Ochrona infrastruktury krytycznej w Polsce - aktualny stan prac

Transkrypt

1 AGENCJI GENCJI ABW Ochrona infrastruktury krytycznej w Polsce - aktualny stan prac Robert KOŚLA

2 AGENCJI GENCJI Plan wystąpienia Wprowadzenie i historia działań podejmowanych w Polsce Definicje Działania DBP MSWiA Rola ABW, CERT Polska, KGP i operatorów telekomunikacyjnych Propozycje dotyczące budowy Krajowego Systemu Ochrony Krytycznej Infrastruktury Teleinformatycznej Współpraca międzynarodowa: NATO i NISCC, TNO-FEL, KRITIS, NIPC

3 AGENCJI GENCJI Wprowadzenie i historia działań podejmowanych w Polsce luty 2001 pierwsze rozmowy CERT Polska i Biura Bezpieczeństwa Łączności i Informatyki UOP dotyczące reagowania na incydenty bezpieczeństwa listopad 2001 Konferencja SECURE 2001 prezentacja działań NATO zmierzających do budowy NATO Computer Incident Response Capability NCIRC kwiecień 2002 dyskusja podczas Konferencji Bezpieczna Infrastruktura - Koordynacja działań w skali kraju lipiec i październik 2002 spotkania robocze w MSWiA poświęcone ochronie infrastruktury krytycznej robocze spotkania przedstawicieli CERT Polska, ABW, KGP, ABUSE Team TP S.A.

4 AGENCJI GENCJI ABW Czym jednak jest krytyczna infrastruktura państwa?

5 AGENCJI GENCJI Krytyczna Infrastruktura Państwa KIP (definicja MSWiA) obiekty (budynki i budowle) i urządzenia, służby odpowiedzialne za obsługę tych obiektów i urządzeń, systemy i sieci teleinformatyczne istotne dla bezpieczeństwa i ekonomicznego dobrobytu państwa oraz jego efektywnego funkcjonowania obejmując: systemy energetyczne, telekomunikacyjne, poczty, teleinformatyczne, finansowe i bankowe, zarządzania zasobami wodnymi, dostaw żywności i wody, opieki zdrowotnej, transportu, usługi w zakresie bezpieczeństwa powszechnego i porządku publicznego oraz zapewnienie prawidłowego funkcjonowania najważniejszych struktur administracji publicznej w sytuacjach nadzwyczajnych zagrożeń (w( w tym centra zarządzania kryzysowego i stanowiska kierowania) ) oraz ochrony przemysłu o strategicznym znaczeniu, w tym obronnego

6 AGENCJI GENCJI Zakres Krytycznej Infrastruktury Państwa Krytyczna Infrastruktura Państwa obejmuje więc: telekomunikację systemy energetyczne systemy bankowe i finansowe transport systemy zaopatrywania w wodę system opieki zdrowotnej ratownictwo zarówno publiczne jak i prywatne!

7 AGENCJI GENCJI Krytyczne zasoby i krytyczna infrastruktura teleinformatyczna Krytyczne zasoby (aktywa) teleinformatyczne zasoby, wykorzystywane dla utrzymania bezpieczeństwa ekonomicznego państwa oraz wykorzystywane w systemie ochrony zdrowia i bezpieczeństwa publicznego Krytyczna infrastruktura teleinformatyczna (KITI) systemy i sieci teleinformatyczne niezbędne dla prowadzenia podstawowych działań gospodarczych i funkcjonowania instytucji publicznych państwa

8 AGENCJI GENCJI Architektury krytycznej infrastruktury teleinformatycznej infrastruktura otwarta systemy i sieci teleinformatyczne, do których dostęp możliwy jest przy wykorzystaniu publicznie dostępnych sieci np. serwery informacyjne urzędów administracji publicznej (e-administracja), serwery bankowe infrastruktura zamknięta systemy i sieci teleinformatyczne fizycznie lub logicznie (np. przy wykorzystaniu mechanizmów kryptograficznych) odseparowane od sieci publicznie dostępnych Obie architektury narażone są na ataki bezpośrednie (np. włamania komputerowe (wewnętrzne i zewnętrzne), silne impulsy elektromagnetyczne) i pośrednie (np. zakłócenia w zasilaniu spowodowane uszkodzeniami systemów energetycznych).

9 AGENCJI GENCJI Przykłady podmiotów krytycznej infrastruktury teleinformatycznej MSWiA system zarządzania kryzysowego ministerstwa dysponenci systemów baz danych Krajowa Izba Rozliczeniowa systemy rozliczeń międzybankowych podmioty świadczące usługi certyfikacyjne wykorzystanie podpisu elektronicznego w elektronicznym obiegu informacji służby publiczne dostęp do baz danych i systemów ewidencji (m.in. ludności, pojazdów) zakłady energetyczne przedsiębiorstwa wodociągów i kanalizacji

10 AGENCJI GENCJI Ryzyka dla krytycznej infrastruktury teleinformatycznej uszkodzenia i nieuprawnione modyfikacje łączy telekomunikacyjnych niewłaściwa ochrona sesji zarządzania i konfiguracji elementów aktywnych sieci (ruterów( ruterów,, przełączników, urządzeń kryptograficznych) brak świadomości i wiedzy w zakresie bezpieczeństwa teleinformatycznego wśród personelu, a przede wszystkim kadry zarządzającej błędy i luki w oprogramowaniu świadome wprowadzanie szkodliwego oprogramowania do systemów teleinformatycznych (np. wirusów, koni trojańskich, bomb logicznych i robaków sieciowych ) nieuprawnione modyfikacje lub celowe uszkodzenia systemów operacyjnych lub oprogramowania aplikacyjnego (szczególnie systemów baz danych) nieuprawnione działania użytkowników lub administratorów krótki czas życia technologii teleinformatycznych

11 AGENCJI GENCJI Straty w krytycznej infrastruktrze teleinformatycznej Straty wewnętrzne państwa: finansowe (związane ze stratą czasu i pieniędzy) materialne utrata zaufania do systemów teleinformatycznych (np. utrata zaufania do prawdziwości informacji w systemach ewidencji ludności) Straty zewnętrzne państwa: finansowe (zobowiązania międzynarodowe i roszczenia z tytułu niezrealizowanych umów) utrata dobrego wizerunku na forum międzynarodowym brak zaufania potencjalnych inwestorów

12 AGENCJI GENCJI Rozproszona odpowiedzialność za bezpieczeństwo teleinformatyczne - BTI Odpowiedzialność za bezpieczeństwo informacji w systemach i sieciach teleinformatycznych wynika z wielu ustaw definiujących poszczególne kategorie tajemnic prawnie chronionych np. informacje niejawne dane osobowe tajemnica bankowa tajemnica skarbowa tajemnica przedsiębiorstwa Każda z tych kategorii wymaga ochrony odpowiedzialność spoczywa na kierownikach jednostek organizacyjnych i na samych jednostkach Żadna z instytucji rządowych nie przejmie tej odpowiedzialności może jedynie wspierać działania w zakresie bezpieczeństwa teleinformatycznego

13 AGENCJI GENCJI ABW Kto i jak ma chronić krytyczną infrastrukturę w Polsce? nie chodzi tu o to kto ma być najważniejszy, bo cały system musi zakładać partnerską współpracę wszystkich zainteresowanych podmiotów!

14 AGENCJI GENCJI Działania Departamentu Bezpieczeństwa Powszechnego MSWiA Opracowanie i rozesłanie do organów administracji państwowej Kwestionariusz Kwestionariusza dotyczącego ochrony infrastruktury krytycznej w Polsce - następstwo ustaleń posiedzenia Zespołu ds. Kryzysowych w dniu 18 czerwca 2002 r. Wnioski: niepełne zrozumienie przez podmioty pojęcia krytycznej infrastruktury państwa konieczność opracowania uregulowań prawnych konieczność przygotowania szkoleń

15 AGENCJI GENCJI Krytyczna infrastruktura a zarządzanie kryzysowe Projekt Rozporządzenia Rady Ministrów do ustawy z 18 kwietnia o stanie klęski żywiołowej: utworzenie Rządowego Zespołu Koordynacji Kryzysowej utworzenie grup roboczych grupa bezpieczeństwa powszechnego i porządku publicznego naturalny łącznik z Centrum Koordynacyjnym Krajowego Systemem Ochrony Krytycznej Infrastruktury Teleinformatycznej zbieranie informacji o stratach w Krytycznej Infrastrukturze Państwa, w tym Krytycznej Infrastrukturze Teleinformatycznej

16 AGENCJI GENCJI Rola ABW w zakresie ochrony KITI Wytyczne Prezesa Rady Ministrów z dnia 22 lipca 2002 r. do planowania działalności ABW w roku 2003: zorganizowanie Krajowego Systemu Ochrony Krytycznej Infrastruktury Teleinformatycznej w RP Wypełnianie zadań Krajowej Władzy Bezpieczeństwa Teleinformatycznego w zakresie: badań i certyfikacji środków ochrony kryptograficznej, elektromagnetycznej i fizycznej akredytacji bezpieczeństwa systemów i sieci teleinformatycznych organizowanie specjalistycznych szkoleń dla administratorów systemów i inspektorów bezpieczeństwa teleinformatycznego

17 AGENCJI GENCJI Koncepcja Krajowego Systemu Ochrony Krytycznej Infrastruktury TI - KSOKITI Aktualna wersja dokumentu 1.2 stanowi szkielet dla: wprowadzenia terminologii i klasyfikacji: zasobów krytycznych incydentów bezpieczeństwa (z wykorzystaniem Common Language) określenia struktur wskazania zakresu odpowiedzialności poszczególnych podmiotów zdefiniowania procedur: zgłaszania incydentów bezpieczeństwa wymiany informacji i sposobów ochrony przekazywanych informacji reagowania na incydenty bezpieczeństwa

18 AGENCJI GENCJI Założenia projektu Krajowego Systemu Ochrony Krytycznej Infrastruktury TI 1/2 Założenie główne - zgodność z założeniami NATO CIRC (Computer( Incident Response Capability) KSOKITI powinien wskazywać działania w zakresie bezpieczeństwa teleinformatycznego, które umożliwią szybkie i efektywne reagowanie na zagrożenia w systemach i sieciach TI KSOKITI powinien być rozszerzeniem procesu planowania utrzymania ciągłości działania,, gotowości do reagowania na incydenty w chwili, gdy one występują KSOKITI powinien być zadaniem realizowanym na szczeblu centralnym i w celu uniknięcia dublowania działań powinien skupiać obsługę incydentów w jeden scentralizowany i skoordynowany sposób KSOKITI wymaga zaangażowania i współpracy wszystkich struktur publicznych i podmiotów prywatnych

19 AGENCJI GENCJI Założenia projektu Krajowego Systemu Ochrony Krytycznej Infrastruktury TI 2/2 KSOKITI nie powinien obejmować jedynie działań reaktywnych, ale również działania proaktywne mające na celu ograniczanie poziomu ryzyka dla krytycznej infrastruktury teleinformatycznej (KITI), powinien podejmować m.in. następujące działania a) prowadzenie oceny podatności systemów i sieci TI b) prowadzenie testów penetracyjnych c) prowadzenie szkoleń i warsztatów d) opracowywanie materiałów szkoleniowych e) analizowanie i/lub opracowywanie narzędzi dla administratorów systemów do lepszego zapobiegania i wykrywania incydentów f) prowadzenie prac badawczych związanych z incydentami bezpieczeństwa

20 AGENCJI GENCJI Cele Krajowego Systemu Ochrony Krytycznej Infrastruktury TI a) Scentralizowane zgłaszanie incydentów statystyki! b) Skoordynowane reagowanie na wybrane typy incydentów lub incydenty mające wpływ na wybraną technologię wirusy! c) Udzielanie bezpośredniej pomocy technicznej na żądanie / potrzebę zakres pomocy dla administracji i podmiotów prywatnych d) Umożliwienie weryfikacji informacji związanych z bezpieczeństwem teleinformatycznym np. fałszywe sygnały dotyczące wirusów e) Dostarczanie danych i wskazówek dla procesu planowania ciągłości działania informacje o możliwościach centrów danych i ofertach outsourcingu f) Wykonywanie funkcji łącznika z zagranicznymi strukturami g) Zachęcanie producentów do reagowania na problemy z zakresu bezpieczeństwa teleinformatycznego h) Wykonywanie funkcji łącznika z organami ścigania

21 AGENCJI GENCJI Realizacja celów Krajowego Systemu Ochrony Krytycznej Infrastruktury TI Osiągnięcie celów KSOKITI umożliwi: a) udzielenie pomocy zaatakowanym elementom krytycznej infrastruktury w bezpiecznym, szybkim i efektywnym usuwaniu skutków incydentów w zakresie zabezpieczeń b) minimalizowanie wpływu z powodu utraty lub kradzieży informacji (jawnych i niejawnych) lub zakłóceń w usługach i zasobach krytycznych systemów na skutek wystąpienia incydentu c) systematyczne reagowanie na podstawie sprawdzonych procedur co spowoduje obniżenie ryzyka związanego z możliwością ponownego wystąpienia incydentu

22 AGENCJI GENCJI Poradnik KSOKITI (1/2) Poradnik KSOKITI powinien być zorganizowany w sposób umożliwiający dostęp do informacji dotyczących funkcjonowania KSOKITI powinien obejmować m.in. następujące aspekty: kontakt z personelem technicznym numery telefonów (w tym GSM), faksów, adresy poczty elektronicznej gorąca linia numery telefonów, procedury y awaryjne, listy powiadamiania łączność procedury otrzymywania i wysyłania informacji raporty o incydentach typy raportów, ich zawartość, zasady przeglądania i weryfikacji postępowanie z informacjami zasady postępowania z informacjami wrażliwymi lub niejawnymi oraz np. z opisami incydentów

23 AGENCJI GENCJI Poradnik KSOKITI (2/2) sprzęt komputerowy konfiguracje, procedury bezpiecznej eksploatacji procedury administracyjne poświadczenia bezpieczeństwa, regulaminy pracy kontakt z organami ścigania relacje z mediami raporty dla prasy, wyciągi z informacji wrażliwych kontakt z producentami urządzeń i oprogramowania kontakty z innymi podmiotami odnośniki do osób i instytucji mogących udzielić pomocy w nagłych przypadkach

24 AGENCJI GENCJI Koncepcja funkcjonowania KSOKITI 1/3 W koncepcji funkcjonowania KSOKITI (wzorem NATO CIRC) przyjęto 3-warstową strukturę, wykorzystując w maksymalnym stopniu obecne zasoby i strukturę organizacyjną: Warstwa 1 - Centrum Koordynacyjne KSOKITI zadanie realizowane przez ABW we współpracy z NATO CIRC, organami ścigania oraz podmiotami odpowiedzialnymi za kreowanie polityki bezpieczeństwa teleinformatycznego w odniesieniu do wszystkich kategorii informacji prawnie chronionych, przetwarzanych w elementach krytycznej infrastruktury teleinformatycznej (KITI), m.in: Ministerstwo Spraw Wewnętrznych i Administracji (m.in. Policja) Generalny Inspektor Ochrony Danych Osobowych Narodowy Bank Polski Ministerstwo Infrastruktury Ministerstwo Finansów Ministerstwo Obrony Narodowej Ministerstwo Sprawiedliwości - prokuratury Urząd Regulacji Telekomunikacji i Poczty

25 AGENCJI GENCJI Koncepcja funkcjonowania KSOKITI 2/3 Warstwa 2 Centrum Obsługi Technicznej KSOKITI, wykonujące głównie funkcje CERT zadanie realizowane przez CERT Polska przy współpracy z: operatorami telekomunikacyjnymi (np. TP S.A.) dostawcami usług internetowych zespołami reagowania na incydenty bezpieczeństwa funkcjonującymi w instytucjach i innych krajach producentami i dostawcami urządzeń, oprogramowania oraz środków ochrony (kryptograficznej, elektromagnetycznej i in.) ośrodkami szkoleniowymi organizującymi szkolenia w zakresie bezpieczeństwa teleinformatycznego

26 AGENCJI GENCJI Koncepcja funkcjonowania KSOKITI 3/3 Warstwa 3 podmioty odpowiedzialne w jednostkach organizacyjnych za bieżącą eksploatację oraz administrowanie systemami i sieciami TI, m.in.: zgłaszanie incydentów bezpieczeństwa do Centrum Obsługi Technicznej KSOKITI formułowanie wymagań funkcjonalnych dotyczących nowych typów usług, urządzeń i oprogramowania

27 AGENCJI GENCJI Schemat struktury KSOKITI Warstwa 1- Centrum Koordynacyjne i podmioty prawnie zobowiązane do ochrony zasobów KITI, m.in: Generalny Inspektor Ochrony Danych Osobowych Ministerstwo Spraw Wewnętrznych i Administracji Narodowy Bank Polski Ministerstwo Infrastruktury Urząd Regulacji Telekomunikacji i Poczty Centrum Koordynacyjne Krajowego Systemy Ochrony Krytycznej Infrastruktury Teleinformatycznej - Departament Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego Ministerstwo Obrony Narodowej Ministerstwo Finansów Ministerstwo Sprawiedliwości Warstwa 2 - Centrum Techniczne, operatorzy i dostawcy rozwiązań dla KITI Producenci i dostawcy urządzeń oraz oprogramowania Centrum Obsługi Technicznej Krajowego Systemy Ochrony Krytycznej Infrastruktury Teleinformatycznej - NASK CERT Polska Lokalne zespoły CERT Operatorzy telekomunikacyjni Warstwa 3 - Administratorzy systemów i inspektorzy bezpieczeństwa teleinformatycznego Podmioty odpowiedzialne za ekspoatację systemów w jednostkach organizacyjnych, będą cych uzytkownikami krytycznej infrastruktury teleinformatycznej

28 AGENCJI GENCJI ABW Co zyskają na tym operatorzy telekomunikacyjni i jaka jest rola organów ścigania?

29 AGENCJI GENCJI Rola operatorów telekomunikacyjnych Informowanie użytkowników (abonentów) o zagrożeniach i sposobach ochrony Utrzymywanie kontaktów z użytkownikami (abonentami) w celu zbierania informacji o incydentach w zakresie zabezpieczeń (np. włamaniach), przy wykorzystaniu opracowanych procedur Przekazywanie informacji o zgłoszonych incydentach organom ścigania Skoordynowane z CERT Polska reagowanie na incydenty

30 AGENCJI GENCJI Rola organów ścigania Policji i Prokuratury Zbieranie i zabezpieczanie dowodów przestępstw komputerowych Współpraca z ABW oraz CERT Polska w zakresie analizy zabezpieczonych dowodów i wypracowywania sposobów ochrony przed przestępstwami komputerowymi Współpraca z dostawcami usług teleinformatycznych w zakresie wykrywania sprawców przestępstw komputerowych Współpraca z ABW i policją innych krajów w zakresie ustalania sprawców przestępstw komputerowych Przygotowywanie dokumentacji procesowej

31 AGENCJI GENCJI ABW Jak NATO i inne kraje chronią krytyczną infrastrukturę?

32 AGENCJI GENCJI Współdziałanie w ramach NATO Computer Incident Response Capability - NCIRC Zadanie ABW mające na celu spełnienie wymagań NATO w zakresie uzyskania zdolności do reagowania na incydenty w zakresie zabezpieczeń EG DCIAI CCS and NC30 G&O A4/G3/01 w systemach wykorzystywanych do prowadzenia konsultacji politycznych w ramach NATO Współpraca z NCIRC będzie odbywała się na dwóch poziomach koordynacji uzgadnianie wspólnych polityk i standardów ochrony infrastruktury TI i reagowania na incydenty wsparcia technicznego wymiana doświadczeń i informacji w zakresie zagrożeń, podatności i zalecanych środków ochrony kontakty robocze pomiędzy zespołami CERT

33 AGENCJI GENCJI Konieczne działania na przyszłość szkolenia i uświadamianie (BTI w programach szkolnych) zdefiniowanie KITI hierarchia: żywotne, krytyczne, wrażliwe, podstawowe zbieranie i udostępnianie informacji o zagrożeniach i środkach ochrony budowa infostrad rządowych większa dostępność środków ochrony badania i certyfikacja wyrobów budowa ośrodków zapasowych i outsourcing (wzajemny?) zdefiniowanie kategorii incydentów (np. na podstawie NCIRC) ustalenie procedur zgłaszania incydentów i podmiotów zmiany w przepisach karnych dotyczących przestępczości komputerowej przestępstwa ścigane z urzędu a nie na wniosek poszkodowanego

34 AGENCJI GENCJI Podsumowanie Wzrost zagrożeń ze strony sieci publicznie dostępnych, od których h nie można się całkowicie odizolować wymaga skoordynowanych działań uświadamiających i szkoleniowych Spełnienie idei społeczeństwa informacyjnego i standardów zinformatyzowanego państwa wymaga zdefiniowania i ochrony krytycznej infrastruktury teleinformatycznej będącej szkieletem jego funkcjonowania Skuteczna ochrona krytycznej infrastruktury teleinformatycznej wymaga skoordynowanych działań wielu podmiotów nie stać nas na samodzielne działania (prowadzone często ze względów ambicjonalnych) należy stworzyć Krajowy System Ochrony Krytycznej Infrastruktury Teleinformatycznej - KSOKITI

35 AGENCJI GENCJI Ochrona infrastruktury krytycznej aktualny stan prac Dziękuję Czy mają Państwo pytania? Kontakt z autorem Robert KOŚLA robert.kosla.dbti@abw.gov.pl tel. (+48 22) lub fax (+48 22) Warszawa ul. Rakowiecka 2A