Nemzetbiztonsági Szakszolgálat GovCERT bemutatkozás 2014. március 26. Gyebrovszki Tamás
Áttekintés Jogszabályi háttér Kiberbiztonsági struktúra GovCERT Megalakulása Feladat- és hatásköre Incidensek, fenyegetések Képességek Jövőkép Nemzetközi kapcsolatok Tapasztalatok, kihívások
Jogszabályi háttér I. 1139/2013. (III.21.) Korm. határozat Magyarország Nemzeti Kiberbiztonsági Stratégiájáról 2013. évi L. törvény Az állami és önkormányzati szervek elektronikus információbiztonságáról 65/2013. (III.8.) Korm. rendelet A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról
Jogszabályi háttér II. 233/2013. (VI.30.) Korm. rendelet Az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről. 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról
Jogszabályi háttér III. 2013. évi L. törvény - http://njt.hu/cgi_bin/njt_doc.cgi?docid=160206.240508 301/2013. (VII. 29.) Korm. rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=162279.246005 233/2013. (VI. 30.) Korm. rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=161528.244306 65/2013. (III. 8.) Korm. rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=159312.244293 1491/2013. (VII. 29.) Korm. határozat - http://njt.hu/cgi_bin/njt_doc.cgi?docid=162282.246014 1139/2013. (III. 21.) Korm. határozat - http://njt.hu/cgi_bin/njt_doc.cgi?docid=159530.238845 73/2013. (XII. 4.) NFM rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=165312.253034 26/2013. (X. 21.) KIM rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=164331.250717 34/2013. (VIII. 30.) NGM rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=162762.247199 16/2013. (VIII. 30.) HM rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=162751.247185 36/2013. (VII. 17.) BM rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=161994.245440 484/2013. (XII. 17.) Korm. rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=165583.253867 77/2013. (XII. 19.) NFM rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=165667.254105
2013. évi L. törvény (Ibtv.) Nemzeti elektronikus adatvagyon és létfontosságú rendszerek védelme Biztonsági osztályba sorolása: bizalmasság, sértetlenség, rendelkezésre állás szerint Az információs rendszerek védelméről a szervezet vezetőjének kell gondoskodni A vezetőnek kötelessége együttműködnie a hatósággal (NEIH), tájékoztatást adnia Sérülékenységvizsgálat elvégzése ellenőrzési terv, illetve külön kérés alapján (NBF) Kormányzati Eseménykezelő Központ létrehozása az ágazatok szakmai segítéséért Nemzeti Kiberbiztonsági Koordinációs Tanács létrehozása a szervezetek e törvényben és végrehajtási rendeleteiben meghatározott tevékenységeinek összehangolásáért
233/2013. (VI.30.) Korm. rendelet A kormányzati eseménykezelő központ feladat- és hatásköre (NBSZ - GovCERT) Az ágazati eseménykezelő központok feladat- és hatásköre A létfontosságú rendszerek és létesítmények eseménykezelő központjának feladat- és hatásköre (BM OKF - Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központja [LRLIBEK])
A jogszabályi környezet felülvizsgálata A törvény szervi hatályának kérdése Határidők és szankciórendszer Két szintű eljárásrend egyértelmű rögzítése a vonatkozó jogszabályokban Ibtv.-ben megjelenő továbbképzési szisztéma pontosítása Az incidens bejelentés egy csatornássá tétele, a hatóságok közötti együttműködés rendjének pontos kidolgozása A szakhatósági tevékenység felülvizsgálata A biztonsági szintmegállapításának és ellenőrizhetőségének problémája. Pontatlan megfogalmazás a hiánypótlás jogintézmények kapcsán Továbbképzési szisztéma pontosítása - adatszolgáltatás, adatközlés, adatvédelem - Nemzeti és ágazati CERT-ek meghatározása Munkacsoportok munkájának, hatáskörének meghatározása IBTV és LRTV / IBTV és ÖTV összehangolása
Kiberbiztonsági struktúra Nemzeti Kiberbiztonsági Koordinációs Tanács IKMCS Kiberbiztonsági Titkárság Operatív törzs Eseménykezelési Munkacsoport Belbiztonsági Munkacsoport E-közigazgatási munkacsoport Energetikai munkacsoport Gyermekvédelmi munkacsoport IT biztonsággal foglalkozó egyetemek IT biztonsággal foglalkozó cégek, szervezetek Kiberbiztonsági fórum
Operatív feladatvégrehajtási szint NFM NEIH KIM NBF CDMA BM NBSZ GovCERT
A GovCERT megalakulásának körülményei 2013. tavasz Törvénytervezet készül, amelynek várható hatása miatt az NBSZ kiemelt feladatként előkészíti a Kormányzati Eseménykezelő Központ létrehozását A GovCERT vezetőjének megnevezésével, és maréknyi munkatársával elkezdődtek a szervezési és koordinációs munkálatok 2013. június A Puskás Tivadar Közalapítvány (Nemzeti Hálózatbiztonsági Központ) irodai és kibervédelmi munkafolyamatainak megismerése Ezen átmeneti időszakban munkatársaink 24 órás közös szolgálatot adnak a PTA munkatársaival 2013. 07. 01 A GovCERT tényleges megalakulása a PTA többségi feladatainak és infrastruktúráinak, székhelyének átvételével. Ezzel egy időben részlegesen megtörtént a humánerőforrás átcsoportosítás
GovCERT helye a Belügyminisztériumban Belügyminisztérium Nemzetbiztonsági Szakszolgálat Főigazgató Főigazgató Általános Helyettese Főigazgató Fejlesztési és Kutatási Helyettese Szakértői Intézet Kormányzati Eseménykezelő Központ
A GovCERT kezdeti lépései A PTA állami- és önkormányzati szerveket, illetve a nemzetközi kapcsolattartást érintő feladatainak átvételét követően elkezdtük: A központ elhelyezkedésének feltérképezését a belföldi kibervédelmi struktúrában A külföldi akkreditáló szervezetek megkeresését a közös munka és kapcsolatteremtés végett A GovCERT-en belüli feladat végrehajtás megtervezését és kezdeti koordinációját Az NBSZ más szakterületén dolgozó munkatársak igénybevételét a kibervédelmi feladatok megfelelő ellátásáért Az egységes incidenskezelési eljárásrend alapjainak kidolgozását A személyi állomány felkészítését a kiemelt feladat súlyához mérten A megfelelő és biztonságos irodai- és munkakörülmények megteremtését
Főbb tevékenységeink csoportosítva Kiberbiztonsági koordinációs tevékenység Nyilvántartások vezetése Kapcsolat az ágazati eseménykezelő központokkal Biztonsági események észlelése Incidensek kezelése Kapcsolatfelvétel és -tartás Megelőző tevékenység Tudatosítás
A GovCERT feladat- és hatásköre I. Éves jelentést készít a lehetséges veszélyforrásokról és elhárításuk lehetőségeiről Több szervvel együttműködésben véd a globális kibertérből érkező támadások ellen Technikai védelmi, megelőző, koordinációs, szakmai támogató és tájékoztatási tevékenységet végez az állami- és önkormányzati szervek részére Felelős a meghatározott szervek, és az NTG biztonsági eseményeinek kezeléséért Nemzetközi szinten képviseli hazánkat a kibervédelemre szakosodott szervezetekben Fogadja és továbbítja a belföldi és nemzetközi szintről érkező riasztásokat Azok elhárításának koordinálásában központi szerepet tölt be Sérülékenységről / veszélyekről / intézkedésekről nyilvántartást vezet
A GovCERT feladat- és hatásköre II. Az eseményekről, sérülékenységről, káros szoftverekről jelentést készít Koordinál a megszüntetés érdekében hazai és nemzetközi szervezetekkel Tájékoztatást kérhet az ágazati eseménykezelő központoktól Az eseményeket elemzi, értékeli majd 24 órás szolgálata által értesíti az érintetteket Műszaki adatok és információk figyelésével értékelést végez A gyanús tevékenységeket kivizsgálja és szükség esetén riasztást ad ki Elvégzi a biztonsági események adatainak online vizsgálatát Ajánlásokat és állásfoglalásokat adhat ki a szervezetek magasabb szintű biztonsága érdekében
A GovCERT feladat- és hatásköre III. Tájékoztatja a hatóságot: A hatáskörébe tartozó szervezeteket érintő megállapításokról Az eseményekre vonatkozó szabályokról, felelősségi körökről Eseményekről, fenyegetésekről, veszélyekről A magas szintű biztonság érdekében együttműködik magyar bűnüldöző szervekkel, nemzetbiztonsági szolgálatokkal A stratégiák és ágazati szabályozások kidolgozásában részt vesz Tudatosító kampányokat szervez, hírleveleket készít A tudatosítás jegyében tájékoztató, felkészítő tevékenységet végez Kormányzati eseménykezelési fórumot működtet
A GovCERT feladat- és hatásköre IV. Sérülékenységekről, eseményekről a következő szerveket tájékoztatja: Nemzeti Elektronikai- és Információbiztonsági Hatóság Alkotmányvédelmi Hivatal Rendőrség Nemzeti Biztonsági Felügyelet Terrorelhárítási Központ Kritikus sérülékenység esetén értesíti a rendszerüzemeltetőt az elhárítandó eseményről Javaslatot tesz az elhárítás és kezelés módjára, nem kötelező érvényű állásfoglalásokat adhat ki A rendszerüzemeltető inaktivitása esetén a Hatóság intézkedését kérheti
Bejelentett incidensek típusai Kéretlen levelek (spam) Robothálózat (botnet) Honlap rongálás (deface) Szolgáltatás megtagadás (Denial of Service) Adathalászat (phishing) Adatvesztés, szivárgás (data loss/leak) Célzott támadás (Advaced Persistent Threat)
Statisztikai adatok (2013. II. félév) A III. negyedév során bejelentetett állami incidensek megoszlása A IV. negyedév során bejelentett állami incidensek megoszlása 3% 3% 13% 8% 11% 22% 59% Adathalász Káros szoftver Robothálózat Túlterheléses támadás Célzott támadás 17% 11% 47% 6% Adathalász Káros szoftver Robothálózat Túlterheléses támadás Jogosulatlan hozzáférés Célzott támadás
Fenyegetések/veszélyek Webes tartalmak böngészése Illegális és sokszor egyben káros tartalmak megtekintése, letöltése Elektronikus levelezés Feladó egyértelmű azonosítása Téves címzés Azonnali üzenetküldő szolgáltatások Káros URL-ek meglátogatása, fertőzött állományok megnyitása Közösségi oldalak használatának veszélyei Adathalászat Hamis megszemélyesítés Felhőalapú tárhelyek Újabb, többes dokumentumpéldányok létrehozása Az adattárolás pontos földrajzi helye ismeretlen
Szervezeti kockázatok Munkavállalók gyakori fluktuációja Gyakori szervezeti változások Elnyúló átszervezések Tisztázatlan felelősségi viszonyok Szabályozatlan információátadási rend Rendezetlen illetékességi kérdések Szabályozatlan munkakörök
Humán kockázatok Szándékos károkozás Anyagi ellenszolgáltatás (pl.: külső megbízatás) Bosszúállás (pl.: elbocsátás esetén) Szívesség viszonzása Üzleti kapcsolat fenntartása Jól értesültség sugárzása Akaratlan károkozás Fecsegés Gondatlanság, képzetlenség (Információ)biztonsági tudatosság hiánya, alacsony szintje Nem tényeken alapuló kockázatérzékelés Alacsony felelősségérzet a virtuális térben
Technológoai kockázatok Jogosult felhasználók számának növekedése Egyszerű(bb) hozzáférés az erőforrásokhoz Nagy tárolókapacitású mobil eszközök Költséghatékony vezeték nélküli technológiák elterjedése Magántulajdonú IKT eszközök növekvő száma (BYOD)
Jelenlegi képességeink Információ csere/megosztás/publikálás Információbiztonsági tudatosító kampányok, képzések Kiberbiztonsági incidensek kezelésének koordinációja
Jövőbeli tervek (2014. vége-2015) Teljeskörű, dinamikus, automatizált kártékony kód elemzés Automatizált naplóállomány elemzés Esemény korreláció Online kártékony kód adatbázis és tudásbázis Korai előrejelző rendszer
Nemzetközi kapcsolatok Európai Hálózatbiztonsági Ügynökség (ENISA) EU-CERT CERT-ek globálisan ShadowServer Foundation Kaspersky Labs, GData, McAffee Rendszeres részvétel a NATO/EU kibervédelmi és krízishelyzet-kezelési gyakorlatokon
Nemzetközi tagságok EGC (European Government CERTs group) FIRST (Forum of Incident Response and Security Teams) TI (Trusted Introducer) IWWN (International Watch and Warning Network)
Gyakorlati tapasztalataink/kihívások Alacsony incidens bejelentési hajlandóság Rések a nemzetközi és nemzeti kommunikációs láncban Elnyúló incidens reagálási idő, a kártékony kódok jelenlétének késői észlelése Tapasztalatlan, képzetlen technikai személyzet a szervezeteknél A szervezetek alacsony IT biztonsági szintje A munkavállalók információbiztonsági tudatosságának hiánya / alacsony szintje Adatvédelmi, adatkezelési aggályok
Esettanulmány: CryptoLocker Típusa: ransomware (zsaroló) Működése: A felhasználó számára elérhetetlenné teszi a számítógépen található felhasználói állományokat (pl.: Word, Adobe, Excel, képek) 2048 bites egyedi RSA kulccsal titkosít Ellentételezésért cserébe hozzáférést ígér a fájlokhoz
Terjedése Feltehetően a kártevő mögött álló csoport robothálózat gépeire telepítette először a kódot A kártevő csak a felhasználó számára fontos, saját fájljait titkosítja Rendszerfájlokat nem tesz elérhetetlenné, a rendszert működőképesen hagyja
Védekezés Megelőzés elsődlegessége, ugyanis a fájlok maradéktalan helyreállítása nem lehetséges Biztonsági mentések sűrítése Patch-management Folyamatosan frissített tűzfalak, vírusirtó szoftverek Operációs rendszer, alkalmazások naprakészen tartása A felugró ablakokra történő kattintás átgondolása Ismeretlen címzettől érkező gyanús, ígérettel kecsegtető elektronikus levelek vírusellenőrzése
Ezt láttuk 2013-ban Erre számítunk 2014-ben "Egyetlen kép néha többet mond ezer szónál " Összefoglalás
Köszönöm a megtisztelő figyelmüket! Incidens bejelentés (0-24) E-mail: cert@cert-hungary.hu Tel: 00 36 (1) 336 4833 Fax: 00 36 (1) 336 4886