Ne-bezpeční zemědělci

Transkript

1 Ne-bezpeční zemědělci Information Security & earchiving Conference Praha, Ing. Zdeněk Adamec, CISM Ministerstvo zemědělství ČR

2 Ministerstvo zemědělství ČR Ústřední orgán státní správy pro zemědělství, vodní hospodářství, potravinářský průmysl a pro správu lesů, myslivosti a rybářství, mimo území národních parků Ústřední orgán státní správy ve věcech komoditních burz veterinární péče rostlinolékařské péče péče o potraviny péče o ochranu zvířat proti týrání pro ochranu práv k novým odrůdám rostlin a plemenům zvířat

3 Ministerstvo zemědělství ČR Počet zaměstnanců: cca. 800 Roční obrat: 40 mld. Kč Objem dlouhodobého nehmotného majetku: 1,5 mld. Kč Objem dlouhodobého hmotného majetku: 2,6 mld. Kč Roční rozpočet ICT Opex: 500 Mio CZK Capex: 150 Mio CZK Rozpočet ICT v celém resortu MZe cca. 2,7 mld. CZK

4 Celkové náklady MZe na ICT Kč MZe: Náklady na ICT Kč Kč Kč Kč Kč 0 Kč investice neinvestice celkem

5 Ministerstvo zemědělství ČR Rozsah infrastruktury Počet lokalit s technologiemi: 3 Počet provozovaných serverů: 450 Počet databází: 110 Počet provozovaných aplikací: 150 Počet významných systémů (dle ZoKB): 5 Počet účtů interních zaměstnanců: 695 Počet farmářských účtů: Externí dodavatelé Počet externích dodavatelů: 45 Počet všech dodavatelských účtů: cca 600 Počet administrátorských dodavatelských účtů: 220

6 Zemědělci měli IT vždycky rádi!

7 Náš pohled na IT bezpečnost Jedna z prioritní oblastí pro ústřední orgán státní správy Jedna z nepřenositelných funkcí ICT Personální pokrytí IT bezpečnosti v rámci MZe do r interní zaměstnanec v rámci oddělení provozu ICT externí dodavatelé na běžné soustavné činnosti od Odbor centrálních IS a kybernetické bezpečnosti Oddělení kybernetické bezpečnosti 6 zaměstnanců + externí ruce (speciální činnosti)

8 Priority Klíčové IS v externích datacentrech ve správě externích dodavatelů Zákon o kybernetické bezpečnosti SIEM Monitoring privilegovaných uživatelů Síťová bezpečnost, 802.1x Správa identit Security incident management

9 SIEM Původní stav (počátek 2014) Vyhodnocování incidentů zajištěno dodavatelem Integrovaných zdrojů: cca 25 Integrovaných vlastních zdrojů (aplikací): 0 Výstupů podporujících procesy bezpečnosti: 0 Současnost Vyhodnocování incidentů zajištěno interními zaměstnanci Integrovaných zdrojů: 186 Integrovaných vlastních zdrojů (aplikací): 4 Výstupy podporující procesy bezpečnosti: 11 Vytvoření uživatelského účtu, přidělování VPN, WiFi, admin přístupu, přidělení privilegovaného oprávnění, přidání serveru do domény, apod.

10 SIEM Cílový stav Integrace registrů a aplikací rezortu MZe Napojení na plánovaný systém pro správu bezpečnostních incidentů Automatická detekce neschválených změn provedených v IT prostředí Rozvoj s ohledem na sledování dodržování interních směrnic Podpora pro Zákon o kybernetické bezpečnosti (181/2014 Sb.)

11 SIEM - before Dodavatel ArcSight Express Web Management Console ESM Manager MZe Těšnov Hostingové centrum ArcSight Express ArcSIght SmartConnectorServer ArcSight SmartConnector Server

12 SIEM - after Zaměstnanec MZe ArcSight Express Web Management Console ESM Manager Security Incident Management ArcAight SmartConnector Server rezort typu A (bez LM/SIEM) MZe Těšnov Hostingové centrum ArcSIght SmartConnectorServer ArcSight Express SIEM/LM ArcSight SmartConnector Server rezort typu B (s vlastním LM/SIEM)

13 Monitoring privilegovaných uživatelů Výchozí stav Systém nenasazen Současný stav Výběrové řízení na řešení, které musí splňovat minimálně následující požadavky: Řídit a sledovat použití neosobních privilegovaných účtů Eliminovat sdílení hesel, zajištění odpovědnosti konkrétního uživatele Monitorovat veškeré aktivity dodavatelů v prostředí MZe Budou zřízení přístupové body, které budou sloužit jako jediné brána do infrastruktury MZe Na těchto přístupových bodech budou nahrávány uživatelské relace, ze kterých budou generována metadata pro strojové vyhodnocování (např. spuštěné příkazy, otevřená okna, apod.) Integrovat výstupy do SIEM systému Metadata budou vyhodnocována v SIEM nástroji Korelace s ostatními událostmi z prostředí MZe (např. bude probíhat ověřování, že veškeré uživatelské relace na cílové systémy jsou navazovány z přístupových bodů a jsou tak tím pádem nahrávány)

14 Monitoring privilegovaných uživatelů Internet Dodavatelé CMSI Hostingové centrum MZe Těšnov Přístupový server Přístupový server Zaměstnanci Přístupový server Přístupový server Technologie MZe Technologie MZe SIEM

15 Monitoring privilegovaných uživatelů Průběh výběrového řízení Vnitřní připomínkové řízení Příprava technické specifikace Finalizace zadávací dokumentace Zveřejnění výběrového řízení Příprava zadávací dokumentace

16 Security incident management Počet bezpečnostních nálezů 10/2014 4/2015: 20 Detekované nesoulady s bezpečnostními standardy (zranitelnosti) Doposud uzavřeno: 5 Důvody stále otevřených nálezů: Netriviální dopady na produkční systémy Potřeba nových technologií Počet incidentů: 15 měsíčně (viry, spam, false positives, apod.) Počet schvalovaných změn: 40 měsíčně Počet vydaných stanovisek: 5 měsíčně

17 Security incident management 20 Počet otevřených bezpečnostních nálezů X.14 XI.14 XII.14 I.15 II.15 III.15 IV.15

18 Závěr IT bezpečnost Jedna z klíčových interních kompetencí ICT státní správy Identifikujte správné priority Kde mám svá kritická data a kdo k nim má přístup? Zákon o kybernetické bezpečnosti Pozitivní dopad: zviditelnění oblasti IT bezpečnosti Pozor: objevují se nejrůznější nabídky na vyřešení požadavků zákona Nezapomínejte řídit očekávání (především časová) Ten, kdo se první rozhodne zavést řád, musí provést úklid za všechny Soutěžení v režimu ZVZ

19

20 Děkuji za pozornost! Zdeněk Adamec, Ministerstvo zemědělství ČR