DSM 2010/1 - Úvodník
Kdy budeme mít vládní CERT?
V současnosti má zhruba polovina států EU funkční národní či státní CERT (Computer Emergency Response Team) či CSIRT (Computer Security Incident Response Team). Mají ho Slovinci, Chorvati i Maďaři. Proč ne my?
CERT, resp. CSIRT (různé názvy, obdobný obsah) slouží k ochraně kritické informační infrastruktury v době, kdy díky Internetu sdílíme informace bez ohledu na hranice států a kontinentů. Původní náplní práce CERTů bylo řešení aktuálních bezpečnostních incidentů. Dnes na sebe nabalují i další, podpůrné činnosti – analýzu rizik, testy zranitelnosti, rozhlašování varovných zpráv a výstrah, audity a ohodnocování aktiv, konzultace, školení atd. Přibývá tedy preventivních činností na úkor následných.
Různých CERTů či CSIRTů je jen v Evropě více než 120. Jsou to CERTy univerzitní (Oxford University, University of Oslo, ale svůj CSIRT má i Masarykova univerzita), firemní (Siemens, Secunet), zvláště u telekomunikačních společností (Deutsche Telekom AG, British Telecommunications), bankovní (Deutsche Bank, Commerzbank) a samozřejmě vojenské. Zapomenout bychom neměli ani na evropské týmy v rámci národních sítí výzkumu (rakouský ACOnet-CERT, náš CESNET-CERTS). Někdo ale musí spolupráci mezi různými CERTy koordinovat.
Jakýmsi celosvětovým koordinačním orgánem je už skoro dvacet let Fórum FIRST (Forum of Incident Response and Security Teams), zatímco v Evropě se jím postupně stává ENISA (European Network and Information Security Agency). Šťouralové říkají, že její nový německý šéf si vytváří „über-CSIRT“. Celoevropsky působí také iniciativy TI (Trusted Introducer) a TERENA (Trans-European Research and Education Networking Association). Své aktivity si koordinuje i bankovní sektor, viz FI-ISAC (Financial ISAC Initiative). A nakonec – devět vyspělých zemí se sdružilo v EGC (European Government CERT Group) s cílem vybudovat evropský kontaktní bod pro vládní CERTy.
Pár dnů před loňskými Vánoci vydala ENISA verzi 1.0 (initial draft) materiálu Baseline capabilities for national/governmental CERTs, kde jsou shrnuty dosavadní evropské zkušenosti s vytvářením CERTů. Z materiálu vyplývá, že národním CERTem se obvykle stává některá z univerzit či jiných institucí na základě své přirozené autority jako „CERT of the last resort“. Vládní CERT bývá naopak ustanoven administrativně a funguje buď jako jeden z CERTů metodicky koordinovaných národním CERTem, nebo sám plní roli národního CERTu.
A jak je tomu u nás? Představa, že se do role „CERTu of the last resort“ vypracuje CESNET-CERTS, nebyla naplněna, takže nastupuje cesta shora.
Prvním počinem bylo uzavření smlouvy mezi Ministerstvem informatiky ČR a společností Relsie v roce 2007. Osud ministerstva je známý, osud zmíněné smlouvy už méně. CERTCZ sice zahájil pilotní provoz 5. prosince 2007, ale poslední zpráva na příslušném webu pochází z 9. března 2008. Ministerstvo vnitra ČR vypsalo roku 2007 grant na téma „Kybernetické hrozby z hlediska bezpečnostních zájmů České republiky“, ukončen má být letos (blíže viz http://www.mvcr.cz/clanek/kyberneticke-hrozby.aspx). Na projekt bylo alokováno 16 mil. Kč, řešitelé se měli rekrutovat z univerzit a společnosti NESS Czech. Webové stránky projektu jsem našel na https://www.csirt.cz/. První a zároveň poslední zpráva rubriky „Novinky“ je z 3. dubna 2008.
Kromě těchto pozoruhodných projektů nic. Jako by neexistovala jednotná snaha o použitelné řešení. Stále postrádáme zásadní rozhodnutí o vytvoření instituce s potřebnou kvalifikací a bezpečnostní způsobilostí, které by bylo schopné převzít odpovědnost mj. i vůči mezinárodnímu fóru, především NATO. Kdy budeme mít vládní CERT, použitelný jako „sílu rychlé reakce“ vůči případným útokům na kritickou informační infrastrukturu České republiky?
Publikováno: 09. 03. 2010