Ne-bezpeční zemědělci Information Security & eArchiving Conference Praha, 29.4.2015 Ing. Zdeněk Adamec, CISM Ministerstvo zemědělství ČR
Ministerstvo zemědělství ČR Ústřední orgán státní správy pro • zemědělství, vodní hospodářství, potravinářský průmysl a pro správu lesů, myslivosti a rybářství, mimo území národních parků Ústřední orgán státní správy ve věcech • komoditních burz • veterinární péče • rostlinolékařské péče • péče o potraviny • péče o ochranu zvířat proti týrání • pro ochranu práv k novým odrůdám rostlin a plemenům zvířat
Ministerstvo zemědělství ČR • • • • •
Počet zaměstnanců: cca. 800 Roční obrat: 40 mld. Kč Objem dlouhodobého nehmotného majetku: 1,5 mld. Kč Objem dlouhodobého hmotného majetku: 2,6 mld. Kč Roční rozpočet ICT • Opex: 500 Mio CZK • Capex: 150 Mio CZK
• Rozpočet ICT v celém resortu MZe – cca. 2,7 mld. CZK
Celkové náklady MZe na ICT 2008 - 2014 MZe: Náklady na ICT 2008 - 2014 1 200 000 000 Kč
1 000 000 000 Kč
800 000 000 Kč
600 000 000 Kč
400 000 000 Kč
200 000 000 Kč
0 Kč 2008
2009
2010 investice
2011 neinvestice
2012 celkem
2013
2014
Ministerstvo zemědělství ČR • Rozsah infrastruktury • • • • •
Počet lokalit s technologiemi: 3 Počet provozovaných serverů: 450 Počet databází: 110 Počet provozovaných aplikací: 150 Počet významných systémů (dle ZoKB): 5
• Počet účtů interních zaměstnanců: 695 • Počet farmářských účtů: 38 470 • Externí dodavatelé • Počet externích dodavatelů: 45 • Počet všech dodavatelských účtů: cca 600 • Počet administrátorských dodavatelských účtů: 220
Zemědělci měli IT vždycky rádi!
Náš pohled na IT bezpečnost • Jedna z prioritní oblastí pro ústřední orgán státní správy • Jedna z „nepřenositelných funkcí“ ICT • Personální pokrytí IT bezpečnosti v rámci MZe – do r. 2013 • 1 interní zaměstnanec v rámci oddělení provozu ICT • externí dodavatelé na „běžné“ soustavné činnosti – od 1.5.2015 • Odbor centrálních IS a kybernetické bezpečnosti • Oddělení kybernetické bezpečnosti • 6 zaměstnanců + externí ruce (speciální činnosti)
Priority • Klíčové IS v externích datacentrech ve správě externích dodavatelů • Zákon o kybernetické bezpečnosti SIEM Monitoring privilegovaných uživatelů Síťová bezpečnost, 802.1x Správa identit Security incident management
SIEM • Původní stav (počátek 2014) – – – –
Vyhodnocování incidentů zajištěno dodavatelem Integrovaných zdrojů: cca 25 Integrovaných vlastních zdrojů (aplikací): 0 Výstupů podporujících procesy bezpečnosti: 0
• Současnost – – – –
Vyhodnocování incidentů zajištěno interními zaměstnanci Integrovaných zdrojů: 186 Integrovaných vlastních zdrojů (aplikací): 4 Výstupy podporující procesy bezpečnosti: 11 • Vytvoření uživatelského účtu, přidělování VPN, WiFi, admin přístupu, přidělení privilegovaného oprávnění, přidání serveru do domény, apod.
SIEM • Cílový stav – – – – –
Integrace registrů a aplikací rezortu MZe Napojení na plánovaný systém pro správu bezpečnostních incidentů Automatická detekce neschválených změn provedených v IT prostředí Rozvoj s ohledem na sledování dodržování interních směrnic Podpora pro Zákon o kybernetické bezpečnosti (181/2014 Sb.)
SIEM - before Dodavatel
ArcSight Express Web
MZe Těšnov
Management Console
ESM Manager
Hostingové centrum
ArcSight Express
ArcSIght SmartConnectorServer
ArcSight SmartConnector Server
SIEM - after Zaměstnanec MZe
ArcSight Express Web
Management Console
ESM Manager
Security Incident Management
ArcAight SmartConnector Server
rezort typu A (bez LM/SIEM)
MZe Těšnov
ArcSIght SmartConnectorServer
Hostingové centrum
ArcSight Express SIEM/LM ArcSight SmartConnector Server
rezort typu B (s vlastním LM/SIEM)
Monitoring privilegovaných uživatelů • Výchozí stav • Systém nenasazen
• Současný stav • Výběrové řízení na řešení, které musí splňovat minimálně následující požadavky: • Řídit a sledovat použití neosobních privilegovaných účtů • Eliminovat sdílení hesel, zajištění odpovědnosti konkrétního uživatele • Monitorovat veškeré aktivity dodavatelů v prostředí MZe • Budou zřízení přístupové body, které budou sloužit jako jediné brána do infrastruktury MZe • Na těchto přístupových bodech budou nahrávány uživatelské relace, ze kterých budou generována metadata pro strojové vyhodnocování (např. spuštěné příkazy, otevřená okna, apod.) • Integrovat výstupy do SIEM systému • Metadata budou vyhodnocována v SIEM nástroji • Korelace s ostatními událostmi z prostředí MZe (např. bude probíhat ověřování, že veškeré uživatelské relace na cílové systémy jsou navazovány z přístupových bodů a jsou tak tím pádem nahrávány)
Monitoring privilegovaných uživatelů Internet
Dodavatelé
CMSI
MZe Těšnov
Hostingové centrum Zaměstnanci
Přístupový server
Přístupový server
Přístupový server Přístupový server
Technologie MZe
Technologie MZe
SIEM
Monitoring privilegovaných uživatelů • Průběh výběrového řízení Vnitřní připomínkové řízení
Příprava technické specifikace
Finalizace zadávací dokumentace Zveřejnění výběrového řízení
Příprava zadávací dokumentace
1.9.2014
1.10.
1.11.
1.12.
1.1.2015
1.2.
1.3.
1.4.
17.4.
Security incident management • Počet bezpečnostních nálezů 10/2014 – 4/2015: 20 – Detekované nesoulady s bezpečnostními standardy (zranitelnosti) – Doposud uzavřeno: 5
• Důvody stále otevřených nálezů: – Netriviální dopady na produkční systémy – Potřeba nových technologií
• Počet incidentů: 15 měsíčně (viry, spam, false positives, apod.) • Počet schvalovaných změn: 40 měsíčně • Počet vydaných stanovisek: 5 měsíčně
Security incident management Počet otevřených bezpečnostních nálezů 20 18
16 14 12 10 8 6 4 2 0 X.14
XI.14
XII.14
I.15
II.15
III.15
IV.15
Závěr • IT bezpečnost – Jedna z klíčových interních kompetencí ICT státní správy
• Identifikujte správné priority – Kde mám svá kritická data a kdo k nim má přístup?
• Zákon o kybernetické bezpečnosti – Pozitivní dopad: zviditelnění oblasti IT bezpečnosti – Pozor: objevují se nejrůznější nabídky na „vyřešení požadavků zákona“
• Nezapomínejte řídit očekávání (především časová) – Ten, kdo se první rozhodne zavést řád, musí provést úklid za všechny – Soutěžení v režimu ZVZ
Děkuji za pozornost! Zdeněk Adamec, Ministerstvo zemědělství ČR
[email protected]
