ÚPVII Pracovná skupina K9.8 Kybernetická bezpečnosť


#1

Dnes začala činnosť pracovná skupina Kybernetická bezpečnosť.

Cieľom je spracovať príslušný dokument strategickej priority NKIVS - Kybernetická bezpečnosť.
Čo presne bude obsahom/cieľom dokumentu a jeho štruktúra nie je vopred stanovené, rieši sa to ako prvé v rámci PS.

Skupinu vedie Rastislav Janota / NBÚ a Ivan Makatúra / SASIB Ervín Šimko / ÚPVII.
Toto je prvá PS ÚPVII, ktorej vedúci je z iného subjektu. Je to preto, že KyB má kompetenčne na starosti NBÚ. Koordinácia s ostatnými PS tu bude zrejme dosť výzva, plus bezpečnosť je ešte aj prierezová téma.

Za S.D som členom ja. Prihláste sa, kto máte záujem participovať.
@ps-bezpecnost

Účasť zástupcu Slovensko.Digital v tejto pracovnej skupine je financovaná z projektu Lepšie riešenia eGovernmentu v SR (viac info tu: https://slovensko.digital/projekty/lepsi-egovernment).


ÚPVII Pracovné skupiny K9
Ako pracujú pracovné skupiny?
O kategórii Čo je nové v Slovensko.Digital
ÚPVII Pracovné skupiny K9
#2

Opýtam sa možno hlúpo ale zaujíma ma či v rámci tejto skupiny bude riešená aj bezpečnosť infraštruktúry teda reálneho spojenia ( káble/vzduchom vedené spojenia) a HW na ktorom celá štátna sieť/internet stojí ?


#3

Hm. Ak by sa mala riesit relativne detailne bezpecnost infrastruktury / komunikacii, mali by sa riesit aj dalsie oblasti bezpecnosti, t.j.

• Bezpečnostná politika IS,
• Organizácia bezpečnosti,
• Bezpečnosť ľudských zdrojov,
• Klasifikácia a riadenie aktív,
• Riadenie prístupu,
• Kryptografické opatrenia,
• Fyzická bezpečnosť a bezpečnosť prostredia,
• Riadenie prevádzky,
• Riadenie komunikácií,
• Nákup, vývoj a údržba IS,
• Bezpečnosť v spolupráci s tretími stranami,
• Zvládanie bezpečnostných incidentov,
• Riadenie kontinuity činností IS,
• Súlad s požiadavkami.

Ak by sme v kazdej tychto oblasti isli do obdobneho detailu, bolo by to vcelku narocne. Ale mozno sa usudi, ze v niektorych oblastiach postacia vseobecne zasady pripadne odkazy na vynos o standardoch a pod., a ine oblasti (napr. tie kde bol identifikovany konkretny prienik s dalsimi SP) budu prislusnu cast bezpecnosti riesit konkretnejsie.


#5

Ako som písal, čo bude obsahom dokumentu sa ešte iba vyvŕbi. Ani samotná NKIVS v tejto časti veľa vodítok nedáva. Imho by sa mali vyriešiť najmä veci spoločné pre všetkých, napr. úlohy, ciele, architektúra a jej centrálne komponenty a tak.
Komunikačná infraštruktúra je samostatná strategická priorita, bude mať svoju skupinku a dokument, čiže tu netreba k tomu ísť do detailu.


#6

Dík za informáciu. Ak to správne chápem tak tu by sa len malo všeobecne rámcovo zadefinovať čo sa považuje za kritickú infraštruktúru ktorú treba chrániť ( HW, siete, kabeláže, prístupové a spojovacie body, prípadne celé línie …) nevyhnutne pre chod štátneho IT.
A v tej druhej samostatnej skupine “komunikačná infraštruktúra” sa potom presne zadefinuje čo a ako ? Či ako si to mal na mysli ?


#7

Kriticka infrastruktura je tema sama o sebe a ma svoj zakon . Cize asi ani to celkom nebude tazisko. Ale urcite dokument bude musiet nejako vsetko “zladit a prikryt” (KI, OOU, bezpecnost isvs, cybersec)


#8

V ramci skupiny K9.8 Kybernetická bezpečnosť by sme sa chceli za Slovensko.Digital venovat nizsie uvedenym temam ktore suvisia s NKIVS SR 2016.

1. Ulahcit a sprehladnit dokumentovanie aspektov kyberbezpecnosti v ramci projektov tykajucich sa ISVS:
napad je, ze by sa vytvoril wizard/sprievodca/kucharka (napr aj ako webova appka), ktory sa pomoze zorientovat projektovemu timu co musia zdokumentovat v danej etape (faze projektu), na co nezabudnut. Tj na zaklade aktualneho kontextu, by sa im vygenerovala prislusna sablona (casti) specifickeho dokumentu (napr DFS, Prevadzkove prirucky, SLA,prip aj DIZ, SU,…), existujuce sablony sa zohladnia), teda hlavne kostry kapitol tykajucich sa kyberbezpecnosti s popismi a prikladmi ako ju vyplnit a v akej miere detailu. Ale samotny obsah uz musi vyplnit projektovy tim.
Aktualny kontext by bol tvoreny sadou parametrov(ktore by sa vyklikali vo wizarde) ako napr: v akej faze zivotneho cyklu riesenia sa nachadzam (bud podla TOGAF ADM faz [preliminary, vizia, biznis architektura, aplikacna arch., technicka arch.,…], alebo podla fazy SDLC [analyza,dizajn,implementacia/integracia,testovanie,.], alebo podla ITIL pohladu [incident manazment, change manazment, deployment, service level manazment, availability management,…]; dalej aky velky rozsah ma moj projekt (vystupy budu rozdielne pokial sa jedna o malu oganizaciu s minimalnym IT prostredim, ktora chce budovat maly system, a ine pokial sa bude jednat o novy komplexny ISVS pre velku organizaciu integrovany na mnozstvo inych systemov,…); a dalsie explicitne obmedzenia.
Vystupom by bolo: zoznam relevantnych dokumentov ktore je treba vyplnit, odporucania aky pozadovany obsah a kapitoly treba vyplnit (tie by sa aj predgenerovali), aka uroven detailu musi byt zohladnena, a ake relevantne referencne zdroje sa odporucaju pouzit (napr standardy ISVS, konkretne paragrafy, zakon o ochrane os. udajov, GDPR, metodiky/usmernenia, csirt dokumenty, Integracne manualy ISVS, OWASP standardy,…). Uvedene kapitoly by sa dali zaintegrovat do uz existujucich dokumentov ak ich organizacia uz ma. Tu by este stalo za uvahu vybudovat standardny katalog zranitelnoti a rizik - centralne manazovany pre verejnu spravu.
Myslime si, ze taketo nieco by v praxi pomohlo (zorientovat sa v spleti legislativnych a inych dokumentov/pravidiel).

2. Inovácia štandardov a riešení v oblasti identifikácie, autentifikácie, autorizácie a vytvárania záznamov:
Autentifikacia:
povysit modul autentifikacie (UPVS IAM) do pozicie identity brokera, tj platformy, ktora by sprostredkovavala prepojenie viacero IDPs(Identity Providerov) s roznymi SP(Service Providermi), s roznymi autentifikacnymi prostriedkami roznej urovne assurance, a s rozsirenim aj na komercny svet (tj nielen v ramci ISVS/GOVNET prostredia). Aktualne UPVS IAM poskytuje jediné IDP s RFO ako user repozitory, a s eID kartou ako auth. prostriedkom (a GRID karty pre niektore typy identit). Cielom by malo byt zapojenie viacerych IDP(napr banky, telco, socialne siete,…, ktory musia splnit urcite standardy, tj prejdu certifikaciou na danu uroven assurance - vid napr GOV.UK Verify. Tieto identity z certifikovanych IDP by boli vzdy nalinkovane na hlavnu identitu z RFO(ktoru ma aktualne UPVS IAM). Cize “statne” ISVS by mohli akceptovat prihlasovanie cez komercne IDP, a naopak, komercne systemy by mohli akceptovat statne IDP/prihlasovanie.

  • rozsirit protokol federacie identit o oauth2 / OpenID Connect, pripadne aj ine,…
  • autentifikacia (a aj autorizacia) cez Mobilne Platformy, tj zaviest standardne riesenie plosne podporovane pre vsetkych, staci s Levelom 3 (tj sw riesenim; pre level 4 je vyzadovany hw token) - vid diskusiu ÚPVII Pracovná skupina K9.5 Lepšie služby

Autorizacia:

  • vytvorit nizsi level autorizacie (aktualne je len level ZEP, resp nic) ekvivalent obycajnemu vlastnorucnemu podpisu (bez overenia notara…) s plosne dostupnou implementaciou , nas navrh je obycajne kliknutie ak som prihlaseny min. levelom 3 (tj aj z mobilu), toto bude explicitne logovane, kvoli fraud detection.

3. Riesenie ochrany osobných údajov a riadenia prístupu k údajom, založene na princípe ‘laissez-faire’:
pri g2g zdielani udajov (tj medzi ISVS) sa aktualne podpisuju papierove zmluvy o spristupneni udajov v danom rozsahu a pre dany ucel (napr ministerstvo ma ISVS, ktory chce udaje z RFO,…), napriek tomu ze obe statne institucie su v TRUSTED - GOVNET prostredi. Toto sa nam zda ako komplikovane, a skor sa nam zda lepsi flexibilny mechanizmus (ktoreho koncept je uz rieseny v skupine K9.4 Lepsie Data) - modul riadenia pristupov k udajom, tj jednalo by sa o centralny ACL, kde by bolo evidovane, ktory zdrojovy subjekt pre svoju agendu (ciselnik agiend by mohol byt z MetaIS) ma opravnenie na ktory cielovy subjekt a ktoru agendu, a na ktory typ datoveho objektu. Vsetky pristupy k udajom budu detailne logovane, tj da sa vyhodnotit pokus o fraud.

4. Zavedenie (bezpecnostnych) limitov pre egov transakcie (podania):
zaviest mechanizmus podobny ako maju banky, ze max limit transakcie za den je XXX eur, resp danym autentifikacnym prostriedkom mozem previest len sumu do XXX aur,…, tj aby si mohol clovek zvolit ake transakcie(egov/koncove sluzby chce elektronicky vykonavat vo svojom mene, a ake nechce (resp chce na to dodatocny osobny suhlas/pritomnost) - napr sluzba predaja nehnutelnosti, zmena trvaleho pobytu, atd, tj sluzby, ktore su z urciteho pohladu “kriticke” (tj aby ich niekto nezneuzil/nehackol v mojom mene)

  • s tymto uzko suvisi fraud detection podvodnych podani - bolo by dobre definovat standardne API, pre toho, kto by chcel poskytovat svoje specificke fraud detection algoritmy (napr komercne firmy, banky,…), ktore by sa spustali v ramci orchestracie elektronickych podani

Aky je Vas nazor na uvedene namety?, co by ste chceli na nich vylepsit? mozme ich spolocne rozdiskutovat, resp pridat dalsie…


#9

Ad1 v kazdom projekte musi byt dedikovana rola - clovek co ma na starosti cybesec/infosec (za dodavatela a za odberatela). Ti ludia by si mali poradit aj bez apky. Obratene, ked bude apka a budu ju pouzivat ludia ktori bezpecnosti rozumeju iba parcialne (v jednej oblasti su experti a v ostatnych su laici) alebo vobec, tak aj tam sme tam kde sme boli. Ale ak by to bol trebars checklist relevantnych casti (nielen) bezpecnostnych standardov ISVS pripadne inych relevantnych legislativnych a regulacnych poziadaviek, fajn. Namiesto itilu navrhujem zamerat sa skor na iso27002. A samotna dokumentacia bezpecnost v projekte nevyriesi, ale to je asi jasne :slight_smile: Ako navigacna a metodicka pomocka moze byt apka urcite fajn, minimalne mat vsetko prehladne na mieste aj s odkazmi je urcite k veci.

Ad2 urcite dobry napad a k veci

Ad3 ked sa vopred spravi poctiva analyza rizik a vyriesia sa identifikovane bezpecnostne nedostatky alebo aspon sa jasne urci co treba doriesit aby bol tento model bezpecnostne akceptovatelny, tak…bude jasnejsie ci a za akych podmienok tadial vedie cesta :slight_smile:

Ad4 bezpecnostne limity su urcite dobry napad


#10

Táto pracovná skupina obnovila činnosť, s novými nomináciami podľa formalizovaného štatútu. Predsedom PS je Peter Poliak za ÚPPVII.

Dnes bolo prvé stretnutie. Za NBÚ nebol nikto prítomný. Nové vedenie PS ani nebolo zatiaľ oboznámené s doterajšou aktivitou v gescii NBÚ.


#11

Zvlastne. Funguju dve instancie tejto pracovnej skupiny ? Alebo doslo k reinkarnacii ? Presune z NBU na Upvii a obmene casti clenov skupiny, zrejme podla nejakeho zvlastneho kluca ? Alebo to je len bezny chaos a zmatkovamie ?


#12

Zvláštne to rozhodne je.

Ja si to vysvetľujem tým, že všetky pracovné skupiny prechádzajú posledné 2 mesiace zmenou, v podstate sú znova vytvárané, podľa formálneho štatútu, s čím súvisia aj nové nominácie a potenciálne noví vedúci PS. Táto PS ako jediná doteraz bola zastrešovaná iným orgánom ako ÚPPVII, teraz sú všetky pod ÚPPVII - z toho asi pramení ten chaos (a dáva to tušiť úroveň komunikácie s NBÚ).


#13

Cize je to uzatvorena skupina invite ak tomu dobre rozumiem. Zda sa mi to este divnejsie.


#14

Podľa štatútu, Čl.3.3.f členmi PS sú “ďalšie subjekty (napr. IT Asociácia Slovenska, Slovensko.Digital, OZ Partnerstvá pre prosperitu), ak prejavia záujem o členstvo v niektorej pracovnej skupine a schváli ich vedúci úradu”.
Ak máš záujem, prejav ho. :wink:


#15

Acchjaj sak ked som posobil v tej skupine doteraz tak asi mam zaujem, viac ho prejavit neviem. Co mam este spravit, prist niekam s transparentom ? Porad…


#16

Mrk na jednu zo špagetových stránok: https://www.vicepremier.gov.sk/index.php/informatizacia/narodna-koncepcia-informatizacie-verejnej-spravy-nkivs/index.html

Pracovné skupiny

  1. mája 2017 boli v zmysle rozhodnutia zriadené Pracovné skupiny

    i) Kybernetická bezpečnosť – predseda PS p. Peter Poliak

e-mail: peter.poliak@vicepremier.gov.sk

povinný výstup (dokument): Strategická priorita – Informačná a kybernetická bezpečnosť

Anotácia: Systematické vysvetlenie prístupu v oblasti informačnej a kybernetickej bezpečnosti

V prípade záujmu o nomináciu členov do pracovných skupín môžete návrh s uvedením organizácie, mena, priezviska a e-mailu nominovaného zaslať na adresu predsedu pracovnej skupiny a na adresu anna.benejova@vicepremier.gov.sk. Dovoľujeme si zároveň upozorniť, že členstvo v pracovnej skupine schvaľuje vedúci Úradu podpredsedu vlády SR pre investície a informatizáciu.


#17

Dakujem. Na ten formalizmus si musim zvyknut.


#18

@IvanK ideš do toho nanovo. Držím palce


#19

Po dlhej prestávke bude opäť stretnutie tejto pracovnej skupiny, 7.8.2018.

"Témami rokovania budú nasledovne body :

  1. Národná koncepcia informatizácie verejnej správy Strategická priorita 10 Kybernetická bezpečnosť
  2. Národný systém riadenia incidentov kybernetickej bezpečnosti vo verejnej správe
  3. Úprava legislatívy v oblasti bezpečnosti v Zákone o Informačných Technologiach Verejnej Správy a štandardy ISVS"

(Keď sme to tu diskutovali, v medzičase sa zmenil vedúci PS, teraz je ním Ervín Šimko.)


Red Flags: Riadenie incidentov kybernetickej bezpečnosti (jednotky CSIRT)
#20

To sú výdatne témy. Daj proceduralny návrh aby rokovanie bolo vyjazdove a dvojdňové. V opačnom prípade nestihnete poriadne prebrať ani 1. Bod


#21

Upresnenie k bodu 1: Vedúci PS plánuje iba predstaviť nový draft strategického dokumentu, následne bude normálne pripomienkovanie.

K bodu 2: Projekt riadenia incidentov bude prerokovaný na základe požiadavky zo schvaľovania projektu riadiacim výborom. Bude k nemu treba stanovisko / návrhy z tejto pracovnej skupiny.