Ne-bezpeční zemědělci Information Security & earchiving Conference Praha, 29.4.2015 Ing. Zdeněk Adamec, CISM Ministerstvo zemědělství ČR
Ministerstvo zemědělství ČR Ústřední orgán státní správy pro zemědělství, vodní hospodářství, potravinářský průmysl a pro správu lesů, myslivosti a rybářství, mimo území národních parků Ústřední orgán státní správy ve věcech komoditních burz veterinární péče rostlinolékařské péče péče o potraviny péče o ochranu zvířat proti týrání pro ochranu práv k novým odrůdám rostlin a plemenům zvířat
Ministerstvo zemědělství ČR Počet zaměstnanců: cca. 800 Roční obrat: 40 mld. Kč Objem dlouhodobého nehmotného majetku: 1,5 mld. Kč Objem dlouhodobého hmotného majetku: 2,6 mld. Kč Roční rozpočet ICT Opex: 500 Mio CZK Capex: 150 Mio CZK Rozpočet ICT v celém resortu MZe cca. 2,7 mld. CZK
Celkové náklady MZe na ICT 2008-2014 1 200 000 000 Kč MZe: Náklady na ICT 2008-2014 1 000 000 000 Kč 800 000 000 Kč 600 000 000 Kč 400 000 000 Kč 200 000 000 Kč 0 Kč 2008 2009 2010 2011 2012 2013 2014 investice neinvestice celkem
Ministerstvo zemědělství ČR Rozsah infrastruktury Počet lokalit s technologiemi: 3 Počet provozovaných serverů: 450 Počet databází: 110 Počet provozovaných aplikací: 150 Počet významných systémů (dle ZoKB): 5 Počet účtů interních zaměstnanců: 695 Počet farmářských účtů: 38 470 Externí dodavatelé Počet externích dodavatelů: 45 Počet všech dodavatelských účtů: cca 600 Počet administrátorských dodavatelských účtů: 220
Zemědělci měli IT vždycky rádi!
Náš pohled na IT bezpečnost Jedna z prioritní oblastí pro ústřední orgán státní správy Jedna z nepřenositelných funkcí ICT Personální pokrytí IT bezpečnosti v rámci MZe do r. 2013 1 interní zaměstnanec v rámci oddělení provozu ICT externí dodavatelé na běžné soustavné činnosti od 1.5.2015 Odbor centrálních IS a kybernetické bezpečnosti Oddělení kybernetické bezpečnosti 6 zaměstnanců + externí ruce (speciální činnosti)
Priority Klíčové IS v externích datacentrech ve správě externích dodavatelů Zákon o kybernetické bezpečnosti SIEM Monitoring privilegovaných uživatelů Síťová bezpečnost, 802.1x Správa identit Security incident management
SIEM Původní stav (počátek 2014) Vyhodnocování incidentů zajištěno dodavatelem Integrovaných zdrojů: cca 25 Integrovaných vlastních zdrojů (aplikací): 0 Výstupů podporujících procesy bezpečnosti: 0 Současnost Vyhodnocování incidentů zajištěno interními zaměstnanci Integrovaných zdrojů: 186 Integrovaných vlastních zdrojů (aplikací): 4 Výstupy podporující procesy bezpečnosti: 11 Vytvoření uživatelského účtu, přidělování VPN, WiFi, admin přístupu, přidělení privilegovaného oprávnění, přidání serveru do domény, apod.
SIEM Cílový stav Integrace registrů a aplikací rezortu MZe Napojení na plánovaný systém pro správu bezpečnostních incidentů Automatická detekce neschválených změn provedených v IT prostředí Rozvoj s ohledem na sledování dodržování interních směrnic Podpora pro Zákon o kybernetické bezpečnosti (181/2014 Sb.)
SIEM - before Dodavatel ArcSight Express Web Management Console ESM Manager MZe Těšnov Hostingové centrum ArcSight Express ArcSIght SmartConnectorServer ArcSight SmartConnector Server
SIEM - after Zaměstnanec MZe ArcSight Express Web Management Console ESM Manager Security Incident Management ArcAight SmartConnector Server rezort typu A (bez LM/SIEM) MZe Těšnov Hostingové centrum ArcSIght SmartConnectorServer ArcSight Express SIEM/LM ArcSight SmartConnector Server rezort typu B (s vlastním LM/SIEM)
Monitoring privilegovaných uživatelů Výchozí stav Systém nenasazen Současný stav Výběrové řízení na řešení, které musí splňovat minimálně následující požadavky: Řídit a sledovat použití neosobních privilegovaných účtů Eliminovat sdílení hesel, zajištění odpovědnosti konkrétního uživatele Monitorovat veškeré aktivity dodavatelů v prostředí MZe Budou zřízení přístupové body, které budou sloužit jako jediné brána do infrastruktury MZe Na těchto přístupových bodech budou nahrávány uživatelské relace, ze kterých budou generována metadata pro strojové vyhodnocování (např. spuštěné příkazy, otevřená okna, apod.) Integrovat výstupy do SIEM systému Metadata budou vyhodnocována v SIEM nástroji Korelace s ostatními událostmi z prostředí MZe (např. bude probíhat ověřování, že veškeré uživatelské relace na cílové systémy jsou navazovány z přístupových bodů a jsou tak tím pádem nahrávány)
Monitoring privilegovaných uživatelů Internet Dodavatelé CMSI Hostingové centrum MZe Těšnov Přístupový server Přístupový server Zaměstnanci Přístupový server Přístupový server Technologie MZe Technologie MZe SIEM
Monitoring privilegovaných uživatelů Průběh výběrového řízení Vnitřní připomínkové řízení Příprava technické specifikace Finalizace zadávací dokumentace Zveřejnění výběrového řízení Příprava zadávací dokumentace 1.9.2014 1.10. 1.11. 1.12. 1.1.2015 1.2. 1.3. 1.4. 17.4.
Security incident management Počet bezpečnostních nálezů 10/2014 4/2015: 20 Detekované nesoulady s bezpečnostními standardy (zranitelnosti) Doposud uzavřeno: 5 Důvody stále otevřených nálezů: Netriviální dopady na produkční systémy Potřeba nových technologií Počet incidentů: 15 měsíčně (viry, spam, false positives, apod.) Počet schvalovaných změn: 40 měsíčně Počet vydaných stanovisek: 5 měsíčně
Security incident management 20 Počet otevřených bezpečnostních nálezů 18 16 14 12 10 8 6 4 2 0 X.14 XI.14 XII.14 I.15 II.15 III.15 IV.15
Závěr IT bezpečnost Jedna z klíčových interních kompetencí ICT státní správy Identifikujte správné priority Kde mám svá kritická data a kdo k nim má přístup? Zákon o kybernetické bezpečnosti Pozitivní dopad: zviditelnění oblasti IT bezpečnosti Pozor: objevují se nejrůznější nabídky na vyřešení požadavků zákona Nezapomínejte řídit očekávání (především časová) Ten, kdo se první rozhodne zavést řád, musí provést úklid za všechny Soutěžení v režimu ZVZ
Děkuji za pozornost! Zdeněk Adamec, Ministerstvo zemědělství ČR zdenek.adamec@mze.cz