O tom, co je cvičení Cyber Atlantic 2011, kdy a kde probíhalo a co bylo jeho cílem hovoří dostatečně například společná tisková zpráva týmů CESNET-CERTS a CSIRT.CZ. Pojďme se tedy rovnou podívat „pod pokličku“ tohoto cvičení. Cvičilo se podle dvou scénářů. Každá zúčastněná země byla povinna do cvičení dovést ideálně dva „hráče“ a jednoho „moderátora“. Hráči neměli být lidé pokud možno čistě technického charakteru, ale raději manažeři/ředitelé (CSIRTů), členové krizových štábů, zaměstnanci ministerstev, bezpečnostních složek a podobně. Získat do hry takové hráče se ale ukázalo dost obtížné; jen několik zemí splnilo tento „úkol“.

Českou republiku zde reprezentovali člen CSIRT.CZ v roli moderátora a v rolích hráčů dva zaměstnanci sdružení CESNET (jeden je členem CESNET-CERTS, druhý je specialista na kyberkriminalitu). Role moderátora spočívala v podílení se na přípravě celého cvičení, přípravě hráčů na cvičení a při samotném cvičení v jejich sledování, zapisování akcí, které provedli, závěrům, ke kterým došli a nakonec, zformulování výsledků a postřehů za danou zemi. A samozřejmě také v pomoci hráčům v nejnutnějších případech. Úlohou hráčů pak bylo pohybovat se v prostředí daném scénářem (který byl znám dopředu a byl součástí přípravy hráčů) a reagovat na podněty (tzv. „injects“), které jim byly v průběhu cvičení doručovány. Tyto „injects“ doplňovaly a modifikovaly původní scénář a tím měnily stávající situaci hráčů a nutili je tak k akcím a formulování dalšího postupu – např. uspořádání „konference“ s vybranými zeměmi za účelem zmapování situace (každá země měla jen část informací), vydolováním informací z některých zemí (nechtěli je sdílet, neřádi, možná to měli ve scénáři), komunikaci s médii (zabránit panice a poskytnout veřejnosti potřebné informace), nabídnutím pomoci dotčeným zemím (sestavení expertní skupiny, zajištění komunikačního kanálu) a dohodnutím řešení dané situace a pod.

Celé cvičení se konalo v jedné místnosti, bylo tedy postaveno na ústní komunikaci. Když bylo třeba, skupina lidí se sebrala a v rohu nebo na chodbě si uspořádala „konferenci“, hráči se pružně přemísťovali a tvořili hloučky a diskusní fóra a mezi nimi pobíhali moderátoři a snažili se zachytit maximum z děje. Samozřejmě byl dán prostor pro moderovanou diskusi všech hráčů a pro zformulování závěrů.

Na první pohled a nezúčastněným se může zdát, že něco podobného nemá valný smysl, také jsem byla již před CYBER Europe 2010 skeptická. Nakonec se mi CE 2010 líbilo a musím říct, že CA 2011, i když se druhý scénář (útok na SCADA systémy) ukázal jako ne příliš dobře připravený, se mi líbilo ještě víc. Především mě ale CA 2011 utvrdilo v tom, že podobná cvičení mají smysl. Nyní ještě více vnímám, co nám v oblasti obrany proti kyberútokům na národní úrovni v České republice chybí a kde bychom jako Národní CSIRT ČR měli a mohli pomoci.

Andrea Kropáčová, CSIRT.CZ