Jau antrą savaitę vykstančiose Lietuvos kariuomenės Gynybos štabo organizuojamose kibernetinio saugumo pratybose „Gintarinė migla 2019“ antradienį buvo įtempta diena – pratybų poligonais paverstose salėse aidėjo įkyrūs garso signalai, o kibernetinius išpuolius atremti bandė 8 komandos iš Lietuvos ir sąjungininkių valstybių.
Vienų veidai – atsipalaidavę, savimi pasitikintys, kitų – įsitempę, o juoduose ekranuose sumirksėjęs užrašas „Jūs buvote nulaužtas“ reiškė pralaimėjimą. Bet tik laikiną, nes tai – tik pratybos, kurių tikslas treniruotis, mokytis iš klaidų, semtis patirties, žinių. Tačiau pratybų scenarijus, nors ir su išgalvotais pavadinimais, vietovėmis bei palengvintomis planavimo bei veiksmų procedūromis atrodė grėsmingai.
Jei šalyje tiek problemų kyla dėl vieno padangų gaisro viename svarbiausių Lietuvos miestų nesugeba deramai reaguoti į situaciją ir tinkamai pasirūpinti žalos suvaldymu, kas ir kaip galėtų reaguoti į masinę kibernetinę ataką prieš kritinės infrastruktūros objektus?
Kritikai bestų pirštu į jau matytus nesusikalbėjimo atvejus – nereikia nė Astravo. Tačiau pratybų, kuriose trumpam leista apsilankyti ir žiniasklaidos atstovams, organizatoriai neatrodė nusiteikę pesimistiškai.
Realias atakas patyrė savo kailiu
Pratybose „Gintarinė migla 2019“ lapkričio 11-22 d. dalyvauja daugiau nei 100 specialistų iš Lietuvos, kelių kitų Europos Sąjungos šalių, JAV, Sakartvelo ir Ukrainos. Pastarosios šalies specialistai – realiuose karo veiksmuose savo valstybėje dalyvavę kariai puikiai žino, ką reiškia tokios atakos prieš kritinės infrastruktūros objektus Ukrainoje.
„Pastaraisiais metais situacija kibernetinėje erdvėje ypač sparčiai keičiasi. Kibernetinės atakos tapo nauju, moderniu pavojingu ginklu, galinčiu suparalyžiuoti ne tik atskirų įstaigų, gamybos, prekybos, transporto, ryšių, elektros energijos, vandens tiekimo įmonių, bet ir valstybės ginkluotos gynybos operacijas, todėl dabar svarbiausiu ginklu tampa aštrus protas“, – sako krašto apsaugos viceministras Edvinas Kerza, ketinantis apsilankyti ir pasveikinti pratybų dalyvius.
Per pastaruosius kelerius metus Ukrainoje įvykdytos kelios masinės kibernetinės atakos prieš energetikos, transporto sektorius, karinius objektus, o fronto linijoje elektroninės kovos ir kibernetiniai žaidimai yra kasdienybė.
Tačiau „Gintarinė migla“ ukrainiečiams taip pat buvo gera mankšta ir patirties įgijimas – pirmųjų vertinimų rezultatai parodė, kad būtent ukrainiečiams šios pratybos pasirodė ypač naudingos.
Pratybose vertinami greitojo reagavimo į kibernetinius incidentus komandų (angl. Rapid Reaction Team (RRT)) gebėjimai vykdyti gynybines kibernetines operacijas – įvertinti priešiškus veiksmus kibernetinėje erdvėje, aptikti ir identifikuoti kibernetines grėsmes, vykdyti potencialių kibernetinių atakų prevenciją ir jų poveikio neutralizavimą.
Kodėl svarbi kavos pertrauka?
Kaip ir įprastai tokiuose kibernetinio saugumo renginiuose, pratybų „Gintarinė migla“ dalyviai buvo suskirstyti į kelias komandas: žalioji komanda – išgalvota energetikos bendrovė „LTU EneRgY“, kuri tapo pagrindiniu taikiniu, baltoji komanda, kuri atsakinga už operacinį valdymą ir organizacinę veiklą, raudonoji – puolančiųjų programišių komanda, imitavusi realias ir ypač kenksmingas kibernetines atakas pasaulyje surengusias grupuotes FancyBear ir CozyBear bei 8 mėlynosios komandos, kurių pagrindinė užduotis – apginti žaliuosius ir užkirsti kelią raudonųjų atakoms.
Pastarųjų antradienį nebuvo ypač daug – vos po 4-5 per dieną. Tačiau raudonieji neleido mėlyniesiems nuobodžiauti – tikrino galimas spragas „LTU EneRgY“, mėgino įsilaužti ir sutrikdyti jos veiklą. „LTU EneRgY“ ne veltui parinktas kaip atitikmuo: su daugiau nei 4 tūkst. darbuotojų ši bendrovė kontroliuoja ir valdo pagrindines šalies elektrines, užtikrina energijos tiekimo saugumą ir teikia paslaugas 1,6 mln. vartotojų, energiją tiekia ne tik civilinės, bet ir karinės paskirties objektams.
Pagal pratybų scenarijų pirmosios atakos neapsiriboja vien tik kibernetine erdve ir nevyksta staiga: iš pradžių šalia energetikos objektų pasirodo įtartini tipai, „LTU EneRgY“ informuoja saugumo pareigūnus apie bandymus papirkti jų darbuotojus, tik tada atakuojamas pirmas taikinys – nekilnojamojo turto bendrovė. Prasideda chaosas, dezinformacinė kampanija, įsilaužimai į duomenų centrą. Kas yra tikrasis taikinys? Iš kur ir kokios atakos vykdomos? Šalis nutaria pasitelkti pagalbą.
Todėl neatsitiktinai pratybose „Gintarinė migla 2019“ taip pat dalyvauja ir Lietuvos inicijuoto ES Nuolatinio struktūrizuoto bendradarbiavimo gynybos srityje (angl. PESCO) rėmuose vystoma kibernetinių greitojo reagavimo pajėgų komanda – CERT. Ji sudaryta iš Lietuvos, Nyderlandų, Lenkijos, Rumunijos ir Suomijos kibernetinio saugumo specialistų.
Komanda turi ir du papildomus uždavinius. Pirmasis – treniruotis dirbti kartu, dalytis informacija, bendradarbiauti nustatant bei analizuojant kibernetines grėsmes, priešiškus veikėjus ir išpuolius. Antrasis uždavinys – įvertinti bendrus kibernetinės gynybos pajėgumus. Tačiau be šios informacinės atakos paaiškėjo ir trečiasis uždavinys – pabendrauti gyvai, mat kibernetinio saugumo specialistai gali dirbti nuotoliniu būdu ir visus surinkti į vieną kambarį pavyksta ne taip jau dažnai. O tame yra daug naudos.
Pavyzdžiui, kaip juokavo pratybų organizatoriai, labiausiai ko trūko šiose pratybose tai kavos pertraukėlių. Mat būtent jų metu per neformalų bendravimą išaiškėdavo vienos ar kitos komandos veiksmai, galimos spragos, nematyti įsilaužimo būdai ir kita naudinga informacija – gyvas bendravimas kad ir per kavos pertraukėles gali sugeneruoti netikėtų idėjų srautą.
Toks gyvas apsikeitimas idėjomis atspindi pratybų tikslų dvasią, mat čia ne tiek varžomasi, kas daugiau užkardys atakų, bet realiai formuojamos komandos, mokomasi vieni iš kitų. Ir tai – ne tušti ir skambūs žodžiai.
Pavyzdžiui, amerikiečių komanda išsiskyrė organizuotumu, pasiruošimu, tvarkingumu. Kai kuriems pratybų dalyviams tai buvo ne pirmi ir net ne keliolikti panašūs mokymai, tad kolegų įgūdžių, patirties ir kitų gebėjimų žinojimas bei susigrojimas buvo svarbesnis už patį rezultatą.
Tuo metu PESCO komanda įsijautė į atakų stabdymą – perpratusi sistemą jie agresyviai reaguodavo į kiekvieną ataką – realybė, kai duomenų, atakų srautas ir mastas būtų gerokai didesni, o tokios dilemos, kaip rizikuoti praleisti kibernetinį įvartį arba atjungti visą sistemą ir palikti tūkstančius gyventojų be elektros šįkart nebuvo lemiami veiksniai.
Vis dėlto PESCO atstovams tai buvo geras pasiruošimas prieš realų budėjimą – komanda ruošiasi artėjančiai rotacijai 2020-taisiais metais, kai budėjimą pradės pirmoji šio projekto rėmuose suburta tarptautinė komanda. Jai, beje, vadovaus Lietuva.
Aktyviojo rezervo vaidmuo
Oficialiai svarbiausio kibernetinio saugumo pratybose „Gintarinė migla 2019“ naudojamo įrankio – Kibernetinio poligono, kuriame treniruojasi greitojo reagavimo į kibernetinius incidentus komandos, sukūrimas buvo patikėtas Lietuvos kariuomenės Ryšių ir informacinių sistemų bataliono vienetui, sudarytam iš aktyviojo rezervo karių.
„Šiemet kibernetinis poligonas sukurtas siekiant imituoti verslo sistemas bei atkartoti verslo poreikius ir IT valdymo procesus didelėse organizacijose.
Taip pratybose yra mokomasi ne tik techninių saugos užtikrinimo aspektų, bet ir prisitaikoma prie verslo IT valdymo praktikų – tai leidžia tobulinti standartines greito reagavimo į kibernetinius incidentus komandų procedūras, pritaikant jas prie realesnių sąlygų,“ – sakė pratybų techninis direktorius kapitonas Tomas Mogodia.
Kartu treniruojasi kariai iš Lietuvos kariuomenės Gynybos štabo, Ryšių ir informacinių sistemų bataliono, Informacinių technologijų tarnybos prie krašto apsaugos ministerijos, Generolo Jono Žemaičio Lietuvos karo akademijos.
Jie užtikrina kibernetinę saugą ir vykdo gynybines kibernetines operacijas taikos ir karo metu. Kartu su jais treniruojasi ir Vilniaus universiteto, Vilniaus Gedimino technikos universiteto, AB „Lietuvos geležinkeliai“, UAB „Ignitis“, JAV Pensilvanijos nacionalinės gvardijos, Ukrainos ir Sakartvelo kibernetinės reagavimo į incidentus komandos, sudarytos iš profesinės karo tarnybos, kibernetinio saugumo specialistų ir aktyviojo rezervo karių.
Būtent lietuviai civiliai buvo nebylios pratybų „Gintarinė migla 2019“ žvaigždės. Mat prie kompiuterių ekranų buvo prigludę iš esmės ne peofesionalūs kariai, o parengti civiliai.
Tokių Lietuvoje dar trūksta, ypač kibernetinio saugumo srityje, kuria mėgsta girtis lietuviai, nors tai yra puikus įrašas į CV – teigiama, kad po tokių rekomendacijų keliems specialistams atsivėrė durys NATO būstinėje Briuselyje.
Šį kartą iš aktyviojo rezervo pašaukti civiliai noriai prisidėjo prie pačių pratybų planavimo, aukojo savo laisvą laiką po darbo, savaitgaliais, o pratybų metu dalis pasiskirstė po baltąją ir raudonąją komandas.
Pratybų organizatoriai neslėpė, kad būtent šių civilių pagalba pavyko suorganizuoti dar kokybiškesnes pratybas, nei pernai, juo labiau, kad šiemet vyko išankstinis – tiek teorinis, tiek praktinis pasiruošimo etapas.
Didelėse bendrovėse IT specialistais dirbantys asmenys puikiai žino, kad realiame gyvenime atakos galėtų vykti kitaip, o ir sąlygos būtų sudėtingesnės.
Kita vertus tokie aktyviojo rezervo kariai gali būti aktyvuojami ir nuotoliniu būdu – ir jei pratybose labiau vertinamas asmeninis kontaktas, galimybė gyvai bendrauti su kolegomis ir spręsti užduotis, tai realioje situacijoje tektų atremti kibernetines atakas ir kontratakuoti iš bet kurio pasaulio taško, kur, žinoma, yra prieiga prie interneto ir leidžia kitos techninės galimybės.
