformatycznej „The Concept for Cooperative Cyber Defense Centre of Excellence” (CCD COE).
  • W październiku 2008 przyznano pełną akredytację dla Centrum jako „The NATO Centre of Excellence” oraz status „The International Military Organization” – IMO. Centrum w Tallinie nie jest jednostką operacyjną i nie podlega strukturom dowodzenia NATO.
  • W listopadzie 2011 roku do CCDCOE przystąpiła Polska i USA.

Odpowiedzią na cyberatak na Estonię z 2007 roku były zorganizowane 6 grudnia 2008 roku pierwsze ćwiczenia przeprowadzone między szwedzkimi i estońskimi uniwersytetami. Gospodarzem była wyższa uczelnia techniczna w Tallinie. Zaprezentowano cyberataki na ważne strony internetowe, konta e-mail oraz serwery DNS. Tallin był gospodarzem wielu późniejszych międzynarodowych ćwiczeń tego typu.

CCDCoE wraz ze Szwedzką Akademią Obrony Narodowej (Swedish National Defence College, SNDC) postanowił powtórzyć ten eksperyment w maju 2010 roku. Tym razem na większą skalę zorganizowano pierwsze międzynarodowe ćwiczenia „Baltic Cyber Shield”. Kolejnymi współorganizatorami tego przedsięwzięcia byli Szwedzka Agencja Badań Obrony („Swedish Defence Research Agencyę, FOI), Estońska Liga Cyber Obrony (Estonian Cyber Defence League, ECDL), NATO Communication and Information Systems Services Agency Computer Incident Response Capability – Technical Centre (NCSA NCIRC – TC).

Scenariusz opisywał niestabilne środowisko geopolityczne, w którym został zatrudniony nowy zespół ekspertów do spraw bezpieczeństwa w cyberprzestrzeni. W rolę specjalistów wcieliło się sześć konkurujących ze sobą niebieskich drużyn. Ich celem była obrona systemów informatycznych przedsiębiorstwa energetycznego przed coraz bardziej wyrafinowanymi atakami hakerów, którzy byli reprezentowani przez drużynę czerwoną. Ogromną zaletą „Baltic Cyber Shield” było to, że na jego podstawie powstały kolejne edycje ćwiczeń, takie jak „Cyber Coalition”, „Locked Shields” czy Polskie „Cyber-Exe”.

Następnym ważnym, dużym ćwiczeniem, które warto odnotować było „Cyber Europe”, które odbyło się 4 listopada 2010 roku. Trwało tylko 7 godzin, od 10:00 do 17:00. Zorganizowali je członkowie UE oraz ENISA (European Union Agency for Network and Information Security) ze wspomaganiem JRC (Joint Research Centre). Głównym ośrodkiem ćwiczących były Ateny. Uczestnicy pochodzili z 22 krajów, z czego 50 osób było bezpośrednio w głównym ośrodku, a reszta brała w nim udział zdalnie ze swoich miejsc pracy, jednocześnie wypełniając swoje codzienne obowiązki. Główną ideą ćwiczenia było sprawdzenie reakcji ćwiczących na krytyczne zdarzenia w trakcie realizacji swoich normalnych prac.

Zadanie polegało na odzwierciedleniu połączeń międzyoperatorskich pomiędzy krajami (IIS) i stopniowe usuwanie niektórych połączeń w wyniku ataków. Uczestnicy widzieli tylko swoje lokalne połączenia i nie byli w stanie określić stanu innych połączeń na kontynencie. Globalny widok posiadał tylko główny moderator ćwiczenia. Zadaniem ekspertów było podjęcie wspólnego przeciwdziałania symulowanym próbom sparaliżowania Internetu.

W 2011 roku odbył się pierwszy „Cyber Coalition”. Była to dobra okazja do przetestowania współpracy krajów należących do NATO. Jej celem było przeciwdziałanie atakom na dużą skalę w wirtualnej infrastrukturze NATO oraz przeciw pojedynczym krajom. Brało w nim udział ponad 100 specjalistów z 23 krajów NATO oraz z 6 innych partnerskich państw.

Celem ćwiczenia było sprawdzenie zdolności reagowania na incydenty komputerowe, sprawdzenie współpracy między instytucjami oraz podejmowanie ważnych strategicznych decyzji dla krajów członkowskich. Scenariusz opierał się na wielu atakach przeprowadzonych jednocześnie przeciwko NATO i jego państwom członkowskim.

Kolejna edycja „Cyber Coalition” odbyła się 13–16 listopada 2012. Ćwiczenie odbyło się razem z „Crisis Management Exercise (CMX). Udział w nim wzięli członkowie NATO oraz Węgry i Estonia. Testowane scenariusze obejmowały narastające zagrożenia atakami: chemicznym, biologicznym i radiologicznym.

Element „Cyber Coalition” obejmował scenariusz wielu cyberataków na dużą skalę przeprowadzanych przez agresora opisanego jako „afrykański kraj zaangażowany w konflikt z NATO”. Hakerzy z „afrykańskiego kraju”, prowadząc atak za pomocą wirusów komputerowych, doprowadzają do katastrofy wojskowej awionetki i cywilnych samolotów transportowych NATO, uśmiercając w ten sposób wojskowych i cywili. Terroryści atakują także ważniejsze obiekty infrastruktury Estonii. Zadaniem ćwiczących było zidentyfikowanie napastnika i przeprowadzenie odwetu. W scenariuszu agresorem był „kraj afrykański”. Rzeczywistym pierwowzorem, którego obawiało się NATO, była Rosja, Chiny bądź Iran.

Według raportu z działalności ABW za rok 2013, „Cyber Coalition 2012” było pierwszym ćwiczeniem międzynarodowym, w którym wzięli udział Polacy.
Mówi się, że od roku 2012, „Cyber Coalition” zmieniło nazwę na „Locked Shields”(LS), jednak pierwsze ćwiczenie LS odbyło dopiero się 26-28 marca 2012 roku, ponad pół roku przed ćwiczeniem z listopada.

Manewry „Locked Shields 2012” odbyły się w Tallinie i brało w nich udział ponad 250 osób z wielu organizacji. Zorganizowane zostały w ramach kooperacji między innymi szwajcarskich sił zbrojnych (SAF), fińskich sił obronnych (FDF), Centrum Kompetencyjnego ds. Obrony Teleinformatycznej (Cooperative Cyber Defence Centre of Excellence, NATO CCD COE), Estońskiej Ligi Obrony Cybernetycznej (Estionian Cyber Defence League, ECDL) oraz innych instytucji rządowych i firm prywatnych.

Organizacja ćwiczenia uwzględniała podział na kilka kategorii, wyróżniono grupy: Blue, Red, Green, White, Legal, Yellow, MNE7 SA. Głównym zadaniem było przeszkolenie i sprawdzenie umiejętności członków drużyn Blue i Legal w kampanii międzynarodowej, sprawdzenie podatności technologicznej i świadomości uczestników oraz wzajemna nauka pomiędzy niebieskimi i czerwonymi drużynami. Drugim głównym celem było przeszkolenie drużyny prawnej na okoliczność ataku i obrony systemów IT. W przypadku prostych scenariuszy prawnicy przez większość czasu byli tylko obserwatorami. W testowanym scenariuszu, niebieskie drużyny reprezentowały małe firmy telekomunikacyjne, każda z nich posiadała podobną sieć składającą się z 25 wirtualnych maszyn. Ich systemy były celowo źle skonfigurowane oraz posiadały wiele podatności. Niebieskie grupy konkurowały ze sobą i były oceniane przez grupę Białą. Rolę atakujących przypisano drużynom czerwonym, w których w skład wchodzili specjaliści i ochotnicy głównie z Finlandii i Estonii. Agresorzy nie konkurowali między sobą, mieli ustalone cele, ale mieli też wolną rękę do ich realizacji. Biała drużyna była odpowiedzialna za określenie celów dla grup czerwonych, za punktację grup niebieskich oraz brała udział w tworzeniu ogólnego scenariusza. Drużyna zielona miała najtrudniejsze zadanie: była odpowiedzialna za utworzenie całej technicznej infrastruktury w laboratorium oraz za wirtualizację testowanej sieci. Udzielała wszelkiej pomocy technicznej. Członkowie grup żółtych wyszukiwali i staranie wybierali rozwiązania i metody, które były później testowane na ćwiczeniach. Drużyna prawnicza, podobnie jak i niebieska, była najbardziej obserwowaną grupą. Ich zadaniem było opracowanie przepisów dla fikcyjnego zdarzenia, obserwowanie i analiza wszystkich zdarzeń pod względem prawnym, doradzanie drużynom niebieskim w kwestiach prawnych oraz spojrzenie na ataki w cyberprzestrzeni od strony technicznej. Testowane scenariusze dotyczyły współpracy małych firm teleinformatycznych, które zostały zaatakowane przez różne grupy hackerskie. Symulowane były połączenia DSL z Internetem, współdzielony web hosting, e-mail hosting czy dostarczenie wirtualnych prywatnych serwerów.

Testowane sytuacje oparto na prawdziwych wydarzeniach. Przykładem jest grupa hakerów aresztowana przez Interpol oskarżonych o prowadzenie hostingu w celu kradzieży tożsamości, wyłudzeń finansowych oraz ataków DDoS. Innym pierwowzorem był zhakowany system chłodzenia serwerowni firmy CoolAirz czy oskarżenia ISP (internet service provider) o działania szpiegowskie w dużej grupie francuskich studentów.

Kolejna edycja programu „Locked Shields” odbyła się 23-26 kwietnia 2013 roku. Wzięło w niej udział 18 organizacji z 15 państw, w tym m.in. NATO. Podobnie jak we wcześniejszej edycji programu uczestnicy zostali podzieleni na grupy: Blue, Red, Green, White, Legal, Yellow. Główną różnicą w stosunku do LS2012 było użycie większej liczby nowoczesnych urządzeń oraz większe nastawienie na współpracę między niebieskimi drużynami.

Przygotowany scenariusz opisywał konflikt w fikcyjnym państwie „Boolea”. Kraj znajdował się na wyspie w okolicach północnej Afryki. Państwo było pogrążone wojną domową pomiędzy plemionami północnymi a południowymi. W międzyczasie wybuchła epidemia cholery na północy. Oprócz tradycyjnych działań wojennych od kwietnia 2013 zaczęły pojawiać się cyberataki na systemy IT oraz sieci organizacji humanitarnych. Lokalne władze zostały zmuszone do poproszenia o pomoc organizacje międzynarodowe. Niebieskie drużyny wcieliły się w rolę przedstawicieli ONZ, których celem była ochrona niesklasyfikowanych sieci militarnych oraz sieci organizacji charytatywnych. Czerwone drużyny wcieliły się w dwie role: lokalnych ekstremistów z niskimi bądź średnimi umiejętnościami oraz międzynarodowych terrorystów ze średnimi bądź wysokimi umiejętnościami. Celem czerwonych było utrudnienie pracy organizacjom humanitarnym i rozszerzanie chaosu w kraju. Głównym celem ćwiczenia, obok sprawdzenia i podwyższenia umiejętności niebieskich drużyn, było rozpoznanie niezidentyfikowanych sieci, administracja, prewencja, monitorowanie oraz detekcja i odpowiedź na ataki. Ważna była także współpraca międzynarodowa i pomiędzy drużynami, umiejętność ogólnego spojrzenia na sprawę oraz komunikacja w krytycznych momentach. Główne wyzwania dla niebieskich drużyn były skupione na obronie web aplikacji, detekcji złośliwego kodu, łagodzeniu efektów tzw. porwań BGP (IP hijacking) oraz inicjowanie efektywnego przepływu informacji między zespołami. Członkowie niebieskich wzięli te testy na poważnie i byli znacznie lepiej przygotowani niż wcześniej, dlatego radzili sobie dużo lepiej niż w poprzedniej edycji programu.

W dniach 22–23 maja 2014 roku odbyła się kolejna edycja „Locked Shields”, w którą zaangażowane było ponad 300 osób pochodzących z 17 krajów. Tegoroczny scenariusz opisywał ochronę fikcyjnego kraju „Berylia” przed zmasowanymi cyberatakami.

Program przewidywał podział uczestników na różne drużyny, podobnie jak w poprzednio. Pierwszy dzień ćwiczeń rozpoczął się od niskiej aktywności hakerów, z biegiem czasu działania się nasilały. Celami czerwonych drużyn poza tradycyjnymi cyberatakami były także sabotaże oraz działania szpiegowskie przeciw „Berylii”. W zmaganiach brało udział 11 niebieskich drużyn, najskuteczniejszą niebieską grupą okazała się reprezentacja Polski. Byli to specjaliści z wybranych instytucji, po 2 osoby z Ministerstwa Obrony Narodowej, Zespołu Informatycznego Reagowania Kryzysowego CERT Polska, Służby Kontrwywiadu Wojska oraz z Wojskowej Akademii Technicznej. Grupą dowodził Tomasz Strycharek, szef MIL CERT-PL.

Ćwiczenia Polskie

Bazując na „Baltic Cyber Shield”, zorganizowano polskie ćwiczenie dotyczące ataków w cyberprzestrzeni: „Cyber Exe-Polska”. Pierwsza edycja odbyła się 19 września 2012 we wrocławskiej Hali Stulecia. Wzięło w niej udział około 80 osób z 13 instytucji. Harmonogram ćwiczeń obejmował nie tylko samo przeprowadzenie ćwiczenia, ale całą organizację: identyfikację zagrożeń i tematyki zajęć, planowanie, przeprowadzenie ćwiczenia oraz końcową ocenę wszystkich przedsięwzięć.

W odróżnieniu do „Locked Shields” scenariusz był starannie opracowany, nie przypominał niezaplanowanego pola walki jak w międzynarodowych manewrach, podobny był raczej do skrupulatnie przygotowanego ataku cyber terrorystycznego. Przeprowadzono go na infrastrukturę teleinformatyczną w środowisku testowym, która była wzorowana na rzeczywistych odpowiednikach.

Polskie manewry w 2012 przewidywały 2 dokładnie zaplanowane ćwiczenia: scenariusz dla sektora gazowego oraz scenariusz dla sektora elektroenergetycznego. W pierwszym przypadku ataki początkowo miały na celu odcięcie informacji pomiarowych z jednego z punktu dystrybucyjnego. Kolejnym krokiem był atak na APN (Access Point Name). Docelowo hakerzy mieli przejąć kontrolę nad systemem sterującym. W drugim ćwiczeniu agresorzy zaczęli od ataków APT (Advanced Persistant Threat) na pracowników, następnie infekowali komputery na stacjach elektroenergetycznych. Głównym celem było uszkodzenie autotransformatorów stacyjnych. Raport dokładnie opisuje używane metody ataków.

Cyber-Exe Polska 2013 odbyło się 29 października 2013. Ćwiczenie dotyczyło ataków na instytucje finansowe. Organizatorem ćwiczenia była Fundacja Bezpieczna Cyberprzestrzeń, a partnerami organizacyjnymi Rządowe Centrum Bezpieczeństwa oraz firma doradcza Deloitte.

W scenariuszu przewidziano 6 konkurujących ze sobą grup, które miały się bronić, a każda drużyna reprezentowała inny bank. Testowane były dwa przypadki ataków. Ścieżka ataku DDoS i ścieżka ataku APT. W pierwszym przypadku atak był podzielony na 4 fazy. Kontakt szantażysty z biurem obsługi klienta, wstępny testowy atak DDoS. Następnie główny atak DDoS, podczas którego zostały zebrane dane klientów banku. Ostatnia faza to atak phishingowy, czyli wykorzystanie danych klientów do działań przestępczych. Drugi scenariusz opisywał atak APT. Szantażysta udostępnił publicznie szczątkowe poufne informacje banku i zażądał okupu za nieudostępnianie reszty informacji. Ćwiczący mieli za zadanie przeanalizować atak i współpracować z zewnętrznymi instytucjami typu policja czy CERT.

Podsumowanie

Zarówno krajowe, jak i międzynarodowe ćwiczenia ochrony cyberprzestrzeni są organizowane w podobnym celu: sprawdzenie kompetencji, zwiększenie umiejętności uczestniczących oraz analiza aspektów prawnych podczas sytuacji kryzysowej.

„Cyber-Exe”, „Locked Shields”, „Cyber Coalition” wywodzą się od wspólnego przodka: „Baltic Cyber Shield”. Polskie wydarzenie kontynuuje tradycję i przy dobrej organizacji wykonywane jest w ciągu jednego dnia. Ćwiczenia międzynarodowe mają znacznie więcej uczestników i zostały rozszerzone na dwa dni. Obecnie „Locked Shields” jest największym przedsięwzięciem tego typu na świecie. Oba wydarzenia uwzględniają zwykle jeden dodatkowy dzień, tzw. „dry day” , najczęściej tuż przed właściwym ćwiczeniem. Zarezerwowany jest on na zapoznanie się ze środowiskiem, przetestowanie go i na przeprowadzenie próbnych ataków.

Porównując raporty z ćwiczeń lokalnych i międzynarodowych, można zauważyć drobną różnicę. Raporty z dużych ćwiczeń skupiają się na opisie przeprowadzanego scenariusza, „dry day” i samym przeprowadzonym ćwiczeniu. Dobrze opisane są metody ataków, obrony, kolejne fazy ćwiczeń oraz sposoby punktowania. Znaleźć tu można także statystyki konkretnych udanych i nieudanych ataków. Raport polskiego ćwiczenia „Cyber-Exe” opisuje zdarzenie w szerszym zakresie. Zawiera informacje od procesu planowania, przez identyfikację zagrożeń, realizację samego ćwiczenia aż po opis wniosków i zaproponowanie rekomendacji na przyszłość.

Rozbieżności w charakterze raportu mogą wynikać z tego, że oba ćwiczenia są przeprowadzane w nieco innej formie. Testy międzynarodowe przypominają pole bitwy z różnymi grupami agresorów i broniących się. Po przeprowadzonej bitwie dobrze jest spojrzeć na statystyki, np. kto jakich metod używał. Polskie ćwiczenie przypomina dobrze zaplanowany atak terrorystyczny, podane są więc konkretne rodzaje używanych metod w kolejnych fazach. W tym przypadku statystyki nie odgrywają kluczowej roli, wystarczy wynik w formie opisowej.

Ważnym elementem każdego ćwiczenia jest dobrze zaplanowany scenariusz. Powinien być w miarę możliwości realistyczny oparty na prawdziwych zagrożeniach, dzięki czemu można przetestować metody działania, aby później powtórzyć je w prawdziwym życiu. Duże ćwiczenia starają się testować sytuacje, w których wymagana jest kooperacja organizacji międzynarodowych. Nasze lokalne ćwiczenia nie muszą być prowadzone na taką skalę, ale organizatorzy starają się także zorganizować je w taki sposób, aby możliwa była kooperacja instytucji prywatnych i rządowych.

Oba rodzaje ćwiczeń różnią się od siebie i często wymagają innego podejścia. Dzięki różnicom uczestnicy mogą zdobyć nowe, cenne doświadczenia. Ważne jest, by tego typu ćwiczenia odbywały się systematycznie. Wiedza uzyskana w ten sposób jest wykorzystywana także przy tworzeniu „Polityki Ochrony Cyberprzestrzeni Rzeczypospolitej Polskiej”.

Na zakończenie cytat z początkowego fragmentu raportu „Cyber-Exe Polska 2013”:

Cyber-Exe Polska 2013 dowiodło, że procedury i wyposażenie są warunkiem koniecznym, ale niewystarczającym, by nawet duża organizacja mogła sprostać zaawansowanemu atakowi teleinformatycznemu. Podczas reakcji na cyberatak istotną rolę odgrywa także doświadczenie pracowników, ich kreatywność i osobiste zaangażowanie oraz zdolność do koordynacji działań w sytuacjach kryzysowych.

 

Bibliografia

  1. Agencja Bezpieczeństwa Wewnętrznego: Raport z działalności Agencji Bezpieczeństwa Wewnętrznego w 2013r. Warszawa 2014.
  2. CERT.GOV.PL: CERT.GOV.PL Raport o stanie bezpieczeństwa RP w 2013 roku. Warszawa 2014.
  3. Cyber-EXE Polska: CYBER-EXE POLSKA 2012 ĆWICZENIA Z OCHRONY W CYBERPRZESTRZENI, PRZYGOTOWANIE PRZEBIEG ANALIZA WNOSKI I REKOMENDACJE, RAPORT. Warszawa 2012.
  4. Cyber-EXE Polska: CYBER-EXE POLSKA 2013 RAPORT Z ĆWICZENIA W ZAKRESIE OCHRONY PRZED ZAGROŻENIAMI Z CYBERPRZESTRZENI DLA POLSKIEGO SETKORA BANKOWEGO, PRZYGOTOWANIE, PRZEBIEG, ANALIZA, WNIISKI I REKOMENDACJE. Warszawa 2013.
  5. European Union Agency for Network and Information Security (ENISA): Cyber Europe 2010 – Evaluation Report. Heraklion – Crete, Greece 2011.
  6. IBM: IBM X-Force Threat Intelligence Quarterly, 1Q 2014. United States of America 2014.
  7. Ministerstwo Administracji i Cyfryzacji: Polityka Ochrony Cybeprzestrzeni Rzeczypospolitej Polskiej. Warszawa 2013.
  8. NATO Cooperative Cyber Defence Centre of Excellence (CCD CoE): Baltic Cyber Shield Cyber Defence Exercise 2010, After Action Report. Tallinn, Estionia 2010.
  9. NATO Cooperative Cyber Defence Centre of Excellence (CCD CoE): Cyber Defence Exercise Locked Shields 2012, After Action Report. Estonia, Tallinn 2012.
  10. NATO Cooperative Cyber Defence Centre of Excellence (CCD CoE): Cyber Defence Exercise Locked Shields 2013, After Action Report. Estonia, Tallinn 2013.
  11. CCDCOE. Estonian-Swedish Cyber Defence exercise was won by students of the Tallinn Technology University.[online] (December 9, 2008)
  12. Security and Defence Agenda. Nato Cyber-Defence Exercise [online] (19.12.2011)
  13. North Atlantic Treaty Organization. Cyber Coalition 2011 exercise tests NATO procedures for cyber defence [online] (13.12.2011)
  14. General Knowledge Today. Cyber Coalition 2013: NATOS’s largest-ever cyber-security exercise held in Estionia. [online] (1.12.2013)
  15. CCDCOE. Poland Was Crowned the Winner of Locked Shields 2014 [online] (23.05.2014)
  16. Sekurak. Cyberćwiczenia NATO – Polacy górą! [online] (24.05.2014)

Retkiewicz Adam

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. mzet

    Ciekawy artykuł. CERT Polska działa dopiero od 2009? Myślałem, że został powołany do życia dużo wcześniej …

    Odpowiedz
    • ar

      Spojrzenie w materiały i okazuje się, że w artykule jest mała nienieścisłość.
      Można rozróżnić trzy organizacje CERT, odpowiedzialne za inne obszary:
      CERT.GOV.PL – administracyjny. Na podstawie raportu ABW z 2013r, zespół funkcjonuje w ABW od 1 lutego 2008roku.
      Cert Polska – cywilny. Obecny adres: cert.pl. W skład wchodzą inne zespoły Cert i Abuse. Pod różnymi nazwami działa od 1996/7.
      MIL CERT – wojskowy.

      Wpływ na Rządowy Program Ochrony Cyberprzestzeni miały wszystkie te organizacje.
      Powołując się na CERT-Polska, opisując jego raport, bazowałem na raporcie CERT.GOV.PL z 2013 roku.

      Odpowiedz

Odpowiedz