Zahraniční situace

11. ledna 2012

O CERT/CSIRT týmech bylo ohledně jejich účelu, roli, zakládání, provozování napsáno již tolik materiálu, že nemá cenu přidávat další.

O CERT/CSIRT týmech bylo ohledně jejich účelu, roli, zakládání, provozování napsáno již tolik materiálu, že nemá cenu přidávat další. Tento článek berte spíše jako takový pokus o zhodnocení stavu této světové bezpečnostní infrastruktury ...

První tým typu CERT vznik v 80. letech 20. století na Carnegie Mellon Universitě ve Spojených státech amerických jako tzv. ad-hoc tým, který dostal za úkol vypořádat se z jedním z prvních velkých bezpečnostních problémů, které pustošily tehdejší Internet – tzv. Morissovým červem. Tím skončila éra „bezpečného Internetu“ a začala éra výzkumu v oblasti zabezpečení sítí a služeb a budování efektivní infrastruktury, která by byla schopna rychle a efektivně bezpečnostním hrozbám čelit – infrastruktura bezpečnostních týmů typu CERT/CSIRT.

Tyto týmy vznikaly a vznikají dobrovolně a v jejich zájmu je navzájem efektivně komunikovat, spolupracovat a vyměňovat si důležité informace a poznatky. Sdružují se proto v mezinárodních organizacích. V současnosti nejznámější a nejaktivnější organizace, které se podporou zkvalitňování bezpečnostní infrastrukturu zabývají, jsou následující:

  • TERENA – The Trans-European Research and Education Networking Association, provozuje úřad Trusted Introducer, který napomáhá vzniku CERT/CSIRT týmů a provádí jejich akreditace a certifikace
  • FIRST – Forum for Incident Response and Security Teams
  • ENISA – European Network and Information Security Agency

Všechny tři výše zmíněné organizace představují platformu, která umožňuje pravidelná setkávání, výměnu zkušeností a definování základních pravidel spolupráce a komunikace mezi světovými CERT/CSIRT týmy.

Světovou infrastrukturu v současné době představuje několik set CERT/CSIRT týmů, z toho 252 týmů je členy organizace FIRST nebo jsou akreditovány úřadem Trusted Introducer. Zbytek jsou týmy v prostředí soukromého komerčního sektoru, které roli CERT/CSIRT týmu plní, ale nejsou oficiálně konstituovány.

Není náhoda, že první CERT tým vznikl v akademickém prostředí. Akademické prostředí vždy bylo pro vznik podobných aktivit velmi vstřícné, nehledě na to, že se touto cestou daly zúročit výsledky vědecko-výzkumné práce na poli bezpečností sítí. Velký obrat nastal teprve v několika posledních letech, kdy začaly vznikat týmy působící v komerčním soukromém sektoru u ISP, bank, v průmyslových odvětvích a pod. a rozvoj bezpečnostní infrastruktury přestal být čistě akademickou doménou. To rozhodně přispělo k mnohostrannému obohacení bezpečnostní infrastruktury. Více týmů z různých prostředí rovná se více zkušeností, různorodých zkušeností, větší hlad a tlak na spolupráci, výměnu informací a know-how, formalizaci některých postupů, pravidel a pod. Více týmů v jedné zemi navíc představuje rozvoj infrastruktury na národní úrovni. Některé týmy, které v zemi vznikaly jako první, se rozhodly vzít pod svá křídla všechny uživatele dané země. Pro takové se časem vžilo označení national (národní). A to byla vlastně první myšlenka pro vznik tzv. vrcholových týmů označovaných dnes jako národní a vládní, které dnes hrají zastřešující roli.

Postupem let se začal zvyšovat tlak na oficiální ustavení vládních a národních týmů coby zastřešujících, koordinujících entit vytvářejících prostředí pro spolupráci a pomáhající se vznikem lokálních týmů. Nakonec bylo rozhodnutím Evropské komise uloženo všem státům EU ustanovit do konce roku vládní nebo národní CERT/CSIRT tým. A napříč Evropou začala horečná činnost ... Někde do této role nominovali už existující dobře fungující týmy, jinde jej zřídili, někde začali se změnou legislativy a vznik vrcholového týmu upravili touto cestou. Nyní na počátku roku 2012 lze konstatovat, že vrcholový tým mají již v podstatě všechny země EU. Otázkou samozřejmě je, jestli všechny myšlenku a vlastnosti vrcholového týmu naplňují ...

Jak je na tom Česká republika?

Česká republika patří mezi země, ve kterých operuje vrcholový tým – Národní CSIRT ČR (CSIRT.CZ). Kromě národního týmu operují v zemi další tři oficiálně konstituované bezpečnostní týmy CESNET-CERTS, CSIRT-MU a CZ.NIC-CSIRT. Další funkční tým typu CSIRT, i když není oficiálně napojen na světovou infrastrukturu, je provozován Ministerstvem obrany ČR – jedná se o vojenský CSIRT tým určený pro spolupráci s obdobnými týmy v rámci členských zemí NATO. Týmy CESNET-CERTS a CSIRT-MU operují v akademické prostředí sítě CESNET2, tým CZ.NIC-CSIRT je týmem pro dohled nad sítí sdružení CZ.NIC a národní doménou .cz. V ČR zatím neoperuje ani jeden bezpečnostní tým v soukromém komerčním sektoru (např. v prostředí ISP), i když i zde se možná blýská na lepší časy. Všechny oficiálně konstituované týmy jsou akreditovány u úřadu Trusted Introducer a CSIRT.CZ se aktuálně chystá vstoupit do procesu získání členství ve FIRST. Všechny týmy spolu úzce spolupracují.

Pojďme se teď namátkou podívat, jak jsou na tom v jiných evropských zemích. A začneme u sousedů ...

Polsko

V Polsku operují stejně jako v ČR celkem čtyři oficiálně konstituované týmy typu CSIRT – CERT Polska, CERT.GOV.PL, PIONIER-CERT a TP CERT.

Nejdéle etablovaným týmem je CERT Polska, který vznikl již v roce 1996, což jej řadí k nejstarším evropským týmům. Je provozován organizací NASK, který zároveň provozuje výzkumnou a akademickou síť (Research and Academic Network in Poland. CERT Polska popisuje svou constituency slovy „All Internet users in Poland“ („Všichni uživatelé Internetu v Polsku“). Ačkoliv nikde na stránkách CERT Polska nenajdete informaci, že by byl národním CERTem, tak jí defacto je a komunita jej takto vnímá. Je to také jediný tým, který je akreditovaný úřadem Trusted Introducer a je členem organizace FIRST.

Tým CERT.GOV.PL vznikl v roce 2008 za pomoci CERT Polska a jak je patrné z názvu, jedná se o tým vládní. Svoji constituency popisuje jako „all hosts in the .gov.pl domain, as well as other hosts belonging to the Polish national critical IT infrastructure“.

Všechny oficiální týmy operující v Polsku spolu úzce spolupracují, forma této spolupráce je podobná Pracovní skupině CSIRT.CZ.

Rakousko

V Rakousku operují celkem tři oficiálně konstituované týmy typu CSIRT – ACOnet-CERT, CERT.at a R-IT CERT. Týmy ACOnet-CERT a CERT.at jsou akreditovány úřadem Trusted Introducer oba jsou členy organizace FIRST.

Nejdéle fungujícím týmem je tým ACOnet-CERT, který byl založen v roce 2003. Je provozován Vienna University a do jeho constituency patří všichni uživatelé sítě ACOnet (Austrian Academic Computer Network), Rakouské akademické počítačové sítě.

Tým CERT.at byl založen v roce 2008 a ve stejném roce získal od úřadu TI status „accredited“ a stal se také členem FIRST. CERT.at je národním týmem a vznikl a je provozován NIC.AT, rakouským doménovým registrátorem. Do jeho constituency spadají všechny adresové (IP) rozsahy přidělené do Rakouska, tzn. dohlíží také na sítě, které má obvykle v poli působnosti vládní tým – sítě kritické infrastruktury a státní správy. CERT.at plní standardní roli PoC (Point of Contact), je místem pro hlášení bezpečnostních incidentů a koordinačním prvkem pro organizaci jednotné obrany. Dále má za cíl informovat veřejnost o bezpečnostních rizicích a hrozbách.

Všechny týmy, a to jak oficiálně konstituované, tak neformální, působící v Rakousku spolu stejně jako v případě Polska úzce spolupracují.

Slovensko

Slovensko bylo donedávna velkou neznámou a dlouhé roky vzdorovalo občas i zahraničním snahám o zřízení oficiální CERT/CSIRT týmu. Nakonec došlo v roce 2009 ustanovení rovnou vrcholového týmu – CSIRT.SK, který se v následujícím roce akreditoval u úřadu TI. CSIRT.SK byl zřízen usnesením vlády SR č. 479/2009 z 1. června 2009 v souladu s Národní strategií pro informační bezpečnost ve Slovenské republice (usnesení vlády SR č. 570/2008). Je provozovaný útvarem DataCentra a spadá do gesce Ministerstva financí SR.

S constituency tohoto týmu je to poněkud záhadné, protože v seznamu týmů spravovaném úřadem TI je constituency definována jako National (národní), ale sami členové se vnímají jako tým vládní.

Pro mě je CSIRT.SK klasickou ukázkou vládního týmu, který pro uživatelskou základnu plní také roli národního týmu, protože v zemi žádný jiný tým tohoto typu neexistuje. Možná by se ale také dalo říci, že je klasickou ukázkou národního týmu, který zároveň plní také roli vládního týmu :-).

Závěr

Jak je vidět, přístupy jsou v různých zemích různé a šanci na úspěšné fungování má mnoho modelů. Vždy zřejmě záleží na vyspělosti prostředí dané země a schopnosti domluvit se a spolupracovat napříč jednotlivými resorty. Někde to jde na principu historického vývoje, někde na principu konsensu, někde došlo k legislativnímu ukotvení práv, zodpovědnosti a povinností, někde se prosadilo silové řešení. Doufám, že Česká republika bude pokračovat cestou konsensu, na kterém se budou podílet všechny zainteresované subjekty.