Дигитализация

Предстои създаване на общ център към МО и БА за справяне с компютърни инциденти

CIO Media

майор Мирослав Начев

С всяка изминала година щетите от кибератаки върху световната икономика и държавните организации се увеличават, а операциите в интернет пространството са част от съвременните конфликти. Всичко това наложи създаването на стратегии за киберотбрана. Ключово място в изпълнението им заемат създадените центрове за реагиране на компютърни инциденти (ЦРКИ) към съответните структури.
ЦРКИ на Министерството на отбраната (МО) и Българската армия (БА) е част от пътната карта за изпълнение на стратегията за система за киберзащита в МО и БА и развитието на способности за киберотбрана.

Архитектурна рамка на ЦРКИ
Центърът заема оперативното ниво в общата архитектура на системата за киберотбрана на МО и БА и ще бъде изграден в Стационарната комуникационна и информационна система в Центъра за управление и киберотбрана (техническо звено по киберотбрана). На тактическо ниво за осигуряване на стратегията ще се използват изградените структури по КИС и сигурност на информацията.
ЦРКИ на МО и БА не е самостоятелно функциониращо звено, а част от цялостната система за киберотбрана (СКО) и изпълнява функциите си в тясно взаимодействие с различните модули, разположени на всички нива на системата.
Основната функция на горните нива на архитектурата на СКО (политическо и стратегическо) е да се разработват визията за развитие, стратегията за изграждане на системата, политиките и правилата за информационна сигурност и взаимодействие, финансирането на системата. На оперативно и тактическо ниво се извършват дейности за защита на информационните и мрежови ресурси, използвани в МО и БА. За целта системните администратори, администраторите по сигурността на информационните системи и ЦРКИ прилагат политиките за сигурност в компютърните системи и мрежи. ЦРКИ следи в реално време за състоянието на системата и отговаря за нейната защита.
Центърът се състои от експерти по киберсигурност, които планират и реализират дейности в отговор на инциденти. Той отговаря за откриване, анализ, изучаване и реакции на събития и инциденти в киберпространството.

Основни функции на ЦРКИ
Центърът изпълнява пет основни функции, свързани с контрол и управление на инциденти в областта на киберсигурността. Те опират до своевременно разследване и оценка на сериозността на инцидентите; бързо възстановяване на системата в нормалното й оперативно състояние; уведомяване за инциденти на горните инстанции по киберсигурността и взаимодействие с тях; мерки за предотвратяване на инциденти в бъдеще.
Услугите, предоставяни от ЦРКИ, могат да бъдат разделени в три основни категории. Първата е „реактивни услуги“, като тук спадат дейностите по противодействие на инциденти. Главната им цел е да се ограничат щетите, причинени от пробиви на информационната сигурност.
„Проактивните услуги“ са замислени да предотвратяват инциденти и включват откриване и редуциране на появата на потенциален инцидент или събитие, свързано със сигурността на информационната система или мрежа, която се защитава.
Към третата група спадат услугите, подобряващи качеството на сигурността, и се предоставят от самия център по компютърни инциденти и от експерти в областта. Предвиждат се ефективни съвместни дейности, за да се предотврати появата на инциденти.

Архитектура на взаимодействието на ЦРКИ

На стратегическо ниво системата за киберотбрана си взаимодейства с външни организации и ведомствени центрове, които работят в областта на информационната сигурност, например европейски организации и структури на НАТО, националния център, ЦРКИ на други национални ведомства, ДАНС, ДКСИ и други, които имат разработена политика за киберсигурност и изграден масив от данни с информация за заплахи и мерки за ограничаването им. На това ниво функционират и ЦРКИ на служба „Военна информация“ (ВИ), и ЦРКИ на служба „Военна полиция“ (ВП), които също имат създадени свои структури, отговарящи за киберсигурността, както и масиви от данни и знания за киберзаплахи.
Координационното звено за киберотбрана (КЗКО) има свързващ характер и осигурява взаимодействието между стратегическото и оперативното ниво на СКО. За целта то си взаимодейства с двете служби ВИ и ВП, а също и с външни организации и ЦРКИ. От друга страна, КЗКО има оперативна връзка с ЦРКИ и изследователското звено за киберотбрана (ИЗКО), което е в състава на Института по отбрана (ИО).
Оперативният ЦРКИ поддържа връзка с изградените звена по киберсигурност в различните организационни единици (ОЕ), създадени в БА. Обикновено това са системните администратори на различни АИС или мрежи, администраторите по сигурността и специалистите от звената по КИС на БА, отговарящи за киберсигурността.

При изпълнение на функциите си оперативният ЦРКИ работи в сътрудничество с ИЗКО на ИО, които от своя страна са в тясна връзка при реакция на различните компютърни инциденти.
Една от функциите на ИЗКО на ИО е да подпомага анализа на откритите находки, събрани по време на компютърните инциденти от специалистите на ЦРКИ. Изследователското звено извършва още практическо обучение на специалисти по сигурността на оперативно и тактическо ниво.
Между оперативно и тактическо и между оперативно и стратегическото ниво на системата са налице четири основни типа взаимодействие. Първият е при откриване на потенциален инцидент, който се докладва от службата, открила заплахата - ЦРКИ или служителите от структурите по КИС или сигурност на информацията (Сл. КИС и СИ). За да се подпомогне процесът на идентифициране на заплахите, информацията се обменя в стандартизиран формат. ЦРКИ анализира предоставените данни и ако е необходим допълнителен анализ,  ги изпраща до КЗКО и на ИЗКО на ИО. Различните слоеве могат да поискат допълнителна информация, която да бъде събрана и изпратена на заявителя. Накрая ЦРКИ категоризира инцидента и изработва стандартен профил за необходимата информация, която трябва да бъде събирана по време на отговора.

майор Мирослав Начев

Вторият тип взаимодействие е при реакция на инцидент, като за целта ЦРКИ проверява своята база данни и информация за профил на подобна ситуация. Ако няма разработена процедура за реакция на този тип инцидент, ЦРКИ се обръща към КЗКО и ИЗКО на ИО за проверка в техните база данни. КЗКО също може да изпрати запитване по профила на заплахата до служби ВП и ВИ, както и до външните ЦРКИ. Ако не се открие готова процедура за реакция, ЦРКИ я изготвя, използвайки предварителен абстрактен шаблон, в който се задава информация, отнасяща се към решението на настоящия инцидент. При необходимост и ако това е възможно, процедурата се изпраща на КЗКО за съгласуване. При изпълнение на процедурата ЦРКИ ръководи специалистите по КИС и сигурност на информацията в ОЕ и се документират резултатите от извършените действия.
Стратегическото и тактическото ниво на системата се координират с оперативното и при докладване за даден инцидент, като след приключване на работата по него ЦРКИ изготвя доклад в стандартизиран електронен формат. В него се описват типът инцидент, неговият профил, нанесените щети, взетите мерки за тяхното ограничаване и ефективността им. Докладът се предоставя на КЗКО, което може да поиска детайли, за да  ги сравни с подобни инциденти, случили се в миналото. Затова от голямо значение е коректното попълване на полета на доклада, които съдържат метаинформация. Така след съхраняването му в базата данни търсенето при подобни инциденти ще става бързо.
Четвъртият тип координация е във връзка с изпълнение на информационните функции на СКО, тъй като ЦРКИ и КЗКО имат задължение да осигурят обобщена информация за новопоявилите се инциденти и заплахи. Тя публикува на сайтовете на двете служби.

Затова изборът на протокол за описание на инцидентите е ключов за успешно изпълнение на тези взаимодействия. Съществуват няколко стандарта за описание на инциденти, но с най-широко приложение са: Incident Object Description Exchange Format (IODEF) – RFC 5070 – стандарт, публикуван от международната организация IETF през април 2007, и Incident Object Description Exchange Format – version 2.0 – RFC 7970 – стандарт, публикуван от международната организация IETF през ноември 2016, в който описанието на инцидентите се извършва в XML формат.

Изграждането на функциониращ ЦРКИ е голямо предизвикателство пред структурите на МО и БА. Пред тях стои решаването на множество проблеми, като с особено значение е обучението на необходимите специалисти за неговото функциониране, а в областта на киберотбраната това е дълъг и методичен процес. Друг ключов момент е конструирането на необходимата инфраструктура – техническо оборудване и софтуер. На трето място, важно е да се реши проблемът с взаимодействието между различните нива на СКО. Необходимо е да бъдат създадени процедури и нормативни документи, с които да се регламентират комуникацията и реакцията при възникване на компютърни инциденти. Важно е да се отбележи, че изграждането на СКО и в частност на ЦРКИ е итерационен процес, който с всяка своя следваща итеграция ще осигурява нова и по-пълна функционалност на СКО.


X