140519 krejcik ceska_posta_seminar_semovna_kyberbezpecnost2014
-
Upload
miroslav-krejcik -
Category
Technology
-
view
70 -
download
0
description
Transcript of 140519 krejcik ceska_posta_seminar_semovna_kyberbezpecnost2014
Kybernetická bezpečnostv praxi
Ing. Miroslav Krejčík, Česká pošta, s.p.
2
3
Národní informační systém integrovaného záchranného
systému (NIS IZS)
Centrální místo služeb
(CMS)
Ekonomický informační systém MV ČR
(EKIS)
Komunikační infrastruktura veřejné správy (KIVS)
Pokud bude schválen návrh zákona o kybernetické bezpečnosti, stanou se některé z těchto systémů Významným informačním systémem ve smyslu citovaného zákona
4
Jeden za všechny…
Informační systém datových schránek (ISDS) byl do ostrého
provozu spuštěn 1. 7. 2009
zákon č. 300/2008 Sb., o elektronických úkonech a autorizované
konverzi dokumentů
elektronická náhrada za klasické doručování v listinné podobě
primárně slouží k doručování dokumentů mezi občany/firmami,
státem a mezi jednotlivými úřady
5
6
Informační systém datových schránek…• … je rychlýna rozdíl od papírové pošty trvá dodání vteřiny či
minuty
• … je dostupnýpoštu lze odesílat z domova či kanceláře
• … je bezpečnýna rozdíl od emailu je prakticky vyloučen spam,
totožnost odesílatele i adresáta je ověřena
• … je levnýsoukromí uživatelé mají odesílání směrem k
úřadům zcela zadarmo, veřejná správa platí výrazně méně oproti listovní zásilce
• … je průkaznýkdykoliv je možné získat důkaz, že zpráva byla
odeslána
Struktura uživatelů datových schránek
7
Vývoj podílu jednotlivých typů DS
8
A ještě několik čísel...
• počet zřízených datových schránek: 589 tis.
• počet aktivních datových schránek: 523 tis.
• počet odeslaných datových zpráv: 191 mil.
• denně 250 až 280 tisíc odeslaných zpráv
Aktuální data k 17. 5. 2014
9
Role České pošty
• důvěryhodný prostředník při doručování písemností
(držitel poštovní licence a poskytovatel univerzální služby)
• provozovatel ISDS
(na základě zákona a na základě smlouvy s Ministerstvem vnitra)
• zajišťuje chod ISDS
(např. řízení přístupu, helpdesk, call-centrum a další provozní služby)
• nabízí a zajišťuje další služby ISDS
(aditivní služby – poštovní datová zpráva, datový trezor, atd.)
10
11
Mohou se stát datové schránky cílem kybernetického útoku?
Několik otázek a pravděpodobných odpovědí:
ANO
Dá se tato hrozba 100% eliminovat? NE
Mohlo by se tedy stát, že by datové schránky několik hodin, nebo dokonce několik dní nefungovaly?
ANO
Jsme na takovou situaci připraveni?
Na krátkodobý výpadek zcela jistě ANO, ale u dlouhodobého výpadku si nejsem jistý…
12
Graf volání webových služeb dne 8.1.2014 za období 9:00 – 12:00
13
14
Scénář #1 - Blokování účtů
15
16
Na základě varování bezpečnostního dohledu by implementaceZKB do ISDS znamenala v daném případě jen to, že:
1.Určený pracovník České pošty informuje správce VISutzn. Ministerstvo vnitra (dle §3, písm. e)
2.Ministerstvo vnitra následně informuje příslušné pracoviště Národního bezpečnostního úřadu
Dílčí závěr
17
Scénář #2 - Nebezpečný kód
18
19
Situace by pro odesílatele datové zprávy nemusela být jednoduchá
Zákon nepočítá s tím, že by byla doručena infikovaná zpráva
Pokládá i takovou zprávu, pokud systémem úspěšně prošla, za platně doručenou
Dílčí závěr
20
Scénář #3 - SYNFLOOD (DDOS)
21
22
Stávající scénáře reakce ISDS na DDoS počítají i s možností opakované, časově delší nedostupnosti ISDS
Otázkou zůstává, zda existují, případně jsou realizovatelná, záložní řešení – náhrada služby poskytované prostřednictvím ISDS
Dílčí závěr
23
24
hrozba
hroz
ba
100%
100% 100%
VIS
25
Dostupnost
26
Bezpečnostní požadavky ZKB
řízení rizik dle přesně stanovených vodítek zpracovat Prohlášení o aplikovatelnosti zpracovat Plán zvládání rizik přepracování stávající bezpečnostní dokumentace definice minimální úrovně poskytovaných služeb vytvoření nové bezpečnostní dokumentace zaznamenávání činností organizace nové požadavky pro bezpečnostní monitoring v oblasti
detekce kybernetických útoků
27
Náklady na implementaci ZKB(ISDS)
náklady na provedení změn při zachování úrovně dostupnosti služby (99,9%) budou značné
(Odhad: až na několik desítek milionů Kč)
je nutné také počítat z vyššími provozními náklady (Odhad: statisíce Kč měsíčně)
28
Vydání ochranného a reaktivního opatření
náklady nelze předem vyloučit a tedy je nelze ani přesně vyčíslit
procesy spojené s aplikací reaktivních a ochranných opatření nepočítají např. s veřejnou soutěží, nelze proto garantovat čas aplikování požadovaných opatření