Podobné následky měl útok z jiného směru. Útočník prostřednictvím sítě operátora transportoval velký DDoS útok na server třetí strany. Generovaný provoz jedním směrem byl pro prvky sítě natolik netypickou událostí, že jej považovaly za vnitřní chybu a vyvolaly vlastní restartování (bylo jich v krátkém intervalu mnoho). Až po znovuobnovení služby sítě mohli technici odpojit zdroj útoku. Pár desítek minut byl jeden celý region bez kvalitního pokrytí.
U obou případů platí, že přestože byl zásah profesionální a došlo k rychlému obnovení služby, z pohledu ekonomických důsledků nebyly škody malé. Proto jsou bezpečnostní události vždy důkladně vyšetřovány. A výsledky jsou, analogicky třeba k leteckým nehodám, zveřejňovány pro ostatní. Zveřejnění také provází doporučení, jak se vektoru útoku v budoucnosti vyhnout. Takové postupy jsou nutné, jsme v dlouhodobé, i když nevyhlášené kybernetické válce. Významnějších útoků proti nějakému cíli v našem kyberprostoru zaznamenáváme několik za minutu, těch inovativních je podstatně méně – o to jsou nebezpečnější. Proto musí být naše obrana špičková.
Kyberbezpečnostní databáze GSMA
Popsáním incidentů z úvodu článku, stejně jako dalších závažných útoků, a jejich zveřejňováním v odborné komunitě vzniká klíčová zpětná vazba. Protože národní úřady nemají dostatečně širokou odbornost a dosah, jako platforma pro vytváření bezpečnostní databáze slouží už dekády asociace GSMA. Tato oborová organizace sdružuje víceméně všechny mobilní operátory na světě a mezi přidruženými členy jsou prakticky všichni relevantní výrobci telekomunikačních technologií i mobilních telefonů, potažmo celý svět mobilních technologií.
Znalosti z databáze útoků slouží operátorům stejně jako návrhářům hardwaru sítí a v neposlední řadě standardizačním orgánům organizace 3GPP, která komunikační protokoly navrhuje. GSMA tak má velmi dobrý vhled do celého ekosystému.
Z pohledu aktuální bezpečnosti je hlavním přínosem GSMA okamžité sdílení informací o bezpečnostních incidentech. Jakékoliv události, které směrovaly proti systémům jejích členů, jsou v orgánech asociace popsané, a to včetně přijatých nápravných opatřeních a jejich účinnosti. Asociace pro své členy zveřejňuje celou soustavu dokumentů, doporučení a postupů, podle kterých svoji bezpečnost řídí.
Jak sdílená databáze znalostí GSMA konkrétně vypadá? Informační zdroj pro členy asociace má formu neustále doplňované databáze nazvané 5G Cybersecurity Knowledgebase. Znalostní báze samozřejmě neobsahuje toliko prostý popis incidentů, ale také zkušenosti různých týmů při aplikaci bezpečnostních opatření. Tyto informace sdílí a konzultuje s akademickou sférou a tajnými službami, s veřejnou sférou a dalšími mezinárodními organizacemi, jako jsou 3GPP, ENISA, NIST.
Opatření přímo provazuje s procesy v certifikačních laboratořích, které provádí u konkrétních zařízení v síti test podle bezpečnostního schématu NESAS. Operátoři a další firmy tak mají k dispozici komplexní kyberbezpečnostní „Wikipedii“, která se rozhodně neomezuje pouze na 5G sítě.
Plány na všeobjímající regulaci z EU
Bez digitálních technologií si už dnes nedokážeme představit svůj život. Požadavky na digitalizaci všech odvětví průmyslu i služeb už jsou tak samozřejmé, že jakékoliv narušení IT nebo komunikačních systémů vede nutně k velkým škodám. To znamená, že pro odborníky na informační a komunikační technologie (ICT) je důležité pochopit a reportovat, jak mohou útočníci jejich sítě ohrozit a jak komplexně zabezpečit systémy firem i úřadů tak, aby jakékoli ohrožení mělo co nejmenší vliv na fungování dané organizace. Týká se to pochopitelně i telekomunikačních operátorů.
Důležitosti bezpečnosti kritické ICT infrastruktury si je vědoma i Evropská unie, která se rozhodla „rozprostřít“ všeobjímající křídla regulace na každý kout digitálního světa. Nedávno vrcholné orgány unie vydaly novou Směrnici o opatřeních vysoké společné úrovně zabezpečení kybernetické bezpečnosti v celé EU, která je známější pod zkratkou NIS2. To ale není v kyberbezpečnostní legislativě zdaleka všechno.
Politici a úředníci EU přichází s propojenou soustavou směrnic a nařízení, jež má komplexně řešit problematiku kybernetické bezpečnosti nejpozději od roku 2024, kdy má vše platit i být účinné na národní i evropské úrovni. Jde například o s NIS2 vydanou směrnici CER určenou k posílení odolnosti kritické infrastruktury států EU nebo chystané nařízení Cyber Resilience Act (CRA), které zavede pravidla kybernetické bezpečnosti pro produkty s digitálními prvky.
Tímto výrazem lze označit v zásadě jakékoli zařízení, které je připojeno k síti, ať už jde o hardware, software, nebo nejčastěji kombinaci obojího. Výrobci takovýchto zařízení dostanou v rámci CRA závazná pravidla pro bezpečný design HW a SW.
Kromě povinnosti dodávat výrobky posouzené s ohledem na známé kyberbezpečnostní hrozby jim vznikne i nová povinnost zabezpečovat prostřednictvím aktualizací systému kybernetickou bezpečnost po celou dobu bezpečnostního cyklu. Nařízení CRA má zvýšit ochranu uživatelských prvků sítí, v podstatě především spotřební elektroniky.
Proč zmiňujeme evropskou regulaci ve stejném článku s popisem procesů v GSMA? Ochrana konkrétních prvků infrastruktury, fyzická ochrana klíčových částí, ochrana koncových zařízení uživatele – evropští činovníci v podstatě převzali základní stavební prvky zabezpečení infrastruktury telekomunikačních sítí a rozšiřují je na obecnou kyberbezpečnost v digitálním světě.
Tento článek byl původně publikován na serveru Lupa.cz
Zdroje obrázků: Pexels, Unsplash