Nemzetbiztonsági Szakszolgálat

Átírás

1 Nemzetbiztonsági Szakszolgálat GovCERT bemutatkozás március 26. Gyebrovszki Tamás

2 Áttekintés Jogszabályi háttér Kiberbiztonsági struktúra GovCERT Megalakulása Feladat- és hatásköre Incidensek, fenyegetések Képességek Jövőkép Nemzetközi kapcsolatok Tapasztalatok, kihívások

3 Jogszabályi háttér I. 1139/2013. (III.21.) Korm. határozat Magyarország Nemzeti Kiberbiztonsági Stratégiájáról évi L. törvény Az állami és önkormányzati szervek elektronikus információbiztonságáról 65/2013. (III.8.) Korm. rendelet A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló évi CLXVI. törvény végrehajtásáról

4 Jogszabályi háttér II. 233/2013. (VI.30.) Korm. rendelet Az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről. 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról

5 Jogszabályi háttér III évi L. törvény /2013. (VII. 29.) Korm. rendelet /2013. (VI. 30.) Korm. rendelet /2013. (III. 8.) Korm. rendelet /2013. (VII. 29.) Korm. határozat /2013. (III. 21.) Korm. határozat /2013. (XII. 4.) NFM rendelet /2013. (X. 21.) KIM rendelet /2013. (VIII. 30.) NGM rendelet /2013. (VIII. 30.) HM rendelet /2013. (VII. 17.) BM rendelet /2013. (XII. 17.) Korm. rendelet /2013. (XII. 19.) NFM rendelet -

6 2013. évi L. törvény (Ibtv.) Nemzeti elektronikus adatvagyon és létfontosságú rendszerek védelme Biztonsági osztályba sorolása: bizalmasság, sértetlenség, rendelkezésre állás szerint Az információs rendszerek védelméről a szervezet vezetőjének kell gondoskodni A vezetőnek kötelessége együttműködnie a hatósággal (NEIH), tájékoztatást adnia Sérülékenységvizsgálat elvégzése ellenőrzési terv, illetve külön kérés alapján (NBF) Kormányzati Eseménykezelő Központ létrehozása az ágazatok szakmai segítéséért Nemzeti Kiberbiztonsági Koordinációs Tanács létrehozása a szervezetek e törvényben és végrehajtási rendeleteiben meghatározott tevékenységeinek összehangolásáért

7 233/2013. (VI.30.) Korm. rendelet A kormányzati eseménykezelő központ feladat- és hatásköre (NBSZ - GovCERT) Az ágazati eseménykezelő központok feladat- és hatásköre A létfontosságú rendszerek és létesítmények eseménykezelő központjának feladat- és hatásköre (BM OKF - Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központja [LRLIBEK])

8 A jogszabályi környezet felülvizsgálata A törvény szervi hatályának kérdése Határidők és szankciórendszer Két szintű eljárásrend egyértelmű rögzítése a vonatkozó jogszabályokban Ibtv.-ben megjelenő továbbképzési szisztéma pontosítása Az incidens bejelentés egy csatornássá tétele, a hatóságok közötti együttműködés rendjének pontos kidolgozása A szakhatósági tevékenység felülvizsgálata A biztonsági szintmegállapításának és ellenőrizhetőségének problémája. Pontatlan megfogalmazás a hiánypótlás jogintézmények kapcsán Továbbképzési szisztéma pontosítása - adatszolgáltatás, adatközlés, adatvédelem - Nemzeti és ágazati CERT-ek meghatározása Munkacsoportok munkájának, hatáskörének meghatározása IBTV és LRTV / IBTV és ÖTV összehangolása

9 Kiberbiztonsági struktúra Nemzeti Kiberbiztonsági Koordinációs Tanács IKMCS Kiberbiztonsági Titkárság Operatív törzs Eseménykezelési Munkacsoport Belbiztonsági Munkacsoport E-közigazgatási munkacsoport Energetikai munkacsoport Gyermekvédelmi munkacsoport IT biztonsággal foglalkozó egyetemek IT biztonsággal foglalkozó cégek, szervezetek Kiberbiztonsági fórum

10 Operatív feladatvégrehajtási szint NFM NEIH KIM NBF CDMA BM NBSZ GovCERT

11 A GovCERT megalakulásának körülményei tavasz Törvénytervezet készül, amelynek várható hatása miatt az NBSZ kiemelt feladatként előkészíti a Kormányzati Eseménykezelő Központ létrehozását A GovCERT vezetőjének megnevezésével, és maréknyi munkatársával elkezdődtek a szervezési és koordinációs munkálatok június A Puskás Tivadar Közalapítvány (Nemzeti Hálózatbiztonsági Központ) irodai és kibervédelmi munkafolyamatainak megismerése Ezen átmeneti időszakban munkatársaink 24 órás közös szolgálatot adnak a PTA munkatársaival A GovCERT tényleges megalakulása a PTA többségi feladatainak és infrastruktúráinak, székhelyének átvételével. Ezzel egy időben részlegesen megtörtént a humánerőforrás átcsoportosítás

12 GovCERT helye a Belügyminisztériumban Belügyminisztérium Nemzetbiztonsági Szakszolgálat Főigazgató Főigazgató Általános Helyettese Főigazgató Fejlesztési és Kutatási Helyettese Szakértői Intézet Kormányzati Eseménykezelő Központ

13 A GovCERT kezdeti lépései A PTA állami- és önkormányzati szerveket, illetve a nemzetközi kapcsolattartást érintő feladatainak átvételét követően elkezdtük: A központ elhelyezkedésének feltérképezését a belföldi kibervédelmi struktúrában A külföldi akkreditáló szervezetek megkeresését a közös munka és kapcsolatteremtés végett A GovCERT-en belüli feladat végrehajtás megtervezését és kezdeti koordinációját Az NBSZ más szakterületén dolgozó munkatársak igénybevételét a kibervédelmi feladatok megfelelő ellátásáért Az egységes incidenskezelési eljárásrend alapjainak kidolgozását A személyi állomány felkészítését a kiemelt feladat súlyához mérten A megfelelő és biztonságos irodai- és munkakörülmények megteremtését

14 Főbb tevékenységeink csoportosítva Kiberbiztonsági koordinációs tevékenység Nyilvántartások vezetése Kapcsolat az ágazati eseménykezelő központokkal Biztonsági események észlelése Incidensek kezelése Kapcsolatfelvétel és -tartás Megelőző tevékenység Tudatosítás

15 A GovCERT feladat- és hatásköre I. Éves jelentést készít a lehetséges veszélyforrásokról és elhárításuk lehetőségeiről Több szervvel együttműködésben véd a globális kibertérből érkező támadások ellen Technikai védelmi, megelőző, koordinációs, szakmai támogató és tájékoztatási tevékenységet végez az állami- és önkormányzati szervek részére Felelős a meghatározott szervek, és az NTG biztonsági eseményeinek kezeléséért Nemzetközi szinten képviseli hazánkat a kibervédelemre szakosodott szervezetekben Fogadja és továbbítja a belföldi és nemzetközi szintről érkező riasztásokat Azok elhárításának koordinálásában központi szerepet tölt be Sérülékenységről / veszélyekről / intézkedésekről nyilvántartást vezet

16 A GovCERT feladat- és hatásköre II. Az eseményekről, sérülékenységről, káros szoftverekről jelentést készít Koordinál a megszüntetés érdekében hazai és nemzetközi szervezetekkel Tájékoztatást kérhet az ágazati eseménykezelő központoktól Az eseményeket elemzi, értékeli majd 24 órás szolgálata által értesíti az érintetteket Műszaki adatok és információk figyelésével értékelést végez A gyanús tevékenységeket kivizsgálja és szükség esetén riasztást ad ki Elvégzi a biztonsági események adatainak online vizsgálatát Ajánlásokat és állásfoglalásokat adhat ki a szervezetek magasabb szintű biztonsága érdekében

17 A GovCERT feladat- és hatásköre III. Tájékoztatja a hatóságot: A hatáskörébe tartozó szervezeteket érintő megállapításokról Az eseményekre vonatkozó szabályokról, felelősségi körökről Eseményekről, fenyegetésekről, veszélyekről A magas szintű biztonság érdekében együttműködik magyar bűnüldöző szervekkel, nemzetbiztonsági szolgálatokkal A stratégiák és ágazati szabályozások kidolgozásában részt vesz Tudatosító kampányokat szervez, hírleveleket készít A tudatosítás jegyében tájékoztató, felkészítő tevékenységet végez Kormányzati eseménykezelési fórumot működtet

18 A GovCERT feladat- és hatásköre IV. Sérülékenységekről, eseményekről a következő szerveket tájékoztatja: Nemzeti Elektronikai- és Információbiztonsági Hatóság Alkotmányvédelmi Hivatal Rendőrség Nemzeti Biztonsági Felügyelet Terrorelhárítási Központ Kritikus sérülékenység esetén értesíti a rendszerüzemeltetőt az elhárítandó eseményről Javaslatot tesz az elhárítás és kezelés módjára, nem kötelező érvényű állásfoglalásokat adhat ki A rendszerüzemeltető inaktivitása esetén a Hatóság intézkedését kérheti

19 Bejelentett incidensek típusai Kéretlen levelek (spam) Robothálózat (botnet) Honlap rongálás (deface) Szolgáltatás megtagadás (Denial of Service) Adathalászat (phishing) Adatvesztés, szivárgás (data loss/leak) Célzott támadás (Advaced Persistent Threat)

20 Statisztikai adatok (2013. II. félév) A III. negyedév során bejelentetett állami incidensek megoszlása A IV. negyedév során bejelentett állami incidensek megoszlása 3% 3% 13% 8% 11% 22% 59% Adathalász Káros szoftver Robothálózat Túlterheléses támadás Célzott támadás 17% 11% 47% 6% Adathalász Káros szoftver Robothálózat Túlterheléses támadás Jogosulatlan hozzáférés Célzott támadás

21 Fenyegetések/veszélyek Webes tartalmak böngészése Illegális és sokszor egyben káros tartalmak megtekintése, letöltése Elektronikus levelezés Feladó egyértelmű azonosítása Téves címzés Azonnali üzenetküldő szolgáltatások Káros URL-ek meglátogatása, fertőzött állományok megnyitása Közösségi oldalak használatának veszélyei Adathalászat Hamis megszemélyesítés Felhőalapú tárhelyek Újabb, többes dokumentumpéldányok létrehozása Az adattárolás pontos földrajzi helye ismeretlen

22 Szervezeti kockázatok Munkavállalók gyakori fluktuációja Gyakori szervezeti változások Elnyúló átszervezések Tisztázatlan felelősségi viszonyok Szabályozatlan információátadási rend Rendezetlen illetékességi kérdések Szabályozatlan munkakörök

23 Humán kockázatok Szándékos károkozás Anyagi ellenszolgáltatás (pl.: külső megbízatás) Bosszúállás (pl.: elbocsátás esetén) Szívesség viszonzása Üzleti kapcsolat fenntartása Jól értesültség sugárzása Akaratlan károkozás Fecsegés Gondatlanság, képzetlenség (Információ)biztonsági tudatosság hiánya, alacsony szintje Nem tényeken alapuló kockázatérzékelés Alacsony felelősségérzet a virtuális térben

24 Technológoai kockázatok Jogosult felhasználók számának növekedése Egyszerű(bb) hozzáférés az erőforrásokhoz Nagy tárolókapacitású mobil eszközök Költséghatékony vezeték nélküli technológiák elterjedése Magántulajdonú IKT eszközök növekvő száma (BYOD)

25 Jelenlegi képességeink Információ csere/megosztás/publikálás Információbiztonsági tudatosító kampányok, képzések Kiberbiztonsági incidensek kezelésének koordinációja

26 Jövőbeli tervek (2014. vége-2015) Teljeskörű, dinamikus, automatizált kártékony kód elemzés Automatizált naplóállomány elemzés Esemény korreláció Online kártékony kód adatbázis és tudásbázis Korai előrejelző rendszer

27 Nemzetközi kapcsolatok Európai Hálózatbiztonsági Ügynökség (ENISA) EU-CERT CERT-ek globálisan ShadowServer Foundation Kaspersky Labs, GData, McAffee Rendszeres részvétel a NATO/EU kibervédelmi és krízishelyzet-kezelési gyakorlatokon

28 Nemzetközi tagságok EGC (European Government CERTs group) FIRST (Forum of Incident Response and Security Teams) TI (Trusted Introducer) IWWN (International Watch and Warning Network)

29 Gyakorlati tapasztalataink/kihívások Alacsony incidens bejelentési hajlandóság Rések a nemzetközi és nemzeti kommunikációs láncban Elnyúló incidens reagálási idő, a kártékony kódok jelenlétének késői észlelése Tapasztalatlan, képzetlen technikai személyzet a szervezeteknél A szervezetek alacsony IT biztonsági szintje A munkavállalók információbiztonsági tudatosságának hiánya / alacsony szintje Adatvédelmi, adatkezelési aggályok

30 Esettanulmány: CryptoLocker Típusa: ransomware (zsaroló) Működése: A felhasználó számára elérhetetlenné teszi a számítógépen található felhasználói állományokat (pl.: Word, Adobe, Excel, képek) 2048 bites egyedi RSA kulccsal titkosít Ellentételezésért cserébe hozzáférést ígér a fájlokhoz

31 Terjedése Feltehetően a kártevő mögött álló csoport robothálózat gépeire telepítette először a kódot A kártevő csak a felhasználó számára fontos, saját fájljait titkosítja Rendszerfájlokat nem tesz elérhetetlenné, a rendszert működőképesen hagyja

32 Védekezés Megelőzés elsődlegessége, ugyanis a fájlok maradéktalan helyreállítása nem lehetséges Biztonsági mentések sűrítése Patch-management Folyamatosan frissített tűzfalak, vírusirtó szoftverek Operációs rendszer, alkalmazások naprakészen tartása A felugró ablakokra történő kattintás átgondolása Ismeretlen címzettől érkező gyanús, ígérettel kecsegtető elektronikus levelek vírusellenőrzése

33 Ezt láttuk 2013-ban Erre számítunk 2014-ben "Egyetlen kép néha többet mond ezer szónál " Összefoglalás

34 Köszönöm a megtisztelő figyelmüket! Incidens bejelentés (0-24) cert@cert-hungary.hu Tel: (1) Fax: (1)