View
21
Download
1
Category
Preview:
DESCRIPTION
Kritick á infrastruktura st átu a ICT technologie. Jan Müller ICZ a.s. ISSS 2004, Hradec Králové. Plán prezentace. Současná situace Co je to kritick á infrastruktura Pro č ICT technologie Změny v pohledu na KI Situace v ČR Možné postupy – příklady ze zahraničí Příklady řešení (SCADA). - PowerPoint PPT Presentation
Citation preview
Kritická infrastruktura státu a ICT technologie
Jan MüllerICZ a.s.
ISSS 2004, Hradec Králové
2
Plán prezentace
Současná situaceCo je to kritická infrastrukturaProč ICT technologieZměny v pohledu na KI Situace v ČRMožné postupy – příklady ze zahraničíPříklady řešení (SCADA)
3
Tradiční přístup: Civilní Ochrana a Krizové řízení
Katastrofy nebo napadení zvenku: ochrana fyzické infrastrukturyZávažná ohrožení životních funkcíIgnoruje IT infrastrukturu
Roztříštěné řízení po vertikále, nedostatečná analýza vazeb, chybí společná datová základna a infrastrukturaNedostatečná horizontální koordinaceNedostatečná spolupráce s privátním sektorem
4
Ochrana KI – celková situace
Bouřlivý rozvoj CIP (Critical Infrastructure Protection) od poloviny 90 let, zejména pak po 11.9.2001Každá země má ale jiný přístup, od chápání principů CIP, přes terminologii, definici KI, řízení CIP, metodologii, chápání role ICT technologií a ochranu informační infrastruktury (CIIP), atd.Pomalu dochází ke koncensu, že izolovaný pohled nestačí – hlavní problémy leží v komplexnosti a provázanosti společnosti
5
One of the most important lessons we can all learn about Critical Information Infrastructure Protection can be summarised in one word – interdependency.
Stephen CummingsDirector NISCC
6
Proč ICT technologie
Dosud byly v problematice KI zanedbáványPředstavují nové paradigma, které
Poskytuje nové možnosti a služby, ale zároveň otevírá nové zranitelnosti a hrozby mnohonásobně zvyšuje vzájemnou provázanost dalších sektorů KI, která představuje rozhodující aspekt CIP
Ochrana Informační KI (CIIP – Critical Information Infrastructure Protection) je chápána jako část ochrany KI (CIP)
7
Proč ICT technologie
Umožňují rozsáhlé zásahy v reálném světě a jejich zneužití (energetické soustavy, přehrady, distribuční sítě, chemické provozy apod.)
např. v Austrálii hacker Vitek Boden vypustil milion litrů odpadu do řeky
Jsou komplexně propojeny s dalšími komunikačními systémy, kde umožňují těžko předvídatelné zásahy
Např. v lednu 2003 Slammer vyřadil bankomaty Bank of America, byly zrušeny některé lety, v Seattlu byl vyřazen krizový systém 911
8
Co je to kritická infrastruktura
Produkt nebo služba, jehož poškození má celostátní negativní dopadyTypicky např:energie, komunikace, služby (finance, zdravotnictví,potraviny), transport, bezpečnost (i jaderná, záchranné služby), veřejná správa (i infrastruktura a informační zdroje)
9
Co je to kritická infrastruktura
Pohledy na KI se liší i díky geografickým odlišnostem (Holandsko – záplavy, Kanada – meteorologická služba) a dalším specifikům (USA – národní monumenty, přehrady, pojišťovnictví, Itálie – civilní obrana, Švédsko – řízení letového provozu) Už ne jen ohrožení životů a státu, ale jde o zachování běžného provozu společnosti (…aby mohli kanadští občané pokračovat v běžném denním životě …)
10
Rozdíly v pohledu na CIP
Vnímání a základní koncepce, definice kritičnosti Organizační členění, vazba mezi koncepční a exekutivní odpovědností Metodický pohled, role ICT a specificky Inernetu, role provázanostiMíra spolupráce s dalšími subjekty – veřejná správa, privátní sektor, další státy a zahraniční subjekty
11
Rozdíly v pohledu na CIP/CIIP – základní koncepce
Vnímání problematiky a hlavní iniciativa:Problém národní obrany – iniciativa MO (Francie, Švédsko, Nový Zéland)Problém hi-tech kriminality - iniciativa vnitra a policie (Itálie - legislativa, Poštovní a komunikační policie!) Problém ohrožení rozvoje informační společnosti - iniciativa civilních orgánů, veřejné správy a regulačních autorit (Finsko)Problém ohrožení podnikatelských aktivit – iniciativa skupin PPP (Švýcarsko, Anglie)Problém boje proti terorismu (Nový Zéland, USA)
12
Rozdíly v pohledu na CIP – organizační řešení
Většinou roztříštěné řízení po různých organizacích. Několik centrálních systémů, zařazených podle vnímání (obrana, vnitro), ale např. v Rakousku je CIIP v obranné doktríně, ale není centrálně řízenaNyní snaha po jednotném řízení a spojení koncepční a exekutivní odpovědnosti (doporučení iniciativy CRN) – např. DHS plánování i řízení
13
Rozdíly v pohledu na CIP – organizační řešení
Příklady centrálních organizací:ministerstvo v USA (DHS) a nyní i v Kanadě (dříve samostatný úřad OCIPEP - Obrana),Centrální úřad s výkonnou pravomocí v gesci ministerstva, např. Německo:BSI (Vnitro), Švédsko: SEMA (Obrana), UK:NISCC (Home Office)Centrální úřad v gesci ministerstva s koordinační pravomocí – Holandsko: NCC (Vnitro)
14
ICT a Cyberspace
Dříve nepovažován za součást KINyní několik kritických oblastí
Výkon veřejné správy (ISVS)Ekonomika a běžné procesy
Interní informační systémy organizacíVeřejné sítě (Internet) – výměna informací, obchodní transakce (e-tržiště)
Řídící systémy v dalších kritických sektorech (energetika, transport aj.)Vlastní výkon krizového řízení
Holandsko: Internet je součástí KI (program KWINT)
15
Další pilíře ochrany KI
Řešení vzájemné provázanosti oblastíZávislost kritických sektorůHorizontální komunikace
Spolupráce s dalšími subjekty, zejména PPP (Public-Private Partnership) Sdílení informacíSystémy včasného varování (Early warning), permanentní analytická centra
16
Řešení vzájemné provázanosti
Tradičně – rozklad na organizační jednotky, každá vlastní krizový plánKritický charakter závislostí mezi sektory KI
Holandsko: program QuickScan – zmapování závislostí a kaskádových efektů
Zajištění koordinace v různých vrstváchUSA: v DHS je Office of State and Local Government Coordination
Cvičení Livewire (DHS – simulace útoků na KI): problémy s provázaností, komunikace
17
Spolupráce s dalšími subjekty
Obecně - 85% KI v privátních rukouPotřeba koordinace při
Plánování krizového řízení – např. Office of Private Sector Liaison v USAMapování provázaností a vzájemných závislostí – projekt QuickScan v HolandskuŘešení krizových situací - National Cyberspace Response System, pojatý jako public-private partnership
Potřeba mezinárodní koordinace i v ICT a Internetu (cyberspace)
18
Sdílení informací a včasné varování
Např. v USA v rámci PPP v jednotlivých kritických sektorech vznikly centra ISAC (Information Sharing and Analysis Center)CERT – Computer Emergency Response Team. Vznikají na mnoha úrovních, od firem a vysokých škol až po státní úroveň a nadnárodní organizace (NATO, EU)
19
Situace v ČR
Klasická CO, spíše krizové řízení než CIP (podobně jako v Rakousku), narušená po 1990 Roztříštěné řízení, nedostatečná analýza vazeb, chybí společná datová základna a infrastrukturaNedostatečná spolupráce s privátním sektorem Krizový zákon 240/2000 Sb. sice pokrývá i „narušení komunikačních soustav“, ale v oblasti „cyberspace“ zatím malý pokrok
20
Příklad postupu - Holandsko
Národní Koordinační Centrum na MVPlán CIP: 4 kroky, do dubna 2004
QuickScan – zmapování kritických služeb a produktůInventura existujících opatření, samostatné rizikové analýzyDiskuze, analýzy, plánováníImplementace, globální IS o zranitelnostech a vazbách
21
Holandsko – etapa QuickScan
Ukončena v prosinci 2002Koordinováno NCC, řízeno TNO, rozsáhlá spolupráce s privátním sektorem (130 organizací), dotazníky, semináře výsledky: přehled kritických oblastí, odpovědností, ale zejména provázanost (kaskádové šíření efektu)
22
Příklad spolupráce s privátním sektorem - DCS
USA: Vrcholový dokument „National Strategy to secure Cyberspace“ požaduje ochranu všech národních IT aktiv-> program National Cyberspace Security Vulnerability Reduction-> v rámci něho řešení bezpečného řízení průmyslových procesů
23
Příklad spolupráce – DCS a SCADA
Program CyberSecurity of Industrial Control SystemsFinancovaný a řízený jako grant na NIST ($433K pro 2003) pod NIST/NSA programem National Information Assurance Partnership vytvořeno fórum PCSFR z různých průmyslových asociací (včetně IEEE)
24
Příklad spolupráce – DCS a SCADA
Cíle:přehled systémů, zranitelností a hrozebGlobální seznam požadavků na bezpečnost, PP podle ISO 15408Národní testovací polygon (testbed)
Dosažené výsledky:testovací polygon včetně SCADANávrhy profilů a šifrovacích standardů
25
Děkuji za pozornost
Recommended