Vzpostavitev sistema kibernetske obrambe na državni ravni

Varnostno operativni center eden ključnih elementov obrambe kritične nacionalne IT-infrastrukture

Potem ko je bila soočena s posledicami večjega kibernetskega napada na sisteme nacionalnega pomena, se je država odločila za vzpostavitev celovite obrambe kritične IT-infrastrukture. Za zaznavo in preprečevanje kibernetskih incidentov so izbrali NIL-ov varnostno operativni center.

Pustimo ob strani ugibanja o motivih, a dejstvo je, da so države in državne institucije priljubljena tarča hekerjev. Spomnimo samo na (domnevno) vmešavanje ruskih hekerjev v zadnje ameriške volitve z aktivnostmi na socialnih omrežjih, veliko se piše tudi o usmerjenih kibernetski napadih na električno infrastrukturo v ZDA. V Evropi so pred kratkim poročali o hekerskem napadu na nemške državne institucije. Aprila 2018 je kibernetski napad dobesedno ugasnil državno IT-okolje in storitve na otoku Sveti Martin v Karibih.

V podobni situaciji se je znašla tudi naša stranka, ena od tujih držav, ki se je soočila z (uspešnim) kibernetskim napadom na nekatere svoje ključne organizacije in institucije. Poleg škode, ki jo je povzročil, je napad predvsem opozoril na pomanjkljivosti v obrambi in na pomanjkanje sistematičnega pristopa k prepoznavanju, omejevanju in preprečevanju incidentov. Hkrati je najvišjim odločevalcem predočil resnost kibernetskih groženj ter potencialnih posledic. In ravno to zavedanje je bilo najpomembnejše pri odločitvi o posodobitvi obrambnih mehanizmov in vzpostavitvi celovitega povezanega sistema kibernetske varnosti na državni ravni.

Hitreje ko zaznaš napad, manjša je škoda

Državno podjetje, odgovorno za kibernetsko varnost, je pripravilo koncept sistema obrambe, ki bo pokrival celotno polje kibernetskih groženj in vse faze napadov. Eden ključnih nalog sistema je tudi učinkovita zaznava in ocena varnostnih incidentov ter odziv nanje. Po presoji in primerjavi različnih pristopov in rešitev se je odločilo za varnostno operativni center (angl. Security Operations Center – SOC) – natančneje NIL-ov predlog upravljanega varnostno operativnega centra (angl. Security Operations Center as a Services – SOCaaS). Glede na poslovne zahteve, kompleksnost vključenih informacijskih okolij, heterogenost opreme, modela rabe ter tudi zakonskih okvirov je bil to edini smotrn pristop.

Zmogljivosti upravljanega varnostno operativnega centra bodo na voljo vsem vključenim državnim organizacijam oziroma institucijam. Na ta način bo na državni ravni vzpostavljen enoten in pregleden obrambni mehanizem, ki bo učinkovitejši od različnih parcialnih rešitev znotraj posameznih organizacij. Administracija bo bolj konsistentna, vrhunski strokovnjaki znotraj upravljanega SOC-a pa bodo na voljo širši skupini institucij kot sicer. Zelo koristna lastnost tovrstnih postavitev je tudi možnost zbiranja in izmenjave informacij, ki so sicer specifične zgolj za posamezen gospodarski segment.

Postavitev SOCaaS-a v praksi

Projekt vzpostavitve SOCaaS smo z naročnikom pričeli načrtovati spomladi 2018. NIL-ova vloga v projektu je bila predvsem priprava arhitekture rešitve in načrta postavitve ter pomoč pri vključevanju naročnikovih uporabnikov v SOCaaS. Preden smo začeli s pripravo konkretnega koncepta, smo z naročnikom pregledali celotno okolje in ocenili vsa potencialno zanimiva orodja in tehnologije, ki jih bo vključeval njihov SOCaaS. Na osnovi te ocene smo pripravili koncept celotne rešitve in izvedbe z naslednjimi fazami:

• priprava visokonivojskega načrta rešitve,
• priprava podrobne arhitekturne rešitve s pripadajočo dokumentacijo,
• implementacija, integracija ter konfiguracija vseh orodij ter vzpostavitev upravljanega SOC-a pri naročniku,
• vključitev prvih naročnikovih strank v upravljani SOC z vsemi potrebnimi posegi,
• pomoč pri spremljanju in zaznavi incidentov ter odzivanju nanje v začetnem obdobju rabe SOCaaS.

Rešitev bo polno funkcionalna konec leta 2018. Takrat bo naročnik v SOCaaS vključeval tudi že prve organizacije. V tej fazi jim bo NIL pomagal pri upravljanju rešitve, naši strokovnjaki pa bodo na voljo tudi pri obravnavi zahtevnejših varnostnih incidentov.

Zakaj NIL-ov model varnostno operativnega centra?

Gonilo projekta vzpostavitve varnostno operativnega centra na državni ravni je bila konkretna izkušnja odločevalcev z vsemi negativnimi posledicami kibernetskih napadov in posledično zavedanje o pomembnosti zmanjševanja in obvladovanja kibernetskih tveganj. Koncept varnostno operativnega centra je bil najprimernejša pot za dosego teh ciljev.

Naročnik je NIL-u zaupal delikatno nalogo priprave arhitekture SOCaaS-a ne le zaradi strokovnosti, temveč predvsem zaradi neodvisnosti od svetovnih proizvajalcev varnostnih rešitev. NIL je bil namreč edini med ponudniki, ki je lahko povsem brez pristranskosti predlagal za naročnika najboljšo kombinacijo tehnologij in metod.

Opisani projekt je NIL-ova najobsežnejša in najzahtevnejša postavitev varnostno operativnega centra do sedaj. Je priznanje naši strokovni ekipi in dokaz, da SOC lahko učinkovito zmanjšuje kibernetska tveganja in preprečuje poslovno škodo tudi v največjih organizacijskih okoljih.