Critical ICT Infrastructures Protection: Trends and Perspectives Dimitris Gritzalis April 2005
Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ) Γενικές Αρχές Εθνικής Στρατηγικής για το Απόρρητο και την Ασφάλεια Δικτύων και Πληροφοριών Ημερίδα, Αθήνα, 11 Απρίλη 2005 Δημήτρης Α. Γκρίτζαλης (dgrit@aueb.gr) Αναπλ. Καθηγητής Ασφάλειας στην Πληροφορική και τις Επικοινωνίες Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών
Τεχνολογικό περιβάλλον: UbiComp* και AmI* Νανομηχανή * UbiComp: Ubiquitous Computing (Απανταχού Υπολογίζειν). AmI: Ambient Intelligence (Περικλειόμενη Νοημοσύνη). Διαφάνεια 3 από 16
Οικονομικό περιβάλλον: Παγκοσμιοποίηση (;) Μετρική Χώρα Παγκοσμιοποίηση Οικονομίας (δείκτης Α.Τ. Kerney/Foreign Policy) Διείσδυση σταθερής τηλεφωνίας (ανά 100 κατοίκους) Διείσδυση κινητής τηλεφωνίας (ανά 100 κατοίκους) Διείσδυση Διαδικτύου (ανά 100 κατοίκους) Πλήθος προσωπικών υπολογιστών (ανά 100 κατοίκους) ΗΠΑ Κίνα Ρωσία Ιαπωνία Ινδία Ελλάδα 11 51 --- 35 56 26 66.7 13.7 24.3 59.7 38 52.9 45.1 20 3.8 63 2 75.1 49.5 1.56 3 44 6.7 13.2 62.5 1.9 5.0 34.9 5.8 8.1 Ασφαλείς εξυπηρετητές (πλήθος, 2001) 78.126 184 285 5.153 122 116 Ερευνητές (ανά 1000 κατοίκους) 4.1 0.55 3.5 5.1 0.16 1.4 Δαπάνες σε ΤΠΕ (% AEΠ) 7.9 5.7 3.3 9.6 3.9 6.1 Δαπάνες σε ΕΤΑ (% ΑΕΕ) 2.7 1 1 3 1.2 0.7 Μέση ετήσια μεταβολή ΑΕΠ (1995-2002) 3.5 7.9 2.6 0.7 5.5 3.7 Με βάση στοιχεία της Παγκόσμιας Τράπεζας (βλ. Δ. Γκρίτζαλης, Αυτονομία και Πολιτική Ανυπακοή στον Κυβερνοχώρο, σελ. 235, Παπασωτηρίου, Αθήνα 2004). Διαφάνεια 4 από 16
Ιστορικό συμφραζόμενο: Κοινωνία της Πληροφορίας Παγκόσμιος Ανταγωνισμός Επιβίωση Εκπαιδευμένες Ηγεσίες Νέες πηγές εισοδημάτων Ισχυροποιημένο Επιστημονικό Δυναμικό Κοινωνία Πληροφορίας Νέες μορφές ανταγωνισμού Οργανωτικές Δομές Ανταγωνιστικό Πλεονέκτημα Κέρδη, Ροή Κεφαλαίων Παραγωγικότητα Διαφάνεια 5 από 16
Στόχος: Ασφάλεια Κρίσιμων Υποδομών Κρίσιμες υποδομές είναι οι οργανισμοί και τα δίκτυα πληροφοριών, επικοινωνιών και διανομής τα οποία διασφαλίζουν διαρκή διανομή εκείνων των αγαθών και των υπηρεσιών που είναι απαραίτητες για την εθνική άμυνα, την οικονομία, τη δημόσια υγεία και την ασφάλεια των πολιτών. Περιλαμβάνουν: Δημόσιο και Ιδιωτικό τομέα. Περιλαμβάνουν συστήματα των τομέων: Γεωργία, Διατροφή, Υ- δρευση, Δημόσια Υγεία, Επείγουσες Υπηρεσίες, Δημόσια Διοίκηση, Εθνική Αμυνα, Πληροφορική, Ενέργεια, Μεταφορές, Επικοινωνίες, Χρηματοοικονομικά, Χημική Βιομηχανία, Ταχυδρομεία. Διαφάνεια 6 από 16
ΗΠΑ: Δομή για την Ασφάλεια Κρίσιμων Υποδομών Υπουργείο Εσωτερικής Ασφάλειας FBI NIPC Πρόεδρος ΗΠΑ Υπουργεία και Ομοσπονδιακές Υπηρεσίες CIAO Συμβουλευτικές Επιτροπές PCIS Αλλες υπηρεσίες εφαρμογής του νόμου Τοπική και Περιφερειακή Διοίκηση Ιδιωτικοί Οργανισμοί Διαχείρισης Κρίσιμων Υποδομών Διαφάνεια 7 από 16
Ενα σχέδιο ιεραρχημένων δράσεων* Εθνικό σύστημα αντίδρασης στις επιθέσεις. Δράσεις για τη μείωση απειλών και ευπαθειών των κρίσιμων υποδομών. Ενημέρωση, κατάρτιση και εκπαίδευση για την αντιμετώπιση επιθέσεων. Προστασία του κρατικού πυρήνα του κυβερνοχώρου. Συντονισμός εθνικής ασφάλειας και ασφάλειας κυβερνοχώρου (πληροφοριών, υπολογιστών, δικτύων). * U.S. White House, The National Strategy to Secure Cyberspace, USA, February 2003. Διαφάνεια 8 από 16
Ευρωπαϊκή Ενωση: Στρατηγική της Λισαβόνας ERA: European Research Area FP6, Eureka, COST, National RTD Programmes towards a Single Market for Research Lisbon Strategy Enlargement The candidate countries are full partners in FP5. Broadband access, e-business, e-government, security, skills, e-health,... EU: Largest knowledge-based economy by 2010 Other policies Single Market, Single Currency, Security of Europeans, Sustainable Development,... A. Servida (European Commission, DG.4: Information Society/Trust and Security), invited lecture, 3 rd International Information Security Conference, Κύπρος, Οκτώβρης 2003. Διαφάνεια 9 από 16
Τεχνολογικά προηγμένες χώρες: Kανονιστικές παρεμβάσεις Διαφάνεια 10 από 16
Ασφάλεια Πληροφοριών και Δικτύων: Δράσεις Προστασία Ιδιωτικότητας Αποτίμηση Επικινδυνότητας Σχέδιο (Πολιτική & Μέτρα) Ασφάλειας Συνέχιση Δραστηριοτήτων Πιστοποίηση Ασφάλειας Ανάκαμψη από καταστροφή Ασφάλεια Προσωπικού Αντιμετώπιση Περιστατικών Ασφάλεια Εγκαταστάσεων Διαφάνεια 11 από 16
Ασφάλεια Πληροφοριών και Δικτύων: Αντιλήψεις 00 s (Pervasive Computing): Security-to-start-with 90 s (Networked Computing): Built-in security 80 s (Personal Computing): Added-on security 70 s (Mainframe Computing): Needed-to-few security 60 s (Premature Computing): Security, what-security? Διαφάνεια 12 από 16
Ασφάλεια Πληροφοριών και Δικτύων: Τεχνολογίες Απρίλης 2003 Gartner Inc., Security Summit 2003, Conference notes, London, September 2003. Διαφάνεια 13 από 16
Κανονιστικές Ρυθμίσεις - Ασφάλεια - Επιχειρείν: Σταθμίσεις και ανταγωνισμοί!!!!! Δ. Γκρίτζαλης, Αυτονομία και Πολιτική Ανυπακοή στον Κυβερνοχώρο, σελ. 255, Παπασωτηρίου, Αθήνα 2004. Διαφάνεια 14 από 16
Πρώτες διαπιστώσεις... Η ασφάλεια των κρίσιμων υποδομών είναι όρος εκ των ων ουκ άνευ για την εθνική ασφάλεια. Οι κρίσιμες υποδομές εξαρτώνται από τις ΤΠΕ και από την παροχή ενέργειας. Οι κρίσιμες υποδομές αλληλεξαρτώνται, ως ένα βαθμό. Η ασφάλεια των κρίσιμων υποδομών προϋποθέτει συνεργασία του δημόσιου και του ιδιωτικού τομέα. Δεν υπάρχει περιθώριο για ερασιτεχνισμούς, για εμπειρισμούς ή για - κατά δήλωσή τους - ειδικούς. Δεν χρειάζεται να πάθουμε για να μάθουμε. Διαφάνεια 15 από 16
References 1. Denault M., Gritzalis D., Karagiannis D., Spirakis P., "Intrusion detection: Evaluation and performance issues of the SECURENET system", Computers & Security, Vol. 13, No. 6, pp. 495-508, October 1994. 2. Doumas A., Mavroudakis K., Gritzalis D., Katsikas S., Design of a neural network for recognition and classification of computer viruses, Computers & Security, Vol. 14, No. 5, pp. 435-448, 1995. 3. Gritzalis D., Secure Electronic Voting, Springer, USA 2003. 4. Gritzalis D., Principles and requirements for a secure e-voting system, Computers & Security, Vol. 21, No. 6, pp. 539-556, 2002. 5. Gritzalis D., "Embedding privacy in IT applications development", Information Management and Computer Security, Vol. 12, No. 1, pp. 8-26, 2004. 6. Gritzalis D., Theoharidou M., Kalimeri E., "Towards an interdisciplinary information security education model", in Proc. of the 4 th World Conference on Information Security Education, 2005. 7. Iliadis J., Gritzalis D., Spinellis D., Katsikas S., Developing secure web-based medical applications, Medical Informatics, Vol. 24, No. 1, pp. 75-90, 1999. 8. Lekkas D., Gritzalis D., Cumulative Notarization for Long-term Preservation of Digital Signatures, Computers & Security, Vol. 23, No. 5, pp. 413-424, 2004. 9. Spinellis D., Gritzalis D., "PANOPTIS: Intrusion detection using process accounting records", Journal of Computer Security, Vol. 10, No. 2, pp. 159-176, 2002. 10. Theoharidou M., Marias J., Dritsas S., Gritzalis D., The Ambient Intelligence Paradigm: A review of security and privacy strategies in leading economies, in Proc. of the 2 nd IET Conference on Intelligent Environments, Vol. 2, pp. 213-219, 2006. Διαφάνεια 16 από 16