Sik Zoltán Nándor biztonságpolitikai szakértő, elnöki tanácsadó

Slides:



Advertisements
Hasonló előadás
A rendvédelmi szervek helye a kibervédelemben
Advertisements

Az információs társadalmak árnyoldalai (…szemelvények…)
Gordos Márta Európai Együttműködési Programok Igazgatósága
A VINÇOTTE A VINÇOTTE A VINÇOTTE HUNGARY SZERETETTEL KÖSZÖNTI A MEGJELENTEKET.
Az elektronikus közigazgatási rendszerek biztonsága
Elektronikus Ügyfélkapu – kapcsolat az ügyfél és a közigazgatás között
Sik Zoltán Nándor biztonságpolitikai szakértő, elnöki tanácsadó
Nemzeti Biztonsági Felügyelet
Információbiztonság vs. informatikai biztonság?
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Önkéntes oktatói tapasztalatok.
Hazai biztonsági körkép az ICT integrátor szemével Dani István, T-Systems Magyarország Zrt.
A JOGHARMONIZÁCIÓ. Az államok konszenzusa alapján elfogadott, szerződéses és szokásjogi magatartási normák összessége, amelyek a nemzetközi jogalanyok:
2005. november 18. Magyarországi LEADER Közhasznú Egyesület Tevékenységi Prezentáció VIDÉKFEJLESZTÉSI FÓRUM Jászfényszaru Molnár Katalin elnök.
Nemzetbiztonsági Szakszolgálat Kormányzati Eseménykezelő Központ
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Felsőfokú egészségügyi oklevelek elismerése
A védelmi bizottság elnökének katasztrófavédelmi feladatai Jogszabályi háttér: § §1999. évi LXXIV. törvény a katasztrófák elleni védekezés irányításáról,
Az Ibtv. civil-szakmai támogatása
A PTA CERT-Hungary Központ szerepe a magyar infrastruktúra védelemben Szekeres Balázs műszaki igazgató PTA CERT-Hungary Központ.
A kritikus infrastruktúra védelem nemzetközi háttere és a magyar nemzeti program kialakítása, az ebből fakadó szakmai feladatok Balatonföldvár, március.
EURÓPAI UNIÓ - VÍZÜGYI KERETDIREKTÍVÁK Bemutató Általánosan a VKI-ről és Magyarország helyzetéről 2005 április.
A kormányzat szerepvállalása a kibervédelemben Dr. Rétvári Bence államtitkár Változó környezet, változó biztonság - Kiberfenyegetések kihívásai napjainkban.
 H ol?  Kiemelt kockázatú objektumokban.  Milyen eszközökkel?  Speciális felderítő eszközök használatával.  Levélvizsgáló berendezés  Röntgensugaras.
Új szabályok, új fogalmak az elektronikus ügyintézésben dr
A VEZETÉSRŐL ÁLTALÁBAN
Dr. Suba Ferenc Testületi elnök PTA CERT-Hungary
Hatalomfelfogások, a hatalom minőségei és a hatalomgyakorlás eszközei
Munkavédelmi előírások rendszere
Állam munkavédelmi feladatai
A Duna földrajzi kapocs, közös identitástudat képező elem települések, régiók és országok közötti többszintű és sokrétű kapcsolatrendszer alapvető eszköze,
A POLGÁRMESTEREK VÉDELMI IGAZGATÁSI FELADATAI A JOGSZABÁLYI VÁLTOZÁSOK TÜKRÉBEN MISKOLC, JÚNIUS 06. FAZEKAS GYÖRGY ALEZREDES.
1 eEgészség – Digitális Aláírás Előadás a projekt lezárásához „Megbízható harmadik fél szolgáltatás, a digitális aláírás bevezetése az egészségügyi ágazatban”
Magyar Információs Társadalom Stratégia (MITS) – egészségügyi és szociális vonatkozások: Az Egészségügyi és Szociális Ágazati Információs Stratégia (MITS-ESZ)
Lakosságriasztás a médiaszolgáltatók közreműködésével
Köszöntő avagy néhány mondat a felsőoktatásról. Adatkezelés a felsőoktatási intézményekben Bakonyi László elnök, Oktatási Hivatal.
MTA Statisztikai és Jövőkutatási Tudományos Bizottsága
Veszélyes üzemek kritikus infrastruktúra védelmi aspektusai
Infó-kommunikációs technológia, mint kritikus infrastruktúra védelmi faktor Napjaink egyik világméretekben egységesen felismert és értelmezett jelensége.
A területi szervek fő feladatai a nukleárisbaleset - elhárítás területén Jogszabályi háttér § §248/1997. (XII. 20.) Korm. rendelet az Országos Nukleárisbaleset-elhárítási.
Muha Lajos: Infokommunikációs biztonsági stratégia1 Infokommunikációs biztonsági stratégia Infokommunikációs biztonsági stratégia Muha Lajos.
Tartalom  Infrastruktúra meghatározása  Infrastruktúrák osztályozása  Kritikus információs infrastruktúrák  Információs infrastruktúrák támadása és.
Kormányszóvivői tájékoztató 1 A társadalmi bűnmegelőzés nemzeti stratégiája 115/2003. (X. 28.) OGY határozat. Cselekvési program 1009/2004. (II. 26.) Korm.
A Magyar Távmunka Szövetség céljai, törekvései Dr. Horváth Elek elnök III. Országos Távmunka Konferencia Budapest,
1 Az EMC témaköre, EMC Irányelv Zavarok frekvencia tartomány szerinti elhelyezkedése Az EMC megvalósításának módszere.
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
ADATVÉDELEM – JOG évi LXIII. tv. a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról.
A múlt megismerhetősége, mint a közérdekű és személyes adatok kapcsolódási pontjai C SINK L ÓRÁNT főosztályvezető (KIM) egyetemi adjunktus (KRE)
Az Európai Foglalkoztatási Stratégia Készítette: Balogh Judit Nemzetközi Tan. III. évf
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
Sik Zoltán Nándor biztonságpolitikai szakértő
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
Az igazgatás és az ápolás-szakfelügyelet kapcsolata
Jogi informatika, 2. előadás Az információs társadalom lényegi ismérvei és egyes modelljei szeptember 21. Témakörök: 1.Az IT-ről általában 2.Az IT.
Az önkormányzati feladatellátást támogató informatikai infrastruktúra felülvizsgálata (ÁROP-1.A „Szervezetfejlesztés megvalósítása a.
Az E-KÖZIGAZGATÁS INFORMATIKAI STRATÉGIÁJA október 16.
Az UNESCO programja UNESCO Information for All Program (IFAP, I4-all) Az ismeretterjesztés és az élethosszig tartó tanulás előmozdítása érdekében könyvtárosok,
„Kiberbiztonság és az LRL IBEK”
Az adatvédelem szabályozása
Adatbiztonság, adatvédelem, kockázatelemzés
avagy a zártság dilemmái
CERT Kincses Zoli
A különböző eszközök egymáshoz való viszonya IKER társadalmasítás workshop Budapest, április 12.
A kritikus infrastruktúra védelmi és információbiztonsági hatósági feladatokról Dr. Bognár Balázs tűzoltó ezredes főosztályvezető SEVESO III. regionális.
Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény.
A magánbiztonság részvétele a kritikus infrastruktúra védelmében
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
Adatvédelmi kihívások a modern információ- technológiában
A hivatalos statisztikára vonatkozó új jogszabályok bemutatása Dr
prezentációja A bemutató és annak tartalma a HT ZRT szellemi terméke!
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Előadás másolata:

Elektronikus információbiztonság és közigazgatás (A kormányzati információs rendszerek védelme) Sik Zoltán Nándor (sikzoltan@sikzoltan.com) biztonságpolitikai szakértő, elnöki tanácsadó Kormányzati Informatikai Fejlesztési Ügynökség

Tartalom Hatalom és kormányzás – a hierarchia szükségessége Az információtól való függés – az új sebezhetőségi pont Védelem és biztonság – adatvédelem, adatbiztonság, információbiztonság, informatikai biztonság Az állam szerepe – a nemzeti adat- és információs vagyon védelme Kritikus infrastruktúra védelem, kritikus információs infrastruktúra védelem Függelék

A hatalomról és a kormányokról Az ember természeténél fogva törekszik a hatalomra. Érdekei és értékei mentén érvényesíteni akarja az akaratát. Befolyásolni akarja a többieket. Mindezt anélkül, hogy ellenállásba ütközne, sőt minél szélesebb körben, nagyobb területen, több erőforrást birtokolva. Okok pl.: a kényelemhez való ragaszkodás, önkifejezés, zsarnoki hajlam, szűkös erőforrások birtoklása, bosszúvágy, küldetéstudat vagy akár a hatalom öncélú akarása.

A hatalomról és a kormányokról Az emberi közösségek a hatalomra épülnek, A társadalom hierarchiára alapul Csúcsán a kormánnyal/uralkodóval „…a kormány életre hívása vagy tudomásulvétele nem mérlegelő választás tárgya. Az egyetlen elgondolható alternatíva az anarchia, ami önpusztító volna a közösségre – valójában nincs mi között választani.” (George F. Kennan)

A hatalomról és a kormányokról A kormány és a hatalom kapcsolata: „…a kormányzattal mindig együtt jár, tőle elválaszthatatlan a hatalom. Nincs kormányzás hatalom nélkül. Egyetlen kormány sem tud meglenni nélküle. A kormány leglényegibb tulajdonsága a hatalma. A kormány fogalma pontosan azt fejezi ki, hogy benne testesül meg egy ország legjelentősebb hatalmi központja.” (George F. Kennan)

Hatalom és háború A hatalom megragadásának sokféle eszköze van… Ezek közül a legerőszakosabb a háború. „A háború a politika folytatása egyéb eszközökkel” (Carl von Clausewitz) Klasszikus hadviselés: „kinetikus” Új módszerek: pl. az információs hadviselés

Hatalom és háború A háborúk végső célja – a hatalom megragadása/megtartása, de hogyan? Klasszikusan: a csaták megnyerésén keresztül a győzelem kivívása Újonnan: a közvélemény meggyőzése/megnyerése (lásd: Orwell) Mi a közvélemény megnyerése? Elfogadtatni akaratunkat Befolyást gyakorolni Hatalmat érvényesíteni Nem csak az ellenfél… …hanem a saját oldal felett is!

Hatalom és háború Egyéb befolyásolási formák Mi a befolyás gyakorlásának leghatásosabb módja? Nem feltétlenül a pusztítás, az elrettentés Hanem közvetlenül az emberek döntéseinek és viselkedésének befolyásolása. A döntések meghozatalához, az adott viselkedés kiváltásához adatokra, információkra van szükség Az emberek döntéseiket információk birtokában hozzák… …viselkedésük mindig információfeldolgozásra alapul

Hatalom és háború Megfelelő eszköz a befolyásolandó emberek által nyert információk manipulálása, irányítása. A befolyásoltak olyan információkhoz jutnak, amelyek belőlük a befolyásoló által kívánt viselkedési mintát, a kívánt döntés meghozatalát váltják ki. Főbb csoportjai: Megvesztegetés, megvásárlás Fenyegetés, Erőszak, Megtévesztés Meggyőzés (de nem a saját meggyőződés)

Hatalom és háború Legtöbb esetben csak addig tartható fenn a befolyás, amíg a befolyásoló eszközt alkalmazzák Kivétel: a meggyőzés - olyan tartós hatást vált ki, amely fennmarad az eszköz alkalmazásának megszűnte után is. Az információkra alapuló befolyásolás egyik fő célja pedig a meggyőzésen alapuló megfelelő döntés és viselkedés kiváltása. Egyik leghathatósabb eszköz: az információs hadviselés/információs műveletek

Az információtól való függés Az információtól való függés a társadalmakban Toffler „hullámai” 1. hullám – mezőgazdasági társadalmak 2. hullám – ipari társadalmak 3. hulám – információs társadalmak Az információtól való függés egyre nagyobb …és visszafordíthatatlan jelenség!

Az információtól való függés DIKW: Adat, (Data) Információ, (Information) Tudás, (Knowledge) Bölcsesség (Wisdom)

DIKW Adat: Az adat a legkisebb építőelem, amely gyakorlatilag a tényeket, valamint a megfigyelések és mérések nyers eredményeit jelenti, azok megjelenési/ábrázolási/kifejezési formájától függetlenül. Információ: Az adatokból áll össze az információ, amely az adatok jelentéssel való megtöltésével, a köztük való összefüggések elemzésével áll elő. Az információ gyakorlatilag egy üzenet, amely üzenetnek így van célközönsége és célja. Tudás: A tudás az információkból áll össze, az információk, vagy azok összefüggéseinek működő, gyakorlati alkalmazása. Bölcsesség: A tudás elemzésével, annak megértésével, a tudás használatával, valamint a tudás felhasználóinak kommunikációjából, visszajelzéseiből áll össze a bölcsesség (egyes megfogalmazásokban a tudomány).

Az új sebezhetőségi pont: A harmadik hullám Hasonlóan az ipari forradalomhoz, az információs társadalom újabb veszélyeket rejt magában Az információs hadviselés (IW), illetve az információs műveletek (IO) az információs társadalommal együtt járó új terület Információtól való függés = újabb sebezhetőségi pont Veszély tehát: Társadalomra Gazdaságra Kultúrára

Védelem és biztonság Definíció: „A védelem a biztonság megteremtésére és fenntartására, fejlesztésére tett aktív lépések sorozata.” A biztonság pedig egy megteremtendő és fenntartandó állapot. „A biztonság a rendszer olyan – az érintett számára kielégítő mértékű – állapota, amelyben zárt, teljes körű, folytonos és a kockázatokkal arányos védelem valósul meg.”

Védelem és biztonság Zárt védelem: az összes releváns fenyegetést figyelembe vevő védelem, Teljes körű védelem: az adott rendszer valamennyi elemére kiterjedő védelmi intézkedések összessége Folytonos védelem: az időben változó körülmények és viszonyok ellenére is megszakítás nélküli védelem Kockázattal arányos védelem: egy kellően nagy időintervallumban a védelem költségei arányosak a potenciális kárértékkel

Adatvédelem A védelem egyik területe: az adatvédelem De mi az? Definíció (Wikipedia): Adatvédelem (jog): a személyes adatok jogi védelme. Adatvédelem (informatika): az összegyűjtött adatvagyon sérthetetlenségét, integritását, használhatóságát és bizalmasságát lehetővé tevő technológiák és szervezési módszerek összessége. …egyébként inkább adat- és információ védelem

Adatvédelem Adatvédelem (jogi megközelítés): Az adatvédelem a személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozásával, az érintett személyek védelmével foglalkozik. Elsősorban nem az adatok védelme, hanem azoké a személyeké, akikkel az adatok összeköthetők. Eszközei lehetnek: jogi szabályok, eljárások, technológiai eszközök.

Adatvédelem Adatvédelem (informatikai megközelítés): Az adatok védelme a következő megközelítésben: Berendezés védelem Kommunikációs hálózatok védelme Hozzáférés védelem Adathordozó védelem Adatközlés/kommunikáció titkosítása Adatkezelési folyamat monitorozása

Az adatbiztonságon túl De sajnos nem csak ez van Másfajta biztonságra is szükség van: Fizikai/környezeti Személyi/szervezeti Információ (!) biztonság benne dokumentum biztonság és informatikai biztonság (valaha algoritmikus biztonságról beszéltek)

Információbiztonság Az információbiztonság alapvetően az információ védelmét tűzi ki célul, nem az infrastruktúrára koncentrál, hanem magát az információ előállítási, gyűjtési, feldolgozási, tárolási, továbbítási és megjelenítési funkciót állítja a középpontba. Definíció: „Információ biztonság: Az információs vagyon szándékosan, vagy gondatlanul történő jogosulatlan gyűjtése, károsítása, közlése, manipulálása, módosítása, elvesztése, illetve felhasználása elleni védelmének koncepciói, technikái, technikai, illetve adminisztratív intézkedései ”

Információbiztonsági alappillérek CIA alapelv: Confidentiality – bizalmasság Integrity – sértetlenség Availability – rendelkezésre állás Information Assurance + Authentication – hitelesítés (feleké) + Authenticity – hitelesség (adaté) + Non-repudiation – letagadhatatlanság + Utility – hasznosság és használhatóság

Információbiztonság (CIA elv)

Az állam szerepe Állami szempontból az elsődlegesen védendő információs rendszerek a kormányzati rendszerek. A közjó, a közérdek szempontjából pedig elsődleges jelentőségűek az állami információs rendszerek. Az állam, pontosabban a kormányzat fő feladata a közjó, a közérdek szolgálata, a társadalom fennmaradásának biztosítása, valamint a gazdaság működőképessége megőrzésének, illetve fejlődésének elősegítése.

Az állam szerepe Az alap nem maguknak a rendszereknek a védelme, hanem az általuk kezelt (!) (bennük tárolt, általuk feldolgozott, továbbított, gyűjtött, stb.) adatok védelme. Az adatok nem védhetők anélkül, hogy azt az infrastruktúrát ne védenénk, amely lehetővé teszi az adatok „létezését”. Tehát az infrastruktúrát kell védeni. De: mi az, hogy infrastruktúra?

Infrastruktúra Az infrastruktúra USA definíciója, természetesen értelemszerűen hazánkra is vonatkoztatható: „Az infrastruktúrák olyan egymástól függő hálózatok és rendszerek összessége, amelyek meghatározott ipari létesítményeket, intézményeket (beleértve a szakembereket és eljárásokat), illetve elosztó képességeket tartalmaznak. Mindezek biztosítják a termékek megbízható áramlását az Egyesült Államok védelmi és gazdasági biztonságának fenntartása, valamint a minden szinten zavartalan kormányzati munka és a társadalom egésze érdekében.”

Teljes körű védelem Lényeg a védendő adatok/információk szempontjából a teljes körűség! Egyrészt az elektronikus adatok biztonsága, ill. védelme Másrészt a hagyományos, papír alapú (rajz, írás), de pl. a szóban közölt, vagy bármilyen más formában létező adatokra is. Az információs rendszerek mindezen formában megjelenő adatokat kezelik. Így ezeket a rendszereket kell védeni.

Nemzeti adat- és információs vagyon A nemzeti adatvagyon alapvető fontosságú, a nemzet talán legfőbb kincse. Ennek birtokában működik az állam, a társadalom és a gazdaság, illetve e nélkül mindez nem működik. Ez az adatvagyon őrzi a nemzet kultúráját, ezen alapszik a nemzeti identitás, a nemzeti egység. A nemzeti adatvagyon nélkül, mint nemzet nyomtalanul eltűnnénk a föld színéről, csak annyiban maradnánk meg a történelemben, amennyit mások feljegyeztek rólunk. A nemzeti adatvagyon az, amely szükséges (de nem elégséges feltétele az állam újra teremtésének (pl. egy kataklizma után).

Nemzeti adat- és információs vagyon A nemzeti adatvagyon elemei adnak identitást az állampolgároknak, adják meg tulajdonviszonyaikat, vagyoni helyzetüket, társadalomban elfoglalt helyüket, őrzik egészségük, múltjuk, munkájuk, családi, rokoni kapcsolataik, iskolai végzettségük adatait, stb. A nemzeti adatvagyon ránk vonatkozó tételei nélkül gyakorlatilag nem létezünk a társadalom számára. A nemzeti adatvagyon elemei őrzik a gazdasági szereplők adatait, a társadalom és a gazdaság felépítésének, hierarchiájának adatait, az ország nemzetközi közösségben elfoglalt helyének adatait és mindennek dinamikáját.

adat és információs vagyon Megjegyzés: a nemzeti adatvagyon nem azonos a kormányzat által kezelt adatokkal, annál sokkal bővebb. Ugyanakkor nem minden kormányzat által kezelt adat és információ része a nemzeti adatvagyonnak (többnyire az alapadatok a részei, kevésbé a tranzakciós adatok). (N) Nemzeti adat és információs vagyon (K) Közigazgatási adatok és információk Azonosító adatok (M) Minősített adatok és információk

A fő kormányzati feladat A fő feladat tehát a nemzeti adat- és információs vagyon védelme Az adatokat viszont valamilyen infrastruktúra hordozza – kritikus infrastruktúra védelme Az adatokat felhasználás nélkül nem sokat érnek – felhasználás és felhasználók védelme (civil, gazdasági, állami, akadémiai szektor, szektorok egymás közti kapcsolata és a külfölddel való kapcsolat)

A kritikus infrastruktúra és védelme Definíció (2080/2008 Korm hat – Zöld Könyv): „Kritikus infrastruktúrák alatt olyan, egymással összekapcsolódó, interaktív és egymástól kölcsönös függésben lévő infrastruktúra elemek, létesítmények, szolgáltatások, rendszerek és folyamatok hálózatát értjük, amelyek az ország (lakosság, gazdaság és kormányzat) működése szempontjából létfontosságúak és érdemi szerepük van egy társadalmilag elvárt minimális szintű jogbiztonság, közbiztonság, nemzetbiztonság, gazdasági működőképesség, közegészségügyi és környezeti állapot fenntartásában.”

A kritikus infrastruktúra és védelme Definíció folyt (2080/2008 Korm hat – Zöld Könyv): „Kritikus infrastruktúrának minősülnek azon hálózatok, erőforrások, szolgáltatások, termékek, fizikai vagy információtechnológiai rendszerek, berendezések, eszközök és azok alkotó részei, melyek működésének meghibásodása, megzavarása, kiesése vagy megsemmisítése, közvetlenül vagy közvetetten, átmenetileg vagy hosszútávon súlyos hatást gyakorolhat az állampolgárok gazdasági, szociális jólétére, a közegészségre, közbiztonságra, a nemzetbiztonságra, a nemzetgazdaság és a kormányzat működésére.”

A kritikus infrastruktúra és védelme Miért kell védeni? Mert „kritikus” = létfontosságú Infrastruktúra – nem is annyira, az infrastruktúra, mint szolgáltatások, funkciók, folyamatok USA definíció: „Az infrastruktúrák olyan egymástól függő hálózatok és rendszerek összessége, amelyek meghatározott ipari létesítményeket, intézményeket (beleértve a szakembereket és eljárásokat, illetve elosztó képességeket) tartalmaznak. Mindezek biztosítják a termékek megbízható áramlását az Egyesült Államok védelmi és gazdasági biztonságának fenntartása, valamint a minden szinten zavartalan kormányzati munka és a társadalom egésze érdekében” (Critical Foundations Protecting America’s Infrastructures, The Report of the President’s Commission on Critical Infrastructures Protection; Washington, 1997 )

A 2005. július 7-i londoni terrortámadás helyszínei

Kritikus információs infrastruktúra védelem A kritikus infrastruktúrák elleni támadások egyre többször információs hadviselési eszközökkel történnek (pl. London, Madrid, Észtország, Grúzia, Gázai övezet) Ezek közül egyre több a kritikus információs infrastruktúrákat (KII – CII) érinti (USA:Titan Rain, Észtország, Grúzia, Gáza, stb.) Gibson hadviselés -> 4th generation warfare (4GW) - aszimmetrikus hadviselés (stateless), nem hagyományos formák Szintjei: fizikai, mentális, morális Nem államok az államok ellen, Hagyományos katonai összecsapások eltűnnek, Hátország megszűnik (totális háború) Cél: nem a csaták, hanem a közvélemény megnyerése (ld. Orwell: 1984) Módszerei: Gerilla hadviselés, terrorizmus (= aszimmetrikus hadviselés), szabotázsok, Nem hagyományos hadviselési formák, Cyberwarfare! De! Nem csak az információs hadviselési eszközök jelentenek veszélyt a CII szempontjából (pl. természeti katasztrófák, szoftverhibák, emberi tényező! (nem csak social engineering))

Kritikus információs infrastruktúra védelem A kritikus információs infrastruktúrák kiemelt jelentőségűek: A CI minden területen tartalmaz CII-t is: Funkcionális ICT (pl.: IT, távközlés, műsorszórás, távérzékelés, navigáció, irányítás, vezetési és vezérlési rendszerek, stb.) Támogató ICT (pl. energetika, logisztika, bankok, K+F, stb.) ITU ajánlás a CIIP struktúrára A CIIP pillérei, funkciói: Megelőzés, figyelmeztetés Detektálás, észlelés Reagálás Krízis kezelés, „utógondozás”, helyreállítás Megelőzés Detektálás Reagálás Krízis kezelés

Kritikus információs infrastruktúra védelem CIIP szervezet (ITU ajánlás): Állami koordináló szerv – Stratégia és felügyelet Szituáció kezelő központ – Adatgyűjtés és analízis Nemzeti CERT – Információ biztonsági technikai kérdések Nemzeti CERT Szituáció kezelő központ Állami koordináló szerv

Kritikus információs infrastruktúra védelem USA: 2001/09/11 után létrehozza a Department of Homeland Security-t (DHS) Nemzetközi szervezetek: IWWN – International Watch and Warning Network (minden infrastruktúrára) FIRST – Forum of Incident Response Teams TF-CSIRT – Task Force of Computer Security Incident Response Teams ENISA – European Network and Information Security Agency (2004-től létezik, a magyar EU elnökség alatt fogják ismét meghosszabbítani a működési idejét) EU: madridi és londoni robbantások után 2006-ban EPCIP és CIWIN (minden infrastruktúrára!) EPCIP Green Paper (COM (2005) 576 final) EPCIP – European Program for Critical Infrastructure Protection (COM(2006) 786 final – 2006.12.12) EPCIP része a CIWIN - Critical Infrastructure Warning Information Network 114/2008 EK Irányelv az európai kritikus infrastruktúrák azonosításáról és kijelöléséről, valamint védelmük javítása szükségességének értékeléséről – 2008.12.08

Kritikus információs infrastruktúra védelem G8 irányelvek: 1. Az országoknak rendelkezniük kell cyber-sérülékenységekre, -gyengeségekre, -incidensekre vonatkozó vészhelyzet jelző hálózattal. 2. Az országoknak növelniük kell az egyes szereplők tudatosságát annak érdekében, hogy megértsék saját kritikus információs infrastruktúrájuk természetét és mértékét, valamint vállaljanak szerepet azok megvédésében. 3. Az országoknak elemezniük kell infrastruktúráikat, fel kell tárniuk a köztük lévő összefüggéseket, ezzel is növelve a rendszerek biztonságát. 4. Az országoknak ösztönözniük kell az együttműködést a különböző szereplők között – beleértve a magán és az állami szektort –, hogy egymás közt osszák meg a kritikus infokommunikációs hálózatokkal kapcsolatos információikat valamint, hogy megelőzzék és felderítsék az infrastruktúrákat ért támadásokat és reagáljanak a vészhelyzetekre. 5. Az országoknak létre kell hozniuk, és fenn kell tartaniuk egy kríziskezelő hálózatot az informatikai vészhelyzetekre, valamint tesztelniük kell, hogy ez a hálózat az adott vészhelyzet esetén is megbízhatóan, biztonságosan működjön. 6. Az országok tekintsék a kritikus információs infrastruktúra védelem részének az adat-hozzáférhetőségi irányelveket is.

Kritikus információs infrastruktúra védelem G8 irányelvek (folyt): 7. Az országoknak nyomon kell követniük a kritikus infrastruktúra ellen irányuló támadásokat, valamint szükség esetén meg kell osztaniuk információikat más országokkal is. 8. Az országoknak válaszadási képességük javítása érdekében oktatásokat és gyakorlatokat kell tartaniuk, valamint folyamatosan tesztelniük kell az információs infrastruktúrát ért támadás esetére  kidolgozott védelmi terveiket, illetve erre kell ösztönözniük a többi szereplőt is. 9. Az országoknak megfelelő jogi kereteket– mint pl. a Council of Europe CyberCrime Convention, Budapest, 2001. november 23. – valamint képzett személyek rendelkezésre állását kell biztosítaniuk, hogy nyomozzanak és vádat emeljenek az információs infrastruktúrát ért támadások ügyében, illetve szükség esetén együttműködjenek más országok képviselőivel is. 10. Az országoknak az információs infrastruktúrák védelmének érdekében kötelezettséget kell vállalniuk szükség esetén való nemzetközi együttműködésre. Ez magába kell foglalja a vészjelző hálózatok fejlesztését és együttműködését, a sérülékenységeket, veszélyeket érintő információk megosztását és elemzését, illetve a helyi törvényekkel összhangban az infrastruktúra elleni bekövetkezett támadások kinyomozásának összehangolását. 11. Az országoknak támogatniuk kell a nemzeti és nemzetközi kutatásokat és fejlesztéseket valamint ösztönözniük kell a nemzetközi előírásoknak megfelelő biztonsági technológiák alkalmazását.

Kritikus információs infrastruktúra védelem Eddigi hazai jogszabályok (nem naprakész, elsősorban a Ket. miatt): 2004. évi CV. Törvény a honvédelemről és a Magyar Honvédségről 2236/2003 (X. 1.) Korm. határozat a Magyar Honvédség 2004-2013 közötti időszakra vonatkozó átalakításának és új szervezeti struktúrájának kialakításáról 180/2003. (XI. 5.) Korm. Rendelet a Nemzeti Biztonsági Felügyelet részletes feladatairól és működési rendjéről, valamint az iparbiztonsági ellenőrzések részletes szabályairól 2073/2004 (IV. 15.) Korm. határozat a Magyar Köztársaság nemzeti biztonsági stratégiájáról 2112/2004 (V. 7.) Korm. határozat a terrorizmus elleni küzdelem aktuális feladatairól 24/2004. (VIII. 16.) IHM rendelet a védelmi feladatokban részt vevő elektronikus hírközlési, illetve postai szolgáltatók kijelöléséről és felkészülési feladataik meghatározásáról 2151/2005 (VII. 27.) Korm. határozat a Terrorizmus Elleni Akcióterv felülvizsgálatáról 2046/2007 (III. 19.) Korm. határozat a terrorizmus elleni küzdelem aktuális feladatairól szóló 2112/2004 (V. 7.) Korm. Határozat módosításáról 1/2007 (III. 29.) Kormányzati Koordinációs Bizottság határozat 84/2007. (IV. 25.) Korm. Rendelet a Központi Elektronikus Szolgáltató Rendszer és a kapcsolódó rendszerek biztonsági követelményeiről 81/2008 (IV. 4.) Korm. Rendelet a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala létrehozásáról, feladatairól és hatásköréről szóló 276/2006 (XII. 23.) Korm. Rendelet módosításáról 2080/2008 (VI. 30.) Korm. Határozat a Kritikus Infrastruktúra Védelem Nemzeti Programjáról 223/2009. (X. 14.) Korm. rendelet. az elektronikus közszolgáltatás biztonságáról (már hatályon kívül) 2010. évi CLVII. Tv. A nemzeti adatvagyon körébe tartozó állami nyilvántartások fokozottabb védelméről

Kritikus információs infrastruktúra védelem CIP/CIIP hazai koordináció NFM, OKF, KKB PTA CERT (mára már Nemzeti Hálózatbiztonsági Központ – NHK) tevékenysége – Incidenskezelés, OIHF üzemeltetés, „biztonságos internet”, stb. További jogszabály előkészítések, tervek: Parlament előtt a létfontosságú (kritikus ) infrastruktúra védelmi törvényjavaslat Készül az információbiztonsági stratégia és törvény (IBTV) Jogszabály módosítások (pl. Elektronikus hírközlési törvény)

Commission proposes new EU cybercrime law „The European Commission wants to harmonise the laws of EU member states dealing with cyber-attacks. It wants to create a new Directive on attacks on information systems, it said in a statement. The European Commission adopted a 'framework decision' in 2005 that attempted to coordinate laws across Europe on hacking, viruses and denial of service attacks.” http://out-law.com/page-11436

Sik Zoltán Nándor sikzoltan@sikzoltan.com

Függelék:

Az ember a legfontosabb

Otthoni védelem? Otthon mi a kritikus „infrastruktúra”? Egyáltalán van analógia? „Otthoni kritikus infrastruktúra” Család Egészség Tulajdon ház, autó, pénz… és az Adatok???

A digitális világ Robinson Crusoe-ja vs. az „Adatember”

Életünk adatokra épül! Adatokra épül az életünk, ha nincsenek adataink, nem létezünk! (hacsak nem Bhutan-ban élünk…) Miért is? személyi adatok (ID, egészségügy, munkaügy, segélyek, stb.) tulajdonok nyilvántartásai (ingatlan, ingóságok, pénz!) részesedések nyilvántartásai (cég tagság, részvény, stb.) kapcsolataink… Azaz: ha nincsen adatunk, nem is vagyunk (vagy nem azok vagyunk, akik vagyunk…)

Adatainkra kell vigyáznunk! Tehát mire kell legjobban vigyázni? (a szemünk fényén kívül…) És mire van ráhatásunk? Otthoni kritikus „infrastruktúrára” majdnem teljesen. Majdnem minden a felügyeletünk alatt tartható Na meg a biztosító fizet… Kivéve az adataink. Azt nem mi kezeljük. Hanem az állam, bank, szolgáltatók…

Amit tudunk, nekünk kell megtenni! Adataink legalább nálunk ne szivárogjanak! a többivel foglalkozzanak, akik kezelik, mi csak ellenőrizni/ellenőriztetni tudjuk, ha tudjuk… Tehát nekünk mit kell tenni? A biztonság adott szintjét fenntartani De! előtte meghatározni, hogy mi az a szint, amit ésszerűen fenn tudunk tartani Ez legtöbbször pénz kérdése…

Hogyan vigyázzunk? Hogyan? De! + Dokumentum biztonság Volt már szó IT biztonságról, adatvédelemről… De! + Dokumentum biztonság azaz nem dobjuk a kukába a papírra felírt jelszót …CISA auditorok kedvence a kukafosztogatás de amíg a lázlapot mindenki láthatja a kórházban… + Fizikai/környezeti biztonság! Kit engedünk be? Elöl hagyjuk-e az adatainkat? Fenyegetésre hogy reagálunk (pl. silent alarm!)? + Személyi/szervezeti biztonság Kivel állunk szóba? Telefonon? IWIW-en? Chat szobában? vagy a gangon?

Egészséges paranoia! Legalább a privát szféránkat védjük meg!