Biztonságos-e az Ügyfélkapu?

Slides:



Advertisements
Hasonló előadás
Az elektronikus kapcsolattartás
Advertisements

Az elektronikus közigazgatási rendszerek biztonsága
Elektronikus Ügyfélkapu – kapcsolat az ügyfél és a közigazgatás között
Egészségügy a beteg szemszögéből Jogszabályi útmutató.
 Jób 30:9 És most ezek gúnyolódnak rajtam, ezek fecsegnek rólam.  Zsolt 1:1 Boldog ember az, aki nem jár a bűnösök tanácsa szerint, nem áll a vétkesek.
Információbiztonság vs. informatikai biztonság?
Tájékoztató a Kormányzati Ügyféltájékoztató Központról
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
A BIZTONSÁGI INTÉZKEDÉSEK Jogszabályi háttér
Az Önkéntes Tűzoltó Egyesületek szerepe
1 Munkáltatók részére nyújtott szolgáltatások Az eEurope-2005 megvalósítása közszolgáltatásainak (e-gov) Magyarországon A lakossági- és üzleti szféra felé.
Információbiztonság a Magyar Köztársaság közigazgatásában dr
Magyarország sokáig lemaradt az elektronikus közigazgatás alkalmazásában, de ma már minden hatósági eljárást el lehet intézni az interneten. A hatóság.
Új szabályok, új fogalmak az elektronikus ügyintézésben dr
Dr. Suba Ferenc Testületi elnök PTA CERT-Hungary
Sikolya Zsolt IKF kormányzati nap Budapest, május 19. Egységes azonosítás, hitelesítés és elektronikus aláírás az elektronikus ügyintézésben.
2007. március 28.Verseghy Ferenc Könyvtár1 E-polgár e-ügyei Mire jó az Ügyfélkapu?
Elektronikus kérelem benyújtás
Az e-kereskedelem (e-business)
ORFK PORTÁL On-line bejelentések rendszere
ADATBIZTONSÁG, ADATVÉDELEM IV. Takács Béla
A tűzfalakról Microsoft-módra Rövid áttekintés felhasználóknak (A GYIK alapján)
Muha Lajos: Infokommunikációs biztonsági stratégia1 Infokommunikációs biztonsági stratégia Infokommunikációs biztonsági stratégia Muha Lajos.
Mobil eszközök biztonsági problémái
, levelezés … kérdések - válaszok Takács Béla 2008.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Titkosítás, elektronikus és digitális aláírás. Fontos mindig észben tartanunk, hogy ha titkosítatlan csatornán kommunikálunk az Interneten, akkor bármely.
Az elektronikus levelezés a számítógép-hálózatok klasszikus szolgáltatása, az Internet alkalmazásának egyik legnépszerűbb formája. Szövegen kívül lehetőség.
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
Az adatbiztonság fizikai biztonsági vetülete
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Jogesetmegoldás. Egy napilapban rendszeresen politikai témájú publicisztikát közlő, igen népszerű újságíróról egy másik lap az egyik publicisztika állításaival.
Az elektronikus felvételi (e-felvételi) folyamata
Internet, Elektronikus levelezés
Hálózatok.
Szoftverjog és etika, adatvédelem
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Elektronikus jelentéstovábbító portál vagyonkezelő szervezet számára Ügyfélkapu használatával.
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala
Adatbiztonság, adatvédelem, kockázatelemzés
Információbiztonsági képzések a Nemzeti Közszolgálati Egyetemen
Stipkovits István ISZ auditor SGS Hungária Kft.
Tűzfal (firewall).
avagy a zártság dilemmái
Az informatikai biztonság szabályozásának aktuális helyzete Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő Miniszterelnöki.
PwC Informatikai kockázatkezelés a gyakorlatban Hétpecsét Információbiztonsági Fórum március 22. Előadó: Viola Gábor, CISA.
Interoperabilitási megoldások az e-közigazgatási keretrendszerben Hirling László
Azonosítás és biztonság pénzintézeti környezetben Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő.
Rövid áttekintés a MOK/HEFOP kártyák használhatóságáról Készítette: Nádor Szabolcs,
„Információvédelem menedzselése” XIV. Szakmai Fórum Budapest, január 19. Törvényi előírások az informatikai rendszer védelmére a pénzügyi szervezeteknél.
Vacha Ferenc fejlesztési koordinátor Az elektronikus ügyintézés törvényi háttere és gyakorlata.
A kritikus infrastruktúra védelmi és információbiztonsági hatósági feladatokról Dr. Bognár Balázs tűzoltó ezredes főosztályvezető SEVESO III. regionális.
Az önkormányzati ASP rendszer jegyzői szemmel Dr. Vincze Ferenc címzetes főjegyző Hajdúszoboszló Város Önkormányzata Pajna Sándor vezérigazgató eKÖZIG.
eeszt A csatlakozás feltételei és körülményei
Az elektronikus levelezés a számítógép-hálózatok klasszikus szolgáltatása, az Internet alkalmazásának egyik legnépszerűbb formája. Szövegen kívül lehetőség.
ELEKTRONIKUS ALÁÍRÁS E-JOG.
Az Informatikai biztonság alapjai
Adatvédelmi kihívások a modern információ- technológiában
MIT TEGYÜNK HA BEKÖVETKEZETT A BAJ
Internet, Elektronikus levelezés
Az elektronikus aláírás
„Biztonságban lenni nem kell félnetek jó lesz” Alföldi István
Segédlet a Főpolgármesteri Hivatal
Hozzáférés az Ügyfél portálhoz szeptember 27.
Az elektronikus aláírás
IT hálózat biztonság Összeállította: Huszár István
Előadás másolata:

Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó informatikai biztonsági felügyelő Miniszterelnöki Hivatal Infokommunikációs Államtitkárság Budapest, 2009. 05. 26.

A válaszhoz Miért merült fel a kérdés? Mit értünk biztonság alatt? Hogyan védekezhetünk? Minek a biztonságáról beszélünk? Az azonosítás biztonsága A továbbított adatok biztonsága A szakrendszerek biztonsága Mi „van”, és mi várható? A válasz

Miért szükséges a biztonság? Tény: Az észt közigazgatási rendszer ellen intézett támadás (2007.), majd pár hónappal később egy időben 1000-nél több belorusz cég portálja ellen. „Az azonos időben küldött, interneten feltett kérdések hatására lebénult számos kormányzati oldal, köztük a védelmi, és a külügyminisztérium honlapja, vezető napilapok és bankok oldalai sem voltak elérhetőek.” A világ számos pontjáról egy időben, összehangoltan indult támadás a célként kijelölt szerverek ellen, amelyben fertőzött magyar gépek is részt vettek. Eszköze: zombi-gépek, botnet Minél fejlettebb egy ország informatikai rendszere, és minél nagyobb ezek igénybevétele, annál nagyobb az esélye az adott országot fenyegető informatikai támadás bekövetkeztének.

Miért szükséges a biztonság? Tény: A nemzetközi felmérések szerint a lakossági számítógépek 86%-át érik rendszeresen támadások. Közvetett támadások megjelenése: „social engineering” módszerekkel (Lásd Kevin Mitnick: A legendás hacker c. könyvei) Eszközök: adathalászat (phishing), trójaiak, botnet Ezek eredményessége a lakosság informatikai biztonsági ismereteinek hiányosságaiból adódnak

Nem követni, hanem megelőzni akarjuk a nem kívánt eseményeket! Miért szükséges a biztonság? A világban a kormányzati informatikai alkalmazások ellen egyre nő a támadások száma! Nem követni, hanem megelőzni akarjuk a nem kívánt eseményeket! Alapelv: Zárt, teljes körű, folytonos és kockázatokkal arányos megoldások szükségesek

Rendszerekre, szolgáltatásokra Mire kell figyelni? Veszélyek Rendszerekre, szolgáltatásokra Rosszindulatú támadások Adatokhoz hozzáférés kívülről Üzemzavarok Adatokhoz hozzáférés belülről Személyi/személyes adatokra Azonosító adatok eltulajdonítása (személyiséglopás) Bizalmas, személyes információkkal visszaélés „Pénztárcánkra” Banki információk megszerzése (adathalászat, social engineering) Kifizetett szolgáltatások nemteljesítése

Mit értünk biztonság alatt? Bizalmasság (hozzáférhetetlenség - illetéktelenek által megszerzés, betekintés, másolás) Hitelesség (megváltoztathatatlanság - illetéktelenek által, illetve nem szabályozott módon – programhibák, dokumentálatlan operátori beavatkozás, adatátviteli „zaj” felismerése) Sértetlenség (fizikai meghibásodás esetén visszaállíthatóság – mentési rendszerek, katasztrófa-tervek) Rendelkezésre állás (ha mindenkitől elzárjuk, akkor biztonságos (???) – és ha változás van? (meg egyáltalán... akkor minek???)

Hogyan védekezhetünk? Technikai megoldások (DE – a támadók mindig egy lépéssel előbb járnak) Megelőzés (szabályozás, szankciók (Btk.), felvilágosítás/tájékoztatás) Szervezeti teendők Rendszer- és programfejlesztés során Üzemeltetés során „Proaktív” lehetőségek (felhasználók tájékoztatása) Ha beüt a „krach” Felhasználók körültekintése „Gyanús jelek” esetén bizalmatlanság Lehetőleg gyakori jelszóváltoztatás Csak „tiszta forrás” használata (eredeti honlapról belépés) Védjük a gépünket

Minek a biztonsága? Milyen kontextusban merül fel a kérdés? Adatok Adatátviteli hálózat Feldolgozó (tároló) rendszer Konkrétan az Ügyfélkapura vonatkozóan: Ügyfélkapus bejelentkezés (azonosítás) Központi Rendszeren keresztül továbbított adatok Szakrendszerekben feldolgozott és tárolt adatok

Az azonosítás biztonsága Elv: A kockázattal arányos, szükséges és elégséges mértékű biztonság garantálása az azonosítás az online banki rendszerekkel azonos biztonságú (személyes megjelenés, „erős” jelszó, változtatás módja – kapcsolódó e-mail cím) – (>760 ezer) elektronikus aláírással regisztrálási lehetőség – (782) a jelszavak még az üzemeltetők számára sem hozzáférhetők Az Ügyfélkapu indulása, 2006. április 1. óta a rendszer több mint 28 millió tranzakciót bonyolított le, és az azonosítás „gyengeségére” visszavezethető biztonsági esemény nem következett be!

A továbbított adatok biztonsága Az azonosítás és az adattovábbítás két különböző funkció! Adattovábbítás: bármilyen elektronikus aláírás (titkosító algoritmus) lehet, ha a hivatal rendelkezik a nyilvános kulccsal (Az ABEV programban az egyedi titkosító (privát) kulcs minden formanyomtatvány része! – ÁNYT/ÁNYK -> KIB ajánlás) 1.A felhasználók személyazonosítás után tudják a különböző alkalmazásokban összeállított dokumentumaikat becsomagolt (titkosított) tartalomként a hatóság postafiókjába küldeni 2. A becsomagolt tartalom a rendszer által továbbítandó, de nem feldolgozandó (nem bontja fel, nem dekódolja – ehhez a kulcs nem áll rendelkezésére) 3. A becsomagolt tartalomhoz a szállító réteg által értelmezhető és értelmezendő leíró adatok (attribútumok) tartoznak (címzett, feladó, hash, stb.) 4. A rendszer ezen leírók alapján végzi el a becsomagolt tartalommal a szükséges műveleteket Attribútumok (feladó neve, kinek a nevében teszi, mit küld, kinek küldi) Tartalom leíró metaadatok Közmű boríték Hitelesítő attribútumok Felhasználói boríték Felhasználó által csomagolt (titkosított) tartalom

A szakrendszerek biztonsága Jelenleg: egyedileg változó – de megfelelő biztonságú (informatikai biztonsági felügyelő ellenőrzési jelentései: KR, APEH, KEKKH, OEP) -> a továbbított dokumentumok >80%-a e szervezetekhez került. A 2006. 05. 01. óta forgalmazott >47 millió dokumentum továbbítása során az adattovábbítás és a szakrendszerek biztonsági hiányosságaira visszavezethető esemény nem következett be!* (*mikre vezethetők vissza a bekövetkezette események?) DE szükségesek: Egységes, „egyenszilárd” biztonsági követelmények Egységes informatikai biztonsági politika kialakítása a közigazgatásban – előkészületben az informatikai biztonságról szóló törvény – AUDITÁLÁS!!! Egységes követelmények és módszertanok – KIB 25. ajánlása (MIBA) és a KIB 28. ajánlásának informatikai biztonsági dokumentumai Hálózatbiztonsági központ (CERT) – (a konkrét veszélyforrások, veszélyhelyzetek figyelése, detektálása, a megelőzés, elhárítás vagy helyreállítás érdekében módszertan vagy intézkedésminták kiadása) A Központi Rendszer „külső” védelme (Pajzs fejlesztések)

Biztonságos az Ügyfélkapu? Biztonságos-e a Központi Rendszer? Ezek után a kérdés ismét Biztonságos az Ügyfélkapu? Biztonságos-e a Központi Rendszer? IGEN!!! A további fejlesztések további erősítést igényelnek, de a kockázattal arányosan biztonságos –> az állítást a gyakorlati adatok és tények támasztják alá

Köszönöm a figyelmet!