Téme kybernetickej bezpečnosti sa v podcaste venuje riaditeľ Národného centra kybernetickej bezpečnosti SK-CERT Rastislav Janota a šéfredaktorka portálu Cybersec.sk a analytička inštitútu STRATPOL Kristína Urbanová.
V rozhovore sa dočítate:
- Akú je úloha NBÚ a SK-CERT v oblasti kybernetickej bezpečnosti?
- Aké druhy útokov existujú a kto/čo býva najčastejším cieľom?
- Aká je aktuálne miera pripravenosti slovenských inštitúcií a firiem na kybernetické útoky?
- Aké sú priority akčného plánu kybernetickej bezpečnosti?
- Aké typy aktérov operujú v kybernetickom priestore?
- Ako môže kybernetický priestor pre dosahovanie svojich záujmov využívať štát?
Čomu sa v rámci kybernetickej bezpečnosti venuje NBÚ a konkrétne Národné centrum kybernetickej bezpečnosti SK-CERT, ktoré vediete vy?
Rastislav Janota: Hneď na úvod, NBÚ je ústredným orgánom štátnej správy, zodpovedným okrem iných aktivít aj za tému kybernetickej bezpečnosti v rámci Slovenskej republiky. Je to podľa tzv. kompetenčného zákona, v ktorom NBÚ túto kompetenciu má od roku 2016. V rámci tejto kompetencie okrem iného existuje zákon o kybernetickej bezpečnosti (t. j. zákon č. 69 z roku 2018). Tento zákon aj s jednou novelizáciou z leta tohto roku rieši tému kybernetická bezpečnosť.
V rámci nej je aj určenie Národného centra kybernetickej bezpečnosti ako organizačnej zložky NBÚ, ktorá sa venuje širokému spektru povinností. Špecificky ide o oblasti incident handlingu, riadenia a riešenia incidentov, vyhľadávania zraniteľností a varovania pred zraniteľnosťami a podobne. To znamená, my sme tá časť NBÚ na operation.
Aké druhy útokov sú najčastejšie? Vedeli by ste ich jednoducho definovať?
Rastislav Janota: Určite viem minimálne naznačiť. Ťažko sa to povie na sto percent. Raz do roka vydávame správu o stave kybernetickej bezpečnosti. Posledná správa bola vydaná za rok 2020. V nej ukazujeme aj graf detegovaných, nahlásených a riešených incidentov z roku 2020. Odporúčam tým, ktorých táto téma zaujíma bližšie, aby si to potom v správe našli.
V skratke, samozrejme absolútne najviac incidentov je z oblasti nežiaduceho obsahu vo všeobecnosti. Potom sú to incidenty z oblasti bot-netu, incidenty v oblasti nedostupnosti spôsobené útokmi DoS alebo DDoS, ale nielen tieto. Pre nás je incident z oblasti dostupnosti, respektíve nedostupnosti aj výpadok prevádzkovaného systému, vďaka ktorému systém nebol schopný poskytovať služby, na ktoré bol postavený a nemuselo to byť ani z dôvodu útoku.
Medzi ďalšie útoky dnes veľmi často patria útoky formou pokusu o inštaláciu malwaru, respektíve phishingové typy útokov. To znamená, útoky, ktorých cieľom je získavať informácie – či už technické alebo osobné od užívateľov, na ktorých bolo zaútočené.
Ktoré sektory sa v rámci spoločnosti stávajú najčastejšími cieľmi kybernetických útokov?
Rastislav Janota: Na toto nie je také jednoduché odpovedať. Ide to prierezovo naprieč všetkými sektormi. To je asi najlepšia odpoveď. Dá sa povedať, že incidenty prichádzajú vo vlnách a jednotlivé vlny sú cielené na niektoré vybrané sektory. Ale máme aj vlny a typy útokov, ktoré idú úplne prierezovo, na obyčajných ľudí, ľubovoľné firmy, do ktorých sa útočníkovi podarí dostať a podobne.
Nedá sa teda úplne povedať, že ktoré sektory sú najviac pod útokom. Dalo by sa možno povedať, aké typy útokov, respektíve ktoré z tých závažnejších foriem útokov obľubujú niektoré významné sektory. Typickým príkladom sú ransomwerové útoky, to znamená útoky, ktorých výsledkom môže byť ukradnutie veľkej množiny dát a zašifrovanie zostávajúcich dát na strane poskytovateľa služieb, a potom vydieranie útočníkom.
Typicky ide o vydieranie v troch kolách. „Zaplať a my ti rozšifrujeme, čo sme ti zašifrovali.“ Ale môže ísť aj o vydieranie typu „zaplať ďalšiu dávku a my nezverejníme, čo sme od teba ukradli.“ Najmä pri zdravotníctve ide o vydieranie voči zdravotníckym zariadeniam alebo voči pacientom samotným, „zaplaťte a nezverejníme vaše osobné zdravotné dáta“ a podobne.
Takže toto je veľká oblasť, a samozrejme, potom sú oblasti hlavne z témy špionáže, respektíve získavania obchodných tajomstiev voči výrobným podnikom, vývojovým centrám a podobne.
Ako by ste zhodnotili pripravenosť slovenských inštitúcií a firiem na kybernetické útoky? Nie je táto oblasť zanedbávaná?
Rastislav Janota: To je trochu navádzacia otázka. Nedá sa asi odpovedať univerzálne. Rozhodne sa situácia zlepšuje. Začnem tým, že pred pár rokmi téma kybernetická bezpečnosť rozhodne na Slovensku nerezonovala. Venovalo sa jej len pár ľudí. Len pár firiem malo natoľko rozumné vedenie, že chápali, že je to téma, ktorá je dôležitá, a že by sa jej venovať mali. Ale vo všeobecnosti platilo, že riaditelia firiem kybernetickú bezpečnosť zaradili do kategórie „to sa hrajú informatici a to sa nás netýka, my robíme predsa biznis“.
„Za posledných päť rokov, by som povedal, je to pokrok z nuly na veľmi slušné povedomie o tom, že kybernetická bezpečnosť je problém, a že sa jej treba na úrovni firiem a inštitúcií venovať.“
Dnes je situácia oveľa lepšia, v tom zmysle, že je vyššie povedomie. Kam prídem, tam téma kybernetická bezpečnosť rezonuje. To ale neznamená že sme oveľa bezpečnejší. To neznamená, že sme pripravenejší. To len znamená, že vieme, že máme problém a hľadáme spôsob, ako ho odstraňovať alebo ako ten problém znížiť. Ale pre mňa je aj toto veľký pokrok.
Za posledných päť rokov, by som povedal, je to pokrok z nuly na veľmi slušné povedomie o tom, že kybernetická bezpečnosť je problém, a že sa jej treba na úrovni firiem a inštitúcií venovať. A potom sa opätovne dostávame do témy sektorov. Máme sektory, ktoré sú pripravené lepšie, typicky banky, energetika a podobne.
Sú sektory, ktoré sú pripravené horšie, typicky zdravotníctvo, verejná správa. Máme aj sektory, ktoré sú zaspaté, alebo o ktorých je málo informácií, typicky napríklad životné prostredie. Samozrejme, je to rozdielne v jednotlivých sektoroch, ale ja vnímam zlepšenie povedomia v každom jednom z nich.
Existuje nejaký zoznam rád, ktoré treba pre zvýšenie kybernetickej bezpečnosti dodržiavať? Alebo, inak povedané, čo by mal poslucháč tohto podcastu robiť, aby sa nestal obeťou kybernetického útoku, a keď sa stane, aby boli škody čo najmenšie?
Rastislav Janota: Nie. Téma kybernetická bezpečnosť je tak širokospektrálna, že vyriešiť ju prostredníctvom niekoľkých rád sa nedá. Ja by som odporučil poslucháčom sledovať vybrané médiá z oblasti kybernetickej bezpečnosti. Sledovať napríklad našu stránku, na ktorej sú varovania, odporúčania a rady v konkrétnych situáciách. Neustále pridávame nové články, píšeme nové rady o jednotlivých situáciách, v ktorých sa poslucháči môžu vyskytnúť.
Nie je na to ale univerzálna odpoveď. Naozaj podľa situácie. V každom prípade, základná rada je nepanikáriť. Keď už sa stanete obeťou kybernetického útoku, tak úplne prvé kolo je vypnúť počítač z internetu, nie vypnúť počítač ako taký. Najlepšie vytiahnutím kábla alebo vypnutím WIFI, a potom postupne začať hľadať, čo sa vlastne stalo a začať hľadať niekoho, kto vám pomôže.
Ak sú medzi poslucháčmi zástupcovia veľkých firiem, respektíve vôbec firiem, tak pre nich mám kľúčové odporúčanie – dodržiavať ustanovenia zákona o kybernetickej bezpečnosti, kde je okrem iného prvým krokom nahlásiť incident k nám, na Národne centrum kybernetickej bezpečnosti. Dôvodom, napočudovanie, nie je ani tak štatistika alebo aby sa štát tešil, že sa niečo stane. My sme tí, ktorí vieme poslucháčom z radov veľkých firiem alebo firiem, ktoré sú regulované zákonom o kybernetickej bezpečnosti najrýchlejšie pomôcť. Takže to je moje hlavné odporúčanie.
NBÚ prednedávnom sfinalizoval akčný plán kybernetickej bezpečnosti na najbližšie roky. Aké úlohy, priority a zákutia v ňom vidíte?
Rastislav Janota: To je veľmi dobrá otázka. Kto čítal stratégiu, respektíve následne aj akčný plán, vie, že ako národná stratégia tak aj akčný plán sú rozdelené do siedmich špecifických kapitol a jednej “prierezovej” kapitoly. Dovolím si z nich vypichnúť to dôležité.
Kapitola 1 je Dôveryhodný štát pripravený na hrozby. To je množina úloh, ktoré idú prierezovo štátom, ktorý má pripravovať podmienky aj súkromným firmám aj štátnym organizáciám a ľuďom vo všeobecnosti na to, aby vedeli riešiť kybernetické incidenty. To sú napríklad úlohy v oblasti legislatívy a podobne.
„Máme veľké rezervy. My dnes na Slovensku reálne ani len nevieme odpovedať na otázku, koľko činov máme za rok. Proste neevidujú sa ani len štatistiky v tejto oblasti.“
Následne, kapitola 2 je Efektívne odhaľovanie a objasňovanie počítačovej kriminality. Toto je veľmi citlivá téma. Počítačová kriminalita tu je, a aby som bol presný, ja dnes rozpoznám dva typy toho, čo by sa dalo nazvať počítačovou kriminalitou. Jedno sú naozaj trestné činy, ktoré sú priamo napojené na počítače typu prienik do informačného systému, zneužitie dát z informačného systému a podobne. Potom máme oveľa väčšiu oblasť, nazvem to „tradičnej kriminality“, pri ktorej boli v nejakej fáze použité nástroje z oblasti informatiky, počítačov.
Poviem príklad. Ak ide nejaká skupina vykradnúť byt a komunikuje prostredníctvom Whatsappu alebo Telegramu, už tam použili tie počítačové nástroje a vyšetrovateľ by mal byť schopný sa o takéto typy informácií potom oprieť. A tu máme veľké rezervy. My dnes na Slovensku reálne ani len nevieme odpovedať na otázku, koľko činov máme za rok. Proste neevidujú sa ani len štatistiky v tejto oblasti.
Dnes keď naše skúsenosti sú také, že obete a poškodení pri počítačovom kybernetickom incidente sa pokúšajú ohlásiť to na políciu, tak polícia namiesto toho, aby to ohlásenie prijala a začala konať, tak sa snaží presvedčiť toho ohlasujúceho, aby to ohlásenie nedával alebo to ohlásenie neprijme. Nehovorím samozrejme všeobecne ale máme takých príkladov veľa. Čiže toto je pre mňa veľmi citlivá téma.
„Pre mňa je kapitola vzdelávania absolútne najrizikovejšia z celého akčného plánu. V nej je najviac problémov.“
Kapitola 3 je Odolný súkromný sektor. Tam je roboty veľa, ale nenazval by som ju kritickou, v tom zmysle, že súkromný sektor vo väčšine prípadov vie, čo treba robiť a snaží sa o to, aby išiel dopredu. Kybernetická bezpečnosť ako základná súčasť verejnej správy je veľká téma, ale je to téma, ktorá sa týka skôr Ministerstva informatizácie (MIRRI). Oni budú určite vedieť povedať, akým spôsobom plánujú plniť väčšinu úloh z tejto kapitoly.
A ešte vypichnem jednu špeciálnu oblasť. To je pre mňa oblasť, ktorá by mala byť prioritná a bojím sa jej asi najviac z celého akčného plánu. To je kapitola Vzdelaní odborníci a vzdelaná verejnosť. Dnes je to na Slovensku prakticky neexistujúca téma. Vzdelávanie na úrovni základných, stredných škôl reálne suplujú mimovládky. Tie firmy, ktoré to robia ako nadšeneckú aktivitu, sa snažia pomáhať vybraným školám.
Školy sa tomu venujú len vtedy, pokiaľ majú osvietené vedenie, je tam riaditeľ školy, ktorý rozumie tomu, že kybernetická bezpečnosť a informačná bezpečnosť sú témy, ktoré by mali žiaci a študenti od začiatku od svojich najmladších rokov mať ako predmet vzdelávania. Učebnice sa píšu na úrovni aktivistických činností a Ministerstvo školstva v tomto bode reálne nerobí vôbec nič.
Na vysokých školách sa tá situácia začína zobúdzať, ale je to beh na dlhé trate. Vzdelávanie zamestnancov je zatiaľ prakticky neexistujúce, nazvem to, výnimočné. Takže, pre mňa je kapitola vzdelávania absolútne najrizikovejšia z celého akčného plánu. V nej je najviac problémov, najmenej dúfam vo výsledok, aj keď nádej zomiera posledná.
Druhým hosťom bude šéfredaktorka portálu Cybersec.sk a analytička inštitútu STRATPOL Kristína Urbanová. Aké typy aktérov, ktoré v rámci kybernetického priestoru operujú, poznáme, a v čom sa líši ich fungovanie a záujmy?
Kristína Urbanová: Pri tejto otázke si myslím, že je veľmi nápomocné si to dať na paralelu s klasickým fyzickým svetom. Títo aktéri sa klasicky líšia na základe zdrojov, a taktiež na základe cieľov. Keď hovorím o zdrojoch, tak nemyslím iba tie technické a materiálne, ale aj tie intelektuálne.
Asi všetkým je nám známa skupina kyberkriminálnikov, ktorí sú vo všeobecnosti motivovaní finančným ziskom. Myslím, že každý z nás sa už s niekým takýmto stretol, alebo pozná niekoho, kto sa s niekým takým stretol. Existujú pokročilejší, aj menej pokročilí a sofistikovaní. Napríklad tí, ktorí využívajú sofistikovanejšie nástroje, si ich často sami vyvíjajú, a taktiež predávajú na čiernom trhu. Ale majú výlučne finančne zamerané aktivity.
Potom tu máme napríklad skupinu hacktivistov, ktorí sú motivovaní nejakým etickým, politickým alebo náboženským presvedčením. Typickým príkladom je skupina Anonymous, ktorá vlastne túto kategóriu hacktivistov v kyberpriestore preslávila.
„Je tu koncept kyberterorizmu, zjednodušene ide o teroristov, ktorí chcú svoje fanatické ciele dosahovať prostredníctvom rozosievania strachu a dostali prístup k internetu a k počítaču.“
Máme tu tiež štátom sponzorované skupiny, ktoré netvoria takú veľkú skupinu oproti tým ostatným. Tých, ktorí sú priamo v službách štátu, zvykneme označovať ako APT skupiny. Táto skratka znamená pokročilú pretrvávajúcu hrozbu. Sú potom číslovaní, pričom väčšina z nich je z Číny, ale máme tu tiež ruské skupiny, iránske, indické, severokórejské, a tak ďalej.
Medzi týmito štátom sponzorovanými skupinami sú často aj najatí kriminálnici, takže vidíme prelievanie z kyber-kriminálneho sveta do toho štátom sponzorovaného. Táto skupina má najbohatšie zdroje a najväčšiu technickú sofistikovanosť a jej hlavným cieľom je presadzovať záujmy vlády, ktorá ich za to platí.
Taktiež je tu koncept kyberterorizmu, ktorý je v akademickej sfére stále kontroverzný, ale zjednodušene ide o teroristov, ktorí chcú svoje fanatické ciele dosahovať prostredníctvom rozosievania strachu a dostali prístup k internetu a k počítaču. Takže to je v skratke základný prehľad aktérov.
Povedali sme si, že kyberpriestor k dosahovaniu svojich záujmov využívajú aj štáty. Ako napríklad?
Kristína Urbanová: Kyberpriestor už zo svojej podstaty dovoľuje dosahovať veľmi významné a kľúčové ciele za minimálnych nákladov, či už finančných, materiálnych, alebo aj tých intelektuálnych. Keď to poviem zjednodušene, tak na vyradenie kritickej funkcie nejakého štátu potrebujete iba šikovného hackera a laptop. Takže, toto je to, čo tie štáty vlastne využívajú.
Keď dáme vtipy bokom, tak sa bavíme o potenciálne závažných útokoch, ktoré by boli vo fyzickom svete neraz interpretované aj na úrovni ozbrojeného útoku. Napríklad ide o cielenie na rôzne sektory kritickej infraštruktúry. Spomeniem nemocnice, ktoré majú naozaj problém so zastaralými systémami, alebo pokusy o sabotáž energetických zásob, či už ide o vodu alebo elektrinu atď.
„Prevažná časť kyberútokov stále prebieha pod prahom vojenského aktu a vo všeobecnosti akejkoľvek koordinovanej reakcie štátu.“
Takže, keď sa bavíme v tej prizme vojenského sveta, tak kyberpriestor je naozaj chrbticovou doménou a do budúcna bude zohrávať kľúčovú podpornú úlohu či už v boji na zemi, vo vode alebo vo vzduchu.
Ale prevažná časť kyberútokov stále prebieha pod prahom tohto vojenského aktu a vo všeobecnosti akejkoľvek koordinovanej reakcie štátu. Čo je dôležité pre ten náš civilný svet, tak nepriateľské štáty dnes svoje záujmy najefektívnejšie dosahujú destabilizáciou spoločnosti, a v tomto opäť kyberpriestor zohráva výraznú podpornú úlohu.
Kyberútok dokáže spôsobiť obrovský spoločenský chaos. Spomeňme si len, čo sa stalo po ransomwerovom odstavení ropovodu Colonial pipeline v Amerike. To je naozaj príklad toho, ako môže byť kyberútok využitý na destabilizáciu spoločnosti a dosahovanie vlastných štátnych cieľov.
A napokon, máme tu aj kybernetickú špionáž, čo je teda druhé najstaršie remeslo, ale za pomoci nových nástrojov. Treba sa vždy pozerať na strategické ciele toho-ktorého štátu. Či mu ide o získanie obranných alebo obchodných tajomstiev. To závisí od toho, či sa ten-ktorý štát zaujíma viac o obranu alebo o ekonomickú superioritu.
Môžeme tu vidieť zverejňovanie kompromitujúceho materiálu, napríklad počas volieb, na politických kandidátov, ale taktiež pokusy o vytvorenie perzistencie pre budúci konflikt. Takže, opäť raz pripomínam, treba to vidieť paralelne s fyzickým svetom a analyzovať celý kontext a okolnosti využitia kybernetických nástrojov.
Vieme si poprípade spomenúť aj nejaké konkrétne prípady?
Kristína Urbanová: Určite vieme. Myslím si, že fajnšmekrom ako prvý napadne Stuxnet, čo bol prvý červ proti priemyselným systémom, ktorý napadol závod na obohacovanie uránu v Iráne, konkrétne v Natanze. Tento červ údajne vyradil z prevádzky centrifúgy v danom závode. Mala za ním stáť izraelská vojenská jednotka. Takže, toto je krásny príklad toho, ako sa vojenský a civilný svet prelínajú a ako sa kyberpriestor dá využiť na štátne účely.
Pre kontext NATO bol dôležitý rok 2007, kedy v Estónsku prebehla rozsiahla kampaň cielených kybernetických útokov, ktoré sa dotkli webstránok estónskeho parlamentu, ministerstiev, bánk, médií a podobných inštitúcií. Prakticky išlo o vyradenie týchto webov z prevádzky, ale taktiež o úpravu vzhľadu a informácií uverejnených na týchto stránkach. Taktiež išlo o koordinované spamovanie prostredníctvom siete automatizovaných botov v komentároch.
„Súboj o vakcínu v roku 2020 ukázal, že kyberšpionáž sa dá využívať minimálne pre získanie globálnej prestíže.“
Celý tento incident vlastne súvisel s estónskou diplomatickou roztržkou, ktorú Estónsko malo v tom čase s Ruskom. Bolo to v dôsledku rozhodnutia premiestniť sochu bronzového vojaka z Tallinu. Prakticky, estónska vláda hneď od počiatku vinila Kremeľ. Potom bola vo vyjadreniach opatrnejšia a prakticky ani NATO tento útok Rusku nikdy nepripísalo oficiálne. Ide ale o krásny príklad, ako sa tieto kybernetické útoky dajú využiť na zmätenie spoločnosti, a taktiež podkopanie dôvery v inštitúcie.
Pravdepodobne teda ide o spôsob, akým sa kyberútoky budú naďalej využívať na presadzovanie štátnych cieľov. Čo sa týka kyberšpionáže, tak už len súboj o vakcínu v roku 2020 ukázal, že kyberšpionáž sa dá využívať minimálne pre získanie globálnej prestíže. Aj nedávno vyšiel článok o tom, ako sa ruskí hackeri pokúšali o práve kyberšpionáž, čo sa týka receptu na vakcínu. Čiže tam sme všetci boli svedkami toho, ako tieto nástroje fungujú.
Hovorí šéfredaktorka portálu Cybersec.sk a analytička inštitútu STRATPOL, Kristína Urbanová.
Podcast nájdete v pôvodnom článku.
Všetky podcasty zo série si môžete vypočuť aj cez Apple Podcasts, Spotify, Google Podcast a YouTube.
CHCETE PODPORIŤ NAŠU PRÁCU? POMÔŽTE NÁM CEZ PATREON. MÔŽETE TAK UROBIŤ UŽ ZA €3
https://infosecurity.sk/podpora/