Nemzetbiztonsági Szakszolgálat
GovCERT bemutatkozás 2014. március 26.
Gyebrovszki Tamás
Áttekintés
Jogszabályi háttér Kiberbiztonsági struktúra GovCERT
Megalakulása Feladat- és hatásköre
Incidensek, fenyegetések Képességek Jövőkép Nemzetközi kapcsolatok Tapasztalatok, kihívások
Jogszabályi háttér I.
1139/2013. (III.21.) Korm. határozat Magyarország Nemzeti Kiberbiztonsági Stratégiájáról 2013. évi L. törvény Az állami és önkormányzati szervek elektronikus információbiztonságáról 65/2013. (III.8.) Korm. rendelet A létfontosságú rendszerek és létesítmények azonosításáról, kijelöléséről és védelméről szóló 2012. évi CLXVI. törvény végrehajtásáról
Jogszabályi háttér II.
233/2013. (VI.30.) Korm. rendelet Az elektronikus információs rendszerek kormányzati eseménykezelő központjának, ágazati eseménykezelő központjainak, valamint a létfontosságú rendszerek és létesítmények eseménykezelő központja feladat- és hatásköréről. 301/2013. (VII. 29.) Korm. rendelet a Nemzeti Elektronikus Információbiztonsági Hatóság és az információbiztonsági felügyelő feladat- és hatásköréről, valamint a Nemzeti Biztonsági Felügyelet szakhatósági eljárásáról
Jogszabályi háttér III.
2013. évi L. törvény - http://njt.hu/cgi_bin/njt_doc.cgi?docid=160206.240508
301/2013. (VII. 29.) Korm. rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=162279.246005
233/2013. (VI. 30.) Korm. rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=161528.244306
65/2013. (III. 8.) Korm. rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=159312.244293
1491/2013. (VII. 29.) Korm. határozat - http://njt.hu/cgi_bin/njt_doc.cgi?docid=162282.246014
1139/2013. (III. 21.) Korm. határozat - http://njt.hu/cgi_bin/njt_doc.cgi?docid=159530.238845
73/2013. (XII. 4.) NFM rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=165312.253034
26/2013. (X. 21.) KIM rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=164331.250717
34/2013. (VIII. 30.) NGM rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=162762.247199
16/2013. (VIII. 30.) HM rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=162751.247185
36/2013. (VII. 17.) BM rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=161994.245440
484/2013. (XII. 17.) Korm. rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=165583.253867
77/2013. (XII. 19.) NFM rendelet - http://njt.hu/cgi_bin/njt_doc.cgi?docid=165667.254105
2013. évi L. törvény (Ibtv.)
Nemzeti elektronikus adatvagyon és létfontosságú rendszerek védelme Biztonsági osztályba sorolása: bizalmasság, sértetlenség, rendelkezésre állás szerint Az információs rendszerek védelméről a szervezet vezetőjének kell gondoskodni A vezetőnek kötelessége együttműködnie a hatósággal (NEIH), tájékoztatást adnia Sérülékenységvizsgálat elvégzése ellenőrzési terv, illetve külön kérés alapján (NBF) Kormányzati Eseménykezelő Központ létrehozása az ágazatok szakmai segítéséért Nemzeti Kiberbiztonsági Koordinációs Tanács létrehozása a szervezetek e törvényben és végrehajtási rendeleteiben meghatározott tevékenységeinek összehangolásáért
233/2013. (VI.30.) Korm. rendelet
A kormányzati eseménykezelő központ feladat- és hatásköre (NBSZ - GovCERT) Az ágazati eseménykezelő központok feladat- és hatásköre A létfontosságú rendszerek és létesítmények eseménykezelő központjának feladat- és hatásköre (BM OKF - Létfontosságú Rendszerek és Létesítmények Informatikai Biztonsági Eseménykezelő Központja [LRLIBEK])
A jogszabályi környezet felülvizsgálata
A törvény szervi hatályának kérdése
Határidők és szankciórendszer
Két szintű eljárásrend egyértelmű rögzítése a vonatkozó jogszabályokban
Ibtv.-ben megjelenő továbbképzési szisztéma pontosítása
Az incidens bejelentés„egy csatornássá” tétele, a hatóságok közötti együttműködés rendjének pontos kidolgozása
A szakhatósági tevékenység felülvizsgálata
A biztonsági szintmegállapításának és ellenőrizhetőségének problémája.
Pontatlan megfogalmazás a hiánypótlás jogintézmények kapcsán
Továbbképzési szisztéma pontosítása - adatszolgáltatás, adatközlés, adatvédelem -
Nemzeti és ágazati CERT-ek meghatározása
Munkacsoportok munkájának, hatáskörének meghatározása
IBTV és LRTV / IBTV és ÖTV összehangolása
Kiberbiztonsági struktúra Nemzeti Kiberbiztonsági Koordinációs Tanács
IKMCS Eseménykezelési Munkacsoport IT biztonsággal foglalkozó egyetemek
Belbiztonsági Munkacsoport
Kiberbiztonsági Titkárság
E-közigazgatási munkacsoport
IT biztonsággal foglalkozó cégek, szervezetek
Operatív törzs Energetikai munkacsoport
Gyermekvédelmi munkacsoport
Kiberbiztonsági fórum
Operatív feladatvégrehajtási szint NFM NEIH
KIM NBF CDMA
BM NBSZ GovCERT
A GovCERT megalakulásának körülményei
2013. tavasz – Törvénytervezet készül, amelynek várható hatása miatt az NBSZ kiemelt feladatként előkészíti a Kormányzati Eseménykezelő Központ létrehozását A GovCERT vezetőjének megnevezésével, és maréknyi munkatársával elkezdődtek a szervezési és koordinációs munkálatok 2013. június – A Puskás Tivadar Közalapítvány (Nemzeti Hálózatbiztonsági Központ) irodai és kibervédelmi munkafolyamatainak megismerése Ezen átmeneti időszakban munkatársaink 24 órás közös szolgálatot adnak a PTA munkatársaival 2013. 07. 01 – A GovCERT tényleges megalakulása a PTA többségi feladatainak és infrastruktúráinak, székhelyének átvételével. Ezzel egy időben részlegesen megtörtént a humánerőforrás átcsoportosítás
GovCERT helye a Belügyminisztériumban Belügyminisztérium
Nemzetbiztonsági Szakszolgálat Főigazgató
Főigazgató Általános Helyettese
Főigazgató Fejlesztési és Kutatási Helyettese
Szakértői Intézet
Kormányzati Eseménykezelő Központ
A GovCERT kezdeti lépései
A PTA állami- és önkormányzati szerveket, illetve a nemzetközi kapcsolattartást érintő feladatainak átvételét követően elkezdtük:
A központ elhelyezkedésének feltérképezését a belföldi kibervédelmi struktúrában A külföldi akkreditáló szervezetek megkeresését a közös munka és kapcsolatteremtés végett A GovCERT-en belüli feladat végrehajtás megtervezését és kezdeti koordinációját Az NBSZ más szakterületén dolgozó munkatársak igénybevételét a kibervédelmi feladatok megfelelő ellátásáért Az egységes incidenskezelési eljárásrend alapjainak kidolgozását A személyi állomány felkészítését a kiemelt feladat súlyához mérten A megfelelő és biztonságos irodai- és munkakörülmények megteremtését
Főbb tevékenységeink csoportosítva
Kiberbiztonsági koordinációs tevékenység Nyilvántartások vezetése Kapcsolat az ágazati eseménykezelő központokkal Biztonsági események észlelése Incidensek kezelése Kapcsolatfelvétel és -tartás Megelőző tevékenység Tudatosítás
A GovCERT feladat- és hatásköre I.
Éves jelentést készít a lehetséges veszélyforrásokról és elhárításuk lehetőségeiről Több szervvel együttműködésben véd a globális kibertérből érkező támadások ellen Technikai védelmi, megelőző, koordinációs, szakmai támogató és tájékoztatási tevékenységet végez az állami- és önkormányzati szervek részére Felelős a meghatározott szervek, és az NTG biztonsági eseményeinek kezeléséért Nemzetközi szinten képviseli hazánkat a kibervédelemre szakosodott szervezetekben Fogadja és továbbítja a belföldi és nemzetközi szintről érkező riasztásokat Azok elhárításának koordinálásában központi szerepet tölt be Sérülékenységről / veszélyekről / intézkedésekről nyilvántartást vezet
A GovCERT feladat- és hatásköre II.
Az eseményekről, sérülékenységről, káros szoftverekről jelentést készít Koordinál a megszüntetés érdekében hazai és nemzetközi szervezetekkel Tájékoztatást kérhet az ágazati eseménykezelő központoktól Az eseményeket elemzi, értékeli majd 24 órás szolgálata által értesíti az érintetteket Műszaki adatok és információk figyelésével értékelést végez A gyanús tevékenységeket kivizsgálja és szükség esetén riasztást ad ki Elvégzi a biztonsági események adatainak online vizsgálatát Ajánlásokat és állásfoglalásokat adhat ki a szervezetek magasabb szintű biztonsága érdekében
A GovCERT feladat- és hatásköre III.
Tájékoztatja a hatóságot:
A hatáskörébe tartozó szervezeteket érintő megállapításokról Az eseményekre vonatkozó szabályokról, felelősségi körökről Eseményekről, fenyegetésekről, veszélyekről
A magas szintű biztonság érdekében együttműködik magyar bűnüldöző szervekkel, nemzetbiztonsági szolgálatokkal A stratégiák és ágazati szabályozások kidolgozásában részt vesz Tudatosító kampányokat szervez, hírleveleket készít A tudatosítás jegyében tájékoztató, felkészítő tevékenységet végez Kormányzati eseménykezelési fórumot működtet
A GovCERT feladat- és hatásköre IV.
Sérülékenységekről, eseményekről a következő szerveket tájékoztatja:
Nemzeti Elektronikai- és Információbiztonsági Hatóság Alkotmányvédelmi Hivatal Rendőrség Nemzeti Biztonsági Felügyelet Terrorelhárítási Központ
Kritikus sérülékenység esetén értesíti a rendszerüzemeltetőt az elhárítandó eseményről Javaslatot tesz az elhárítás és kezelés módjára, nem kötelező érvényű állásfoglalásokat adhat ki A rendszerüzemeltető inaktivitása esetén a Hatóság intézkedését kérheti
Bejelentett incidensek típusai
Kéretlen levelek (spam) Robothálózat (botnet) Honlap rongálás (deface) Szolgáltatás megtagadás (Denial of Service) Adathalászat (phishing) Adatvesztés, szivárgás (data loss/leak) Célzott támadás (Advaced Persistent Threat)
Statisztikai adatok (2013. II. félév) A III. negyedév során bejelentetett állami incidensek megoszlása
A IV. negyedév során bejelentett állami incidensek megoszlása
3% 3%
8%
13% 11%
22%
11% 6%
Adathalász
Káros szoftver
Káros szoftver Robothálózat
Robothálózat Túlterheléses támadás
17%
Jogosulatlan hozzáférés
Túlterheléses támadás
Célzott támadás
Célzott támadás 59%
Adathalász
47%
Fenyegetések/veszélyek
Webes tartalmak böngészése
Elektronikus levelezés
Káros URL-ek meglátogatása, fertőzött állományok megnyitása
Közösségi oldalak használatának veszélyei
Feladó egyértelmű azonosítása Téves címzés
Azonnali üzenetküldő szolgáltatások
Illegális és sokszor egyben káros tartalmak megtekintése, letöltése
Adathalászat Hamis megszemélyesítés
Felhőalapú tárhelyek
Újabb, többes dokumentumpéldányok létrehozása Az adattárolás pontos földrajzi helye ismeretlen
Szervezeti kockázatok
Munkavállalók gyakori fluktuációja Gyakori szervezeti változások Elnyúló átszervezések Tisztázatlan felelősségi viszonyok Szabályozatlan információátadási rend Rendezetlen illetékességi kérdések Szabályozatlan munkakörök
Humán kockázatok
Szándékos károkozás
Anyagi ellenszolgáltatás (pl.: külső megbízatás) Bosszúállás (pl.: elbocsátás esetén) Szívesség viszonzása Üzleti kapcsolat fenntartása Jól értesültség sugárzása
Akaratlan károkozás
„Fecsegés” Gondatlanság, képzetlenség (Információ)biztonsági tudatosság hiánya, alacsony szintje Nem tényeken alapuló kockázatérzékelés Alacsony felelősségérzet a virtuális térben
Technológoai kockázatok
Jogosult felhasználók számának növekedése Egyszerű(bb) hozzáférés az erőforrásokhoz Nagy tárolókapacitású mobil eszközök Költséghatékony vezeték nélküli technológiák elterjedése Magántulajdonú IKT eszközök növekvő száma (BYOD)
Jelenlegi képességeink
Információ csere/megosztás/publikálás Információbiztonsági tudatosító kampányok, képzések Kiberbiztonsági incidensek kezelésének koordinációja
Jövőbeli tervek (2014. vége-2015)
Teljeskörű, dinamikus, automatizált kártékony kód elemzés Automatizált naplóállomány elemzés Esemény korreláció Online kártékony kód adatbázis és tudásbázis Korai előrejelző rendszer
Nemzetközi kapcsolatok
Európai Hálózatbiztonsági Ügynökség (ENISA) EU-CERT CERT-ek globálisan ShadowServer Foundation Kaspersky Labs, GData, McAffee Rendszeres részvétel a NATO/EU kibervédelmi és krízishelyzet-kezelési gyakorlatokon
Nemzetközi tagságok
EGC (European Government CERTs group) FIRST (Forum of Incident Response and Security Teams) TI (Trusted Introducer) IWWN (International Watch and Warning Network)
Gyakorlati tapasztalataink/kihívások
Alacsony incidens bejelentési hajlandóság „Rések” a nemzetközi és nemzeti kommunikációs láncban Elnyúló incidens reagálási idő, a kártékony kódok jelenlétének késői észlelése Tapasztalatlan, képzetlen technikai személyzet a szervezeteknél A szervezetek alacsony IT biztonsági szintje A munkavállalók információbiztonsági tudatosságának hiánya / alacsony szintje Adatvédelmi, adatkezelési aggályok
Esettanulmány: CryptoLocker
Típusa: ransomware (zsaroló) Működése: A
felhasználó számára elérhetetlenné teszi a számítógépen található felhasználói állományokat (pl.: Word, Adobe, Excel, képek) 2048 bites egyedi RSA kulccsal titkosít Ellentételezésért cserébe hozzáférést ígér a fájlokhoz
Terjedése
Feltehetően a kártevő mögött álló csoport robothálózat gépeire telepítette először a kódot A kártevő csak a felhasználó számára fontos, saját fájljait titkosítja Rendszerfájlokat nem tesz elérhetetlenné, a rendszert működőképesen hagyja
Védekezés
Megelőzés elsődlegessége, ugyanis a fájlok maradéktalan helyreállítása nem lehetséges Biztonsági mentések sűrítése Patch-management
Folyamatosan frissített tűzfalak, vírusirtó szoftverek Operációs rendszer, alkalmazások naprakészen tartása
A felugró ablakokra történő kattintás átgondolása Ismeretlen címzettől érkező gyanús, ígérettel kecsegtető elektronikus levelek vírusellenőrzése
Ezt láttuk 2013-ban
Erre számítunk 2014-ben
"Egyetlen kép néha többet mond ezer szónál…"
Összefoglalás
Köszönöm a megtisztelő figyelmüket! Incidens bejelentés (0-24) E-mail:
[email protected] Tel: 00 36 (1) 336 4833 Fax: 00 36 (1) 336 4886