ICT bezpečnost
Tomáš Kříž
2015 České Budějovice
Agenda
• • • • • • •
Úvod ICT bezpečnost Překvapivé možnosti útoků v ŽD Kybernetický zákon Detekce a obrana proti útokům Základní ICT znalosti Závěr
ICT bezpečnost
2
Úvod
• •
Informační a komunikační technologie (ICT) nás reálně denně obklopují v pracovním i soukromém prostředí. V prostředí železnice, ale ne jen tam, se podle mého mínění nejčastěji vyskytují následující názory:
Hlavně, že to funguje a už hodně let Doma to dělám takhle a funguje to dobře Kybernetický zákon je jen další výmysl Jsme nezajímavý, kdo by na nás útočil
ICT bezpečnost
3
Úvod
• •
Realita: Od září 2015 jsou některé ICT systémy SŽDC zařazeny do kritické infrastruktury. Mezinárodní železniční sdružení UIC řeší kybernetickou bezpečnost na železnici
ICT bezpečnost
4
Úvod
•
Co je to kybernetický útok?
ICT bezpečnost
5
Úvod
• •
Kybernetický útok je podle definice v zákoně 181/2014 Sb kybernetický bezpečnostní incident/událost. Kybernetickým bezpečnostním incidentem je narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události.
ICT bezpečnost
6
ICT bezpečnost • • • • •
Žádný ICT systém není na 100% odolný proti kybernetickému útoku. Máme 100% jistotu, že víme, že nevíme. Nelze nikdy prohlásit, že jsme nezajímavý, můžeme být jen „cvičný“ cíl. Účinnost obrany mimo jiné velmi závisí na rychlosti nalezení příznaků hrozby a správného vyhodnocení reálného útoku. Není kouře bez ohně a malé ohníčky můžou společně způsobit velký požár.
ICT bezpečnost
7
ICT bezpečnost • • • •
Současně prováděný útok může být také jen krycí manévr a může posloužit jako příprava na další útok. Poznatky z odezvy na útok může sloužit jako podklady pro zpřesnění parametrů dalšího útoku. Rychlé zastavení útoku nemusí být vždy účelné, protože se nemusíme dovědět zdroj a pohnutky útoku. Nastavené a otestované postupy pro zdokumentování útoku, jeho zastavení a provedení nápravných opatření je třeba neustále kontrolovat a vylepšovat. Je to nikdy nekončící příběh.
ICT bezpečnost
8
Překvapivé možnosti útoků na zařízení • •
•
•
Připojování zařízení, které byly vyvíjeny v době, kdy se nepředpokládala konektivita do „IP sítí“ V současnosti velmi používaná zkratka IoT - Internet věcí. Bohužel by se mělo v mnoha případech používat označení IoST - Internet hloupých věcí. Mezi IoST lze často zařadit i „chytrá“ zařízení, která ve svých operačních systémech mají mnoho neopravených a mnohdy i fatálních bezpečnostních chyb, umožňující útočníkovi získat plnou kontrolu nad tímto zařízením. V budoucnu lze očekávat velký zájem o informace, které byly vytvořeny pomocí „nositelných technologii“. Příkladem jsou informace ze snímačů fyzických stavů při sportovních činnostech.
ICT bezpečnost
9
Překvapivé možnosti útoků v ŽD
• •
Pod útokem v ŽD si nemusíme hned představit postavení špatné vlakové cesty nebo jiné „destruktivní“ činnosti. Útok může vyvolat jen zdánlivé maličkosti v nefunkčnosti systémů, které vyvolají větší či menší stresové situace pro všechny zúčastněné pracovníky a mnohdy i přechod do nouzového režimu a z toho vyplývajíci rizikové stavy či situace.
ICT bezpečnost
10
Překvapivé možnosti útoků v ŽD •
• • •
•
Přístup pracovníků externích servisních organizací do LAN přímo připojenými NB, PC a dalšími nástroji pro servisní zásahy, změnu konfigurace, vytváření záloh atd. Vzdálený přístup a dohled na drážní systémy technologické a komunikační. Vzdálený přístup a dohled na pomocné systémy typu ETS, EZS, atd. Použití koncových zařízení uživatelů v administrativní síti jako přechodový můstek pro přístup do řídících systémů přes jejich vývojové inženýrské systémy. Klasické analogové systémy se mohou stát cílem ICT útoku např.: Využití změny frekvence a fáze vytvářené v pulzních měničích pro řízení trakčních motorů. Dodatečná IP nadstavba pro připojení do datové sítě
ICT bezpečnost
11
Kybernetický zákon č.181/2014 Sb. • •
• •
Kybernetický zákon není blesk z čistého nebe. V minulosti byly již některé činnosti IT „oceněny“ např. v předpise č. 40/2009 Sb. Zákon trestní zákoník v § 230, 231 a 232. Postihy byly směrovány na IT pracovníky, takže to moc lidí nezajímalo. Normy ISO 27 xxx popisovaly procesy, parametry atd., ale nebylo nutno se podle nich řídit. Společnosti jejich plnění považovaly hlavně za marketinkovou a obchodní výhodu.
ICT bezpečnost
12
Kybernetický zákon č.181/2014 Sb. Co kybernetický zákon přináší? • Sám o sobě tvoří jen základní rámec. • Vytváří požadavek na vytvoření procesů a určení zodpovědných osob. • Prováděcí právní předpisy ke kybernetickému zákonu č. 181/2014 Sb. jsou vlastními nositeli požadavků na kybernetickou bezpečnost a to formou vyhlášek. – Vyhláška 315/2014 kritéria pro určení prvků KI nebo VI – Vyhláška 316/2014 vyhláška o kybernetické bezpečnosti a její přílohy – Vyhláška 317/2014 o významných IS a jejich určujících kritériích • Odkaz na dokumenty: www.govcert.cz ICT bezpečnost
13
Detekce a obrana proti útokům • •
•
• •
Standardem je antivirová ochrana na koncových zařízeních Strukturalizace datových sítí a přístupových oprávnění všech úrovní uživatelů, podle stanovených pravidel řízení datových toků mezi jednotlivými částmi sítě, např. pomocí FireWall (FW), přináší významné zvýšení úrovně ICT bezpečnosti. Používání, oddělení správy systémů od provozní komunikace (out of band). Nutný je komplexní sběr informací o datových tocích (ne jejich obsahu !), sběr logů a následná behaviorální analýza shromážděných informací. Z kybernetického zákona vyplývají podle §7 Sb. z. č. 316/2014 některé povinnosti a důsledky i pro servisní a dodavatelské organizace systémů zařazených do kritické nebo vyznamné infrastruktury.
ICT bezpečnost
14
Detekce a obrana proti útokům •
• • •
•
Úroveň ochrany před útoky bude vždy závislá na finančních podmínkách s přímou úměrou na úroveň HW, SW a lidských zdrojů. Bezpečný je pouze systém, který je 100m pod zemí, který nikam a s ničím nekomunikuje . Reálná obrana před útokem je hlavně v detekci jeho přípravy a v rychlosti jeho odhalení. Rychlé vypnutí systémů nemusí být rychlá cesta k zastavení a odstranění útoku. Toto samozřejmě neplátí při ohrožení zdraví a života a nebo hrozbě fatálního zničení zařízení nebo systémů. Pro vypracování nápravných opatření je nutno provést analýzu získaných informací o zdroji, důvodu útoku.
ICT bezpečnost
15
Základní ICT znalosti Uživatelé výpočetní techniky jsou jedním z nejsnáze zranitelným místem obrany a proto musí mít základní znalosti a návyky pro jejich používání: • Uvědomit si, že zařízení mnohdy současně komunikuje do Internetu a do sítí technologických zařízení • Neotevírat soubory .exe jako přílohy v emailu • Neotevírat soubory se „zajímavým“ názvem jako přílohy v emailu. • Neotevírat odkazy na „zajímavé“ weby v emailu. • Používat zdravý rozum a zamyslet se jestli by např. ředitel odboru posílal info o výplatách zaměstnanců. • V otevřené formě neposílat a nepřikládat emailem informace, které jsou nebo mohou být „zajímavé“ pro třetí strany. ICT bezpečnost
16
Rozšířené ICT znalosti •
Uživatelé výpočetní techniky by měli být schopni si alespoň základním způsobem ověřit zdroje emailu a webu pomocí několika příkazů a zasad: Rozpoznat adresu emailu serveru odesílatele emailu Znát příkazy ping, tracert (traceroute), nslookup, whois Zkontrolovat např. na www.virustotal.com podezřelé soubory nebo odkazy Používat zdravý rozum a snažit se hledat reference ke zdrojům informací.
ICT bezpečnost
17
ICT bezpečnost Závěr • •
•
ICT bezpečnost je realita, kterou je nutno se průběžně zabývat. Používat při práci s ICT systémy „hlavu“ a uvědomit si např., že když mám v NB otevřenou nějakou „zajímavou“ web stránku , tak zcela jistě není vhodné přepojit takovýto NB do sítě řídících systémů DŘT. Správné pracovní návyky při práci s ICT systémy používat v pracovním i soukromém životě.
ICT bezpečnost
18
ICT bezpečnost
Děkuji za pozornost Tomáš Kříž krizt@szdc,cz
ICT bezpečnost
19
ICT bezpečnost © Správa železniční dopravní cesty, státní organizace
www.szdc.cz
