Dohledové centrum eGovernmentu – DCeGOV SOCCR (Security Operation Centre for Cyber Reliability) KYBERNETICKÁ BEZPEČNOST

Ministerstvo vnitra České republiky Kybernetická bezpečnost Agenda Ministerstvo vnitra České republiky Kybernetická bezpečnost Dohledové centrum eGovernmentu – SOCCR Účel Principy fungování Plán dalšího rozvoje KYBERNETICKÁ BEZPEČNOST

Ministerstvo vnitra České republiky Ministerstvo vnitra je ústředním orgánem státní správy zřízené zákonem Pod Ministerstvo vnitra spadá také Policejní prezidium a Generální ředitelství Hasičského záchranného sboru Do kompetencí Ministerstva vnitra patří zejména: veřejný pořádek a bezpečnost, krizové řízení, územní členění státu, cestovní doklady, povolování pobytu cizinců a postavení uprchlíků, státní symboly, evidenci obyvatel a matriky, státní občanství, občanské průkazy shromažďovací právo, sdružování v politických stranách a hnutích, zbraně a střelivo, požární ochranu a další Po sloučení s Ministerstva Informatiky s Ministerstva vnitra v roce 2007 převzalo Ministerstvo vnitra také koordinační úlohu v oblasti informačních a komunikačních technologií a rozvoje a bezpečnosti služeb eGovernmentu

Strategická role MV v oblasti ICT „Ministerstvo vnitra si je vědomo své klíčové řídící a strategické role v oblasti ICT státu, a proto usiluje o jednotnost, centralizaci a bezpečnost základních služeb eGovernmentu, zejména prostřednictvím budování komplexních a propojených infomačních a komunikačních systémů včetně dohledových systémů pro zajištění jejich plynulého provozu a bezpečnosti.“

Kybernetická bezpečnost resortu MV Celkem 27 prvků kritické informační infrastruktury a významných informačních systémů v resortu MV 10 významných informačních systémů (VIS) 17 prvků kritické informační infrastruktury (KII) Dalších cca 120 informačních a komunikačních systémů a aplikací Tvorba bezpečnostní dokumentace pro KII a VIS Zavádění opatření a napojení na Dohledové centrum eGovernmentu SOCCR – bezpečnostní monitoring Hlášení kybernetických bezpečnostních incidentů na NCKB a komunikace s NBÚ a NCKB Zajištění bezpečnosti celého kybernetického prostoru resortu MV

Dohledové centrum eGovernmentu SOCCR Definice cílů projektu Vybudovat a zajistit moderní jednotné bezpečnostní a provozní dohledy a monitoring ICT resortu Ministerstva vnitra ČR (dále jen MV) z důvodu zajištění bezpečnosti a provozní spolehlivosti ICT resortu MV (dohledové centrum eGovernmentu – SOCCR). Naplnit především technické a organizační opatření vyplývající ze zákona č. 181/2014 Sb., o kybernetické bezpečnosti a souvisejících právních předpisů. Nabídnout dostatečně variabilní architekturu se snadnou možností dalšího rozvoje. Nákladově efektivní centralizace bezpečnostních a provozních dohledů a monitoringu ICT resortu MV synergickým využitím odpovídajících technologií v rámci resortu MV. Postupně bezpečnostně a provozně dohledovat a monitorovat ICT resortu MV. KYBERNETICKÁ BEZPEČNOST

DCeGOV SOCCR – harmonogram projektu

DCeGOV SOCCR – základní parametry SOCCR tvoří 3 funkční částí, které jsou navzájem procesně propojeny: L1 call centrum – příjem a zaznamenávání událostí od uživatelů, předání událostí na další úroveň podpory, uzavírání již vyřešených událostí; L2 bezpečnostní a provozní monitoring a dohled včetně odpovídajících analýz a komunikace s NCKB, monitorování průběhu událostí, reporting dosahovaných výsledků; L3 technická a odborná podpora – příjem událostí od L1 a L2, řešení událostí dle výsledků analýz. Procesy zajištění bezpečnostních a provozních dohledů a monitoringu musely být z větší části nově navrženy a následně implementovány, většina rozsahu nebyla doposud pro potřeby resortu MV vykonávána.

Informační systémy resortu MV (KII, VIS, …) DCeGOV – schéma Informační systémy resortu MV (KII, VIS, …) Krajské kolektory (14 lokalit po celé ČR) Sdílená infrastruktura CMS a ITS Řízení rizik a kontinuity Sběr a hlášení události BCM Antivirus AntiDDos NetFlow 2FA HoneyNet Skener IPS/IDS Risk Mgmt REDUNDANTNÍ INFRASTRUKTURA Komunikace Call Centrum - Service Desk Řízení a hlášení incidentů Řízení a realizace změn DC SPCSS DC ČP SIEM

DCeGOV SOCCR – rekapitulace výstupů projektu Soulad se ZoKB (Zák.č.181/2014 Sb.) a ISO standardy Bezpečnostní a provozní monitoring Geograficky redundantní řešení - vysoká dostupnost 14 kolektorů na úrovni krajů pro napojení krajských prvků a rozšíří monitoring do všech přípojných uzlů síti MV Provoz 24x7x365 Řídí bezpečnost systémů v aktivním a pasivním módu Zajišťuje proaktivní dohled Vytváří efektivní procesy pomocí portálu Service Desk Koordinace týmů (SOCCR, TKB, …) Modulární architektura, vlastní aktivní ochrana, znalostní databáze Více než 20.000 prvků v jednotlivých perimetrech resortu MV

Organizační zapojení DCeGOV SOCCR Odbor rozvoje projektů a služeb eGovernment MV ČR Organizační zapojení DCeGOV SOCCR MV krizové řízení operativní řízení eskalace metodika Výbor pro řízení KB Další složky MV Manažer kybernetické bezpečnosti Architekt kybernetické bezpečnosti Auditor kybernetické bezpečnosti Manažer bezpečnosti - PČR Tým kybernetické bezpečnosti Manažer bezpečnosti - HZS DCeGOV - SOCCR Vládní CERT (NCKB) Manažer bezpečnosti - ZR Garanti primárních aktiv Garanti podpůrných aktiv KYBERNETICKÁ BEZPEČNOST

DCeGOV - služby Primární služby Bezpečnostní služby Podpůrné služby LOG MANAGEMENT PROVOZNÍ MONITORING Bezpečnostní služby ŘÍZENÍ A IDENTIFIKACE BEZPEČNOSTNÍCH UDÁLOSTÍ ŘÍZENÍ KONTINUITY PROVOZU ŘÍZENÍ RIZIK IDENTIFIKACE A ANALÝZA HROZEB ANALÝZA DATOVÝCH TOKŮ ZABEZPEČENÍ PERIMETRU ZAVÁDĚNÍ OPATŘENÍ PROAKTIVNÍ DOHLED Podpůrné služby PATCH MANAGEMENT IDM RELEASE MANAGEMENT ARCHIVACE ZÁLOHOVÁNÍ VÍCEFAKTOROVÁ AUTENTIZACE SMS NOTIFIKACE NETWORK TIME PROTOCOL E-MAILOVÉ SLUŽBY ZABEZPEČENÝ VZDÁLENÝ PŘÍSTUP

Bezpečnostní dohledy KII/VIS Pasivní - dohlíží bezpečnost Aktivní - řídí bezpečnost SOCCR je bezpečnostní administrátor systému SOCCR analyzuje, vyhodnocuje a dává informace zpět do systému, aktivně řeší incident (technicky, procesně), ve spolupráci s administrátory zasahuje do konfigurace SIEM - v systému je implementována sonda/agent, sbírá události, vyhodnocuje, do SOCCR zasílá agregované údaje SOCCR vyžaduje plný přístup do systému, implementaci nástroje PIM/PAM + 2FA (administrátorské přístupy) SOCCR provádí automatizované skenování zranitelností s autentizací HoneyNet - aktivní návnada pro potenciální útočníky Podpora procesů řízení rizik a kontinuity (SOCCR má nástroj) SOCCR je dohlížitel - dostává informace ze systémů KII, VIS SOCCR analyzuje, vyhodnocuje a dává informace zpět do systémů KII, VIS, dává doporučení na reakci SIEM - monitoruje události na perimetru systémů ITS, CMS N/A - SOCCR má pouze přístup „pro čtení“ SOCCR (ne-)pravidelně skenuje zranitelnosti bez autentizace (s povolením správce systému) HoneyNet - aktivní návnada pro potenciální útočníky Podpora procesů řízení rizik a kontinuity (SOCCR má nástroj)

Procesní schéma DCeGOV KYBERNETICKÁ BEZPEČNOST

Zpracování události v SD DCeGOV Analytická skupina je zodpovědná za zanalyzování situace ve spolupráci s manažerem KB a Oprávněnými osobami, evidenci zaslaných KBU/KBI a zasílá potvrzené KBI na NCKB Manažer kybernetické bezpečnosti rozhoduje o zaslání KBI na NCKB, o způsobu zastavení kybernetického útoku na základě návrhů Analytické skupiny DCeGOV (návrh opatření) KYBERNETICKÁ BEZPEČNOST

Vyřešení a uzavření události v SD DCeGOV Fyzické vyřešení události provede Administrátor systému dle instrukcí Analytické skupiny Analytická skupina ověří zrealizování opatření Administrátorem Událost je Operátorem uzavřena až po ověření jejího vyřešení Zadavatelem události. KYBERNETICKÁ BEZPEČNOST

Proces nahlášení podezření na KBU/KBI Všechny události nahlášené telefonicky jsou po přijetí do SD prověřovány a klasifikovány jako podezření na KBU/KBI, může se stát, že budou překlasifikovány na provozní událost V případě, že se jedná o nekompletní nahlášení události, dojde následně k další telefonické komunikaci mezi Analytickou skupinou DCeGOV a Oprávněnou osobou, která události nahlásila KYBERNETICKÁ BEZPEČNOST

Technologické nástroje DCeGOV – nástroje Technologické nástroje Personál CallCentrum ServiceDesk SIEM Logger HoneyNet Net Flow Vulnerability Management Řízení rizik a kontinuity Antivirus AntiDDos IDS/IPS 2 FA PROCESY Operátoři Analytická skupina Administrátoři Správci Analytici Kompetenční zázemí Architekti Vývoj Bezpečnost Tým kybernetické bezpečnosti Externí podpora Dodavatelé Partneři

SIEM Sbírá a vyhodnocuje události ze zařízení CMS2 a z dalších bezpečnostních a provozních technologií (např. IPS/IDS, Netflow, HoneyPot, Vulnerability scanner…) Redundantní nasazení ve dvou datových centrech Analytické nástroje, základní pravidla nastavená výrobcem, postupný rozvoj dalších pravidel

Řízení zranitelností Kontroluje technické zranitelnosti na úrovní operačních systémů, databází a síťových prvků Kontroluje na infrastrukturních komponentách správnost nastavení a doporučuje změny nastavení (pokrytí rizika neoprávněného přístupu k systému, zamítnutí služby apod.) Komunikace se SIEM o nalezených zranitelnostech

NetFlow analyzer Pokrývá riziko výskytu nestandardní komunikace, změny konfigurací ADS modul analyzuje datové toky a odchylky od standardního IP toku Monitorování síťového provozu na základě IP toků, jako sondy jsou použity centrální routery Cisco, kolektory pro uložení, zobrazení, analýzu síťových aktivit a další moduly

Antimalware: Antivirus Chrání před škodlivým obsahem Aplikace/databázové servery OS servery ​Pracovní stanice dohledového centra

HoneyNet Postaveno na technologii „HoneyPot“ Účinná návnada prostřednictvím simulace kritických služeb Umožní studovat a získat vzorce chování útočníka Komplikuje pokusy o kompromitaci systému Technologicky „živé“ prostředí

AntiDDOS Chrání síťový perimetr CMS 2.0 před DDoS útoky Správa AntiDDoS sond prostřednictvím Network Security Manager (NSM) Sondy zapojeny tak, aby i v případě výpadku jednoho z internetových směrovačů, byl provoz směrován přes AntiDDoS sondu v aktivním datovém centru

Řízení rizik KII/VIS Analýza rizik na systémech určených k dohledu Výstup tvoří podklad pro sestavení rozsahu a režimu dohledu Hodnocení aktiv = rámec dohledu Hodnocení hrozeb = platforma stanovení SLA Plán kontinuity = koncept procesů Recovery a Redundance Interaktivní RISK MANAGEMENT Automatizovaný přístup k informacím – aplikace RAMSES Ukazatele rizik a hrozeb jsou aktualizovány ve vazbě na reálný provoz Četnosti a rozsah událostí určují úroveň opatření Dle úrovně znalostí o hrozbách upravován režim dohledu Změny konzultovány a sdíleny s garanty a správci aktiv

DCeGOV – přijaté tickety Počet ticketů přijatých DCeGOV I. – III. Q 2016 23 775

DCeGOV – rozložení ticketů v měsících

DCeGOV – rozložení ticketů v týdnu

DCeGOV – další rozvoj Spolupráce s NCKB a další rozvoj technologií (scrubbing centrum, rozvoj HoneyNetu, bezpečná doména gov.cz …) Nástroje pro analýzy záznamů Analytické nástavby pro vyhodnocování NetFlow Nástroje pro identifikaci botnetů Technologie pro monitoring, filtraci a antimalware ochranu protokolů http, ftp, a to i šifrovaných Nástroje na simulace řízení kritických situací Billing Nástroje forenzní analýzy pro resort Rešerše a sledování aktuálních hrozeb Rešerše a sledování aktuálního technologického rozvoje Spolupráce s významnými pracovišti typu SOC

Děkujeme za pozornost. Ing. Miroslav Tůma, Ph.D. Ing. Luděk Tichý Ředitel odboru kybernetické bezpečnosti a koordinace ICT Ministerstvo vnitra České republiky Nad Štolou 936/3, 170 34 Praha 7 www.mvcr.cz Ing. Luděk Tichý Vedoucí oddělení informační bezpečnost a BCM NAKIT Národní agentura pro komunikační a informační technologie, s.p. Kodaňská 1441/46, 101 00 Praha 10 nakit.cz KYBERNETICKÁ BEZPEČNOST