Bezpečnost sítě CETIN
Bezpečnost na internetu. Téma, o kterém se rozhodně bude mluvit už jenom víc. Zabezpečení naší sítě vám nepředstaví nikdo jiný než ředitel bezpečnosti CETIN Radek Živný.
V čem spočívá bezpečnost sítě CETIN?
Celé je to o konceptu fyzické bezpečnosti. Pevná linka prochází složitou infrastrukturou a než se dostane k zákazníkovi, projde několika body, samozřejmě zakopaná v zemi. Pod těmi body si můžete představit různé budovy či jiné objekty patřící CETINu, ke kterým je omezený přístup.
Všechna optická vlákna provozujeme dle standardů se sníženou schopností odposlechů. Opravdu tedy není možné odposlouchávat optiku z družic, jak jsem se někde dočetl…
Je nutné mít vytvořený dobrý systém řízení bezpečnosti, tedy i mít přehled nad všemi aktivitami, které v prostředí jsou - od budov, přes lidi, až po technologie a síť jako takovou, což CETIN má. Prakticky jediným zranitelným bodem celého připojení k internetu je koncové zařízení v domácnosti, tedy modem.
O tom, jak napadení předejít, se dozvíte v tomto článku.
Podařilo se někdy síť CETINu nabourat?
Ne.
Jaké jsou nejčastější typy útoků dnes a jakých bychom se mohli obávat v budoucnosti?
V kybernetickém světě je možné cokoli. Denně vzniká okolo 120 zranitelností a číslo stále roste, neboť se do informačního světa přesouvá stále více věcí. Chytrá lednička, inteligentní dům… Tam často dochází k tzv. DDoS útokům, které fungují na bázi přehlcení sítě, což způsobuje částečné nebo úplně omezení průtoku dat.
Co se týče útoků v budoucnosti - představte si třeba typ útoku, že jede auto, které je dostupné přes wi-fi nebo mobilní síť. Někdo změní GPS souřadnice a vy se rozjedete do zdi. To jsou velká rizika, a i z toho důvodu bude bezpečnost v budoucnu velké téma zejména proto, že budou zařízení čím dál tím více propojena. Souvisí s tím ale i sofistikovanost útoků. Samozřejmě, že se výrobci snaží prostředí maximálně zabezpečit, ale výrobní proces je rozjetý vlak. Výrobci nemohou v reálném čase stíhat vše 100% zabezpečit. Je proto nezbytně nutné, aby zde existoval někdo, kdo to bude kontrolovat a eventuelně nad tím vést nějaké řízení, které by k optimalizaci vedlo.
Jak předcházíte potenciálním útokům?
Máme různé znalostní databáze a v rámci sledování vývoje hrozeb samozřejmě nevynecháváme zahraničí. Hrozby se dokonce snažíme odzkoušet v reálném světě, abychom otestovali, zda se jedná o opravdovou hrozbu nebo jen výstřel do tmy. A mnoho těch hrozeb opravdu ničím jiným než výstřelem do tmy není.
V CETINu dbáme na to, abychom měli kvalitní vulnerability (zranitelnostní) management. Systémy neustále testujeme, zda jsou proti útokům odolné. Mimo to sledujeme trendy a používáme monitorovací nástroje. Máme ochranu proti DDoSům s vlastní mitigací. (Mitigace je zařízení, které monitoruje síťový provoz a když narazí na nějakou nezdravou komunikaci, tak ji ověří a v případě, že se potvrdí, zablokuje jí více či méně přístup do infrastruktury.) V našem oddělení informační bezpečnosti mám kolegy, kteří mají za úkol se pokoušet do našeho systému nabourávat. Periodicky pak výsledky vyhodnocují a na základě nich dělají potřebná opatření. Máme detailní analýzy rizik, které děláme minimálně jednou ročně.
Tento životní cyklus zajišťování bezpečnosti je certifikovaný dle ISO 27 000 na kritickou infrastrukturu jako takovou z pohledu §240 zákona o krizovém řízení a následně podle §181 zákona o kybernetické bezpečnosti. Tam jsou určité povinnosti, které je nezbytně nutné dodržovat. Kromě toho jsme každoročně auditováni v rámci ISMS na normu 27 001, která řeší standardizaci zabezpečení prostředí.
Je pevná linka bezpečnější než připojení přes wi-fi?
Rozdíl mezi pevnou a wi-fi je z pohledu bezpečnosti diametrálně odlišný. Pevná linka jako taková nevyzařuje žádný signál do okolí, kdežto wi-fi zařízení ano. Pokud bychom tvrdili, že ne, popřeli bychom jejich funkcionalitu. Zářením se zvyšuje zranitelnost, tudíž i pravděpodobnost možného napadení. Pokud máte možnost připojení po pevné, určitě z hlediska nejen bezpečnosti doporučujeme zvolit to.
Má CETIN přístup k datům zákazníků?
Když se vy koukáte na fotbal, tak my nevidíme, že se koukáte na fotbal. Dokonce ani nevíme, že jste to vy. Síť je od dat zákazníků striktně oddělena. CETIN je vidí v rámci VDSL světa jen podle ID a přípojky, neví ale, zda přípojku vlastníte vy nebo váš soused. IP adresu a konečnou identifikaci získáváte až přes radius server u poskytovatele.