Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
M I N I S T E R S T V O F I N A N C I Í<br />
S R<br />
CYBER EUROPE 2010<br />
V˘razn˘ posun bol zaznamenan˘ v praktickej<br />
ãasti vnútro‰tátnych cviãení a rie‰ení núdzov˘ch<br />
udalostí s cieºom priblíÏenia sa SR<br />
k ãlen<strong>sk</strong>˘m ‰tátom EÚ.<br />
Prvá celoeuróp<strong>sk</strong>a cviãná simulácia „Kybernetická<br />
Európa 2010“ t˘kajúca sa rozsiahlych<br />
bezpeãnostn˘ch sieÈov˘ch incidentov sa<br />
konala 4. novembra 2010 v Aténach za úãasti<br />
v‰etk˘ch ãlen<strong>sk</strong>˘ch ‰tátov, z toho 19 aktívne,<br />
vrátane SR. MF SR v pozícii národného<br />
koordinátora zastúpeného útvarom CSIRT.SK<br />
z DataCentra koordinovalo v‰etky súvisiace<br />
ãinnosti. Aktívnymi spoluúãastníkmi boli ‰tátne<br />
in‰titúcie zapojené do ochrany KII, ktor˘mi<br />
sú MV SR, MDVRR SR a TÚ SR.<br />
CYBER ATLANTIC 2011<br />
Prvé spoloãné medzikontinentálne cviãenie<br />
„Cyber Atlantic 2011“ Európ<strong>sk</strong>ej únie (EÚ)<br />
a Spojen˘ch ‰tátov americk˘ch (USA) zamerané<br />
na krízové riadenie rozsiahlych poãítaãov˘ch<br />
bezpeãnostn˘ch incidentov sa konalo<br />
dÀa 3. novembra 2011 v Bruseli pod zá‰titou<br />
ENISA a amerického Ministerstva vnútornej<br />
bezpeãnosti (U.S. Department of Homeland<br />
Security). I‰lo o centralizované „tabletop“<br />
cviãenie s aktívnou úãasÈou odborníkov<br />
na informaãnú bezpeãnosÈ a kybernetick˘<br />
zloãin zo 16 krajín Európy a USA, kde aktívnym<br />
úãastníkom bola aj SR, a to prostredníctvom<br />
zástupcov z MF SR a útvaru CSIRT.SK.<br />
Cviãenie prebiehalo formou dvoch krízov˘ch<br />
scenárov s cieºom definovaÈ oblasti vzájomnej<br />
spolupráce medzi EÚ a USA v oblasti zvy-<br />
‰ovania ochrany KII.<br />
Poãas simulácie prvého scenára sa stali in-<br />
‰titúcie v Európe cieºom rozsiahleho poãítaãového<br />
útoku typu APT (Advanced Persistent<br />
Threat) s úãelom zí<strong>sk</strong>ania a následného zverejnenia<br />
citliv˘ch informácií na simulovanom<br />
portáli „Euroleaks“.<br />
Druh˘ scenár bol zameran˘ na zneuÏitie<br />
zraniteºností priemyseln˘ch informaãn˘ch systémov<br />
SCADA (Supervisory Control And<br />
Data Acquisition) vetern˘ch elektrární s cie-<br />
ºom ich de‰trukcie. Predstavitelia ãlen<strong>sk</strong>˘ch<br />
‰tátov EÚ a USA v roli hráãov poãas krízy postupovali<br />
podºa najnov‰ej pracovnej verzie<br />
dokumentu „European Standard Operating<br />
Procedures“, na základe ktorého sa formovali<br />
krízové tímy a telekonferenãné di<strong>sk</strong>usie s cie-<br />
ºom v˘meny informácií, koordinácie ãinností,<br />
eliminácie dopadu útoku a plánovania spoloãného<br />
ìal‰ieho postupu zúãastnen˘ch krajín.<br />
Cviãenie „Cyber Atlantic 2011“ je v˘sledkom<br />
samitu EÚ a USA z novembra 2010, kde<br />
sa obe strany dohodli na spolupráci v oblasti<br />
informaãnej bezpeãnosti s cieºom ãeliÈ nov˘m<br />
hrozbám cielen˘ch na globálne siete.<br />
Cviãenie bolo prv˘m krokom k vzájomnej<br />
spolupráci a nadobudnuté <strong>sk</strong>úsenosti poslú-<br />
Ïia pri plánovaní ìal‰ích spoloãn˘ch aktivít.<br />
SISE 2011<br />
Pozitívne v˘sledky boli dosiahnuté aj v<br />
oblasti vnútro‰tátneho plánovania cviãení a<br />
rie‰enia núdzov˘ch udalostí, kde sa SR zaradila<br />
medzi ‰táty, ktoré zorganizovali cviãnú<br />
simuláciu zameranú na odozvu na rozsiahly<br />
bezpeãnostn˘ sieÈov˘ incident a na obnovu<br />
funkcií po havárii. Národné cviãenie pod názvom<br />
„SISE 2011“ (Slovak Information Security<br />
Exercise 2011) bolo zamerané na ochranu<br />
KII v SR. Organizátorom cviãenia, ktoré<br />
sa konalo v novembri 2011 pod zá‰titou MF<br />
SR bol útvar CSIRT.SK umiestnen˘ v Data-<br />
Centre, ktor˘ postupoval podºa metodiky<br />
osvedãen˘ch postupov pri vnútro‰tátnych<br />
cviãn˘ch simuláciách, spracovanej agentúrou<br />
ENISA, ako aj podºa politick˘ch odporúãaní<br />
t˘kajúcich sa rozvoja vnútro‰tátnych<br />
stratégií na podporu aktivít ãlen<strong>sk</strong>˘ch ‰tátov.<br />
Cieºom bolo preveriÈ zabezpeãenie pripravenosti<br />
in‰titúcií voãi technologick˘m zlyhaniam,<br />
prírodn˘m katastrofám a in˘m krízov˘m<br />
stavom, ak˘mi sú aj rozsiahle útoky na<br />
IKT patriace do KII SR.<br />
Priamymi úãastníkmi cviãenia boli MF SR,<br />
MV SR, ÚV SR a TÚ SR, ako pozorovatelia<br />
sa zúãastnili MO SR, rakú<strong>sk</strong>y CERT.at, ãe<strong>sk</strong>é<br />
CSIRT.CZ a CESNET- CERTS. Cviãenie<br />
umoÏnilo zúãastnen˘m in‰titúciám preveriÈ si<br />
svoju reakciu na incidenty, odhaliÈ konkrétne<br />
zraniteºnosti a slabé miesta v intern˘ch postupoch<br />
a procesoch, identifikovaÈ vzájomné<br />
prepojenia a vzÈahy a upevniÈ medzirezortnú<br />
spoluprácu. Cviãenie „SISE 2011“ simulovalo<br />
kybernetick˘ útok na in‰titúcie verejnej<br />
správy majúci za následok v˘padok po<strong>sk</strong>ytovan˘ch<br />
elektronick˘ch sluÏieb in‰titúcie.<br />
ANAL¯ZA STAVU ZABEZPEâENIA<br />
WWW STRÁNOK SERVEROV<br />
VEREJNEJ SPRÁVY (VS)<br />
Protokol HTTP prená‰a údaje cez Internet<br />
v nezabezpeãenej podobe, ão so sebou priná-<br />
‰a bezpeãnostné riziká a to najmä, nemoÏnosÈ<br />
overiÈ si identitu druhej strany, moÏnosÈ<br />
„odpoãúvaÈ“ komunikáciu, modifikovaÈ prená‰ané<br />
údaje a zneuÏiÈ ich treÈou stranou. Tieto<br />
nedostatky je moÏné odstrániÈ správnym nasadením<br />
kryptografickej ochrany protokolom<br />
SSL/TLS v systéme WWW v kombinácii s<br />
HTTP oznaãovaného ako HTTPS. V súlade s<br />
ustanovením § 4 zákona ã. 275/2006 o informaãn˘ch<br />
systémoch verejnej správy a v˘nosom<br />
MF SR ã. 312/2010 Z. z. o ‰tandardoch<br />
pre informaãné systémy VS vykonalo MF SR<br />
koncom roku 2011 anal˘zu stavu zabezpeãenia<br />
web serverov vo VS. Cieºom aktivity bolo<br />
analyzovaÈ nasadenie protokolu SSL/TLS na<br />
zabezpeãenie webov˘ch stránok in‰titúcií VS,<br />
identifikovaÈ a klasifikovaÈ nedostatky a odporuãiÈ<br />
opatrenia na ich odstránenie.<br />
Zhodnotenie stavu zabezpeãenia serverov<br />
vo VS je doslovne alarmujúce. Len 26% testovan˘ch<br />
serverov sprístupÀuje protokolom<br />
HTTPS rovnakú webovú stránku ako protokolom<br />
HTTP, priãom aÏ 74% serverov nepodporuje<br />
protokol HTTPS vôbec, resp. obsahy<br />
oboch stránok sú neidentické (nasledujúci<br />
graf 1).<br />
76<br />
0 0<br />
2<br />
7<br />
A – bez nedostatkov<br />
B – drobné nedostatky<br />
C – varovania bez<br />
priameho ohrozenia<br />
18<br />
D – možné netriviálne<br />
útoky<br />
E – závažné nedostatky<br />
X – nepoužíva HTTPS<br />
Takmer 25% serverov zobrazuje stránku<br />
nesúvisiacu s danou in‰titúciou – väã‰inou sa<br />
jedná o stránku po<strong>sk</strong>ytovateºa sluÏieb prevádzky<br />
WWW servera, v niektor˘ch prípadoch<br />
o stránku jeho iného klienta, ão pôsobí na pouÏívateºa<br />
mätúco. Pri 14% bola zobrazená<br />
chybová stránka, pri 7% úplne iná stránka rovnakej<br />
in‰titúcie a pri 9% bola na WWW serveri<br />
ponechaná pôvodná konfigurácia e‰te z<br />
in‰talácie (nasledujúci graf. 2).<br />
36<br />
ODBORN¯ ªUDSK¯ POTENCIÁL<br />
Jedn˘m z najcennej‰ích aktív kaÏdého ‰tátu<br />
je odborn˘ ºud<strong>sk</strong>˘ potenciál, ktor˘ vychádza<br />
z úrovne poznania obãanov, komerãn˘ch<br />
a nekomerãn˘ch organizácií, verejn˘ch in‰titúcií,<br />
z rizík spojen˘ch s pouÏívaním IKT a<br />
o moÏnostiach ochrany pred hrozbami v prostredí<br />
internetu, masovokomunikaãn˘ch prostriedkov<br />
a sluÏieb eGovernmentu. Na‰ím<br />
cieºom je vytváraÈ povedomie a kompetentnosÈ<br />
v oblasti IB, vypracovaÈ ‰tandard základn˘ch<br />
znalostí pre pouÏívateºov IKT pre<br />
oblasti IB, roz‰íriÈ a implementovaÈ systém<br />
vzdelávania pre cieºové <strong>sk</strong>upiny a zaradiÈ ho<br />
do v‰etk˘ch vzdelávacích programov formálneho<br />
a neformálneho vzdelávania. Úlohou<br />
precízne pripraveného projektu, ktor˘ súvisí<br />
s plnením Medzirezortného programu na<br />
ochranu KI, je vytvoriÈ popis kvalifikácie IB<br />
v rámci národnej sústavy kvalifikácií. V súlade<br />
s materiálom „Návrh systému vzdelávania<br />
v IB“ (uznes. vlády ã. 391/2009) bol vypracovan˘<br />
pilotn˘ projekt vzdelávania, ktor˘<br />
sa v‰ak nepodarilo zrealizovaÈ aj napriek<br />
tomu, Ïe je pripraven˘ uÏ od roku 2009. O<br />
jeho pokraãovaní rozhodne súd, ktor˘ pozastavil<br />
„Rozhodnutie Úradu pre verejné obstarávanie<br />
na zru‰enie verejnej súÈaÏe“.<br />
ZÁVER<br />
11<br />
7 5<br />
chybová<br />
Aj napriek zásadn˘m nedostatkom v zabezpeãení<br />
webov˘ch stránok serverov in‰titúcií<br />
verejnej správy, ktoré sú predov‰etk˘m obrazom<br />
práce ich tvorcov, zaostávaniu SR za<br />
vyspel˘mi ‰tátmi EÚ, v dôsledku nízkeho<br />
poãtu ãinn˘ch odborníkov v oblasti IB a postupnému<br />
napæÀaniu sa rizík deklarovan˘ch v<br />
citovanom „Akãnom pláne k NSIB“ z roku<br />
2010, je moÏné v jednotliv˘ch oblastiach poukázaÈ<br />
na v˘znamn˘ posun, a to najmä v aktívnej<br />
úãasti útvaru CSIRT.SK na medzinárodnom<br />
fóre v oblasti prípravy a realizácie cviãení<br />
na ochranu prvkov KII. Za v˘znamnú aktivitu<br />
moÏno povaÏovaÈ aj to, Ïe zaãiatkom<br />
marca 2011 bolo na oficiálny podnet ·tatistického<br />
úradu SR útvaru CSIRT.SK zverené<br />
závereãné testovanie proti neÏiaducim prienikom<br />
do „Volebného informaãného systému<br />
SR“. Zásadnou v˘zvou pre SR v‰ak je vytvoriÈ<br />
kvalitn˘ odborn˘ ºud<strong>sk</strong>˘ potenciál zaloÏen˘<br />
na morálnych zásadách a zv˘‰iÈ úroveÀ poznania<br />
obãanov v tak citlivej oblasti, ako je<br />
informaãná bezpeãnosÈ v dne‰nom elektronickom<br />
svete.<br />
Ján HOCHMANN<br />
Riaditeº odboru legislatívy,<br />
‰tandardov a bezpeãnosti<br />
Ministerstvo financií Sloven<strong>sk</strong>ej republiky<br />
17<br />
cudzia<br />
iná<br />
nenakonfigurovaná<br />
žiadna<br />
35