Vznik dohledového centra kybernetické bezpečnosti v ČEPS

The Czech transmission system operator, ČEPS, has built a 24/7 Security Operations Center to strengthen protection against cyber threats across both IT and OT environments. The SOC centralizes log data, detects and investigates security incidents, and coordinates response, while tackling challenges such as a shortage of skilled experts and a high share of false positive alerts.

Kybernetická bezpečnost se v posledních letech stala nedílnou součástí řízení organizací napříč odvětvími. Digitalizace procesů, rostoucí míra automatizace a propojení informačních a provozních technologií zásadně zvyšují závislost firem na stabilním a bezpečném IT prostředí. Kybernetické útoky již nepředstavují pouze technický problém, ale významné byznysové riziko s potenciálním dopadem na dostupnost služeb, finanční stabilitu, právní odpovědnost i reputaci organizace.

Jedním z klíčových nástrojů, jak tato rizika systematicky řídit, je dohledové centrum kybernetické bezpečnosti neboli Security Operations Center (SOC). SOC představuje centralizovanou organizační jednotku odpovědnou za kontinuální dohled nad kybernetickou bezpečností, včasnou detekci bezpečnostních incidentů a koordinaci reakcí na ně. Cílem tohoto článku je poskytnout srozumitelný pohled na SOC oddělení, proces jeho vybudování v rámci organizace a na typické provozní výzvy, se kterými se takový útvar v praxi potkává.

ZE STAVU AD HOC K PROAKTIVNÍMU SOC

V roce 2021 se vedení společnosti rozhodlo, že kybernetická bezpečnost by měla být jednou z prio­rit provozovatele přenosové soustavy. Agenda kybernetické bezpečnosti byla zařazena mezi strategické oblasti společnosti a v roce 2021 byl vydefinován strategický cíl vybudování útvaru SOC, který byl následně převeden do formy projektu. Cílem projektu bylo vybudovat interní oddělení, které bude v provozu 24 hodin, 7 dní v týdnu, 365 dní v roce a které bude proaktivně dohlížet na kybernetickou bezpečnost napříč celou společností, a to jak v rámci prostředí IT (informační technologie), tak ve světě OT (operační technologie). Na Obrázku č. 1 pak můžete vidět jednotlivé milníky v rámci zjednodušené roadmapy projektu. Nutno dodat, že jsme měli zjednodušenou situa­ci tím, že jsme bezpečnostní technologie v dané oblasti měli pořízené historicky, zůstávalo nám tak „jen“ nabrat lidi a postavit procesy.

Obrázek č. 1: Rozvoj oddělení SOC v letech 2022–2025

Zdroj: ČEPS

V roce 2022 bylo oficiálně vytvořeno oddělení SOC, kam jsme začali hledat nové zaměstnance. Jednotlivé milníky projektu jsme rozdělili do 3 let. Nejprve jsme se dostali do stavu provozu klasické pracovní doby 8×5, další rok jsme povýšili na 12×7, kdy byl bezpečnostní dohled zabezpečen pro polovinu dne, a konečně v roce 2025 jsme oficiálně spustili provoz 24×7×365. V rámci provozu jsou nastaveny procesy, které nám pomáhají nejenom reagovat na jednotlivé bezpečnostní události, ale zároveň na základě zkušeností upravovat jednotlivá pravidla kybernetické bezpečnosti tak, abychom proaktivně zabraňovali případným bezpečnostním incidentům v budoucnu. Posun zároveň nastal i po stránce zákaznické, kde jsme rozšířili svoji působnost. Oddělení SOC momentálně poskytuje služby v rámci celé Skupiny ČEPS, která zahrnuje společnosti ČEPS, a.s., ČEPS Invest, a.s., Gas Storage CZ, a.s. a NET4GAS, s.r.o.

JAK FUNGUJE SOC

Jak takový SOC funguje, můžeme vidět na Obrázku č. 2. Jedná se o zjednodušení celého procesu pro účely článku. Kompletní proces je rozsáhlejší a obsahuje více vstupů, výstupů, rolí a dalších faktorů, které mají vliv na finální výsledek. Základem každého SOCu jsou logy z IT a v našem případě i OT systémů. Bez nich je dohledové pracoviště v podstatě slepé. Je tedy potřeba dokonale zmapovat celou společnost a dohledat systémy, které jsou důležité pro její provoz a v rámci kterých mohou vznikat jednotlivé bezpečnostní události.

Obrázek č. 2: Schematické zobrazení procesu SOC

Zdroj: ČEPS

Logy z těchto systémů pak tečou do systému, který je „srdcem“ každého SOC oddělení. Jedná se o takzvaný SIEM (Security Information and Event Management), který logy centralizuje, analyzuje a vzájemně koreluje. To znamená že je mezi sebou porovnává a hledá podle nastavených detekčních pravidel vztahy, které by mohly signalizovat vznik bezpečnostních událostí. Výstupem ze SIEM jsou alerty, takzvané offense, které v rámci tzv. „triage“ zpracuje operátor (L1). Operátor je juniorní role, která ještě nemá plnohodnotné vzdělání a zkušenosti k tomu, aby mohla samostatně rozhodovat ohledně bezpečnostních událostí. Má ale k dispozici tzv. „playbooky“, pracovní postupy pro jednotlivé typové alerty, pomocí kterých dokáže rozeznat, že se nejedná o bezpečnostní událost, a může tak daný alert uzavřít, nejčastěji formou tzv. „false positive“, tedy falešně pozitivního alertu.

Pokud daný alert z jakéhokoliv důvodu uzavřít nedokáže, eskaluje jej na seniorní roli analytika (L2), který zahájí podrobné vyšetřování. V tom analytikovi pomáhá odpovídající vzdělání, zkušenosti, ale také například i přístupy do dalších specifických systémů, do kterých operátor přístup nemá. Na základě nových informací v rámci analýzy analytik alert buď uzavře jako falešně pozitivní, nebo vytvoří bezpečnostní událost. Tím začíná nové kolečko vyšetřování, zda nastalo narušení důvěrnosti, integrity nebo dostupnosti dat společnosti a zda tak mohl nastat bezpečnostní incident, v rámci kterého pak přebírá odpovědnost útvar CSIRT (Computer/Cyber Security Incident Response Team).

„Lidé jsou tím nejcennějším aktivem, které máme v rámci obrany proti kybernetickým hrozbám k dispozici.

VÝCHOVA VLASTNÍCH ODBORNÍKŮ

Jedním z nejzásadnějších problémů při budování SOC je dlouhodobý nedostatek kvalifikovaných specialistů na kybernetickou bezpečnost. Provoz SOC vyžaduje kombinaci technických znalostí (sítě, operační systémy, bezpečnostní technologie), analytických schopností a zkušeností s řešením bezpečnostních incidentů. Najít volnou pracovní sílu s odpovídajícími znalostmi a kompetencemi je v dnešní situaci na pracovním trhu velmi obtížné.

Dalším aspektem je náročnost zaškolení nových pracovníků. Znalost konkrétního prostředí organizace, systémů a procesů nelze nahradit krátkým školením. V praxi tak trvá měsíce, než se nový analytik stane plnohodnotným členem SOC. To klade zvýšené nároky hlavně na plánování kapacit.

Tento přístup však zároveň otevírá možnosti řešení pro společnost, jakou je ČEPS. Nespoléhat se na to, že na pracovním trhu najdeme poklad, ale vychovat si takový poklad z vlastních lidí. Zaměřujeme se na mladé lidi, častokrát navazujeme vztahy v rámci studia na střední nebo vysoké škole a snažíme se vychovat si z vlastních juniorních operátorů zkušené kvalitní analytiky, kteří znají prostředí společnosti ČEPS a svým proaktivním přístupem pomáhají chránit kritickou infrastrukturu státu.

PROBLEMATIKA FALEŠNĚ POZITIVNÍCH ALERTŮ

Druhým klíčovým problémem každého SOC je velké množství tzv. false positive alertů, které jsou nástroji vyhodnoceny jako potenciální hrozba, ale ve skutečnosti nepředstavují reálnou bezpečnostní hrozbu. Může se jednat o neznámou, ale validní komunikaci v rámci interní sítě, e-mail, který nesplňuje pravidla bezpečné e-mailové komunikace, ale není nebezpečný, a další.

Současné IT/OT systémy a bezpečnostní technologie generují obrovské množství logů, které mohou vyústit ve velký počet alertů. Proto je potřeba, aby se detekční pravidla v rámci systému SIEM neustále aktualizovala a ladila aktuálnímu prostředí organizace. Statisticky vychází, že v průměrném SOC je 90–95 % všech alertů vyhodnoceno jako falešně pozitivních a může se lehce stát, že analytici v rámci SOC oddělení jsou zahlceni velkým počtem nerelevantních požadavků. Výsledkem může být tzv. alert fatigue – únava z neustálého zpracovávání upozornění, která snižuje pozornost a schopnost rychle reagovat na skutečně závažné incidenty. Proto je důležité, aby specialisté na systémy SIEM pravidelně aktualizovali jednotlivá detekční pravidla, zaměřili se na jejich efektivitu, a tím snižovali procentuální podíl false positive alertů.

AI A AUTOMATIZACE

Na pomoc se zpracováním velkého množství alertů přichází samozřejmě i technologie. Implementace nástrojů jako například SOAR (Security Orchestration, Automation and Response) může při správném nastavení přinést částečné řešení problému. Využívá prvků automatizace a AI k tomu, aby mohla samostatně uzavírat alerty tam, kde je jednoznačně definován „playbook“. S rozvojem AI tak v blízké budoucnosti dokáže technologie nahradit služby operátora L1 a předávat k vyšetření analytikům pouze ty alerty, které nebude schopna sama uzavřít.

Velké množství pomocných technologií využívajících AI už dnes samozřejmě máme k dispozici, avšak na dobu, než zpracovávání bezpečnostních událostí plnohodnotně převezme AI, si budeme muset ještě pár let počkat. Momentálně v kybernetické bezpečnosti platí to, co v jakékoliv jiné oblasti byznysu, a tedy, že lidé jsou tím nejcennějším aktivem, které v rámci obrany společnosti proti kybernetickým hrozbám máme k dispozici.

O AUTOROVI

Ivan Štefek je absolvent Vysoké školy ekonomické v Praze, Fakulty informatiky a statistiky. Ve společnosti ČEPS působí od roku 2021, momentálně na pozici ředitel sekce Kybernetická a informační bezpečnost. Od roku 2023 zastává také pozici vedoucího řídicí skupiny pro kybernetickou bezpečnost v Evropské asociaci provozovatelů přenosových soustav (ENTSO-E).

Kontakt: stefek@ceps.cz