KIV FELKÉSZÍTÉS AZ INFORMÁCIÓS RENDSZEREKET ÉRINTŐ FENYEGETETTSÉGEKRŐL Nagy László tű. alez. Iparbiztonsági Felügyelő 2018.02.21.
KIV BEVEZETÉS Integrált Katasztrófavédelmi rendszer: - Iparbiztonság - Tűzoltóság - Polgári védelem - Veszélyes üzemek - Veszélyes áruszállítás -Integrált hatóság - Kritikus Infrastruktúra védelem
Az izlandi jégmező alatti vulkán 2010
Pénzügyi eszközök kereskedése
2003. évi nagy amerikai áramszünet
Harvey hurrikán Az amerikai meteorológiai szolgálat szerint "példa nélküli" a természeti katasztrófa. - 300.000 embernél nincs áramszolgáltatás - A közlekedés csónakkal, helikopterrel, a George Bush nemzetközi repülőtér zárva tart - Vasárnap este ki kellett üríteni egy houstoni kórházat - Lezárták a Mexikói-öbölben lévő olajfúrótornyokat és az olajfinomítókat - Központi elosztó segélytábort létesítettek
2013. március 15 hóhelyzet
Télies tavasz a Mátrában
Generális szabályok 2012. évi CLXVI. törvény A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről 65/2013. (III. 8.) Korm. Rendelet a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról 233/2013. (VI. 30.) Korm. Rendelet az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és Létesítmények eseménykezelő központja feladat- és hatásköréről
Kritikus infrastruktúra szektorok
1 ÁGAZAT ALÁGAZAT Energia villamosenergia-rendszer létesítményei, (kivéve az atomerőmű nukleáris biztonságára és sugárvédelmére, fizikai védelmére valamint biztosítéki felügyeletére vonatkozó szabályozás hatálya alá tartozó rendszerek és rendszerelemek) 2 kőolajipar 3 földgázipar 4 Közlekedés közúti közlekedés 5 vasúti közlekedés 6 légi közlekedés 7 vízi közlekedés 8 logisztikai központok
ÁGAZAT 9 Agrárgazdaság mezőgazdaság 10 élelmiszeripar 11 elosztó hálózatok 12 Egészségügy aktív fekvőbeteg-ellátás 13 mentésirányítás ALÁGAZAT 14 egészségügyi tartalékok és vérkészletek 15 magas biztonsági szintű biológiai laboratóriumok 16 egészségbiztosítás informatikai rendszere 17 Pénzügy pénzügyi eszközök kereskedelmi, fizetési, valamint klíring- és elszámolási infrastruktúrái és rendszerei 18 bank- és hitelintézeti biztonság 19 készpénzellátás 20 Ipar veszélyes anyagok előállítása, tárolása és feldolgozása 21 22 hadiipari termelés 23 veszélyes hulladékok kezelése és tárolása (kivéve radioaktív hulladékok kezelése és tárolása) oltóanyag- és gyógyszergyártás (kivéve nukleáris létesítmények)
ÁGAZAT ALÁGAZAT 24 Infokommunikációs információs rendszerek és hálózatok 25 technológiák eszköz-, automatikai és ellenőrzési rendszerek 26 internet infrastruktúra és hozzáférés 27 vezetékes és mobil távközlési szolgáltatások 28 rádiós távközlés és navigáció 29 műholdas távközlés és navigáció 30 műsorszórás 31 postai szolgáltatások 32 kormányzati informatikai, elektronikus hálózatok 33 Víz ivóvíz-szolgáltatás 34 felszíni és felszín alatti vizek minőségének ellenőrzése 35 szennyvízelvezetés és -tisztítás 36 vízbázisok védelme 37 árvízi védművek, gátak 38 Jogrend - Kormányzat kormányzati rendszerek, létesítmények, eszközök 39 közigazgatási szolgáltatások 40 igazságszolgáltatás 41 Közbiztonság - Védelem rendvédelmi szervek infrastruktúrái 42 honvédelmi rendszerek és létesítmények
Ágazati (speciális) jogszabályok 360/2013. (X. 11.) Korm. rendelet az energetikai létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről 512/2013. (XII. 29.) Korm. rendelet az egyes rendvédelmi szervek létfontosságú rendszerei és létesítményei azonosításáról, kijelöléséről és védelméről, valamint a Rendőrség szerveiről és a Rendőrség szerveinek feladat- és hatásköréről szóló 329/2007. (XII. 13.) Korm. rendelet módosításáról 540/2013. (XII. 30.) Korm. rendelet a létfontosságú agrárgazdasági rendszerelemek és létesítmények azonosításáról, kijelöléséről és védelméről 541/2013. (XII. 30.) Korm. rendelet a létfontosságú vízgazdálkodási rendszerelemek és vízilétesítmények azonosításáról, kijelöléséről és védelméről 246/2015. (IX. 8.) Korm. Rendelet az egészségügyi létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről 330/2015. (XI. 10.) Korm. Rendelet a pénzügyi ágazathoz tartozó létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről 359/2015. (XII. 2.) Korm. Rendelet a honvédelmi létfontosságú rendszerek azonosításáról, kijelöléséről és védelméről 249/2017. (IX. 5.) Korm. Rendelet a az infokommunikációs technológiák ágazathoz kapcsolódó létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről
Felkészítés az információs rendszereket érintő fenyegetettségekről
Kibertámadás 2010 Staxnet Az első katonai vírus Az iráni urándúsító centrifugák motorjainak nagyfrekvenciás átalakítói technikai meghibásodást jeleztek. A centrifugák több mint 20%-a megsemmisült a Stuxnet tevékenysége nyomán!
A fél világot letarolta a pénzt követelő zsarolóvírus
WannaCry zsarolóvírus (akar sírni?) A zsarolóvírus péntek óta legalább százötven országban összesen 200 ezer célpontot támadott meg, és a szám tovább nőhet. A vírus blokkolja a hozzáférést a számítógépen tárolt adatokhoz. A legrosszabb a helyzet Nagy-Britanniában és Oroszországban. A vírus főleg emailben, csatolmányként érkezhet, illetve kétes eredetű fájlok letöltésével terjedhet, esetleg célzott adathalász támadással kerülhet a gépre
Kiberbűnözés, az EU 10 legveszélyeztetettebb országának listája 1. Málta 2. Görögország 3. Románia 4. Szlovákia 5. Spanyolország 6. Litvánia 7. Ciprus 8. Portugália 9. Magyarország 10. Bulgária
Felmérés szempontjai: - előzetes tapasztalatok az internetes bűnözés terén, - a rosszindulatú szoftverek terjedési aránya, - az internetes bűnözés megfékezését célzó kezdeményezésekben való részvétel, - az országok internethálózatának veszélyezettsége (kitett csatlakozási pontok).
A feltört személyi számítógépek veszélyei
A feltört személyi számítógépek veszélyei A botnet olyan hálózatra kapcsolt gépek összessége, amelyek felett átvették az irányítást. Ezeket egész egyszerűen csak botoknak, vagy zombi gépeknek hívjuk. Bizalmas hozzáférési/regisztrációsadatokkal történő visszaélés. Más által regisztrált ebay/paypal fiókokkal hamis adásvételeket lehet lebonyolítani, az online játékregisztrációs adatokkal más nevében lehet interneten játszani (pl. póker). Internetbankosbelépési adatoknak vagy hitel/betéti kártyán szereplő adatokkal visszaélés. Az internetes közösségi oldalak Facebook, Twitter, Linkledln, Google+hozzáférési adatainak megszerzésével olyan közléseket tud elhelyezni az oldalakon, amely súlyosan sértheti a valósfelhasználó hírnevét, személyiségét, reputációját
A feltört elektronikus levelezési fiókok veszélyei
A feltört elektronikus levelezési fiókok veszélyei Spam(kéretlen levél), Kereskedelmi célú, vásárlásra, vagy szolgáltatás igénybevételére buzdító kéretlen levelek küldhetőek ki a feltölt email-fiókból.(további információk: Harvesting, a számítógépen található kapcsolati vagy kommunikációs adatok, személyek email címei begyűjtésre kerülnek a támadó által. Internetbankos belépési adatoknak vagy hitel/betéti kártyán szereplő adatoknak, tőzsdei vagy letéti/betéti hozzáférési adatoknak megszerzésével hozzá lehet férni a számlákon, stb. tárolt pénzösszeghez, a támadó azzal sajátjaként rendelkezhet (felveszi, átutalja, elvásárolja stb.) A megszerzett azonosítókkal (pl. Amazon, Bestbuy stb.) az áldozatok nevében kereskedelmi tevékenységet lehet on-line folytatni. Az eladásra kínált árut nem szállítja le a tettes,
Felhőszolgáltatás adattárolás, technológiai veszélyei
Felhőszolgáltatás adattárolás, technológiai veszélyei A számítástechnikai eszközök és programok fejlődésével a tárolandó adatok mennyisége is napjainkban exponenciálisan nő. A korábbi helyi, külső adattároló eszközök (floppy mágneslemez, CD-DVD optikai lemez, pen-drive) mellett az utóbbi tíz évben megjelentek az Interneten keresztül elérhető tárhelyek, melyeket úgynevezett felhő -szolgáltatások (Cloud services). Problémák: - adatok fizikai tárolásának helye a felhasználó előtt nem ismert. - ki felel az adatvesztésért, - helyreállításért, és milyen kártérítésre számíthat az ügyfél adatvesztés esetében. - tárolt adatokhoz való hozzáférés kockázata, akár a szolgáltató, akár harmadik fél (pl. hacker) által
Javaslatok: válassza szét már eszköz-és hálózatszinten is a vállalati és a magán internetes tevékenységét, válassza szét privát és céges dokumentumait, fényképeit, csak a magán adatokat, fájlokat töltse fel a privát felhőbe; privát felhőszolgáltatásba ne regisztráljon vállalati emailcímmel; munkáltatója anyagait, dokumentumait soha ne töltse fel az Internetre, privát felhőtárhelyre; a privát felhőszolgáltatóról feltöltés előtt informálódjon (szolgáltatási feltételek, vállalt kötelezettségek, a felhasználói adatok és a tárolt adatok biztonságos kezelése érdekében alkalmazott technológiai megoldások, a tárhelyről történő felhasználói adattörlés (cloud-fiók megszüntetése) után a felhőtárhely-adatok további sorsa).
Köszönöm megtisztelő figyelmeteket! Egri Katasztrófavédelmi Kirendeltség Nagy László tű. alez. 2018.02.21