Téměř denně dostávají informatici z hradeckého magistrátu upozornění na pokusy napadnout systémy města. Sice nejde o útoky cílené konkrétně na Hradec Králové, přesto chce být úřad obezřetný. Plánuje proto posílit kybernetickou bezpečnost magistrátu.
Komplexní plán jak omezit různé typy útoků vypracovali radniční informatici a na konci prázdnin jej podpořili zastupitelé. Prvotní investice má stát 16,7 milionu korun a roční provoz pak vyjde podle odhadu asi na necelý milion. Podmínkou zatím je, aby radnice získala evropskou dotaci, která má pokrýt 85 procent investic, tedy podle odhadů asi 13,8 milionu.
Odrážíme spousty útoků
„Evropská unie teď vypsala třetí výzvu na kybernetickou bezpečnost. Pokud projdeme, což se dozvíme za tři nebo čtyři měsíce, spustili bychom plán. Bez dotace bychom ho nebyli schopni realizovat v takovém rozsahu,“ přiznává vedoucí odboru IT města Jan Nagy.
V aktuálním dotačním období jde o jedinou výzvu na kybernetickou bezpečnost, a proto se očekává přetlak žadatelů. Hradec už s podobným projektem na posílení IT bezpečnosti uspěl v roce 2018, kdy pořídil výkonný firewall. Jde o zařízení, které brání útokům zvenčí na informační systémy města. Že funguje, nemají informatici pochyby.
„Signály máme dnes a denně. Díky firewallu odrážíme spousty útoků, které nejsou cíleny přímo na nás, ale obecně na instituce v Česku. Přicházejí zejména ze zahraničí a snaží se dostat k nám do sítě tím, že se zkouší přihlásit pod účtem nějakého uživatele nebo zkoušejí různá hesla. Evidujeme je na našich serverech na denní bázi,“ vysvětluje Nagy.
Vznikne třetí vrstva ochrany
Ajťáci spoléhají, že i když některý z útoků ochranu firewallu překoná, zachrání situaci antivirové systémy, jež jsou na koncových stanicích, tedy na noteboocích a stolních počítačích.
Nově by se mezi tyto dva pilíře měl vsunout ještě třetí, který se jmenuje sandbox, zjednodušeně „pískoviště“. Ten má zachytit prolomení první ochrany a simulovat situaci, kdy se útočník dostal dovnitř systémů města. Omezí jeho manévrovací prostor a sleduje další kroky.
„Tato komponenta zkoumá, jaké příkazy chce provádět a co chce v našem systému dělat. Když je to něco škodlivého, na cílové stanice ho to ani nepustí,“ pokračuje šéf odboru.
Nasazen má být i pokročilý nástroj pro ověřování identity uživatelů. Už nebude stačit jen jméno a heslo, ale systém bude hodnotit bezpečnostní certifikát, případně fyzické adresy zařízení, kontrolovat verzi operačního systému nebo typ přístroje. Jakmile zjistí nesrovnalost, hned zařízení uzavře do karantény. Kvůli tomu se má obměnit 15 zastaralých přístupových bodů na wifi a zřídit 15 nových připojovacích míst.
„Nástroj pro autentizaci osob a zařízení při vstupu do lokální sítě zajistí větší kontrolu nad připojovanými zařízeními,“ stojí v materiálu, který dostali zastupitelé.
Silnějším zabezpečením budou muset procházet také administrátoři, kteří se o informační systémy města starají. Už se nepřipojí přímo do systému, ale přes speciální server, který ověří jejich identitu a teprve pak zadané příkazy předá dál. Vylepšení čeká také systém pro zaznamenávání činností v síti i fyzické zabezpečení informačních technologií.
Nově budou v serverovnách i na chodbách před nimi kamery, které mají zaznamenat případný fyzický útok na kybernetickou infrastrukturu. Právě při útoku zevnitř je totiž město nejzranitelnější.
Agregát i nové baterie
Aby vše sloužilo i při výpadku elektrické energie, chce radnice pořídit dieselagregát. Ten současný představuje riziko, je na dvoře magistrátu a už na něj nelze sehnat náhradní díly. O svůj vlastní záložní zdroj energie dlouhodobě usilují také městští strážníci, kteří by měli druhý agregát získat do svého sídla v Dlouhé ulici.
„Současně dojde k pořízení nové centrální záložní baterie (UPS) do hlavní serverovny v pravém křídle. Stávající UPS, která se již blíží k hranici ukončení servisní podpory, bude v serverovně v levém křídle,“ stojí v dokumentaci.
Nejdražší položkou za 7,4 milionu korun má být nové datové úložiště města. Magistrát používá knihovnu s datovými pásky z roku 2016, ta však začíná vykazovat chyby. Vloni jí vypršela pětiletá technická podpora a radnice od letošního roku platí za servis 100 tisíc ročně. Nová knihovna má být spolehlivější a díky nové generaci pásek nebude třeba tolik nosičů. Původní měly kapacitu 2,5 terabajtu (TB), na novější se vejde 18 TB.
„Pro srovnání: jeden TB vystačí asi na 300 filmů v HD kvalitě. Mnozí se diví, že stále používáme pásky, ale ono je to vzhledem ke kapacitě nejlevnější řešení. Zálohujeme asi 100 TB dat. To je obrovské množství, při němž by diskové pole nebo cloud byly obrovsky nákladné,“ vysvětluje Jan Nagy.
Přesto informatici chtějí z evropského projektu pořídit pro účely zálohování také nové diskové pole s kapacitou 92 TB dat. Pokud dotace dopadne, měla by se kybernetická bezpečnost města vylepšit v příštím roce. Provoz systému se plánuje do roku 2027, což patří k podmínkám dotace.