O tym, że cyberprzestrzeń stała się areną starć w wymiarze politycznym, militarnym, społecznym i gospodarczym nie trzeba przekonywać nikogo. Trudniej jest natomiast przekonać zwykłych użytkowników i organizacje – od niewielkich przedsiębiorstw, przez międzynarodowe korporacje, aż po państwa – do podjęcia właściwych kroków w kierunku budowy silnego, odpornego, elastycznego i – co najważniejsze – skutecznego i jednocześnie efektywnego ekonomicznie systemu zarządzania bezpieczeństwem IT.

Tymi właściwymi krokami są nie tylko bardzo ważne, bieżące działania z zakresu cyberbezpieczeństwa, ale również długofalowe inicjatywy o charakterze legislacyjnym, jak i badania, rozwój i wdrożenia różnego rodzaju technologii służącej ochronie szeroko pojętych zasobów (a zwłaszcza tych informacyjnych). Nieodłącznym elementem dbania o bezpieczeństwo jest także stałe podnoszenie świadomości zagrożeń zarówno wśród użytkowników usług i technologii, jak i ich dostawców. Na ataki narażone są zaś nie tylko komputery osób korzystających Internetu czy też systemy komercyjne, ale także infrastruktura krytyczna państw i systemy przetwarzające dane obywateli.

Przed osobami odpowiedzialnymi za sprawne funkcjonowanie systemów i usług stoi zatem wyzwanie polegające na wypracowaniu takich metod, które w praktyce (a nie tylko w teorii) okażą się skuteczne, nieuciążliwe, opłacalne i przyszłościowe. O tym, jak się bronić i chronić napisano i powiedziano już wiele. Rzeczywistość pokazuje, że nie jest to proste, a regularne doniesienia o kolejnych włamaniach do sieci i systemów tylko potwierdzają starą prawdę, że atakujący są prawie zawsze o krok przed swoimi ofiarami.

Jak w tej sytuacji poradzić sobie z problemem skutecznego i efektywnego zarządzania bezpieczeństwem?

Sposobów jest wiele: od wdrażania regulacji i technologii, przez monitoring zagrożeń, audyty i testy penetracyjne, po szeroką współpracę między organizacjami i wspólne przedsięwzięcia. Osoby blisko związane z tematyką bezpieczeństwa stwierdzą, że „przecież to robią”. Czego zatem brakuje?

Skoro podejmowanych jest szereg działań mających na celu utrzymanie wysokiego poziomu  bezpieczeństwa oraz wykrycie i odparcie ataków, to zamiast czekać aż się jakiś przydarzy (a prędzej czy później zapewne tak się stanie), można zasymulować atak we własnym zakresie i tym sposobem, w kontrolowanych warunkach, bez narażania ludzi, zasobów materiałowych i procesów biznesowych, w praktyce ocenić jakość zastosowanych mechanizmów bezpieczeństwa. Symulacja pozwala zbadać odporność organizacji na ataki na wielu różnych warstwach: zarządczej, komunikacyjnej, operacyjnej, technologicznej. Jednocześnie symulowane ataki pozwalają zweryfikować zakres i poziom współpracy między przedsiębiorstwami z jednego sektora (np. bankowości, energetyki lub telekomunikacji) a organizacjami odpowiedzialnymi za bezpieczeństwo państwa (np. rządowym CERT-em, Policją, właściwymi organami administracji publicznej powołanymi do pracy nad cyberbezpieczeństwem).

Symulację taką można przeprowadzić w ramach ćwiczeń z ochrony w cyberprzestrzeni (ang. cyber exercises), na przykład w postaci tzw. ćwiczeń sztabowych (ang. table-top exercises), w ramach których zadaniem uczestników jest reagowanie na zdarzenia „odgrywane” według ustalonego scenariusza. Organizacje biorące udział w ćwiczeniach znają jedynie ogólny jego zarys, zaś o fakcie przeprowadzania ćwiczeń powiadomione jest kierownictwo organizacji i jej pracownicy. Ma to na celu zapobieżenie sytuacji, w której ktoś podnosi prawdziwy alarm w związku z nieprawdziwą sytuacją (choć okazuje się, że i takie zdarzenia niosą dla organizacji wartość dodaną). Przygotowanie scenariusza rozpoczyna się wiele miesięcy przed samymi ćwiczeniami i oznacza wiele spotkań i sporo pracy w gronie organizatorów, wśród których są również przedstawiciele uczestników. Ci pełnią rolę moderatorów – pośredników pomiędzy organizatorami a uczestnikami. Nad całością pieczę sprawuje moderator główny wraz zespołem planowania ćwiczenia.

Ćwiczenia polegają na przekazywaniu uczestnikom informacji o zdarzeniach naruszających bezpieczeństwo ich organizacji (np. wyciekach danych, szantażach, atakach Denial of Service, podmianie stron WWW). Zadaniem uczestników jest minimalizacja skutków takich zdarzeń, ustalenie źródła ataku, zapewnienie ciągłości działania i sprawne informowanie klientów, użytkowników lub właściwych organów państwowych o rozwoju sytuacji, co ma na celu przede wszystkim zażegnanie sytuacji kryzysowej wywołanej przez niezadowolonych usługobiorców. Niejednokrotnie realizacja zadania wymaga współpracy z innymi uczestnikami lub nawet organizacjami nie biorącymi udziału w ćwiczeniach. W takiej sytuacji organizatorzy ćwiczeń „odgrywają” role brakujących uczestników.

Równolegle obok ćwiczeń sztabowych odbywać się mogą ćwiczenia techniczne.

O ile w przypadku tych pierwszych istotna jest współpraca uczestników, o tyle te drugie stanowią wyzwanie dla biorących w nich udział i rywalizujących zespołów. Celem ćwiczeń jest obrona atakowanego systemu informatycznego w jak najkrótszym czasie przy zachowaniu jego wysokiej dostępności. Zadaniem zespołów uczestniczących (tzw. Blue Teams) jest zidentyfikowanie podatności własnego systemu, ich eliminacja i odparcie ataków zespołu atakującego (tzw. Red Team).

Zarówno w ścieżce technicznej, jak i organizacyjnej jest miejsce dla osób specjalizujących się w informatyce śledczej. Reagowanie na incydenty nie raz wymaga przeanalizowania zawartości zabezpieczonych nośników danych lub np. malware’u. Co więcej – wszelkie badania wskazują, że bez skutecznej realizacji tego typu analiz, praktycznie nie jest możliwe odpowiednie zareagowanie na zagrożenie i odparcie ataku w wymaganym czasie. Choć w ciągu jednego dnia z reguły trudno przeprowadzić pełnowartościową analizę, to ćwiczenia są doskonałą okazją do sprawdzenia dostępności i gotowości ludzi i zasobów niezbędnych do reagowania na incydenty i zabezpieczania materiału o charakterze dowodowym do późniejszej analizy.

Po zakończeniu obu rodzajów ćwiczeń opracowywany jest raport, z którego wnioski mogą stanowić istotny wkład w budowanie bezpieczeństwa nie tylko uczestników ćwiczeń, ale wszystkich zainteresowanych podmiotów. Największe korzyści odnoszą oczywiście te organizacje, które zdecydowały się od początku aktywnie uczestniczyć w ćwiczeniach. Wartością dla nich jest nie tylko wiedza na temat stanu systemu bezpieczeństwa, usprawnienie procesów i ścieżek komunikacji lub podniesienie kwalifikacji, ale także – nie mniej ważne – znajomości wyniesione podczas organizacji i przeprowadzania ćwiczeń. Warto, aby wszystkie konkluzje i rekomendacje wynikające z ćwiczenia zamienione zostały przez poszczególne organizacje w praktyczny plan naprawczy i skutecznie zaimplementowane.

W Polsce ćwiczenia, podobne do tych jakie zostały opisane w artykule, organizowane są już od 3 lat i noszą nazwę Cyber-EXE™ Polska. Ich organizatorem jest Fundacja Bezpieczna Cyberprzestrzeń. W pierwszej edycji uczestniczyły w nich przedsiębiorstwa z sektora energetycznego, w 2013 instytucje finansowe, zaś jesienią 2014 roku z wyzwaniami zmierzą się operatorzy telekomunikacyjni. Dwie dotychczasowe edycje ćwiczeń pokazały, że są one wartościowym źródłem wiedzy o własnej organizacji, sposobem na usprawnienie jej funkcjonowania oraz platformą wymiany doświadczeń, zaś pozytywne opinie uczestników i  fakt, że ćwiczenia realizują także inne kraje (w tym roku np. Gruzja w ramach Cyber-EXE™ Georgia 2014), udowadnia, że warto przekonać się do takiej formy budowania bezpieczeństwa.