Cybersecurity Forum 2018 SPOTKANIE MENADŻERÓW CYBERBEZPIECZEŃSTWA

Transkrypt

1 Cybersecurity Forum 2018 SPOTKANIE MENADŻERÓW CYBERBEZPIECZEŃSTWA Współpraca w zakresie wymiany informacji i zarządzania incydentami Magdalena Górnisiewicz

2 Dyrektywa NIS DYREKTYWA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii Operatorzy usług kluczowych Energia elektryczna infrastruktura rynków finansowych energetyka Ropa naftowa lotniczy gaz wodny transport zaopatrzenie w wodę pitną i jej dystrybucja drogowy infrastruktura cyfrowa rejestry nazw TLD IXP dostawcy usług DNS Dostawcy usług cyfrowych Internetowa platforma handlowa Wyszukiwarka internetowa Usługa przetwarzania w chmurze bankowość kolejowy służba zdrowia

3 Dyrektywa NIS Najważniejsze zmiany dla ekosystemu cyberbezpieczeństwa

4 Dyrektywa NIS sieć CSIRT art. 12 Dyrektywy NIS przedstawiciele CSIRT państw członkowskich, CERT-EU i Komisja jako obserwator Sekretariat prowadzi ENISA Zadaniem Sieci jest wzmacnianie współpracy operacyjnej pomiędzy Państwami Członkowskimi

5 FI ISAC Europejski ISAC w sektorze finansowym Europejskie Centrum Analizy Wymiany Informacji sektora finansowego, zostało utworzone w 2008 r. z inicjatywy Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji (ENISA) Niezależna organizacja Krajowi przedstawiciele sektora finansowego, narodowe i rządowe zespoły CERT, a także z reprezentantów europejskich organów i instytucji, takich jak: Komisja Europejska, Europejski Bank Centralny (ECB), Europejska Rada ds. Płatności (EPC) i Europol Spotkania dwa razy do roku, lista mailongowa Wymiana i analiza informacji o incydentach (TLP) Śledzenie aktywności cyberprzestępczej, która jest skierowana bezpośrednio na sektor finansowy; Wymiana informacji o lukach w zabezpieczeniach systemów bankowych i kart płatniczych; Tworzenie raportów na temat incydentów bezpieczeństwa; Dzielenie się doświadczeniami i dobrymi praktykami wyciągniętymi z poprzednich incydentów i zdarzeń

6 EE ISAC Europejski ISAC w sektorze energetycznym Grudzień podmioty - organizacje rządowe i instytucje publiczne, ale również prywatne przedsiębiorstwa, organizacje non-profit i ośrodki akademickie Wymiana i analiza danych o zagrożeniach w czasie rzeczywistym; Tworzenie raportów na temat incydentów bezpieczeństwa; Wymiana doświadczeń technicznych i operacyjnych wraz z zastosowanymi rozwiązaniami; Dzielenie się wnioskami i doświadczeniami wyciągniętymi z zaistniałych incydentów oraz zagrożeń Spotkania dwa razy w roku (model circles of trust ), platforma do wymiany informacji o incydentach Budowanie sieci eksperckiej pomiędzy organizacjami uczestniczącymi w tej inicjatywie

7 ECCSA Europejski ISAC w sektorze lotniczym Luty 2017 r. Inicjatywa sektora prywatnego, ale zaproszono także regulatorów Europejska Agencja ds. Bezpieczeństwa Sieci i Informacji (ENISA), Europejska Agencja Bezpieczeństwa Lotniczego (EASA) Procedowany jest governance framework

8 ISAC (Centra Wymiany i Analizy Informacji) Mechanizm zaproponowany w Stanach Zjednoczonych Centra wymiany wiedzy budowane wokół różnych sektorów gospodarki (np. finansowego, lotnictwa, czy energetyki), których zadaniem jest zrzeszanie instytucji w celu wymiany doświadczeń o zagrożeniach Często są to organizacje nieformalne i non-profit W 1993 i 1995 r. ataki terrorystyczne na World Trade Center (w wyniku eksplozji ciężarówki zginęło 6 osób, ponad tysiąc natomiast zostało rannych) i Oklahoma City (wybuch ciężarówki spowodował zawalenie się znacznej części siedmiopiętrowego budynku) 1996 Prezydencka Komisja do spraw Zabezpieczenia Infrastruktury Krytycznej (President s Commision on Critical Infrastructure Protection, w skrócie PCCIP) 1997 raport: za największe zagrożenie i wyzwanie dla amerykańskiej infrastruktury krytycznej uznano systemy teleinformatyczne i sieć Internet 22 maja 1998 r., prezydent Clinton podpisał Dyrektywę nr 63, w której zobowiązał wszystkie sektory infrastruktury krytycznej do utworzenia ISAC. W 2003 r. utworzono Narodową Radę ISAC (National Council of ISACs) zrzeszającą wszystkie ISAC sektorowe w celu wzmacniania współpracy i wymiany informacji pomiędzy sektorami

9 ISAC (Centra Wymiany i Analizy Informacji) Projekt: Cooperative Models for Public Private Partnership (PPPs) and Information Sharing and Analysis Centers (ISACs) kwiecień październik Państw członkowskich

10 ISAC (Centra Wymiany i Analizy Informacji)

11 ISAC (Centra Wymiany i Analizy Informacji) SEKTOR PRYWATNY Dzielenie się widzą na temat zagrożeń i incydentów (wzrost bezpieczeństwa organizacji) Wymiana doświadczeń i najlepszych praktyk Dostęp do wiedzy i doświadczenia SEKTOR PUBLICZNY Wiedza na temat poziomu cyberbezpieczeństwa w sektorach krytycznych Możliwość ustalenia jednego punktu kontaktowego z biznesem Lepsze zrozumienie potrzeb sektora prywatnego Nettworking

12 Ćwiczenia Cyber Europe ćwiczenia organizowane przez Europejską Agencję ds. Bezpieczeństwa Sieci i Informacji (ENISA) testowanie procedur zarządzania kryzysowego w obliczu międzynarodowego kryzysu cybernetycznego zespoły CERT, agencje zarządzania kryzysowego, regulatorzy sektorowi i sektor prywatny table top exercises 2010 roku, w 2012 roku ćwiczenia dotyczyły sektora bankowego, w 2014 roku - sektora energetycznego i telekomunikacyjnego, natomiast w 2016 roku w ćwiczeniu wzięli udział dostawcy Internetu i firmy z sektora bezpieczeństwa IT, w 2018 sektor lotniczy

13 Blueprint zarządzanie kryzysowe w obliczu incydentów cybernetycznych na dużą skalę 13 września 2017 zalecenia KE w sprawie skoordynowanego reagowania na incydenty i kryzysy cybernetyczne na dużą skalę Blueprint został skonstruowany w oparciu o cztery zasady przewodnie: PROPORCJONALNOŚĆ - oznacza, że większość ataków nie spełnia kryteriów ani kryzysu na szczeblu krajowym, ani międzynarodowym, a co za tym idzie: podstawę współpracy państw członkowskich stanowić będzie sieć CSIRT; POMOCNICZOŚĆ - oznacza, że główna odpowiedzialność za reagowanie na kryzysy cybernetyczne leży po stronie państw członkowskich, a organy UE (m.in. Komisja, Europejska Służba Działań Zewnętrznych) tylko je w tym wspierają, w myśl uzgodnionych wcześniej procedur i obowiązujących przepisów prawa; KOMPLEMENTARNOŚĆ - oznacza, że Blueprint jest komplementarny w stosunku do funkcjonujących już procedur UE (m.in. zintegrowane uzgodnienia UE dotyczące reagowania na szczeblu politycznym w sytuacjach kryzysowych - IPCR, mechanizm reagowania kryzysowego ESDZ); POUFNOŚĆ INFORMACJI - oznacza, że wszelka wymiana informacji w ramach opisanych w dokumencie procedur musi być zgodna z obowiązującymi zasadami bezpieczeństwa. 3 poziomy działania: 1. Poziom techniczny Dotyczy postępowania w odniesieniu do incydentu (procedury umożliwiające wykrywanie i analizowanie incydentu, ograniczenie jego skutków oraz reakcję) oraz monitorowania incydentu i nadzoru (łącznie z analizą zagrożeń i ryzyka). Centralnym mechanizmem współpracy jest sieć CSIRT. 2. Poziom operacyjny Dotyczy przygotowania procesu decyzyjnego na poziomie politycznym, koordynacji zarządzania kryzysem cybernetycznym oraz oceny skutków i wpływu na szczeblu unijnym (w tym zaproponowanie możliwych środków zaradczych). 3. Poziom strategiczno-polityczny Dotyczy strategicznego i politycznego zarządzania cybernetycznymi i pozacybernetycznymi aspektami kryzysu (z uwzględnieniem środków unijnej reakcji dyplomatycznej).

14 Diplomacy toolbox 7 czerwca Projekt konkluzji Rady w sprawie ram wspólnej unijnej reakcji dyplomatycznej na szkodliwe działania cybernetyczne ( zestaw narzędzi dla dyplomacji cyfrowej ) Zaniepokojenie rosnącą zdolnością i gotowością podmiotów państwowych i niepaństwowych do realizowania celów za pomocą szkodliwych działań cybernetycznych. W świetle prawa międzynarodowego są to aktami bezprawne i mogą skutkować wspólną unijną reakcją dyplomatyczną Reakcja będzie proporcjonalna do zakresu, skali, czasu trwania, intensywności, złożoności, zaawansowania i skutków działania cybernetycznego, UE potwierdziła swoją wolę rozstrzygania międzynarodowych sporów w cyberprzestrzeni środkami pokojowymi

15 Dziękuję za uwagę.