Cyber Security 2015 Ministerstvo vnitra připravuje jednotné řešení pro státní správu Ing. Miroslav Tůma, Ph.D. vrchní ředitel sekce provozu ICT, MV ČR 19. února 2015
ZÁKLADNÍ PRINCIP Ministerstvo vnitra si je vědomo své klíčové řídící a strategické role v oblasti ICT státu. Proto připravuje pro státní správu a krajské úřady jednotné řešení implementace zákona a vyhlášek
Implementace CYBER SECURITY Analýza dopadů ZoKB na IS MV Zahájení implementace Cyber Security Mezirezortní spolupráce - jednotnost SOCCR - Security Operation Center for Continuous Reliability
SOCCR - Security Operation Center for Continuous Reliability SOCCR je dohledové centrum ministerstva vnitra pro provoz ICT systémů a kybernetickou bezpečnost SOCCR dohleduje systémy, identifikuje, vyhodnocuje a hlásí incidenty do Národního centra kybernetické bezpečnosti (NBÚ) SOCCR řídí bezpečnost systémů SOCCR provozuje ČPOZ SOCCR je modulární a připraven na další rozvoj
SOCCR poskytuje bezpečnostní služby Sbírá, vyhodnocuje a reportuje provozní a bezpečnostní události 24x7 Identifikuje a řeší bezpečnostní incidenty, hlásí incidenty do NCKB Naplňuje technické požadavky kybernetického zákona Řídí bezpečnost systémů v aktivním a pasivním módu Automatizovaně skenuje technické zranitelnosti systémů Zajišťuje certifikační autoritu Zajišťuje DDoS ochranu (prostřednictvím CMS) Poskytuje bezpečnostní reporting (administrátorský, manažerský ) Podporuje procesy řízení rizik a kontinuity Tým SOCCR = Cyber Incidents Response Team (CIRT) Zajišťuje informační fórum pro bezpečnostní správce a manažery
SOCCR neřeší zatím Nezajišťuje organizační bezpečnost podle zákona Neprovádí (netechnické) audity bezpečnosti Neprovádí školení a vzdělávání uživatelů Neřídí provoz systémů, netvoří zálohy, nearchivuje, neloguje události Nesleduje konkrétní data v systémech, nemá přístup k datům aplikací Nezajišťuje fyzickou bezpečnost systémů (může dohledovat) Nezajišťuje kontinuitu a obnovu systémů (pouze podpora nástrojem BCM) Neřeší všechny požadavky na systémy dle zákona 365/2000 Není forenzní laboratoří (vize 2016+) Neskenuje externí prostředí, fóra, sociální sítě (vize 2016+)
Cyber Security 2015
Aktivní vs. pasivní mód Aktivní mód řídí bezpečnost SOCCR je bezpečnostní administrátor systému SOCCR analyzuje, vyhodnocuje a dává informace zpět do systému, aktivně řeší incident (technicky, procesně), ve spolupráci s administrátory zasahuje do konfigurace SIEM v systému je implementována sonda/agent, sbírá události, vyhodnocuje, do SOCCR zasílá agregované údaje SOCCR vyžaduje plný přístup do systému, implementaci nástroje PIM/PAM + 2FA (administrátorské přístupy) SOCCR provádí automatizované skenování zranitelností s autentizací Honeypot implementován v (interní) síti, aktivně dohleduje technologií IPS/IDS Podpora procesů řízení rizik a kontinuity (SOCCR má nástroj) Pasivní mód dohlíží bezpečnost SOCCR je dohlížitel - pouze dostává informace ze systému SOCCR analyzuje, vyhodnocuje a dává informace zpět do systému, dává doporučení na reakci SIEM získává agregované události z koncového systému pomocí systémového účtu, logy se analyzují až v SOCCR N/A SOCCR má pouze přístup pro čtení SOCCR (ne-)pravidelně skenuje zranitelnosti bez autentizace (s povolením správce systému) N/A SOCCR neřeší procesy RM a BCM, pouze jednoduchá metodická podpora zdarma
Požadavky na systémy - Pasivní mód Specifikujeme standardní rozhraní předmět technického projektu únor 2015, řeší ČPOZ 21 vyhlášky specifikace bezpečnostních událostí Specifikace základních provozních události Na straně systému (hrazeno zákazníkem) Systémy musí přizpůsobit své logování ČPOZ provede analýzu událostí a vybere další pro dohled Systém bude agregovat události podle požadavků rozhraní Systém řeší vlastní konektivitu do SOCCR
Požadavky na systémy Aktivní mód Specifikujeme standardní rozhraní předmět technického projektu únor 2015, řeší ČPOZ 21 vyhlášky specifikace bezpečnostních událostí Specifikace základních provozních událostí ČPOZ Implementuje do systému sondy/agenty Na straně systému (hrazeno zákazníkem) Systémy musí přizpůsobit své logování, příp. další úpravy ČPOZ provede analýzu událostí a vybere další pro dohled ČPOZ optimalizuje sběr událostí, změní nastavení systému
Rozvoj SOCCR 2016+ Rozšířit tým a nástroje pro skenování veřejných fór, medií, sociálních sítí pro korelaci interních událostí s podezřelými událostmi v externím prostředí Získávat informace o všech hrozbách z různých zdrojů a koncentrovat úsilí na relevantní nebezpečné případy Vytvořit SOCCR Intelligence Database shromažďuje a koreluje všechny události Vytvořit forenzní laboratoř pro vyšetřování kybernetických incidentů Automatizovat procesy řízení rizik a kontinuity Rozšířit bezpečnostní reporting o stavu systémů (Big Data)
Děkuji Vám za pozornost Ing. Miroslav Tůma, Ph.D. vrchní ředitel sekce provozu ICT, MV ČR 19. února 2015