Okresné mestá, ale i malé mestečká či obce po celom Slovensku, využívajú digitálne technológie na zlepšenie svojich služieb, zvýšenie efektivity a zníženie nákladov. Zároveň ale nedisponujú dostatočným kapitálom na to, aby dokázali čeliť rastúcej hrozbe zo strany kybernetických zločincov.
V rámci výziev Ministerstva investícií, regionálneho rozvoja a informatizácie zameraných na podporu v oblasti kybernetickej a informačnej bezpečnosti sa však aj samosprávy môžu uchádzať o rôzne príspevky a dotácie. Vo väčšine prípadov je práve táto možnosť získať dodatočné finančné prostriedky impulzom, prečo sa mestá rozhodnú zaoberať sa kybernetickou bezpečnosťou intenzívnejšie.
Potvrdzuje to aj náš projektový manažér, Michal Šimkovič:
„V priebehu rokov sme realizovali už niekoľko úspešných projektov, ktoré klienti financovali z takýchto dotácií. Majú aj dobré výsledky, pretože zákazníci si kybernetické hrozby nielen uvedomujú a chcú ich riešiť, ale vďaka rozumnému rozpočtu a odhodlaniu dokáže projekt takejto náročnosti úroveň ich bezpečnosti skokovo zlepšiť.“
Toto je prípad jedného z nich.
Zákazník: malé okresné mesto
Vzhľadom na citlivú povahu projektu zostáva zákazník v anonymite. Ide však o okresné mesto, ktoré budeme v tejto case study volať Svitany.
Svitany: východisková situácia
Sú mestá, u ktorých nachádzame aspoň základné politiky kybernetickej bezpečnosti, klasifikáciu či analýzu rizík. Podobne na tom boli aj Svitany, chýbala im však väčšina opatrení, ktoré by im identifikované riziká pomohli eliminovať či znížiť.
Svoju situáciu zhodnotili takto:
„Uvedomujeme si, že riešenia a nástroje, ktoré používame, sú zastaralé a už nezodpovedajú dnešným potrebám ani možnostiam. Ale na ich modernizáciu či nasadenie nových sme jednoducho nemali ľudské ani finančné kapacity.“
Svitany používali na pracovných staniciach a serveroch aspoň základný antivírusový softvér a o sieťovú bezpečnosť sa staral jednoduchý statický firewall. Ako v takýchto prípadoch býva zvykom, celú prevádzku IT systémov mestského úradu a zriadených organizácií mal na starosti jeden človek.
IT administrátor spravoval celú infraštruktúru – dve desiatky virtuálnych Linux aj Windows serverov prevádzkovaných na dvoch rôznych platformách, 150 pracovných staníc a užívateľov, pevné i bedzrôtové sieťové prvky, databázy, aplikácie…
Realizácia: ako sme nastavili zber a vyhodnocovanie bezpečnostných udalostí
Z pohľadu pripravenosti na kybernetické incidenty sme v Svitanoch začali od nuly. Zmapovali a zanalyzovali sme súčasný stav, zrealizovali workshopy s manažérom kybernetickej bezpečnosti (MKB), IT administrátorom a zástupcami vedenia mesta. Výsledkom bol koncepčný dokument, ktorý jasne popisoval, ako bude fungovať zber bezpečnostných udalostí, ich vyhodnocovanie a detekcia bezpečnostných incidentov.
„Odsúhlasená koncepcia nám pomohla nastaviť, z akých systémov a akým spôsobom sa budú relevantné dáta zbierať, kde sa budú ukladať, a ako sa budú vyhodnocovať a spracovávať ďalej,“, hovorí Peter, MKB mesta Svitany.
Na základe našich odporúčaní bola konfigurácia zdrojových systémov upravená a doplnená tak, aby správne generovali práve tie udalosti, o ktorých potrebujeme vedieť.
„Svitany tak mali v rukách detailné technické riešenie zberu udalostí z už existujúcich systémov a nástrojov,“ popisuje situáciu náš technický riaditeľ, Marek Madžo.
Technológie: ochrana koncových zariadení, sietí aj dát
Svitanom ale chýbala celá oblasť detekcie hrozieb na klientských staniciach, ktorú sme v rámci projektu adresovali nasadením technológií EDR a DLP. Zastaralé antivírusové riešenie sme nahradili modernými riešeniami pre ochranu pred ransomvérom, pokročilými hrozbami a zároveň chrániacimi citlivé údaje (ako napr. informácie o občanoch, daniach či poplatkoch) pred únikom či krádežou.
Adresovali sme aj ďalšie slabé miesto v sieťovej bezpečnosti. „Chápali sme, že náš starý firewall neposkytuje ochranu pred novodobými hrozbami, a preto nám spoločnosť void SOC nasadila firewall novej generácie,“ popisuje situáciu Milan, IT administrátor Svitan.
Nový firewall okrem filtrovania sieťovej prevádzky medzi segmentami poskytuje aj služby IPS, bezpečný vzdialený prístup do internej siete prostredníctvom VPN s viacúrovňovou autentifikáciou (MFA). Kontrolovaný prístup na web zabezpečuje web filtering.
Ďalším krokom bolo nasadenie riešenia log manažmentu. To zabezpečovalo, že udalosti zozbierané z existujúcich systémov aj novo nasadených riešení budú bezpečne centrálne uchovávané, a podľa potreby prístupné pre prípadné vyšetrovanie a forenznú analýzu.
Poslúžia zároveň pre ďalšiu detekciu bezpečnostných incidentov, o ktorú sa stará SIEM, rovnako implementovaný v rámci tohoto projektu.
Pri SIEM-e má u nás zákazník vždy možnosť výberu – môže sa rozhodnúť, či využije naše vlastné flexibilné riešenie SOCulus_SIEM, alebo niektoré z komerčných riešení (napríklad IBM QRadar, Rapid7 či iné). Pre Svitany bolo najefektívnejším riešením nasadiť SIEM založený na open-source technológiách ako súčasť našej vlastnej detekčnej platformy novej generácie – SOCulus.
Služby a procesy: riešenie incidentov v reálnom čase
Implementované systémy zo začiatku generujú množstvo alertov, ako aj SIEM v základnom nastavení. Náš SOC tím, zložený zo skúsených analytikov, tieto udalosti dôkladne preverí a odkonzultuje so zákazníkom. Ak sa potvrdí, že ide o skutočný incident, pripravíme a navrhneme odporúčanú reakciu. Ak ide o vlastnosť monitorovaného prostredia, detekčné pravidlá pre odfiltrovanie „bežnej prevádzky“ od podozrivej / škodlivej aktivity upravíme.
>> BLOG: Interný alebo externý SOC? Rozhodnite sa správne <<
Celý tento proces prebieha v rámci garantovaných SLA časov, čím zabezpečujeme rýchlu a spoľahlivú ochranu. Svitany majú navyše možnosť nahlasovať akékoľvek podozrenia aj priamo – telefonicky, e-mailom alebo prostredníctvom ticketingového systému.
Ako Svitany zvládli kybernetický incident
Svitany sa stali terčom kybernetického útoku, ktorý zasahoval pracovné stanice mestského úradu a viedol k zašifrovaniu serverov. Vo výsledku došlo k výraznému narušeniu mestských služieb. Po dôkladnej analýze sa ukázalo, že príčinou bola návšteva škodlivej webovej stránky jedným z mestských úradníkov. Tento ľudský omyl spustil šírenie malvéru, ktorý ochromil mestské systémy a znemožnil prístup k dátam.
V reakcii na incident sme okamžite zahájili spoluprácu s mestom – spoločne sme navrhli kroky na obnovu systémov a dát a zabezpečenie prevádzky. Ako súčasť riešenia sme minimalizovali rozsah napadnutých zariadení a užívateľov, a zaviedli sme preventívne opatrenia na zabránenie podobných útokov v budúcnosti.
„Naším cieľom je minimalizovať materiálne i nemateriálne škody, a ochrániť citlivé údaje pred ďalším útokom,“ vysvetľuje Michal Šimkovič.
Otvorená komunikácia ako základ efektívnej reakcie
Jedným z kľúčových faktorov úspechu bol transparentný prístup k analýze incidentu.
„Veľmi oceňujeme, že v prípade, kedy sa bezpečnostný incident potvrdil, analýza jeho rozsahu, príčin a tiež dopad na naše prostredie sa nediali za zatvorenými dverami, ale všetko sme riešili s členmi void SOC tímu spolu. Mali sme tak detailné informácie a chápali sme, čo sa deje,“ konštatuje primátor Svitan.
Po vykonanej analýze sme mestu poskytli podrobnú správu s odporúčanými krokmi. Svitany sa rozhodli pokračovať v spolupráci na ďalšej implementácii bezpečnostných opatrení, aby sa znížilo riziko budúcich incidentov.
Krízová komunikácia v praxi
S kybernetickým útokom, ktorý narušil mestské služby, bolo nutné rýchlo a efektívne koordinovať komunikáciu smerom k verejnosti. Svitany využili naše služby krízovej podpory: „void SOC sa stal súčasťou nášho krízového tímu,“ popisuje primátor mesta.
Naši špecialisti koordinovali dodávateľov a zástupcov mesta, aby zabezpečili hladkú a efektívnu komunikáciu. „Využili sme pri tom naše systémy a komunikačné kanály. Cieľom bolo zabezpečiť dobrú a včasnú informovanosť všetkých relevantných strán,“ dopĺňa Michal Šimkovič.
Takáto výpomoc prispela k rýchlemu zvládnutiu následkov a obnoveniu mestských služieb.
Výsledok? Posilnené a odolnejšie mesto
Ako poskytovateľ základných služieb má mesto Svitany zákonnú povinnosť zabezpečiť dostupnosť svojich služieb pre občanov. V opačnom prípade mu hrozí pokuta. Ako však zdôrazňuje náš technický riaditeľ Marek Madžo, „mestá by sa kybernetickou bezpečnosťou mali zaoberať nielen pre splnenie legislatívnych požiadaviek, ale predovšetkým preto, lebo je to dôležité a správne.“
Vďaka spolupráci s void SOC majú Svitany vysoký stupeň zabezpečenia. Najväčší prínos však pocítia občania, ktorí sa teraz môžu spoľahnúť na funkčnosť a dostupnosť mestských služieb.
Navyše, s využitím našej najmodernejšej detekčnej platformy SOCulus, bude mať mesto prístup k pokročilým nástrojom na detekciu anomálií a neznámych hrozieb, čím posilní ochranu osobných údajov svojich obyvateľov i zamestnancov.
Prečítajte si: Kybernetický útok – ako dlho trvá jeho odhalenie?
Kybernetický útok neprebieha ako ten fyzický, pri ktorom jasne vidíte, čo sa stalo. Pri kybernetických útokoch môže istý čas trvať, a zvyčajne aj trvá, kým sa dôsledky hacknutia alebo akéhokoľvek narušenia objavia.
Podľa prieskumu spoločnosti IBM je čas potrebný na odhalenie úniku dát v priemere…