1 / 26

Existuje bezpečná síť?

Existuje bezpečná síť?. Štěpán Kubíček , Jan M uller ICZ a.s. IPE září 2004, Ostrava. Úvod. Existuje vlastně odpověď? Lze hodnotit jednu část bez hodnocení celku? Co je vlastně tím celkem? Kritická infrastruktura. Plán prezentace. Současná situace Co je to kritick á infrastruktura

ranit
Download Presentation

Existuje bezpečná síť?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Existuje bezpečná síť? Štěpán Kubíček, Jan Muller ICZ a.s. IPE září 2004, Ostrava

  2. Úvod • Existuje vlastně odpověď? • Lze hodnotit jednu část bez hodnocení celku? • Co je vlastně tím celkem? Kritická infrastruktura

  3. Plán prezentace • Současná situace • Co je to kritická infrastruktura • Proč ICT technologie • Změny v pohledu na KI • Situace v ČR • Možné postupy – příklady ze zahraničí • Příklady řešení (SCADA) • Závěr

  4. Tradiční přístup: Civilní Ochrana a Krizové řízení • Katastrofy nebo napadení zvenku: • ochrana fyzické infrastruktury • Závažná ohrožení životních funkcí • Ignoruje IT infrastrukturu • Roztříštěné řízení po vertikále, nedostatečná analýza vazeb, chybí společná datová základna a infrastruktura • Nedostatečná horizontální koordinace • Nedostatečná spolupráce s privátním sektorem

  5. Ochrana KI – celková situace • Bouřlivý rozvoj CIP (Critical Infrastructure Protection) od poloviny 90 let, zejména pak po 11.9.2001 • Každá země má ale jiný přístup, od chápání principů CIP, přes terminologii, definici KI, řízení CIP, metodologii, chápání role ICT technologií a ochranu informační infrastruktury (CIIP), atd. • Pomalu dochází ke konsensu, že izolovaný pohled nestačí – hlavní problémy leží v komplexnosti a provázanosti společnosti

  6. Proč ICT technologie • Dosud byly v problematice KI zanedbávány • Představují nové paradigma, které • Poskytuje nové možnosti a služby, ale zároveň otevírá nové zranitelnosti a hrozby • mnohonásobně zvyšuje vzájemnouprovázanost dalších sektorů KI, která představuje rozhodující aspekt CIP • Ochrana Informační KI (CIIP – Critical Information Infrastructure Protection) je chápána jako část ochrany KI (CIP)

  7. Proč ICT technologie • Umožňují rozsáhlé zásahy v reálném světě a jejich zneužití (energetické soustavy, přehrady, distribuční sítě, chemické provozy apod.) • např. v Austrálii hacker Vitek Boden vypustil milion litrů odpadu do řeky • Jsou komplexně propojeny s dalšími komunikačními systémy, kde umožňují těžko předvídatelné zásahy • Např. v lednu 2003 Slammer vyřadil bankomaty Bank of America, byly zrušeny některé lety, v Seattlu byl vyřazen krizový systém 911

  8. Co je to kritická infrastruktura • Produkt nebo služba, jehož poškození má celostátní negativní dopady • Typicky např: energie, komunikace, služby (finance, zdravotnictví,potraviny), transport, bezpečnost (i jaderná, záchranné služby), veřejná správa (i infrastruktura a informační zdroje)

  9. Co je to kritická infrastruktura • Pohledy na KI se liší i díky geografickým odlišnostem (Holandsko – záplavy, Kanada – meteorologická služba) a dalším specifikům (USA – národní monumenty, přehrady, pojišťovnictví, Itálie – civilní obrana, Švédsko – řízení letového provozu) • Už ne jen ohrožení životů a státu, ale jde o zachování běžného provozu společnosti (…aby mohli kanadští občané pokračovat v běžném denním životě …)

  10. Rozdíly v pohledu na CIP • Vnímání a základní koncepce, definice kritičnosti • Organizační členění, vazba mezi koncepční a exekutivní odpovědností • Metodický pohled, role ICT a specificky Internetu, role provázanosti • Míra spolupráce s dalšími subjekty – veřejná správa, privátní sektor, další státy a zahraniční subjekty

  11. Rozdíly v pohledu na CIP/CIIP – základní koncepce • Vnímání problematiky a hlavní iniciativa: • Problém národní obrany – iniciativa MO (Francie, Švédsko, Nový Zéland) • Problém hi-tech kriminality - iniciativa vnitra a policie (Itálie - legislativa, Poštovní a komunikační policie!) • Problém ohrožení rozvoje informační společnosti - iniciativa civilních orgánů, veřejné správy a regulačních autorit (Finsko) • Problém ohrožení podnikatelských aktivit – iniciativa skupin PPP (Švýcarsko, Anglie) • Problém boje proti terorismu (Nový Zéland, USA)

  12. Rozdíly v pohledu na CIP – organizační řešení • Většinou roztříštěné řízení po různých organizacích. Několik centrálních systémů, zařazených podle vnímání (obrana, vnitro), ale např. v Rakousku je CIIP v obranné doktríně, ale není centrálně řízena • Nyní snaha po jednotném řízení a spojení koncepční a exekutivní odpovědnosti (doporučení iniciativy CRN) – např. DHS plánování i řízení

  13. Rozdíly v pohledu na CIP – organizační řešení • Příklady centrálních organizací: • ministerstvo v USA (DHS) a nyní i v Kanadě (dříve samostatný úřad OCIPEP - Obrana), • Centrální úřad s výkonnou pravomocí v gesci ministerstva, např. Německo:BSI (Vnitro), Švédsko: SEMA (Obrana), UK:NISCC (Home Office) • Centrální úřad v gesci ministerstva s koordinační pravomocí – Holandsko: NCC (Vnitro)

  14. ICT a Cyberspace • Dříve nepovažován za součást KI • Nyní několik kritických oblastí • Výkon veřejné správy (ISVS) • Ekonomika a běžné procesy • Interní informační systémy organizací • Veřejné sítě (Internet) – výměna informací, obchodní transakce (e-tržiště) • Řídící systémy v dalších kritických sektorech (energetika, transport aj.) • Vlastní výkon krizového řízení • Holandsko: Internet je součástí KI (program KWINT)

  15. Další pilíře ochrany KI • Řešení vzájemné provázanosti oblastí • Závislost kritických sektorů • Horizontální komunikace • Spolupráce s dalšími subjekty, zejména PPP (Public-Private Partnership) • Sdílení informací • Systémy včasného varování (Early warning), permanentní analytická centra

  16. Řešení vzájemné provázanosti • Tradičně – rozklad na organizační jednotky, každá vlastní krizový plán • Kritický charakter závislostí mezi sektory KI • Holandsko: program QuickScan – zmapování závislostí a kaskádových efektů • Zajištění koordinace v různých vrstvách • USA: v DHS je Office of State and Local Government Coordination • Cvičení Livewire (DHS – simulace útoků na KI): problémy s provázaností, komunikace

  17. Spolupráce s dalšími subjekty • Obecně - 85% KI v privátních rukou • Potřeba koordinace při • Plánování krizového řízení – např. Office of Private Sector Liaison v USA • Mapování provázaností a vzájemných závislostí – projekt QuickScan v Holandsku • Řešení krizových situací - National Cyberspace Response System, pojatý jako public-private partnership • Potřeba mezinárodní koordinace i v ICT a Internetu (cyberspace)

  18. Sdílení informací a včasné varování • Např. v USA v rámci PPP v jednotlivých kritických sektorech vznikly centra ISAC (Information Sharing and Analysis Center) • CERT – Computer Emergency Response Team. Vznikají na mnoha úrovních, od firem a vysokých škol až po státní úroveň a nadnárodní organizace (NATO, EU)

  19. Situace v ČR • Klasická CO, spíše krizové řízení než CIP (podobně jako v Rakousku), narušená po 1990 • Roztříštěné řízení, nedostatečná analýza vazeb, chybí společná datová základna a infrastruktura • Nedostatečná spolupráce s privátním sektorem • Krizový zákon 240/2000 Sb. sice pokrývá i „narušení komunikačních soustav“, ale v oblasti „cyberspace“ zatím malý pokrok

  20. Příklad postupu - Holandsko • Národní Koordinační Centrum na MV • Plán CIP: 4 kroky, do dubna 2004 • QuickScan – zmapování kritických služeb a produktů • Inventura existujících opatření, samostatné rizikové analýzy • Diskuze, analýzy, plánování • Implementace, globální IS o zranitelnostech a vazbách

  21. Holandsko – etapa QuickScan • Ukončena v prosinci 2002 • Koordinováno NCC, řízeno TNO, rozsáhlá spolupráce s privátním sektorem (130 organizací), dotazníky, semináře • výsledky: přehled kritických oblastí, odpovědností, ale zejména provázanost (kaskádové šíření efektu)

  22. Příklad spolupráce s privátním sektorem - DCS • USA: Vrcholový dokument „National Strategy to secure Cyberspace“ požaduje ochranu všech národních IT aktiv • -> program National Cyberspace Security Vulnerability Reduction • -> v rámci něho řešení bezpečného řízení průmyslových procesů

  23. Příklad spolupráce – DCS a SCADA • Program CyberSecurity of Industrial Control Systems • Financovaný a řízený jako grant na NIST ($433K pro 2003) • pod NIST/NSA programem National Information Assurance Partnership vytvořeno fórum PCSFR z různých průmyslových asociací (včetně IEEE)

  24. Příklad spolupráce – DCS a SCADA • Cíle: • přehled systémů, zranitelností a hrozeb • Globální seznam požadavků na bezpečnost, PP podle ISO 15408 • Národní testovací polygon (testbed) • Dosažené výsledky: • testovací polygon včetně SCADA • Návrhy profilů a šifrovacích standardů

  25. Závěr • Zvyšující se rizika • Vzájemná provázanost • Potřeba systémového přístupu • Spolupráce veřejné správy a soukromého sektoru

  26. Děkuji za pozornost.

More Related