CELE SIŁ ZBROJNYCH - ZDOLNO REAGOWANIA NA INCYDENTY KOMPUTEROWE Janusz SIWEK Centrum Analiz Kryptograficznych i Bezpieczestwa Teleinformacyjnego WSTP Wraz z rozwojem ilociowym i technologicznym systemów teleinformatycznych przeznaczonych do przechowywania, przetwarzania oraz przesyłania informacji istotnych dla codziennego funkcjonowania jednostek wojskowych i instytucji cywilnych, wzrasta zainteresowanie tymi systemami ze strony potencjalnych przeciwników jak równie zwykłych intruzów. Zabezpieczenie zasobów informacyjnych zgromadzonych w systemach wymaga nie tylko implementacji i zarzdzania rodkami bezpieczestwa, powinno równie zapewnia moliwo skutecznego i szybkiego reagowania na incydenty zwizane z bezpieczestwem komputerowym, takie jak działalno nieautoryzowanych uytkowników, ataki kodów złoliwych i wirusów komputerowych. Potencjalny przeciwnik moe zada powane straty bez uycia tradycyjnych sposobów walki oraz naraania na straty własnych sił i rodków. Oddziałujc tylko na systemy dowodzenia i zarzdzania, przeciwnik moe obezwładni a nawet zniszczy istotne elementy obronnej infrastruktury wojskowej i cywilnej. Ponadto atakujcy moe ukry swoj tosamo, a zaatakowana infrastruktura nie bdzie w stanie jednoznacznie wskaza agresora. Walka informacyjna i cyberterroryzm staj si realnym zagroeniem dla bezpieczestwa narodowego. W poszukiwaniu sposobów ochrony, niezbdnym jest gromadzenie wiedzy o stanie otoczenia i rodzcych si przesłankach zagroe, które z natury rzeczy bd utrzymywane przez zainteresowanego w jak najwikszej tajemnicy. 1
Zapewnienie bezpieczestwa pastwa - w aspekcie zewntrznym i wewntrznym - jest podstawowym obowizkiem wszystkich szczebli zarzdzania i kierowania pastwem. Potrzeba taka wynika zarówno z uwarunkowa wewntrznych, jak równie z ewolucji otoczenia zewntrznego. W obu tych obszarach powstaj bowiem wyzwania i zagroenia dla społeczestwa i pastwa. Zbieranie informacji o zagroeniach prowadz róne organizacje i instytucje posiadajce odpowiednie siły i rodki do ich wykrywania, likwidacji i zapobiegania. Brak systemu wczesnego wykrywania, monitoringu oraz zapobiegania powstawaniu zagroe dla bezpieczestwa moe doprowadzi do szkodliwych zmian w rodowisku, a w przypadku rozwoju zagroenia na wiksz skal, do powstania sytuacji kryzysowych. 1. TERMINOLOGIA W dokumentach NATO [1] [2], mona znale m.in. nastpujce definicje dotyczce zdarze i incydentów komputerowych. Zdarzenie (ang. event) - to kade widoczne wydarzenie w systemach teleinformatycznych. Przykłady zdarze obejmuj m.in. zakłócenia w pracy systemu oraz zalanie sieci pakietami danych. Zdarzenia przycigaj coraz wiksz uwag głównie z powodu rozpowszechnienia zastosowa sieci komputerowych (Internet i Intranet), które naraone s na nieautoryzowany dostp oraz na ogromn ilo kodów złoliwych. Wystpienie zdarzenia czasem moe wskazywa na pojawienie si incydentu i wymaga właciwej reakcji. Incydent (ang. incident) - pojcie to odnosi si do niekorzystnych zdarze w systemach teleinformatycznych lub do zagroenia wystpienia takiego zdarzenia. Przykłady incydentów obejmuj m.in. utrat poufnoci danych, zakłócenie (ang. disruption) danych lub integralnoci systemu, lub zakłócenie / odmow dostpnoci, np. nieautoryzowane uycie konta innego uytkownika, nieautoryzowane uycie prawa dostpu (ang. system privileges) oraz wprowadzanie złoliwych kodów, które niszcz informacje. Inne niekorzystne zdarzenia obejmuj: powodzie, poary, zakłócenia w zasilaniu elektrycznym, nadmiern temperatur powodujc uszkodzenia systemu. Pojcie incydent obejmuje nastpujce przykłady kategorii niekorzystnych 2
zdarze: ataki kodów złoliwych (wirusy, konie trojaskie, robaki, skrypty uywane przez crakerów / hackerów), nieautoryzowany dostp do zasobów, nieautoryzowane wykorzystanie usług, odmowa / przerwanie wykonania usługi, naduycia, szpiegostwo, itd. 2. TYPY INCYDENTÓW zdarze: Pojcie incydent obejmuje nastpujce przykłady kategorii niekorzystnych Ataki kodów złoliwych obejmuj ataki przez programy takie jak: wirusy, konie trojaskie, robaki, skrypty uywane przez crakerów / hackerów w celu uzyskania praw dostpu, przechwytywanie haseł i/lub modyfikacja logu audytów w celu ukrycia nieautoryzowanej działalnoci. Kod złoliwy jest szczególnie dokuczliwy, poniewa zwykle pisany jest tak, by uniemoliwi jego identyfikacj. Jest wic czsto trudny do wykrycia. Ponadto, samo-replikujce si złoliwe kody takie jak: wirusy i robaki - mog szybko powiela si, stwarzajc tym samym dodatkowe problemy. Nieautoryzowany dostp / wtargnicie do systemu incydenty obejmujce niewłaciwe zalogowanie si na konto uytkownika (np. kiedy hacker loguje si na lokalne konto uytkownika), poprzez przypadki nieautoryzowanego dostpu do plików i katalogów przechowywanych w systemie do uzyskania pełnych praw dostpu do zasobów. Nieautoryzowane wykorzystanie usług posiadanie dostpu do konta innego uytkownika nie jest bezwzgldnie konieczne do przeprowadzenia ataku na system lub sie. Intruz moe uzyska dostp do informacji wykorzystujc do tego celu program typu ko trojaski. Przykłady obejmuj: wykorzystanie sieciowego systemu plików (ang. NFS - Network File System) celem dołczenia / zamontowania systemu plików zdalnego serwera, listowania praw dostpu do plików VMS (ang. VMS file access listener) w celu umoliwienia transferu plików bez autoryzacji, wewntrz-domenowych mechanizmów w systemie operacyjnym Windows NT, pozwalajcych na uzyskanie dostpu do plików i katalogów w domenie innej organizacji. 3
Odmowa / przerwanie wykonania usługi uytkownicy korzystaj z usług dostarczanych przez systemy teleinformatyczne. Kody penetrujce i złoliwe mog zakłóci realizowane usługi na wiele sposobów, włczajc w to usunicie kluczowych programów, "spam poczty" (zalewanie konta uytkownika wiadomociami poczty elektronicznej) i zmian funkcjonowania systemu poprzez zainstalowanie konia trojaskiego. Naduycie wystpuje w przypadku gdy uytkownik korzysta z systemu dla celów innych ni słubowe, np. kiedy legalny uytkownik wykorzystuje system do przechowywania informacji prywatnych. Szpiegostwo kradzie informacji celem wykorzystania ich przeciw interesom pastwa / organizacji. Złoliwe dowcipy rozprzestrzenianie fałszywych informacji o incydentach lub słabociach zasobów. Np. na pocztku 1995 roku kilku uytkowników z dostpem do Internetu, rozprowadziło informacj o wirusie nazwanym Good Times Virus, mimo e taki nigdy nie istniał. 3. PRZYKŁADY ZAGROE Przysłowiowym ródłem wszelkiego typu zagroe incydentami jest sie Internet. Zgodnie z informacj podawan przez firm SecurityFocus [4], prowadzc list zagroe "Bugtraq" - najczciej wystpujce zagroenia w Internecie to: - Słabe punkty implementacji SNMP, polegajcej na monitorowaniu stanu rónych urzdze i modułów oprogramowania. - Przeci enie bufora ładowania plików jzyka skryptowego PHP, uywanego powszechnie do tworzenia serwisów WWW. Atakowany system moe zosta zmuszony do wykonania dowolnego, zadanego kodu wykonywalnego. 4
- Zagroenia dla OpenSSH. Zagroenie to umoliwia atakujcemu (po dokonaniu prawidłowego uwierzytelnienia) wykonanie dowolnego programu na atakowanym systemie dla zestawu modułów bdcych implementacj protokołu SSH. - Zagroenia dla zdalnego wykonywania komend w bazach. Zagroenia te umoliwiaj ataki typu DoS, przechwycenie praw innych uytkowników i administratora oraz nieuprawniony dostp do zawartoci baz danych. - Zagroenia dla maszyny wirtualnej Java. Niektóre implementacje Javy posiadaj błdy umoliwiajce ich aplikacjom przeprowadzenie ataków polegajcych na uruchomieniu dowolnego kodu wykonywalnego na atakowanym komputerze. - Zagroenie złamania zasady "polityki tego samego pochodzenia" dla VBScript Microsoftu. Atak ten umoliwia nie tylko nieuprawnione przechwytywanie danych, ale równie identyfikatorów i haseł uytkowników oraz umoliwia dostp do lokalnych plików w atakowanym systemie klienckim. - Zagroenie dla biblioteki kompresji Zlib. Biblioteka kompresji Zlib zagroona jest zaburzeniami w pracy stosu. Poprzez odpowiedni manipulacj danymi w stosie, atakujcy moe umieci w pamici dane wartoci, co w efekcie umoliwia wykonanie w pamici dowolnego kodu. Wiele powszechnie stosowanych programów korzysta z biblioteki Zlib: SSH, OpenSSH, OpenPKG, Rsync i inne. - Zagroenie przepełnieniem bufora w produktach RealSecure i BlacklCE firmy Internet Security Systems. Bufor pamici moe zosta przepełniony gdy moduły te - a konkretnie pod-moduł filtrowania pakietów - otrzymaj niewielk liczb da echo ICMP o duym rozmiarze. Zagroenie to potencjalnie umoliwia uruchomienie w pamici atakowanej maszyny dowolnego kodu. Dzisiaj ju nie neguje si potrzeby ochrony informacji w strukturach teleinformatycznych. O wysiłków przesuwa si jednak w kierunku odpowiedzi na pytanie, jak uczyni to rodowisko, rodowiskiem bezpiecznym. Fakt wiadomoci potrzeb wzrasta proporcjonalnie do roli, jak odgrywaj struktury teleinformatyczne w funkcjonowaniu danej organizacji, liczby czy rangi informacji chronionych. Pomimo licznych ogranicze w tym i finansowych, wzrasta nasycenie technologi zwizan z bezpieczestwem teleinformatycznym, jak równie duy nacisk kładzie si na właciw struktur organizacyjn. Cało przedsiwzicia organizacyjno-technologicznego, 5
w które wkomponowuje si okrelone procedury, ma zawiadczy w trakcie eksploatacji rodowiska teleinformatycznego, e załoony i oczekiwany poziom bezpieczestwa bdzie utrzymany. Oznacza to, e konstrukcje takie powinny by zdolne do monitorowania zmian zachodzcych w rodowisku i odpowiednio do zmian reagowa, bowiem ryzyko wpisane jest w dziedzin przetwarzania elektronicznego i nigdy nie mona powiedzie, e problem incydentu nie dotyczy naszej infrastruktury. wiadczy o tym rosnca skala incydentów, dla których wystpuje niekorzystna relacja pomidzy profesjonalnoci narzdzi umoliwiajcych atak a wymagan wiedz atakujcego, co zostało zilustrowane na poniszym rysunku. stealth / advanced scanning techniques Narzdzia Wysoka Wiedza intruza packet spoofing sniffers sweepers denial of service DDOS attacks www attacks automated probes/scans GUI Złoono ataku back doors disabling audits network mgmt. diagnostics hijacking burglaries sessions exploiting known vulnerabilities password cracking Niska self-replicating code password guessing Atakujcy 1980 1985 1990 1995 2000 ródło: Carnegie Mellon University:2001 Rys. 1 Złoono ataków, a wiedza techniczna atakujcych Projektantom protokołów rodziny TCP/IP obce były moliwe zagroenia z tytułu niedoskonałoci ich produktu. Któ bowiem w tamtym okresie czasu przypuszczał, e budowana sie z myl o wskim gronie odbiorców stanie si w cigu 30 lat, z jednej strony kolejnym cudem wiata a z drugiej najbardziej zagroonym składnikiem naszego ycia. Na błdy tamtych czasów nakładaj si równie i błdy współczesnych rozwiza sieciowych, powłok systemowych oraz technologii wspomagajcych, nie wspominajc o cigle niedoskonałym czynniku ludzkim. Cało w do specyficzny sposób tworzy rodowisko, które z jednej strony gwarantuje potencjalnemu uytkow- 6
nikowi okrelony poziom operacyjnego wykorzystania, z drugiej wnosi swoist gwarancj poczucia, e samotno w sieci nie jest moliwa i zawsze kto, skd, nie wiadomo jak i po co, moe wej i przywłaszczy cudz własno. Rzeczywisto incydentów w sieci jest tak rzeczywista jak ich skutki. Przykładem tego s dane zestawione poniej [Tabela 1], wykonane na podstawie corocznego raportu CSI/FBI 1 [8] [7]. Z raportu tego wynika, e wikszo ankietowanych przyznaje si do znacznych strat finansowych, spowodowanych atakami, gdzie łczne straty wyniosły ok. 455 mln USD. Respondenci twierdz, e ródłem najwikszych strat jest utrata wanych informacji, a nie przestpstwa zwizane z włamaniami do kont w bankach internetowych czy z nie autoryzowanym wykorzystaniem kart kredytowych (te stanowiły zaledwie 116 mln USD). Dziedzina Liczba Zgłaszana warto rednia warto Suma wartoci respondentów strat strat strat rocznych oceniajcych Min. Max. [mln$] [mln $] straty [tys $] [mln $] Kradzie wanych informacji 26 1 50 6,571 170,827 Sabota danych w sieci 28 1 10 0,541 15,134 Podsłuchiwanie rodków 5 5 5 1,205 6,015 łcznoci Penetracja systemu przez 59 1 5 0,226 13,055 obcych Naduywanie dostpu do 89 1 10 0,536 50,099 sieci przez osoby z wewntrz Oszustwa finansowe 25 1 50 4,632 115,753 Odmowa usługi 62 1 50 0,297 18,370 Wirusy 178 1 9 0,283 49,979 1 Raport Computer Security Institute [CSI] i jednostki FBI - Computer Intrusion Squad. Podstaw raportu s działania ankietowe wród 500 osób odpowiedzialnych za bezpieczestwo SI w duych przedsibiorstwach (od 1 000 do 10 000 tys. zatrudnionych). Wyniki dotyczce czstoci wystpowania zagroenia i wielkoci strat mog by nieadekwatne dla organizacji o innym rozmiarze lub profilu oraz mog by obarczone błdem, ze wzgldu na niech informowania o incydentach we własnych systemach bezpieczestwa. Jest to jednak obraz tego czego mog oczekiwa potencjalni uytkownicy Internetu jak równie korporacyjnych sieci rozległych. 7
Dziedzina Liczba Zgłaszana warto rednia warto Suma wartoci respondentów strat strat strat rocznych oceniajcych Min. Max. [mln$] [mln $] straty [tys $] [mln $] Nieautoryzowany dostp 15 2 1,5 0,300 4,503 osób z wewntrz Oszustwa telekomunikacyjne 16 1 0,1 0,22 0,346 Kradzie laptopów 134 1 5 0,89 11,765 Suma wartoci wszystkich strat rocznych 455,848 Tabela 1 Finansowe szacunki skutków incydentów według raportu CSI/FBI [8][7] 4. WALKA Z PRZESTPSTWAMI KOMPUTEROWYMI. REAGOWANIE NA INCYDENTY Problematyka reagowania na incydenty jest niewtpliwe dziedzin trudn, w szczególnoci, gdy mowa o jej technicznym wymiarze. Trudno bowiem wypracowa szczegółowe procedury postpowania jeli nie zawsze moliwe jest przewidzenie ródła incydentu, rozcigłoci w czasie czy potencjalnych skutków. Trudno nie oznacza oczywicie, e nie powinno podejmowa si działa (w tym zapobiegawczych), minimalizujcych prawdopodobiestwo wystpienia incydentu oraz zwizane z nim skutki. Form walki z przestpstwami komputerowymi s działania podejmowane przez odpowiednie instytucje zmierzajce do zapewnienia bezpieczestwa w sieciach teleinformatycznych. Jedn z takich form jest inicjatywa NATO - zdolno reagowania na incydenty komputerowe (ang. Computer Incident Response Capability - CIRC). Polska, podobnie jak wiele innych krajów członkowskich NATO, w biecym roku rozpoczła budow Systemu Reagowania Na Incydenty Komputerowe (SRNIK). Zdolno reagowania na incydenty komputerowe powinna obejmowa stacjonarne i mobilne elementy infrastruktury teleinformatycznej oraz zapewnia: 1. Zdolno wykrywania, zapobiegania i powstrzymywania incydentów oraz ataków skierowanych przeciwko narodowej infrastrukturze informacyjnej. Obejmuje to bezporednie wsparcie techniczne zaatakowanym jednostkom wojskowym 8
i instytucjom cywilnym, dla odtworzenia w sposób pewny, szybki i efektywny ich zdolnoci operacyjnych po wydarzeniach - zwizanych z zagroeniami bezpieczestwa - tak aby zminimalizowa straty, kradzie informacji lub zakłócenia funkcjonowania systemów dowodzenia. 2. Zdolno reagowania na incydenty, doradztwo, alarmowanie, wsparcie w zakresie ochrony przed kodem złoliwym, raportowanie wirusów, analiz dzienników systemowych i trendów zwizanych z incydentami oraz kształtowanie wiadomoci w zakresie bezpieczestwa. Wymaga to bdzie załoenia i utrzymywania scentralizowanych baz danych ułatwiajcych wykonywanie raportów, przechowywanie, przetwarzanie i rozpowszechnianie informacji dotyczcych zagroe i incydentów oraz stosowanie narzdzi zapewniajcych bezpieczestwo. 3. Zdolno koordynacji procesów dochodzeniowych, zwizanych z incydentami w ramach narodowych słub odpowiedzialnych za przestrzeganie, wymian informacji z organizacjami odpowiedzialnymi za reagowanie na incydenty komputerowe, w celu wspólnego wypracowania stosownych rodków zapobiegawczych do wykorzystania w narodowych infrastrukturach informacyjnych pastw członkowskich NATO. Powysze wymagania dotycz zarówno systemów teleinformatycznych rozwijanych dla potrzeb sojuszu, jak równie systemów narodowych. Zgodnie z wypracowanym - w okresie negocjacji celów sił zbrojnych - stanowiskiem narodowym uwzgldniajcym standard NATO, wymagajcy 3-poziomowej struktury organizacyjnej, przewiduje si: 1. Utworzenie w Wojskowych Słubach Informacyjnych, jako Słubie Ochrony Pastwa dla sfery wojskowej Centrum Koordynacyjnego Reagowania na Incydenty Komputerowe (odpowiednik NATO CIRC - COORDINATION CENTRE). 2. Utworzenie w Sztabie Generalnym WP - Centrum Wsparcia Technicznego (odpowiednik NATO CIRC - TECHNICAL SUPPORT CENTRE), pełnicego jednoczenie funkcj resortowego zespołu reagowania i działajcego w systemie 24 godzinnych dyurów. 9
3. Wytypowanie i wyposaenie w odpowiednie narzdzia oficerów zajmujcych si problematyk incydentów komputerowych w Dowództwach Rodzajów Sił Zbrojnych i na niszych szczeblach dowodzenia (w ramach posiadanych limitów). Struktur organizacyjn SRNIK ilustruje rysunek poniej: Propozycja SHAPE NATO CIRC Co-ord. Centre /NOS+NATO HQ C3/ POZIOM I Propozycja Polski CENTRUM KOORDYNACYJNE NATO CIRC Tech.Sup.Centre /INFOSEC COM. NACOSA/ POZIOM II /funkcje zespołu reagowania CERT/ CENTRUM WSPARCIA TECHNICZNEGO NATO CIS operating authority NATO Civ. & Mil. Bodies POZIOM III /odpowiedzialny za codzienn administracj systemami i bezpieczestwem/ Instytucje i jednostki wojskowe Instytucje cywilne Rys. 2 Diagram przedstawiajcy struktur organizacyjn SRNIK 5. WSPÓŁDZIAŁANIE Z RESORTAMI CYWILNYMI Jednym z podstawowych celów reagowania na incydenty jest łagodzenie potencjalnie powanych skutków błdów zwizanych z bezpieczestwem komputerowym. Osignicie tego celu wymaga, aby wysiłek SRNIK został skupiony na zaanga- owaniu oraz współpracy wszystkich wojskowych i cywilnych instytucji uczestniczcych w systemie obronnym pastwa. Osignicie pełnej zdolnoci reagowania na incydenty wymaga bdzie cisłego współdziałania resortów i podmiotów istotnych dla systemu obronnego pastwa. Współdziałanie Ministerstwa Obrony Narodowej z resortami cywilnymi, takimi jak Agencja Bezpieczestwa Wewntrznego, Ministerstwo Edukacji Narodowej 10
i Sportu, Ministerstwo Sprawiedliwoci, Ministerstwo Spraw Wewntrznych i Administracji, Urzd Regulacji Telekomunikacji i Poczty, Ministerstwo Spraw Zagranicznych obejmuje m.in. takie obszary działalnoci, jak: - analiza eksploatowanych systemów teleinformatycznych w aspekcie zagroe incydentami komputerowymi, - opracowanie koncepcji moliwoci reagowania na incydenty komputerowe w odniesieniu do własnych systemów i sieci teleinformatycznych, - udział w opracowaniu koncepcji współpracy z narodow struktur zarzdzania systemu reagowania na incydenty komputerowe (centrum koordynacyjne, centrum wsparcia technicznego), - udział w opracowaniu koncepcji działa oraz projektu podrcznika systemu reagowania na incydenty komputerowe - w tym: - analiza moliwoci udostpniania i wymiany komputerowych baz danych dotyczcych incydentów komputerowych z narodow struktur zarzdzania systemu reagowania na incydenty komputerowe. Zadanie utworzenia zespołów tworzcych struktur SRNIK pokrywa si w duej mierze z zadaniem realizowanym w biecym roku przez Agencj Bezpieczestwa Wewntrznego (ABW) - utworzeniem Krajowego Systemu Ochrony Krytycznej Infrastruktury Teleinformatycznej (KSOKITI), bdcego platform wymiany dowiadcze oraz formalnych działa prowadzonych m.in. przez ABW, Policj, przy współpracy NASK CERT Polska, operatorów telekomunikacyjnych i dostawców usług internetowych. Std te nieodzownym staje si połczenie wysiłków i wspólne kontynuowanie rozpocztych prac. Struktura SRNIK, w której uwzgldniono to zadanie, wymaga utworzenia na pierwszym poziomie Krajowego Centrum Koordynacyjnego Systemu Reagowania na Incydenty Komputerowe, składajcego si z Centrum Koordynacyjnego SZ RP oraz Midzyresortowego Centrum Koordynacyjnego. Istotnym zagadnieniem jest okrelenie sposobu wymiany informacji pomidzy tymi centrami. Wymiana informacji jest rozumiana tutaj bardzo szeroko i obejmuje zarówno systemy teleinformatyczne jawne 11
(np. Internet), jak równie niejawne w połczeniu z posiadanymi systemami łcznoci. Diagram przedstawiajcy współprac resortów cywilnych i wojskowych w ramach SRNIK przedstawia rysunek poniej. Centrum Koordynacyjne NATO CIRC POZIOM I SFERA OBRONNOCI PASTWA cz. P i W Krajowe Centrum Koordynacyjne Systemu Reagowania na Incydenty Komputerowe Centrum Koordynacyjne SZ RP (WSI) Midzyresortowe Centrum Koordynacyjne (ABW) POZIOM II /funkcje zespołu reagowania CERT/ Centrum Wsparcia Technicznego (SG WP) POZIOM III /codzienna administracja systemami i bezpieczestwem/ Dowództwa RSZ SFERA WOJSKOWA SFERA CYWILNA LEGENDA: Informacja jawna Informacja niejawna Rys. 3 Współpraca resortów cywilnych i wojskowych w ramach SRNIK / KSOKITI Wspólne działania zwizane ze zdolnoci reagowania na incydenty komputerowe w istotnym stopniu powinny ograniczy wszelkiego rodzaju ataki terrorystyczne, hackerskie, czy te umylne fałszowanie i blokowanie informacji. 12
6. ZADANIA REALIZOWANE NA POSZCZEGÓLNYCH POZIOMACH 6.1 Poziom 1 Centrum Koordynacyjne SRNIK Przewiduje si, e Centrum Koordynacyjne bdzie realizowało nastpujce obowizki i funkcje: - opracowywanie, utrzymywanie oraz publikowanie podrczników SRNIK (wspólnie z resortami cywilnymi), - koordynacja, opracowywanie i utrzymanie Programu Pracy dla Centrum Wsparcia Technicznego SRNIK, - koordynacja działa zwizanych z reagowaniem na incydenty oraz odtwarzaniem (ang. recovery activities), odpowiednim formalnym dochodzeniem i kontaktami z właciwymi władzami, - koordynacja wymaga zwizanych ze wsparciem działa CERT z instytucjami cywilnymi i wojskowymi, - wystpowanie w roli centralnego punktu kontaktowego do współpracy w ramach NATO z władzami bezpieczestwa (NATO oraz krajowymi) w zakresie prowadzenia dochodze zwizanych z wyjanianiem incydentów, - współdziałanie z Forum ds. Reagowania na Incydenty oraz Grupami Bezpieczestwa (ang. Forum Of Incident And Security Response Teams - FIRST), - wystpowanie w roli centralnego punktu kontaktowego ds. odbierania, oceny i dystrybucji informacji zwizanych z zagroeniem oraz utrzymywanie stosownej bazy danych dot. ww. zagadnie, - utrzymywanie (prowadzenie) bazy danych o dochodzeniach zwizanych z incydentami oraz bazy danych narzdzi dotyczcych bezpieczestwa SRNIK, - współudział w programie edukacyjnym i implementacyjnym dot. szerzenia wiadomoci technicznej, - meldunki / raporty do właciwych władz o trendach zwizanych z incydentami oraz składanie propozycji rewizji (przegldu) polityki bezpieczestwa, 13
- koordynacja działa zwizanych z ocen zagroe oraz testów penetracyjnych. 6.2 Poziom 2 Centrum Wsparcia Technicznego Centrum Wsparcia Technicznego SRNIK bdzie funkcjonowało 24 godziny / 7 dni w tygodniu, pełnic nastpujce funkcje i zadania: - sprawowanie roli punktu centralnego z zadaniem odbioru (zbierania) wskazówekporad z narodowych i pozarzdowych grup CERT oraz oceny ich znaczenia na potrzeby władz operacyjnych systemów, instytucji cywilnych i wojskowych, - prowadzenie bazy danych wskazówek-porad, informacji technicznych zawierajcych ostrzeenia oraz informacje dotyczce biecych napraw, - składanie meldunków o incydentach i podatnociach na zagroenia do Centrum Koordynacyjnego SRNIK, - udostpnianie ogólnych informacji zwizanych z incydentami władzom operacyjnym systemów teleinformatycznych, - wykonywanie czynnoci typu: reagowanie na incydenty, odzyskiwanie i generowanie raportów, zgodnie z potrzeb lub daniem władz operacyjnych, koordynowanych przez Centrum Koordynacyjne SRNIK, - utrzymywanie bazy danych o incydentach, prowadzanie analiz dotyczcych trendów z nimi zwizanych dla Centrum Koordynacyjnego SRNIK, - prowadzenie strony WWW zawierajcej stosowne informacje (np. wskazówkiporady, narzdzia bezpieczestwa, informacje techniczne zawierajce ostrzeenia oraz informacje hot fix, dyrektywy, wytyczne), - prowadzenie bazy danych dotyczcej zagroe technicznych (podatnoci), - wstpny wybór i ocena narzdzi bezpieczestwa dotyczcych wykrywania incydentów, oceny zagroe oraz realizacja czynnoci zwizanych z zapobieganiem i wykrywaniem kodów złoliwych, - utrzymywanie bazy danych o narzdziach bezpieczestwa (np. narzdzia zarzdzania bezpieczestwem, narzdzia słuce do wykrywania kodów 14
złoliwych); łcznie z warunkami ich pracy i moliwoci zastosowania w rodowisku eksploatowanych systemów, - koordynacja techniczna, wymagana przy współpracy z zespołami CERT, - zapewnienie władzom operacyjnym systemów, na ich wniosek lub zgodnie z potrzeb, wsparcia technicznego i pomocy w zakresie wtargni i zabezpieczenia przed kodami złoliwymi, - opracowywanie i uaktualnianie materiałów dotyczcych konfiguracji systemów operacyjnych i aplikacji zwizanych z bezpieczestwem, - prowadzenie oceny zagroe systemów na poziomie makro pod ktem architektury i projektu systemu (na wniosek), - wspomaganie szczegółowej oceny technicznej zagroe, testów penetracyjnych zgodnie z ustaleniami dokonanymi z Centrum Koordynacyjnym SRNIK, - dokonywanie oceny zagroe ze strony "kodów aktywnych", - zapewnienie wsparcia technicznego podczas dochodze prawnych / sdowych (na wniosek), - wsparcie warsztatów technicznych lub sesji szkoleniowych, - opracowywanie materiałów szkoleniowych przeznaczonych do dystrybucji, - prowadzenie bada zwizanych z incydentami. 6.3 Poziom 3 - władze operacyjne systemów TI Władze operacyjne systemów teleinformatycznych w instytucjach cywilnych i wojskowych powinny mie nastpujce obowizki i funkcje zwizane z reagowaniem na incydenty: - wykrywanie wtargni w czasie rzeczywistym, wspomagane przez Centrum Koordynacji Technicznej SRNIK, - składanie do Centrum Koordynacyjnego oraz Centrum Wsparcia Technicznego SRNIK meldunków o wykryciu zdarze, incydentów i zagroe, zgodnie z procedurami zawartymi w Podrczniku SRNIK, 15
- zapewnienie właciwych narzdzi oraz wykrywanie i zapobieganie wystpowaniu kodów złoliwych, - zapewnienie właciwych narzdzi oraz zarzdzanie bezpieczestwem, - zapewnienie właciwym osobom wchodzcym w skład władzy operacyjnej wskazówek-porad, informacji technicznych zawierajcych ostrzeenia oraz informacji dotyczcych naprawy biecej (ang. hot fix ), - prowadzenie dokumentacji zawierajcej informacje zwizane z konfiguracj systemów przez nich kontrolowanych, - wykonywanie czynnoci zwizanych z właciwym reagowaniem na incydenty oraz odtwarzaniem, przy współpracy z Centrum Wsparcia Technicznego SRNIK. Od władz operacyjnych systemów teleinformatycznych wymaga si posiadania odpowiednich zasobów niezbdnych do realizacji powyszych funkcji oraz codziennego funkcjonowania ich systemu i funkcji zarzdzania bezpieczestwem. 6.4 Personel SRNIK Z uwagi na charakter informacji zwizanych z incydentami oraz konieczno dostpu do systemów teleinformatycznych zawierajcych informacj klasyfikowan - na wszystkich poziomach, personel wchodzcy w skład SRNIK winien posiada stosowne certyfikaty bezpieczestwa osobowego. 6.5 Sprzt komputerowy oraz wymagania dotyczce łcznoci Łczno z cywilnymi i instytucjami wojskowymi oraz innymi organizacjami, włczajc w to CERTy, stanowi istotn cz SRNIK. Kada instytucja bdzie potrzebowała sprawnej i szybkiej łcznoci z SRNIK, umoliwiajcej prowadzenie scentralizowanego systemu meldunkowego o incydentach oraz wnioskowania i zapewniania pomocy i informacji o aspektach odnoszcych si do zagadnie bezpieczestwa. Bdzie zachodziła wic potrzeba zapewnienia bezpiecznych rodków łcznoci i przesyłania danych. 16
7. KOMPUTEROWE WSPOMAGANIE DZIAŁA Niezalenie od rodzaju zagroenia / incydentu omówione wyej zespoły (głównie 1-go i 2-go poziomu) powinny dysponowa systemami informatycznymi, które umoliwi m.in. nastpujce działania [5]: - Monitorowanie sytuacji. Zbieranie i przetwarzanie danych ze ródeł informacji, w tym z rozpoznania sytuacji przez instytucje cywilne i wojskowe a take ze rodków masowego przekazu. - Ocena sytuacji. Ocena zdolnoci do realizacji zada i wynikajca std potrzeba modyfikacji planów wykorzystania zasobów; w tym odniesienie si do narodowych planów reagowania kryzysowego. - Wariantowane procedury podejmowania decyzji. Opracowywanie i dystrybucja decyzji i komunikatów do instytucji systemu reagowania na incydenty. - Opracowywanie raportów. Przygotowywanie raportów i materiałów informacyjnych dla organów pastwowych oraz organów koalicyjnych (na podstawie osobnych umów). - Zarzdzanie bazami danych. Tworzenie i aktualizacja baz danych operacyjnych i logistycznych, personalnych, medycznych oraz o infrastrukturze. Najistotniejszym elementem z punktu widzenia uytkownika systemu jest pakiet oprogramowania systemowego i uytkowego, zintegrowany ze rodowiskiem technicznym. KONKLUZJA Na podstawie obserwacji przypadków zgłaszanych przestpstw komputerowych mona stwierdzi, e w chwili obecnej ryzyko realnego ataku majcego znamiona cyberterroryzmu było do tej pory w Polsce niewielkie. Natomiast naley podkreli, e zaangaowanie Polski w działania polityczne i militarne podejmowane przeciwko wiatowemu terroryzmowi spowoduje znaczny wzrost potencjalnego ryzyka ataku na elementy infrastruktury krytycznej, która wykorzystywana bdzie do wspierania 17
funkcjonowania instytucji pastwowych, finansowych, gospodarczych i systemu obronnego pastwa. Przeciwdziałanie, zapobieganie, wykrywanie incydentów majcych wpływ na poufno, integralno i dostpno informacji oraz usługi wsparcia i zasoby systemowe, właciwie zdefiniowana i przestrzegana polityka bezpieczestwa - wszystkie te elementy wymagaj wspólnych mechanizmów oraz procedur zarzdzania. W kontekcie poruszanych w niniejszym artykule problemów, niezbdne jest podjcie wspólnych działa zarówno w sferze wojskowej, jak i cywilnej. LITERATURA [1] NATO Computer Incident Response Capability (DCI-CC5), Annex 1, AC/322- WP/0223-REV1) - zasady ogólne CIRC. [2] NATO Computer Incident Response Capability, Annex 1, AC/322-N/0648. [3] NATO Computer Incident Response Capability, Annex 1, AC/322-N/0197 - CONOPs - koncepcja działania. [4] "IT Security Magazine", listopad, grudzie 2002, s. 26-27. [5] SIENKIEWICZ Piotr, ZASKÓRSKI Piotr: Komputerowe wspomaganie procesów podejmowania decyzji w sytuacjach kryzysowych. AON. Luty 2003. [6] SZYMASKI Robert: Cyberterroryzm w wiatowych sieciach teleinformatycznych. Centrum Symulacji i Komputerowych Gier Wojennych. AON, 2003 r. [7] YTO Tomasz: Problematyka reagowania na incydenty sieciowe. Centrum Symulacji i Komputerowych Gier Wojennych. AON, 2003 r. [8] Raport "2002 CSI/FBI Computer Crime and Security Survey", <www.gocsi.com>. 18