IT biztonság és adatvédelmi alapok dr. Kálmán János
Az e-közigazgatás gyenge pontjai Gyenge pontok IT biztonság Adatvédelem
Adatbiztonság Az adatbiztonság – az adatok jogosulatlan megszerzése, módosítása és tönkretétele elleni műszaki és szervezési intézkedések és eljárások együttes rendszere. Az adatok a megfelelő helyen és időben rendelkezésre álljanak az arra jogosult számára; Csak a tulajdonos engedélyével lehessen megváltoztatni, vagyis sértetlenek legyenek; Ha szükséges, akkor bizalmasan kezeljék őket; Hitelesek legyenek; Feldolgozásuk zavartalan legyen.
„Information warfare”
Kibervédelmi fenyegetettségek Kártékony kódok, programok: Vírus; Malware; Féreg (worm); Trójai. Rootkit (keylogger, tevékenységfigyelő) Adwere, spyware, ransomware
Ransomware
Kibervédelmi fenyegetettségek Szolgáltatásmegtagadást okozó támadások Az ilyen támadások lényege, hogy egy adott, interneten keresztül nyújtott hálózati szolgáltatást a támadó olyan módon támad meg, hogy a szolgáltatás a támadás miatt jelentősen lelassul vagy akár a sikeres támadás esetén teljes mértékben elérhetetlenné válik. szolgáltatásmegtagadás okozó támadás (DoS, Denial of Service) elosztott szolgáltatásmegtagadást okozó támadás (DDoS, Distributed Denial of Service)
Kibervédelmi fenyegetettségek
Kibervédelmi fenyegetettségek Jogosulatlan adathozzáférést elérő illetve adat módosítást elérő támadások Az incidensek lényege, hogy a rendszer által kezelt adatokhoz jogosultság nélkül hozzáfér illetéktelen felhasználó vagy támadó, súlyosabb esetben az adatokat módosítani is képes. További „minősített” eset, ha az illetéktelen felhasználó úgy képes ezt megtenni, hogy a tevékenység később nem visszakövethető. E-mail + jelszó!
Kibervédelmi fenyegetettségek Célzott támadások Végrehajtói professzionális szakemberek, akiket többnyire állami hírszerző szolgálatok vagy bűnöző szervezetek foglalkoztatnak. Fontos tulajdonsága a típusnak, hogy ezek a támadások egyértelműen egy adott célra irányulnak, azaz egy rendszer vagy ágazat ellen illetve megadott adatok illetve információk megszerzésére. Stuxnet (iráni atomprogram)
Célok Számítógépes hálózatok megbénítása, működésképtelenné tétele; Hibás, vagy megbízhatatlan működés, szematikai támadás; Adatlopás; Jogosulatlan használat vagy ehhez szükséges adatgyűjtés, adathalászat; Információgyűjtés, lehallgatással vagy megfigyeléssel.
Adatvédelem A demokrácia alapelve, hogy minden polgár megismerhesse az őt érintő közügyekre vonatkozó információkat Másik oldalról mindenkit megillet a magánélet védelme, a magántitok és a személyes adatok védelméhez való jog.
Adatvédelem nemzetközi alapelvei A nemzetközi ajánlások a következő alapelveket fogadták el: Meg kell határozni az adatgyűjtés célját és azt ismertetni az adatszolgáltatóval. Korlátokat kell felállítani, pontosan meghatározva az adatok körét, amire az adatgyűjtés kiterjedhet. Az adatok meghatározott csoportjához kell az adatvédelmi rendszert felépíteni. Az állampolgárral ismertetni kell, hogy kik jutnak hozzá az adataihoz. Biztosítani kell, hogy mindenki hozzáférjen a róla szóló adatokhoz, és az esetleges hibák kijavítása megtörténjék. Meg kell határozni azokat az adatcsoportokat, amelyek csak az érintett külön engedélyével tárolhatók. Az adatkezelő köteles az általa tárolt adatok védelmét biztosítani. Gondoskodni kell az adatvédelemre vonatkozó előírások betartásának ellenőrzéséről.
Adatvédelem alapelvei Az Internet használatának általános elfogadott erkölcseit a Netikett (Netiquette) rögzíti, amely a hálózati viselkedés alapelveinek egy minimális halmazát határozza meg. Néhány alapelv: Ha nem egy IS keresztül kerülsz kapcsolatba az Internettel, akkor fontos ismerned a munkáltatód szabályait az elektronikus levelek tulajdonjogáról Fel kell tételezned, hogy az Interneten történő levelezés nem biztonságos, kivéve, ha valamilyen rejtjelező eszközt használsz Tiszteld a szerző jogait avval az anyaggal kapcsolatban, amit másolsz Ha továbbküldesz egy üzenetet, akkor ne változtasd meg annak szóhasználatát. Ha ez egy neked írt személyes üzenet volt, és egy csoportnak kívánod továbbítani, akkor kérjél először engedélyt a feladótól.
Az adatvédelem hazai szabályozása 1989. évi XXX. törvény (Alkotmány módosítása) 15/1991. ABH 1992. évi LXIII. törvény (Infotv.) Alaptörvény + 2011. évi CXII. törvény (Infotv.2.) 2013. évi L. törvény (Ibt. tv.)
Az adatvédelem hazai szabályozása Alaptörvény VI. cikk (1) Mindenkinek joga van ahhoz, hogy magán- és családi életét, otthonát, kapcsolattartását és jó hírnevét tiszteletben tartsák. (2) Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez. (3) A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi. Info.tv. Személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret –, valamint az adatból levonható, az érintettre vonatkozó következtetés; Közérdekű adat: az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésére, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat;
Az adatkezelés elvei Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
Korlátozott terjesztésű (10 év) Minősített adatok Szigorúan titkos (30 év) Titkos (30 év) Bizalmas (20 év) Korlátozott terjesztésű (10 év)
Visszaélés minősített adattal 265. § (1) Aki minősített adatot a) jogosulatlanul megszerez vagy felhasznál, b) jogosulatlan személy részére hozzáférhetővé, vagy jogosult személy részére hozzáférhetetlenné tesz, minősített adattal visszaélést követ el. (2) A büntetés a) vétség miatt elzárás, ha korlátozott terjesztésű, b) egy évig terjedő szabadságvesztés, ha bizalmas, c) bűntett miatt három évig terjedő szabadságvesztés, ha titkos, d) egy évtől öt évig terjedő szabadságvesztés, ha szigorúan titkos minősítésű adatra követik el a bűncselekményt.
Ibtv. Jelenleg ez a törvény a hazai kibervédelmi, illetve információ védelmi szabályozás alapja! A törvény alapvetően „keret törvénynek” készült, azaz főként az alapvetéseket tisztázza, a pontos részletszabályozás – technikai és technológiai szinten – alsóbb szintű jogszabályokban jelent meg. A törvény hatálya több ezer szervezetre terjed ki, köztük az államigazgatás, az önkormányzatok szervezeteire a kormányhivatalokra és az igazságszolgáltatás intézményrendszerére is.
Ibtv. A törvény számos feladatot ír elő az intézményeknek. Ezek közül a legfontosabbak kockázatelemzés elvégzése (rendszeresen) elektronikus információs rendszerek biztonsági osztályba sorolása szervezet biztonsági szintbe sorolása szabályozás kialakítása: Információ Biztonsági Politika, Információ Biztonsági Stratégia, Információ Biztonsági Szabályzat, stb. elektronikus információs rendszer biztonságáért felelős személy kijelölése, illetve e személynek az előírt feladatok ellátása
Egyéb titokfajták Banktitok Üzleti titok
Kibervédelem hazai intézményrendszere 2013. július 1.: hatályba lép az Ibtv. Heterogén szervezetrendszer: Hatósági feladatok: NEIH (NFM) + a kivételek (BM, NGM, HM, ME) Szakhatóság (sérülékenységvizsgálat): NBF (KIM) Kormányzati CERT: NBSZ (BM) Kiberbiztonsági Koordináció (Miniszterelnökség) Nehézkes együttműködés, szakemberhiány, forráshiány, infóhiány… 2014: e-közigazgatás és IT biztonság felelőse a BM 2015: Ibtv. felülvizsgálat, feladatkoncentráció
Kibervédelem hazai intézményrendszere 2015. július 16. előtt
Kibervédelem hazai intézményrendszere 2015. októberétől Belügyminisztérium Nemzeti Kiberbiztonsági Koordinációs Tanács Nemzeti Kiberbiztonsági Intézet Gov CERT NEIH Biztonságirányítás támogatás
Nemzeti Kiberbiztonsági Intézet Nemzeti Elektronikus Információbiztonsági Hatóság - Ibtv. 14-16.§ -187/2015. (VII. 13.) Korm. Rendelet - Ügyfelek és rendszerek nyilvántartása - Biztonsági osztályba és szintbe sorolás ellenőrzése - Követelmények teljesülésének ellenőrzése - Sérülékenységvizsgálat elrendelése - Javaslat létfontosságú rsz. kijelölésére - Javaslat információbiztonsági felügyelő kirendelésére Kormányzati eseménykezelő Központ - Ibtv. 19-20.§ - 185/2015. (VII. 13.) Korm. Rendelet - Biztonsági események kezelése - Fenyegetésmenedzsment - Ügyeleti szolgálat - Elemzés/értékelés - Kibervédelmi gyakorlat - Képzés, tudatosítás - Felelősök kijelölésének támogatása - Sérülékenységvizsgálat - Biztonságiesemény-kezelés kapcsán együttműködés a NISZ-szel - Rendszeres vezetői tájékoztatás Biztonságirányítás és sérülékenységvizsgálat - Ibtv. 18.§ - 60/2014. (III. 6.) Korm. Rendelet - Sérülékenységvizsgálat, valamint biztonsági események kivizsgálása - EMIR / FAIR rendszerekkel kapcsolatos informatikai biztonsági feladatok ellátása
Adatbiztonsági alapelvek Rendelkezésre állás: az adatoknak megfelelő helyen és időben rendelkezésre kell állniuk a jogosultak számára. Sértetlenség: az adatokat csak a tulajdonos engedélyével, vagy közreműködésével lehet meghatározni. Bizalmas kezelés: az adatokat bizalmasan kell kezelni, amennyiben az adat természete ezt szükségessé teszi. Hitelesség: az adatokat egyértelmű azonosítókkal kell ellátni. Működőképesség: az adatok feldolgozásának zavartalannak kell lennie, vagyis az információs rendszer működőképes állapotát meg kell őrizni.
Adatbiztonság közvetlen eszközei Kriptográfia Elektronikus aláírás Tűzfal Jelszavas védelem
Információkezelés a gyakorlatban Vezetői hozzáállás hiányosságai; Nincs megfelelő titokvédelmi/adatvédelmi osztályozás (biztonsági alapdokumentumok hiányoznak, nem naprakészek); Problémás a ki- és belépő munkatársak körüli adminisztráció; Fizikai veszélyforrások elleni védelem gyenge (tűzvédelem, egyéb elemi tényezőkkel szembeni védelem); Mentések hiányossága; Adathordozók megsemmisítésének szabályozatlansága; Jelszókezelés központi probléma.
Köszönöm figyelmüket!