Az e-közigazgatás megvalósításának biztonsági kérdései önkormányzati környezetben Krasznay Csaba.

Slides:



Advertisements
Hasonló előadás
A rendvédelmi szervek helye a kibervédelemben
Advertisements

BIG FISH PAYMENTGATEWAY PAYPAL SEGÉDLET. Confidential and Proprietary 1. ÜZLETI FELHASZNÁLÓI FIÓK (BUSINESS ACCOUNT) NYITÁSA 2.
Készítette: Kun Béla.  Operációs rendszernek nevezzük a számítástechnikában a számítógépeknek azt az alapprogramját, mely közvetlenül kezeli a hardvert,
ÜDVÖZLÖM ÖNÖKET A TELEPÜLÉSI ÖNKORMÁNYZATOK ORSZÁGOS SZÖVETSÉGÉNEK NEVÉBEN!
Éjjel-nappal a világhálón – avagy biztonság a virtuális térben Krasznay Csaba Információbiztonsági tanácsadó HP Magyarország Kft.
Az elektronikus közigazgatási rendszerek biztonsága
Elektronikus Ügyfélkapu – kapcsolat az ügyfél és a közigazgatás között
Információbiztonság vs. informatikai biztonság?
Mobil e-ügyintézési rendszer kifejlesztése
AZ INFORMATIKAI BIZTONSÁG
Önkormányzati informatika ASP alapokon
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
Rendszertervezés GIMP.
A magyar elektronikus közigazgatás biztonsága Krasznay Csaba doktorandusz Zrínyi Miklós Nemzetvédelmi Egyetem.
ROP önkormányzati alkalmazás-szolgáltató (ASP) központok -
1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.
Új szabályok, új fogalmak az elektronikus ügyintézésben dr
Hatékonyságnövelés IT biztonsági megoldásokkal Szincsák Tamás IT tanácsadó 2012.Október 17.
Nemzeti Egységes Kártyarendszer Vetési Iván miniszteri biztos június 2. KÖZIGAZGATÁSI ÉS IGAZSÁGÜGYI MINISZTÉRIUM.
Az évi LXV. törvény a helyi önkormányzatokról
Jelszavak helyes megválasztása, szótáras törés
Az elektronikus aláírás állami elismerése
ORFK PORTÁL On-line bejelentések rendszere
| június 27. | MKT vándorgyűlés E-kormányzat és versenyképesség Dr. Paál Péter MKT Informatikai Szakosztály Vezérigazgató, IBM Magyarország.
FTP File Transfer Protocol. Mi az FTP? Az FTP egy olyan protokoll, amely fájlok interneten keresztül végzett átvitelére szolgál. A felhasználók többsége.
AlertPay regisztráció Az AlertPay regisztráció feltételei közt szerepel a legalább 18 éves korhatár betartása. Az alábbi regisztrációs lehetőségek közül.
Hibrid felhő Privát-, publikus és hoster felhők összekapcsolása
Web service fenyegetések e- közigazgatási környezetben Krasznay Csaba IT biztonsági tanácsadó HP Magyarország Kft.
Magyar Controlling Egyesület Szombathely, október Keringer Zsolt MCE Konferencia 2008 A controlling gyakorlata ASP alapú közigazgatás lehetőségei.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Nemzeti Területfejlesztési Hivatal A RÉGIÓÉPÍTÉS ÉVE ,3 MILLIÁRD FORINT ÁTADOTT FORRÁS A RÉGIÓKNAK március 17. Kormányszóvivői sajtótájékoztató.
Elektronikus Kormányzati Gerinchálózat (EKG) – a Központi Elektronikus Szolgáltató Rendszer alapinfrastruktúrája
Állami és önkormányzati vállalatok átláthatósága - a FŐTÁV Zrt. esetében Budapest, április 28.
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Fejlesztés PHP-NUKE portál rendszerre Horváth Zoltán Második Magyarországi PHP Konferencia március 27. Copyright PHP Konferencia,
Projekt tervezés és megvalósítás. Az üzleti projektek és a támogatási rendszer április 20.
Védjegybejelentés elektronikus úton László Áron Márk.
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
A Közigazgatási és Igazságügyi Minisztérium EKOP projektjeinek jelene és jövője dr. Rupp Zoltán főosztályvezető E-közigazgatásért felelős helyettes államtitkárság.
Mobileszköz védelem közigazgatási környezetben Dr. Krasznay Csaba NKE KTK EFI ITB.
Önkormányzati ASP központ felállítása projekt összefoglaló EKOP
Eszköz és identitás kezelés Korlátlan fájl szerver kapacitás Másodlagos adatközpont Korlátlanul skálázódó infrastruktúra Biztonságos DMZ Hibrid adat-
EDR a lakosság riasztásának szolgálatában Budapest, Tanka László tű. ezredes BM OKF.
Webprogramozó tanfolyam
Első lépések a szövegszerkesztő használatában
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
Elektronikus jelentéstovábbító portál vagyonkezelő szervezet számára Ügyfélkapu használatával.
Gazdasági informatikus - Szövegszerkesztés 1 A munka véglegesítése, nyomtatás.
A Windows Server 2003 termékcsalád A Windows Server 2003 termékcsaládnak 4 tagja van: Windows Server 2003, Standard Edition Windows Server 2003, Enterprise.
A böngészőprogram használata. A böngészők értelmezik a html nyelvet, a javascript kódokat és a php kódokat is. Majd ezeket lefuttatja, és azok alapján.
Csoportmunka megoldás a Nemzeti Kulturális Örökség Minisztériumában
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
IKTA-FÓRUM Fehér Éva Projektmenedzser Budapest IKTA-2000 Négyrétegű Regionális Információs Rendszer tervezése és fejlesztése DARFT Informatikai.
Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala
Elektronikus közigazgatás A közigazgatásról általában A közigazgatásról általában Új tendenciák a közigazgatásban Új tendenciák a közigazgatásban A számítógép.
E LEKTRONIKUS LEVELEZÉS . E LEKTRONIKUS LEVELEZÉS Az elektronikus posta ( ) olyan rendszer, amelynek segítségével más felhasználók számára.
Tűzfal (firewall).
avagy a zártság dilemmái
Az elektronikus közszolgáltatások informatikai biztonságának jogi szabályozása Dr. Dedinszky Ferenc kormány-főtanácsadó Informatikai biztonsági felügyelő.
Egy termék tanúsítása — tapasztalatok és következtetések Vágujhelyi Ferenc.
Szeged M. J. Város Polgármesteri Hivatal Nyílt forráskódú megoldások a közigazgatásban Szabad Szoftver Konferencia Szeged, Szegfű László szegfu.laszlo.
Csoportmunkát támogató szoftverek
Cégbemutató, Memoriter ismertető
eeszt A csatlakozás feltételei és körülményei
Az Önkormányzati ASP Kaposvár, február 08..
Az informatikai biztonság irányításának követelményrendszere (IBIK)
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Kinek törték már fel az autóját?
Előadás másolata:

Az e-közigazgatás megvalósításának biztonsági kérdései önkormányzati környezetben Krasznay Csaba

Bevezetés Mi az elektronikus közigazgatás biztonsági problémái közül a legnyilvánvalóbb? Természetesen a weboldalak, webszerverek megfelelő megvalósítása, hiszen ezek vannak a leginkább szem előtt, ezek ellen indul a legtöbb támadás, egy sikeres támadás utána minden, a portálon áthaladó forgalom monitorozhatóvá válik, a feltört rendszer továbblépést eredményezhet a belső, védett (?) rendszerek felé, erről lehet 15 perc alatt érdemben beszélni…

Idézetek az e-közigazgatás 2010 stratégiából Biztonságos szolgáltatások – A magánszemélyek és az üzleti szféra szereplői számára kényelmes, megbízható és egymással együttműködő közszolgáltatásokat kell nyújtani. Biztonságos és egymással kommunikálni képes, átjárható rendszereket kell létrehozni, amelyek lehetővé teszik az elektronikus személyazonosítást tartózkodási helytől függetlenül; A hatóság az eljárása során – a biztonságos és átlátható ügyintézés érdekében – az elektronikus ügyintézés informatikai támogatásával gondoskodik az ügyfél által elektronikus úton előterjesztett és a hatóság által készített dokumentumok biztonságos kezeléséről, megőrzéséről. A modern kormányzatnak – mind a politikaformálás, mind a szolgáltatások nyújtása terén – pontos és időszerű információkkal kell rendelkeznie az állampolgárokról, a vállalkozásokról. E követelmény megvalósításához az információ, az információ hatékony menedzselése és az információbiztonság alapvető követelmény.

Idézetek az e-közigazgatás 2010 stratégiából Az informatika, információtechnológia és a távközlés fejlődésével, a rendszerek egyre nagyobb számban történő alkalmazásba vételével párhuzamosan egyre nagyobb jelentőségűvé válik a biztonsági szempontok érvényesítése. A tárolt és kezelt adatok, információk egyre nagyobb mértékben tartalmaznak érzékeny, a személyiségi jog vagy más jogszabály rendelkezése által védett információkat. A közigazgatási ügyeket intéző hivatalok egyre nagyobb mértékben támaszkodnak az elektronikusan tárolt és kezelt információkra, és egyre inkább csak elektronikusan lesz majd elkérhető az információ, ami egyben függést is jelent az elektronikus információk rendelkezésre állásától. A korábbi években – elsősorban költségvetési okok miatt – a biztonsági kérdések háttérbe szorultak. A legszükségesebb védelmi intézkedések (vírusvédelem, mentések) mellett a közigazgatásban általában kevés figyelmet fordítottak az informatikai biztonság többi tényezőjére. Az Állami Számvevőszék júniusi e-kormányzati monitoring jelentése is megerősíti, hogy a kormányzaton belül alapvető hiányosságok tapasztalhatók az informatikai biztonság terén.

Alapvető követelmények Forrásként használjuk az amerikai közigazgatási ajánlást! Magyar ugyanis nincs, pedig lehetne: KIB 25. sz. ajánlás, IBIX. Ez legyen önkritika is… NIST SP : Guidelines on Securing Public Web Servers ver2/SP800-44v2.pdf ver2/SP800-44v2.pdf

Alapvető követelmények Néhány kiragadott követelmény: Webszervert saját DMZ-ben vagy webhosting szolgáltatónál tárolunk! A webszerver dedikált host legyen, más szolgáltatás, virtuális szerver ne fusson rajta! Válasszuk ki a megfelelő operációs rendszert, melynek biztonsági megerősítését végezzük el! Rendszeresen frissítsük a szerveren található szoftvereket! Használjunk erős autentikációt ott, ahol csak lehet! Tiltsunk le minden felesleges írási, olvasási és végrehajtási jogot! Készítsünk külön partíciót a portál tartalmának!

Alapvető követelmények Tiltsunk le a szerveren minden más szolgáltatást! Távolítsunk el minden olyan dokumentációt a szerverről, mely a portálmotor használatát mutatja be! Töröljünk minden default vagy teszt állományt! A szerver process limitált joggal fusson! Ne engedjünk fájlfeltöltést a portálon keresztül! Vigyázzunk az ideiglenes fájlokkal, amik futás közben jönnek létre! Vigyázzunk a minősített iratokkal, hogy véletlenül elérhetővé váljanak a portálon! Naplózás, naplózás, naplózás!!!

A jelenlegi magyar helyzet Az önkormányzatok weboldalait háromfelé oszthatjuk: Akik „gazdagok” vagy nyertesek voltak a GVOP es pályázaton: nagy magyar fejlesztő által fejlesztett portálmotor (Aitia Webra, Sense/Net Portal, Humansoft.Net portál, stb.). Ezekben triviális sebezhetőségek nincsenek. Akik „szegények”: kis, gyakran helyi fejlesztők, ingyenes portálmotorok (Joomla, Mambo, stb.). Amiket nem üzemeltetnek megfelelően, triviális sebezhetőségeket tartalmaznak, de könnyen karbantarthatók. Akik drágán rosszat vesznek: saját, összetákolt weboldal, tervezés, minőségbiztosítás, biztonsági alapelvek nélkül…

Esettanulmány A vizsgálat tárgya egy vidéki város önkormányzata. Az adott város nem volt nyertes a GVOP pályázaton, így jól demonstrálja a „tipikus” helyzetet. A portált valamikor a múltban készítették, azóta fejlesztés, hibajavítás nem történt. Az üzemeltetés hatásköri gondok miatt nem eldöntött. A fizikai biztonsági környezet nem ideális. Naplózás nem történik. A nem látványos támadásokat senki nem venné észre, maximum egy deface-elés tűnne fel… Konklúzió: ha a weboldal biztonságos is, az üzemeltetés (pénzhiány) aláássa az ilyen irányú az erőfeszítéseket.

Esettanulmány Egyszerű Joomla törés: ha ideiglenes jelszót kérünk a portáltól, akkor egy tokent kapunk. Ezt kell bemásolni a megfelelő mezőbe. De ha ' betűt teszünk az adott mezőbe, akkor ez a parancs hajtódik végre: "SELECT id FROM jos_users WHERE block = 0 AND activation = '' " 1. Nyissuk meg a következő URL-t: célpont.com/index.php?option=com_user&view=reset&layout=co nfirm 2. A "token" mezőbe írjuk a ' karaktert és kattintsunk az OK gombra. 3. Írjuk be az új admin jelszót. 4. Nyissuk meg ezt az URL-t: célpont.com/administrator/ 5. Lépjünk be az új admin jelszóval.

Esettanulmány

Hova tovább? A kormányzati törekvés (helyesen) egyfajta központosításra törekszik. Alakuljanak ki az ún. ASP központok, ahol több önkormányzat informatikai szolgáltatásait nyújtják! Az önkormányzati rendszerek kapcsolódjanak az Elektronikus Kormányzati Gerinchálózatra, így teljesítsenek bizonyos biztonsági követelményeket! Terjedjen el a biztonsági tanúsítások rendszere a közigazgatáson belül!

Kockázatok a következő lépésekben Ha nem alakítanak ki egységes követelményrendszert az ASP-k számára, nem alakul ki az egyenszilárdságú védelem, az összekötött rendszerek könnyebben lesznek átjárhatók – a támadóknak. Ha nem írják meg az egységes műszaki útmutatókat, nem lesz mihez igazodniuk az üzemeltetőknek. Ha nem ellenőrzik a webalkalmazásokat, akkor folyamatosan támadásoknak lehet kitéve a magyar közigazgatás! Javaslat: az USA NIST SP ajánlásaihoz hasonló széleskörű ajánlásrendszert kell létrehozni – akár az amerikai minták lefordításával is!

Köszönöm szépen! Honlap: