W dniu 4 listopada 2010 r. po raz pierwszy został przeprowadzony ogólnoeuropejski sprawdzian publicznych sieci teleinformatycznych – „Cyber Euro 2010”, czyli tzw. „cyber-stress test”. Przedmiotem testu był pozorowany atak ekspertów IT na sieci teleinformatyczne 22 państw członkowskich (w tym Polski). W wzięło w nim udział 30 państw (poza państwami UE także Norwegia, Islandia i Szwajcaria), z czego 8 miało status obserwatorów. Ponad 150 ekspertów z 70 publicznych instytucji w Europie wzięło udział w przedsięwzięciu, podczas którego publiczne sieci teleinformatyczne zostały narażone na ponad 320 ataków hakerskich i tzw. „zastrzyków” (inject) mających na celu obnażenie luk w zabezpieczeniach aplikacji internetowych.

Ten masowy atak został zorganizowany przy współdziałaniu państw członkowskich UE we współpracy z Europejską Agencją ds. Bezpieczeństwa Sieci i Informacji (ENISA) z główną siedzibą na Krecie przy wsparciu Wspólnego Centrum Badawczego (JRC) z Brukseli. Centrum całego przedsięwzięcia (Exercise Control Centre) były Ateny skąd 50 ekspertów koordynowało pozorowany atak i instruowało ok. 80 unijnych ekspertów, którzy rezydowali w ministerstwach, sztabach kryzysowych i innych odpowiedzialnych za bezpieczeństwo sieci teleinformatycznych organach publicznych państw biorących udział w ćwiczeniu. Realizacja tego projektu była przygotowywana od ok. roku i poprzedzały ją liczne testy próbne w poszczególnych państwach, sześć warsztatów przygotowawczych dla uczestników symulacji, oraz cotygodniowe telekonferencje ekspertów ze wszystkich państw uczestniczących w projekcie.

Scenariusz ćwiczenia „Cyber Europe 2010” zakładał stopniowe tracenie lub ograniczanie łączności internetowej między poszczególnymi krajami europejskimi. Działanie to w założeniu przy braku prawidłowej reakcji ze strony ekspertów bezpieczeństwa sieci z poszczególnych państw skutkowałoby zerwaniem głównych połączeń pomiędzy sieciami krajowymi. W trakcie symulacji dostęp do usług administracji elektronicznej (tzw. eGovernment) dla instytucji publicznych, obywateli i przedsiębiorców miał być znacznie utrudniony lub utracony w przypadku niezastosowania odpowiednich procedur przekierowania połączeń. W trakcie ćwiczeń kolejne kraje jeden po drugim były obiektami fikcyjnego ataku hakerów.

Głównym zadaniem ćwiczenia było sprawdzenie procedur współdziałania mających na celu utrzymanie połączeń między sieciami krajowymi, a także poznania i zrozumienia procedur kontaktowych, które służą wspólnemu odparciu zmasowanych ataków cybernetycznych. Przy okazji tego ćwiczenia przetestowano: adekwatność krajowych punktów kontaktowych, kanały komunikacyjne miedzy krajami, rodzaj wymiany danych tymi kanałami oraz umiejętność współpracy między organami bezpieczeństwa wyznaczonymi przez poszczególne państwa członkowskie do sprawowania pieczy nad bezpieczeństwem cybernetycznym. Należy pamiętać, że w różnych państwach członkowskich bezpieczeństwem sieci teleinformatycznych zajmują się często zupełnie inne organy takie jak np. minister ds. komunikacji/infrastruktury, organy ds. bezpieczeństwa informacji, sztaby kryzysowe, państwowi regulatorzy czy służby wywiadowcze/kontrwywiadowcze. W ramach jednego państwa czuwanie nad bezpieczeństwem powierzane jest czasem nawet kilku organom. W ramach „Cyber Europe 2010” sprawdzano również jak działają państwowe wewnętrzne procedury bezpieczeństwa, co przekładało się w dużej mierze na niezakłóconą komunikację z organami innych państw członkowskich. Ważnym elementem przy wspólnej obronie przeciw zmasowanym atakom hakerskim okazało się wzajemne zaufanie organów zajmujących się zabezpieczeniem sieci w poszczególnych państwach i samych państw członkowskich oraz zrozumienie różnic w systemach i procedurach bezpieczeństwa internetowego w poszczególnych państwach a także wzajemnej zależności państw w ramach europejskiej sieci internetowej.

Zgodnie z komunikatem ENISA z 10 listopada, ze wstępnych wyników testu można już wyciągnąć następujące konkluzje:

  • Uczestnicy ocenili, że test spełnił wiązanie z nim oczekiwania a scenariusz pozorowanego ataku Hamerskiego był odpowiednio przygotowany i zrównoważony, dzięki czemu wyniki będą miarodajne;
  • Przede wszystkim podkreślono, że w przyszłości należy do symulacji włączyć również sektor prywatny, czyli lokalne i międzynarodowe podmioty świadczące usługi drogą elektroniczną;
  • Państwa Członkowskie powinny wspierać dalsze działania mające na celu zwiększenie bezpieczeństwa w sieci, ale w przyszłości należałoby poświęcić więcej czasu na przygotowanie podobnej symulacji;
  • Wszystkie państwa wyraźnie podkreśliły, iż w przyszłości podobne przedsięwzięcia powinny być organizowane i przeprowadzane przez ENISA;
  • Należy położyć nacisk na wymianę doświadczeń zdobytych w ramach symulacji pomiędzy organami i państwami biorącymi udział w ćwiczeniu, również z państwami spoza UE, które przeprowadzają podobne testy.
  • Z uwagi na to, że niektóre Państwa Członkowskie nadal opracowują własne procedury bezpieczeństwa nie można jeszcze w pełni mówić o teście ogólnoeuropejskim, gdyż systemy bezpieczeństwa są nie w pełni interoperacyjne i nadal główny ciężar zabezpieczenia sieci spoczywa na poszczególnych państwach.
  • Cały projekt był jedynie pierwszym krokiem mającym prowadzić w przyszłości do budowy zaufanie na poziomie ogólnoeuropejskim. Uczestnicy podkreślili, że w przyszłości wymagana będzie jeszcze bliższa współpraca i pełniejsza wymiana informacji pomiędzy Państwami Członkowskimi.
  • Uczestnicy testu zauważyli, że sposób radzenia sobie z podobnymi incydentami znacznie różnił się w rożnych Państwach Członkowskich. Było to wynikiem odrębnych procedur na poziomie państwowym i faktu, że w każdym państwie za bezpieczeństwo sieci odpowiedzialne były inne organy publiczne na różnym poziomie. Spowodowało to sytuację, w której poszczególne państwa miały trudności ze zrozumieniem sposobu radzenia sobie z atakami w innych państwach.
  • Wykazano, że nie ma potrzeby tworzenia ogólnoeuropejskiego katalogu punktów kontaktowych dla celów bezpieczeństwa sieci. Podkreślono jednak, że obecnie istniejące krajowe punkty powinny być monitorowane i odpowiedno aktualizowane i uzupełniane przez zainteresowane państwa.

Rezultaty symulacji są obecnie szczegółowo analizowane przez poszczególne państwa i ENISA na poziomie europejskim. Pełen raport, ze statystykami i rekomendacjami dla poszczególnych państw zgodnie z zapowiedzią ENISA zostanie opublikowany na początku 2011r.

Cała symulacja była pierwszym publicznym testem bezpieczeństwa na tak ogromna skalę, chociaż w przyszłości podobne przedsięwzięcia mają mieć o wiele szerszy zasięg, a scenariusze pozorowanych ataków mają być znacznie bardziej skomplikowane. Planowane są nawet globalne symulacje jednoczesnych ataków na sieci państw z całego świata. ENISA zarekomendowała również Państwom Członkowski niezależne przeprowadzanie podobnych testów na poziomie krajowym. Podobne ćwiczenia były do tej pory oficjalnie przeprowadzane w USA.

We wrześniu tego roku Komisja Europejska rozpoczęła prace nad nową dyrektywą, zgodnie z którą sprawcy podobnych ataków cybernetycznych i producenci oprogramowania służącego do takich celów mogliby być ścigani na drodze prawno karnej i podlegać surowym karom. Państwa Członkowskie byłyby również zobowiązane do szybkiej reakcji na pilne prośby o pomoc w przypadkach ataków cybernetycznych, by zwiększyć skuteczność współpracy organów ścigania w tej dziedzinie. Nowe prawo przewiduje również stworzenie systemu rejestrowania i śledzenia cyberprzestępczości w Internecie.

Cyberataki były również jednym z głównych tematów szczytu NATO, który obył się w Lizbonie w dniach 19-20 listopada, podczas którego między innymi dyskutowano czy ataki w cyberprzestrzeni są objęte art. 5 paktu. Tzw. klauzula o agresji zawarta w tym artykule stanowi, iż atak na jedno państwo należące do NATO jest atakiem na cały pakt. Szerzej na ten temat:

https://www.computerworld.pl/news/364103/Czy.klauzula.o.agresji.na.panstwo.NATO.dotyczy.cyberatakow.html

Jacek Pakuła

Jacek Pakuła


jacek.pakula@dzp.pl

Komentarze

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *