Smart cities a kybernetická bezpečnost

Ladislav Tobiáš, manažer IT projektů odboru informatiky hlavního města Prahy

Koncept „smart cities“ je charakteristický propojením informačních a komunikačních technologií (ICT) se stávající rozsáhlou a finančně náročnou kritickou infrastrukturou, jako jsou energetické sítě, dopravní sítě, nakládání s odpady, zdravotnictví atd., a díky přesnému monitoringu a systému řízení umožňuje zvýšení účinnosti a realizaci úspor. Kromě nasazení inteligentních senzorů a všeobecné dostupnosti chytrých telefonů (a jejich vzájemné komplementarity) má „smart cities“ potenciál posílit postavení komunit a realizovat významné přínosy z hlediska efektivity, kreativity, a dokonce i participace místních občanů v demokratickém procesu. Z těchto důvodů se koncept smart cities zcela přirozeně stává zajímavou příležitostí pro městské samosprávy a často tak dochází k rychlému přijímání „smart“ řešení. Nicméně neřízený, rychlý rozvoj smart iniciativ a technologická komplexnost při integraci stávajících infrastruktur s ICT otevírá dveře potenciálním kybernetickým hrozbám, což ve svém důsledku může mít negativní dopady na komunity.

Kybernetická bezpečnost jako priorita pro městské samosprávy

Jakým způsobem mají samosprávy možnost eliminovat kybernetická rizika a usměrnit rychlý rozvoj smart cities žádoucím směrem? Pokud nebude kybernetická bezpečnost vnímána jako prioritní, nebude proaktivně a integrovaně řízena ze strany samospráv, může ve svém důsledku ohrozit důvěryhodnost veřejnosti v smart řešení. Na druhou stranu, při racionálním a řízeném přístupu městských samospráv mohou smart cities pozitivně nasměrovat organizace městské samosprávy k bezpečnější infrastruktuře tím, že využijí již dostupné nástroje koordinace a definování bezpečnostních standardů.

Městské samosprávy mohou především používat různé metody pro hodnocení a měření (tzv. benchmarking) a následně provádět potřebná bezpečnostní opatření. Kromě interních ISMS (systémů pro řízení bezpečnosti informací) a požadavků vyplývajících z legislativy (zákon o kybernetické bezpečnosti) lze využít některé z již existujících rámců pro řízení rizik. V roce 2014 americký National Institute of Standards and Technology (NIST) zveřejnil rámec pro zlepšení kritické kybernetické infrastruktury (ve verzi 1.0). Tento rámec byl výsledkem rozsáhlé spolupráce mezi vládou a soukromým sektorem. Rámec umožňuje libovolné organizaci bez ohledu na velikost, stupeň potenciálního rizika nebo pokroku v oblasti kybernetické bezpečnosti využívat technologicky neutrální nástroj pro zhodnocení a následné průběžné zlepšování stavu bezpečnosti/odolnosti kritické infrastruktury, založené na zásadách a osvědčených postupech v oblasti řízení rizik. Rámec se skládá z pěti spojitých funkcí – identifikace (identify), ochrana (protect), detekce (detect), reakce (respond), obnova (recovery). Tyto funkce poskytují strategický pohled na životní cyklus řízení kybernetického rizika v rámci definované organizace. Pokud je v maximálně možné míře využíván, může poskytnout strukturu řadě již využívaných bezpečnostních metod souběžně s přiřazením (globálních) standardů, směrnic a postupů, které jsou efektivně využívány v ICT ve vztahu k řízení rizik. Jinými slovy rámec definuje společnou taxonomii a mechanismus organizacím pro:

  • popis jejich aktuálního postoje ke kybernetické bezpečnosti;
  • popis cílového stavu kybernetické bezpečnosti;
  • identifikaci a prioritizaci oblastí (příležitostí) pro zlepšení kybernetické bezpečnosti v rámci kontinuálního procesu;
  • zhodnocení pokroku směrem k cílovému stavu;
  • komunikaci mezi interními a externími zainteresovanými subjekty v případě ohrožení kybernetické bezpečnosti. Rámec může díky své struktuře vhodně doplnit stávající proces řízení rizik či kybernetickou politiku organizace. Organizace může analyzovat své stávající procesy, identifikovat příležitosti k posílení, komunikovat kybernetická rizika managementu organizace v souladu s aktuálními bezpečnostními průmyslovými standardy. Organizace bez implementované bezpečnostní politiky v oblasti kybernetické bezpečnosti může využít rámec NIST jako referenční.

Součástí rámce je možnost definování tzv. TIER (úroveň implementace kybernetické bezpečnosti), který poskytuje užitečné informace o tom, jak organizace vnímá kybernetická rizika, jak jsou uplatňovány přísné a sofistikované postupy řízení rizik a jak dobře jsou tyto bezpečnostní politiky integrovány do celkové strategie organizace. Organizace si mohou určit požadovanou úroveň TIER v souladu s cíli organizace, s její praktickou realizovatelností a snížením kybernetických rizik kritických aktiv a zdrojů na úroveň přijatelnou pro organizaci.

Úrovně zahrnují TIER 1 (částečné), TIER 2 (rizikově informované), TIER 3 (opakovatelné) a TIER 4 (adaptivní) a zahrnují kritéria jako charakter procesu řízení rizik, úroveň integrace programu řízení rizik a rozsah spolupráce s externími zúčastněnými stranami. Kupříkladu politika řízení rizik by měla integrovat soukromí a občanské svobody, neboť některá opatření v oblasti kybernetické bezpečnost (např. dohled nad zaměstnanci) mohou vést ke vzniku potenciálních konfliktů. Komponenta dotýkající se spolupráce s externími zúčastněnými stranami má obzvlášť význam pro smart cities, která jsou charakteristická celkovou komplexností vazeb mezi různými zainteresovanými subjekty. Jednotlivé TIER by měly být především vnímány jako způsob k nastavení žádoucí úrovně kybernetické bezpečnosti s důrazem na řízení rizik a měly by vést organizaci k postupnému přechodu na vyšší úrovně TIER.

Závěr a doporučení městským samosprávám

Prudký rozvoj smart iniciativ v kombinaci s nárůstem počtu nejrůznějších forem kybernetických útoků (obrázek č. 2) se stává velkou výzvou pro soukromé i státní organizace. Jednou z největších překážek pro účinné zajištění kybernetické bezpečnosti a výzvou pro politiky a státní instituce činné v trestním řízení je neschopnost stíhat útočníky v zemích, které nespolupracují, a neexistence mezinárodních pravidel. Ve výsledku případný útočník čelí relativně nízkému riziku přistižení, zatímco zisk z jeho činnosti (finanční či politický) může být značný.

Městské samosprávy však potřebují okamžitá efektivní řešení pro stanovení priorit rizik, přiřazení odpovědností a definování standardů a technických opatření pro klíčové aspekty kybernetické bezpečnosti. Jednou z praktických možností pro zlepšení stavu kybernetické bezpečnosti je uplatnit rámec NIST (případně jeho alternativu) jako nástroj k posouzení a následně zlepšení stavu kybernetické bezpečnosti v rámci městské organizace (či organizací). Rámec by neměl být chápán jako statický ukazatel, ale měl by spíš sloužit pro průběžné vyhodnocování a zlepšení stavu kybernetické bezpečnosti v rámci (a vně) organizace, nedostatky by měly být spíše vnímány jako příležitosti ke zlepšení. V případě smart řešení, jejichž podstatou jsou složité vazby a závislosti, je nezbytný proaktivní přístup a nastavení spolupráce a předávání informací v celoměstském měřítku. V souvislosti se smart cities bezpečnostní experti rovněž doporučují pravidelný bezpečnostní audit a modelování „zastaralých“ systémů, jejichž zranitelnost spočívá v integraci s novými technologiemi (složitost vytváří zranitelnost). Kromě toho by města měla vytvořit jednoduchý kontrolní seznam a průběžně kontrolovat řádné šifrování, autentizace, autorizace a aktualizace systémů v nejkratším možném čase. Všichni výrobci by rovněž měli poskytovat bezpečnostní dokumentaci a deklarovat (v rámci SLA) okamžité záplatování zranitelnosti a 24/7 odezvu při výskytu události. Na celoměstské úrovni je rovněž možné, v rámci finančních možností samosprávy, vytvářet odborný lokální Cyber Emergency Response Team (CERT), který by se zabýval problematikou incidentů, koordinace, sdílení informací atd. CERT by měl rovněž provádět sekundární služby či postupy v případě mimořádných události, definovat formální komunikační kanály, omezit přístup k veřejně přístupným údajům v mimořádných situacích, sledovat a kontrolovat přístup a využití dat, pravidelně provádět penetrační testy u všech sítí a celoměstských systémů, a v neposlední řadě vytvářet modely možných hrozeb a možné scénáře, jak na ně reagovat.

Počet kybernetických útoků podle kategorie kybernetických hrozeb. Zdroj: Verizon 2014 Data Breach Investigation Report