ICT bezpečnost. Tomáš Kříž České Budějovice

Transkript

1 Tomáš Kříž 2015 České Budějovice

2 Agenda Úvod Překvapivé možnosti útoků v ŽD Kybernetický zákon Detekce a obrana proti útokům Základní ICT znalosti Závěr 2

3 Úvod Informační a komunikační technologie (ICT) nás reálně denně obklopují v pracovním i soukromém prostředí. V prostředí železnice, ale ne jen tam, se podle mého mínění nejčastěji vyskytují následující názory: Hlavně, že to funguje a už hodně let Doma to dělám takhle a funguje to dobře Kybernetický zákon je jen další výmysl Jsme nezajímavý, kdo by na nás útočil 3

4 Úvod Realita: Od září 2015 jsou některé ICT systémy SŽDC zařazeny do kritické infrastruktury. Mezinárodní železniční sdružení UIC řeší kybernetickou bezpečnost na železnici 4

5 Úvod Co je to kybernetický útok? 5

6 Úvod Kybernetický útok je podle definice v zákoně 181/2014 Sb kybernetický bezpečnostní incident/událost. Kybernetickým bezpečnostním incidentem je narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události. 6

7 Žádný ICT systém není na 100% odolný proti kybernetickému útoku. Máme 100% jistotu, že víme, že nevíme. Nelze nikdy prohlásit, že jsme nezajímavý, můžeme být jen cvičný cíl. Účinnost obrany mimo jiné velmi závisí na rychlosti nalezení příznaků hrozby a správného vyhodnocení reálného útoku. Není kouře bez ohně a malé ohníčky můžou společně způsobit velký požár. 7

8 Současně prováděný útok může být také jen krycí manévr a může posloužit jako příprava na další útok. Poznatky z odezvy na útok může sloužit jako podklady pro zpřesnění parametrů dalšího útoku. Rychlé zastavení útoku nemusí být vždy účelné, protože se nemusíme dovědět zdroj a pohnutky útoku. Nastavené a otestované postupy pro zdokumentování útoku, jeho zastavení a provedení nápravných opatření je třeba neustále kontrolovat a vylepšovat. Je to nikdy nekončící příběh. 8

9 Překvapivé možnosti útoků na zařízení Připojování zařízení, které byly vyvíjeny v době, kdy se nepředpokládala konektivita do IP sítí V současnosti velmi používaná zkratka IoT - Internet věcí. Bohužel by se mělo v mnoha případech používat označení IoST - Internet hloupých věcí. Mezi IoST lze často zařadit i chytrá zařízení, která ve svých operačních systémech mají mnoho neopravených a mnohdy i fatálních bezpečnostních chyb, umožňující útočníkovi získat plnou kontrolu nad tímto zařízením. V budoucnu lze očekávat velký zájem o informace, které byly vytvořeny pomocí nositelných technologii. Příkladem jsou informace ze snímačů fyzických stavů při sportovních činnostech. 9

10 Překvapivé možnosti útoků v ŽD Pod útokem v ŽD si nemusíme hned představit postavení špatné vlakové cesty nebo jiné destruktivní činnosti. Útok může vyvolat jen zdánlivé maličkosti v nefunkčnosti systémů, které vyvolají větší či menší stresové situace pro všechny zúčastněné pracovníky a mnohdy i přechod do nouzového režimu a z toho vyplývajíci rizikové stavy či situace. 10

11 Překvapivé možnosti útoků v ŽD Přístup pracovníků externích servisních organizací do LAN přímo připojenými NB, PC a dalšími nástroji pro servisní zásahy, změnu konfigurace, vytváření záloh atd. Vzdálený přístup a dohled na drážní systémy technologické a komunikační. Vzdálený přístup a dohled na pomocné systémy typu ETS, EZS, atd. Použití koncových zařízení uživatelů v administrativní síti jako přechodový můstek pro přístup do řídících systémů přes jejich vývojové inženýrské systémy. Klasické analogové systémy se mohou stát cílem ICT útoku např.: Využití změny frekvence a fáze vytvářené v pulzních měničích pro řízení trakčních motorů. Dodatečná IP nadstavba pro připojení do datové sítě 11

12 Kybernetický zákon č.181/2014 Sb. Kybernetický zákon není blesk z čistého nebe. V minulosti byly již některé činnosti IT oceněny např. v předpise č. 40/2009 Sb. Zákon trestní zákoník v 230, 231 a 232. Postihy byly směrovány na IT pracovníky, takže to moc lidí nezajímalo. Normy ISO 27 xxx popisovaly procesy, parametry atd., ale nebylo nutno se podle nich řídit. Společnosti jejich plnění považovaly hlavně za marketinkovou a obchodní výhodu. 12

13 Co kybernetický zákon přináší? Kybernetický zákon č.181/2014 Sb. Sám o sobě tvoří jen základní rámec. Vytváří požadavek na vytvoření procesů a určení zodpovědných osob. Prováděcí právní předpisy ke kybernetickému zákonu č. 181/2014 Sb. jsou vlastními nositeli požadavků na kybernetickou bezpečnost a to formou vyhlášek. Vyhláška 315/2014 kritéria pro určení prvků KI nebo VI Vyhláška 316/2014 vyhláška o kybernetické bezpečnosti a její přílohy Vyhláška 317/2014 o významných IS a jejich určujících kritériích Odkaz na dokumenty: 13

14 Detekce a obrana proti útokům Standardem je antivirová ochrana na koncových zařízeních Strukturalizace datových sítí a přístupových oprávnění všech úrovní uživatelů, podle stanovených pravidel řízení datových toků mezi jednotlivými částmi sítě, např. pomocí FireWall (FW), přináší významné zvýšení úrovně i. Používání, oddělení správy systémů od provozní komunikace (out of band). Nutný je komplexní sběr informací o datových tocích (ne jejich obsahu!), sběr logů a následná behaviorální analýza shromážděných informací. Z kybernetického zákona vyplývají podle 7 Sb. z. č. 316/2014 některé povinnosti a důsledky i pro servisní a dodavatelské organizace systémů zařazených do kritické nebo vyznamné infrastruktury. 14

15 Detekce a obrana proti útokům Úroveň ochrany před útoky bude vždy závislá na finančních podmínkách s přímou úměrou na úroveň HW, SW a lidských zdrojů. Bezpečný je pouze systém, který je 100m pod zemí, který nikam a s ničím nekomunikuje. Reálná obrana před útokem je hlavně v detekci jeho přípravy a v rychlosti jeho odhalení. Rychlé vypnutí systémů nemusí být rychlá cesta k zastavení a odstranění útoku. Toto samozřejmě neplátí při ohrožení zdraví a života a nebo hrozbě fatálního zničení zařízení nebo systémů. Pro vypracování nápravných opatření je nutno provést analýzu získaných informací o zdroji, důvodu útoku. 15

16 Základní ICT znalosti Uživatelé výpočetní techniky jsou jedním z nejsnáze zranitelným místem obrany a proto musí mít základní znalosti a návyky pro jejich používání: Uvědomit si, že zařízení mnohdy současně komunikuje do Internetu a do sítí technologických zařízení Neotevírat soubory.exe jako přílohy v u Neotevírat soubory se zajímavým názvem jako přílohy v u. Neotevírat odkazy na zajímavé weby v u. Používat zdravý rozum a zamyslet se jestli by např. ředitel odboru posílal info o výplatách zaměstnanců. V otevřené formě neposílat a nepřikládat em informace, které jsou nebo mohou být zajímavé pro třetí strany. 16

17 Rozšířené ICT znalosti Uživatelé výpočetní techniky by měli být schopni si alespoň základním způsobem ověřit zdroje u a webu pomocí několika příkazů a zasad: Rozpoznat adresu u serveru odesílatele u Znát příkazy ping, tracert (traceroute), nslookup, whois Zkontrolovat např. na podezřelé soubory nebo odkazy Používat zdravý rozum a snažit se hledat reference ke zdrojům informací. 17

18 Závěr je realita, kterou je nutno se průběžně zabývat. Používat při práci s ICT systémy hlavu a uvědomit si např., že když mám v NB otevřenou nějakou zajímavou web stránku, tak zcela jistě není vhodné přepojit takovýto NB do sítě řídících systémů DŘT. Správné pracovní návyky při práci s ICT systémy používat v pracovním i soukromém životě. 18

19 Děkuji za pozornost Tomáš Kříž 19

20 Správa železniční dopravní cesty, státní organizace