Šéf vládnej kyberjednotky: Bez novej investície by sme útoky naďalej zisťovali viac-menej náhodne

Lukáš Hlavička šéfuje od roku 2016 vládnej jednotke CSIRT pre riešenie kybernetických bezpečnostných incidentov, ktorá sídli na úrade podpredsedu vlády pre investície a informatizáciu (ÚPVII). V rozhovore reaguje na kritiku chystaného kyberprojektu Rašiho úradu, ktorého veľká časť je utajená.

Hovorí, že na Slovensku sa dlhé roky neinvestovalo do kybernetickej bezpečnosti, niektoré inštitúcie nie sú schopné sa monitorovať a niektoré len do nejakej úrovne. V rozhovore vysvetľuje, ako tvorili rozpočet projektu pre 4 kybernetické jednotky – NBÚ, úrad podpredsedu vlády, SIS a NASES, ako je to s ľudskými zdrojmi a čo analyzoval Útvar hodnoty za peniaze. 

Skúste vysvetliť, prečo je projekt dôležitý.

Na Slovensku sa dlhé roky neinvestovalo do kybernetickej bezpečnosti, niektoré inštitúcie nie sú schopné sa monitorovať, niektoré len do nejakej úrovne. Projekt je rozdelený na tri časti – na infraštruktúrnu časť, preventívne a reaktívne služby. Hovorím teraz za vládnu jednotku CSIRT – viac ako 60 % je na infraštruktúrne časti. Toto treba dobudovať, vybudovať centrálne dohľadové pracovisko, kam tie dáta pôjdu a kde sa budú dohliadať. Ďalších 20 % je na preventívne činnosti. Bola diskusia o penetračnom testovaní. Za vládnu jednotku na to ide iba 180-tisíc eur, aj to zväčša iba na licencie. Veľká väčšina rozpočtu projektu ide na infraštruktúru, na vybudovanie vecí, ktoré sú potrebné zo zákona a aby fungovala celá kostra kybernetickej bezpečnosti. Tieto 4 jednotky boli navrhnuté tak, aby tvorili celú  kostru riešenia kybernetickej bezpečnosti. Napríklad len verejná správa bude tvoriť 80 % systémov identifikovaných ako základné služby v zmysle zákona o kybernetickej bezpečnosti.

Zo štúdie nie je jasné, aké služby budú tieto štyri jednotky poskytovať potom, čo sa tam zainvestuje 45 miliónov eur.

Služby jednoznačne definuje zákon o kybernetickej bezpečnosti. Vďaka investícii budú všetky štyri CSIRT-y schopné ich systematicky vykonávať. NASES bude monitorovať a chrániť ústredný portál verejnej správy (Slovensko.sk) a vládnu sieť Govnet. Vládna jednotka CSIRT bude dohliadať na celú verejnú správu z hľadiska bezpečnosti a keď bude nejaký incident, bude ho riešiť, súčasne bude poskytovať celej verejnej správe expertné služby, napríklad pokročilú forenznú analýzu, analýzu škodlivého kódu, penetračné testovanie a ďalšie. Sumárnu informáciu o stave kybernetickej bezpečnosti vo verejnej správe budeme dávať NBÚ, kde sa budú tieto informácie vyhodnocovať a korelovať s informáciami z ostatných sektorov a bude sa vyhodnocovať bezpečnosť na národnej úrovni. Rovnako bude mať k dispozícii kapacity, ktoré ďalšie jednotky nebudú mať (napríklad riešenie incidentov na technológiách typu SCADA). SIS bude obohacovať tieto informácie o dáta zo spravodajskej činnosti. Keď príde nová jednotka, nový garant sektora podľa zákona o kybernetickej bezpečnosti, môže si vybudovať jednotku sám, alebo outsourcovať od nás.

Čo by bolo iné, keby sa projekt za 45 miliónov nespravil, bola by ohrozená národná bezpečnosť?

Áno, aj. Takmer celý projekt sa musí tak či tak budovať kvôli zákonným povinnostiam. Ak by sa robilo iba to, čo formalisticky vyplýva zo zákona, možno by sa jeho cena znížila o 3, 4, 5 miliónov. Keby sa to nerobilo vôbec, útoky by sme naďalej detekovali viac-menej náhodne, pretože to v súčasnosti nie je systematické.

Spýtam sa ešte inak, keby bol cielený hackerský útok na niektoré ministerstvo, čo to po tej investícii bude znamenať?

Procesne nebude rozdiel až taký veľký, pretože stále by sa obrátili na nás (pozn. na vládnu jednotku CSIRT). Len naše kapacity sú také obmedzené, že keď riešime jeden rozsiahlejší bezpečnostný incident, všetky ďalšie aktivity – preventívne aj reaktívne, musia ísť v tom momente bokom, čo je z bezpečnostného hľadiska nonsens. Máme presne identifikované organizácie, ktoré majú zvýšené požiadavky na bezpečnosť, ale, samozrejme, vám nemôžem presne povedať, ktoré to sú aj z bezpečnostného hľadiska. Vieme, koľko majú informačných systémov, aké majú siete. Za istý čas im treba pre zabezpečenie adekvátnej úrovne bezpečnosti urobiť nejaké úkony, bezpečnostné audity, penetračné testy. Keď to chceme robiť pravidelne, komplexne a systematicky, na to potrebujeme kapacity. Keď sa dnes stane bezpečnostný incident, tieto aktivity sa často posunú o mesiace.

Spätne si nemyslíte, že by bolo lepšie, keby ste zverejnili detailnejší rozpočet, čo idete za 45 miliónov nakupovať?

Za vládny CSIRT – časť projektu, konkrétne 60 %, je základ pre všetky pracoviská, aby vôbec bolo možné vykonávať činnosti jednotiek CSIRT (v rámci toho je najmä vybudovanie pracoviska na bezpečnostný dohľad a spoločné moduly). Celá verejná správa na Slovensku má rovnaké problémy – nedostatočné technologické a personálne vybavenie, nedostatočné kompetencie. Náš úrad a NBÚ rieši legislatívnu/kompetenčnú otázku prostredníctvom zákona o kybernetickej bezpečnosti, resp. zákona o ITVS (verejná správa), organizačnú otázku prostredníctvom zmeny organizačnej štruktúry, technologickú prostredníctvom tohto projektu a personálnu prostredníctvom navýšenia zdrojov (tabuľkových miest a finančného krytia) zo štátneho rozpočtu.

Môžete povedať aspoň to, ako sa tých 45 miliónov rozdelí pre každú zo štyroch CSIRT jednotiek?

K tomu sa nebudem vyjadrovať, rozdelenie na jednotky CSIRT je uvedené v štúdii v časti CBA.

Videl a hodnotil náklady vášho projektu Útvar hodnoty za peniaze?

Útvar hodnoty za peniaze videl materiál do úrovne, na ktorú mu stačila úroveň previerok, ktoré mal k dispozícii. Zamerali sa na časť nákladov, ktorá bola dostupná. Videli časť nákladov ÚPVII a NASES-u až na úroveň jednotlivých položiek. Nemohli pripraviť štandardné hodnotenie, lebo časť projektu je utajená.

Aký bol ich záver k časti, ktorú analyzovali?

Dali návrh na ušetrenie nákladov na nákup štandardného hardvéru a softvéru. Vychádzali z toho, že štandardne na trhu pri verejných obstarávaniach je zľava 15 %. Povedali nám, že máme znížiť cenu o tých 15 %, čo sme spravili. Posúdili dokopy zhruba 7 miliónov eur štandardného HW a SW. Na základe ich odporúčaní sme zapracovali zníženie o zhruba 800-tisíc eur.

V štúdii ste vôbec nebrali do úvahy, že podstatnú časť týchto služieb dnes vedia poskytnúť komerčné firmy.

Z minulosti máme niektoré negatívne skúsenosti so súkromným sektorom. Napríklad sa stalo, že sme prišli na penetračný test do jednej organizácie, ktorú sme “vykompromitovali na komplet” (pozn., úspešný penetračný test s ovládnutím celej infraštruktúry). Tri roky predtým tam každý rok išla súkromná spoločnosť a penetračný test bol bez nálezu. Pritom tie nálezy boli také, že ich bolo jednoduché identifikovať a boli tam už roky.

Tvrdíte, že komerčné firmy to nevedia robiť poriadne?

To netvrdím. Hovorím, že niektoré to nerobia, pokiaľ na štátnej úrovni neexistuje niekto, kto ich dokáže skontrolovať. Aj každý eurofondový projekt musel prejsť bezpečnostným testovaním vládneho CSIRT-u. Úroveň bezpečnostných systémov sa potom často zvýšila o niekoľko desiatok percent. Myslím si, že aj kvôli tomu majú niektoré firmy výhrady.

K čomu presne?

K tomu, že štát si to bude robiť sám. A keď niektoré činnosti, ktoré štát robiť nevie, bude robiť dodávateľ, odborný tím bude kontrolovať kvalitu z hľadiska bezpečnosti. Niektoré firmy vykonávajú tieto veci, samozrejme, kvalitne. Len pokiaľ tú činnosť potrebujete robiť neustále, čo potrebujete, je vždy drahšie si ich outsourcovať, ako mať svoje.

Prečo sú náklady projektu oproti doterajším nákladom CSIRT jednotiek vysoké? Aj to je jedna z výhrad.

Až doteraz bola väčšina činností vykonávaná na dobrovoľnej ochotníckej báze a v rozsahu kapacít, ktoré boli dostupné. Neboli sme schopní systematicky detekovať mnohé bezpečnostné incidenty a o mnohých sme sa dozvedeli až potom, čo sa stala škoda. Keď to chceme robiť systematicky, nemôže to byť postavené na náhode a to si vyžaduje aj vyššie náklady, kompetencie a personál.

Časť odbornej verejnosti vám vyčíta, že ste nespracovali kvalitne štúdiu k vášmu IT projektu na riešenie incidentov kybernetickej bezpečnosti. Veľa vecí je utajených, zo štúdie nie je jasné, čo presne idete nakupovať, za akú cenu a čo majú presne robiť štyri jednotky pre kybernetickú bezpečnosť (pozn. NBÚ, úrad podpredsedu vlády, SIS a NASES), ktoré sa majú novým IT dovybaviť.

Je to možno trochu chyba na našej strane, že sme neskopírovali do štúdie všetky časti schválených a záväzných dokumentov, len sme jednoznačne povedali, že projekt zabezpečí dva typy služieb v zmysle zákona o kybernetickej bezpečnosti – preventívne a reaktívne. Možno by sa niektoré nezrovnalosti automaticky vysvetlili. Zákon totiž jednoznačne hovorí, aké služby majú CSIRT-y poskytovať, ktoré jednotky majú vzniknúť a aké majú mať povinnosti. Spracovatelia štúdie vychádzali z toho, že sú dostupné všetky všeobecne záväzné predpisy a všetky schválené dokumenty, aj strategické. Tento projekt je okrem platnej legislatívy v súlade aj s koncepciou kybernetickej bezpečnosti, aj s akčným plánom ku koncepcií kybernetickej bezpečnosti, aj s návrhom realizácie strategickej priority Kybernetická bezpečnosť.

Projekt má stáť 45 miliónov, no nie je jasné, aký hardvér a softvér a za koľko chcete nakupovať. V štúdii mohla byť detailnejšia kalkulácia nákladov. Jeden z odborníkov napríklad hovorí, že každý vie, že CSIRT tím používa nástroje pre forenznú analýzu, kde sa cena pohybuje od 5-tisíc do 200-tisíc eur za licencie. Ak zabezpečujú aj bezpečnostné operačné stredisko, tak na monitoring potrebujú softvér pre SIEM (pozn. manažment bezpečnostných informácií a udalostí), kde sú opäť ceny pri veľkých prostrediach od 40-tisíc do 700-tisíc eur.

Čo sa týka licencií na forenzné nástroje, rozsah cien je úplne iný. Čo sa týka SIEM-u, je to jeden z komponentov, ale veľmi malý komponent niektorých pracovísk jedného z partnerov vládnej jednotky CSIRT). My nejdeme robiť len SIEM, ale okrem iného v rámci tejto problematiky kompletné Dohľadové bezpečnostné centrum (SOC) pre verejnú správu. Cena projektu nevznikla tak, že si ju niekto náhodne povedal, ale bola stanovená na základe identifikovaných potrieb zapojených partnerov a návrhu riešenia týchto potrieb. Projekt bol navrhovaný zdola hore. To znamená, že si sadli 4 tímy (každý partner projektu má vlastný). Len za vládny CSIRT robilo na príprave projektu sedem ľudí od súdnych znalcov, forenzných analytikov, bezpečnostných analytikov až po expertov na penetračné testovanie. Väčšina z nich sú držitelia medzinárodne uznávaných certifikátov. Úzko spolupracujeme aj s akademickým sektorom. Na celom projekte pracovalo viac ako 30 ľudí vrátane tímu na úrade podpredsedu vlády. Bol som v tíme vládnej jednotky CSIRT, takisto sme spolupracovali s CSIRT-om NBÚ, SIS a NASES-u. Projekt prípravy fungoval tak – povedzme si, čo potrebujeme, aké pracoviská, čo tam minimálne potrebujeme. My sme tieto veci spoločne analyzovali a identifikovali sme, že čo je potrebné. Konkrétne vládny CSIRT vykonal v inštitúciách verejnej správy 180 penetračných testov od roku 2012. Zase NBÚ má vo svojej pôsobnosti prehľad na národnej úrovni. SIS má kompletný prehľad zo spravodajského sveta. NASES má zase prehľad o tom, čo potrebuje na zabezpečenie základných komponentov e-governmentu a Govnetu. Riadiaci výbor od nás ešte dostal 20-stranový podklad, kde boli tieto veci ešte hlbšie vysvetlené.

Pýtali ste sa aj priamo firiem, robili ste trhové konzultácie?

Pri tomto projekte to nie je možné, preto sme si to dali odobriť externým pracovníkom, nezávislým odborníkom, ktorý je odborne spôsobilý a má bezpečnostné previerky. On to videl celé, všetky rozpočty, jednotkové ceny. Dokonca aj časti, ktoré som ani ja nevidel. Ceny jednotlivých komponentov boli stanovené jedným z troch spôsobov: kontaktovali sme dodávateľov na základe predchádzajúcich zmlúv, na základe ponuky e-shopov a na základe e-mailovej komunikácie s výrobcami, resp. distribútormi jednotlivých komponentov. Moji ľudia prechádzali niekoľko sto malých položiek, napríklad USB kľúčov a hľadali tri ponuky z troch slovenských e-shopov. Čo sa týka vývoja, použili sa ceny človekodní z komerčného sektora. My sme vedeli, koľko trvá taký vývoj jednak na základe vývoja predchádzajúcich riešení a na základe typu a počtu jednotlivých funkcionalít v jednotlivých vyvíjaných častiach riešenia. Takto bola zistená cena. Ďalšia vec je, že väčšinou sa to prezentuje ako nákup hardvéru a softvéru a tieto ďalšie časti sa v projekte nespomínajú. V štúdií je jednoznačne uvedené, že súčasťou je aj vývoj niektorých komponentov, zabezpečenie školení a úprava priestorov.

V štúdii je uvedené, že sa nakúpi hardvér za 19 miliónov a softvér za 18 miliónov, no nič detailnejšie.

Áno a je to aj z toho dôvodu, lebo my máme na Slovensku 4 expertné tímy. Na NBÚ, u nás, v SIS a v NASES. Každý z týchto tímov si konfiguráciu na služby vie urobiť sám. Jediné, čo na to potrebuje, je ten hardvér, softvér a dovyvíjať nejaké komponenty. Všetko ostatné si poskladá sám jednak z bezpečnostného hľadiska a jednak preto, že je zbytočné navyšovať cenu ďalej za nejaké externé služby, keď si to vieme spraviť sami. Ďalšia výhrada bola, ako si to viete spraviť, keď nemáte kapacity. To vôbec nie je pravda.

Áno, jedna z výhrad je, že projekt nerieši vôbec ľudské zdroje.

Áno, nerieši, pretože z OPII (pozn., ide o eurofondový operačný program Integrovaná infraštruktúra) sa ľudské zdroje zaplatiť nedajú. Vy tých ľudí potrebujete mať ako trvalých zamestnancov, ktorí systematicky budú pracovať na tom, aby kybernetickú bezpečnosť chránili a zvyšovali.

Budete na to pýtať peniaze z rozpočtu?

Áno. Úrad podpredsedu vlády už momentálne zriadil Centrum pre informatickú a kybernetickú bezpečnosť, v rámci ktorého je aj vládny CSIRT. Vo vládnej jednotke sa počíta so 45 odborníkmi na kybernetickú bezpečnosť. S pomocou odborníkov z univerzít a súkromného sektora ich budeme školiť a takto si zvyšovať svoje kapacity. My sme tento projekt urobili tak, aby mal čo najnižšiu cenu a bol čo najefektívnejší. Napriek tomu je reakcia opačná a podľa nás neoprávnená. My hovoríme – kúpime hardvér, sami si ho nainštalujeme, nakonfigurujeme a dovybavíme ľudské kapacity, ktoré momentálne máme.

Dokonca aj IT Asociácia Slovenska mala výhrady k tomu, že projekt nerieši ľudské zdroje.

ITAS na riadiacom výbore projekt podporil. Sadli sme si s ich odborníkmi a detailne sme si ho prešli. Úrad má komplexnú stratégiu, ako zvýšiť kybernetickú bezpečnosť a toto je jedna jej časť. Tieto veci boli prezentované aj v pracovných skupinách a sú uvedené aj v Národnej koncepcii informatizácie verejnej správy.

Ale výstupom je štúdia uskutočniteľnosti a v nej mnohé veci chýbajú. Úrad podpredsedu vlády pre investície a informatizáciu (ÚPVII) by mal ísť príkladom, ako sa majú robiť štúdie.

Toto je špecifický typ štúdie. Štandardne v zahraničí sú takéto projekty utajené úplne. Mimochodom, čo sa týka Veľkej Británie, aj keď majú priemerný incident 26-tisíc dolárov, na čo poukázalo Slovensko.Digital, na ďalších 5 rokov tam na kybernetickú bezpečnosť vyčlenili 2,5 miliardy dolárov. Urobili tak napriek tomu, že sa chystajú na brexit a budú tam mať ďalšie náklady.

Výhrada Slovensko.Digital je, že prínos projektu je postavený na jednom čísle, ktoré stačí zmeniť a z vysoko ziskového je zrazu stratový projekt. Ak je to číslo také dôležité, prečo potom nie je namodelované za Slovensko zo slovenských dát z minulosti, ale sa použil odhad škôd – spomínané 0,8 % HDP. Aj podľa metodiky európskej agentúry ENISA sa má vychádzať z dát z minulosti.

Aj ENISA hovorí o tom, že to nemôže byť jediný zdroj. Hypoteticky predpokladajme, že by sme neboli schopní detekovať žiadne incidenty z minulosti. Niekto by nám ukradol dáta, ale my o tom nevieme. Podľa nás je potom pocitová škoda nula. To znamená, že v minulých škodách je číslo nula a nepotrebujeme nič investovať. V skutočnosti to znamená iba to, že nevieme detekovať. A to je aj dôvod, prečo sa v odhadoch používa percento HDP. Keď sa vybudujú kapacity, zvýši sa počet incidentov, ktoré sme schopní detekovať. Zrazu zistíme, že to nie je 0,8 % HDP, ale 1,8 % HDP, možno viac.

Ako konzultačná firma Ernst & Young, ktorá robila expertný odhad, dospela k tomu, že odhadované škody kyberútokov na Slovensku predstavujú 0,8 % HDP?  Je známe, že vychádzala z celosvetových dát a prerátala ich na slovenské dáta.

Jednak vychádzala z metaštúdie, ktorá vychádza z viacerých štúdií vo viacerých krajinách. Ceny bezpečnostných incidentov napríklad v Británií boli odhadnuté na základe dotazníka 1523 britských spoločností, každá povedala, koľko ich to stálo. Otázka je, ktoré zo všetkých typov škôd do toho zarátali. Škody išli od niekoľko stoviek eur až do niekoľko stoviek miliónov. To záležalo od spoločnosti. Ak ste banka a ukradnú vám informácie o všetkých platbách klientov a zverejnia ich na webe, škody môžu byť niekoľko miliónov.

Aký bol doterajší počet incidentov, ktoré zistil vládny CSIRT od roku 2009, aká bola ich závažnosť a výška škôd?

Počet incidentov, ktoré sú závažného charakteru, minimálne od roku 2014 zverejňujeme na ročnej báze za vládnu jednotku. V roku 2018 došlo k delimitácii, preto ročenka za rok 2017 nie je, čísla vám vieme poslať (pozn., v roku 2017 riešil vládny CSIRT 230 závažných incidentov, približne vo štvrtine prípadov šlo o phishing, social engineering a pod.). Už v prípade jedného úspešného incidentu môžu ísť škody do stoviek miliónov eur. Predstavte si, že by na internet unikli dáta z dôležitého registra niektorej štátnej inštitúcie, napríklad Sociálnej poisťovne. Niekto by sa potom mohol za tých ľudí vydávať, niekto by mohol prostredníctvom toho kradnúť finančné prostriedky, získavať dávky alebo pôžičky, robiť podvody. Už len toto nijakým spôsobom neviete finančne ohodnotiť. Keby došlo ku kompletnej kompromitácii infraštruktúry nejakej štátnej organizácie a naozaj by bola kompletná, z veľkej časti je potrebné túto infraštruktúru prebudovať. Ak by tam bol útočník mesiace alebo rok, už nikto nie je schopný garantovať, že tam nezostal, najmä v prípade, že by bol útočník pokročilejší bez toho, aby sa to celé nanovo preinštalovalo.

Znamená to, že škody sa nedajú vyčísliť?

Dajú sa pri súkromných spoločnostiach. Otázka je, ako sa to dá pri štáte. Keď sa stane nejaký bezpečnostný incident, sú tam náklady na odstránenie, finančné straty, reputačné či náklady na odškodnenie.

Spomínaný odhad 0,8 % ale časť odbornej verejnosti spochybňuje.

Štúdia hovorí, že cena incidentu môže variovať a na základe toho medzinárodná spoločnosť McAfee hovorí, že je vhodnejšie ich vyčísliť ako % HDP, pretože cena incidentu závisí od schopnosti detekcie. Preto nie je vhodné použiť priemernú cenu incidentu. Štúdia uskutočniteľnosti  zohľadňuje scenáre, ktoré môžu nastať a aké môžu mať škody a berie ten najmenší. Prvý hovorí, že je napadnutý informačný systém, povie sa, koľko stál z rozpočtu alebo OPIS-u. Ďalší scenár hovorí, že je kompromitovaná celá inštitúcia. Automaticky sa berie cena všetkých informačných systémov, ich veľkú časť je potrebné prebudovať. Tretí scenár hovorí o tom, že by boli kompromitované centrálne prvky štátu, napríklad Štátna pokladňa. Aj pri prvom  scenári má projekt návratnosť.