Kybernetická bezpečnostv praxi

Ing. Miroslav Krejčík, Česká pošta, s.p.

2

3

Národní informační systém integrovaného záchranného

systému (NIS IZS)

Centrální místo služeb

(CMS)

Ekonomický informační systém MV ČR

(EKIS)

Komunikační infrastruktura veřejné správy (KIVS)

Pokud bude schválen návrh zákona o kybernetické bezpečnosti, stanou se některé z těchto systémů Významným informačním systémem ve smyslu citovaného zákona

4

Jeden za všechny…

Informační systém datových schránek (ISDS) byl do ostrého

provozu spuštěn 1. 7. 2009

zákon č. 300/2008 Sb., o elektronických úkonech a autorizované

konverzi dokumentů

elektronická náhrada za klasické doručování v listinné podobě

primárně slouží k doručování dokumentů mezi občany/firmami,

státem a mezi jednotlivými úřady

5

6

Informační systém datových schránek…• … je rychlýna rozdíl od papírové pošty trvá dodání vteřiny či

minuty

• … je dostupnýpoštu lze odesílat z domova či kanceláře

• … je bezpečnýna rozdíl od emailu je prakticky vyloučen spam,

totožnost odesílatele i adresáta je ověřena

• … je levnýsoukromí uživatelé mají odesílání směrem k

úřadům zcela zadarmo, veřejná správa platí výrazně méně oproti listovní zásilce

• … je průkaznýkdykoliv je možné získat důkaz, že zpráva byla

odeslána

Struktura uživatelů datových schránek

7

Vývoj podílu jednotlivých typů DS

8

A ještě několik čísel...

• počet zřízených datových schránek: 589 tis.

• počet aktivních datových schránek: 523 tis.

• počet odeslaných datových zpráv: 191 mil.

• denně 250 až 280 tisíc odeslaných zpráv

Aktuální data k 17. 5. 2014

9

Role České pošty

• důvěryhodný prostředník při doručování písemností

(držitel poštovní licence a poskytovatel univerzální služby)

• provozovatel ISDS

(na základě zákona a na základě smlouvy s Ministerstvem vnitra)

• zajišťuje chod ISDS

(např. řízení přístupu, helpdesk, call-centrum a další provozní služby)

• nabízí a zajišťuje další služby ISDS

(aditivní služby – poštovní datová zpráva, datový trezor, atd.)

10

11

Mohou se stát datové schránky cílem kybernetického útoku?

Několik otázek a pravděpodobných odpovědí:

ANO

Dá se tato hrozba 100% eliminovat? NE

Mohlo by se tedy stát, že by datové schránky několik hodin, nebo dokonce několik dní nefungovaly?

ANO

Jsme na takovou situaci připraveni?

Na krátkodobý výpadek zcela jistě ANO, ale u dlouhodobého výpadku si nejsem jistý…

12

Graf volání webových služeb dne 8.1.2014 za období 9:00 – 12:00

13

14

Scénář #1 - Blokování účtů

15

16

Na základě varování bezpečnostního dohledu by implementaceZKB do ISDS znamenala v daném případě jen to, že:

1.Určený pracovník České pošty informuje správce VISutzn. Ministerstvo vnitra (dle §3, písm. e)

2.Ministerstvo vnitra následně informuje příslušné pracoviště Národního bezpečnostního úřadu

Dílčí závěr

17

Scénář #2 - Nebezpečný kód

18

19

Situace by pro odesílatele datové zprávy nemusela být jednoduchá

Zákon nepočítá s tím, že by byla doručena infikovaná zpráva

Pokládá i takovou zprávu, pokud systémem úspěšně prošla, za platně doručenou

Dílčí závěr

20

Scénář #3 - SYNFLOOD (DDOS)

21

22

Stávající scénáře reakce ISDS na DDoS počítají i s možností opakované, časově delší nedostupnosti ISDS

Otázkou zůstává, zda existují, případně jsou realizovatelná, záložní řešení – náhrada služby poskytované prostřednictvím ISDS

Dílčí závěr

23

24

hrozba

hroz

ba

100%

100% 100%

VIS

25

Dostupnost

26

Bezpečnostní požadavky ZKB

řízení rizik dle přesně stanovených vodítek zpracovat Prohlášení o aplikovatelnosti zpracovat Plán zvládání rizik přepracování stávající bezpečnostní dokumentace definice minimální úrovně poskytovaných služeb vytvoření nové bezpečnostní dokumentace zaznamenávání činností organizace nové požadavky pro bezpečnostní monitoring v oblasti

detekce kybernetických útoků

27

Náklady na implementaci ZKB(ISDS)

náklady na provedení změn při zachování úrovně dostupnosti služby (99,9%) budou značné

(Odhad: až na několik desítek milionů Kč)

je nutné také počítat z vyššími provozními náklady (Odhad: statisíce Kč měsíčně)

28

Vydání ochranného a reaktivního opatření

náklady nelze předem vyloučit a tedy je nelze ani přesně vyčíslit

procesy spojené s aplikací reaktivních a ochranných opatření nepočítají např. s veřejnou soutěží, nelze proto garantovat čas aplikování požadovaných opatření

 

29

Děkuji za pozornost

krejcik.miroslav@cpost.cz