Projekty PESCO, 5. díl: Platforma pro sdílení informací o kybernetických hrozbách


Petr Pospíšil, Euroskop, 13.8.2018

Minulý týden jste se na Euroskopu mohli dočíst o estonském projektu kybernetických týmů rychlé reakce. Dnes přinášíme podrobný profil druhého projektu zaměřujícího se na posílení schopností v kybernetické bezpečnosti. Garantem projektu je Řecko a projekt aspiruje jednak na zlepšení možností identifikace kybernetických hrozeb, jednak na obranu vůči nim – která může v některých případech nabývat i podobu aktivní sebeobrany.

V anglickém originále se projekt jmenuje „Cyber Threats and Incident Response Information Sharing Platform), zjednodušeně přeloženo do češtiny tedy „Platforma pro sdílení informací o kybernetických hrozbách. Kromě Řecka se projektu aktivně účastní rovněž Itálie, Španělsko, Portugalsko, Rakousko, Maďarsko a Kypr.

Autoři projektu svoji misi v nejširším slova smyslu chápou takto: „koordinace a provádění úkonů kybernetické bezpečnosti na strategické, operativní i taktické úrovni v době míru, krize či války.“ Cílem projektu je vyvinout takové mechanismy a řešení, které přinesou nové nástroje, postupy, metody a taktiku, jež napomohou včas rozpoznat kybernetické hrozby a následně je účinně eliminovat. Hlavní přínos řeckého projektu bude spočívat ve dvou oblastech – zaprvé sdílení informací, zadruhé ochrana koncových bodů a reakce.

Projekt využívá existujících platforem a nástrojů

Projekt má navázat na již existující nástroje, jako je MISP (Malware Information Sharing Platform – platforma pro sdílení informací o škodlivém software). MISP je otevřený zdroj vyvinutý softwarovými analytiky, jenž shromažďuje, ukládá a umožňuje sdílení informací o existujících kybernetických hrozbách. Dalším existujícím nástrojem je MITRE ATT&CK, databáze poskytující informace o taktice využívané kybernetickými útočníky. Třetím mechanismem, na nějž architekti projektu plánují navázat, je MITRE CAR – kybernetické analytické úložiště (Cyber Analytics Repository), vyvinuté taktéž firmou MITRE.

Informace budou sdíleny o ukazatelích indikujících přítomnost hrozby, stejně jako o taktice a metodách používaných kybernetickými útočníky. Projekt počítá i s vyvinutím tzv. senzorů pro detekci v koncových bodech a reakci (Endpoint Detection and Response Sensor). Ty mají pomoci rozpoznat hrozící kybernetický útok včas, shromáždit o něm technické údaje, a položit tak základ úspěšnému boji proti kybernetické kriminalitě. Senzory budou vyrobeny pro operační systém Windows i Linux.

Deset pracovních balíčků, tři časové horizonty

Aktivity, realizované v rámci projektu, jsou rozděleny do deseti „pracovních balíčků“ (work packages). Jejich obsah je následující: řízení a správa; hodnocení hrozeb; právo; sdílení informací o taktice, metodách a postupech; tvorba analytických modulů; tvorba modulů pro rozpoznání hrozeb; nástroj pro Windows; nástroj pro Linux; hodnocení a šíření.

Konkrétní aktivity autoři projektu člení z hlediska času realizace do tří kategorií – krátkodobé, střednědobé a dlouhodobé. Činnost v krátkodobém horizontu zahrnuje odborné „mapování terénu“ kybernetických hrozeb. Tato fáze počítá s průzkumem dostupných otevřených zdrojů shromažďující informace o hrozbách, hodnocením existujících opatření i hrozeb, inventurou současných způsobů sdílení informací a analýzou právních aspektů. Realizace aktivit spadajících do krátkodobého horizontu má trvat dva roky a stát 860 tisíc euro.

Střednědobý horizont je nejnákladnější, zahrnuje vývojářskou činnost

Ve střednědobém horizontu má dojít k vyvinutí platforem pro sdílení informací i výše popsaných senzorů. Autoři dále předpokládají i zkvalitnění postupů pro sdílení informací a vypracování studie kompatibility s platnou unijní legislativou. Uskutečnění střednědobých opatření má zabrat rok a půl a finančně vyjde na 1,18 mil. euro.

V dlouhodobém horizontu plánují autoři projektu prostřednictvím terénních zátěžových testů ověřit odolnost uskutečněných opatření a vyvinutých nástrojů. Mezi dlouhodobé aktivity patří i vzdělávací program – školení pro uživatele i profesionály. Činnost vyhrazená pro dlouhodobý horizont má trvat jeden rok a stát 195 tisíc euro.

Spolupráce? Na národní i mezinárodní úrovni, s univerzitami i firmami

Celkové náklady na realizaci tohoto projektu PESCO tedy mají být 2,235 mil. euro. Projekt počítá i s kooperací s třetími stranami, kterými jsou soukromé subjekty (malé, střední i velké podniky), výzkumné instituty i akademická pracoviště. Na národní úrovni budou zúčastněné státy spolupracovat zejména s univerzitami a národními orgány pověřenými kybernetickou bezpečností (v Česku je takovou institucí Národní úřad pro kybernetickou a informační bezpečnost).

Kooperace bude probíhat i na mezinárodní úrovni – s Evropskou obrannou agenturou (EDA), Evropskou agenturou pro bezpečnost sítí a informací (ENISA) či Severoatlantskou aliancí (NATO). Důležitou součástí projektu tak bude pravidelná účast v kybernetických cvičeních, která tyto instituce organizují – Locked Shields, Cyber Coalition, Crossed Swords Command či Cyber Europe.

Projekt doprovází i vzdělávací a publikační činnost

V rámci vzdělávací činnosti přidružené k projektu budou organizovány speciální tréninkové kurzy o kybernetice a kybernetické bezpečnosti. Ambicí projektu je i širší zahrnutí témat bezpečnosti sítí a informací či zabezpečení mobilních telefonů do školních osnov.

Nezbytným doplňkem činnosti operativní – vývojářské (vyvíjení nástrojů, senzorů pro identifikaci hrozeb atp.) je i činnost publikační. Zaprvé budou vydávány technické manuály vysvětlující postup proti kybernetickým hrozbám v jednotlivých operačních systémech a pro jednotlivé typy uživatelů (manažeři, běžní uživatelé atd.). Zadruhé se projekt PESCO promítne i do strategických dokumentů, jako jsou národní strategie kybernetické bezpečnosti.

Autor: Petr Pospíšil, Euroskop

Sdílet tento příspěvek