Kybernetická bezpečnost v podmínkách SŽDC. Tomáš Kříž

Podobné dokumenty
ICT bezpečnost. Tomáš Kříž České Budějovice

Počítačové sítě Teoretická průprava II. Ing. František Kovařík

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Komunikační protokoly počítačů a počítačových sítí

Základy počítačových sítí Model počítačové sítě, protokoly

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Úvod - Podniková informační bezpečnost PS1-2

Inovace a zkvalitnění výuky prostřednictvím ICT Počítačové sítě Vrstvový model TCP/IP Ing. Zelinka Pavel

INTERNÍ TECHNICKÝ STANDARD ITS

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil,

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Systémy pro sběr a přenos dat

PB169 Operační systémy a sítě

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Monitorování datových sítí: Dnes

Bezpečnostní politika společnosti synlab czech s.r.o.

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Řešení počítačové sítě na škole

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Profilová část maturitní zkoušky 2013/2014

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Koncept BYOD. Jak řešit systémově? Petr Špringl

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic

Flow monitoring a NBA

Profilová část maturitní zkoušky 2017/2018

MODELY POČÍTAČOVÝCH SÍTÍ

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

Bezepečnost IS v organizaci

Technická a organizační opatření pro ochranu údajů

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Identifikátor materiálu: ICT-3-03

1.05 Informační systémy a technologie

Definice pojmů a přehled rozsahu služby

Příloha č. 3: Technické zadání zakázky Instalace a služby pro technologické centrum MÚ Pohořelice

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Zabezpečení v síti IP

1.05 Informační systémy a technologie

Nová áplikáce etesty zá te z ove testová ní

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Technologie počítačových komunikací

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

IT v průmyslu MES systémy Leoš Hons. Bezpečnost v oblasti MES systémů - kde začít?

Flash disky a USB zařízení dobrý sluha, ale špatný pán informačního systému

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

CCNA Help Desk

K čemu slouží počítačové sítě

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Aktivní prvky: brány a směrovače. směrovače

Univerzita Jana Evangelisty Purkyně Automatizace Téma: Datová komunikace. Osnova přednášky

3.17 Využívané síťové protokoly

Koncept centrálního monitoringu a IP správy sítě

Úvod do informačních služeb Internetu

Od teorie k praxi víceúrovňové bezpečnosti

Technické aspekty zákona o kybernetické bezpečnosti

JAK ČÍST TUTO PREZENTACI

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Cloud Slovník pojmů. J. Vrzal, verze 0.9

Zákon o kybernetické bezpečnosti: kdo je připraven?

Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Zákon o kybernetické bezpečnosti Obecný přehled ZKB se zaměřením na technická opatření

Označení: Počet listů: 5 Verze: 1.0 SMĚRNICE ISMS. Název: Pravidla pro uživatele IT systémů. Vytvořil: Schválil: Účinnost od:

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Vypracoval: Ing. Antonín POPELKA. Datum: 30. června Revize 01

KIVS setkání Další postup realizace KIVS

Magic Power vzdálené sledování finančních dat. Popis a funkce systému. Strana: 1 / 6

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Co je počítačová síť?

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Bezpečnost na internetu. přednáška

PŘÍLOHA C Požadavky na Dokumentaci

Příručka nastavení funkcí snímání

Informatika / bezpečnost

Tabulace učebního plánu

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Občanské sdružení CHROPNET Ladova 389\10, Olomouc, IČ: Registrované na Ministerstvu vnitra ČR pod č.j.

Vysílací modul ECT-16

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

Internet - způsoby připojení

Nastavení telefonu Nokia N9

Počítačové sítě. Miloš Hrdý. 21. října 2007

Firewall. DMZ Server

Počítačové sítě. IKT pro PD1

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Přijímací modul ECA-16

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Identifikátor materiálu: ICT-2-05

Y36SPS Bezpečnostní architektura PS

Transkript:

Kybernetická bezpečnost v podmínkách SŽDC Tomáš Kříž

Obecné poznatky a mýty Kancelářské versus technologické systémy Řídící systémy a technologie dopravní cesty Zabezpečovací zařízení Referenční sedmivrstvý OSI model Komplexní pohled na bezpečnost Kybernetický zákon č.181/2014 Sb. Strukturalizace sítě a DMZ (De-Militarizovaná Zóna) Integrita dat Správa a management systémů a aplikací Zabezpečený přístup pomocí VPN Detekce a obrana proti útokům Znalosti při práci s ICT Závěr Agenda

Obecné poznatky a mýty Informační a komunikační technologie (ICT) nás reálně denně obklopují v pracovním i soukromém prostředí. Jednotlivec může pouze částečně ovlivnit míru jejich použití. Jednotlivec může velmi ovlivnit míru informací, které předá do veřejného prostředí přes ICT Žádný ICT systém není na 100% odolný proti kybernetickému útoku. Bohužel máme jen 100% jistotu, že víme, že nevíme. Aplikaci používá hodně lidí, tak je určitě bezpečná Hlavně, že se aplikace rozchodí a předá se uživateli, pak se bude řešit bezpečnost

Obecné poznatky a mýty Nelze nikdy prohlásit, že jsme nezajímaví, můžeme být jen cvičný cíl. Účinnost obrany mimo jiné velmi závisí na rychlosti nalezení příznaků hrozby a správného vyhodnocení reálného útoku. Není kouře bez ohně a hodně zdánlivých maličkostí (malé ohníčky ) mohou ve výsledku způsobit nedostupnost významné služby. To je ten lepší případ. Významně horší případ nastane při tvorbě náhodných chyb nebo změn obsahu přenášených dat.

Obecné poznatky a mýty Realita z pohledu zákona: Od září 2015 jsou některé ICT systémy SŽDC zařazeny do kritické infrastruktury Mezinárodní železniční unie UIC řeší kybernetickou bezpečnost na železnici Co je to kybernetický útok? Kybernetický útok je podle definice v zákoně č. 181/2014 Sb. kybernetickým bezpečnostním incidentem, kdy dojde k narušení bezpečnosti informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických komunikací v důsledku kybernetické bezpečnostní události.

Kancelářské versus technologické systémy Prostředí Intranet Uživatel obvykle spouští a přistupuje ke službě, kterou požaduje v okamžiku přístupu ke koncovému počítači obvykle s profilem uživatel a nepotřebuje administrátorské oprávnění. Prostředí technologické Služby a aplikace běží 24/7 a uživatel je řídí parametry a kontroluje pomocí dohledových systémů. Uživatelé zařízení a systémy sdílí a jejich činnost může mít i fatální důsledky. Nepotřebují oprávnění administrátor, ale jen běžné uživatelské, které má ale mnohdy oprávnění úrovně administrátor. Mnohé systémy nejsou samy o sobě schopné podávat informace pro forenzní analýzu a musí se využít externí systémy v jejich menší či větší blízkosti.

Kancelářské versus technologické systémy Prostředí Intranet Koncová zařízení, na kterých se spouští jednotlivé aplikace, komunikují s interními a externími internetovými uzly, na kterých se ukládají data. Prostředí technologické Koncová zařízení komunikují mezi sebou nebo s centrálními uzly. Zařízení přijímají některé parametry z interních sítí a zároveň předávají jednosměrně ven z technologických sítí (např. diagnostické informace ze zabezpečovacího zařízení). Přímá komunikace do Internetu je zakázaná jako bezpečnostní hrozba a může být povolena jen výjimečně.

Kancelářské versus technologické systémy Prostředí Intranet Konvergence a zpoždění dodání služby v rámci desítek vteřin či minut není obvykle problém, stejně jako jitter v rámci jedné sekundy. Sníží se však komfort dodané služby pro koncového uživatele. V některých případech může dojít k přerušení relace, ale tu lze obvykle znovu obnovit. Prostředí technologické Běžné služby vystačí s konvergencí a zpožděním jako v Intranetu. Některé služby potřebují konvergencí cca 100 ms. Naproti tomu např. vazby mezi měnírnami potřebují konvergenci a zpoždění v řadu desítek ms. Hlasové služby jsou na hranici srozumitelnosti hlasu při zpoždění a jitter cca 100 ms.

Řídící systémy a technologie dopravní cesty Systémy pro řízení dopravní cesty a řídících technologií dopravní cesty jsou specifické pro železniční provoz, přestože mohou být a jsou provozovány na stejné verzi operačního systému jako kancelářské aplikace. Řídící a technologické systémy pro dopravní cestu nemohou přímo ohrozit zabezpečení dopravní cesty. Řídící a technologické systémy pro dopravní cestu mohou ohrozit bezpečnost cestujících a možnost provozování dopravní cesty. Příklad: vlaková souprava bude přistavena na kolej bez nástupiště nebo pro cestující bude přistaven nákladní vlak.

Zabezpečovací zařízení jsou oddělené uzavřené systémy. Bezpečnost dopravní cesty je řešena zadrátovanou závěrovou tabulkou v lokálním reléovém nebo elektronickém stavědle. Systémy pro elektronické zabezpečovací zařízení podléhají daleko přísnějším požadavkům na bezpečnost a spolehlivost, i když také používají operační systémy známé ze světa IT. Pracují s dynamickými stavy a jsou fyzicky i SW oddělené. Souhlas k provedení nějaké činnosti vyžaduje současný souhlas min dvou nezávislých systémů. Komunikace mezi jednotlivými lokalitami je po vyhrazených spojovacích linkách. Komunikace s ostatními systémy s nižší bezpečností třídou je jednosměrná směrem k těmto systémům. Opačná komunikace není navázána přímo do prováděcí skupiny zabezpečovacího zařízení. Zabezpečovací zařízení

Referenční sedmivrstvý OSI model Pro popis datové komunikace mezi aplikacemi se obvykle využívá vertikální struktura referenčního sedmivrstvého OSI. Pro sítě poskytovatelů Internetu je možno se setkat s referenčním čtyřvrstvým TCP/IP modelem. OSI model: Mapování modelu na sebe:

Referenční sedmivrstvý OSI model 1. Fyzická vrstva Definuje prostředky pro komunikaci s přenosovým médiem a s technickými prostředky rozhraní. Dále definuje fyzické, elektrické, mechanické a funkční parametry týkající se fyzického propojení jednotlivých zařízení. Je hardwarová. 2. Linková vrstva Zajišťuje integritu toku dat z jednoho uzlu sítě na druhý. V rámci této činnosti je prováděna synchronizace bloků dat a řízení jejich toku. Je hardwarová. 3. Síťová vrstva Definuje protokoly pro směrování dat, jejichž prostřednictvím je zajištěn přenos informací do požadovaného cílového uzlu. V lokální síti vůbec nemusí být pokud se nepoužívá směrování. Je hardwarová, ale když směrování řeší PC s dvěma síťovými kartami, je softwarová. 4. Transportní vrstva Definuje protokoly pro strukturované zprávy a zabezpečuje bezchybnost přenosu (provádí některé chybové kontroly). Řeší například rozdělení souboru na pakety a potvrzování. Je softwarová. 5. Relační vrstva Koordinuje komunikace a udržuje relaci tak dlouho, dokud je potřebná. Dále zajišťuje zabezpečovací, přihlašovací a správní funkce. Je softwarová. 6. Prezentační vrstva Specifikuje způsob, jakým jsou data formátována, prezentována, transformována a kódována. Řeší například háčky a čárky, CRC, kompresi a dekompresi, šifrování dat. Je softwarová. 7. Aplikační vrstva Je to v modelu vrstva nejvyšší. Definuje způsob, jakým komunikují se sítí aplikace, například databázové systémy, elektronická pošta nebo programy pro emulaci terminálů. Používá služby nižších vrstev a díky tomu je izolována od problémů síťových technických prostředků. Je softwarová.

Referenční sedmivrstvý OSI model Zjednodušený popis OSI modelu na příkladu telefonní sítě: Fyzická vrstva je jako kabeláž Linková vrstva je okruh, včetně definice napěťových a proudových úrovní, k telefonním přístrojům Síťová vrstva je jako přiřazení čísel k jednotlivým telefonním stanicím Transportní, relační a prezentační vrstva je možno chápat jako služby telefonní sítě (blokování nedovolených tel. čísel, indikace čísel, konferenční hovory, záznamník hovorů atd.) Aplikační vrstvu je možno si představit jako uživatele telefonu

Komplexní pohled na bezpečnost Při řešení bezpečnosti, návrhu sítí, návrhu aplikací a jejich managementu je nutno mít neustále na zřeteli jednotlivé vrstvy OSI modelu a dále je nutno fyzicky nebo logicky oddělovat jednotlivé vrstvy mezi sebou, pokud nejsou v oblasti se stejnou bezpečnostní úrovní. Nestačí tedy bezpečnostně vyřešit jednu vrstvu a domnívat se, že je bezpečnost zajištěna. Vždy je nutno provádět komplexní řešení, včetně podrobné dokumentace provedení a popisu obnovy po havárii. V případě kritických nebo významných systémů je nutno také mít informace pro reporting. Příklad: přihlášení uživatele jménem a heslem je nutnost, ale zároveň je třeba definovat z jakých zdrojových IP adres, jakým TCP/IP portem a jakou aplikací smí uživatel přistupovat. Přihlášení uživatele musí být zaznamenáno v dohledových systémech.

Co kybernetický zákon přináší? Sám o sobě tvoří jen základní rámec. Kybernetický zákon č.181/2014 Sb. Vytváří požadavek na vytvoření procesů a určení zodpovědných osob. Prováděcí právní předpisy k zákonu č. 181/2014 Sb. o kybernetické bezpečnosti jsou vlastními nositeli požadavků na kybernetickou bezpečnost, a jsou vydány formou vyhlášek: Vyhláška č. 315/2014 Sb. - kritéria pro určení prvků KI nebo VI Vyhláška č. 316/2014 Sb. - vyhláška o kybernetické bezpečnosti a její přílohy Vyhláška č. 317/2014 Sb. o významných IS a jejich určujících kritériích Odkaz na dokumenty: www.govcert.cz

Kybernetický zákon č.181/2014 Sb. Kybernetický zákon se může zdánlivě jevit jen jako papírová válka s NCKB (Národní centrum kybernetické bezpečnosti) nově je to NÚKIB (Národní úřad pro kybernetickou bezpečnost) Ďábel se však jako obvykle skrývá v maličkostech a zákon tak vytváří několik hlavních požadavků na architekturu datové sítě, procesy a dokumentaci uvedené v bodech níže: Strukturalizace sítě DMZ (De-Militarizovaná Zóna) Integrita dat Správa a management systémů a aplikací Zabezpečený přístup

Strukturalizace sítě a DMZ (De-Militarizovaná Zóna)

Integrita dat Podle zákona by mělo být zaručeno, že data se při přenosu nemohou změnit, nemohou se změnit na úložištích a nemůže s nimi manipulovat neoprávněný uživatel a měnit tak jejich obsah a jejich časové značky. Zdánlivě jednoduché a jasné požadavky, ale jejich naplnění je mnohdy velmi obtížné a někdy i na hranici proveditelnosti.

Správa a management systémů a aplikací Oddělení správcovských rolí na jednotlivé osoby a znemožnění neoprávněného přístupu s rolí administrátor. Management systémů a aplikací neumožňuje nevhodně měnit a nastavovat parametry, odpojovat a vypínat systémy a aplikace atd. Opět zdánlivě jednoduché a jasné požadavky, ale jejich naplnění je mnohdy velmi obtížné a někdy i na hranici proveditelnosti.

Zabezpečený přístup pomocí VPN Přístup pomocí VPN vytváří dojem bezpečné a zabezpečené komunikace k přístupu z externích sítí do interních sítí nebo systémů. Ve skutečnosti může dojít k přímému připojení nezabezpečeného nebo infikovaného počítače k interním systémům. Vlastní připojení pomocí VPN je zabezpečené, ale díky tomu nelze cestou prohlížet a kontrolovat obsah datové komunikace na škodlivý kód. Jedním z řešení je komunikaci ukončit na k tomu určeném zařízení v DMZ mezi administrativní sítí a sítěmi řídících/technologických systémů, z tohoto zařízení pak navázat novou relaci na cílový systém a tu kontrolovat a nahrávat pro možnost pozdějšího vyhodnocení obsahu datové komunikace.

Zabezpečený přístup pomocí VPN Přímé připojení pomocí VPN Připojení pomocí VPN a vloženého vyhrazeného zařízení pro zamezení přímého prostupu z Internetu ke kritickým systémům a možnost kontrolovat a nahrávat činnosti uživatele např. pro následnou forenzní analýzu.

Detekce a obrana proti útokům Systémy na obranu musí být komplexní. Bohužel není jistota, že bezpečný je pouze systém, který je 100 metrů pod zemí a který nikam a s ničím nekomunikuje. Úroveň ochrany před útoky bude vždy závislá na finančních možnostech s přímou úměrou na možný HW, SW a lidské zdroje. Reálná obrana před útokem je hlavně v detekci jeho přípravy a v rychlosti jeho odhalení. Rychlé vypnutí systémů nemusí být rychlá cesta k zastavení a odstranění útoku. Toto samozřejmě neplatí při ohrožení zdraví a života a nebo hrozbě fatálního zničení zařízení nebo systémů. Pro vypracování nápravných opatření je nutno provést analýzu získaných informací o zdroji a důvodu útoku.

Detekce a obrana proti útokům Standardem je použití antivirové ochrany na koncových zařízeních pro kancelářské užití. Naproti tomu koncová technologická zařízení pracující v reálném čase zpravidla nemohou mít antivirovou ochranu nainstalovanou a používanou. Jejich ochranu je nutno řešit jinak. Strukturalizace datových sítí a přístupových oprávnění všech úrovní uživatelů, podle stanovených pravidel řízení datových toků mezi jednotlivými částmi sítě, např. pomocí FireWall (FW), přináší významné zvýšení úrovně ICT bezpečnosti. Používání oddělené správy systémů od provozní komunikace (out of band). V současnosti se nutností stává komplexní sběr informací o datových tocích (ne jejich obsahu!), sběr logů a následná behaviorální analýza shromážděných informací.

Znalosti při práci s ICT Bezpečnost datových síti ve značné míře závisí na některých obecných znalostech a návycích uživatelů výpočetní techniky a tyto dovednosti je nutno neustále zlepšovat: Uvědomit si, že zařízení mnohdy současně komunikuje do Internetu a do sítí technologických zařízení Neotevírat soubory s příponou.exe jako přílohy v emailu Neotevírat soubory se zajímavým názvem jako přílohy v emailu. Neotevírat odkazy na zajímavé weby v emailu. Používat zdravý rozum a zamyslet se jestli by např. ředitel odboru posílal informaci o výplatách zaměstnanců. V otevřené formě neposílat a nepřikládat emailem informace, které jsou nebo mohou být zajímavé pro třetí strany.

Znalosti při práci s ICT Rozpoznat adresu emailu serveru neznámého odesílatele emailu. Pomocí whois ověřit jestli IP adresa zdroje není podezřelá. Na webovém prohlížeči najet na URL odkaz a pomocí kliku pravým tlačítkem a vybráním prozkoumat/zkontrolovat prvek zjistit jestli není odkaz na první pohled nežádoucí. Zkontrolovat např. na www.virustotal.com podezřelé soubory nebo odkazy.

Závěr ICT bezpečnost je realita, se kterou je nutno se průběžně zabývat. Používat při práci s ICT systémy hlavu a uvědomit si např., že když mám v NB otevřenou nějakou zajímavou web stránku, tak zcela jistě není vhodné připojit takto běžící NB např. do sítě řídících systémů DŘT. Správné pracovní návyky při práci s ICT systémy používat v pracovním i soukromém životě. Na soukromých zařízeních rozlišovat a používat účet user a administrátor ve správném čase podle činnosti na těchto zařízeních. Snažit se hledat reference ke zdrojům informací. Říkat dopředu, že tomu nerozumím, není vhodný postoj. Vše, co je uvedeno v mé prezentaci, je postupně aplikováno v datové síti SŽDC s.o.

Děkuji za pozornost Tomáš Kříž krizt@szdc,cz 9722 44537 Otázky?

Správa železniční dopravní cesty, státní organizace www.szdc.cz

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář