Jste předsedou týmu CSIRT OU, zkratka znamená Computer Security Incident Response Team. Co takové týmy dělají?
Jde o týmy zodpovědné za řešení bezpečnostních incidentů, na které se mohou uživatelé obrátit se zjištěným bezpečnostním incidentem anebo podezřením na něj.
Na co se zaměřuje CSIRT tým Ostravské univerzity?
Do naší působnosti spadají univerzitní uživatelé, tedy naši zaměstnanci a studenti. S vaším domácím počítačem vám tedy nepomůžeme. Ale pokud máte problém s pracovní stanicí nebo najdete problém či bezpečnostní zranitelnost na univerzitních stránkách, tak se na nás můžete obrátit přes mail security@helpdesk.osu.cz. Další informace o našem týmu nebo o hlášení kybernetických bezpečnostních incidentů najdete na stránkách csirt.osu.cz.
Kdo jsou členové univerzitního CSIRT týmu?
Jsme nezávislá skupina, která pracuje v rámci celé univerzity. Členové našeho týmu působí v klíčových složkách univerzity, které dbají o kyberbezpečnost. Členy jsou manažer kybernetické bezpečnosti Pavel Pomezný, dále Martin Stachura z CIT, Pavel Smolka a já z Katedry informatiky a počítačů a pan Jan Humpolík z rektorátu, který je také pověřenec pro GDPR.
Čím se zabýváte, když zrovna k žádnému incidentu nedochází?
Musím zmínit, že řešení incidentů je pouze jednou z oblastí, které se náš tým věnuje. Další je například vzdělávání. Studentům i zaměstnancům jsme již nabídli řadu školení a kurzů. Významnou oblastí je také výzkum – věnujeme se vědecké činnosti spojené s bezpečnostními incidenty. Úzce spolupracujeme s katedrou informatiky a Přírodovědeckou fakultou. Provádíme vědecký výzkum založený například na technické a statistické analýze zachycených kybernetických incidentů. Dále také pomáháme s implementací národní a evropské legislativy spojené s kybernetickou bezpečností.
V tomto měsíci váš tým dosáhl významného úspěchu, když získal jako teprve druhý český univerzitní CSIRT mezinárodní status „akreditován“. Co to přesně znamená?
Abych navázal na již zmíněné oblasti působnosti, akreditace se týká jedné z nich – mezinárodní spolupráce. Akreditovali jsme se v rámci mezinárodní komunity, kde jsou CSIRT týmy z celého světa. Tím jsme dokázali, že splňujeme určité standardy a kvality řešení bezpečnostních incidentů.
Jaké z toho pro vás plynou výhody?
Dostaneme se například k řadě vzdělávacích materiálů, které jsou pro nás zajímavé, informacím o bezpečnostních hrozbách, spoustě know-how nebo kontaktu s ostatními týmy. Dokážeme spolu řešit různé technické záležitosti – otevírá se nám vstup do dané komunity a jsme jejími plnohodnotnými členy.
Co akreditaci předcházelo?
Proces akreditace je velmi dlouhý. CSIRT týmy z celého světa sdružuje mezinárodní organizace TF-CSIRT. První krok je získat od ní status „listed“. To znamená, že CSIRT tým je zveřejněný, musíte zároveň doložit, že existujete, že spravujete systémy, IP adresy, webové stránky, když bych to řekl jednoduše. Pro tento krok potřebuje dva podporovatele, CSIRT týmy, které se za vás zaručí, že splňujete základní standardy.
Jak dlouho tento proces trval?
Pouze tento krok trval nějakou dobu, několik měsíců. Následně jsme tři roky intenzivně pracovali na tom, abychom se posunuli na vyšší úroveň – získali akreditaci. Většina té práce spočívala v tom, že jsme řešili, jak budeme pracovat v rámci univerzity. Bylo přijato opatření rektora, které nás formalizovalo a museli jsme se dohodnout s CIT na tom, jak budeme vzájemně spolupracovat. Takže kromě technických kroků to byla náročná diplomatická práce obnášející spoustu jednání – s panem rektorem, s paní kancléřkou, ředitelem CIT, pověřencem pro GDPR Janem Humpolíkem a dalšími.
Když jste si tedy vyjasnili a dohodli kompetence vašeho týmu a byli formálně založeni, požádali jste o akreditaci?
Ano, po třech letech jsme zahájili další formální proces, kdy jsme vyplňovali řadu formulářů, byl nám přidělen recenzent, který s námi měsíc komunikoval, procházel s námi vyplněné informace, následně spustil hlasování v rámci komunity. Jelikož neměl nikdo námitky a recenzent usoudil, že splňujeme veškeré definované parametry, tak nás zařadil mezi akreditované CSIRT týmy. Byl to tedy opět velmi náročný proces.
Vraťme se ještě na chvíli k bezpečnostním incidentům. Kdybyste dostali informaci, že k němu dochází, jak byste postupovali?
Veškeré krizové situace řešíme ve spolupráci s lokálními správci daných budov, fakult, kateder… Náš tým nemůže zasáhnout kdykoliv, na jakékoliv budově by se mu zachtělo. Hlavně si CSIRT nepředstavujte jako pět kouzelníků, kteří dokáží a můžou spravovat všechny systémy sami od sebe. To není možné, a nebylo by to ani bezpečnostně akceptovatelné. My v prvé řadě musíme koordinovat řešení a poskytovat podporu správcům jednotlivých systémů, kterých se incident týká. Pokud si s tím neumí poradit anebo potřebují nějaké další informace, tak to zkonzultujeme, poradíme a pomůžeme.
Při zmínce o kyberútoku si vybavím napadení sítí nemocnic v minulém roce. Řešili byste i takový útok, který necílí pouze na osobní počítače?
Pracujeme samozřejmě jak s osobními počítači, tak dalšími zařízeními, jako jsou servery, síťové prvky, lékařské zařízení – když je zařízení připojeno k síti, tak spadá pod nás. Při podobném útoku, jako byl vámi zmiňovaný na nemocnici, bychom museli okamžitě zasáhnout a řešit to. Často k takovému incidentu dojde, když zaměstnanec, který má přístup do interních systémů, je neopatrný, připojí si nějaké vlastní zařízení, notebook, flashdisk nebo otevře phisingový mail a klikne tam na nějaký odkaz. Tím zaviruje infrastrukturu a už vzniká problém. Něco podobného se stalo i v těch nemocnicích.
Jak tomu nejlépe předcházet?
Velice důležité je vzdělávání, to je alfou a omegou. Na to se ostatně budeme v nadcházející době soustředit. Můžete být skvěle zabezpečeni, mít úžasné technické nástroje, ale pokud máte uživatele, kteří ignorují bezpečnostní opatření anebo o nich nemají povědomí, tak veškerá obrana selhává na tom úplně nejcitlivějším prvku, uživateli. Ten, když není dostatečně vzdělaný, tak vám může do infrastruktury vpustit útočníka. Tomu chceme vzděláváním předcházet. Bezpečnost se totiž týká všech – uklízečky, vrátného, zkrátka všech lidí, kteří pracují a studují na univerzitě.