1 / 14

Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó

Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság. Budapest, 2009. 05. 26. Miért merült fel a kérdés? Mit értünk biztonság alatt? Hogyan védekezhetünk?

trudy
Download Presentation

Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság Budapest, 2009. 05. 26.

  2. Miért merült fel a kérdés? Mit értünk biztonság alatt? Hogyan védekezhetünk? Minek a biztonságáról beszélünk? Az azonosítás biztonsága A továbbított adatok biztonsága A szakrendszerek biztonsága Mi „van”, és mi várható? A válasz A válaszhoz

  3. Miért szükséges a biztonság? Tény: Az észt közigazgatási rendszer ellen intézett támadás (2007.), majd pár hónappal később egy időben 1000-nél több belorusz cég portálja ellen. „Az azonos időben küldött, interneten feltett kérdések hatására lebénult számos kormányzati oldal, köztük a védelmi, és a külügyminisztérium honlapja, vezető napilapok és bankok oldalai sem voltak elérhetőek.” A világ számos pontjáról egy időben, összehangoltan indult támadás a célként kijelölt szerverek ellen, amelyben fertőzött magyar gépek is részt vettek. Eszköze: zombi-gépek, botnet Minél fejlettebb egy ország informatikai rendszere, és minél nagyobb ezek igénybevétele, annál nagyobb az esélye az adott országot fenyegető informatikai támadás bekövetkeztének.

  4. Miért szükséges a biztonság? Tény: A nemzetközi felmérések szerint a lakossági számítógépek 86%-át érik rendszeresen támadások. Közvetett támadások megjelenése: „social engineering” módszerekkel (Lásd Kevin Mitnick: A legendás hacker c. könyvei) Eszközök: adathalászat (phishing), trójaiak, botnet Ezek eredményessége a lakosság informatikai biztonsági ismereteinek hiányosságaiból adódnak

  5. Miért szükséges a biztonság? A világban a kormányzati informatikai alkalmazások ellen egyre nő a támadások száma! Nem követni, hanem megelőzni akarjuk a nem kívánt eseményeket! Alapelv: Zárt, teljes körű, folytonos és kockázatokkal arányos megoldások szükségesek

  6. Mire kell figyelni? • Veszélyek • Rendszerekre, szolgáltatásokra • Rosszindulatú támadások • Adatokhoz hozzáférés kívülről • Üzemzavarok • Adatokhoz hozzáférés belülről • Személyi/személyes adatokra • Azonosító adatok eltulajdonítása (személyiséglopás) • Bizalmas, személyes információkkal visszaélés • „Pénztárcánkra” • Banki információk megszerzése (adathalászat, social engineering) • Kifizetett szolgáltatások nemteljesítése

  7. Bizalmasság (hozzáférhetetlenség - illetéktelenek által megszerzés, betekintés, másolás) Hitelesség (megváltoztathatatlanság - illetéktelenek által, illetve nem szabályozott módon – programhibák, dokumentálatlan operátori beavatkozás, adatátviteli „zaj” felismerése) Sértetlenség (fizikai meghibásodás esetén visszaállíthatóság – mentési rendszerek, katasztrófa-tervek) Rendelkezésre állás (ha mindenkitől elzárjuk, akkor biztonságos (???) – és ha változás van? (meg egyáltalán... akkor minek???) Mit értünk biztonság alatt?

  8. Hogyan védekezhetünk? • Technikai megoldások • (DE – a támadók mindig egy lépéssel előbb járnak) • Megelőzés • (szabályozás, szankciók (Btk.), felvilágosítás/tájékoztatás) • Szervezeti teendők • Rendszer- és programfejlesztés során • Üzemeltetés során • „Proaktív” lehetőségek (felhasználók tájékoztatása) • Ha beüt a „krach” • Felhasználók körültekintése • „Gyanús jelek” esetén bizalmatlanság • Lehetőleg gyakori jelszóváltoztatás • Csak „tiszta forrás” használata (eredeti honlapról belépés) • Védjük a gépünket

  9. Milyen kontextusban merül fel a kérdés? Adatok Adatátviteli hálózat Feldolgozó (tároló) rendszer Konkrétan az Ügyfélkapura vonatkozóan: Ügyfélkapus bejelentkezés (azonosítás) Központi Rendszeren keresztül továbbított adatok Szakrendszerekben feldolgozott és tárolt adatok Minek a biztonsága?

  10. Elv: A kockázattal arányos, szükséges és elégséges mértékű biztonság garantálása az azonosítás azonline banki rendszerekkel azonos biztonságú (személyes megjelenés, „erős” jelszó, változtatás módja – kapcsolódó e-mail cím) – (>760 ezer) elektronikus aláírással regisztrálási lehetőség – (782) a jelszavakmég az üzemeltetők számára sem hozzáférhetők Az Ügyfélkapu indulása, 2006. április 1. óta a rendszer több mint 28 millió tranzakciót bonyolított le, és az azonosítás „gyengeségére” visszavezethető biztonsági esemény nem következett be! Az azonosítás biztonsága

  11. Az azonosítás és az adattovábbítás két különböző funkció! Adattovábbítás: bármilyen elektronikus aláírás (titkosító algoritmus) lehet, ha a hivatal rendelkezik a nyilvános kulccsal (Az ABEV programban az egyedi titkosító (privát) kulcs minden formanyomtatvány része! – ÁNYT/ÁNYK -> KIB ajánlás) 1.A felhasználók személyazonosítás után tudják a különböző alkalmazásokban összeállított dokumentumaikat becsomagolt (titkosított) tartalomként a hatóság postafiókjába küldeni 2. A becsomagolt tartalom a rendszer által továbbítandó, de nem feldolgozandó (nem bontja fel, nem dekódolja – ehhez a kulcs nem áll rendelkezésére) 3. A becsomagolt tartalomhoz a szállító réteg által értelmezhető és értelmezendő leíró adatok (attribútumok) tartoznak (címzett, feladó, hash, stb.) 4. A rendszer ezen leírók alapján végzi el a becsomagolt tartalommal a szükséges műveleteket A továbbított adatok biztonsága Attribútumok (feladó neve, kinek a nevében teszi, mit küld, kinek küldi) Tartalom leíró metaadatok Közmű boríték Hitelesítő attribútumok Felhasználói boríték Felhasználó által csomagolt (titkosított) tartalom

  12. Jelenleg: egyedileg változó – de megfelelő biztonságú (informatikai biztonsági felügyelő ellenőrzési jelentései: KR, APEH, KEKKH, OEP) -> a továbbított dokumentumok >80%-a e szervezetekhez került. A 2006. 05. 01. óta forgalmazott >47 millió dokumentum továbbítása során az adattovábbítás és a szakrendszerek biztonsági hiányosságaira visszavezethető esemény nem következett be!* (*mikre vezethetők vissza a bekövetkezette események?) DE szükségesek: Egységes, „egyenszilárd” biztonsági követelmények Egységes informatikai biztonsági politika kialakítása a közigazgatásban – előkészületben az informatikai biztonságról szóló törvény – AUDITÁLÁS!!! Egységes követelmények és módszertanok – KIB 25. ajánlása (MIBA) és a KIB 28. ajánlásának informatikai biztonsági dokumentumai Hálózatbiztonsági központ (CERT) – (a konkrét veszélyforrások, veszélyhelyzetek figyelése, detektálása, a megelőzés, elhárítás vagy helyreállítás érdekében módszertan vagy intézkedésminták kiadása) A Központi Rendszer „külső” védelme (Pajzs fejlesztések) A szakrendszerek biztonsága

  13. Biztonságos az Ügyfélkapu? Biztonságos-e a Központi Rendszer? IGEN!!! A további fejlesztések további erősítést igényelnek, de a kockázattal arányosan biztonságos –> az állítást a gyakorlati adatok és tények támasztják alá Ezek után a kérdés ismét

  14. Köszönöm a figyelmet!

More Related