Egészséges, biztonságos létünket, élettevékenységünket meghatározó tényezők
Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó
description
Transcript of Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó
![Page 1: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/1.jpg)
Biztonságos-e az Ügyfélkapu?
Dr. Dedinszky Ferenckormány-főtanácsadó
informatikai biztonsági felügyelőMiniszterelnöki Hivatal
Infokommunikációs Államtitkárság
Budapest, 2009. 05. 26.
![Page 2: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/2.jpg)
A válaszhoz
• Miért merült fel a kérdés?
• Mit értünk biztonság alatt?
• Hogyan védekezhetünk?
• Minek a biztonságáról beszélünk?
• Az azonosítás biztonsága
• A továbbított adatok biztonsága
• A szakrendszerek biztonsága
• Mi „van”, és mi várható?
• A válasz
![Page 3: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/3.jpg)
Miért szükséges a biztonság?
Tény:Az észt közigazgatási rendszer ellen intézett támadás (2007.), majd pár
hónappal később egy időben 1000-nél több belorusz cég portálja ellen.„Az azonos időben küldött, interneten feltett kérdések hatására lebénult
számos kormányzati oldal, köztük a védelmi, és a külügyminisztérium honlapja, vezető napilapok és bankok oldalai sem voltak elérhetőek.”
A világ számos pontjáról egy időben, összehangoltan indult támadás a célként kijelölt szerverek ellen, amelyben fertőzött magyar gépek is részt vettek.
Eszköze: zombi-gépek, botnet
Minél fejlettebb egy ország informatikai rendszere, és minél nagyobb ezek igénybevétele, annál nagyobb az esélye az adott országot fenyegető
informatikai támadás bekövetkeztének.
![Page 4: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/4.jpg)
Miért szükséges a biztonság?
Tény:A nemzetközi felmérések szerint a lakossági számítógépek
86%-át érik rendszeresen támadások. Közvetett támadások megjelenése: „social engineering” módszerekkel (Lásd Kevin Mitnick: A legendás hacker c. könyvei)
Eszközök: adathalászat (phishing), trójaiak, botnet
Ezek eredményessége a lakosság informatikai biztonsági ismereteinek hiányosságaiból adódnak
![Page 5: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/5.jpg)
Miért szükséges a biztonság?
A világban a kormányzati informatikai alkalmazások ellen egyre nő a támadások száma!
Nem követni, hanem megelőzni akarjuk a nem kívánt eseményeket!
Alapelv: Zárt, teljes körű, folytonos és kockázatokkal arányos
megoldások szükségesek
![Page 6: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/6.jpg)
Mire kell figyelni?
Veszélyek
Rendszerekre, szolgáltatásokra• Rosszindulatú támadások• Adatokhoz hozzáférés kívülről• Üzemzavarok• Adatokhoz hozzáférés belülről
Személyi/személyes adatokra• Azonosító adatok eltulajdonítása (személyiséglopás)• Bizalmas, személyes információkkal visszaélés
„Pénztárcánkra”• Banki információk megszerzése (adathalászat, social engineering)• Kifizetett szolgáltatások nemteljesítése
![Page 7: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/7.jpg)
Mit értünk biztonság alatt?
• Bizalmasság (hozzáférhetetlenség - illetéktelenek által megszerzés, betekintés, másolás)
• Hitelesség (megváltoztathatatlanság - illetéktelenek által, illetve nem szabályozott módon – programhibák, dokumentálatlan operátori beavatkozás, adatátviteli „zaj” felismerése)
• Sértetlenség (fizikai meghibásodás esetén visszaállíthatóság – mentési rendszerek, katasztrófa-tervek)
• Rendelkezésre állás (ha mindenkitől elzárjuk, akkor biztonságos (???) – és ha változás van? (meg egyáltalán... akkor minek???)
![Page 8: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/8.jpg)
Hogyan védekezhetünk?
Technikai megoldások (DE – a támadók mindig egy lépéssel előbb járnak)
Megelőzés (szabályozás, szankciók (Btk.), felvilágosítás/tájékoztatás)
Szervezeti teendők• Rendszer- és programfejlesztés során• Üzemeltetés során• „Proaktív” lehetőségek (felhasználók tájékoztatása)• Ha beüt a „krach”
Felhasználók körültekintése• „Gyanús jelek” esetén bizalmatlanság• Lehetőleg gyakori jelszóváltoztatás• Csak „tiszta forrás” használata (eredeti honlapról belépés)• Védjük a gépünket
![Page 9: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/9.jpg)
Minek a biztonsága?
Milyen kontextusban merül fel a kérdés?
• Adatok• Adatátviteli hálózat• Feldolgozó (tároló) rendszer
Konkrétan az Ügyfélkapura vonatkozóan:• Ügyfélkapus bejelentkezés (azonosítás)• Központi Rendszeren keresztül továbbított adatok• Szakrendszerekben feldolgozott és tárolt adatok
![Page 10: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/10.jpg)
Az azonosítás biztonsága
Elv: A kockázattal arányos, szükséges és elégséges mértékű biztonság garantálása
• az azonosítás az online banki rendszerekkel azonos biztonságú (személyes megjelenés, „erős” jelszó, változtatás módja – kapcsolódó e-mail cím) – (>760 ezer)
• elektronikus aláírással regisztrálási lehetőség – (782)
• a jelszavak még az üzemeltetők számára sem hozzáférhetők
Az Ügyfélkapu indulása, 2006. április 1. óta a rendszer Az Ügyfélkapu indulása, 2006. április 1. óta a rendszer több mint 28 millió tranzakcióttöbb mint 28 millió tranzakciót bonyolított le, bonyolított le,
és az azonosítás „gyengeségére” visszavezethetőés az azonosítás „gyengeségére” visszavezethetőbiztonsági esemény nem következett bebiztonsági esemény nem következett be!!
![Page 11: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/11.jpg)
Attribútumok(feladó neve, kinek a nevében teszi,mit küld, kinek küldi)Tartalom leíró metaadatok
Közmű boríték
Hitelesítő attribútumok
Felhasználó által csomagolt (titkosított) tartalom
Felhasználói boríték
A továbbított adatok biztonsága
Az azonosítás és az adattovábbítás két különböző funkció!Az azonosítás és az adattovábbítás két különböző funkció!AdattovábbításAdattovábbítás: : bármilyen elektronikus aláírás bármilyen elektronikus aláírás (titkosító algoritmus) lehet, ha a (titkosító algoritmus) lehet, ha a
hivatal rendelkezik a nyilvános kulccsalhivatal rendelkezik a nyilvános kulccsal(Az ABEV programban az egyedi titkosító (privát) kulcs minden formanyomtatvány (Az ABEV programban az egyedi titkosító (privát) kulcs minden formanyomtatvány
része! – ÁNYT/ÁNYK -> KIB ajánlás)része! – ÁNYT/ÁNYK -> KIB ajánlás)
1.A felhasználók személyazonosítás után tudják a különböző alkalmazásokban 1.A felhasználók személyazonosítás után tudják a különböző alkalmazásokban összeállított dokumentumaikat becsomagolt (titkosított) tartalomként a hatóság összeállított dokumentumaikat becsomagolt (titkosított) tartalomként a hatóság postafiókjába küldenipostafiókjába küldeni
2. A becsomagolt tartalom a rendszer által továbbítandó, de nem feldolgozandó 2. A becsomagolt tartalom a rendszer által továbbítandó, de nem feldolgozandó (nem bontja fel, nem dekódolja – ehhez a kulcs nem áll rendelkezésére)(nem bontja fel, nem dekódolja – ehhez a kulcs nem áll rendelkezésére)
3. A becsomagolt tartalomhoz a szállító réteg által értelmezhető és értelmezendő 3. A becsomagolt tartalomhoz a szállító réteg által értelmezhető és értelmezendő leíró adatok (attribútumok) tartoznak (címzett, feladó, hash, stb.)leíró adatok (attribútumok) tartoznak (címzett, feladó, hash, stb.)
4. A rendszer ezen leírók alapján végzi el a becsomagolt tartalommal a szükséges 4. A rendszer ezen leírók alapján végzi el a becsomagolt tartalommal a szükséges műveleteketműveleteket
![Page 12: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/12.jpg)
A szakrendszerek biztonsága
Jelenleg: egyedileg változó – de megfelelő biztonságú (informatikai biztonsági felügyelő ellenőrzési jelentései: KR, APEH, KEKKH, OEP) -> a továbbított dokumentumok >80%-a e szervezetekhez került.
A 2006. 05. 01. óta forgalmazott >47 millió dokumentum továbbítása során az adattovábbítás és a szakrendszerek biztonsági hiányosságaira visszavezethető esemény nem következett be!* (*mikre vezethetők vissza a bekövetkezette események?)
DE szükségesek:
Egységes, „egyenszilárd” biztonsági követelmények
Egységes informatikai biztonsági politika kialakítása a közigazgatásban – előkészületben az informatikai biztonságról szóló törvény – AUDITÁLÁS!!!
Egységes követelmények és módszertanok – KIB 25. ajánlása (MIBA) és a KIB 28. ajánlásának informatikai biztonsági dokumentumai
Hálózatbiztonsági központ (CERT) – (a konkrét veszélyforrások, veszélyhelyzetek figyelése, detektálása, a megelőzés, elhárítás vagy helyreállítás érdekében módszertan vagy intézkedésminták kiadása)
A Központi Rendszer „külső” védelme (Pajzs fejlesztések)
![Page 13: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/13.jpg)
Biztonságos az Ügyfélkapu?
Biztonságos-e a Központi Rendszer?
IGEN!!!A további fejlesztések további erősítést igényelnek, de a
kockázattal arányosan biztonságos –> az állítást a gyakorlati adatok és tények támasztják alá
Ezek után a kérdés ismét
![Page 14: Biztonságos-e az Ügyfélkapu? Dr. Dedinszky Ferenc kormány-főtanácsadó](https://reader036.fdocuments.net/reader036/viewer/2022062322/5681500e550346895dbdef34/html5/thumbnails/14.jpg)
Köszönöm a figyelmet!