MO hledá řešitele projektu obranného experimentálního vývoje projekt „CYBERTHREATS”, který by měl probíhat v letech 2022-2025.
Účelem Smlouvy je poskytnutím účelové podpory formou dotace z výdajů na výzkum a vývoj poskytovatele v rámci programu 907 050 (Ambice – podpora rozvoje oblastí, ve kterých ozbrojené složky dosahují významných výsledků v rámci NATO a EU) vyřešit projekt „CYBERTHREATS – Využití umělé inteligence při obraně proti kybernetickým útokům“.
Výsledkem řešení projektu bude:
a) prototyp CYBERTHREATS – Využití umělé inteligence při obraně proti kybernetickým útokům;
b) výrobní dokumentace k prototypu CYBERTHREATS – Využití umělé inteligence při obraně proti kybernetickým útokům.
Cílem projektu je vyvinout a zavést do používání prototyp systému nástrojů detekce nasaditelných do síťového prostředí (dále „Systém“). Ten bude sloužit k monitoringu síťového provozu v koncových i vysokorychlostních transportních sítích (dále jen „infrastruktura“) a detekovat pokusy o kompromitaci zařízení v síti pomocí rozšířené analýzy a anotace šifrovaných dat pomocí postranních kanálů (dále jen „anotace“) odhalovat již kompromitovaná zařízení. Aby byla zajištěna detekce událostí na strategické úrovni, bude Systém získávat informace z centrálního úložiště, kde se budou shromažďovat data ze všech Systémů. Systém bude nad těmito daty provádět analýzu a korelaci událostí a následně obohacená data vracet zpět k dalšímu využití.
Komunikační síť se neustále vyvíjí a zrychluje a není v lidských silách zajistit nepřetržité sledování a analýzu přenášeného datového toku. Přímou úměrou k neustále se zvyšující rychlosti je množství dat, které tímto vzniká a jejich následná analýza vyžaduje nepoměrně více lidského úsilí a času. Z toho důvodu je vhodné k analýze a anotaci šifrovaného provozu využít umělou inteligenci, která z velkého množství dat může při svém nasazení těžit a díky pokročilým algoritmům je schopná najít souvislosti v datech lépe než člověk. Při objevení již probíhající kompromitace je schopna se rychle podívat do minulosti, pokud jsou data pro daný segment k dispozici, a objevit v nich komunikační vzorce, které ke kompromitaci vedly, tím pomoci při atribuci útočníka a na základě získaných dat předpokládat jeho další kroky. K nasazení Systému do infrastruktury je nutné využití technologie FPGA, na kterou celý tento síťový segment spoléhá. V budoucnosti bude tato technologie stále více využívaná, což bude výhoda pro vyškolenou obsluhu, která bude již mít praktické zkušenosti a tím získá technologický náskok. Předpokladem udržitelnosti tohoto projektu je kontinuální vývoj a zlepšování detekčních i predikčních schopností Systému s rozvojem umělé inteligence a zvyšováním množství dat v síti. Znalosti a zkušenosti získané z tohoto projektu, bude možné aplikovat i v dalších odvětvích mimo oblast kybernetických operací.
V současné době na trhu neexistuje plně funkční a komplexní řešení pro obranu kybernetického prostoru státu velikosti České republiky, které by bylo možné nasadit do koncových sítí i do infrastruktury a zároveň by široce spoléhalo na vyhodnocování pomocí umělé inteligence. Několik firem nabízí řešení využití umělé inteligence pro detekci kompromitace zařízení v podnikové síti, nebo detekci škodlivého síťového provozu v infrastruktuře. Podnikové sítě jsou svým způsobem připojení pouze koncové a nasazení komerčních zařízení do těchto sítí nepočítá s nasazením v infrastruktuře a korelacemi událostí napříč Systémy v různých místech nasazení. Komerční řešení pro infrastrukturu stále ve velké míře spoléhá na práci velkého množství analytiků. Žádný z veřejně známých projektů také není vyvíjen prioritně pro účely bezpečnosti a obrany České republiky. Z tohoto důvodu je nutné podobný systém vyvinout. Zároveň není vhodné tento Systém zabezpečit akvizicí od jiného, byť i partnerského státu, neboť by tím byl ohrožen hlavní cíl projektu, a to je získání operační výhody rezortu Ministerstva obrany České republiky v této oblasti.
Jedná se o novou technologii, která není v rámci Ministerstva obrany doposud zavedena. V rámci rozvoje schopností Ministerstva obrany přinese tato technologie zcela nové možnosti a napomůže výrazně rozvinout schopnosti a získat operační výhodu v oblasti kybernetických operací. Vývoj samotný má přesah do spousty dalších technických i netechnických oborů. Po ukončení vývoje existuje velký potenciál pro další rozvoj technologie ve všech odvětvích kybernetických operací i mimo ně. Požadovaná technologie je v současné době široce zkoumána a zaváděna ve všech odvětvích lidských činností napříč všemi vyspělými zeměmi.
V rámci Ministerstva obrany se vytváří nové schopnosti v oblasti kybernetických operací. Neustálý nárůst množství šifrovaného provozu na síti a absence nástrojů pro jejich analýzu a anotaci snižuje bezpečnost a obranyschopnost státu. Díky nárůstu šifrovaného provozu vzniká potenciální hrozba, kterou by měl navrhovaný Systém adresovat. Systém výrazně zlepší možnosti průzkumu a obrany v kybernetickém prostoru a také značnou měrou přispěje ke schopnostem České republiky reagovat na nenadálé situace ohrožující bezpečnost státu ať už vojenského nebo civilního charakteru. V případě nasazení na území České republiky budou síťová data ze Systému klíčovým zdrojem zpravodajských informací o potenciálních útočnících, neboť skrze infrastrukturu České republiky protékají data států celé Evropy, které mohou přispět k zajištění strategické výhody a bezpečnosti.
Systém se bude skládat z hardwarových zařízení a softwarových části, které budou zajišťovat akvizici dat ze sítě, jejich zpracování a vyhodnocování a komunikaci se systémem IBM QRadar. Zpracování zachycených síťových dat bude využívat kromě analýzy a anotace šifrovaných síťových dat také IDS systém Suricata. Hardwarová zařízení budou navržena tak, aby bylo možné dosáhnout požadované přenosové rychlosti od 100 Mb/s až do 100 Gb/s. Pro konstrukci hardwarových zařízení bude využito dostupných serverových platforem. Výběr platformy zajistí zpracovatel s ohledem na požadované parametry Systému. Pro akvizici dat ve vysokorychlostních sítích bude využita technologie akcelerovaných síťových karet FPGA. Díky technologii FPGA bude také možné přesunout časově kritické operace do akcelerační karty, a tím zvyšovat výkonnost systému k požadované přenosové rychlosti.
Požadovaný hardware se velikostí může lišit dle množství použitých technologií řešitele, ale jednotlivé součásti hardwarové sestavy musí být kompatibilní s rackovými skříněmi podle EIA-310.
Vytvořený software bude tvořen souborem bezpečnostních detektorů schopných provádět analýzu dostupných informací za účelem nalezení identifikátorů kompromitace zařízení v síti, šíření malware a dalších aktivit souvisejících s bezpečnostními hrozbami. Dodaný software musí být kompatibilní se SIEM systémem IBM QRadar. Software bude tvořen rozšiřujícími moduly, které budou přímo integrované do systému IBM QRadar a detekčními nástroji, které budou využívat IBM QRadar API pro přístup k uloženým informacích v systému. Detekční nástroje budou poskytovat výsledky v téměř reálném čase s ohledem na dostupnost dat v systému IBM QRadar. Výsledky budou prezentovány pomocí nových obrazovek vytvořených v systému IBM QRadar. Datové sady pro trénování a testování detektorů umělé inteligence jsou nezbytné pro vytvoření výsledků vyžadovaných dle kapitoly 1.6, ale bude je možné také použít samostatně pro výzkum a vývoj dalších detekčních metod. Software bude realizován pomocí vhodných softwarových technologií a nástrojů vzhledem k řešení projektu. Jejich výběr je omezen pouze s ohledem na licenci a požadavků plynoucích z integrace se systémem IBM QRadar. Je požadováno předání zdrojového kódu k softwaru, včetně licence k použitému softwaru.