Sociálne siete

SecIT.sk na Facebooku SecIT.sk na Google+ SecIT.sk na Twitteri Hosting zadarmo od WebSupport.sk

Podporte nás


V prípade, že Vám obsah nášho portálu niekedy nejakým spôsobom pomohol, či bol pre Vás prínosom prosím podporte jeho chod ľubovoľnou čiastkou. Ďakujeme!

Prihlásenie

Štítky

Vyhľadávanie

You are here

Domov

Kyberbezpečnostná doktrína EÚ verzus NATO

EÚ i NATO. Obe organizácie sa snažia zasiahnuť do sveta kybernetickej bezpečnosti a istým spôsobom ho monitorovať i regulovať. Sú Európania schopní zaistiť koordináciu a spoluprácu v oblasti kybernetickej bezpečnosti? A ako pri tom EÚ „konkuruje“ NATO? Kto by mal zasiahnuť v krízových okamihoch? Ako sa obe inštitúcie pripravujú na možnosť masívnych útokov a koho zásah by mal byť strategickejší? Aj na tieto otázky sa pokúsime odpovedať v tomto článku.

V predchádzajúcich článkoch som spomenul základné fungovanie kybernetickej bezpečnosti v EÚ i jeho nedostatky ale aj stav v SR/ČR a modelový scenár, ku ktorému by malo dôjsť počas masívnejšieho útoku na systémy EÚ. Dnes ukončíme tento exkurz do politicko-technickej oblasti kybernetickej bezpečnosti EÚ tým, že ju priamo konfrontujeme s NATO. Pre pochopenie článku je potrebné prečítať si a oboznámiť sa s pojmami a faktami, ktoré som prezentoval v prvej i druhej časti.


EÚ vs. NATO

Vzťah EÚ a NATO pri kybernetickej bezpečnosti je pomerne komplikovaný. V krátkosti možno povedať, že NATO si buduje svoje vlastné štruktúry, ktoré môžu vplývať duplicitne, samozrejme záleží od uhla pohľadu. EÚ definuje svoju vlastnú obranyschopnosť i v Lisabonskej zmluve, konkrétne v článku 42 odsek 7, ktorý právne plnohodnotne nahrádza článok 5 Washingtonskej zmluvy. Garantuje tak kolektívnu ochranu i nečlenským krajinám NATO, ako napr. Rakúsku či Švédsku. V dodatku je však uvedené, že vždy sa prihliada na krajiny, ktoré majú záväzky voči NATO. Bezpečnosť je pre mnohé európske krajiny veľmi citlivá téma, EÚ bohužiaľ svoje bezpečnostné záväzky nevie jednoznačne definovať, či dohodnúť sa na spoločnom stálom velení. Tieto snahy sú neustále sabotované niektorými členskými krajinami - najmä Veľkou Britániou.

Vojenská bezpečnosť - teritoriálna veľmi úzko súvisí i s bezpečnosťou kybernetickou. A tak sa zaužívala dogma, že EÚ koordinuje kybernetickú bezpečnosť v civilnej oblasti a NATO v oblasti vojenskej. Iste, nie je to pravda, ale silne živený nezmysel. Môj predchádzajúci článok popiera toto tvrdenie. EÚ má aktívne štruktúry pre monitorovanie "vojenskej" kybernetickej bezpečnosti. Avšak v súvislosti s kybernetickou bezpečnosťou v rámci geopolitiky o nich v médiách nie je možné počuť, rovnako je otázna ich operatívnosť a právomoci. Nejeden analytik vám povie, veď EÚ ešte nikdy nespustila operáciu EU Battlegroup, pretože kto to zaplatí? Kto bude veliť, aké budú právomoci? Je veľká škoda pre Európu, že tieto otázky nedokáže EÚ adekvátne vyriešiť vo vlastnej réžií. Financie totiž nie sú kameňom úrazu... Naopak v kontexte NATO počujeme o "vojenských kybernetických hrozbách" neustále. Rovnako CSIRTy sú budované v rámci štátov ako civilné a vojenské (okrem množstva iných civilných podkategórií - akademických, vedeckých či komerčných).

Cvičíme...

EÚ i NATO organizujú rozsiahle kybernetické cvičenia. EÚ organizuje tzv. Cyber Europe v gescii ENISy, občas sa zapojí aj USA a jedná sa o Cyber Atlantic. Kým tieto cvičenia sú pomerne dobre zdokumentované a zapájajú sa do nich národné CSIRTy, ISP, akademické, výskumné a komerčné subjekty, existujú i iné cvičenia. Tie "iné" prevádza NATO a jedná sa napr. o Cyber Coalition alebo Locked Shields. O týchto cvičeniach sa veľa nedozvieme. No predsa len niečo áno. EÚ a NATO v podstate cvičia veľmi podobne, v oboch prípadoch sa jedná o reakciu, tlmenie a vyšetrovanie DDoS útokov, útokov kradnúcich či meniacich dôležité dáta alebo o nácvik proti kyberšpionáži. Pri cvičeniach musia okrem rýchlej reakcie a pokusom o elimináciu útokov CSIRTy zvládať aj vzájomnú spoluprácu a napr. informovanosť verejnosti.

V prípade cvičení ENISA – Cyber Europe, jednotlivé tímy koordinujú prácu na riešení bezpečnostných incidentov na národnej úrovni a spomedzi medzinárodných účastníkov si zväčša zvolia centrálneho koordinátora napr. EU-CERT. Tieto jednotlivé národne tímy sú si rovnocenné a okrem kooperácie na národnej úrovni (komunikácie medzi sebou - napr. medzi štátnym CSIRTom a správcom top level domény, ISP...) musia jednotlivé tímy komunikovať medzi krajinami a reportovať si zdroje útokov, výsledky pri eliminácií či koordinovať spravodajskú činnosť. ENISA pripravuje skutočne realistické a veľmi kvalitné kybernetické cvičenia. Posledné cvičenie Cyber Europe 2014 zahŕňalo 3 fázy: technickú, operatívnu a strategickú (politické ciele). Technická preverila zručnosti tímov vysporiadať sa napr. s analýzou malware, s forenznými aktivitami pri napadnutí webových stránok a serverov ale aj s možnosťami ochrany kritickej infraštruktúry a kybernetickej špionáže. Doplnená bola i o prvky bodovacej súťaže. O každom cvičení ENISA vydá okrem interných i verejne dostupné správy.

Do cvičení NATO sa nezapája (aspoň nie priamo) široký okruh zainteresovaných subjektov, ako v prípade cvičení EÚ. V praxi by však ich zapojenie bolo absolútne nevyhnutné a z tohto hľadiska sú cvičenia EÚ oveľa reálnejšie i opodstatnenejšie. Podľa dostupných informácií, za slovenskú stranu ide len o CSIRT.MIL (špeciálny vojenský CSIRT, ktorého aktivity sú neverejné a agentúra ENISA ho neeviduje v centrálnej registrácií vojenských EÚ CSIRTov) a Základňa stacionárnych, komunikačných a informačných systémov Trenčín, ako i ďalšie útvary Ministerstva obrany. Cieľom je najmä chrániť „pridelené systémy a prostriedky“...

Oba typy cvičení (EÚ i NATO) sú teda veľmi podobné, EÚ je však pri nich viac otvorená a realistickejšia. Na cvičení NATO Locked Shields 2015 sa v úlohe pozorovateľa zúčastnila i samotná EÚ reprezentovaná EEAS. EÚ však i v celkovom aspekte cvičení dokáže otestovať svoje postupy a procesy samostatne bez potreby účasti NATO. Navyše svoju koordináciu postupov testuje približne raz za 2 roky i v rozšírenej verzií cvičení Cyber Atlantic s účasťou USA.


obrazok

Civilné a vojenské kyberútoky

Hranica medzi civilným a vojenským kybernetickým útokom je však tenká. EÚ napr. cvičí v rámci rozsiahlych cvičení CyberEurope voči hrozbám ako masívne DDoS útoky, nedostupnosť služieb, či podvrhnutie legitímnych webových stránok (napr. strategických štátnych inštitúcií). NATO cvičí podobne. Rozlíšiť, či ide o DDoS útok v spojení s vojenským aktom, alebo ide o útok "hackerskej" skupiny (hacktivizmus) je neľahké. V počiatočnej fáze toto rozlíšenie možno ani nie je potrebné. V oboch prípadoch musíte eliminovať a obnoviť dostupnosť systémov, no popri tom zaistiť aj všetky artefakty, ktoré majú slúžiť ako dôkazy, tieto úkony sa musia diať veľmi rýchlo a až neskôr môžete vyšetrovať a hľadať pôvodcu. Z praxe vieme, že vyšetrovania sa niekedy nedajú ukončiť (tento typ pri štátmi sponzorovaných počinoch prevláda), alebo trvajú veľmi dlho.

Civilné verzus vojenské záujmy

Mnohí analytici vám rozdielnosť civilného a vojenského kyber-bezpečnostného sektoru popíšu v prvom rade ako rôzne záujmové oblasti pre zber dát. Iste je to pravda. Civilný CSIRT skutočne v prvom rade rieši incidenty úradov, inštitúcií, napr. štátnej správy, firiem či aktivít na akademickej pôde a samozrejme problémy ich užívateľov. Pritom môže ísť o zreteľne malé incidenty - ako cielený phishing, ktoré sú podstatné len pre danú inštitúciu a pre danú bezpečnostnú komunitu. Vojenské CSIRTy zaujímajú najmä masívnejšie hrozby ako napr. DDoS útoky umožňujúce odstaviť "polovičku krajiny" a hrozby, ktoré dokážu ohroziť bezpečnosť krajiny, jej celistvosti alebo suverenitu... Obe skupiny zaujíma zaiste kritická infraštruktúra i kyberšpionáž. Pri kritickej infraštruktúre sa jedná o elektrárne, dopravné systémy apod. Ale... Sú tu viaceré ale, kedy sa oblasti záujmov prekrývajú, ťažko rozoznávajú a už spomínaný fakt, že EÚ nechce NATO ustúpiť vo vojenskej sfére úplne. Buduje si svoje vojenské štruktúry a musí tiež podľa Lisabonskej zmluvy zaistiť kolektívnu bezpečnosť EÚ, a to i nečlenov NATO, no najmä presadzovať svoje vlastné záujmy (ich rozdielnosti mimo kybernetický priestor vidíme najlepšie napr. v otázke Izraelsko-Palestínskych sporov či v prístupe ku Kurdom).

Čo však robiť keď sa kyberneticky špehujú pseudospojenci?

NATO však nesleduje len "veľmi silové" kybernetické útoky, príkladom ktorých je napr. masívny DDoS útok (ďalej spomenutý prípad Estónska), či "miznutie" lietadiel z radarov. Vyššie spomenuté cvičenie Locked Shields poukazuje i na „jemnejšie“ aspekty. Čo teda napríklad taká kybernetická špionáž? Vojenský CSIRT by zaujímala, ak by špehovala jednu krajinu krajina iná... Ale ak by špionáž vykonávala konkurenčná firma, či zločinecká skupinka v rámci jedného štátu či EÚ je to skôr vecou civilného CSIRTu. V počiatočnej fáze však môže byť problém rozlíšiť, kto za akým účelom špehuje, i keď sofistikovanosť útoku často napovie veľmi veľa. Samozrejme pointou ostáva, že nech je hrozba i pôsobnosti vojenskej, primárne by ju mala riešiť EÚ.

Totiž paradoxom je, že vojenský CSIRT by mohol riešiť špionáž kvázi spojenca vo svojich systémoch... Nie to nie je absurdné, to je prípad Regin (nabudúce ho rozoberieme podrobnejšie) či údajný prípad narušenia systému SWIFT. Našli by sa aj mnohé ďalšie. USA tu vtedy stálo na dvoch stranách, v rámci NATO by malo podobné incidenty pomáhať vyšetrovať, no čo keď sa na nich priamo podieľa? Edward Snowden nám ukázal, že spojencov treba rozlišovať a zdieľanie určitých vysoko kritických dát mimo EÚ veľmi dobre zvážiť. Preto by výmena citlivých informácií o kritických systémoch, postupoch a núdzovej koordinácií v rámci EÚ mala v praxi dostať zásadnú prednosť i vo vojenskej oblasti pred NATO a rovnako by sa zásadne mali prehodnotiť citlivé dáta poskytované spojencom mimo EÚ. Tieto dáta často poukazujú detailne na slabiny systémov a kooperácie v prípade bezpečnostného incidentu a následne (ako realita žiaľ ukazuje) môžu byť použité pre vylepšenie sofistikovanosti vysoko cielených útokov od subjektov, ktoré hrajú „dvojitú hru“. Samozrejme oproti tomu dáta o kybernetických zločineckých skupinách, o ilegálnom obchode, či o teroristických skupinách operujúcich v kyberpriestore je potrebné úzko zdieľať naprieč, EÚ, USA, Ruskom, Čínou a celým svetom, aby mohli byť tieto živly efektívnejšie eliminované.

Čo NATO považuje za akt kybernetickej vojny?

Kybernetický útok môže byť považovaný za vojenský akt resp. agresiu, iba v prípade, že by bol porovnateľný s rozsahom a následkami do tej miery, aké by vyvolal ozbrojený bojový útok (teda konvenčný bojový zásah). Len v takom prípade môže štát použiť sebaobranu v súlade s medzinárodným právom. Aspoň takto to vidí Charta OSN. Pre NATO je však svätým grálom tzv. Tallinský manuál. Prekvapivo však ide o pomerne triezvy právny dokument, ktorý sumarizuje a analyzuje postoje medzinárodného práva ale i rozsudky medzinárodných tribunálov, ktoré pôsobia precedentne. Silácke reči politikov, napr. v prípade útoku na spoločnosť Sony v USA, o tom, že sa jedná o akt kybernetickej vojny, majú podľa tohto manuálu červenú. Podľa autorov manuálnu nemožno považovať za akt kybernetickej vojny ani prípad, kedy by štátni útočníci paralyzovali strategickú burzu, čoho dôsledkom by bol následný kolaps trhov. Nakoľko je však reálne, že by sa touto radou v prípade, že by sa daná udalosť skutočne stala riadili i politici? K útoku na Sony, ale i k mnohým ďalším je tiež potrebné zásadne poznamenať, že im predchádzal veľmi flagrantný prístup k bezpečnostným opatreniam a priam neuveriteľne školácke chyby v oblasti zabezpečenia.


obrazok

Kto teda zasiahne?

Ako sme už spomenuli, EÚ i NATO vykonávajú podobné cvičenia a budujú podobné štruktúry. Nepísane si delia segment na civilný a vojenský, oficiálne do istej miery spolupracujú. Otázkou ostáva, čo by sa dialo ak by došlo k bezpečnostnému incidentu väčších rozmerov, na ktorý sa napr. pripravujú členovia oboch zoskupení formou už spomínaných kybernetických cvičení.

Ak by došlo napr. k udalosti podobnej tej, ktorá sa odohrala v roku 2007 v Estónsku - masívny DDoS útok na systémy naprieč celou krajinou po premiestnení "Pamätníka osloboditeľov Tallinu", kto by zasiahol? Na vyšetrovaní masívneho DDoS v Estónsku sa nezávisle od seba v danom čase podieľali experti Európskej komisie i NATO, ani jedni však nedokázali presvedčivo usvedčiť ruskú vládu z organizácie danej akcie. Medzi odborníkmi skôr prevláda názor, že išlo hacktivizmus s tichým prizeraním sa ruských bezpečnostných zložiek. V súčasnosti sa stále vedie polemika či sa vôbec jednalo o akt kybernetickej vojny.

Riešila by teda takýto bezpečnostný incident civilná zložka - EÚ, alebo vojenská - NATO? Z nášho pohľadu sa však udalosť stala kľúčovou pre posilnenie európskej bezpečnosti, čo dokazujú vtedajšie vyhlásenia eurokomisára pre justíciu - Franca Frattiniho, ale i NATO, ktoré vytvorilo v Talline centrum pre boj s kybernetickými útokmi. Vlastne sa tak už vtedy aktívne zapojili obe organizácie. Takže možno očakávať, že pri podobnom incidente by zasiahla ako EÚ tak aj NATO, bez ohľadu na povahu incidentu. Zaujímavé by bolo sledovať i ich vzájomnú (ne)spoluprácu, resp. myslím, že pokojne je možné napísať "zaujímavé bude sledovať ich vzájomnú (ne)spoluprácu"...

Záver

Vo všetkých 3 článkoch som sa snažil zmapovať aktuálnu situáciu v oblasti kyberbezpečnostnej doktríny EÚ a vzťah s NATO. EÚ dokáže byť v tejto oblasti sebestačná, potrebné je však zlepšiť určité procesy. Útočníci, ktorí nepoznajú hranice a veľmi efektívne vzájomne spolupracujú musia i na druhej strane čeliť EÚ, ktorá je v tejto oblasti pevná, jednotná a najmä má zavedené spoločné procesy, velenie, koordináciu a zdieľanie dát. S neEÚ často "kvázi spojencami" je však potrebné veľmi citlivé dáta o kľúčových opatreniach, reakčných procesoch a mechanizmoch či o kritických systémoch zdieľať skutočne len veľmi opatrne, aby sa stále častejšie nestávalo, že tí, ktorí sa vydávajú za spojencov, nám pripravujú najsofistikovanejšie kybernetické hrozby a o tom už viac nabudúce...


Podporte nás


Páčil sa Vám tento článok? Ak áno, prosím podporte nás ľubovoľnou čiastkou. Ďakujeme!


ITC manažer Security-portal.cz Spamy.cz PHP Fushion Soom.cz
Hoax.cz Antivirove centrum Crypto-world.info SPYEMERGENCY.com