Φέτος, όπως και τα προηγούμενα δύο χρόνια, παρά την έλλειψη σε μόνιμο προσωπικό και την ανυπαρξία ξεχωριστού Τμήματος Πληροφορικής στο Δήμο μας, συμμετέχουμε στην άσκηση κυβερνοασφάλειας Πανόπτης 2023. Μετά από τη παρακολούθηση της ημερίδας από το ΓΕΕΘΑ/Ε5 (ΔΙΑΚΥΒ), ενημερωθήκαμε για το σκοπό του τμήματος αυτού και την αποστολή του.
Συγκεκριμένα αναφέρθηκαν στη σημασία που έχει ο έγκαιρος εντοπισμός και η αντιμετώπιση των κυβερνοεπιθέσεων σε καθημερινή βάση για τη προστασία των πληροφοριακών δικτύων και υποδομών των ΕΔ. Οι αρμοδιότητες τους δε σταματούν μόνο σε αυτή την αποστολή. Ακολουθούν συγκεκριμένες οδηγίες για τη συλλογή, το διαμοιρασμό και την εκμετάλλευση πληροφοριών που αφορούν κυβερνοαπειλές. Γίνονται συνεχείς έλεγχοι διείσδυσης (Penetration tests) και γίνεται αντιμετώπιση και αποκατάσταση στη περίπτωση κυβερνοεπιθέσεων. Σημαντική υπηρεσία είναι η ψηφιακή σήμανση (forensics), καθώς επίσης και η επιτήρηση δικτύων.
Η Αρμόδια Ομάδα Απόκρισης για συμβάντα που αφορούν την ασφάλεια υπολογιστών (Computer Security Incident Response Team - όπως είχαμε περιγράψει σε άλλο μας άρθρο η «αρμόδια CSIRT»), είναι αρμόδια για το χειρισμό κινδύνων και συμβάντων βάσει επακριβώς καθορισμένης διαδικασίας, η οποία ανήκει στην Διεύθυνση Κυβερνοάμυνας του ΓΕΕΘΑ. Τις αρμοδιότητες της ορίζει ο Ν. 4577/2018.
Μέχρι τώρα οι δράσεις που έχουν γίνει από την υπηρεσία αυτή είναι να δώσει ένα κατευθυντήριο πλαίσιο (Στρατιωτική Στρατηγική) Κυβερνοάμυνας, συντάσσοντας το δόγμα επιχειρήσεων Κυβερνοχώρου. Έχει γίνει μελέτη και έχει συνταχθεί η πολιτική κυβερνοάμυνας και το τεχνικό εγχειρίδιο ασφαλείας. Η ενημερωτική σελίδα που διατηρεί η υπηρεσία μπορεί να επισκεφτεί ο πολίτης και να ενημερωθεί για θέματα ασφαλείας πληροφοριακών συστημάτων και υπολογιστών.
Οι βασικές οδηγίες που δίνονται σε επίπεδο οργανισμού, για αποτελεσματική κυβερνοασφάλεια είναι οι παρακάτω:
- Χρήση επικαιροποιημένου / σύγχρονου υλικού και λογισμικού και καλή γνώση
τόσο του δικτυακού περιβάλλοντός τους, όσο και πολύ καλή γνώση των χρηστών
του δικτύου τους. - Κατανόηση της απειλής (από ποιους κινδυνεύουμε, ποια η τακτική, ποιες οι τεχνικές
τους και οι διαδικασίες τους και ποια και τα εργαλεία τους, ποιες οι επιπτώσεις στον
οργανισμό μας) - Εφαρμογή ενός σχεδίου ευαισθητοποίησης των χρηστών (ευθυγράμμιση του
οργανισμού με σκοπό την υποστήριξη της κυβερνοασφάλειας) και ένα
επικαιροποιημένο και εφαρμοσμένο πρόγραμμα εκπαίδευσης / κατάρτισης /
ειδίκευσης για τους ειδικούς στην ασφάλεια στον κυβερνοχώρο και στην
κυβερνοάμυνα. - Εφαρμογή πολυεπίπεδης προληπτικής κυβερνοασφάλειας (Εφαρμογή πολιτικής
και κανόνων ασφαλείας όπως κατακερματισμένο δίκτυο, χρήση Firewall, Avs, IDS, IPS,
VPN, κλπ.) - Εκπόνηση, δοκιμή και έτοιμο να εφαρμοστεί σχέδιο διαχείρισης / αντιμετώπισης
κυβερνοεπιθέσεων, τόσο σε επίπεδο δικτύου όσο και σε επίπεδο προσωπικού
υπολογιστή. - Ανάπτυξη πολυεπίπεδων μηχανισμών εντοπισμού κυβερνοεπιθέσεων τόσο στην
περίμετρο όσο και σε επίπεδο προσωπικού υπολογιστή [Λειτουργία ΚΑΚ - Κέντρου
Αντιμετώπισης Κυβερνοπεριστατικών (SOC), Monitoring, SIEM, EDR] - Συλλογή και διαμοιρασμό πληροφοριών κυβερνοαπειλών (Cyber Threat
intelligence) σε επίπεδο προσωπικού υπολογιστή και στην περίμετρο. - Διεξαγωγή ελέγχων / αξιολογήσεων / ασκήσεων ασφαλείας με χρήση κόκκινης
εναντίον μπλε ομάδας (Vulnerability, penetration tests, Red vs Blue team
Assessments, social Engineering Assessments) - Εφαρμογή προληπτικής κυβερνοάμυνας [Ανάπτυξη και καθημερινή χρήση έξυπνων
κυνηγών κυβερνοαπειλών (Cyber Intelligent hunters)]. - Εκπόνηση, δοκιμή και έτοιμο να εφαρμοστεί ενός σχεδίου αποκατάστασης (DRP
Disaster Recovery Plan) σε περίπτωση επιτυχημένης κυβερνοεπίθεσης τόσο σε
επίπεδο συστήματος όσο και δικτύου. - Θα πρέπει να διαθέτουμε εκπαιδευμένη ομάδα αποκατάστασης.
Η άσκηση κυβερνοάμυνας
Μια τέτοια άσκηση έχει σκοπό να προσομοιώσει πραγματικές κυβερνοεπιθέσεις τις οποίες θα πρέπει να αντιμετωπίσουν οι επαγγελματίες οργανισμών, στηριζόμενοι στη πολιτική τους και στις δυνατότητές τους. Αντικειμενικός σκοπός είναι να εξεταστούν οι διαδικασίες και οι δυνατότητες του οργανισμού, στην αντιμετώπιση των κυβερνοεπιθέσεων. Δοκιμάζεται η ετοιμότητα ενός οργανισμού, στην αντιμετώπιση κυβερνοεπιθέσεων.
Οι τύποι των ασκήσεων διεξάγονται είτε σε πραγματικό χρόνο είτε σε μη πραγματικό χρόνο ή μεικτές. Οι ασκήσεις παρέχονται σε ελεγχόμενο περιβάλλον για την εξάσκηση των συμμετοχόντων. Η μεγάλης έκτασης άσκηση έχει σκοπό τη προσομοίωση σε εθνικό επίπεδο και δεν επηρεάζει τα παραγωγικά δίκτυα.
Η άσκηση μη πραγματικού χρόνου, περιλαμβάνει διάφορα επεισόδια, όπως: διαδικασίες αντιμετώπισης κυβερνοεπιθέσεων, ψηφιακής σήμανσης, ανάλυσης ιομορφικού λογισμικού, διαδικασίες αναφοράς συμβάντων σε επίπεδο οργανισμού και εθνικό επίπεδο και διμοιρασμό πληροφοριών.
Οι συμμετέχοντες οργανισμοί ξεπερνούν τους 300 και προέρχονται από τις ΕΔ και τα σώματα ασφαλείας, ακαδημαϊκό τομέα, Δημόσιο τομέα, εθνικές κρίσιμες υποδομές και τον ιδιωτικό τομέα.
Η εξάσκηση της εθνικής κοινότητας αντιμετώπισης κυβερνοεπιθέσεων δίνει ιδιαίτερη έμφαση στο:
- Συντονισμό των αρμοδίων φορέων στην αντιμετώπιση των
κυβερνοεπιθέσεων σύμφωνα με το Εθνικό Σχέδιο Αντιμετώπισης
(δεν έχουμε, πρέπει να το αναπτύξουμε). - Εντοπισμό και βελτίωση των συνεργασιών μεταξύ ιδιωτικού και
δημοσίου τομέα, σε όλα τα επίπεδα. - Εντοπισμό τυχόν αδυναμιών παραλήψεων όσο αφορά τις
διαδικασίες, νομικές πτυχές που έχουν επίπτωση στην
αντιμετώπιση. - Εντοπισμό των διαδικασιών και των καναλιών για τον σωστό
διαμοιρασμό των πληροφοριών.
Μερικά παραδείγματα τεχνικών επεισοδίων είναι client side attacks, social engineering, digital forensics challenges, malware analysis, attacking web services, insiders, data ex-filtration, adversaries simulation, legal injects, scada.
Η προετοιμασία της άσκησης απαιτεί έξι (6) μήνες σχεδιασμού και η διάρκειά της είναι πέντε (5) μέρες. Την πέμπτη μέρα αφιερώνεται σε εξαγωγή συμπερασμάτων.
Το σημαντικότερο είναι η επικοινωνία και ο συντονισμός στην περίπτωση των κυβερνοεπιθέσεων. Σκοπός είναι ο συμμετέχων να γνωρίσει τα κανάλια επικοινωνίας, τις μεθόδους, τα μέσα και τα πρωτόκολλα, πριν από την ανάγκη αντιμετώπισης των κυβερνοεπιθέσεων. Οι Τυποποιημένες Διαδικασίες Λειτουργίας (SOP - playbooks) πρέπει να εκπονηθούν εκ των προτέρων σε επίπεδο οργανισμού. Θα δοθεί έμφαση στην ανάπτυξη και χρήση των playbooks στην αντιμετώπιση των κυβερνοεπιθέσεων.