Implementace ZKB Kritická informační infrastruktura a Významné informační systémy Jaroslav Šmíd náměstek ředitele NBÚ
Základní milníky související se ZKB v čase
Proces určování/posuzování KII/VIS
Provádění ICT bezpečnosti (PDCA)
2015
2014
2013
2012
Proces implementace ZKB
Zákon o kybernetické bezpečnosti a jeho prováděcí předpisy 181/2014 Sb. – uveden ve Sbírce zákonů dne 29.8.2014, vstup v účinnost 1.1.2015 315/2014 Sb. - Nařízení vlády, kterým se mění nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury 316/2014 Sb. - Vyhláška o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti) 317/2014 Sb. - Vyhláška o významných informačních systémech a jejich určujících kritériích
Aktivity GovCERT.CZ Na čem se pracuje a co se událo: Počátkem roku 2015, kdy začal platit nový zákon o kybernetické bezpečnosti, jsme začali dostávat velké množství kontaktní údajů na osoby odpovědné za „Významné Informační Systémy (VIS)“. S těmito kontaktními údaji, jsme obdrželi další pro nás velmi důležité technické informace. Pro účely shromáždění těchto informací byla vytvořena databáze, kterou jsme nedávno začali těmito daty postupně plnit. V souvislosti se získáváním těchto údajů, jsme subjektům spravujícím VIS, zaslali nabídku námi provozovaných a připravovaných služeb. Většina z oslovených institucí projevila velký zájem o nabízené služby a chtěla je podrobněji prodiskutovat. Z tohoto důvodu jsme začali jednotlivé zástupce zvát na pracoviště NCKB do Brna na diskuze v technické rovině.
Aktivity GovCERT.CZ Na čem se pracuje a co se událo: V rámci proaktivních činností probíhá vývoj nástroje na zpracování dat získávaných od Organizace Shadowserver. Projekt je postaven na základech námi vyvinutého nástroje pro zpracování dat z Botnet Feed, ale z důvodu rozdílnosti zpracovávaných dat je potřeba značných úprav v programu. Co se týče ostatních nástrojů (Botnet Feed a IHAT) využívaných pro proaktivní činnost GovCERT.CZ, tak jsme začali dostávat a reportovat informace týkající se státní správy a VIS.
Kybernetické incidenty v období leden- duben 2015 ČSÚ - DDoS - dne 30. 1. 2015 jsme od Českého statistického úřadu (ČSÚ) obdrželi informace týkající se probíhajících a opakovaných DDoS útoků na webový server czso.cz. První útok na server byl zaznamenán 15. 1. 2015 a trval přibližně dvě hodiny. Další útoky následovaly 19. 1., 23. 1., 24. 1. a 27. 1. Na základě obdržených informací jsme zjistili, že se pravděpodobně nejednalo o cílený útok, který měl za úkol jakkoliv poškodit volby probíhající v nadcházejícím víkendu (31. 1. - 1. 2. 2015), ale jednalo se o chybu v nastavení čínského DNS serveru. Pravděpodobně se jednalo o chybný překlad seznamu předem definovaných domén (torrenty, facebook, twitter) na náhodné IP adresy. Tyto dotazy následně zahlcovaly provozem server czso.cz. Na základě těchto zjištění jsme doporučili určitá řešení. Ta pracovníci ČSÚ konzultovali se správci dotčených serverů, ale vzhledem ke krátké době nezasahovali do nastavení těchto serverů. V současnosti probíhají zátěžové a penetrační testy na novém webu.
Kybernetické incidenty v období leden- duben 2015 Turla (Uroburos, Snake, Carbon) - od CERT-EU a bezpečnostní společnosti BAE System jsme obdrželi dokument týkající se kompromitovaných IP adres a domén. Mezi nimi byla i česká doména hostovaná v Rusku. Dne 3. 3. jsme od BAE Systems obdrželi doplňující informace, že incident Shortener-Bug attack je ve skutečnosti další instancí špionážního malware Turla (Uroburos, Snake, Carbon). Na základě tohoto zjištění došlo ke sloučení s incidentem #1657. V průběhu řešení incidentu jsme požádali jednotlivá ministerstva o kontrolu síťových logů, zda některá ze stanic v jejich rozsahu nekomunikovala se škodlivými webovými stránkami. Ze 14ti oslovených ministerstev (23. 2.) jsme doposud obdrželi vyjádření od 8 z nich. Z osmi konečných výsledků hledání bylo nalezeno 9 potenciálně infikovaných stanic. Tři ministerstva ze 14-ti doposud nikdy nereagovala na naše výzvy.
Kybernetické incidenty v období leden- duben 2015
Zranitelnost FREAK - po zveřejnění informací o zranitelnosti FREAK v protokolu TLS/SSL jsme ve spolupráci s Národním CSIRT týmem zahájili skenování serverů státních institucí, které jsou vůči této chybě v zabezpečení zranitelné. V mezidobí jsme obdrželi anonymní e-mail, který nás na tuto skutečnost upozorňoval. Poté jsme rozšířili sken o další zranitelnosti. V souvislosti se zranitelností FREAK bylo nalezeno 107 potenciálně zranitelných serverů a varováno 73 státních institucí.
Kritická informační infrastruktura (KII) • Komplex informačních a komunikačních systémů (naplňující stanovená průřezová kritéria a odvětvová kritéria v oblasti kybernetické bezpečnosti), jejichž nefunkčnost by mohla způsobit závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu.
KII – proces určování Splněny podmínky pro KII
Jsou dána průřezová (dopadová) kritéria Jsou dána odvětvová kritéria v oblasti kybernetické bezpečnosti
Může narušení bezpečnosti informací způsobit ALESPOŇ jedno z průřezových kritérií?
NE
Jste OSS?
NE
ANO Splňuje Váš IS nebo KS ALESPOŇ jedno z odvětvových kritérií?
Nesplněny podmínky pro KII
NE
KII určeno OOP
ANO KII určeno usnesením vlády
ANO
Kritická informační infrastruktura (KII) – Současný stav určování • Určování prvků KII probíhá ve 3 základních „vlnách“ • 1. vlna – Ministerstva a ústřední správní orgány • 25.5.2015 bylo usnesením vlády určeno 45 prvků KII • 2. vlna – organizační složky státu • 3. vlna – soukromoprávní subjekty • Nyní probíhá 2. a 3. vlna souběžně • K určení/navržení nových KII v rámci 2. a 3. vlny máme připraveno: •
1 prvek KII ministerstva
•
Cca 25 prvků soukromoprávních společností (zejm. bank, energetických společností apod.)
•
Dále probíhá jednání s dalšími energetickými společnostmi, mobilními operátory, zástupci
integrovaných záchranných systémů, certifikačních autorit, s organizačními složkami státu aj.
Predikce a současný stav určování KII prvků v daných oblastech 150
SOUKROMÝ SEKTOR
25 0 30
OSTATNÍ ORGANIZAČNÍ SLOŽKY STÁTU
2 0 30
ÚSTŘEDNÍ SPRÁVNÍ ORGÁNY
2 14 45
MINISTERSTVA
2 31 0
20
predikce celkového počtu Určené KII
40
60
80
100
120
140
prvky KII v procesu určení
160
Předpokládaný poměr prvků KII v daných oblastech (predikce)
ministerstva
17%
ústřední správní orgány 12%
ostatní organizační složky státu
59% 12%
soukromý sektor
Plnění povinností – KII (časová osa)
0. Proces určování prvků KII (oboustranné jednání) – viz. schéma na www.govcert.cz 1. Lhůta pro nahlášení kontaktních údajů 2. Přechodná lhůta (implementace bezpečnostních opatření podle vyhlášky č. 316/2014 Sb.) 3. Plnění povinností podle ZKB (hlášení kybernetických bezpečnostních incidentů, provádění bezp. opatření) 4. Možnost státního dozoru (auditu) ze strany NBÚ – kontrola souladu se zákonem o kybernetické bezpečnosti
Významné informační systémy (VIS) • VIS je informační systém spravovaný orgánem veřejné moci, který není KII a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti orgánu veřejné moci. • VIS naplňují kritéria daná vyhláškou č. 317/2014 Sb. • Pozn.: Správcem VIS nemohou být obce (řečeno ve vyhlášce)
Jste orgánem veřejné moci a zároveň jste správcem IS.
Jste obec nebo městská část?
Schéma určování VIS Za VIS se NEpovažuje IS, jehož správcem je obec nebo městská část (včetně hl. m. Prahy při výkonu působnosti obce).
ANO
NE
Je Váš IS uveden v Příloze č. 1 k vyhlášce o VIS?
ANO
Váš informační systém je VIS.
NE Jsou dána dopadová určující kritéria
NE Splňuje Váš IS některé z výše uvedených kritérií?
Váš IS naplňuje určující kritéria pro VIS.
ANO
Jsou dána oblastní určující kritéria
Interním právním aktem určíte, že systém, jehož jste správcem, je VIS. Zajišťuje Váš IS alespoň jednu zmíněnou oblast?
NE
NE Váš informační systém není VIS.
ANO
Podle přechodných ustanovení § 31 ZKB máte jako správce VIS určité povinnosti (mj. správce IS oznámí tuto skutečnost a své kontaktní údaje NBÚ a to nejpozději do 30 dnů ode dne naplnění určujících kritérií významného informačního systému).
Významné informační systémy (VIS) – Současný stav posuzování • Naplnění kritérií posuzuje správce systému • NBÚ/NCKB poskytuje podporu při posuzování • Zjevné VIS jsou uvedené v příloze vyhlášky č. 317/2014 Sb. • Některé jsou na základě určování KII přeřazeny a v následující novele přílohy budou z
přílohy vyjmuty • Nové systémy, posouzené jako VIS, budou do přílohy přidány • Další VIS jsou postupně jednotlivými orgány veřejné moci nahlašovány • Současný stav počtu VIS činí kolem 113 systémů
o Kraje mají stejné kompetence a působnost – využívají podobné informační systémy o Jejich systémy naplňují podobná kritéria Koordinovaný postup při posuzování a určování VIS o Spolupráce na úrovni Asociace krajů – komise informatiky o Proběhlo několik jednání se zástupci krajů (pracovní úroveň) o NBÚ/NCKB poskytlo metodické materiály a podporu o Na tomto základě vytipovány systémy, které splňují kritéria pro VIS (vycházeno z ISoISVS – z této množiny systémy vybírány) Navrženy IS k projednání na úrovni komise AKČR s návrhem, aby byly plošně určeny jako VIS
19
o Návrh řešení k případné kontrole (státní dozor NBÚ)
o Bude vytvořena příloha „Informační koncepce“, která bude obsahovat tabulku ISVS totožnou s „Informační koncepcí“, kde bude u vybraných ISVS označeno, že je VIS, a ke všem ISVS bude přiložen výstup z excelu (vytvořeného NBÚ), kterým se určuje, zda ISVS je či není VIS. o Tímto bude možné doložit, že se zástupci krajů posuzováním zabývali. Případné rozpory v názoru kontrolního orgánu (státní dozor NBÚ) budou řešeny jako změna.
o Činnost kraje po zjištění, že je provozovatelem VIS
o Od okamžiku zjištění do 30 dnů nahlásit na NBÚ správce VIS. o Za rok – nejbližší možný termín kontroly zavedení opatření popsaných v zákoně a vyhláškách. o V případě plnění opatření (směrnice, vyhlášky, metodický postup atd.) může být využito výstupů činnosti odboru kybernetické bezpečnosti MV. 20
Predikce a současný stav počtu VIS
235 VÝZNAMNÉ INFORMAČNÍ SYSTÉMY
113
0
50
predikce celkového počtu
100
150
200
nahlášené VIS
250
Plnění povinností – VIS (časová osa)
1. Lhůta pro nahlášení kontaktních údajů 2. Přechodná lhůta (implementace bezpečnostních opatření podle vyhlášky č. 316/2014 Sb.) Pozn.: již během přechodné lhůty je nutné plnit případná opatření ze strany NBÚ 3. Plnění povinností podle ZKB (hlášení kybernetických bezpečnostních incidentů, provádění bezp. opatření) 4. Možnost kontroly zavedení bezpečnostních opatření podle vyhlášky č. 316/2014 Sb. ze strany NBÚ
Primární služby NBÚ/NCKB z oblasti KII a VIS •
Určování prvků kritické informační infrastruktury
•
Podpora při posuzování významných informačních systémů
•
Metodická podpora související s problematikou kybernetické bezpečnosti v:
•
•
legislativně-právní oblasti,
•
v oblasti managementu kybernetické bezpečnosti,
•
v technické oblasti.
Provádění auditů kybernetické bezpečnosti v rámci kontrol dodržování zákona
Další činnosti NBÚ/NCKB v oblasti KII a VIS •
Spolupráce s dalšími institucemi i firmami na mezinárodní i národní úrovni
•
Vzdělávání v oblasti problematiky zákona o kybernetické bezpečnosti
•
Příprava podpůrných materiálů
•
Publikace
•
Pořádání osvětových akcí a mnoho dalších …
NCKB – slavnostní otevření 13. května 2014
Děkuji za pozornost www.govcert.cz
