Kodėl saugus valstybinis vidaus tinklas nesaugant pagrindinio telekomunikacijų operatoriaus yra utopija? Atvejis – stambi kibernetinė ataka. Kodėl lokalių elektroninės informacijos saugos sprendimų nepakanka? Kibernetinis saugumas ir krašto apsauga. Kaip tai susiję? Pranešimo autorius – Vytautas Bučinskas. TEO LT, AB Rizikų valdymo skyriaus direktorius (Lietuva). Pranešimas skaitytas konferencijoje – INFORMACINIŲ SISTEMŲ SAUGUMAS, vykusioje 2013 m. balandžio 11d., skirtoje valstybės institucijų ir valstybinės reikšmės organizacijoms.

1. ŠALIES KIBERNETINIS SAUGUMAS:
DIDŢIAUSIO LIETUVOS TELEKOMUNIKACIJŲ
OPERATORIAUS VAIDMUO
Konferencija „INFORMACINIŲ
TECHNOLOGIJŲ SAUGUMAS.
Globalūs iššūkiai valstybės
institucijoms ir valstybinės reikšmės
organizacijoms“
Vytautas Bučinskas,
Rizikų valdymo
skyriaus direktorius
/ 2013-04-11

2. PRIEŠ PRADEDANT...
● Ţiūrėti kaip į TINKLUS, o ne kaip į įmones
● Prisiminti, kad informacijos perdavimas yra itin svarbus, o šiais laikais labai
daug kas priklauso būtent nuo interneto
● Suprasti, kad lokali tam tikrų institucijų veikla yra neprasminga, jei neveiks
TINKLAS ir vartotojai bus nepasiekiami
● Suvokti, kad ne tik operatorius turi saugoti, bet reikia saugoti ir patį
operatorių
● Klausti, ar dar turim laiko laukti
2013-04-11 2

3. GEOPOLITINĖ APLINKA
Pagrindiniai žaidėjai kibernetinėje sferoje
● Valstybės
 JAV, Rusija, Kinija, Prancūzija
● Nevalstybinės organizacijos
 Organizuotas nusikalstamumas
- pvz., RBN – „Russian Business Network“
 Hakeriai ir (arba) kibernetiniai teroristai
- Estijos, Gruzijos kibernetiniai karai,
„Anonymous“ grupė, ...
Šaltiniai: „TheSecDevGroup“, „Arbor“, NATO
2013-04-11 3

4. INFRASTRUKTŪRA GALI TAPTI SAUGI
● Barako Obamos įsakymas „Improving Critical Infrastructure Cybersecurity“
 Esmė – bendradarbiaujant privačiam ir valstybiniam sektoriams, pagerinti
apsikeitimą kibernetinio saugumo informacija ir įdiegti rizikos valdymo priemones
valstybės „kritinėse infrastruktūros sistemose“
 Bet yra niuansų:
- „tradicinis“ rizikos valdymo modelis privačiame sektoriuje (atsipirkimo
klausimas)
- „pažeidžiamų“ sistemų pakeitimas
- kritinės infrastruktūros apimtys
● Ką spręsti pirmiausia?
 Privataus ir valstybinio sektorių partnerystė
 Šalies saugumo klausimas – politinis klausimas
 Techniškai išsprendžiama / ekonomiškai neapsimoka
 Kas yra ta kritinė šalies infrastruktūra?
„From Offence to Deffence“
Šaltinis: „Bound to Fail“
2013-04-11 4

5. GRĖSMIŲ KATEGORIJOS PAGAL NATO
● Operatoriui didžiausias vaidmuo tenka DDoS rizikai suvaldyti
● Manome, kad be operatoriaus įsikišimo, jokia institucija nebus pajėgi susidoroti su
šiuolaikine gerai organizuota DDoS ataka
Šaltinis „NATO Perspective on Cyber Defence and Botnet“
2013-04-11 5

6. DDoS ATAKOS PASAULYJE
● ARBOR skelbiama statistika
 Jau užfiksuota atakų, kurioms vykstant viršytas 100 Gb/s
greitis tinkle
● Taip buvo apie 10 metų iki 2013 m. kovo 27 d.!
 Įtariama kova tarp „CyberBunker“ ir „Spamhaus“
 Atakos srautas pasiekė iki 300 Gb/s spartą
 Priemonės tos pačios: „Botnet“, „Open DNS“, „Spoofed IP“
 Atakos metu pakeista atakos kryptis, nukreipiant srautą į
vieną iš „Internet Exchange“ taškų
 Klaida IX konfigūracijoje įtakojo tai, kad kai kuriose Europos
šalyse buvo interneto sutrikimų
„<...> Obviously the jump from 100 to 300 is pretty massive <...>“,
Dan Holden, „Arbor“
Šaltiniai: „Arbor“ (http://pinterest.com/pin/307933693241040245) ir „BBC News“
2013-04-11 6

7. GALIMI BLOGIAUSI SCENARIJAI
INTERNETO IŠJUNGIMAS
● Neveikia
 Tarptautinė bei tarptinklinė komunikacija, IP telefonija
 „Debesų“ paslaugos, prieiga prie socialinių tinklų
 Visos paslaugos, klientai, kuriems darbui reikalingas
internetas bei prieiga prie kitų tinklų
 Dėl to galimi dideli nuostoliai
● Veikia
 Tradicinė telefonija
 Vidinės ISP paslaugos (MPLS VPN, vidinė telefonija, L2
paslaugos)
 Operatoriaus tinkle esančios tarnybos bei internetiniai
puslapiai; informacijos sklaida vidiniame tinkle nesustoja
 Vidiniai komunikacijos šaltiniai operatoriaus viduje
 Dalis bankomatų, el. prekyviečių, esančių operatoriaus tinkle
Kuo didesnis ir svarbesnis operatorius, tuo daugiau vidinės komunikacijos ir
informacijos sklaidos išsaugoma
2013-04-11 7

8. GALIMI BLOGIAUSI SCENARIJAI
TINKLO IŠJUNGIMAS-UŢGROBIMAS
● Neveikia
 Visa komunikacija (telefonija, internetas, vidinių tinklų
sujungimai)
 Visi procesai, tarnybos, informacijos šaltiniai, kurie
naudojasi operatoriaus paslaugomis
 Operatoriaus tinkle esantys bankai
 Beveik visos operatoriaus paslaugos
 Valstybinės organizacijos operatoriaus tinkle
 Visi mažesni operatoriai, kurie naudojasi paslaugomis
 Sustoja informacijos sklaida
● Veikia
 Lokali tradicinė telefonija
 Lokalūs (regioniniai) MPLS tinklai ir paslaugos
Kuo didesnis ir svarbesnis operatorius, tuo didesnė ţala = reikia saugoti operatorių
2013-04-11 8

9. BE APSAUGOS NUO DDoS ATAKOS
● Galutiniai vartotojai jungiasi prie viešųjų paslaugų
teikėjo serverio
● Prasideda DDoS ataka, tinklas apkraunamas
● Nutrūksta paslaugų teikimas galutiniams vartotojams
Be apsaugos tinklas yra visiškai paţeidţiamas
2013-04-11 9

10. APSAUGA NUO DDoS ATAKOS UGNIASIENE
● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo
serverio
● Prasideda DDoS ataka
● Perkrauta prisijungimo prie operatoriaus jungtis.
Nutrūksta paslaugų teikimas galutiniams vartotojams
Lokalios ugniasienės didelės DDoS atakos metu
nepakanka.
Šiuo atveju ugniasienė tik palengvina ataką
2013-04-11 10

11. APSAUGA NUO DDoS ATAKOS, NAUDOJANT
OPERATORIAUS INFRASTRUKTŪRĄ
● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo
serverio
● Prasideda DDoS. Aptinkama DDoS
● Atakuojamojo srautas nukreipiamas per didelio našumo
operatoriaus ugniasienę ir (ar) UTM apsaugos serverį
● Naudojant operatoriaus ugniasienę ir (ar) UTM apsaugos
serverį, paslaugų teikimas nenutrūksta
Didelio našumo ugniasienė bei jungtys operatoriaus tinkle
gali apsaugoti vartotoją nuo didelių DDoS atakų
2013-04-11 11

12. LABAI DIDELĖS APIMTIES DDoS ATAKA
● Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo
serverio
● Prasideda DDoS, aptinkama; srautas nukreipiamas per
operatoriaus ugniasienę ir (ar) UTM
● Perkraunama ugniasienė ir (ar) UTM, našumas krenta
● Atjungiamas užsienio tinklas ar tinklai arba tarptinklinė
jungtis, per kurią vyksta ataka
● Ryšys su užsienio arba kitais tinklais apribojamas, tačiau
viešų paslaugų teikimas tinkle nenutrūksta
Esant labai didelio srauto DDoS atakai, operatorius gali
nutraukti jungtį pagrindine atakos kryptimi
2013-04-11 12

13. DDoS ATAKA IŠ PATIES TINKLO
• Galutiniai vartotojai jungiasi prie viešųjų paslaugų teikėjo serverio
• Prasideda DDoS iš operatoriaus tinklo, ataka aptinkama, atakuojamojo srautas
nukreipiamas per didelio našumo operatoriaus ugniasienę ir (ar) UTM
• Ataka tęsiasi, perkraunama ugniesienė ir (ar) UTM, našumas krenta
• Identifikuojami ir atjungiami tinkle
esantys „užkrėsti“ kompiuteriai, per
kuriuos vyksta ataka
• Daliai vartotojų ryšys apribojamas,
tačiau likusiesiems viešųjų paslaugų
teikimas tinkle nenutrūksta
Esant labai didelei DDoS atakai iš tinklo, operatorius turi galimybę atjungti
atakos šaltinius atskirai
2013-04-11 13

14. OPERATORIUS GALĖTŲ APSAUGTI
● KAIP?
 Tarptautinio, nacionalinio ar vietinio srauto, skirto aukai, nukreipimas į didelę
ugniasienę ir jo neutralizavimas
 Ypač didelės apimties atakos iš kitų tinklų neutralizavimas, uţblokuojant
tarptautines jungtis arba nacionalinį tranzitą
 Ypač didelės atakos iš vietinių vartotojų neutralizavimas, atjungiant atskirus
vartotojus
● KODĖL operatorius?
 Diversifikuota, galinga infrastruktūra
 Apsaugomi ne tik viešųjų paslaugų teikėjai, bet ir vartotojai
 Galimybės:
- anksčiau pastebėti ataką
- panaudoti galingas kolektyvinės apsaugos priemones
- valdyti tarptinklines ir (ar) lygiavertes (angl. peer) jungtis
- valdyti savo tinklo vartotojus
2013-04-11 14

15. KO TRŪKSTA?
PASLAUGŲ IR INFRASTRUKTŪROS APSAUGAI
REIKALINGOS TECHNINĖS PRIEMONĖS
● Aptikti ataką
 Būtina įdiegti analizatorių tinklą, kurie aptiktų DDoS
ataką iš išorės ir vidaus
● Nukreipti infekuotą srautą
 Reikalingas srauto ir vartotojų valdymo įrankis,
infekuotam srautui nukreipti į ugniasienes
● Neutralizuoti infekuotą srautą
 Privalomos didelio pajėgumo ugniasienės arba UTM
atakoms neutralizuoti iš tinklo išorės ir vidaus
2013-04-11 15

16. GALIMI TOLIMESNI ŢINGSNIAI
● Kibernetinio saugumo įstatymas ir (arba) kito tipo
aktai ar jų pakeitimai Elektroninių ryšių įstatyme ir
(arba) kituose įstatymuose
● Atsakingos institucijos paskyrimas
● Kritinės infrastruktūros apibrėţimas
● Kritinės infrastruktūros inventorizacija (iš pradžių ITT)
● Sprendimai dėl kritinės infrastruktūros saugos ir
priemonių parinkimas
● Viena priemonių – kritinės infrastruktūros sutelkimas
šalies viduje
● Priemonių diegimas numatant lėšų ir jų šaltinius
nuolatinei priežiūrai ir tolimesnei plėtrai
Orientuotis į galutinį (pvz., padidėjęs saugumas), o ne vien į tarpinius rezultatus
(pvz., norminiai aktai, politikos, strategijos)
2013-04-11 16

17. KIBERNETINIS SAUGUMAS IR KRAŠTO
APSAUGA
● Kas valdo informaciją – tas valdo pasaulį (Napoleono
bendražygis)
 1917 m. bolševikai užiminėjo telegrafą
 Sausio 13-ają sovietų armija šturmavo televizijos
bokštą
 ...
● Ar nebūtų vienas iš šiuolaikinių agresorių
(kibernetinių atakų organizatorių) pagrindinių tikslų
šalies interneto sustabdymas?
Didţiausi operatoriai, kurie yra šalies informacijos sklaidos garantas, turėtų būti
apsaugoti
2013-04-11 17

18. DĖKUI UŢ JŪSŲ DĖMESĮ!
Jūsų klausimai