Kassai Károly mk. alezredes HM IIF/EIO A Magyar Honvédség információs rendszereinek korszerűsítésével kapcsolatos információvédelmi feladatok 2007. 11. 27. Robotwarfare/IO/INFOSEC/IA/CD Kassai Károly mk. alezredes HM IIF/EIO

„A haditudomány arra tanít bennünket, ne abban bízzunk, hogy az ellenség nem fog jönni, hanem abban, hogy mi készen állunk fogadására; sem annak lehetőségében, hogy nem fog támadni, hanem inkább abban a tényben, hogy pozíciónkat bevehetetlenné tettük” (Szun Ce: A hadviselés tudománya, VIII. 11.)

Fókuszban Szükséges mértékben biztonságos vezetési és működési folyamatok Információvédelem

Átalakulás alatti kis világaink Cél a széttagolt felelősségi rend, és a szigetszerű kialakítások felszámolása Titokvédelmi felügyelő, biztonsági megbízott, informatikai biztonsági vezető, rejtjelfelügyelet vezető (rejtjelfelügyelő) Számítástechnikai titokvédelmi felelős, adatvédelmi tiszt, híradó biztonsági tiszt, rendszerbiztonsági felelős, rendszerüzemeltetés biztonsági felelős, rejtjelző Ügykezelő, nyilvántartó, hadműveleti tiszt Zártcélú hálózat Híradás, híradó rendszer Katonai, tábori, közigazgatási informatikai rendszer Rejtjelző rendszer/hálózat Ügyviteli és nyilvántartó rendszer Feldolgozó helyiség/titokszoba

Szemléletváltás szükségessége Hadműveleti (felhasználói) követelmények Először igény, aztán a megoldás, és nem fordítva Adatkezelő megoldások télen-nyáron, éjjel-nappal, itthon-külföldön, irodában, terepen és műveleti területen, megosztva-elkülönítve Biztonsági követelmények Adatkezelési folyamat, üzemeltetési helyszín és rendszer-specifikus jellemzők Szolgáltatás biztosítása üzemeltetés, biztonság Az információs képességek kialakítása és fenntartása önálló szakmai feladatok (felelősségek) összehangolásának eredménye

Szolgáltatás-orientált megközelítés és életciklus szemlélet Az ad-hoc jellegű kialakításokat MH szinten szervezett folyamatokkal kell kiváltani A hálózatokat korszerű megoldásokkal kell menedzselni Szolgáltatás igénylése Kialakítás Rendelkezésre bocsátás és fenntartás Legalizálás Kialakított eljárásrend (elrendelés, jóváhagyás) Projektekben való gondolkodás és annak vezetői támogatása Kockázatok elemzése Biztonság beépítése Finanszírozás Hitelesítés, akkreditálás Változáskezelés Üzemeltetés támogatása

Új típusú együttműködési szükséglet Hatóságok, felügyeleti szervek Jogszabály-alkalmazó közigazgatási szervezetek Tanúsító, együttműködő szervezetek K+F Ipar, szolgáltatás Tanácsadás Képzés Egységes infrastruktúra szemlélet kialakítása Kompatibilis szolgáltatások a különböző közigazgatási területeken Közös fejlesztési erőfeszítések

Az egységes biztonsági besorolás helyzete (a hálózatosítás alapeleme) Központi Elektronikus Szolgáltató Rendszer Különlegesen érzékeny (titkos) adatok. A belső és külső hozzáférést erősen korlátozni és szigorúan ellenőrizni, dokumentálni kell (pl. a rendszer biztonságát érintő adatok). Érzékeny adatok. A belső és külső hozzáférést korlátozni, a hozzáférést naplózni kell (pl. elektronikus ügyintézés adatai, állampolgárok személyes adatai stb.). Belső adatok. A külső hozzáférés nem lehetséges, belső hozzáférés korlátozása nem kritikus. Nyilvános, közhiteles adatok. A rendelkezésre állás és a megváltoztathatatlanság biztosítása kritikus. Nem osztályozott adatok. (84/2007. (IV. 25.) Korm. rendelet 1. melléklet 4. 2. ) Szolgáltatások összekapcsolása nehezen képzelhető el eltérő rendszabályok mentén Egységes Digitális Rádió-távközlő Rendszer (kárérték szerinti biztonsági osztályba sorolás) Alap (közepes kár) Fokozott (nagy kár) Kiemelt (katasztrofális kárérték) (109/2007. (V. 15.) Korm. rendelet, 2. sz. melléklet, 3. 3. p.)

Hálózati szolgáltatások Központi biztonsági szolgáltatások A NATO C3 Technikai Architektúrával szinkronban lévő MH infrastruktúra felépítése Hálózat Hálózati szolgáltatások Rejtjelzés Alkalmazások Központi biztonsági szolgáltatások

Munkavégzés korszerű támogatása (mint munkáltatói fenyegetés) Portál alapú dokumentum menedzsment Csoportmunka támogatása, megosztás, verziókövetés, fórum szolgáltatás, munkafolyamatok testre szabása (workflow) Tudásmenedzsment Munkatapasztalatok, szervezeti kultúra publikálási lehetősége, kereshetőség, szakértői listák, hivatkozások mérése Elektronikus iratkezelés Adatállomány megváltoztathatatlan módon történő kezelése, tartalomhoz leíró és azonosító adatok (meta-adat) rendelése Az iratkezelés szigorú protokollok szerinti történő biztosítása

Szolgáltatások külső elérése Külső kapcsolati rendszer védelmi alrendszere Külső kapcsolati rendszer 1. védelmi szint 2. védelmi szint n. védelmi szint 1. szolgáltatási szint 2. szolgáltatási szint n. szolgáltatási szint Elektronikus adatkezelő képességek

Központi biztonsági szolgáltatások Eseménykezelés (CIRC) Elektronikus hitelesítés-szolgáltatás Központi vírusvédelem, SPAM szűrés, és mobil kódok elleni védelem Központi, automatizált szoftver és adatbázis frissítések

MH modernizáció a rejtjelzés területén (összhangban a NATO C3 Technikai Architektúrával) A régi, külföldi gyártmányú beszéd-rejtjelző eszközök kivonása és korszerű eszközök alkalmazásban vétele IP alapú hálózati rejtjelző eszközök alkalmazásba vétele a nemzeti, NATO rejtjelző eszközök központi menedzselése (EKMS) Nemzeti rejtjelző kulcsgyártási képesség kialakítása és engedélyeztetése

Támogatandó nemzeti képességek OECD ajánlás szerinti rejtjelzésre vonatkozó irányelvek kialakítása eljárások közötti választási lehetőség biztosítása, nyílt piaci ösztönzés a rejtjelző eljárások fejlesztésében, szabványok kialakítása, kötelezettségvállalás, a nemzeti rejtjelzésre vonatkozó politika törvényes hozzáférhetőségének biztosítása (Guidelines For Cryptography Policy) Nemzeti kompromittáló kisugárzás elleni védelemhez (TEMPEST) szükséges mérési és tanúsítási képességek Egységes szemléletű közigazgatási IT: kockázatelemzési és kezelési-, auditálási-, képzési és ellenőrzési rendszer kialakítása és menedzselése.

NATO prognózis szerinti fontosabb irányok Hardver/szoftver konfiguráció felügyeleti feladatok az operációs rendszerek hardver és szoftver megoldásokkal történő támogatásával; A vezeték nélküli szolgáltatások vezetékes hálózatokkal egyenértékű védelmi mechanizmusai; Optikai hálózatok behatolás detektálásának fejlesztése; A hozzáférési jogosultságok menedzselése, nyomon követhetősége (Identity Management), egyszerűsített bejelentkezés, illetve személyi azonosítási igény esetén a korlátozott mennyiségű adatokkal történő műveletek; Szoftver definiált rádiók védelme, és a rádiófrekvenciás azonosítási megoldások; (NATO C3 Technical Architecture v.2, supplement 2: Emerging technologies v.7.)

A NATO Cooperative Cyber Defence Centre of Excellence kezdeti kutatási területei Mesterséges intelligencia alapú technológiák alkalmazási lehetőségeinek vizsgálata és kifejlesztése az informatikai védelem területein. Intelligens eljárások (agent) alkalmazási lehetőségei a hálózati és számítógép (host) alapú védelmi rendszerben, a behatolás detektálás (IDS), valamint a válasz reakciók területén; Szabály alapú védelmi rendszerekben ellenőrzött és öntanuló eljárások. [Peeter Lorents] Intelligens szimulációs lehetőségek kialakításának vizsgálata IDS/IPS területen. Az IT infrastruktúra védelméhez szükséges adatok elemzéséhez többcélú, rugalmasan skálázható nyílt forráskódú rendszereken alapuló szimulációs eljárások, platformok kialakítási lehetőségei a modell alapú szoftverfejlesztések, a szoftver eljárások automatikus illesztésének támogatása érdekében. [Toomas Kaevand]

NATO CCD COE 2 Hálózatok támadási módszereinek szimulációval történő vizsgálata. Hálózatok, különböző protokollok modellezésével a támadás során keletkező adatok védelmi célú feldolgozási lehetőségeinek vizsgálata. Hálózaton belüli eszközökön (végberendezések, központi kiszolgálók, aktív elemek) zajló folyamatok során keletkezett adatok elemzési lehetőségei, megoldások kifejlesztése virtuális számítógép alapú szimulációval. [Enn Tõugu]

NATO CCD COE 3. Esemény összehasonlítási módszerek, adatbányászati eljárások alkalmazása a naplófájlok elemzéséhez. A nagymennyiségű, különböző formátumokban érkező adatok analizálásának támogatása nyílt forráskódon alapuló, egyszerűsített eredménykiértékelés módszerének felhasználásával [Risto Vaarandi] A hálózati védelem jogi szempontjainak vizsgálata. Az államok szabályozásának, a különböző nemzetközi egyezmények elemzése a szervezeti, nemzeti és nemzetközi együttműködés megalapozása érdekében. [Eneken Tikk]

Magyar Honvédség K+F célkitűzések 2008- Központilag menedzselt, védett hálózatok esetében a hozzáférések azonosítását és hitelesítését (külső/ belső, felhasználó/eszköz) végző védelmi mechanizmusok. Az adat készítőjétől a végfelhasználóig a kezelés (létrehozás, módosítás, tárolás, továbbítás stb.) során széleskörűen alkalmazható fájl szintű védelmi megoldások.

K+F célkitűzések 2. Számítógépes biztonsági események kezelése (Computer Incident Response Capability; CIRC). NATO, EU hasonló képességeivel való együttműködés technikai és szervezési kérdései minősített és nem minősített hálózatok esetén. Anomáliák, biztonsági események, és hálózaton keresztül történő illetéktelen behatolások/támadások elleni felkészülés (védelem, detektálás, reagálás és helyreállítás) nemzeti és nemzetközi informatikai hálózatok esetében.

A szabályozás korszerűsítésének szükségessége Politikák Direktívák Irányelvek Egyéb támogató dokumentumok Jogszabályok Az állami irányítás egyéb jogi eszközei HM jogszabályok MH egyéb szabályozói A rendszabályokat alkalmazó szervezeteket nem célszerű többoldalú szabályozási követelményrendszerbe kényszeríteni

Összefoglalás A NATO hálózat alapú képességek elmélete szerinti fejlesztések az MH-nál új típusú: gondolkodást, szervezeti együttműködést, tervezési, szervezési és üzemeltetési eljárásokat igényel. A NATO, EU prognózisok, irányelvek nemzeti szinten is a hálózati gondolkodás fejlesztését igénylik, amelynek minden erőforrását fel kell használni az MH-nál, illetve a felhalmozódott tapasztalatokat meg kell osztani az illetékes hatóságokkal, kormányzati szervezetekkel

Referenciák 85/2007. (HK 16.) Miniszteri irányelvek a védelmi tervezéshez (2009-2018) 84/2007. (IV. 25.) Korm. rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről 109/2007. (V. 15.) Korm. rendelet az egységes digitális rádió-távközlő rendszerről NATO C3 Technical Architecture v.7. 2005 Peeter Lorents „Overview of the CCD COE Project, Research and Development” c. előadása 2006. 12. 10. Tallin, NCCD COE Toomas Kaevand „Intelligent simulation methods for intrusion detection and prevention” c. előadása, 2006. 12. 10. Tallin, NCCD COE Enn Tõugu „Simulation and AI methods in cyberdefence” c. előadása, 2006. 12. 10. Tallin, NCCD COE Risto Vaarandi „Event correlation and data mining for event log analysis” c. előadása, 2006. 12. 10. Tallin, NCCD COE Eneken Tikk „Cooperative Cyber Defense, Legal Aspects” c. előadása, 2006. 12. 10. Tallin, NCCD COE

Köszönöm megtisztelő figyelmüket!