AKADEMIA SZTUKI WOJENNEJ WYDZIA WOJSKOWY INSTYTUT DZIAA INFORMACYJNYCH

AKADEMIA SZTUKI WOJENNEJ WYDZIAŁ WOJSKOWY INSTYTUT DZIAŁAŃ INFORMACYJNYCH Zakład Bezpieczeństwa Cyberprzestrzeni ppłk dr inż. Grzegorz PILARSKI Uwarunkowania organizacji bezpieczeństwa cyberprzestrzeni w organizacji zhierarchizowanej o charakterze militarnym tel. : (261) 814 -642 e-mail: g. pilarski@aon. edu. pl e-mail: g. pilarski@akademia. mil. pl Gdynia, 2016 ppłk dr inż. Grzegorz PILARSKI JAWNE 1

Cyberprzestrzeń przetwarzania i wymiany informacji tworzona przez systemy teleinformatyczne, zespoły współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego przeznaczonego do podłączenia bezpośrednio lub pośrednio do zakończeń sieci wraz z powiązaniami pomiędzy nimi oraz relacjami z użytkownikami. Ustawa z dnia 30 sierpnia 2011 r. O zmianie ustawy o stanie wojennym oraz o kompetencjach Naczelnego Dowódcy Sił Zbrojnych i zasadach jego podległości konstytucyjnym organom Rzeczypospolitej Polskiej oraz niektórych innych ustaw ppłk dr inż. Grzegorz PILARSKI JAWNE 2

Cyberprzestrzeń Autor: ppłk dr hab. inż. Mariusz FRĄCZEK ppłk dr inż. Grzegorz PILARSKI JAWNE 3

Cyberprzestrzeń obszaru militarnego państwa ppłk dr inż. Grzegorz PILARSKI JAWNE 4

ppłk dr inż. Grzegorz PILARSKI JAWNE 5

Specyfika obiegu informacji - ćwiczenia dowódczo-sztabowe ppłk dr inż. Grzegorz PILARSKI JAWNE 6

Specyfika obiegu informacji - ćwiczenia dowódczo-sztabowe ppłk dr inż. Grzegorz PILARSKI JAWNE 7

Specyfika obiegu informacji - ćwiczenia dowódczo-sztabowe ppłk dr inż. Grzegorz PILARSKI JAWNE 8

Wybrane aspekty bezpieczeństwa technicznego • bezpieczeństwo programowe; • bezpieczeństwo kryptograficzne; • bezpieczeństwo elektromagnetyczne; • bezpieczeństwo fizyczne. ppłk dr inż. Grzegorz PILARSKI JAWNE 9

Bezpieczeństwo programowe • sterowanie dostępem - mechanizmy sterowania dostępem do obiektów, danych zautomatyzowanego systemu dowodzenia; • sterowanie szyfrowaniem - programy zabezpieczające zawierają własne pliki danych sterujące procesem szyfrowania i przydzielania określonych kluczy; • sterowanie przepływu informacji - mechanizmy ustalające zasady dostępu do obiektów; • sterowanie „wnioskowaniem” – przy procesie odtajnienia informacji należy zapewnić by nie doszło do ujawnienia danych niejawnych. ppłk dr inż. Grzegorz PILARSKI JAWNE 10

Bezpieczeństwo programowe proces uwierzytelniania (ang. authentication) hasło logowania do systemu oper. certyfikaty elektroniczne hasło na BIOS ppłk dr inż. Grzegorz PILARSKI autoryzacji (ang. authorization) bezpieczeństwo programowe hasło na tzw. „wygaszacz ekranu” JAWNE biometria hasła dostępu do aplikacji (ang. single sign-on – SSO) 11

Bezpieczeństwo programowe - dylematy …. UPRAWNIENIA • jakie osoby funkcyjne będą pracowały w systemie? • jakie prawa należy nadać poszczególnym osobom? • kto ma prawo odbierać dokumentacje przychodzącą, czy wszyscy mają mięć dostęp? • na kogo dekretować realizację poszczególnych zadań? • kto inicjuje tworzenie dokumentu rozkazodawczego lub sprawozdawczego? • kto powinien dokonywać zrzutów z bazy danych oraz dokonywać aktualizacji? • kto jest uprawniony do wykonania poszczególnych załączników oraz uzupełnień do dokumentów rozkazodawczych? ppłk dr inż. Grzegorz PILARSKI JAWNE 12

Bezpieczeństwo programowe – człowiek … Logowanie do różnych systemów bez usługi SSO Specyfika elementu podgrywki Konieczność wylogowywania się po skończonej pracy w systemie Zagrożenia wynikające z korzystania z pamięci przenośnych (USB? ? ) ppłk dr inż. Grzegorz PILARSKI Określony pakiet uprawnień dla poszczególnych osób funkcyjnych na SD Słabe hasła Ochrona antywirusowa Wymiana informacji pomiędzy systemami o różnych klauzulach JAWNE 13

Bezpieczeństwo programowe – IEG bezpieczna brama wymiany informacji pomiędzy systemami o różnej klasyfikacji danych Źródło: Teldat ppłk dr inż. Grzegorz PILARSKI JAWNE 14

Bezpieczeństwo programowe – przykład Information Exchange Gateway (IEG) JAŚMIN rozwiązaniem programowym i sprzętowym, stanowiącym bramę bezpiecznej wymiany informacji. Zapewnia głównie zautomatyzowany i bezpieczny transfer informacji pomiędzy systemami o różnej klasyfikacji danych. Stanowi także znormalizowane rozwiązanie w zakresie ochrony tajemnicy w sieciach, zgodne z koncepcją NATO Network Enabled Capability. ppłk dr inż. Grzegorz PILARSKI Źródło: Teldat JAWNE 15

Bezpieczeństwo kryptograficzne i elektromagnetyczne metody nie kryptograficzne metody kryptograficzne techniki biometryczne GUU grupowe urządzenia utajniające linie papilarne, kształt dłoni, wzór siatkówki lub tęczówki, kształt twarzy, czy też cechy głosu protokoły: Kerberos, PGP, PEM, SSH, IPSec i SSL oraz szyfrowania ppłk dr inż. Grzegorz PILARSKI JAWNE 16

Bezpieczeństwo kryptograficzne i elektromagnetyczne Tunelowanie - IPSec ppłk dr inż. Grzegorz PILARSKI Źródło: Teldat JAWNE 17

Bezpieczeństwo kryptograficzne i elektromagnetyczne sprzęt atestowany, a w warunkach mobilnych spełniający wojskowe normy wytrzymałościowo- klimatyczne Norma Obronna NO-06 -A 101 i NO-06 -A 103 NO-06 -A-200 i NO-06 -A-201 urządzeń o obniżonym poziomie emisji ujawniającej (osłony, kabiny ekranujące, w sprzęcie mobilnym nadwozia szczelne elektromagnetycznie) dopuszczalne poziomy emisji ubocznych i odporność na narażenia elektromagnetyczne oraz tłumienność obiektów ekranujących stosowanie łączy światłowodowych ppłk dr inż. Grzegorz PILARSKI JAWNE 18

Bezpieczeństwo fizyczne – a trochę tego sprzętu jest … „twój serwer jest tak bezpieczny jak jego zabezpieczenie fizyczne” ppłk dr inż. Grzegorz PILARSKI JAWNE 19

Bezpieczeństwo fizyczne – przedsięwzięcia … • zabezpieczenia WD, WDSz i aparatowni teleinformatycznych; • kontrolę okablowania i wprowadzania łączy z punktu widzenia wymagań bezpieczeństwa i ochrony; • systemu ochrony przez wartowników; • stref ograniczonego dostępu; • wytyczenie stref ochrony wokół wozów dowodzenia i aparatowni, w których przetwarzana jest informacja niejawna; • zabezpieczenie instalacji przed klęskami żywiołowymi; • zapewnianie niezawodności źródeł energii elektrycznej i klimatyzacji; • stosowanie środków ochrony przed nieuprawnionym dostępem do sprzętu i programów. ppłk dr inż. Grzegorz PILARSKI JAWNE 20

Bezpieczeństwo fizyczne – brak informacji o adresacji IP … określenie adresacja IP w obszarze sieci lokalnych i rozległej preferowane rozwiązanie adresacji stałej, VPN, VLany, MAC adresy. ppłk dr inż. Grzegorz PILARSKI JAWNE 21

Bezpieczeństwo fizyczne – brak informacji o nazewnictwie … ppłk dr inż. Grzegorz PILARSKI JAWNE 22

Wybrane aspekty bezpieczeństwa organizacyjnego E. Andrukiewicz ppłk dr inż. Grzegorz PILARSKI Autor: E. Andrukiewicz JAWNE 23

Wybrane aspekty bezpieczeństwa organizacyjnego To tylko początek … • opracowywania procedur bezpieczeństwa z zakresu bezpieczeństwa teleinformatycznego na podstawie przeprowadzonych analiz systemowych; • opracowanie planów awaryjnych na wypadek zaistnienia sytuacji kryzysowych; • określenie i opracowanie odpowiednich metod nadzoru i kontroli; • ustalenie procedur dostępu do informacji wrażliwych dla funkcjonowania jednostki (np. dane z rozpoznania); • kontrola osób odpowiedzialnych za bezpieczeństwo informacji na stanowisku dowodzenia np. administratorzy poszczególnych segmentów zautomatyzowanego systemu dowodzenia; • wskazanie konkretnych osób odpowiedzialnych w zakresie ochrony informacji oraz osób nadzorujących ustalone zasady i procedury. ppłk dr inż. Grzegorz PILARSKI JAWNE 24

Wybrane aspekty bezpieczeństwa organizacyjnego Proces zarządzania bezpieczeństwem… ppłk dr inż. Grzegorz PILARSKI Autor: E. Andrukiewicz JAWNE 25

Wybrane aspekty bezpieczeństwa organizacyjnego - socjotechnika Zespół podawania wiadomości - incydenty Podawanie się za „administratora” e-mailowo, tlf. - wyłudzanie haseł Próby nieautoryzowanego dostępu do komputerów – „help desk” Uruchamianie nieautoryzowanych urządzeń wi-fi ppłk dr inż. Grzegorz PILARSKI JAWNE 26

DZIĘKUJĘ ZA UWAGĘ ppłk dr inż. Grzegorz PILARSKI JAWNE 27

AKADEMIA SZTUKI WOJENNEJ WYDZIAŁ WOJSKOWY INSTYTUT DZIAŁAŃ INFORMACYJNYCH Zakład Bezpieczeństwa Cyberprzestrzeni ppłk dr inż. Grzegorz PILARSKI Uwarunkowania organizacji bezpieczeństwa cyberprzestrzeni w organizacji zhierarchizowanej o charakterze militarnym tel. : (261) 814 -642 e-mail: g. pilarski@aon. edu. pl e-mail: g. pilarski@akademia. mil. pl Gdynia, 2016 ppłk dr inż. Grzegorz PILARSKI JAWNE 28