CSIRT je skratka anglického názvu Computer Security Incident Response Team, čo je označenie pre tím/jednotku pre detekciu a reakciu na počítačové bezpečnostné incidenty. Vedeli ste, že aj u nás na fakulte máme takéto pracovisko? Bolo založené v marci 2023 a na jeho chode sa podieľajú nielen zamestnanci, ale aj študenti FEI STU. Jednou z takýchto pracovníčok je Veronika Paulinyová, študentka posledného ročníka Ing. štúdia aplikovanej informatiky so zameraním na bezpečnosť informačných systémov.
Čo si predstaviť pod pojmom počítačový bezpečnostný incident?
Bezpečnostný incident je akákoľvek udalosť, ktorá narušuje alebo má potenciál narušiť počítačovú bezpečnosť vzhľadom na nastavené politiky organizácie. Môže ohroziť dôvernosť, dostupnosť alebo integritu informácií alebo informačného systému, ktorý je potrebné chrániť.
Aké informácie je potrebné chrániť? Vedeli by ste uviesť príklad?
Chrániť treba takzvané aktíva. Aktíva sa delia na primárne a podporné. Primárne aktíva sú najmä informácie, činnosti a procesy slúžiace na napĺňanie poslania organizácie. Pre náš univerzitný CSIRT je primárnym aktívom edukačná a vedecká činnosť fakulty. Primárne aktíva závisia od podporných aktív, čo sú napríklad informačné systémy, počítačová sieť, technologická infraštruktúra, ale aj ľudia zabezpečujúci spracovanie informácií. Pre nás je to najmä fungovanie akademického informačného systému, dostupnosť univerzitnej počítačovej siete študentom aj vyučujúcim, zabezpečenie laboratórií a mnohé ďalšie.
Je možné, aby všetky tieto aktíva chránila jedna organizácia?
Áno, pokiaľ správne funguje spolupráca medzi všetkými členmi organizácie. Ak sú pracovníci dostatočne informovaní, ochotní incidenty nahlasovať a predovšetkým dodržiavať nastavené bezpečnostné politiky. Bezpečnosť nie je dielom jednotlivca, ale celej organizácie. Ako univerzitný CSIRT máme výhodu, že mnohé oblasti bezpečnosti na fakulte majú svojich správcov a koordinátorov, s ktorými môžeme komunikovať.
Čo konkrétne robí pracovník CSIRT-u na FEI STU?
Jeho úlohou je sledovať a reagovať na nebezpečné zaobchádzanie s aktívami. Robí to dvomi formami. Prvou je možnosť získania podnetu od zamestnanca alebo študenta pomocou formulára, či osobne. Jedným, z nahlásených incidentov bola napríklad tlačiareň, ktorá tlačila bez vyzvania na papiere nahnevaných smajlíkov a nepekné slová. Druhou formou je náš vlastný monitoring. V kooperácii s výpočtovým strediskom aktuálne nasadzujeme do siete takzvané monitorovacie zariadenia. Tieto zariadenia majú za úlohu sledovať dianie na sieti a nahlásiť podozrivú aktivitu.
Čo je alebo môže byť podozrivou aktivitou? Vedeli by ste uviesť príklad?
To, že sledujeme sieť, neznamená, že nad každým počítačom v sieti sedí člen CSIRT-u a sleduje, kto si počas pracovných hodín otvoril Facebook. To nie je pre fakultu potenciálnym nebezpečenstvom, a teda to nie je podozrivá aktivita. Naopak, podozrivou aktivitou, bezpečnostným incidentom, je napríklad sto študentských počítačov v jednej učebni posielajúcich dopyt na GitHub (vzdialený server) s pokusom o prihlásenie sa. Takáto aktivita pripomína snahu o DDoS (angl. Distributed Denial of Service), čo je útok, kedy množstvo počítačov vyžiada odpoveď od obete, aby ju tak zahtila žiadosťami, čo má za následok zlyhanie cieľového zariadenia. Takáto podozrivá aktivita je automaticky zaznamenaná monitorovacím zariadením, ktoré o nej informuje členov CSIRT-u. CSIRT následne rozhodne, či ide o bezpečnostný incident, na ktorý treba reagovať alebo či len v danej miestnosti prebieha cvičenie, v rámci ktorého sa študenti učia pracovať s GitHub-om.
Existujú podozrivé aktivity, ktoré môže človek prehliadnuť, pretože nevie, že by mohli byť nebezpečné?
Určite áno. Mnohé bezpečnostné incidenty sa začínajú ako malý detail, ktorý bol objavený náhodou. Niekomu pripadal podozrivý a tak sa rozhodol ho nahlásiť. Pre príklad môžeme uviesť spoločnosť vlastniacu automaty s nápojmi. Pri každom výbere z automatu odišla z karty suma o 10 centov vyššia než uvedená suma. Jedna študentka sa to rozhodla nahlásiť a zistilo sa, že išlo o bezpečnostnú chybu systému, ktorá bola pravdepodobne už dlhší čas takticky zneužívaná pre osobné obohatenie sa útočníka. Všetci pred touto študentkou si povedali, že 10 centov nie je dôležitých alebo si rozdiel vôbec nevšimli. Odhadovaná suma, ktorú útočník takto získal, bolo niekoľko tisíc eur. (Niektoré fakty tohto príbehu mohli byť pozmenené.)
Ako vyzerá bezpečné narábanie s počítačom, aby počítačový bezpečnostný incident nevznikol?
Jediný spôsob, ktorým sa na 100% vyhnúť akémukoľvek vzniku bezpečnostného incidentu, je vypnúť a odpojiť všetky zariadenia od elektrickej energie a zavrieť ich do skrine. Inak je tu vždy riziko, že sa niečo stane. Našťastie, toto riziko je možné mitigovať, teda znižovať na akceptovateľnú mieru tak, že každý používateľ vie, s akými informáciami alebo technikou narába, čo a ako môže robiť, pričom ani nemá oprávnenia na to, čo robiť nemôže. Je to kombinácia edukácie a pridelenia právomocí len autorizovaným a len na čas, kedy je to pre nich relevantné.
Akým spôsobom prebieha edukácia?
Formu edukácie si volí a prispôsobuje organizácia, keďže je potrebné zvážiť špecifickosť jej prostredia. Štandardne prebieha edukácia formou bezpečnostných školení. Školenia je možné “okoreniť” napríklad zaslaním phishingového alebo iného falošného e-mailu. Po kliknutí na prílohu bude namiesto inštalácie škodlivého softvéru zamestnanca informovať, že táto príloha síce nie je škodlivá, no, ak by bola, systém jeho počítača by bol v tomto momente napadnutý. Pre naučenie sa rozlišovať, čo je falošný e-mail a čo reálny, odporúčame napríklad od csirt.sk (Slovenský vládny CSIRT) phishingový test.
Čo všetko sa môže naučiť študent, ktorý sa stane členom CSIRT FEI STU?
V našom CSIRT-e máme študentov aj vyučujúcich, ktorí sa zaujímajú o kyberbezpečnosť. Aktuálne máme študentov aplikovanej informatiky na FEI STU, ktorí chcú získať praktické skúsenosti v oblasti bezpečnosti (monitorovanie, nasadzovanie bezpečnostných nástrojov, sledovanie sieťovej prevádzky) nad rámec výučby, ale aj zvedavci a výskumníci, ktorí chcú pohnúť bezpečnosť vpred. Skupina študentov sa venuje vývoju našej webovú stránky a formulára na nahlasovanie incidentov. Spoluprácu poskytujeme aj pre záverečné práce. Ďalšia časť “CSIRTákov” sa venuje edukačnej činnosti. Na FEI STU zabezpečujeme predmety Počítačová kriminalita a Operačné systémy. V kooperácii so SPŠE Zochova naši členovia učia stredoškolákov predmety Kyberbezpečnosť, Počítačové siete a Programovanie. Napriek tomu, že sme veľmi mladý univerzitný CSIRT (založený v roku 2023), máme pomerne široký záber praxe, edukácie a výskumu. Veríme, že v budúcnosti sa ešte rozšíri.
Poznáte nejaké iné univerzitné CSIRT-y? Ak áno, ste nejako prepojení?
Áno, všetky CSIRT-y si zakladáme na tom, aby sa povedomie o dôležitosti Kyberbezpečnosti šírilo a preto sme otvorení spolupráci. Ako CSIRT FEI STU komunikujeme s CSIRT-MU (CSIRT na Masarykovej univerzite v Českej republike). Má značné skúsenosti a históriu, keďže bol založený v roku 2009. Na Slovensku je CSIRT UPJŠ na Univerzite Pavla Jozefa Šafárika v Košiciach, ktorý je prvým univerzitným CSIRT-om na Slovensku.
Aplikovaná informatika CSIRT FEI STU Prečo študovať na FEI STU
