Információbiztonság az Európai Unióban Kenézy Csaba irodavezető MeH Elektronikuskormányzat-központ ZMNE Budapest 2007. november 27.

A MeH EKK szerepe, feladata Az elektronikusan elérhető szolgáltatások körének további bővítése, szintjének emelése, a pán-európai szolgáltatások kialakítása, az elektronikus szolgáltatások igénybe vételének ösztönzése, a hozzáférés lehetőségeinek szélesítése A Központi Elektronikus Szolgáltató Rendszer (Elektronikus Kormányzati Gerinchálózat, Kormányzati Portál, Ügyfélkapu, Kormányzati Ügyféltájékoztató Központ) megerősítése, funkcióbővítése, az e-közigazgatási közmű kialakítása Infrastruktúra, hálózatok egységesítése, a központi adatbázisok konszolidációja, az informatikai üzemeltetés központosítása Egységes Kormányzati Ügyféltájékoztató Központok (EKÜK) kialakítása Informatikai kultúra emelése a közigazgatáson belül, valamint a távmunka és a távoktatás feltételeinek megteremtése Korszerű technikák és technológiák alkalmazásba vétele (mobilkommunikáció, digitális TV stb.) A biztonsági és adatvédelmi követelmények érvényesítése Kormányzati Infokommunikációs Védelemszervezési feladatok ellátása Talán első látásra nem mindenki számára világos, hogy miért is vállalja magára a MeH EKK az elektronikus hírközlés védelmi feladatainak szervezését, koordinálását. Az EKK fő feladata az elektronikus kormányzat megvalósításával, a közigazgatási informatika országos szintű fejlesztésével és működtetésével kapcsolatos egységes kormányzati tevékenység irányítása. Ez azt jelenti, hogy hivatalunk, valamint a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatalán keresztül a kormányzati informatika és hírközlés, mint magas prioritású elektronikus szolgáltatásokkal kapcsolatos tevékenységet végez, és ezáltal az elektronikus hírközlés piacán jelentős megrendelőként van jelen. Ez egyben azt is feltételezi, hogy ezen szolgáltatások biztonságos fenntartásában mi is maximálisan érdekeltek vagyunk, amelyben a legteljesebb mértékű partnerséget kívánjuk kialakítani a szektor felügyeletét ellátó Gazdasági és Közlekedési Minisztériummal, valamint a hatósági tevékenységet végző Nemzeti Hírközlési Hatósággal. A MeH EKK fontosabb, releváns tevékenységei a következők:  a) Kormány részére előterjesztések készítése; b) a Kormány közigazgatási informatikai stratégiájának kidolgozása, a végrehajtáshoz szükséges feltételek megteremtésének kezdeményezése; c) az egységes digitális rádiótávközlő rendszerrel kapcsolatos feladatok koordinálásáról; d) közigazgatási elektronikus azonosítási rendszer megvalósítása és a 112-es sürgősségi rendszerre alapozott tevékenységi rendszerek integrációja; e) az elektronikus kormányzati gerinchálózattal kapcsolatos feladatokat; A Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatalán keresztül közvetve olyan nagy rendszerek koordinálásában is részt veszünk, mint a személyi adat- és lakcím-nyilvántartási, útiokmány-nyilvántartási, bűnügyi nyilvántartási és egyéb nagy adatbázis rendszerek fenntartása, kormányzati frekvenciagazdálkodási feladatok. A digitális televíziózás bevezetése lehetővé teszi a légiriasztási rendszer korszerűsítését és a katasztrófariasztási rendszerrel való integrálását.

Informatikai biztonság Információvédelem (NATO előírások szerint – C-M(2002)49 ) személyi védelem fizikai védelem INFORMATIKAI BIZTONSÁG elektronikus információvédelem dokumentumvédelem elhárítás (iparvédelem) Az informatikai biztonság NATO által felállított, és általunk is használt definíciója szerint, az IT biztonság: : Az infokommunikációs rendszer olyan – az érintett számára kielégítő mértékű – állapota, amelynek védelme az infokommunikációs rendszerben kezelt adatok bizalmassága, sértetlensége és rendelkezésre állása, valamint a rendszer elemeinek sértetlensége és rendelkezésre állása szempontjából zárt, teljes körű, folytonos és a kockázatokkal arányos. - Bizalmasság az adat tulajdonság, amely arra vonatkozik, hogy az adatot csak az arra jogosultak ismerhessék meg, illetve rendelkezhessenek a felhasználásáról. - Sértetlenség az informatikai rendszerelem (ideértve az adatot is) tulajdonsága, amely arra vonatkozik, hogy az adat fizikailag és logikailag teljes. Rendelkezésre állás az informatikai rendszerelem (ideértve az adatot is)tulajdonsága, amely arra vonatkozik, hogy az informatikai rendszerelem a szükséges időben és időtartamra használható. Az informatika biztonság egyes elemivel azok fontossága miatt egy-egy hatóság foglakozik, annak érdekében, hogy a folytonos védelem megszakítás nélkül biztosítható legyen.

Ki és mi fenyeget? Természetesen a forrás a motiváció és a tevékenység itt vegytisztán szerepel, a valóságban a motiváció többféle lehet.

Miért kell? Muha Lajos, Gábor Dénes Főiskola

SZEKTORIÁLIS MEGKÖZELÍTÉS MAGÁNSZFÉRA RÉSZVÉTELE A HAZAI ÉS EURÓPAI KRITIKUS INFRASTRUKTÚRA VÉDELMI PROGRAMOK VÉGREHAJTÁSÁNAK ALAPELVEI SZEKTORIÁLIS MEGKÖZELÍTÉS ARÁNYOSSÁG SZUBSZIDIARITÁS GKM vezetésével elkészült egy magyarországi Zöld Könyv a hazai kritikus infrastruktúra védelem elméleti kérdéseiről. Szakértői albizottságok keretében - az ágazati kritikus infrastruktúra elemek felmérése, valamint azok fenyegetettségének beazonosítása (MeH EKK az információs- és kommunikációs technológiák szakértői feladatait koordinálja az érintett szervezetek bevonásával). Az Igazságügyi és Rendészeti Minisztérium megalkotja a magyarországi kritikus infrastruktúrák szabályozására vonatkozó jogszabály tervezetét. Az ÖTM Védelmi Titkársága, valamint az Országos Katasztrófavédelmi Főigazgatóság előterjesztést készít a kormány részére. Szektorális megközelítés (ágazati definíciók, veszélyeztetettség, védelem elemzése) Arányosság (legnagyobb kockázatra összpontosít, fenyegetés mértéke, költség-haszon, meglévő intézkedések hatékonysága) Szubszidiaritás (a már meglévő és működő – informatikai - biztonsági elemek helyett nem kerülnek újak kialakításra) Komplementaritás (már létező intézkedéseket, szabályozást egészíti ki) Bizalom/titkosság (CIP információ need-to-know alapján) Partneri együttműködés (infócsere, állami szervek és CI üzemeltetők közötti PPP) KOMPLEMENTARITÁS BIZALMASSÁG MAGÁNSZFÉRA RÉSZVÉTELE

Kritikus Infrastruktúra Védelem I. Energia II. Infokommunikációs technológiák III. Közlekedés IV. Víz V. Élelmiszer VI. Egészségügy VII. Pénzügy VIII. Ipar IX. Jogrend – Kormányzat X. Közbiztonság - Védelem A kritikus infrastruktúra védelmének kérdéseivel elsősorban az USA-t, 2001 szeptember 11-én, valamint Európát ért támadások után került a biztonsági kérdések értelmezésének központjába. Mi is a Kritikus Infrastruktúra védelme? a kormány, az infrastruktúra tulajdonosok és üzemeltetők által alkalmazott programok és tevékenységek a rendszerek működőképességének és az elemek biztonságának garantálására, kockázatok csökkentésére irányul informatikai, fizikai, személyi és eljárás jellegű elemzési, tervezési, végrehajtási és ellenőrzési védelmi intézkedések A Kritikus Informatikai infrastruktúra védelme (CIIP- Critical Information Infrastructure Protection) kiemelt figyelmet élvez a kritikus infrastruktúra védelmen belül, tekintettel arra, hogy az informatika minden kritikus rendszer alapját képezi egyben. Mit tekintünk tehát része a Kritikus Infrastruktúra Védelemnek: olyan rendszerek, eszközök és erőforrások védelme, amelyek kritikus információs infrastruktúraként kerültek azonosításra a kritikus információs infrastruktúra elemek biztonságának garantálására, kockázatok csökkentésére irányuló informatikai, fizikai, személyi és eljárás jellegű elemzési, tervezési, végrehajtási és ellenőrzési védelmi intézkedések

AZ EU BIZOTTSÁG ÁLTAL AZONOSÍTOTT KRITIKUS INFRASTRUKTÚRA SZEKTOROK Alszektor I Energia 1 Olaj és gázkitermelés, olajfinomítás, energiahordozók tárolása, és elosztóhálózatok 2 Elektromosáram termelés és továbbítás I/A Nukleáris ipar 3 Nukleáris anyagok termelése, tárolása, feldolgozása II. Infokommuniká-ciós technológiák IT rendszer és hálózati védelem Távfelügyeleti automatizált rendszerek (SCADA etc.) Internet Fix hálózati telefonszolgáltatás Mobiltelefon szolgáltatás Rádiókommunikációs és navigációs szolgáltatások Műholdas összeköttetések biztosítása Műsorszolgáltatás STB.

Üzemeltetői biztonsági tervek (OSP) Védelem fejlesztése Üzemeltetői biztonsági tervek (OSP) Az OSP-nek azonosítania kell az Európai kritikus infrastruktúra elemeket, és megfelelő biztonsági megoldásokat kell tartalmaznia azok védelme érdekében. Az alapvető tartalmi elemek a következők:: A fontos elemek azonosítása; Az infrastruktúrát fenyegető nagyobb kihatású veszélyeztetettségi forgatókönyvek, sérülékenység és potenciális következmények alapján készített kockázatelemzés Az ellenlépések és eljárásrend kiválasztása, azonosítása, és priorizálása, különbséget téve a(z): Állandóan hatályos intézkedések A fokozatosan hatálybaléptetett intézkedések között Szektorspecifikus követelményrendszer felállítása az OSP-k összeállítása során a Bizottság komitológiai eljárása keretein belül történhet Tartalma Ellenőrzés Minden tagállam köteles egy olyan rendszert kiépíteni, amely biztosítja az OSP-k megfelelő és rendszeres ellenőrzését, és végrehajtását Biztonsági Kapcsolattartó személy A biztonsági kérdésekkel kapcsolatban kapcsolattartóként működik közre az ECI tulajdonos/üzemeltető, valamint a tagállam vonatkozó kritikus infrastruktúra elemét felügyelő tagállami hatóság között A tagállamokból információhoz jut az illetékességébe tartozó, beazonosított kockázatokról és fenyegetettségekről Szerepe

A CIP koordinációja Egy olyan EU szintű mechanizmus szükséges, amely elősegíti az EPCIP program megvalósítását szolgáló intézkedések koordinációját és a szükséges együttműködés ágazati szinten is. CIP kontaktcsoport létrehozása A CIP kontaktcsoport a tagállamok által kijelölt kapcsolattartó szervezetek képviselőiből áll össze, a csoport elnöki teendőit az EU Bizottság látja el Minden tagállam kijelöl egy CIP kontaktpontot, amely a tagállamon belül koordinálja a CIP-pel kapcsolatos feladatokat, illetve kapcsolatot tart más tagállamok társszervezeteivel, illetve a Bizottsággal. A CIP kontaktpont kijelölése nem zárja ki az ágazati szakértők részvételét a CIP témakörök szakértői tevékenységéből

AZ EPCIP DIREKTÍVA TERVEZET STRUKTÚRÁJA Közös eljárásrend kialakítása: 3. Az Európai kritikus infrastruktúra biztonságának növelésére vonatkozó intézkedések 2. Az Európai kritikus infrastruktúra kijelölése 1. Az Európai kritikus infrastruktúra (ECI) azonosítása ECI – olyan kritikus infrastruktúra elemek amelyek kiesése, vagy megsemmisülése jelentős negatív hatással van: Két vagy több tagállamra, vagy Egy tagállamra, amennyiben a kritikus infrastruktúra elem egy másik tagállam területén helyezkedik el. A fentiek magukba foglalják az ágazatközi kölcsönös függőségeket is

CIIP – Kritikus Informatikai Infrastruktúra Védelem AZ IT BIZTONSÁG ÉS A KRITIKUS INFRASTRUKTÚRÁK INFORMATIKAI BIZTONSÁGÁT SZOLGÁLÓ ESZKÖZÖK CIIP – Kritikus Informatikai Infrastruktúra Védelem (EPCIP – európai, NKIV - hazai program) NHH Országos Informatikai és Hírközlési Főügyelet CERT Hungary-központ NATO kiberterrorizmus elleni védelem (Észtország) A kritikus infrastruktúrák védelméről szóló jogszabály kijelöli a kritikus infrastruktúra védelem össz-kormányzati szintű koordinációjáért felelős szervet az ágazati koordinációért felelős minisztériumokat, meghatározza ezek (kritikus infrastruktúra védelemmel kapcsolatos) feladat- és hatáskörét, szabályozza valamennyi (kritikus infrastruktúra védelemben) érintett szereplő jogait és kötelezettségeit. kialakítja a több ágazatot érintő kritikus infrastruktúra védelmi fogalmakat. A CERT (Computer Emergencies Response Team) és a Hírközlési Főügyelet folyamatos ügyeletet biztosít és kölcsönös tájékoztatást ad az érintetteknek egy esetlegesen bekövetkező eseményekről. A CERT ügyelet azon túlmenően, hogy detektálja az esetleges informatikai támadásokat szüksége esetén határainkon túl is leállíthat szervereket, amelyekről a támadást okozzák. A tevékenység a kormányzati CERT-ek együttműködésének eredménye. Az Észtországot ért informatikai támadás elhárításában is részt vett a CERT Hungary központ. A NATO ezt a támadást tekinti az első informatikai támadásnak, ami NATO országot ért. Ugyanakkor számos kérdést vet fel, hogy milyen módon lehet értelmezni a támadást pl: az 5. cikkelyt, azaz ki is a támadó? A NATO vizsgálja az eseményt a tanulságok levonása céljából.

A CERT-Hungary Központ szerepe a magyar CIIP-ben Államigazgatási és kormányzati szervezetek – Támogatott szervezetek, állami finanszírozás Kritikus információs infrastruktúrát üzemeltető privát szervezetek – Szolgáltatási szerződés Biztonsági tudatosság növelés – Közhasznú tevékenység: www.biztonsagosinternet.hu konferenciák rendezése, támogatása (Hacktivity) A megfelelő szintű IT-biztonság csak úgy teremthető meg, ha az társadalmi méretekben egyenszilárdságú. Ennek elérése szakmailag felkészült támogató csoportok – ún. CERT-ek (Computer Emergency Response Team) vagy CSIRT (Computer Security Incident Response Team) – kialakítását, és működtetését végezzük a MeH felügyelete alatt álló Puskás Tivadar Közalapítvány közreműködésével. A CERT-HUNGARY KÖZPONT nemzetközi téren is aktívan közreműködik a kormányzati hálózatbiztonsági központok munkájában: 2007. február 2. hatállyal a Központot felvették az Európai Kormányzati Cert-ek Csoportjába (EGC), továbbá teljes jogú tagja a Magyarország mellett a 14 legfejlettebb állam kormányzati szerveit tömörítő International Watch and Warning szervezetnek, melynek éves konferenciáját 2006 október 25-27. között Budapesten a CERT-HUNGARY KÖZPONT rendezte meg.   Ebben a tekintetben kiemelt feladatként jelentkezik a CERT tevékenység és a katasztrófa védelem összehangolása, valamint a specifikus K+F feladatok végrehajtása. A CERT-HUNGARY KÖZPONT emellett a kritikus információs infrastruktúrák védelme terén is fontos szerepet tölt be, mivel a 27/2004. (X.6.) számú IHM rendelet 19/2005. (XII.27.) számú módosítása folytán a PTA CERT-Hungary Központ, mint közreműködő szervezet látja el az Országos Informatikai és Hírközlési Főügyelet ügyeleti feladatait.

EDR, TETRA RENDSZER NOKIA TMR 880 SEPURA SRH3800s NOKIA THR 880 - készenléti célokra alkalmazott, - Zártcélú hálózaton megvalósított. - Vezetett (diszpécser által irányított). - egységes digitális rádió-távközlő rendszer , amely megfelel az EU Schengeni előírásainak és a készenléti szervezetek követelményeinek. - Országos lefedettséget biztosít (Metró vonalakon is). - Növeli az információ biztonságot (titkosított összeköttetés a vezeték nélküli szakaszon). - Több szervezet használhatja a rendszert egyidejűleg. - Lehetővé teszi a felhasználó szervezetek közötti rádiós együttműködést. - Igen nagy számú forgalmi csoport kiszolgálására képes. - Beszéd és adat átvitelére egyaránt alkalmas. - Több, különböző szolgáltatást biztosít ( külső hálózathoz való hozzáférést, adatbázisokhoz való hozzáférés lehetőségét SDS és TCP/IP segítségével, egyéni hívásokat jogosultságtól függően akár más felhasználó szervezetekkel is.) - Készülékek közötti közvetlen üzemmód is lehetséges hálózat hiányában (DMO). - Igen nagy hibatűrő képesség (digitális technológia előnyeinek felhasználásával) Sepura gateways mobil Motorola MTM800

KTIR rendszer – A védelmi igazgatás védett informatikai rendszere A K-600 Védelmi Igazgatás Távközlési Informatikai Rendszere: zártcélú hálózaton valósul meg (virtuális magán hálózat) az Elektronikus Kormányzati Gerinchálózatot veszi igénybe nagy megbízhatóságú rendszer, tükrözött szerverekkel (városon kívül, kormányzati védett objektumban) K-600 KTIR rendszer: K600 Védelmi Igazgatás Távközlési Informatikai Rendszer jelenleg a kormányzati védett objektumot és a Védelmi Bizottságokat látja el távközléssel, valamint az informatikai rendszer közel 100 végponttal működik, további előkészített munkahelyekkel rendelkezik a védett kormányzati objektumban. A rendszer adatbázisok, valamint kollektív display segítségével teszi lehetővé a hatékony vezetést minősített időszak esetén. Fejlesztési irány egységes IP alapú távközlést biztosító megoldás a HM az ÖTM, IRM zártcélú felhasználói számára, beleértve a Védelmi Bizottságokat is, valamint az adatbázisok szélesebb körű hozzáférés lehetőségének bővítése, valamint más korszerű megoldások biztosítása, mint pl: videó konferencia lehetősége. EDR kapcsolat létesíthető diszpécseren keresztül, vagy automatikus hívással jogosultságtól függően.

Az Ügyfélkapu biztonsága Az Ügyfélkapu Biztonsági alapelve: - a kockázattal arányos, szükséges és elégséges mértékű biztonság garantálása - az azonosítás az online banki rendszerekkel azonos biztonságú - a legnagyobb biztonsággal képes jogosulatlan hozzáférések kiszűrésére és megakadályozására mind a regisztrációs kóddal, mind az elektronikus aláírással történő azonosítás esetében - a személyes adatok és a továbbításra kerülő információk az Ügyfélkapu rendszerében még az üzemeltetők számára sem hozzáférhetők - a független minőségbiztosító szervezet, valamint adatvédelmi szakértők bevonásával a biztonsági és adatvédelmi szabályok betartásának folyamatos figyelése, szükség esetén azonnali intézkedések megtétele Az Ügyfélkapu indulása (2005. április 1.) óta a rendszer - több mint 20 millió tranzakciót bonyolított le egy év alatt - és biztonsággal összefüggő probléma nem merült fel! Az ügyfélkapu folyamatos fejlesztése a feladatunk, annak érdekében, hogy a lakosság minél szélesebb körben, megbízhatóan tudja intézni hivatalos ügyeit. A kialakításnál további szempont, hogy a hivatalok a kapott adatokat hatékonyan tudják feldolgozni. Jelenleg hétköznaponként több mint 100.000 tranzakció zajlik e rendszereken keresztül. A biztonságot több szintű védelemmel, hardveres, szoftveres védelemmel van ellátva. A felhasználó és a szervezet (pl.: APEH) között titkosítással van ellátva az ügyfél adata. Ebben az esetben az APEH nyílt titkosítási kulcsával van védve az információ. Az ügyfél is kérheti a Hivataltól, hogy a választ titkosítva kapja, azaz csak Ő tudja olvasni a Hivatal válaszát.

Országgyűlés MEH EKK GKM Kormány ÖTM KKB OKF Védelmi Bizottságok Ügyelet NHH és Területi szervei SZOLGÁL- TATÓK: TÁVKÖZLÉS INFORMATIKA Együtt: INFOKOMMUNIKÁCIÓ Helyi önkormányzatok

Védelemszervezési Tevékenység EU Bizottságokban való részvétel ENISA, CIIP, GALILEO Security Board, NATO CCPC (NATO Polgári Távközlési Tervező Bizottság) Kritikus infrastruktúra védelme, CBRN hatások felszámolására való felkészülés, Polgárvédelem infokommunikációs támogatása Lakosság riasztása, elsődleges beavatkozó erők értesítéseúj technológiákkal Veszélyhelyzeti tervezés a szolgáltatóknál, koordináció)

Védelemszervezési Irodavezető Köszönöm a figyelmet! Kenézy Csaba Védelemszervezési Irodavezető Tisztelt kollégák, köszönöm a figyelmüket. Ezúton kívánok eredményes együttműködést az elkövetkezendő időben. Meggyőződésem, hogy ez a fórum kiváló alkalmat nyújt a területen dolgozó szakemberek szakmai kapcsolatainak és véleményeinek cseréjére. Ehhez a munkához a MEH EKK részéről örömmel járulunk hozzá.