From IT Security to Critical Infrastructure Protection: From the past to the future Dimitris Gritzalis October 2007
Από το πρόσφατο παρελθόν (Ασφάλεια Πληροφοριακών Συστημάτων) στο προσεχές μέλλον (Προστασία Κρίσιμων Πληροφοριακών Υποδομών) Καθηγητής Δημήτρης Γκρίτζαλης (dgrit@aueb.gr, www.cis.aueb.gr) Ερευνητική Ομάδα Ασφάλειας Πληροφοριών & Προστασίας Κρίσιμων Υποδομών Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών
Περιεχόμενα 1. Ορισμοί και βασικά χαρακτηριστικά ευπάθειας κρίσιμων υποδομών 2. Γνωστές απειλές ενάντια στις κρίσιμες υποδομές 2.1 Ατυχήματα και αστοχίες 2.3 Όπλα μαζικής καταστροφής 3. Κρίσιμες πληροφοριακές υποδομές 3.1 Παράδειγμα: Δορυφόροι 3.2 Νέες εξαρτήσεις 3.3 Σύγκριση κρισιμότητας υποδομών 3
ΥΠΟΔΟΜΗ: Πλέγμα αλληλοεξαρτώμενων δικτύων και συστημάτων που παρέχει αξιόπιστη ροή προϊόντων, υπηρεσιών και αγαθών, για τη λειτουργία διοίκησης, οικονομίας, κοινωνίας και άλλων υποδομών. ΚΡΙΣΙΜΗ ΥΠΟΔΟΜΗ: Υποδομή μεγάλης κλίμακας, υποβάθμιση, διακοπή ή δυσλειτουργία της οποίας έχει σοβαρή επίπτωση στην υγεία, ασφάλεια ή ευμάρεια των πολιτών ή στην ομαλή λειτουργία διοίκησης ή οικονομίας. ΚΡΙΣΙΜΗ ΠΛΗΡΟΦΟΡΙΑΚΗ ΥΠΟΔΟΜΗ: Πληροφοριακό Σύστημα, υποστηριζόμενο από ΤΠΕ, που είναι το ίδιο κρίσιμη υποδο-μή ή αποτελεί προϋπόθεση για τη λειτουργία άλλων τέτοιων υποδομών. ΠΡΟΣΤΑΣΙΑ ΚΡΙΣΙΜΗΣ ΠΛΗΡΟΦΟΡΙΑΚΗΣ ΥΠΟΔΟΜΗΣ: Δράσεις των κατόχων, κατασκευαστών, χρηστών, διαχειριστών, ερευνητικών ιδρυμάτων, Διοίκησης και κανονιστικών αρχών, για τη διατήρηση της ποιοτικής λειτουργίας της υποδομής σε περίπτωση επιθέσεων, ατυχημάτων, σφαλμάτων, όσο και για την ταχεία ανάκαμψη της υποδομής μετά από τέτοιο γεγονός. 4
Ευπάθεια Κρίσιμων Υποδομών: Φαινόμενα συγκέντρωσης Συγκέντρωση ενέργειας (εγκαταστάσεις παραγωγής ηλεκτρισμού, φράγματα, εύφλεκτα υλικά, τοξικές ουσίες, εκρηκτικά κλπ.). Συγκέντρωση πληθυσμού (μεγαπόλεις, μητροπόλεις, περιφερειακά κέντρα). Συγκέντρωση εξουσίας (οικονομικής και πολιτικής, ειδικά στις ΤΠΕ και στη βιομηχανία τροφίμων). οι συγκεντρώσεις οικονομικής και πολιτικής εξουσίας ευνοούν τη συγκέντρωση ενέργειας (συνήθως μέσω της απελευθέρωσης αγορών), η οποία τείνει να συμβαίνει σε περιοχές με πολύ μεγάλο πληθυσμό. 5
Κρίσιμες Υποδομές και γνωστές απειλές: Ατυχήματα και αστοχίες Chernobyl 3-mile Island Überlingen collision
Κρίσιμες Υποδομές και απειλές-όπλα μαζικής καταστροφής (WMD) Atomic Biologic Chemical Epidemics Finance Global Climate Change
Biologic Chemical Epidemics Finance Global Climate Change Ατομική απειλή
Η απειλή του ατομικού ολέθρου Η πυρηνική κοινότητα
Atomic Chemical Epidemics Finance Global Climate Change Βιολογική Απειλή
Η απειλή του βιολογικού ολέθρου (Πιθανή) κοινότητα χωρών με δυνατότητα χρήσης βιολογικών όπλων
Atomic Biologic Epidemics Finance Global Climate Change Χημική Απειλή
Η απειλή του χημικού ολέθρου Χώρες που δεν έχουν προσχωρήσει στη συνθήκη ελέγχου των χημικών όπλων
Atomic Biologic Chemical Finance Global Climate Change Επιδημίες Πανδημίες
Επιδημίες και πανδημίες
Atomic Biologic Chemical Epidemics Global Climate Change Παγκοσμιοποίηση Οικονομίας ως WMD
Atomic Biologic Chemical Epidemics Finance Κλιματικές αλλαγές
Παγκόσμιες κλιματικές αλλαγές
Atomic Biologic Chemical Epidemics Finance Global Climate Change Πληροφορία (Κρίσιμες Υποδομές) Η πληροφορία (στις κρίσιμες υποδομές) ως όπλο μαζικής καταστροφής
Κρίσιμες Υποδομές που κινδυνεύουν: Η περίπτωση των ΗΠΑ Agriculture and Food 1.9M farms 87,000 food processing plants Water 1,800 federal reservoirs 1,600 treatment plants Public Health 5,800 registered hospitals Chemical Industry 66,000 chemical plants Telecomm 2B miles of cable Energy 2,800 power plants 300K production sites Transportation 120,000 miles railroads 590,000 highway bridges Το σύνολο των Κρίσιμων Υποδομών 2M miles of pipeline 300 ports εξαρτάται από τη χρήση Banking and Finance Πληροφοριακών Υποδομών 6,600 FDIC institutions Postal and Shipping 137M delivery sites Key Assets 5,800 historic building 104 nuclear power plant 80K dams 3,000 government facilities 460 skyscrapers
Δορυφόροι: Παράδειγμα Κρίσιμης Πληροφοριακής Υποδομής Επεξεργάζονται πλήθος πληροφοριών, εξαιτίας του μεγάλου εύρους των εφαρμογών τους. Είναι ευπαθείς σε ποικιλία επιθέσεων, αλλά και σε αστοχίες και σφάλματα. Δεν υπάρχει συντονισμένη διαχείριση των πιθανών δυσλειτουργιών τους. Ολοένα και περισσότερες εφαρμογές βασίζονται στη χρήση δορυφόρων.
Year 1995 NAVSTAR GPS Declared Operational Νέα απειλή - νέες εξαρτήσεις Εποχή του Διαστήματος Sputnik 1-1957 1963 First Computerized Database 1875 First Electric Street Lighting Κοινωνία της Πληροφορίας Ηλεκτρισμός Konrad Zuse - Z1 Computer 1936 Benjamin Franklin 1747 Εξάρτηση από τις ΤΠΕ
Οικονομικές διαστάσεις προστασίας Κρίσιμων Πληροφοριακών Υποδομών Commercially Global Telecommunications Industry Revenue $1T $10 12 - Trillion (2005) Μέσο κόστος GPS Market (2007) MILSTAR Satellite Cost Weather Satellite Benefits (2002) 12 year insurance cost of a $100M Satellite 42 Plasma TV $30B ενός ICBM $800M $638M $53M $2000 $10 9 - Billion ~$10-50M $10 6 - Million $10 3 - Thousand
Σύγκριση Κρισιμότητας Υποδομών Assessment Matrix for Five Infrastructures Studied by IRGC - Geneva, CH Colors are used to judge the performance level; red corresponds to the worst, green to an adequate performance with regard to the considered criterion, transitions indicate changes.
Κρισιμότητα Υποδομής vs. Καταλληλότητα Διαχείρισης Επικινδυνότητας Satellite Systems
Μερικά πρώτα συμπεράσματα Μεγάλο μέρος κρίσιμων υποδομών ανήκει στον ιδιωτικό τομέα, που - όπως και ο δημόσιος - είναι επιρρεπής σε σφάλματα, αστοχίες και συχνή αδυναμία ικανοποίησης των απαιτήσεων των πολιτών-πελατών. Οι πιθανές επιπτώσεις ατυχημάτων, σφαλμάτων και αστοχιών είναι διεθνείς και γεωγραφικά εκτενείς. Το πλήθος των κρίσιμων υποδομών αυξάνεται και η αλληλοεξάρτησή τους, καθώς και η εξάρτηση άλλων από αυτές διευρύνεται. Οι υποδομές ΤΠΕ τείνουν, ταχύτατα και διεθνώς, να καταστούν υποδομέςυποδομών. Η επιδίωξη για ανάπτυξη ασφαλών ολοκληρωμένων πληροφοριακών συστημάτων πρέπει να αντικατασταθεί από την ανάπτυξη ασφαλών πληροφοριακών υποδομών. Μια νέα επιστημονική περιοχή αναδύεται: Critical Infrastructures Management and Engineering 30
References 1. Gritzalis D., Secure Electronic Voting, Springer, USA 2003. 2. Gritzalis D., "Embedding privacy in IT applications development", Information Management and Computer Security, Vol. 12, No. 1, pp. 8-26, 2004. 3. Gritzalis D., "Principles and requirements for a secure e-voting system", Computers & Security, Vol. 21, No. 6, pp. 539-556, 2002. 4. Lekkas D., Gritzalis D., Cumulative Notarization for Long-term Preservation of Digital Signatures, Computers & Security, Vol. 23, No. 5, pp. 413-424, 2004. 5. Lekkas D., Gritzalis D., "e-passports as a means towards the first world-wide Public Key Infrastructure", in Proc. of the 4 th European PKI Workshop, pp. 34-48, Springer, 2007. 6. Spinellis D., Gritzalis S., Iliadis J., Gritzalis D., Katsikas S., "Trusted Third Party services for deploying secure telemedical applications over the WWW", Computers & Security, Vol. 18, No. 7, pp. 627-639, 1999. 7. Spinellis D., Gritzalis D., " PANOPTIS: Intrusion detection using process accounting records", Journal of Computer Security, Vol. 10, No. 2, pp. 159-176, 2002. 8. Tsoumas V., Papagiannakopoulos P., Dritsas S., Gritzalis D., "Security-by-Ontology: A knowledgecentric approach", in Proc. of the 21 st International Information Security Conference, pp. 99-110, 2006. 9. Theoharidou M., Stougiannou E., Gritzalis D., A CBK for Information Security and Critical Infrastructure Protection, in Proc. of the 5 th IFIP Conference on Information Security Education, pp. 49-56, Springer, 2007. 10. Theoharidou M., Xidara D., Gritzalis D., A Common Body of Knowledge for Information Security and Critical Information and Communication Infrastructure Protection, International Journal of Critical Infrastructure Protection, Vol. 1, No. 1, pp. 81-96, 2008. 31