Celem Systemu 46 jest podnoszenie poziomu cyberbezpieczeństwa poprzez wzmocnienie potencjału zapobiegania i reagowania na incydenty. Może on powstać z aktywnym udziałem lokalnych operatorów, szczególnie w zakresie podłączeń “ostatniej mili”.
Na nasze szczegółowe pytania dotyczące Systemu 46 odpowiada Andrzej Matysiak, kierownik Działu Strategicznych Projektów Cyberbezpieczeństwa w NASK PIB.
Dla przypomnienia Czytelnikom: nazwa System 46 wzięła się stąd, że działa on na podstawie artykułu 46 ustawy o krajowym systemie cyberbezpieczeństwa. Kto skorzysta na jego stworzeniu?
Andrzej Matysiak: Podstawowym celem utworzenia Systemu S46 jest poprawa cyberbezpieczeństwa wszystkich podmiotów, które będą do niego należały, zgodnie z prostym założeniem, że silniejsi jesteśmy zawsze wtedy, gdy działamy wspólnie. I gdy bronimy się wspólnie.
Co to oznacza w praktyce i jak działa ten system?
Andrzej Matysiak: W praktyce oznacza to udostępnienie skutecznych i wygodnych narzędzi poprawiających współpracę podmiotów wchodzących w skład Krajowego Systemu Cyberbezpieczeństwa poprzez tworzenie i przekazywanie rekomendacji dotyczących działań podnoszących poziom cyberbezpieczeństwa, zgłaszanie i obsługę incydentów, szacowanie ryzyka na poziomie krajowym oraz ostrzeganie o zagrożeniach cyberbezpieczeństwa.
Działa to w prosty sposób: w pierwszej kolejności podmioty podłączone do Systemu S46 identyfikują i zgłaszają świadczone usługi oraz wskazują na inne podmioty, które je wspierają. Dzięki czemu widzimy sieć powiązań poszczególnych elementów systemu, co zwiększa prawdopodobieństwo szybszej reakcji na pojawiające się zagrożenia, jeśli któryś z podłączonych podmiotów doświadczy incydentu bezpieczeństwa.
Warto przy tym podkreślić, że skala zagrożeń, z jakimi zmagać się muszą polscy przedsiębiorcy i administracja, takich jak ataki typu DDoS, zauważalnie wzrosła w 2022 roku. Potwierdzają to dane zespołu CERT Polska, działającego w strukturach NASK PIB. Eksperci alarmują też, że następuje dalsza popularyzacja ataków typu ransomware (wykradających dane i blokujących do nich dostęp), które coraz częściej dostępne są w świecie przestępczym w formie łatwej do wykupienia usługi (RaaS – Ransomware as a Service).
Pisaliśmy niedawno o nasilających się w Polsce i na świecie atakach na administrację publiczną i samorządową. Czy System 46 pomoże w walce z tym problemem?
Andrzej Matysiak: Zdecydowanie! System S46 ma szansę zwiększyć efektywność komunikacji pomiędzy podmiotami Krajowego Systemu Cyberbezpieczeństwa oraz pogłębić ich świadomość w kwestii aktualnych zagrożeń. Umożliwi im także dostęp do konkretnych, przygotowanych specjalnie dla nich rekomendacji, które podniosą ich poziom cyberbezpieczeństwa.
W ramach Systemu S46 dostępne też będą ostrzeżenia wydawane przez CSIRT-y poziomu krajowego (zespoły reagowania na incydenty komputerowe) oraz inne wartościowe, aktualne źródła danych o cyberzagrożeniach. Dzięki temu podłączone podmioty mogą znacząco zmniejszyć ilość tzw. podatności w swoich systemach teleinformatycznych oraz zwiększyć kompetencje własnych zespołów w zakresie reagowania na pojawiające się incydenty bezpieczeństwa.
Jakie konkretne korzyści, na przykład dla gmin, wynikają z podłączenia do Systemu S46?
Andrzej Matysiak: Korzyść podstawowa to oczywiście poprawa poziomu bezpieczeństwa każdego podmiotu, który zostanie podłączony. To bezpieczeństwo wynika jednak z szeregu innych, bardziej szczegółowych wartości, wśród których wymienić warto chociażby poufność, niezawodność i szybkość. Poufność, ponieważ informacje i dane wymieniane są w bezpiecznej sieci o wysokiej dostępności. Niezawodność, bo tego typu komunikacja zostaje utrzymana nawet w przypadku braku łączności internetowej. Szybkość zaś jest szczególnie istotna w przypadku reakcji na zagrożenia – tu warto przypomnieć, że S46 to jeden z preferowanych kanałów zgłaszania incydentów m.in. do CSIRT NASK czy CSIRT GOV, a równocześnie otrzymywania dedykowanych ostrzeżeń i rekomendacji.
W dłuższym okresie podłączenie do S46 oznacza także wzrost kompetencji organizacji w zakresie cyberbezpieczeństwa min.in. dzięki dostępowi szkoleń, warsztatów, dzielenia się wiedzą i otrzymywania najświeższych informacji dotyczących zagrożeń. Uczestnicy systemu otrzymują również dostęp do raportów, statystyk, historii zgłoszonych incydentów, a także metodyki szacowania ryzyka.
Patrząc zaś „z lotu ptaka”, a nie z perspektywy pojedynczego uczestnika systemu, warto podkreślić jeszcze jedną korzyść: S46 zapewni najbardziej aktualny obraz stanu cyberbezpieczeństwa w wybranych obszarach, sektorach, jak i na terenie całego kraju, uwzględniający każdą podłączoną jednostkę.
Dla małych i średnich operatorów telekomunikacyjnych najczęstszym cyberzagrożeniem są ataki DDoS. Czy administracja państwowa i jednostki samorządu terytorialnego także mają z nimi problemy?
Andrzej Matysiak: Tak, sektor publiczny jest często nękany atakami tego typu. Mają one na celu wysycenie wszystkich zasobów danej organizacji i przez to blokadę jej normalnego funkcjonowania. Warto jednak wspomnieć, że zdarzają się również zagrożenia, w których DDoS pełni jedynie rolę przykrywki lub – odwrotnie – uwiarygodnienia głównego ataku, np. typu ransomware.
System S46, funkcjonujący w sposób dojrzały, pozwoli z dużym prawdopodobieństwem przewidzieć, w jakim obszarze kraju lub w jakich sektorach nastąpi atak typu DDoS, a następnie ostrzec zagrożone podmioty, które są do niego podłączone – w tym także operatorów lokalnych. To bezcenna wiedza, która umożliwiać będzie lepsze przygotowanie się na atak i obronę przed nim z pomocą innego, dedykowanego narzędzia, takiego jak ADDOS. To inny projekt, który NASK PIB realizuje na zlecenie Ministerstwa Cyfryzacji właśnie dla administracji publicznej, a jego celem jest właśnie obrona przed atakami typu DDoS.
Czym właściwie jest System S46? Słyszałem o chmurze, systemie powiadamiania, musi być z tym związane jakieś oprogramowanie. Jakie są elementy składowe systemu?
Andrzej Matysiak: Od strony technicznej S46 jest systemem dwukierunkowej wymiany informacji, zaś tym, co go wyróżnia, jest wykorzystywanie dodatkowych, specjalnych urządzeń brzegowych, do których podłączany jest każdy uczestnik systemu. Dzięki nim funkcjonalność, bezpieczeństwo i niezawodność tego systemu przewyższa inne rozwiązania bazujące wyłącznie na sieci Internet.
Oczywiście, S46 wykorzystuje również dedykowaną aplikację oferującą mnóstwo przydatnych funkcji, które poprawiają bezpieczeństwo podłączonego podmiotu. Działa to właśnie dwukierunkowo – uczestnik systemu otrzymuje analizy techniczne, dedykowane rekomendacje, informacje o zagrożeniach, a równocześnie ma możliwość szybkiego zgłaszania pojawiających się incydentów bezpieczeństwa do odpowiednich zespołów CSIRT poziomu krajowego.
Rozwiązanie to już działa, a liczba podłączonych podmiotów regularnie rośnie. Jaki jest stan obecny?
Andrzej Matysiak: System S46 został oficjalnie uruchomiony 1 stycznia 2021 roku, ale w okresie początkowym jego rozwoju zależało nam przede wszystkim na usprawnieniu funkcjonowania i podłączeniu do niego kluczowych podmiotów, takich jak wszystkie trzy zespoły CSIRT poziomu krajowego, organów właściwych, pełnomocnika rządu ds. cyberbezpieczeństwa. W następnym etapie rozpoczęliśmy podłączanie kolejnych podmiotów należących do Krajowego Systemu Cyberbezpieczeństwa. Aktualnie finalnie podłączonych jest już ponad 40 uczestników, a blisko 150 znajduje się na różnych etapach przyłączania. Wśród nich znajdują się jednostki samorządu terytorialnego, podmioty publiczne oraz operatorzy usług kluczowych i dostawcy usług cyfrowych z kilku sektorów.
W jednej z prezentacji widziałem informację, że pierwsze sto JST ma być podłączonych do S46 do końca tego roku. Jaki jest dalszy harmonogram podłączeń?
Andrzej Matysiak: Zgadza się. NASK PIB pełni rolę operatora systemu i odpowiada za jego utrzymanie i rozwój. Podłączenia nowych uczestników realizowane są w ramach dotacji celowej na zlecenie Ministra Cyfryzacji oraz z unijnego programu REACT-EU, co szczególnie dotyczy jednostek samorządu terytorialnego i operatorów usług kluczowych z sektora ochrony zdrowia. Dlatego w tym roku planujemy w sumie podłączyć 100 podmiotów z tych grup. W kolejnych latach plany podłączenia obejmują kilkaset podmiotów.
Jaka jest rola Exatela w S46, a jaka może być rola lokalnych operatorów?
Andrzej Matysiak: EXATEL SA i NASK SA są operatorami, którzy odpowiadają za zapewnienie bezpiecznej komunikacji w sieci S46net, natomiast lokalni operatorzy mogą pełnić rolę dostawców łączy telekomunikacyjnych „ostatniej mili”. Oznacza to możliwość zapewnienia z ich strony niezależnych łączy punkt-punkt z lokalizacji wskazanych przez podmioty podłączające się do Systemu S46, do najbliższych węzłów obu wymienionych operatorów.
Aby działanie Systemu S46 było maksymalnie niezawodne, każdy podłączający się podmiot ma za zadanie zapewnić docelowo dwa niezależne łącza dostępowe – każde oddzielnie do zakończenia sieci wirtualnych w sieciach telekomunikacyjnych NASK SA i EXATEL SA. W tym celu może wybrać dowolnego operatora – również lokalnego.
NASK jest bez wątpienia jedną z tych instytucji, które rozumieją specyfikę polskiego rynku telekomunikacyjnego i współpracują z nim w bardzo szerokim zakresie. Współpraca z lokalnymi operatorami przy podłączaniu szkół do Ogólnopolskiej Sieci Edukacyjnej przyniosła podłączenie ponad trzech tysięcy placówek. Czy S46 może być realizowane w podobnej formule?
Andrzej Matysiak: Zapewne tak, ale w mniejszej skali. Pamiętajmy, że podłączenia do Systemu S46 są i będą realizowane do mniejszej liczby podmiotów. Zdecydowanie zależy nam jednak na współpracy zarówno z krajowymi, jak i lokalnymi operatorami telekomunikacyjnymi, a w efekcie na zapewnieniu łączności w bezpiecznej sieci opartej o niezależne łącza po stronie podłączanych podmiotów. W tym miejscu warto jeszcze raz przypomnieć, że za zamówienie łączy dostępowych u operatorów odpowiadają podłączane do Systemu S46 podmioty, a nie NASK PIB.
Czy już wypracowane są procedury współpracy lokalnych operatorów w tym zakresie?
Andrzej Matysiak: Oczywiście, proces podłączania jest realizowany poprzez jasne, ustalone procedury. Zależy też nam na jak najlepszej współpracy z lokalnymi operatorami, dlatego poprzez kontakt z MdO chcemy zapewnić im podstawową wiedzę na temat Systemu S46 oraz szczegółów realizacji samego procesu podłączania – zorganizowaliśmy w tym celu specjalne warsztaty.
Grupa MiŚOT podjęła już pierwsze działania w tym zakresie. W jaki sposób lokalny operator może zaangażować się w podłączenie urzędu gminy, w której działa lub innej jednostki samorządu terytorialnego?
Andrzej Matysiak: Jednym z kluczowych etapów podłączenia do Systemu S46 jest wybór operatora „ostatniej mili”, którego zadaniem jest zapewnienie łączy o odpowiednich parametrach. Zamawiają je bezpośrednio podłączane podmioty, natomiast na tym etapie NASK PIB angażuje się poprzez przekazywanie danych kontaktowych do operatorów lokalnych, a także doradza wszystkim zainteresowanym stronom – w tym właśnie operatorom – w przypadku pytań czy wątpliwości.
Czy zgadza się pan z opinią, że lokalne sieci (rozproszone i zdecentralizowane) tworzą strukturę bezpieczniejszą niż zarządzane centralnie?
Andrzej Matysiak: Oba typy zarządzania siecią, rozproszone i centralne, mają swoje zalety i wady. Wykorzystujemy na przykład protokół BGP – generalnie rozproszony. Ale mamy też sieci SDN (SD WAN), które są zarządzane centralnie. Cyberbezpieczeństwo jest oczywiście zarządzane tam, gdzie zagrożenia są najbardziej widoczne, czyli w sposób rozproszony. Należy jednak zwrócić uwagę na coraz większą popularność usługi SOC (SOCaaS), czyli centralnego zarządzania bezpieczeństwem.
S46 jest systemem, w którym przesyłane są informacje pozwalające w rozproszonej strukturze zauważać istotne prawidłowości oraz umożliwiać wzajemną pomoc w chronieniu się przed cyberzagrożeniami. W ten sposób widać, że zarządzanie centralne wspiera zarządzanie rozproszone, ale bez tego ostatniego sprawne funkcjonowanie zarządzania centralnego byłoby nieefektywne. Przekłada się to oczywiście również na same sieci.
Innymi słowy, wiele zależy od aspektu, w jakim się ocenia zarządzanie. Pewnymi elementami działania sieci warto zarządzać centralnie, ale należy także pozostawiać możliwie obszerną sferę przeznaczoną do działań lokalnych, rozproszonych. Taki model da się realizować w różnych strukturach organizacyjnych. Jedna organizacja może wytworzyć struktury rozproszone, natomiast wiele małych organizacji może powołać podmiot wspólny do centralnego koordynowania ich działań.
