Ń STWA
WYZWAIA
Kontekst krajowy i międzynarodowy wyzwania 3 Dyrektywa Rady 2008/114/WE w sprawie rozpoznawania i wyznaczania europejskiej infrastruktury krytycznej oraz oceny potrzeb w zakresie poprawy jej ochrony Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Dyrektywa IS) Ustawa o ochronie danych osobowych (RODO) US Department of Homeland Security: ational Infrastructure Protection Plan
Ustawa o Krajowym Systemie Cyberbezpieczeństwa 4 28 SIERPIA 2018 Ustawa wprowadzająca nowe pojęcia, obowiązki, zasady działania: Operator kluczowych usług (ESP essential service providers) jest podmiot, który dostarcza kluczowe usługi w danym sektorze, usługi zależne od sieci teleinformatycznych. Pojęcie kluczowych usług (tzw. essential services) oznacza usługi, które są niezbędne do zapewnienia kluczowych funkcji społecznych i ekonomicznych kraju w różnych sektorach gospodarki. Dostawcą usług cyfrowych (DSP digital service providers) jest podmiot, który świadczy usługę cyfrową, czyli taką, która jest realizowana na odległość, drogą elektroniczną i na indywidualne żądanie odbiorcy usług, oraz która jest klasyfikowana jako internetowa platforma handlowa, wyszukiwarka internetowa lub usługa przetwarzania w chmurze. Progów istotności skutku zakłócającego określone w Rozporządzeniu Rady Ministrów w sprawie progów uznania incydentu za poważny.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa 5 28 SIERPIA 2018 Ustawa ma na celu i obejmuje: Art. 3. 1. Krajowy system cyberbezpieczeństwa ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów. Art. 4. Krajowy system cyberbezpieczeństwa obejmuje m.in. operatorów usług kluczowych i dostawców usług cyfrowych; CSIRT MO; CSIRT ASK; CSIRT GOV; organy publiczne oraz jednostki je obsługujące w tym : jednostki sektora finansów publicznych spółki prawa handlowego wykonujące zadania o charakterze użyteczności publicznej sądy i trybunały; arodowy Bank Polski; Bank Gospodarstwa Krajowego Rządowe Centrum Bezpieczeństwa
Ustawa o Krajowym Systemie Cyberbezpieczeństwa Obowiązki podmiotów wg ustawy o KSC: W terminie 3 m-cy operatorzy usług kluczowych będą musieli: powołać wewnętrzne struktury do zarządzania cyberbezpieczeństwem (ew. wsparte usługami zewnętrznymi na podstawie podpisanych umów outsourcingowych), wdrożyć program systematycznej analizy ryzyka i zarządzania ryzykiem, uruchomić sprawnie funkcjonujący proces zarządzania incydentami bezpieczeństwa, pozwalający m.in. na zgłaszanie poważnych incydentów do krajowego zespołu CSIRT w czasie nieprzekraczającym 24 godzin od ich wykrycia, wyznaczyć osobę odpowiedzialną za kontakty z podmiotami krajowego systemu cyberbezpieczeństwa, wdrożyć program edukacji użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa. 6 W terminie do 6-ciu miesięcy operatorzy usług kluczowych muszą: wdrożyć zabezpieczenia proporcjonalne do oszacowanego ryzyka, obejmujące m.in. wdrożenie planów ciągłości działania, czy objęcie systemów informatycznych monitorowaniem w trybie ciągłym, uruchomić sprawny proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, opracować i zapewnić aktualność dokumentacji dotyczącej cyberbezpieczeństwa systemów informatycznych wykorzystywanych do świadczenia usługi kluczowej. W terminie 1roku przeprowadzenie zewnętrznego audytu bezpieczeństwa. Później audyty co 2 lata.
Ustawa o Krajowym Systemie Cyberbezpieczeństwa I Rozporządzenia już opublikowane 7 17 Września 2018 Rozporządzenie Ministra Cyfryzacji w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo 21 Września 2018 26 Września 2018 Rozporządzenia Rady Ministrów w sprawie wykazu usług kluczowych oraz progów istotności skutku zakłócającego incydentu dla świadczenia usług kluczowych Rozporządzenia Ministra Cyfryzacji w sprawie kryteriów uznania naruszenia bezpieczeństwa lub integralności sieci lub usług telekomunikacyjnych za naruszenie o istotnym wpływie na funkcjonowanie sieci lub usług 18 Października 2018 Rozporządzenie Ministra Cyfryzacji w sprawie wykazu certyfikatów uprawniających do przeprowadzania audytu
Architektura Krajowego Systemu Cyberbezpieczeństwa WSPÓŁPRACA MIĘDZY SIEĆ CSIRT GRUPY WSPÓŁPRACY PREZES RADY MIISTRÓW KOLEGIUM DS. ŃSTWA PEŁOMOCIK DS. ŃSTWA POJEDYŃCZY PUKT KOTAKTOWY SEKTORY BAKI / Finanse ORGAY WŁAŚCIWE MF POLICJA PROKURATURA ZESPOŁY CSIRT POZIOMU KRAJOWEGO CSIRT MO CSIRT ABW CSIRT ASK EERGIA IF. CYFRFOWA + DUC TRASPORT ZDROWIE ME MC MliB + MGMiŻŚ MZ WODO- KAALIZACYJY MŚ OBYWATELE SEKTOROWE ZESPOŁY REAGOWAIA PODMIOTY ŚWIADCZĄCE USŁUGI ŃSTWA SEKTOR TELKO ADMIISTRACJA PUBLICZA UKE MS
Krajowy System Cyberbezpieczeństwa widziany RCB ZESPOŁY CSIRT POZIOMU KRAJOWEGO Policja CSIRT MO CSIRT GOV CSIRT ASK Prokuratura Pojedynczy Punkt Kontaktu SEKTOROWE CETRUM CYBER SEKTOROWE CETRUM CYBER SEKTOROWE CETRUM CYBER Operatorzy Usług Podmioty Kluczowych Usług Kluczowych Podmioty Usług Kluczowych Dostawcy Usług Dostawcy Dostawcy CyfrowychUsług Cyfrowych Spółki Użyteczności publicznej Spółki Użyteczności Publicznej Spółki Użyteczności Publicznej Organy Publiczne Organy Publiczne Organy Publiczne BP BGK Podmioty Wspomagające Usługi Kluczowe Podmioty Wspomagające Usługi Cyfrowe Podmioty Wspomagające Jednostki Sektora Publicznego Inne Podmioty Wspomagające Społeczeństwo RP
PC
Zakres projektu PC 11 Projekt badawczo - rozwojowy, którego celem jest zbudowanie prototypu zintegrowanego systemu monitorowania, obrazowania i ostrzegania o zagrożeniach w cyberprzestrzeni państwa. KOSORCJUM REALIZUJĄCE PROJEKT: Termin realizacji: 01.09.2017 31.08.2020 Rozwiązanie będzie miało za zadanie min.: zapobieganie, wykrywanie oraz minimalizowanie skutków incydentów naruszających bezpieczeństwo systemów teleinformatycznych istotnych dla funkcjonowania Państwa, stworzenie warunków do współdzielenia się wiedzą o zagrożeniach z państwami UE. ISTYTUCJA FIASUJĄCA:
Główne cele projektu PC 12 01 02 03 budowa prototypu zintegrowanego system monitorowania, obrazowania i ostrzegania o zagrożeniach w cyberprzestrzeni Państwa opracowanie mechanizmów integracji systemów ochrony stosowanych w różnych instytucjach i sektorach infrastruktury krytycznej z PC zapewnienie informacji o stanie bezpieczeństwa w cyberprzestrzeni w Polsce: o bezpieczne udostępnianie informacji o zagrożeniach i podatnościach o tworzenie obrazu sytuacyjnego na poziomie państwa ocena występujących zagrożeń i ich potencjalnych skutków reagowanie na incydenty komputerowe na poziomie krajowym
Praktyczne rezultaty projektu PC 13 Prototyp interaktywnego systemu monitorowania, obrazowania i ostrzegania o zagrożeniach interfejs operatora z wielowymiarowym obrazowaniem zjawisk występujących w przestrzeni cybernetycznej, uwzględniający różnorodność typów informacji, przynależność sektorową i geograficzną, stopień krytyczności zagrożeń Metody dynamicznej i statycznej analizy ryzyka metody i narzędzia korelacji zdarzeń, analizy sytuacyjnej Ekspercki system wspomagania decyzji identyfikacji kluczowych usług oraz zależności między usługami i podmiotami w kluczowych sektorach arzędzia detekcji podatności i zagrożeń dla sieci teleinformatycznych, środowiska IoT i systemów automatyki przemysłowej
Model połączeń z Platformą PC 14 CETRUM OPERACYJE UCZESTICY PLATFORMY SIEĆ WYMIAY IFORMACJI
Model współpracy z Uczestnikami Platformy 15
Architektura Platformy PC Centrum Operacyjne 16 Monitorowanie i przetwarzanie informacji o zdarzeniach bezpieczeństwa w cyberprzestrzeni Uczestników Analiza i symulacja propagacji ryzyka Ostrzeganie o zagrożeniach i ryzykach Wizualizacja zagregowanych informacji na poziomie państwa/sektora Analiza jakościowa i ilościowa zdarzeń bezpieczeństwa Integracja informacji z różnych źródeł informacje o podatnościach, IoC, incydentach, obserwacjach
Architektura Platformy PC System Brzegowy Uczestnika Platformy Udostępnienie Uczestnikowi API do integracji PC z systemami Uczestnika 17 Udostępnienie GUI do interakcji z systemem PC Udostępnienie wybranych zasobów informacyjnych Centrum Operacyjnego Monitorowanie i rejestrowanie aktywności Użytkowników Platformy Zapewnienie rozliczalności i niezaprzeczalności wymienianych informacji
Korzyści z wdrożenia PC dla Uczestnika Platformy 01 automatyczny mechanizm wymiany informacji o ryzykach, podatnościach pomiędzy uczestnikami a PC 18 02 03 mechanizmy wymiany informacji zapewniające podmiotom uczestniczącym ochronę interesów, tajemnicy przedsiębiorstwa, ochronę wizerunku oraz innych ważnych wartości integracja informacji o podatnościach z wielu źródeł - szacowanie ryzyka i identyfikacja urządzeń, systemów wymagających natychmiastowych działań 04 informacja o stwierdzonych podatnościach do wszystkich uczestników. System raportowania o istotnych incydentach naruszających bezpieczeństwo teleinformatyczne
Korzyści z wdrożenia PC dla Uczestnika Platformy 19 05 06 07 spójna metodyka określająca wymogi bezpieczeństwa teleinformatycznego dla wyznaczonych sektorów wielowymiarowe obrazowanie zjawisk występujących w cyberprzestrzeni graf/mapa powiązań, zależności usług kluczowych w poszczególnych sektorach, obszarach geograficznych ich odziaływanie rozwiązanie, budujące świadomość sytuacji cyberprzestrzeni Uczestnika
Architektura Platformy PC przyjęte założenia 20 Modularność Skalowalność Rozliczalność działań użytkowników Jednolita skala czasu Wysoka dostępność Monitorowanie pracy Kontrola dostępu Uniwersalna architektura systemów funkcjonalnych Bezpieczeństwo komunikacji i danych Adaptowalność do wymogów wynikających z Ustawy o KSC Scentralizowane zarządzanie
Kamienie milowe projektu 21 Architektura PC PROJEKT WYKOAWCZY npc-et EKSPERCKI SYSTEM WSPOMAGAIA DECYZJI IMPLEMETACJA KOMPOETÓW CETRUM OPERACYJEGO, SYSTEMU BRZEGOWEGO UCZESTIKA PLATFORMY 1Q/2018 1Q/2019 3Q/2018 4Q/2018 Opracowanie dokumentacji Instalacja i weryfikacja Instalacja i powykonawczej, PC na platformie weryfikacja PC w procedur badawczej środowisku operacyjnych oraz operacyjnym wytycznych w 2Q/2019 zakresie pełnego wdrożenia i dalszego 2Q/2020 rozwoju PC 3Q/2020
A w PRAKTYCE
Ankieta do identyfikacji kluczowych usług, powiązań miedzy usługami, podmiotami, sektorami 23
Moduł ankietowania Funkcjonalność modułu 24 Identyfikacja zależności między usługami kluczowymi, podmiotami, sektorami Zebranie danych do budowy grafu powiązań Zbieranie danych do analizy ryzyka Danych do wyznaczania poziomu krytyczności Danych do analiz symulacyjnych WHAT IF
Metody i mechanizmy oceny ryzyka 25 Ryzyko całkowite sektora suma ważona ryzyka wszystkich usług w sektorze, gdzie wagami są znormalizowane wartości krytyczności zagregowanej. k R c S = i i ω A,S U R i i c ω A,S ~ K A i Ryzyko całkowite dla cyberprzestrzeni suma ważona ryzyka wszystkich usług, gdzie wagami są znormalizowane wartości krytyczności zagregowanej. k R c CS = i i ω A,CS U R i i c ω A,CS ~ K A i
Wizualizacja grafu powiązań 26
Usługa Gromadzenia i Udostępniania Danych e-usługa Rejestry Rejestry Centralne / Rejestry Branżowe Pozyskiwanie Gromadzenie Przetwarzanie Udostępnianie Aplikacja 1 Aplikacja 2 Aplikacja 3 Aplikacja 4 Aplikacja 5 Systemy Wspomagania Decyzji Bazy Danych Serwery Sieć WA Sieć LA Data Center
Podsumowanie 28 01 02 Pojęcia: UKSC / usługi kluczowe / operatorzy usług kluczowych / usługi cyfrowe / dostawcy usług cyfrowych Obowiązki wg U KSCW do 3 m-cy : struktury do cyber. / analizy ryzyka i zarządz. ryzykiem / proces zarządzania incydentami bezpieczeństwa (zgłosz. poważnych incydentów do krajowego CSIRT w czasie do 24h) / osoba odpowiedzialna za kontakty z podmiotami krajowego systemu, wdrożenie programu edukacji użytkowników usługi kluczowej w zakresie cyberbezpieczeństwa, do 6-ciu miesięcy operatorzy usług kluczowych muszą: zabezpieczenia proporcjonalne do oszacowanego ryzyka, plany ciągłości działania, monitorowaniem w trybie ciągłym, proces zarządzania podatnościami i gromadzenia wiedzy na temat cyberzagrożeń, dokumentacja zasobów teleinformatycznych wykorzystywanych do świadczenia usługi kluczowej. 03 Projekt PC (arodowa Platforma Cyberbezpieczeństwa) : analiza i mapa powiązań między usługami / metoda analizy ryzyka (statycznego/dynamicznego) / wymiana informacji o ryzykach i podatnościach / prototyp interaktywnego systemu monitorowania, obrazowania i ostrzegania o zagrożeniach
Dziękuję za Uwagę Ń STWA krzysztof.biniek@nask.pl (48) 602 415 570