cciii. â cciv. ÄÃslo - home.nextra.sk

More documents

Recommendations

Info

M I N I S T E R S T V O F I N A N C I Í S R úrovÀou bezpeãnosti v jednej krajine zvy‰uje zraniteºnosÈ a riziká v in˘ch krajinách. S cieºom prekonaÈ túto situáciu je potrebné v rámci Európy vyvinúÈ také úsilie, ktor˘m by sa do vnútro‰tátnych politík a programov vniesla pridaná hodnota t˘m, Ïe by sa podporil rozvoj povedomia a spoloãného chápania t˘chto v˘ziev, podnietilo prijímanie spoloãn˘ch politick˘ch cieºov a priorít, posilnila spolupráca medzi ãlensk˘mi ‰tátmi EÚ a integrovali sa vnútro‰tátne politiky do ‰ir‰ieho európskeho a globálneho rozmeru. V‰eobecn˘m cieºom je preto umoÏniÈ ãlensk˘m ‰tátom EÚ a zainteresovan˘m stranám rozvinúÈ vysok˘ stupeÀ prevencie v oblasti bezpeãnosti sietí a informácií, vãasne ich identifikovaÈ a úãinnej‰ie na ne reagovaÈ. T˘m sa prispeje k zv˘‰eniu dôvery a bezpeãnosti na jednotnom európskom digitálnom trhu a zlep‰í sa konkurencieschopnosÈ európskych aktérov. Tento cieº bol Komisiou rozpracovan˘ v dokumente „Ochrana Európy pred rozsiahlymi kybernetick˘mi útokmi a naru‰eniami: zvy‰ovanie pripravenosti, bezpeãnosti a odolnosti“ (KOM/2009/149 o ochrane kritick˘ch informaãn˘ch infra‰truktúr (KII)) do ìal‰ích ‰pecifick˘ch cieºov, ktor˘mi sú: JednotnosÈ regulaãn˘ch prístupov v oblasti bezpeãnosti sietí a informácií; Predchádzanie, odhalenie a reakcia na incidenty prostredníctvom celoeurópskych plánov pre mimoriadne prípady a cviãenia; Podpora pri vytváraní politík ãlensk˘m ‰tátom; Oprávnenie zainteresovan˘ch strán rozvíjaÈ kultúru bezpeãnosti a riadenia rizika podporou spoloãného vyuÏívania informácií a ‰ir‰ej spolupráce subjektov z verejného a súkromného sektora aj v priamy prospech obãanov, ako aj rozvíjaním kultúry informovanosti o bezpeãnosti sietí a informácií; Posilnením úlohy Európy v medzinárodnom kontexte dosiahnuÈ vysokú úroveÀ spolupráce s tretími krajinami a medzinárodn˘mi organizáciami s cieºom presadzovaÈ spoloãn˘ globálny prístup k bezpeãnosti sietí a informácií a podporiÈ medzinárodné iniciatívy na vysokej úrovni v Európe; Spoloãnou implementáciou uºahãovaÈ spoluprácu pri vykonávaní politík v oblasti bezpeãnosti sietí a informácií a Bojom proti poãítaãovej kriminalite pripraviÈ úãinnú reakciu na aspekty boja proti poãítaãovej kriminalite t˘kajúcej sa bezpeãnosti sietí a informácií prostredníctvom spolupráce s orgánmi druhého a tretieho piliera s ENISA, Europolom a Eurojustom. NOVÉ RIZIKÁ A OHROZENIA Okrem uveden˘ch cieºov súvisiacich s ur˘chºovaním ekonomického, technologického, informaãného, kultúrneho a politického prepájania ‰tátov a kontinentov a zbliÏovania sa ºudstva, priná‰ajú tieto tendencie so sebou aj javy a procesy, ktoré sa vymykajú kontrole jednotliv˘ch ‰tátov a koalícií. OdstraÀujú sa rozdiely medzi zahraniãnou a domácou politikou, globálne finanãné trhy stále viac ovplyvÀujú v˘voj ekonomiky sveta. Tieto tendencie vytvárajú nové, predov‰etk˘m nevojenské v˘zvy, riziká a ohrozenia. Narastá poãet a rôznorodosÈ ÈaÏko ‰pecifikovateºn˘ch bezpeãnostn˘ch v˘ziev a krízov˘ch situácií, ktoré môÏu vyvolaÈ nesúlad vzÈahov medzi ‰tátmi, ba dokonca aj konflikty vo vnútropolitickej ‰truktúre ‰tátov. DIGITÁLNA AGENDA PRE EURÓPU V˘znamn˘m dokumentom zdôrazÀujúcim spoloãné porozumenie a vzájomnú dôveru pre zaistenie stability a bezpeãnosti pri vyuÏívaní IKT v európskom priestore je „Digitálna agenda pre Európu“ predstavená Európskou komisiou v máji 2010. Dokument zdôraz- Àuje potrebu v‰etk˘ch zainteresovan˘ch strán, aby „spojili svoje sily v holistickom úsilí o zaistenie bezpeãnosti a odolnosti infra‰truktúr IKT zameranom na prevenciu, pripravenosÈ a informovanosÈ a aby vyvinuli úãinné a koordinované mechanizmy reakcie na nové a ãoraz sofistikovanej‰ie formy kybernetick˘ch útokov a kybernetickej kriminality“. Je to jedin˘ prístup smerujúci k spoloãnému úspechu. Následne Komisia prijala v septembri 2010 návrh smernice o útokoch na informaãné systémy KOM/2010/517. Jej cieºom je posilniÈ boj proti kybernetickej kriminalite zblíÏením systémov trestného práva jednotliv˘ch ãlensk˘ch ‰tátov a zlep‰ením spolupráce medzi súdnymi a in˘mi relevantn˘mi orgánmi. Predmetom návrhu sú aj ustanovenia umoÏÀujúce rie‰iÈ nové formy kybernetick˘ch útokov, najmä zo sietí infikovan˘ch poãítaãov. Následne Komisia predloÏila návrh na udelenie mandátu na posilnenie a modernizáciu Európskej agentúry pre bezpeãnosÈ sietí a informácií (ENISA) s cieºom podporiÈ dôveru a bezpeãnosÈ sietí, priãom jej hlavnú úlohou je boj proti kybernetickému zloãinu. âinnosÈ agentúry je zameraná na implementáciu politick˘ch cieºov, v˘skum a inováciu, prípravu stratégie pre bezpeãnosÈ internetu a na úsilie o kooperáciu s tretími krajinami s cieºom zamedziÈ útokom z ich priestoru. Posilnením a modernizáciou agentúry ENISA sa pomôÏe EÚ, ãlensk˘m ‰tátom a zainteresovan˘m stranám súkromného sektora rozvíjaÈ schopnosÈ a pripravenosÈ pri prevencii súvisiacej s kybernetickou bezpeãnosÈou. VáÏnosÈ situácie v oblasti ochrany digitálneho priestoru EÚ dokumentuje aj séria zasadnutí ministrov obrany ãlensk˘ch ‰tátov EÚ v Bruseli (zasadnutie Európskej obrannej agentúry NATO (EDA) 23. 5. 2011; rokovanie ministrov obrany ãlensk˘ch ‰tátov NATO 8/9. 6. 2011; zasadnutie EÚ NATO Capability group 20. 6. 2011 a 20. 9. 2011; zasadnutie HLG (ENISA) 10. 10. 2011 a ìal‰ie), kde zastúpenie NATO re‰pektovalo vedúcu úlohu EÚ pre regulatívny rámec telekomunikaãného priestoru a harmonizáciu legislatívy, priãom základ aktivít v oblasti kybernetickej obrany bol stanoven˘ v Európskej bezpeãnostnej stratégii a Pláne rozvoja spôsobilostí z roku 2008 zaktualizovanom v roku 2011. Na zasadnutí EÚ NATO Capability Group v júni 2011 boli definované hlavné priority spolupráce, ktor˘mi sú: medzinárodné prístupy, zdieºanie informácií, spolupráca a zdruÏovanie sa do celkov, transparentnosÈ pri spoloãn˘ch projektoch, zlep‰enie kapacít krízového manaÏmentu EÚ a ãlensk˘ch ‰tátov, zníÏenie poãtu agentúr NATO s poÏiadavkami na vzdelávanie a v˘cvik, komplementarita, ‰tandardizácia a organizaãné zabezpeãenie na pospájanie a fungovanie CERT/CSIRT tímov. AKTIVITY V BEZPEâNOSTI NA NÁRODNEJ ÚROVNI Slovenská republika reagovala na situáciu a poÏiadavky EÚ v oblasti IB vytvorením „Akãného plánu na roky 2009 aÏ 2013 k Národnej stratégii pre informaãnú bezpeãnosÈ v SR“ schváleného uznesením vlády ã. 46/2010. Dokument reflektuje na Smernicu Rady 2008/114/ES o identifikácii a oznaãovaní európskych kritick˘ch infra‰truktúr a zhodnotení potreby zlep‰iÈ ich ochranu a na oznámenie Komisie Európskemu parlamentu, Rade, Európskemu hospodárskemu a sociálnemu v˘boru a V˘boru regiónov o ochrane kritick˘ch informaãn˘ch infra‰truktúr „Ochrana Európy pred rozsiahlymi kybernetick˘mi útokmi a naru‰eniami, zvy‰ovanie pripravenosti, bezpeãnosti a odolnosti“ z marca 2009. Strategické ciele a priority IB boli definované v Národnej stratégii, na ktorú nadväzujú ìal‰ie dokumenty, „Návrh systému vzdelávania v IB“, „Návrh na zriadenie CSIRT.SK“ a ìal‰ie. Pozitívom v oblasti Kritérií európskych kritick˘ch infra‰truktúr v sektore IKT bolo prijatie zákona ã. 45/2011 Z. z. o kritickej infra‰truktúre (KI) v gescii Ministerstva vnútra SR. Zákon vymedzil sektory KI ‰tátu v pôsobnosti ústredn˘ch orgánov a stanovil povinnosti prevádzkovateºov pri ochrane jej prvkov. Zaãiatkom roku 2012 vláda schválila návrh prvkov KI zo v‰etk˘ch sektorov. ëal‰ie úlohy jednotliv˘ch podprogramov zúãastnen˘ch in‰titúcií sú rie‰ené prostredníctvom Medzirezortného programu na finanãné zabezpeãenie plnenia opatrení pre ochranu KI v SR schváleného vládou v roku 2010. 34
M I N I S T E R S T V O F I N A N C I Í S R CYBER EUROPE 2010 V˘razn˘ posun bol zaznamenan˘ v praktickej ãasti vnútro‰tátnych cviãení a rie‰ení núdzov˘ch udalostí s cieºom priblíÏenia sa SR k ãlensk˘m ‰tátom EÚ. Prvá celoeurópska cviãná simulácia „Kybernetická Európa 2010“ t˘kajúca sa rozsiahlych bezpeãnostn˘ch sieÈov˘ch incidentov sa konala 4. novembra 2010 v Aténach za úãasti v‰etk˘ch ãlensk˘ch ‰tátov, z toho 19 aktívne, vrátane SR. MF SR v pozícii národného koordinátora zastúpeného útvarom CSIRT.SK z DataCentra koordinovalo v‰etky súvisiace ãinnosti. Aktívnymi spoluúãastníkmi boli ‰tátne in‰titúcie zapojené do ochrany KII, ktor˘mi sú MV SR, MDVRR SR a TÚ SR. CYBER ATLANTIC 2011 Prvé spoloãné medzikontinentálne cviãenie „Cyber Atlantic 2011“ Európskej únie (EÚ) a Spojen˘ch ‰tátov americk˘ch (USA) zamerané na krízové riadenie rozsiahlych poãítaãov˘ch bezpeãnostn˘ch incidentov sa konalo dÀa 3. novembra 2011 v Bruseli pod zá‰titou ENISA a amerického Ministerstva vnútornej bezpeãnosti (U.S. Department of Homeland Security). I‰lo o centralizované „tabletop“ cviãenie s aktívnou úãasÈou odborníkov na informaãnú bezpeãnosÈ a kybernetick˘ zloãin zo 16 krajín Európy a USA, kde aktívnym úãastníkom bola aj SR, a to prostredníctvom zástupcov z MF SR a útvaru CSIRT.SK. Cviãenie prebiehalo formou dvoch krízov˘ch scenárov s cieºom definovaÈ oblasti vzájomnej spolupráce medzi EÚ a USA v oblasti zvy- ‰ovania ochrany KII. Poãas simulácie prvého scenára sa stali in- ‰titúcie v Európe cieºom rozsiahleho poãítaãového útoku typu APT (Advanced Persistent Threat) s úãelom získania a následného zverejnenia citliv˘ch informácií na simulovanom portáli „Euroleaks“. Druh˘ scenár bol zameran˘ na zneuÏitie zraniteºností priemyseln˘ch informaãn˘ch systémov SCADA (Supervisory Control And Data Acquisition) vetern˘ch elektrární s cie- ºom ich de‰trukcie. Predstavitelia ãlensk˘ch ‰tátov EÚ a USA v roli hráãov poãas krízy postupovali podºa najnov‰ej pracovnej verzie dokumentu „European Standard Operating Procedures“, na základe ktorého sa formovali krízové tímy a telekonferenãné diskusie s cie- ºom v˘meny informácií, koordinácie ãinností, eliminácie dopadu útoku a plánovania spoloãného ìal‰ieho postupu zúãastnen˘ch krajín. Cviãenie „Cyber Atlantic 2011“ je v˘sledkom samitu EÚ a USA z novembra 2010, kde sa obe strany dohodli na spolupráci v oblasti informaãnej bezpeãnosti s cieºom ãeliÈ nov˘m hrozbám cielen˘ch na globálne siete. Cviãenie bolo prv˘m krokom k vzájomnej spolupráci a nadobudnuté skúsenosti poslú- Ïia pri plánovaní ìal‰ích spoloãn˘ch aktivít. SISE 2011 Pozitívne v˘sledky boli dosiahnuté aj v oblasti vnútro‰tátneho plánovania cviãení a rie‰enia núdzov˘ch udalostí, kde sa SR zaradila medzi ‰táty, ktoré zorganizovali cviãnú simuláciu zameranú na odozvu na rozsiahly bezpeãnostn˘ sieÈov˘ incident a na obnovu funkcií po havárii. Národné cviãenie pod názvom „SISE 2011“ (Slovak Information Security Exercise 2011) bolo zamerané na ochranu KII v SR. Organizátorom cviãenia, ktoré sa konalo v novembri 2011 pod zá‰titou MF SR bol útvar CSIRT.SK umiestnen˘ v Data- Centre, ktor˘ postupoval podºa metodiky osvedãen˘ch postupov pri vnútro‰tátnych cviãn˘ch simuláciách, spracovanej agentúrou ENISA, ako aj podºa politick˘ch odporúãaní t˘kajúcich sa rozvoja vnútro‰tátnych stratégií na podporu aktivít ãlensk˘ch ‰tátov. Cieºom bolo preveriÈ zabezpeãenie pripravenosti in‰titúcií voãi technologick˘m zlyhaniam, prírodn˘m katastrofám a in˘m krízov˘m stavom, ak˘mi sú aj rozsiahle útoky na IKT patriace do KII SR. Priamymi úãastníkmi cviãenia boli MF SR, MV SR, ÚV SR a TÚ SR, ako pozorovatelia sa zúãastnili MO SR, rakúsky CERT.at, ãeské CSIRT.CZ a CESNET- CERTS. Cviãenie umoÏnilo zúãastnen˘m in‰titúciám preveriÈ si svoju reakciu na incidenty, odhaliÈ konkrétne zraniteºnosti a slabé miesta v intern˘ch postupoch a procesoch, identifikovaÈ vzájomné prepojenia a vzÈahy a upevniÈ medzirezortnú spoluprácu. Cviãenie „SISE 2011“ simulovalo kybernetick˘ útok na in‰titúcie verejnej správy majúci za následok v˘padok poskytovan˘ch elektronick˘ch sluÏieb in‰titúcie. ANAL¯ZA STAVU ZABEZPEâENIA WWW STRÁNOK SERVEROV VEREJNEJ SPRÁVY (VS) Protokol HTTP prená‰a údaje cez Internet v nezabezpeãenej podobe, ão so sebou priná- ‰a bezpeãnostné riziká a to najmä, nemoÏnosÈ overiÈ si identitu druhej strany, moÏnosÈ „odpoãúvaÈ“ komunikáciu, modifikovaÈ prená‰ané údaje a zneuÏiÈ ich treÈou stranou. Tieto nedostatky je moÏné odstrániÈ správnym nasadením kryptografickej ochrany protokolom SSL/TLS v systéme WWW v kombinácii s HTTP oznaãovaného ako HTTPS. V súlade s ustanovením § 4 zákona ã. 275/2006 o informaãn˘ch systémoch verejnej správy a v˘nosom MF SR ã. 312/2010 Z. z. o ‰tandardoch pre informaãné systémy VS vykonalo MF SR koncom roku 2011 anal˘zu stavu zabezpeãenia web serverov vo VS. Cieºom aktivity bolo analyzovaÈ nasadenie protokolu SSL/TLS na zabezpeãenie webov˘ch stránok in‰titúcií VS, identifikovaÈ a klasifikovaÈ nedostatky a odporuãiÈ opatrenia na ich odstránenie. Zhodnotenie stavu zabezpeãenia serverov vo VS je doslovne alarmujúce. Len 26% testovan˘ch serverov sprístupÀuje protokolom HTTPS rovnakú webovú stránku ako protokolom HTTP, priãom aÏ 74% serverov nepodporuje protokol HTTPS vôbec, resp. obsahy oboch stránok sú neidentické (nasledujúci graf 1). 76 0 0 2 7 A – bez nedostatkov B – drobné nedostatky C – varovania bez priameho ohrozenia 18 D – možné netriviálne útoky E – závažné nedostatky X – nepoužíva HTTPS Takmer 25% serverov zobrazuje stránku nesúvisiacu s danou in‰titúciou – väã‰inou sa jedná o stránku poskytovateºa sluÏieb prevádzky WWW servera, v niektor˘ch prípadoch o stránku jeho iného klienta, ão pôsobí na pouÏívateºa mätúco. Pri 14% bola zobrazená chybová stránka, pri 7% úplne iná stránka rovnakej in‰titúcie a pri 9% bola na WWW serveri ponechaná pôvodná konfigurácia e‰te z in‰talácie (nasledujúci graf. 2). 36 ODBORN¯ ªUDSK¯ POTENCIÁL Jedn˘m z najcennej‰ích aktív kaÏdého ‰tátu je odborn˘ ºudsk˘ potenciál, ktor˘ vychádza z úrovne poznania obãanov, komerãn˘ch a nekomerãn˘ch organizácií, verejn˘ch in‰titúcií, z rizík spojen˘ch s pouÏívaním IKT a o moÏnostiach ochrany pred hrozbami v prostredí internetu, masovokomunikaãn˘ch prostriedkov a sluÏieb eGovernmentu. Na‰ím cieºom je vytváraÈ povedomie a kompetentnosÈ v oblasti IB, vypracovaÈ ‰tandard základn˘ch znalostí pre pouÏívateºov IKT pre oblasti IB, roz‰íriÈ a implementovaÈ systém vzdelávania pre cieºové skupiny a zaradiÈ ho do v‰etk˘ch vzdelávacích programov formálneho a neformálneho vzdelávania. Úlohou precízne pripraveného projektu, ktor˘ súvisí s plnením Medzirezortného programu na ochranu KI, je vytvoriÈ popis kvalifikácie IB v rámci národnej sústavy kvalifikácií. V súlade s materiálom „Návrh systému vzdelávania v IB“ (uznes. vlády ã. 391/2009) bol vypracovan˘ pilotn˘ projekt vzdelávania, ktor˘ sa v‰ak nepodarilo zrealizovaÈ aj napriek tomu, Ïe je pripraven˘ uÏ od roku 2009. O jeho pokraãovaní rozhodne súd, ktor˘ pozastavil „Rozhodnutie Úradu pre verejné obstarávanie na zru‰enie verejnej súÈaÏe“. ZÁVER 11 7 5 chybová Aj napriek zásadn˘m nedostatkom v zabezpeãení webov˘ch stránok serverov in‰titúcií verejnej správy, ktoré sú predov‰etk˘m obrazom práce ich tvorcov, zaostávaniu SR za vyspel˘mi ‰tátmi EÚ, v dôsledku nízkeho poãtu ãinn˘ch odborníkov v oblasti IB a postupnému napæÀaniu sa rizík deklarovan˘ch v citovanom „Akãnom pláne k NSIB“ z roku 2010, je moÏné v jednotliv˘ch oblastiach poukázaÈ na v˘znamn˘ posun, a to najmä v aktívnej úãasti útvaru CSIRT.SK na medzinárodnom fóre v oblasti prípravy a realizácie cviãení na ochranu prvkov KII. Za v˘znamnú aktivitu moÏno povaÏovaÈ aj to, Ïe zaãiatkom marca 2011 bolo na oficiálny podnet ·tatistického úradu SR útvaru CSIRT.SK zverené závereãné testovanie proti neÏiaducim prienikom do „Volebného informaãného systému SR“. Zásadnou v˘zvou pre SR v‰ak je vytvoriÈ kvalitn˘ odborn˘ ºudsk˘ potenciál zaloÏen˘ na morálnych zásadách a zv˘‰iÈ úroveÀ poznania obãanov v tak citlivej oblasti, ako je informaãná bezpeãnosÈ v dne‰nom elektronickom svete. Ján HOCHMANN Riaditeº odboru legislatívy, ‰tandardov a bezpeãnosti Ministerstvo financií Slovenskej republiky 17 cudzia iná nenakonfigurovaná žiadna 35
Page 1: 1. lobistický časopis na Slovensk
Page 4 and 5: E D I T O R I Á L ZanechaÈ po seb
Page 6 and 7: E U R Ó P S K Y P A R L A M E N T
Page 8 and 9: S V E T F I N A N C I Í V roku 199
Page 10 and 11: S L O V E N S K O - N E M E C K Á
Page 12 and 13: S L O V E N S K Á E N E R G E T I
Page 14 and 15: A U T O M O B I L O V ¯ P R I E M
Page 16 and 17: T E L E K O M U N I K A â N ¯ U R
Page 18 and 19: Ú R A D V L Á D Y S R Stále sa d
Page 20 and 21: V L Á D A S R nie sú úplne jasn
Page 22 and 23: C O L N É R I A D I T E ª S T V O
Page 24 and 25: C O L N É R I A D I T E ª S T V O
Page 26 and 27: I T A S European schoolnet European
Page 28 and 29: I N F O R M A â N É T E C H N O L
Page 38 and 39: M I N I S T E R S T V O V N Ú T R
Page 44 and 45: S L O V E N S K É S T A V E B N Í
Page 48 and 49: S L O V E N S K O - R A K Ú S K Á
Page 52 and 53: MINISTERSTVO ·KOLSTVA, VEDY, V¯SK
Page 56 and 57: B A N Í C T V O N A S L O V E N S
Page 58 and 59: B A N Í C T V O N A Ïe do‰lo k
Page 60 and 61: D I A L Ó G Y O A & M M lijak˘ch
Page 62 and 63: D I A L Ó G Y O A & M M litikov, k
Page 64 and 65: G L O S Y - P O Z N Á M K Y - E S
Page 66 and 67: S U P E R M O N I T O R vaním jedi
Page 68 and 69: S U P E R M O N I T O R Na Slovensk
Page 70 and 71: S U P E R M O N I T O R vlastnosÈ,
Page 72 and 73: S U P E R M O N I T O R v˘ch infor
Page 74: S U P E R M O N I T O R nou, ktorá

cciii. â cciv. ÄÃ­slo - home.nextra.sk

Create successful ePaper yourself

Delete template?

Save as template?

cciii. â cciv. ÄÃslo - home.nextra.sk