NATO Cyber Defence
Vážení čtenáři OWOP, rád bych se podělil s výsledky malé ankety, kterou jsem provedl v průběhu cvičení kybernetické obrany NATO 2010 v ústředí řídícího týmu cvičení, kde bylo zastoupeno víc než 16 účastníků cvičení.
V té době jsem společně s týmem, se kterým jsem vypracovával koncepci kybernetické obrany Ministerstva obrany, řešil otázku organizačního členění této problematiky v rámci rezortu, kde je v současnosti gestorem této problematiky bezpečnostní ředitel ministerstva, zatímco kontrolní orgány zajišťující tuto činnost jsou v podřízenosti ředitelství sekce komunikačních a informačních systémů, resp. 34 základny KIS, která zajišťuje provoz většiny rezortních informačních a komunikačních systémů.
Organizační otázky vždy naráží na různé zájmy týkající se budoucnosti personálu zmíněných orgánů a jejich rozpočtu a dobře míněné teoretické úvahy o správnosti toho či jiného řešení nemusí vždy uspět v konfrontaci s realitou. Proto jsem se rozhodl využít v rámci možností empirického přístupu a zjistit od našich aliančních kolegů zastoupených na cvičení, zda jako v ČR jsou jejich kontrolní orgány kybernetické obrany podřízené provozu, resp. jaký je vztah bezpečnostního manažera a řízení provozu informačních systémů.
Anketa byla provedena v průběhu cvičení a odpovědi zmíněných kolegů ne nutně odpovídají oficiální linii jejich rezortů, jedná se však bez výjimek o výpovědi lidí, kteří v této oblasti pracují a v dané chvíli odpovídali soukromně na otázku kolegy.
Otázka: Jakým způsobem je kybernetická obrana v ozbrojených silách zařazena do organizační struktury Vaší instituce? Je součástí řízení IT či jiné organizační složky? Jakou zkušenost máte s tímto řešením?
Německý národní zástupce: Kybernetická obrana je řešena v rámci sekce odpovědné za řízení a plánování IT. Ta je však důrazně oddělena od provozu těchto technologií, který je součástí příslušné sekce v rámci generálního štábu. Bezpečnostní politika je tedy vytvářená v rámci ministerstva obrany.
Italský národní zástupce: V současnosti je kybernetická obrana součástí řízení IT, nicméně působí to potíže související s někdy protichůdnými potřebami těchto problematik. Proto v současnosti usiluji přesunutí této problematiky pod bezpečnostního manažera.
Národní zástupce Spojeného království: Tuto otázku nelze takto zjednodušit. Information Assurance (informační zajištění) je v podřízenosti bezpečnostního manažera, kybernetická obrana v podřízenosti řízení IT. Obě složky nicméně sídlí ve stejné budově a těsně spolupracují.
Národní zástupce Estonska: Kybernetická obrana je v podřízenosti bezpečnostního manažera.
Litevský národní zástupce: Počítačová bezpečnost je podřízená bezpečnostnímu manažerovi, avšak problematika jako taková má úzkou vazbu na litevský ekvivalent Národního bezpečnostního úřadu.
Národní zástupce Slovenka: středisko reakce na počítačové incidenty je v současné době podřízené ozbrojeným silám, nicméně je tu snaha jej přesunout pod vojenským bezpečnostním úřadem.
Národní zástupce Norska: Vojenský i národní CERT jsou v podrizenosti narodniho bezpecnostniho uradu.
Národní zástupce Belgie : Kybernetická obrana je v podřízenosti bezpečnostního manažera v rámci zpravodajských složek zabezpečující tuto činnost pro armádu.
Národní zástupce Rakouska: Kybernetická obrana v podřízenosti bezpečnostního ředitele ministerstva obrany
Národní zástupce Dánska: Kybernetická obrana je v podřízenosti bezpečnostního manažera v rámci zpravodajských složek zabezpečující tuto činnost pro armádu.
Národní zástupce Řecka: Kybernetická obrana má samostatné oddělení spadající přímo do podřízenosti generálního štábu. Toto oddělení je v jiné organizační větvi než oddělení výstavby a provozu IT.
Národní zástupce Nizozemska: V současnosti je kybernetická obrana v podřízenosti řízení IT, v příštím roce se však plánuje její přesun do jiné složky ministerstva.
Pozn. V této době Nizozemsko bylo v procesu výstavby národního střediska kybernetické obrany a požádalo ČR o možnost vyslání pozorovatele do ČR. V současné době na rozdíl od ČR Nizozemí má schválenou vládní strategii kybernetické obrany a funkční národní středisko kybernetické obrany. USA jsem záměrně nezařadil do této ankety vzhledem k tomu, že tamější situaci nelze srovnat s ČR.
Shrnutí:
- 9 států vede kybernetickou obranu odděleně od provozu IT, 7 z nich v podřízenosti ekvivalentu Bezpečnostního ředitele a 2 ve zvláštní oddělené struktuře;
- 3 státy vedou kybernetickou obranu v rámci řízení a provozu IT a VŠECHNY uvažují o vyčlenění kybernetické obrany z této organizační složky;
- 0 států vede kybernetickou obranu v rámci provozu IT a jsou s tímto stavem spokojeny.
15 Comments
Bohuslav Pernica
17. 3. 2011, 16:25Šlo by ty odpovědi nějak korelovat s výsledky (pořadím) jednotlivých zemí v rámci cvičení?
REPLYMartin Hlaváček
17. 3. 2011, 19:54@B. Pernica> trefně :-)
REPLYOsobní stanovisko k podřízenosti: prvně je otázka, co vše má být v gesci bezpečnostního ředitele organizace. Jestli *.bezpečnost, klidně je mu možné podřídit i defenzivní část zpravodajců, vojenské policisty a třeba i PVO. (Podobně jako zástupci VP si z pohledu policejní práce v jiném tématu nárokovali veškerý peace keeping (trochu zjednodušuji)). Na druhou stranu může být BŘ statutár, který figuruje za organizaci vůči NBÚ/z.412. Existuje široká škála možností, jak tuto roli organizace využije.
Je důležité si uvědomit, že schopnosti cyber defense rozvinulo ICT, většinou navzdory různým bezpečnostním stratégům. Dnes, když se cyber defense stala módním trendem, ji pod sebe chtějí pojmout jiné složky – celkem pochopitelně, ale nevím, zdali oprávněně. ICT také zřejmě jako jediné disponuje specialisty pro výkon potřebných rolí. Analytik opravdu nevznikne studiem zákonů a příruček: musí to být specialista se znalostí sítí, operačních systémů, aplikačních a databázových serverů, virů, standardních profilů uživatelských a administrátorských aktivit atp, atd. Chce-li jakýkoli BŘ CIRC pod sebe dostat, měl vědět, že takovéto lidi má a že má zajištěnou jejich obměnu: nábor a tréning nových, ale i prostor pro růst odcházejících.
Draftování lidí z provozu dle přání někoho z jiné složky nevede k dobrým vztahům.
Jestli něco z oblasti cyber defense patří z mého pohledu pod BŘ, tak je to spíše než CIRC rozvíjení dosud podceňované oblasti CYBER RESILIENCE.
Giuliano Giannetti
18. 3. 2011, 12:22Myslím, že by ta korelace ještě víc pokřivila informační hodnotu této ankety. Ta prostředí jsou různá – např. Estonci a NATO mají úplně jiné podmínky než např. Nizozemci nebo Litevci.
Stejně tak to co popisuje Martin se dá řešit i kariérním řádem tj. určitou obměnou personálu v rámci střídání funkcí a to jak v rámci ICT tak bezpečnosti, které musí být navrženo způsobem, aby byli IT specialisté motivováni setrvat v rezortu a dále se vzdělávat. Jinými slovy to, že BŘ MO nemá v současnosti schopný IT tým neznamená, že jej mít nemůže… Ostatně slýchávám, že služební povýšení ze 34.zKIS na SKIS MO je považováno spíše za trest :-)
A otázku jakým způsobem ICT rozvinulo v AČR bezpečnost „navzdory“ bezpečnostním stratégům raději nechci komentovat…stačí se podívat na investice do této oblasti za minulé dva roky.
Každopádně nechci tuto anketu předkládat jako dogma, je to určité svědectví o tom jakým se ubírá uvažování členských států aliance… nic víc nic míň.
REPLYMartin Hlaváček
18. 3. 2011, 13:12ještě tedy k té podřízenosti pod bezpečnostního ředitele: co kromě pojmu bezpečnost (ve smyslu SECURITY ne DEFENSE) má společného CIRC a BŘ?
REPLYČi jinak, odlehčeněji – proč má pod gesci BŘ spadat bezpečnost jen cyber prostoru. To této roli můžeme podřídit například i bezpečnost vzdušného prostoru. Z hlediska vedení operací jde jen o jinou dimenzi, ve které je potřeba vynutit jistý charakter prostředí :-)
Jakub Mervart
18. 3. 2011, 22:14Z mého pohledu je celkem jedno, pod kým je kybernetická obrana – v rezortu MO jsou bohužel nadřazeny mocenské boje nad funkčností – hlavně aby už konečně vznikl jakýkoli vnitřní předpis, který bude tuto problematiku řešit a aby si výkon kybernetické obrany někdo vzal pod svá křídla do své gesce.
Co se týká SKIS a OBMO mě není celkem jasné proč se dublují některé funkce v oblasti bezpečnosti IT a krypto bezpečnosti. Ochrana utajovaných informací a ochrana informací obecně má stejné principy a myslím, že je zbytečné je rozdělovat. Funkce ředitel SKIS – bezpečnostní ředitel před několika lety měla dle mého názoru smysl.
REPLY