BUDOVÁNÍ KYBERNETICKÉHO OPERAČNÍHO CENTRA

A - PŘIHLAŠUJÍCÍ

Jméno a příjmení: Roman Heinz
Titul: JUDr., Ph.D
Funkce: ředitel
Odbor: krajský úřad
E-mail:heinz.roman@kr-jihomoravsky.cz
Adresa: Žerotínovo náměstí 3, Brno
Firma:Krajský úřad Jihomoravského kraje

 

B - PROJEKT

Název projektu: Budování Kybernetického operačního centra

Lokalita:Jihomoravský kraj

CÍL:• zvýšit ochranu aktiv
• zajistit schopnost detekovat kybernetické bezpečnostní události a incidenty
• zvládat nežádoucí události
• zabezpečit výkon funkce KrÚ JmK a krajem zřízených příspěvkových organizací
• plnit požadavky Zákon č. 181/2014 Sb. Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (ZoKB)

Cílová skupina: Zaměstnanci Krajského úřadu Jihomoravského kraje a zaměstnanci Jihomoravským krajem zřízených příspěvkových organizací

Provozovatel: Jihomoravský kraj
Realizátor: Jihomoravský kraj

 

C - POPIS PROJEKTU - POPIS PROVOZOVATELE

1. Prokazatelnost účinků projektu

Je sledovaný (zamýšlený) účinek projektu kvantitativně a kvalitativně prokazatelný?
Vzhledem k tomu, že bezpečnostní dohledové centrum působí zejména preventivně v oblasti kybernetické bezpečnosti, nedá se přesně vyčíslit a popsat přínos. Hypoteticky by bez realizace tohoto projektu mohlo dojít ke ztrátě nebo zneužití informačních aktiv nebo dokonce znemožnění výkonu funkce KrÚ. Benefity spočívají v jednotném napojení oddělených IT infrastruktur příspěvkových organizací do bezpečnostního monitorovacího centra. Zároveň získávají i služby odborníků v oblasti kybernetické bezpečnosti jako i konzultace pro řešení komunikace s dozorovými orgány, které vyplývají z legislativních povinností (ZoKB).

Vnímají a uznávají uživatelé (cílová skupina) tento projekt jako prospěšný?
Ano. Pro IT správce je velmi přínosné, že mají možnost využívat technologie KOC pro analýzy provozních událostí s možností jít až rok do historie. Sdílení postupů a organizačních opatření zavedených na úrovni krajského úřadu šetří náklady a zabraňuje „prošlapávání slepých cest“. Při zjištěných útocích na IT systémy jednoho zákazníka informuje bezpečnostní dohledové centrum správce IT systémů ostatních zákazníků. Informace má charakter anonymizovaného popisu události a návrhy na protiopatření. Tato činnost je velmi pozitivně vnímána. Tento systém pomáhá zlepšovat stav kybernetické bezpečnosti zejména svým preventivním působením. Nejčastěji bývají odhalována slabá místa (hrozby) v IT infrastrukturách ještě před tím, než byla zneužita k útoku.

Jak podrobně je cílová skupina s projektem obeznámena?
Velmi dobře. Před připojením každé příspěvkové organizace je nejdříve s plánem na připojení obeznámen vrcholový management této organizace. Jsou představeny dopady připojení a jeho přínosy. Poté je komunikace převedena na technický tým, kde se dohodnou všechny detaily připojení. Před fyzickým připojením jsou všichni správci proškoleni zaměstnanci oddělení Kybernetické operační centrum (KOC) pro práci s použitými technologiemi. Během školení jsou představeny use case (případy použití) zpracované a funkční u jiných zákazníků. To pomáhá přiblížit smysl využití pro nově připojované zákazníky.

Odpovídají dosažené výsledky vynaloženým nákladům?
Odpovídají. Už ve fázi projektové přípravy byl kladen důraz na modulární řešení. To spočívá v tom, že systémy jsou dimenzovány na postupný rozvoj. Velkou výhodou tohoto řešení je značná finanční úspora. V rámci nákladů na HW, licence a podporu se platí jen za to, co se reálně využívá. Díky sdílení zdrojů s příspěvkovými organizacemi dochází k synergickému efektu, kdy jsou v maximální míře využívány investované prostředky

Jedná se o projekt krátkodobého účinku, nebo lze předpokládat dlouhodobé trvání (jakého rozsahu)?
Jedná se o projekt dlouhodobého trvání Budování bezpečnostního dohledového centra a postupné připojování dalších organizací je dlouhodobý proces. Tempo je závislé na objemu investovaných finančních prostředků a na kapacitách personálu.

 

2. Prokazatelnost nejlepší praxe

Může být tento projekt inspirující pro ostatní subjekty veřejné správy?
Rozhodně ano, Provozováním Kybernetického operačního centra plní Jihomoravský kraj všechny požadavky ZoKB. Tento přístup k naplňování požadavků zákona a k ochraně informačních aktiv je velmi pozitivně vnímán Národním úřadem pro kybernetickou a informační bezpečnost (NÚKIB). Dosud je prvním a zatím jediným projektem tohoto druhu na úrovni krajů. Prvním, kdo se nechal inspirovat je Magistrát města Brna, kde se připravuje realizace obdobného dohledového centra. Projekt s obdobným zadáním u nás konzultovali zástupci Generální inspekce bezpečnostních sborů a také Magistrátu hlavního města Prahy.

Byly, či jsou předávány zkušenosti nabyté v souvislosti s realizací projektu ostatním subjektům veřejné správy?

Výsledky práce bezpečnostního dohledového centra byly prezentovány například na několika konferencích, v Mikulově konference egovernment 20:10, v Brně na konferenci pořádané NÚKIB – CyberCon Brno 2018 nebo v Bratislavě na konferenci Kybernetická bespečnosť, kterábyla pořádána pod záštitou Slovenského bespečnostného úradu.

 

3. Vícekanálový přístup

Jedná se o projekt, který umožňuje přístup/využití více kanály (způsoby) současně?

Není možné. Přístupy jsou přesně definovány pouze na oprávněné uživatele, kteří se mohou připojit pouze z povolených destinací.

 

4. Doplňující informace

 

D - POPIS PROJEKTU - POHLED REALIZÁTORA

Popište náročnost technické realizace, včetně případných specifik.
V prostorách historické budovy Krajského úřadu Jihomoravského kraje byl vyčleněn prostor pro vybudování moderního pracoviště. Všechny stavební úprava byly prováděny v souladu s architektonickým projektem a současně s požadavky na technické vybavení. Nejdůležitější HW komponenty byly umístěny do samostatného racku ve stávající serverovně. Technologie, na kterých je provoz bezpečnostního dohledového centra závislý jsou:
• Log Management - centrální sběr, monitoring a ukládání logů, s možností rychlého vyhledávání nad těmito logy a s možností dlouhodobé archivace logů v nezměněné podobě pro další účely forenzního vyšetřování.
• SIEM - Security Information & Event Management – bezpečnostní monitoring infrastruktury, korelace událostí a alertování v reálném čase, což poskytuje real time přehled o stavu bezpečnosti chráněných informací vzhledem k jejich důvěrnosti, dostupnosti a integritě.
• Analýza datových toků s nástavbou pro odhalování skrytých podvodných komunikací - sledování a analýza datových toků mezi zařízeními v síti vč. tzv. behaviorální analýzy nad těmito monitorovanými toky, která slouží k odhalování např. maskovaných útoků.
• ESX - VMvare ESX Server je hardwarovým základem pro virtualizační technologie s podporou provozu heterogenních sítí.
• VDI - Virtual Desktop Infrastructure - konsolidace a virtualizace operačních systémů do jednoho datového centra.
Pro připojení zákazníka je nutné pořídit HW komponentu – kolektor. Kolektory pořizuje ze svého rozpočtu kraj, na straně připojené organizace jsou pouze náklady na provoz kolektoru a zvýšené požadavky na IT provoz, který ve svém prostředí provádí změny v nastavení na základě požadavků KOC. Každá připojená síť musí být detailně zdokumentována. Pro tento účel byly vypracovány postupy, definovány šablony pro dokumentaci, vytvořen zákaznický portál.

V současnosti je pod bezpečnostním dohledem KOC 11 samostatných sítí a do konce roku 2018 jich bude celkem 17. Prioritně jsou připojovány nemocnice a další zdravotnická zařízení, dále pak školy a další organizace podle jejich velikosti a důležitosti chráněných aktiv.
Asi nejnáročnější na celém projektu bylo zajistit personální obsazení bezpečnostního dohledového centra. Na trh práce se velmi obtížně hledají odborníci na kybernetickou bezpečnost, kteří by měli zájem pracovat ve státní správě. Pro správné fungování bezpečnostního dohledového centra je nezbytné zvolit vhodnou lokaci a zajistit požadavky na technické vybavení a zabezpečení budoucího centra. Fungování dohledového centra se neobejde bez fungující spolupráce s provozem IT. Důležité je nastavení procesů, aby nedocházelo k odmítání a blokování. V neposlední řadě je důležité používat správnou komunikaci.

V čem může být Vaše řešení inspirativní pro ostatní realizátory?
Komplexností přístupu a nastavením pro modulární rozšiřování. Před realizací projektu byly detailně rozebrány požadavky ZoKB a souvisejících vyhlášek. Díky tomu byly identifikovány oblasti, které bylo potřeba projektem pokrýt. Velkou výhodou byla také skutečnost, že odbor kancelář ředitele a odbor informatiky měly certifikován systém řízení bezpečnosti informací dle ISO 27001.

Co z uvedeného řešení je možné použít opakovaně a co je výjimečným specifikem tohoto nasazení?
Celé řešení je možné přenést na jakoukoli organizaci státní správy či samosprávy, ale i do jiných subjektů, které jsou povinnými osobami z pohledu ZoKB. Jako specifické lze považovat celkové zakomponování kybernetické bezpečnosti do řízení bezpečnosti jako celku v prostředí krajského úřadu a krajem zřízených příspěvkových organizacích.

Jaké další obdobné projekty jste realizovali, kde a v jakém rozsahu?

kontakty: Bc. Aleš Staněk
odbor kancelář ředitele
Kybernetické operační centrum
vedoucí oddělení

Krajský úřad Jihomoravského kraje
Žerotínovo nám. 3, 601 82 Brno
telefon: 54165 8903
e-mail: stanek.ales@kr-jihomoravsky.cz
web: www.kr-jihomoravsky.cz