NÚKIB Nárdní úřad pr kyberneticku a infrmační bezpečnst a jeh rle Jarslav ŠMÍD
Bezpečnstní rada státu Rada kybernetické bezpečnsti Nárdní úřad pr kyberneticku a infrmační bezpečnst Bezpečnstní infrmační služba Ministerstv vnitra Sekce Nárdní centrum kybernetické bezpečnsti Sekce technická Sekce bezpečnsti digitalizace, vzdělávání, Veřejnprávní smluva Plicie ČR Úřad pr zahraniční styky a infrmace Vládní CERT (GvCERT.cz) Odbr kybernetických bezpečnstních plitik Nárdní centrála prti rganizvanému zlčinu Ministerstv brany Agentura kmunikačních a infrmačních systémů Vjenské zpravdajství Nárdní centrum kybernetických sil 2
3
KYBERNETICKÁ BEZPEČNOST zastřešujícím termínem pr širké spektrum bezpečnstních blastí, zahrnuje všechny preventivní a reaktivní aktivity státu v blasti chrany dat, infrmací, systémů, služeb a sítí smyslem je neustálé navyšvání integrity, dlnsti a rbustnsti infrmační a kmunikační infrastruktury KYBERNETICKÁ OBRANA chrana státu prti pkrčilým, závažným, nepřátelským kybernetickým útkům smyslem je aktivní půsbení v kyberprstru prti útčícím sbám a prti využívané infrastruktuře
Kybernetická kriminalita Trestná činnst, pr kteru je určující vztah k sftware, k datům, respektive ulženým infrmacím, respektive veškeré aktivity, které vedu k neautrizvanému čtení, nakládání, vymazání, zneužití, změně neb jiné interpretaci dat Kybernetický terrismus Kyberterrismus zahrnuje agresivní a excesivní jednání, které je prváděn se záměrem vyvlat strach ve splečnsti, a jehž prstřednictvím je dsahván plitických, nábženských neb idelgických cílů. Za využití kyberprstru a infrmačních a kmunikačních technlgií hržuje chd státu, jeh ústavní zřízení neb branyschpnst mim jiné cílením na kriticku infrmační infrastrukturu a významné infrmační systémy. Kybernetická špináž Užití/zneužití ICT s cílem získat citlivé infrmace bez suhlasu jeh držitele/majitele. Prvádí ji státní i nestátní aktéři za účelem získání strategické, eknmické, plitické, neb vjenské převahy. Kybernetická válka Nárdní stát (či skupiny pdprvané státem) cílí na sítě a systémy jinéh státu za účelem jejich zničení či narušení, způsbení škdy, extrakce/zničení citlivých infrmací, narušení bjeschpnsti, apd. Útky prvádí především specializvané vjenské/zpravdajské jedntky.
Milníky 2011 NBÚ ustanven jak gestr KB vznik Nárdníh centra kybernetické bezpečnsti 2012 2015 Nárdní strategie kybernetické bezpečnsti I. Zákn kybernetické bezpečnsti Nárdní strategie kybernetické bezpečnsti II. 2016 Směrnice NIS 2017 Nvela zákna kybernetické bezpečnsti Vznik NÚKIB Kybernetický balíček EU
Nárdní úřad pr kyberneticku a infrmační bezpečnst - NÚKIB Vznik nvelu zákna kybernetické bezpečnsti k 1. srpnu 2017 Ústřední správní rgán pr: kyberneticku bezpečnst chranu utajvaných infrmací v blasti infrmačních a kmunikačních systémů kryptgraficku chranu prblematiku služby PRS v rámci družicvéh systému Galile Celkem cca 160 zaměstnanců
Služby NÚKIB v blasti kybernetické bezpečnsti Vládní CERT České republiky (GvCERT.CZ) Splupráce s statními CERT a CSIRT bezpečnstními týmy v ČR i v zahraničí Příprava bezpečnstních standardů Kybernetická cvičení, světa a pdpra vzdělávání Výzkum a vývj Ochrana utajvaných infrmací v blasti IS/KS Kryptgrafická chrana Kntaktní míst GALILEO Ukládá správní tresty za neddržení záknných pvinnstí v blasti KB
Struktura NÚKIB Odbr vzdělávání Sekce bezpečnsti digitalizace, vzdělávání, Odbr certifikací Nárdní centrum PRS Ředitel NÚKIB Sekce technická Odbr bezpečnsti infrm. a kmunikačních technlgií Odbr vnitřníh kmunik. a infrm. systému Výzkum a vývj Sekce NCKB Nárdní centrum kybernetické bezpečnsti Vládní CERT (GOVCERT.CZ) Odbr kybernetických bezpečnstních plitik Odbr regulace, auditu, 9
Struktura technické sekce 10
Struktura NCKB 11
Struktura sekce bezpečnsti Sekce bezpečnsti digitalizace, výzkumu, vzdělávání a certifikace 12
Kybernetická bezpečnst, aktivity EU Směrnice NIS Směrnice stanvuje patření pr bezpečnst sítí a infrmačních systémů v rámci Unie s cílem zlepšit fungvání vnitřníh trhu Státy musí přijmut nárdní strategii pr bezpečnst sítí a IS Státy musí určit vnitrstátní příslušné rgány pr blast regulace, jedntná kntaktní místa a týmy CSIRT Státy musí určit prvzvatele základních služeb (PZS) - d 9. 11 2018 Směrnice přím definuje pskytvatele digitálních služeb (PDS) PZS a PDS pvinnst zavést bezpečnstní patření a hlásit incidenty Kybernetický balíček (viz dále) 13
Směrnice NIS - prvzvatelé základních služeb (PZS) Základní služba Služba závislá na infrmačních či kmunikačních systémech Narušení služby by mhl mít významný dpad na zabezpečení činnstí v některém z těcht dvětví: 1. energetika 5. zdravtnictví 2. dprava 6. vdní hspdářství 3. bankvnictví 7. digitální infrastruktura 4. infrastruktura finančních trhů 8. chemický průmysl Infrmační systém základní služby systém, na jehž fungvání je závislé pskytvání základní služby 14
Směrnice NIS - prvzvatelé základních služeb (PZS) PZS budu určváni pdle kritérií stanvených nvu vyhlášku č. 437/2017 Sb. Vyhláška účinná d 1. únra 2018 Na nastavvání kritérií se pdílela pracvní skupina z řad sukrmé i státní sféry (14 pdskupin dle dvětví a pddvětví, cca 100 členů) Pr určení bude nutné naplnit jak dpadvá tak dvětvvá kritéria Odvětví kpírují NIS (+ chemický průmysl) Dpadvá kritéria respektují pžadavky směrnice a zhledňují nárdní pdmínky Kritéria a definice nastavena tak, aby regulace pkryla puze systémy nezbytné pr zajištění služeb (ne např. fakturační, marketingvé systémy ani např. bankmaty) PZS budu určváni rzhdnutím ve správním řízení 15
Směrnice NIS Pskytvatelé digitální služeb (PDS) Pskytvatel digitální služby pskytuje službu: On-line tržiště - umžňuje n-line uzavírat kupní smluvu neb smluvu pskytnutí služeb prstřednictvím internetvé stránky n-line tržiště neb prstřednictvím internetvé stránky prdávajícíh, která využívá službu n-line tržiště Internetvéh vyhledávače Clud cmputingu - umžňuje přístup k rzšiřitelnému a přizpůsbitelnému úlžišti výpčetních zdrjů, jež je mžn sdílet Regulace se netýká malých a mikr pdniků <50 zaměstnanců a rční bilanční suma neb brat <10 mil. Funguje zde princip samurčení naplnění definice = pvinná sba 16
Kybernetický balíček Subr kncepčních a legislativní dkumentů vydaných 13. 9. 2017 Evrpsku Kmisí Jedná se 4 zásadní dkumenty: Sdělení Kmise Parlamentu a Radě kybernetické bezpečnsti Strategický dkument navazující na Strategii EU pr KB Nařízení agentuře ENISA a bezpečnstní certifikaci dva cíle Zavést permanentní mandát pr Agenturu ENISA s dalšími nvými úkly Stanvit právní základ pr splečnu bezpečnstní certifikaci ICT prduktů a služeb uznatelnu napříč celu EU Kncept splečnéh zvládání kybernetických incidentů (tzv. Blueprint) Subr prcesních pstupů, jak reagvat na rzsáhlé přeshraniční incidenty v blasti kybernetické bezpečnsti Dkument harmnizaci směrnice NIS Shrnuje základní cíle směrnice NIS 17
Kybernetický balíček Rzšíření a upřesnění Strategie KB EU z r. 2013 ENISA vytváření certifikačních schémat ICT prduktů Budvání hdntitelských pracvišť labratří, akreditačníh rgánu, dzrvéh rgánu Nastavit strukturvanu splupráci i při incidentech s nižšími dpady Vytváření výzkumných center kmpetence a jejich krdinace Kntaktní místa pr krdinaci vzdělávacích pracvišť 18
Cvičení Technická cvičení - Cyber Calitin, Lcked Shields, Cyber Eurpe, CyberCzech, CyberCzech, CECSP Netechnická / table-tp cvičení - Lcked Shields,Cybereurpe, Crisis management exercise, Strategic TTX, CyberCzech, Další rzvj: Cvičení na klíč dle dvětví Spjení kybernetických cvičení s knvenčními Pdpra mezinárdních partnerů Prpjení technických a netechnických v reálném čase
Vzdělávání E-learning pr zaměstnance veřejné správy Dva mduly: A. Základy kybernetické bezpečnsti: určeny všem, všebecné základy B. Kurz kybernetické bezpečnsti dle ZKB: určen pr pracvníky vyknávající rle dle ZKB Vlena srzumitelná frma s jasnými dpručeními, příklady a návdy, které mhu účastníci využít při práci. Mdul A spuštěn ve třetím čtvrtletí 2017, mdul B na začátku rku 2018. Základní kurz ptenciálně vhdný pr širké spektrum státních zaměstnanců bez hledu na zařazení.
Splupráce s vyskými šklami Cílem pmci šklám při tvrbě nvých studijních prgramů, které budu přím vzdělávat experty na kyber bezpečnst. Pravidelné mapvání prgramů, brů a předmětů prvním krkem. Aktivní spluúčast při výuce předmětů zaměřených na KB. Zejména předmět Kybernetická bezpečnst na MU, UPOL a UNOB. Nabídka stáží na NCKB. Cílem rzšířit znalsti a pvědmí studentů KB. Rvněž prezentace NCKB v rámci studentské kmunity.
Splupráce se středními šklami Mapvání výuky kybernetické bezpečnsti, infrmatiky a ICT i na středních šklách. Pdpra při tvrbě zcela nvéh bru KB/tematickéh celku KB v rámci bru ICT na: SŠIPF v Brně, SŠTE v Brně, SŠIS ve Dvře Králvé; úzká kmunikace se SPŠ Smíchv. Pdpra Středšklské kybernetické sutěže ČR AFCEA - ENISA. Prvníh kla sutěže se zúčastnil téměř 1100 studentů z různých středních škl, druhéh kla se zúčastnil již vice než 3000 studentů Finále se zúčastní 40 nejlepších studentů a studentek z 26 středních škl z celé České republiky. Sutěžící se d finále prbjvali úspěšným abslvváním dvu vyřazvacích nline kl. Nejúspěšnější studenti dstanu v průběhu letních sustředění příležitst ke kvalifikaci d evrpskéh finále, které se uskuteční v říjnu 2018 v Lndýně za účasti 20 týmů z evrpských zemí.
Splupráce se základními šklami Prjekt interaktivníh mdulu Digitální stpa. Cílí na prblematiku rizikvéh chvání v prstředí internetu a sciálních sítí. Přednáškvá a světvá činnst. Na základě žádsti škl připravena přednáška kyberkriminalitě, závadvém jednání a sciálně patlgických jevech, se kterými se lze setkat v prstředí internetu. Šklní diář Přednáškvá činnst pr učitelé a rdiče.
Strategické infrmace a analýzy 25 25
Regulace, audit, pdpra Regulace stanvení, které subjekty a ICT dle kritérií ZKB spadají pd regulaci a které nikliv Regulvané subjekty v naší kmpetenci: KII, VIS a nvě PZS příprava legislativy (aktuálně transpzice Směrnice NIS a vyhlášek k ZKB) Audit (kntrla ZKB) ke kntrle ddržvání ZKB přistupujeme pdbně jak k auditu systému řízení bezpečnsti infrmací pdle ISO 27 001, cž přináší přidanu hdntu i pr regulvané subjekty Pdpra výklad ZKB, výklad vyhlášek metdická pdpra při implementaci ZKB (implementaci rganizačních a technických patření) knzultační a pradenská činnst v blasti kybernetické bezpečnsti pr regulvané subjekty 26
Regulace 27
Stav implementace směrnice NIS v ČR NIS Directive 2017 Nárdní strategie kybernetické bezpečnsti Stanvení bezpečnstních pžadavků na IS/KS Zřídit Cyber Incident Respnse Teams (CSIRT) Ustavit nárdní autritu v blasti KB Stanvit jedntné kntaktní místi pr blast KB ZKB 2015 2017 Nvela ZKB 1. 8. 2017 -> Určit PZS * *** Určit PDS ** *** * Částečně zaveden kritická infrmační infrastruktura ** Nezaveden *** Prbíhá implementace 28
Naše kntrlní činnst v blasti kybernetické bezpečnsti dkazuje, že 80% regulvaných subjektů, nezvládá systém řízení kybernetické a infrmační bezpečnsti. naše pslání je regulvaným subjektům s kyberneticku bezpečnstí pmci.
Práce a aktivity na nárdní úrvni Odbrná pracvní skupina BRS pr hybridní hrzby: Ad hc setkávání k prblematice HH Pracvní skupina pr Smart Cities pd Radu vlády pr udržitelný rzvj Plnění AP Auditu Nárdní Bezpečnsti (ANB)
Výzkum a Vývj (VaV) Aktivity 2017: Zalžení PS k VaV v blasti kybernetické bezpečnsti (MV, MO, TAČR a zpravdajské služby) Jednání s ÚV a TAČR Vytvřit databázi výzkumných prjektů v rámci kybernetické bezpečnsti a pdávat z ní infrmace dalším subjektům (sučinnst s ÚV a TAČR) Ve splupráci s statními rganizačními slžkami státu vypracvat nárdní kncepci VaV v blasti kybernetické bezpečnsti Připravit pdmínky pr zřízení centra kmpetence
Vládní CERT Veřejný sektr a kritická infrmační infrastruktura Struktura týmu: Zpracvání incidentů Vývj a bezpečnstní testvání Síťvá bezpečnst Analytická skupina Základní služby: Reaktivní: zpracvání a řešení incidentů, zpracvání artefaktů a analýza dat Detekční: detekce anmálií, zpracvání indikátrů kmprmitace Praktivní: krdinace v rámci české bezpečnstní kmunity a sdílení infrmací, penetrační testvání, kybernetická cvičení a další 32
Oblasti zaměření SCADA/ICS systémy Penetrační testvání Frenzní úkly Analýza malware a reverzní inženýrství Virtuální prstředí a cludvá řešení Bezpečný vývj a databázvé systémy UNIXvé systémy Windws systémy Síťvá bezpečnst a analýza síťvéh prvzu Hneypty 33
Aktuální situace Rzsáhlé phishingvé kampaně Velké mnžství škdlivéh kódu, převážně ransmware Špinážní malware Těžba krypt měn Rzlžení typů incidentů zůstává přibližně stejné 34
Detekce incidentů Nasazení síťvých snd Nasazení hneyptů Analýza indikátrů kmprmitace a dalších veřejně dstupných dat Systém včasnéh varvání 35
Aktuální prjekty Frenzní labratř Labratř škdlivéh kódu Skenvání zranitelnstí (OWASP) Penetrační testvání ICS / SCADA labratř Budvání scrubbing centra Krdinační centrum pr české bezpečnstní týmy Organizace a účast na nárdních i mezinárdních cvičeních kybernetické bezpečnsti 36
Nabízené služby Pmc s technicku částí zpracvání incidentu Ustavení kmunikace s další stranu Zpracvání artefaktů, technická analýza (frenzní, sítě, malware, ) Knzultace technických řešení Detekční služby IC, Sndy, hneypty,... Open Surce Intelligence (OSINT) Penetrační testvání (externí) 37
Analýzy ministerstev Usnesení Vlády ČR ze dne 8. 2. 2016 č. 104 Subjekty: všechna ministerstva, Pslanecká sněmvna, Senát a Kancelář prezidenta republiky Zjištění aktuální situace v blasti kybernetické bezpečnsti Kntrla indikátrů kmprmitace z incidentu na Ministerstvu zahraničních věcí 38
Analýzy ministerstev Nedstatek lidských zdrjů Nedstatečná pdpra ze strany vedení Nevhdný rzsah systému řízení bezpečnsti Neexistující bezpečnstní mnitring Neexistující sběr lgů (centrální, čast ani lkální) Nedstatečná aktualizace systémů Nedstatečné řízení zranitelnstí Nízké bezpečnstní pvědmí uživatelů Výjimky pr uživatele (nejčastěji management) Závislst na ddavatelích a utsurcing Neexistence centralizvané správy 39
Děkuji za pzrnst