Változó környezet, változó biztonság Kiberfenyegetések kihívásai napjainkban Nemzetközi tudományos-szakmai konferencia 2012. szeptember 17-18. A kiemelt kockázatú szolgáltatási helyzetek a Magyar Posta Zrt.-nél, mint kritikus infrastruktúra elemnél Dr. Károlyi László PhD biztonsági főigazgató 2012.08.15.
A Magyar Posta Zrt. számokban HÁLÓZAT Foglalkoztatottak száma: 34 338 fő Hálózat: 2769 állandó (2220 saját/549 vállalkozói) + 354 mobil posta (1044 települést lát el) Főbb üzleti tevékenység Levél: 870 millió db/év Csomag: 9,1 millió db/év Pénzügyi tranzakció: 299 millió db/év Kezelt pénzforgalom: 5488 milliárd Ft/év !!! Árbevétel: 194 milliárd Ft/év Adóbefizetés: 67,3 milliárd Ft/év Alapítva 1867.-ben, jelenlegi működés 1993. óta 100 % állami tulajdonú Egyetemes szolgáltató Küldemény-forgalom Logisztikai szolgáltatások Pénzügyi szolgáltatások Nemzetközi üzleti tevékenység
A Magyar Posta Zrt. számokban cca 4 millió kontaktus naponta cca 1 milliárd egy évben 800 ezer ember naponta a postákon 3 millió küldemény kézbesítése naponta 3500 gépkocsi naponta az utakon 10 ezer kézbesítő szerte az országban
P és a kritikus infrastr. védelem MP kritikus infrastruktúra védelem P és a kritikus infrastr. védelem katasztrófák civilizációs migráció nukleáris ipari SEVESO (veszélyes üz.) közlekedési egészségügyi Terrorizmus – kiber terrorizmus természeti ár- és belvíz földrengés környezeti Kritikus infrastruktúrák sérülése Infokommunikációs technológia (IKT) 4
MP és a kritikus infrastr. védelem MP kritikus infrastruktúra védelem MP és a kritikus infrastr. védelem A terrorizmus „siker” ágazatai infrastruktúra Ismérvei kielégítő pontossággal meghatározhatóak kritikus infrastruktúra Értelmezése koherenssé kezd válni IKT 5
MP kritikus infrastruktúra védelem MP és a kritikus infrastr. védelem KIBER TERRORIZMUS?! „Professional cyber attack could do several hundred billion dollars in damage to U.S.” A Letter from Concerned Scientists to President Bush, 2002.02.27. „Electronic Pearl Harbor” Winn Schwartau „Digital Waterloo” Center for Strategic and International Studies 6
MP kritikus infrastruktúra védelem MP és a kritikus infrastr. védelem „ Míg a tálibok lerombolják az iskolákat és csak a vallási oktatást engedik, Osama bin Laden „gyerekeit” professzionális magántanítók a számítógépek használatára oktatják”. Steve Cummings Director of National Infrastructure Security Coordination Center BBC report, 2003. 7
MP kritikus infrastruktúra védelem MP és a kritikus infrastr. védelem 2001. szeptember 11. A kritikus infrastruktúra (kritikus informatikai infrastruktúra) védelem prioritást kap. „ALL HAZARDS” védelem
MP kritikus infrastruktúra védelem Infrastruktúra tulajdonképpen: szolgáltatások, funkciók, folyamatok. Krit. infrastruktúra területei: EU – Zöld Könyv, majd EPCIP (2004-2005): 1. Energia 2. Nukleáris ipar 3. Infokommunikációs technológiai (ICT) ipar 4. Vízügy 5. Élelmiszeripar 6. Egészségügy 7. Pénzügy 8. Szállítás POSTA 9. Kémiai ipar 10. Űrkutatás, űrtechnológia 11. Kutatás-fejlesztés 9
MP és a kritikus infrastr. védelem MP kritikus infrastruktúra védelem MP és a kritikus infrastr. védelem Magyar Zöld Könyv (2080/2008 Korm. határozat): 1. Energia 2. Infokommunikációs technológiák információs rendszerek és hálózatok eszköz-, automatikai és ellenőrzési rendszerek internet, infrastruktúra és hozzáférés vezetékes és mobil távközlési szolgáltatások rádiós távközlés és navigáció műholdas távközlés és navigáció műsorszórás POSTAI SZOLGÁLTATÁSOK kormányzati informatikai, elektronikus hálózatok 3. Közlekedés 4. Víz 5. Élelmiszer 6. Egészségügy 7. Pénzügy 8. Ipar 9. Jogrend – Kormányzat 10. Közbiztonság - Védelem 10
A kritikus infrastruktúra halmaza egészségügy áramelosztó rendszerek Liszt Ferenc Repülőtér katonai repülőterek 3D radarbázisok közlekedési hálózatok postai szolgáltatások pénzügyi szektor kormányzati informatikai központ atomerőmű közbiztonság Nemzeti infrastruktúra halmaza Védelmi infrastruktúra halmaza Katonai infrastruktúra halmaza Infrastruktúra elemek Kritikus infrastruktúra halmaza
MP és a kritikus infrastr. védelem MP kritikus infrastruktúra védelem MP és a kritikus infrastr. védelem Közigazgatási rendszer és szolgáltatásai Kommunikáció Víz és csatorna Közlekedés - szállítás IKT Áramszolgáltatás 104, 105, 107, 112 rendvédelem-segélyszolgálatok Bank és pénzügy 12
A Magyar Posta Zrt. egyetemes postai szolgáltatásának kritikus elemei Az egyetemes postai szolgáltatás négy fő elem működtetésén keresztül valósul meg: A hálózat, amely a településeken a postai szolgáltató helyeket jelenti. A szállítás, mely a küldemények és értékcikkek szolgáltató-, és feldolgozóhelyek közötti mozgatását biztosítja. A feldolgozás, amely postai értelmezésben a küldemények rendszerezését végzi. A kézbesítés, amelynek a feladata a küldemények címzettekhez történő célba juttatása. 13
A Posta függősége más infrastruktúráktól, interdependencia A Posta kiterjedt országos hálózatával, jelenlétével, forgalmával és szolgáltatási formáival nagymértékben függ működési környezetétől. Jelentős a függősége más kritikus infrastruktúráktól, úgymint: - energiaellátás, - internet-szolgáltatás, - közműellátás, - közlekedés, - hírközlés, állapotától, működési színvonalától 14
A Magyar Posta Zrt. havaria tervezési és a hozzá kapcsolódó szabályozásási rendszere 15
MP kritikus infrastruktúra védelem Külső rendszerek Extranet Fejlesztői- és tesztkörnyezetek Internet Irodai környezet MPZRT Gerinchálózat OLK Eurogiro PEK CSKR Kleindienst Erste, Posta bizt. NPKK 16
MP kritikus infrastruktúra védelem Kritikus IT objektumaink Székház 1500 felhasználó Dataplex EPK 44,6 millió db küldemény/év Inverz hibrid szolgáltatások OLK (Budaörs) 842 millió db levél/év 8,3 millió db csomag/év 51 db gerinchálózati járat PEK 299,1 millió db utalvány/év NPKK Export: 24 millió db levél/év 72 ezer db csomag/év Import: 18 millió db levél/év 120 ezer db csomag/év 17
MP kritikus infrastruktúra védelem Az informatikai hálózatot fenyegető külső veszélyek A nemzetközi tapasztalatok szerint egyre erősödő informatikai fenyegetettségekkel kell számolni, főleg a banki és pénzforgalmi rendszerek esetében, elsődlegesen az alábbi területeken: Vírustámadások, kártékony programok, trójai programok Adatlopásra irányuló támadások Weblap-hamisítás (phishing) Adatok manipulálása, weblapok feltörése Szolgáltatás szüneteltetésére irányuló támadások (DDoS) Spam 18
MP kritikus infrastruktúra védelem Az informatikai hálózatot fenyegető belső veszélyek A Posta országos hálózata, több mint 36000 felhasználó és több tízezer munkaállomással Nem egységes informatikai architektúra Elosztott, nem központosított helyi rendszerek ( PEK) Kiemelt jogosultságú felhasználók tevékenysége, felügyeletük hiánya Szándékos vagy véletlen adatvesztés Hálózati erőforrások nem előírásszerű felhasználása (adatszivárgás, Internet, Külső WEB-mail) Számítástechnikai alapképzettségi szint Szokásrend Informatikai incidensriasztási rendszer hiánya Folyamatos (7/24) informatikai biztonsági felügyelet hiánya 19
MP kritikus infrastruktúra védelem Az információbiztonság 3 alapproblémája Adatvesztés Adatlopás Üzletmenet folytonosság 20
MP kritikus infrastruktúra védelem Adat- és információvédelmi biztonsági mechanizmusok Szabályozási környezet kialakítása, megléte: Informatikai biztonsági politika, stratégia Informatikai biztonsági szabályzat Kockázatelemzési módszertan Informatikai rendszerek osztályba sorolása Adatgazdák kijelölése Rendszerszintű informatikai biztonsági utasítások Jogosultságkezelés Változásmenedzsment Leányvállalati informatikai biztonsági megállapodások (szolgáltatásszintű megállapodások, SLA) 21
MP kritikus infrastruktúra védelem Adat- és információvédelmi biztonsági mechanizmusok Kontrollkörnyezet kialakítása Megfelelőség-vizsgálat (compliance) Informatikai biztonsági auditok BCP/DRP tesztelések Operatív adat- és információbiztonsági ellenőrzések Technikai rendszerek Adatszivárgást megelőző rendszer Központi naplóelemző rendszer Vírusvédelem Spamszűrő, tartalomszűrő rendszerek Elektronikus aláírás Adattitkosítás (RMS) 22
MP kritikus infrastruktúra védelem Adat- és információvédelmi biztonsági mechanizmusok Humánbiztonság fokozása: Felhasználók oktatása Helpdesk hírlevél Humán védelem Tudatosítás növelése Ellenőrzések és vizsgálatok lefolytatása Rendszeres IT havária gyakorlatok 23
MP kritikus infrastruktúra védelem Folyamatban lévő, vagy várható fejlesztések Számlavezető rendszer Bankkártya Értékpapír forgalmazás E- kereskedelem Ügyfél-azonosítás 24
MP kritikus infrastruktúra védelem Jövőben várható kihívások Csalások (pénz megszerzésére irányuló kísérletek) Érzékeny adatok ellopása (bankkártya-adatok, ügyféladatok) Pénzforgalmi szolgáltatások megzavarására irányuló kísérletek Személyes adatok fokozott védelme Piac nyitás 25
Köszönöm a figyelmet! Magyar Posta Dr. Károlyi László PhD. biztonsági főigazgató