Biztonságos ország – biztonságos szolgáltató Gencsy Péter igazgató magyar Telekom, Csoport biztonsági igazgatóság 2013.09.30. – strictly confidential / confidential / internal / public – Author / Topic of presentation 01/10/2012
Miért vagyunk fenyegetettek? Terrorizmus és a Magyar Telekom Mert… …Közép-Európa és Magyarország egyik meghatározó vállalata vagyunk …integrált szolgáltatásokat nyújtunk …hatalmas üzleteket kötünk, milliárdos tenderek, akvizíciók, stb. …ügyfélkörünk „igazi kihívást”, értékes célpontot jelenthet (Kormányzat is!) …sok millió személyes adatot kezelünk. …nagyon sok outsourcing partnerünk, külső alvállalkozónk van, a kontrolljuk nehéz. …sajnos nem tudunk eleget költeni a biztonságra. Mennyi az „elég”? … kritikus infrastruktúra („különlegesen fontos”) szolgáltatók vagyunk és kiszolgálunk más kritikus infrastruktúra szolgáltatókat is! levegő cloud kábel rádiófrekvencia optika internet – strictly confidential / confidential / internal / public – Author / Topic of presentation 01/10/2012
ezért Elsőrendű érdekünk Adataink és hálózataink védelme Integrált szolgáltatóként elsőrendű érdekünk – és kötelességünk - ügyfeleink adatainak és a hálózataink védelme. Védenünk kell rendszereinket saját üzleti érdekünkből is és közérdekből is. Magunk is kritikus infrastruktúra vagyunk és számtalan kritikus infrastruktúra működik a hálózatunkban. Szolgáltatásaink folytonosságot követelnek – kiesés üzleti veszteséget jelentene, illetve biztonsági kockázat. Szolgáltatás leállás ügyfeleinknek, üzletfeleinknek is üzleti veszteséget és biztonsági kockázatokat jelenthet.
Kritikus infrastruktúrák – törvényi háttér 2012. évi CLXVI. tv. a létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről 1249/2010. (XI. 19.) Korm. határozat az európai kritikus infrastruktúrák azonosításáról és kijelöléséről 2080/2008. (VI.30. ) Korm. határozat a Kritikus Infrastruktúra Védelem Nemzeti Programjáról Európai Bizottság Zöld könyv (létfontosságú infrastruktúrák védelmére) 2011. évi CXXVIII. tv. a katasztrófavédelemről 1035/2012. Korm. határozat Magyarország Nemzeti Biztonsági Stratégiájáról 2011. évi CXII. tv. az információs önrendelkezési jogról és az információszabadságról 2003. évi C. tv. - az elektronikus hírközlésről
Kritikus infrastruktúrák – törvényi háttér 2012. Évi clxvi. Tv. Kritikus infrastruktúra horizontális kritériumai: Személyi veszteség (áldozatok száma) Gazdasági hatás (pénzügyi kár, szolgáltatás romlás) Társadalmi hatás (lakosság érintettsége) Politikai hatás (közbizalom) Környezeti hatás (épített vagy természeti környezet) Ágazati kritériumok 2014 január 1.-től az „Infokommunikációs technológiák” a BM Országos Katasztrófavédelmi Főigazgatóság hatáskörébe kerülnek Jelenleg az infokommunikáció nem létfontosságú rendszerelem! Az OKF dönthet, melyek a kritikus infrastruktúrák - csak a kijelölési eljárás után válhatunk azzá (gyors döntés szükséges, törvényi határidő!!)
A Magyar Telekom mint Kritikus infrastruktúra A vezetékes, mobil távközlési szolgáltatásaink fokozottan védendő folyamatok Ezek folyamatos biztosításához elengedhetetlen egy nagy megbízhatósággal működő távközlési hálózat A berendezéseink működésképtelenné válása, megsemmisülése igen komoly károkat okozhat A MT lehet célpont is, de a hálózatainkon keresztül is indíthatnak támadásokat Ezért nagyon fontos, hogy mind ügyfeleinket, mind vállalatunkat magas biztonsági szintű védelemmel támogassuk De nem csak terrorista célpontok lehetünk…
Globális célpontok, globális fenyegetések, globális támadások Kiber kémkedés
Veszélyek, fenyegetések Gencsy Péter igazgató Magyar Telekom, Csoport biztonsági igazgatóság
hatósági elvárások a Kritikus infrastruktúra szolgáltatók felé Informatikai üzletmenet folytonossági terv (BCP) és katasztrófa- helyreállítási terv (DRP) kidolgozása, dokumentációja, karbantartása, tesztelése. A belső informatikai folyamatok előírás és szabvány szerinti fenntartása, dokumentációja és kontrollja. Incidenskezelési kötelmek Bejelentések kezelése, megszabott határidejű beavatkozás, visszajelzés Részvétel hatósági munkacsoportokban Incidenskezelő rendszer használata Adatszolgáltatás Együttműködés a CERT-tel 2014. január 1-től
A magyar Telekom meglévő biztonsági, ill A magyar Telekom meglévő biztonsági, ill. a biztonságot szolgáló rendszerei A MT nagyon magas biztonsági szinten szolgáltat, nemzetközi standardokat alkalmaz: ISO 27001, Információ Biztonsági Irányítási Rendszer (ISMS) (2008) ISO 22301, Üzletmenet-folytonosság (BCMS) (2010, tanúsítvány: 2014) Katasztrófa elhárítási tervek (DRP) (2003) Hálózati katasztrófa elhárítási tervek Informatikai katasztrófa elhárítási tervek Incidenskezelés (2008) Hatósági adatszolgáltatás (1993) Teljes hálózatfelügyelet (vezetékes, mobil, TV) a menedzsment rendszereken (2008) Együttműködés a CERT-tel
Csak komplex biztonsági rendszerben szabad gondolkozni!! Védelmi megoldásaink Épületek biztonsági osztályba sorolása, hierarchikus kulcsrendszer, beléptető rendszer IT rendszerek biztonsági osztályba sorolása Kiemelt kábelvédelem, gerinchálózat védelme, megszakító létesítmények védelme Rádiós hálózatvédelem Támadás detektálás Központi LOG gyűjtés és elemzés, NAC bevezetve, DLP előkészítés Kockázatkezelés, BCM, DRP, CM ISO 27001 tanusítás (ISMS), komplex jogosultságkezelés Sebezhetőség vizsgálatok Irodai környezet védelme Komplex biztonsági szabályozási rendszer Biztonság tudatosítás (belsők és partnerek) … Csak komplex biztonsági rendszerben szabad gondolkozni!!
Magyar Telekom Hálózat menedzselő központ (NOC)
Dilemmák Standardok, biztonsági szintek, arányosság Egységes nemzetközi (EU) és hazai biztonsági standardok és definíciók hiánya Biztonsági szintek és az arányosság kérdése (piac - állam - EU) -> Kire vonatkozik? (Technológia? Felhasználó?) Kinek mi az érdeke?
Dilemmák – felelősség és szerepek Hol a határ? Meddig tart a piac felelőssége, és hol kezdődik az államé? A piac felelősségének határa: ami üzleti racionalitással, működés mellett vállalható Az állam szerepe: egy ország szempontjából létfontosságú rendszerek védelme és felügyelet, koordináció, követelménytámasztás, kontroll, audit, stb. A BIZTONSÁG ÉRTÉKE Piaci logika szerint: a kockázatokkal arányosnak kell lennie a ráfordításoknak Állami logika szerint: a lehető legmagasabb biztonsági szint közérdek (vs. forráshiány) Vagy az igénybevevő (felhasználó) fizesse a biztonság költségeit?
Költségek A legfontosabb kérdés: Ki fizesse a biztonság költségeit? A biztonság értéke A legfontosabb kérdés: Ki fizesse a biztonság költségeit? Hol a határ? Alapvetés: Annyit érdemes rákölteni, amennyit az információ ér (üzleti megközelítés), és… Biztonság értéke: Amekkora kár érhet bennünket egy káresemény során, kockázatelemzés (üzleti megközelítés)
A biztonság pénzbe kerül. Nagyon sok pénzbe, de… A biztonság alapérdekünk Határ a csillagos ég, de sok mindent tehetünk, ami emeli a védelmi szintet és nem kerül pénzbe… Nincs 100%-os védelem, de lépni felé, közelíteni igenis lehet! Mi is erre törekszünk. Felelősségek? (Állam, Szolgáltatók, Gyártók) „Menedzsment” (politikai) felelősség: mit vállalunk fel mint kockázat?
Összefoglalás Rendkívüli komplexitású hálózatot érő, globális támadások ellen kell védekeznünk Globális rendszerben kell gondolkodni A Magyar Telekom kritikus infrastruktúra és számtalan kritikus infrastruktúrát szolgál ki. Az érdekeltek mindegyikének folyamatosan együtt kell működni Világos elvárások, szabályok, kontrollok, auditok, tanúsítás Mi van a fejekben? - tudás, tudatosítás, tudatosság A Magyar Telekom csoport tisztában van a felelősségével. Magas technológiai szint Szervezett, globális üzemeltetési rendszer Magasan képzett, tudatos, folyamatosan fejlesztett munkatársak Legjobb iparági gyakorlatok (DT) alkalmazása Nagyon jelentős mértékű tartalék erőforrás
De egyedül nem megy! CSAK EGYÜTT, VELED
Csoport biztonsági igazgató +36 30 921 0686 gencsy.peter@telekom.hu Gencsy Péter Magyar Telekom Csoport biztonsági igazgató +36 30 921 0686 gencsy.peter@telekom.hu – strictly confidential / confidential / internal / public – Author / Topic of presentation 2013/01/10 – strictly confidential / confidential / internal / public – Author / Topic of presentation 01/10/2012