IT és hálózati sérülékenységek tovagyűrűző hatásai a gazdaságban

Hasonló dokumentumok
IT és hálózati sérülékenységek tovagyűrűző hatásai a gazdaságban

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

ELEMZŐ KAPACITÁS FEJLESZTÉSE, MÓDSZERTANI FEJLESZTÉS MEGVALÓSÍTÁSA

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

A biztonság már közvetlen üzleti előnyt is jelent

Digitális Egészségipar-fejlesztési Stratégia

Információbiztonsági kihívások. Horváth Tamás & Dellei László

Üzletmenet folytonosság menedzsment [BCM]

Szombathely Város Vezetõi Döntéstámogató Rendszere VDIR-STAT.

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

Felhívjuk a figyelmet, hogy az MS Windows XP operációs rendszer támogatását a Microsoft már év április 8-án megszüntette!

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

NAGY SÁV, NAGY VÉDELEM A KIBERBIZTONSÁG MODERN FAKTORAI. Keleti Arthur Kecskemét,

Az NKI bemutatása EGY KIS TÖRTÉNELEM

DZSU NG E LH ÁBO RÚ. az e-közigazgatásért. Karay Tivadar Budapest XVIII.ker. Polgármesteri Hivatal

Számítógépes vírusok. Barta Bettina 12. B

Integrált biztonság. Integrated security. / Irodalomfeldolgozás /

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

GLOBÁLIS KIHÍVÁS, REGIONÁLIS VÁLASZOK

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

Közigazgatási informatika tantárgyból

Nemzeti Hálózatbiztonsági Központ. Szekeres Balázs Műszaki igazgató PTA CERT-Hungary Központ Nemzeti Hálózatbiztonsági Központ

A Nemzeti Elektronikus Információbiztonsági Hatóság

A-NET Consulting a komplex informatikai megoldásszállító

Önkormányzati kihívások

Belső Biztonsági Alap

Az NKI bemutatása. Tikos Anita Nemzeti Kibervédelmi Intézet

Információbiztonság irányítása

Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása

Az infoszféra tudást közvetítő szerepe a mai társadalomban

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Az információs társadalom európai jövőképe. Dr. Bakonyi Péter c. Főiskolai tanár

SZOLGÁLTATÁS BIZTOSÍTÁS

1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira

Crossplatform mobil fejlesztőkörnyezet kiválasztását támogató kutatás

Kritikus Infrastruktúra Védelem - Zöld Könyv a Nemzeti Programról

A kockázatkezelő feladatai az AEGON gyakorlatában Zombor Zsolt május 30.

Integrált spam, vírus, phishing és hálózati védelem az elektronikus levelezésben. Börtsök András Projekt vezető.

Budapest Főváros Kormányhivatala. Földmérési, Távérzékelési és Földhivatali Főosztály. Általános Szerződési Feltételek.

Cloud Security. Homo mensura november Sallai Gyorgy

Az ISO es tanúsításunk tapasztalatai

Elektronikus aláírás és alkalmazási területei

A katasztrófavédelem hatósági szakterületeinek tevékenysége Dr. Mógor Judit tű. ezredes hatósági főigazgató-helyettes

MIR. Egészség, munkabiztonság, stressz. Dr. Finna Henrietta

A tananyag beosztása, informatika, szakközépiskola, 9. évfolyam 36

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Internet-hozzáférések teljesítményvizsgálata webböngészőben

SAJTÓKÖZLEMÉNY. Az államháztartás és a háztartások pénzügyi számláinak előzetes adatairól II. negyedév

Nemzetközi jogszabályi háttér I.

Köszönjük, hogy e-számlakivonat szolgáltatásunkat választotta, ezzel is hozzájárulva környezetünk védelméhez! Elakadt? Segítünk!

Muha Lajos. Az információbiztonsági törvény értelmezése

Az ITIL hazai alkalmazhatóságának kérdései

Informatikai célrendszertől a komplex oktatási intézménymenedzsmentig

A fizetésimérleg-statisztika és a külföld számla új közvetlen adatgyűjtési rendszere november 29., Magyar Statisztikai Társaság

Működési kockázatkezelés fejlesztése a CIB Bankban. IT Kockázatkezelési konferencia Kállai Zoltán, Mogyorósi Zoltán

Elektronikus Közigazgatás megvalósítása

Előre beküldött kérdések

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

zigazgatás s az informatikai biztonság

Headline Verdana Bold

Windows Security Center. Gépi nézet. Illetéktelen hozzáférés után speciális fenyegetések kezelése

Informatikai biztonság, IT infrastruktúra

Számítógéppel segített karbantartás menedzsment

bizalom építőkövei Kiberbiztonság és a Magyarország, június 7.

Dr. Bakonyi Péter c. docens

SAJTÓKÖZLEMÉNY. Az államháztartás és a háztartások pénzügyi számláinak előzetes adatairól IV. negyedév

Az alábbiakban szeretnénk segítséget nyújtani Önnek a CIB Internet Bankból történő nyomtatáshoz szükséges böngésző beállítások végrehajtásában.

Projekt siker és felelősség

Esettanulmány. Összetett informatikai biztonsági rendszer kiépítése pénzintézetben 1.1 verzió

30 MB INFORMATIKAI PROJEKTELLENŐR

Az információbiztonság-tudatosság vizsgálata az osztrák és a magyar vállalkozások körében

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

1. Pillér: Digitális infrastruktúra

Belső ellenőrzés és compliance. szolgáltatások. Cover. KPMG.hu

Az információbiztonság-tudatosság vizsgálata a magyar üzleti- és közszférában

SAJTÓKÖZLEMÉNY. Az államháztartás és a háztartások pénzügyi számláinak előzetes adatairól III. negyedév

Az EU-s információbiztonsági szabályozás implementálása Magyarországon. Dr. Bencsik Balázs Nemzeti Kibervédelmi Intézet

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

3 A hálózati kamera beállítása LAN hálózaton keresztül

Az elosztott villamos energia termelés szerepe a természeti katasztrófákkal szembeni rugalmas ellenálló képesség növelésében

Megyei statisztikai profil a Smart Specialisation Strategy (S3) megalapozásához Csongrád megye

ALAPADATOK. KÉSZÍTETTE Balogh Gábor. A PROJEKT CÍME Hálózati alapismeretek

Központi proxy szolgáltatás

A Gazdasági - Műszaki Főigazgatóság feladatai az intézményirányítás fejlesztésében

ÖSSZEFOGLALÓ A VÁLASZADÓKNAK

Vírusok és kártékony programok A vírus fogalma, típusai Vírusirtás Védelem

ProofIT Informatikai Kft Budapest, Petzvál J. 4/a

stratégiai kutatási terve

aa) az érintett közművek tekintetében a nemzeti fejlesztési miniszter és a belügyminiszter bevonásával, valamint a Nemzeti Média- és Hírközlési

Vaszary János Általános Iskola és Logopédiai Intézet

Microsoft SQL Server telepítése

Hogy miért akarnak lehallgatni minket az lehallgatónként változik.

Üzleti és projekt kockázatelemzés: a Szigma Integrisk integrált kockázatmenezdsment módszertan és szoftver

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

Felmérés a hitelesítés szolgáltatás helyzetéről

Informatikai biztonság a kezdetektől napjainkig

Nagy méretű projektekhez kapcsolódó kockázatok felmérése és kezelése a KKV szektor szemszögéből

A cloud szolgáltatási modell a közigazgatásban

Tudjuk-e védeni dokumentumainkat az e-irodában?

Átírás:

IT és hálózati sérülékenységek tovagyűrűző hatásai a gazdaságban Egy multidiszciplináris kutatás kezdetei Dr. Horváth Attila

A kutatás kiindulópontja Az ICT technológiák elterjedése általános Kormányzati szektor Gazdaság Háztartások E technológiákra bízzuk a teljes adatvagyont Biztonságos és folyamatos működésük fenntartása kritikus feladat 2011.07.26. Networkshop 2011. 2

Mit vizsgáljunk? A meghibásodások, támadások biztonsági kockázatok komoly károkat okozhatnak Elhárításuk technológiai, informatikai feladat DE: Mekkora pontosan az a kár, amelyet egy-egy hiba, szoftver-sérülékenység, vagy biztonsági kockázat okoz? Mennyi forrást kell allokálni a megelőzésre és az esetleges támadás vagy hiba elhárítására? A döntéshozó sok esetben nem informatikus! 2011.07.26. Networkshop 2011. 3

A projekt kezdeti résztvevői PTA-CERT-Hungary NMHH Magyar Posta Ecostat BellResearch Információs Társadalomért Alapítvány 2011.07.26. Networkshop 2011. 4

A kutatási feladat Inputok: A CERT-Hungary szoftver sérülékenységi adatbázisa A Bellresearch szoftver-, eszköz- és biztonsági statisztikái Szekunder kutatási források és a KSH adatbázisa A cél: Megbecsülni ez alapján a potenciális fenyegetések és meghibásodások gazdasági hatásait felhasználás-, gazdaság-, szociális- és népességstatisztikai adatbázisok felhasználásával. 2011.07.26. Networkshop 2011. 5

Miért új? Nincs egységes módszertan A legtöbb helyen még kísérleti fázisban sem jár a becslési modellek fejlesztése Siker esetén a CERT hálózatában a nemzetközi hasznosítás lehetőségei is adottak 2011.07.26. Networkshop 2011. 6

A kutatás ütemezése Negyedéves és éves adatelemzés készítése Megfelelő leválogatások létrehozása az egyes kormányzati és gazdasági döntéshozói csoportok támogatására. A PTA-CERT-Hungary éves és negyedéves jelentéseinek kiegészítése. Első ütem 2010. április 1 december 31. 2011.07.26. Networkshop 2011. 7

Az első ütem feladatai A lakossági és gazdasági szoftver-felhasználási statisztikák alapján azonosítani azon legkritikusabb szoftverek körét, amelyek sérülékenységei kritikusak lehetnek a teljes nemzetgazdaságra nézve. Összevetni ezeket a sérülékenységi adatokkal Megkezdeni a megelőzéshez szükséges befektetések becslését lehetővé tevő modell kidolgozását. 2011.07.26. Networkshop 2011. 8

Sérülékenységek és előállítók Microsoft Windows Office Adatbáziskezelők Adobe: Reader, flash Apple ios, itunes, Safari Mozilla Firefox Google Chrome Ezen széles körben elterjedt szoftverek sérülékenységeinek kihasználása az egész nemzetgazdaság szintjén súlyos és nehezen elhárítható problémákat eredményezhet. 2011.07.26. Networkshop 2011. 9

Jellemző sérülékenységi problémák 1. A sebezhetőségek három típusát különböztethetjük meg: a rendszer nyilvánosan elérhető felületének hibáját kihasználó támadási forma ( kapuhiba ), vagy a rendszer hibáját kihasználó távoli forma ( falhiba ), vagy a rendszerbe bejuttatott kód futtatásával végrehajtott támadási forma ( trójai ). 2011.07.26. Networkshop 2011. 10

Jellemző sérülékenységi problémák 2. Javítási forma Százalékos megoszlás 2010. I II. né. 2010. III. né. 2010. IV. né. Nincs javítás 46% 47% 63% Van javítás 0,2% 2% 7% Van frissítés 20,8% 5% 6% Egyéb javítás 25% 46% 24% 2011.07.26. Networkshop 2011. 11

Jellemző sérülékenységi problémák 3. A távoli, interneten keresztül végrehajtható támadások túlsúlya (97%) a helyi támadásokhoz képest Támadási típusok Bemeneti adatok jogosulatlan módosítása Input kontroll Hitelesítés Titkosítási rendszerek elleni támadás nem volt Hatékony kriptográfia 2011.07.26. Networkshop 2011. 12

Jellemző sérülékenységi problémák 4. 2011.07.26. Networkshop 2011. 13

A kormányzati szektor biztonsága A rögzített szabályok, a megvalósítási lépések és az ellenőrzési eljárások hiánya megnehezíti vagy akár lehetetlenné is teszi a potenciális veszélyekre való tudatos és következetes felkészülést. Nincs a teljes államigazgatást és közigazgatást átfogó, azonos megbízhatóságú és kézben tartható kockázatú koncepción alapuló irányelv (szabvány csomag), emiatt nincsenek bevezetve és alkalmazva egységes biztonsági szempontokkal kézben tartható infokommunikációs (távközlési és számítástechnikai) védelmi rendszerek sem. 2011.07.26. Networkshop 2011. 14

A kormányzati szektor biztonsága A magyarországi intézmények jellemzően csak a védelem legalapvetőbb elemeit alkalmazzák, míg a szervezet mélyebb rétegeit is átható stratégiai szemlélet igen ritka. Az intézményi szféra szereplőire kevés kivételtől eltekintve jellemző, hogy ITbiztonsági tudatosságuk sokkal inkább az alkalmazott eszközök halmazaiban ölt testet, mint hogy a szervezet működésének egészét befolyásoló filozófiában csúcsosodna ki. 2011.07.26. Networkshop 2011. 15

A kormányzati szektor biztonsága Anyagi okok miatt a közigazgatásban csak közepes képzettségű informatikai szakembereket lehet alapvetően alkalmazni. Tudomásul kell venni, ezért, hogy nagy rendszerek fejlesztéséhez szükséges professzionális és gazdaságosan működtethető informatikai fejlesztő és szolgáltató üzemeltető gárdával nem rendelkezhet. 2011.07.26. Networkshop 2011. 16

Lakossági eszközök Figyelembe véve a lakosság szoftverhasználati szokásait látható, hogy a hibákat hordozó Microsoft termékek széles körű használata, amely ráadásul a biztonsági eszközök nem megfelelő elterjedtségével jár együtt, így komolyan veszélyezteti az állampolgárok elektronikus ügyintézési lehetőségeit, adatbiztonságát és személyes adatainak védelmét, valamint az információs társadalom lehetőségeibe vetett bizalmát. 2011.07.26. Networkshop 2011. 17

Vállalati eszközök A vállalati szférában, is széles körben alkalmazzák a legkritikusabb sérülékenységeket hordozó szoftvereket, operációs rendszerként, a napi irodai munkához és a vállalat legfontosabb vagyonát jelentő adatbázisok kezelésére is. 2011.07.26. Networkshop 2011. 18

Vállalati biztonság A vállalati szféra igen csekély mértékben van felkészülve egy komoly informatikai biztonsági támadás kezelésére és szakszerű, gyors elhárítására. A komplexebb kockázatokat leginkább az informatikai tevékenység megfigyelésével, naplózással lehet kiszűrni, amelynek a részesedése aggasztóan alacsony. 2011.07.26. Networkshop 2011. 19

Egy kiindulópont a ROSI (Return on Security Investments) modell Hogyan határozható meg a kitettség? Iparági statisztikák, incidensek Magyarországon nem érhető el reprezentatív adatbázis Aktuáriusi becslés a következő periódus feladata Elmaradt bevételek számítása az incidensekből fakadó időkiesésekből 2011.07.26. Networkshop 2011. 20

Teljesítménycsökkenés a vállalati szférában A különböző biztonsági incidensekből fakadó problémák naponta átlagosan egy óra (maximum akár 4 óra) hasznos munkaidő kihasználhatóságát korlátozzák. Rövidebb 10-15 perces kiesésekből áll össze Okai: Biztonsági incidensek (60%) Átgondolatlan védekezési szisztémák (40%) 2011.07.26. Networkshop 2011. 21

Leállással járó informatikai kockázatok Átlagos időveszteség Probléma (perc) Alkalmazáshoz és rendszerhez kötődő leállások 10 Email szűrés és SPAM 15 Sávszélesség hatékony kihasználása. Áteresztőképesség 10 Nem hatékony és hatástalan biztonsági politikák 10 Biztonsági politikák szigorúsága 10 Rendszerhez kötődő kiesések és frissítések az IT részéről 10 OS és alkalmazások biztonsági javításai 10 Nem biztonságos és nem hatékony hálózati topológia 15 Vírusok, vírus ellenőrzés 10 Férgek 10 Trójai, keylogger 10 Kémprogramok 10 Felugró hirdetések 10 Kompatibilitási problémák 15 Engedély alapú biztonsági problémák (felhasználónév/jelszó) 15 Fájlrendszer rendezetlensége 10 Sérült vagy elérhetetlen adatok 15 Rendszerinformációk és adatok illetéktelen elérése vagy eltulajdonítása 15 Biztonsági menztések visszaállítása 15 Alkalmzás használati problémák 15 Teljes idő 240 2011.07.26. Networkshop 2011. 22

Az átgondolatlan védekezés hatásai A kiesések fakadhatnak: Üzemidőben futtatott teljes biztonsági ellenőrzés (kapacitás kiesések), Rosszul menedzselt sávszélesség és hálózati topológiák, Frissítések és biztonsági patchek munkaidőben való telepítése, Az ezekből gyakran adódó kompatibilitási problémák megoldása, Túl szigorú beléptetés és jogosultságkezelés. 2011.07.26. Networkshop 2011. 23

Makrogazdasági hatások Jelentős hatékonyság romlás Akár a megtermelhető GDP 10-15%-os vesztesége nem megfelelő ITfelkészültség esetén Áttételes hatások: Ügyintézési és feldolgozási idők növekedése A gazdaság többi részéből munkaidő elvonása Bizalomvesztés az iparágban és egyéb áttételes hatások 2011.07.26. Networkshop 2011. 24

Köszönöm a figyelmet! Dr. Horváth Attila Főiskolai docens Dunaújvárosi Főiskola, Informatikai Intézet horvath.attila@mail.duf.hu