Vládní tým GovCERT.CZ, který provozuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), se zaměřuje především na pomoc se zvládáním kybernetických incidentů v systémech státní správy a kritické informační infrastruktury (nově tedy „poskytovatelé regulované služby v režimu vyšších povinností“). Tento tým běžně neřeší incidenty u běžných občanů ani v soukromém sektoru. Pro tento typ incidentů se prosím obracejte na národní CSIRT.CZ, který provozuje sdružení CZ.NIC na základě veřejnoprávní smlouvy s NÚKIB.
Hlavním posláním vládního týmu GovCERT.CZ patří metodická, technická a analytická pomoc při řešení incidentů v systémech regulované služby v režimu vyšších povinností. V detailu jsou představeny níže.
Koordinační činnost a pomoc při řešení incidentů
Řešení bezpečnostních incidentů patří k hlavním činnostem vládního týmu. Při nahlášení takové události jsou jeho odborníci připraveni pomoci vašim IT specialistům po metodické a technické stránce, včetně poskytnutí rad pro další preventivní opatření. Dojde-li ke zjištění, že některý z incidentů cílí na více subjektů, jsou připraveni koordinovat společný postup na jeho řešení.
Nedílnou součástí naší práce je i pomoc při zprostředkování kontaktů jak s českými bezpečnostními týmy, tak se zahraničními partnery při řešení bezpečnostních incidentů s mezinárodním přesahem.
Tým GovCERT.CZ je schopen v rámci řešení incidentu poskytnou analýzu zasažených stanic, serverů a prověření síťových dat nebo logů s cílem identifikace způsobu napadení a možných dopadů incidentu. Nabízí také možnost konzultací, zda se jedná o incident či pouze o událost (odpovídajících dat nebo logů).
V případě podezření na aktivně působícího útočníka team disponuje schopnostmi a prostředky pro vyhledávání známek útočníka (Threat hunting a Live-Forensics) přímo v běžícím prostředí, ať už na místě, nebo na dálku.
Penetrační testování
Jednou z forem preventivních aktivit je i penetrační testování. Jedná se o legální pokus o průnik do testovaných systémů na základě podepsané smlouvy. Výsledkem je zpráva o chybách v zabezpečení testovaného subjektu, která je určena výhradně jeho vlastníkovi, který na základě zprávy učiní příslušná bezpečnostní opatření. Služby jsou poskytovány bezplatně a jsou v současnosti určeny především pro subjekty regulované zákonem o kybernetické bezpečnosti v režimu vyšších povinností. Ostatní subjekty veřejné správy a další subjekty podle volných kapacit vládního týmu.
Dotazy ke všem službám je možné směřovat na adresu pentest@nukib.gov.cz.
INTERNÍ TESTY
U interních testů se jedná o simulaci útočníka, který se nachází ve vnitřní síti společnosti. Může se jednat o nespokojeného zaměstnance nebo útočníka, který má fyzický nebo vzdálený přístup do síťové infrastruktury společnosti. Simulace tohoto útoku má potencionálně nejvyšší účinky dopadu, protože útočník má od počátku přístup do interní sítě.
Interní testy slouží k ohodnocení zabezpečení interní sítě a nalezení zranitelností v této síti, dále k prověření bezpečnostních mechanismů sloužících k ochraně zdrojů, služeb a dat před neoprávněným přístupem a případným zneužitím ze strany uživatelů ve vnitřní síti, jako jsou například partneři nebo dodavatelé. Služba vyžaduje podepsání smlouvy.
EXTERNÍ TESTY
U externích testů se jedná o simulaci útočníka, který útočí z vnější sítě. Útočník obvykle nemá přesný přehled o síťové infrastruktuře společnosti a disponuje především informacemi, které jsou volně dostupné. Externí testování je cíleno na služby, které jsou vystaveny do internetu. Může se jednat o webové stránky, webové aplikace, email, DNS servery a různé jiné služby. Některé testy mohou být prováděny s poskytnutými testovacími přihlašovacími údaji. Primárním cílem je odhalení co největšího počtu závažných zranitelností, které mohou vést k průniku a neoprávněnému přístupu do interní sítě a k získání cenných dat společnosti. Služba vyžaduje podepsání smlouvy.
PHISHINGOVÉ A VISHINGOVÉ KAMPANĚ
Kampaně slouží k otestování uživatelů, zda jsou schopni rozpoznat phishingové (podvodné) e-mailové zprávy a podvodné hovory s cílem zjistit, jak na ně reagují. Dalším cílem je prověřit interní postupy testované organizace a jejich reakce. Následně jsou tyto reakce vyhodnoceny a předány formou zprávy včetně doporučení na zlepšení. Kampaně jsou prováděny až na základě oboustranného schválení podoby a na základě podepsané smlouvy.
FYZICKÉ TESTY
Fyzický test má za cíl otestovat pracovníky, jestli například nevpustí nepovolanou osobu do zabezpečených prostor, nebo jestli zabezpečují svoje pracoviště a zároveň ověřit prvky bezpečnosti, jak pasivní (např. dveře, zámky, ploty, internetové zásuvky atd.), tak i aktivní (ostraha, kamery, systémy vstupních karet, hesel atd.). Služba vyžaduje podepsání smlouvy.
PRŮBĚŽNÉ SKENOVÁNÍ ZRANITELNOSTÍ
Vládní tým nabízí možnost zapojit se do programu průběžného skenování zranitelností. Zapojené subjekty jsou dlouhodobě monitorovány z hlediska přítomnosti nejznámějších zranitelností, a to zejména za pomocí automatizovaných skenovacích nástrojů. V případě nálezu zranitelnosti je zapojenému subjektu zaslána notifikace. Služba vyžaduje podepsání smlouvy.
DETEKCE ZRANITELNÝCH SLUŽEB
Vládní tým provádí detekci potencionálně zranitelných služeb na základě skenování portů a detekci verzí služeb pomocí tzv. metody “banner grabbing”. Do projektu je možné se zapojit na základě zaslání IP rozsahu určeného pro skenování.
DALŠÍ SPECIÁLIZOVANÉ TESTY
Je možné dohodnout i další specifické testy, které nejsou uvedeny ve výčtu a souvisejí s testováním zabezpečení systémů. Může se jednat například o testy specifických zařízení, testování webových aplikací s poskytnutými testovacími přihlašovacími údaji nebo o provádění DoS útoků.
Forenzní laboratoř
V reakci na probíhající nebo proběhlé bezpečnostní incidenty odborníci z vládního CERT týmu mohou provádět forenzní analýzu napadených systémů a na nich nalezeného škodlivého kódu. Výsledky této analýzy obsahují doporučení pro administrátory systémů, které by měly napomoci k tomu, aby se podobným incidentům do budoucna předcházelo nebo došlo k jejich včasné detekci a minimalizaci případných následků pro danou instituci.
ZAJIŠŤOVÁNÍ DAT
Součástí této služby jsou konzultace a poskytnutí podpory pro zajišťování dat potřebných pro analýzu. Nejčastěji se jedná o vytváření kopií disků, obrazů paměti a extrakci logů. Analyzovat lze jak celé systémy, tak i škodlivé přílohy podvodných e-mailů (tzv. phishing/spear-phishing).
PRŮBĚH A VÝSTUP ANALÝZY
Po předání zajištěných dat naší organizaci následně zanalyzujeme průběh incidentu a vytvoříme závěrečnou zprávu, obsahující zdokumentovaný postup analýzy. Doba analýzy je závislá na množství a kvalitě poskytnutých dat.
Kybernetická bezpečnost operačních technologií
Vzhledem k rostoucímu počtu kybernetických hrozeb zaměřených na oblast operačních technologií — tedy systémy řídící fyzické procesy v průmyslu, energetice, dopravě či zdravotnictví — se vládní tým stále více zaměřuje i na tuto specifickou oblast kybernetické bezpečnosti.
Hlavním cílem je chránit průmyslové řídicí systémy a infrastruktury, které tvoří páteř kritické infrastruktury státu. I menší incidenty zde mohou mít zásadní dopad nejen na provoz, ale i na bezpečnost lidí či životní prostředí.
Hlavní úkoly v oblasti OT:
- Konzultační činnost – poskytování odborných doporučení pro zabezpečení průmyslových řídicích systémů, segmentaci sítí, správu přístupů a reakci na incidenty.
- Řešení kybernetických bezpečnostních incidentů – asistence organizacím při detekci, analýze a mitigaci útoků zaměřených na OT infrastrukturu.
- Proaktivní činnosti – aktivní sledování hrozeb, identifikace zranitelností a analýza malwaru zaměřeného na průmyslové prostředí.
Výzkum a vývoj:
Součástí této činnosti je i vývoj laboratorního testovacího prostředí, které umožňuje simulaci průmyslových procesů a kybernetických útoků v kontrolovaných podmínkách. Toto prostředí pomáhá ověřovat účinnost bezpečnostních opatření, testovat reakční postupy a školit odborníky.
OT Polygon:
Klíčovým prvkem pro vzdělávání a testování je OT Polygon — specializované prostředí, které slouží pro praktické testování, simulaci útoků a výcvik odborníků v oblasti kybernetické bezpečnosti operačních technologií.
OT Polygon umožňuje:
- simulovat reálné průmyslové sítě a provozy,
- zkoumat dopady útoků a zranitelností,
- školit odborníky v řízeném prostředí,
- testovat nové obranné mechanismy a strategie reakce.
Pokud máte o kteroukoliv výše nabízenou službu zájem, můžete se na nás obrátit na e-mailové adrese cert@nukib.gov.cz .