Ημερίδα, Θεσσαλονίκη,, 11 Απρίλη 2008 Στοχεύαμε στην Ασφάλεια Πληροφοριακών Συστημάτων Στοχεύουμε στην Προστασία Κρίσιμων Πληροφοριακών και Επικοινωνιακών Υποδομών Δημήτρης Γκρίτζαλης, Αναπληρωτής Καθηγητής (dgrit@aueb.gr, www.cis.aueb.gr) Ερευνητική Ομάδα Ασφάλειας Πληροφοριών & Προστασίας Κρίσιμων Υποδομών Τμήμα Πληροφορικής, Οικονομικό Πανεπιστήμιο Αθηνών
Ασφάλεια Πληροφοριακών Συστημάτων 2
Cyberterrorism,, HISTORY Channel Σημείωση: Το περιεχόμενο και τα συμπεράσματα του video δεν υιοθετούνται, κατ ανάγκην. 3
Νέοι όροι νέες στοχεύσεις ΥΠΟΔΟΜΗ: Πλέγμα αλληλοεξαρτώμενων δικτύων και συστημάτων που παρέχει αξιόπιστη ροή προϊόντων, υπηρεσιών και αγαθών, για τη λειτουργία διοίκησης, οικονομίας, κοινωνίας και άλλων υποδομών. ΚΡΙΣΙΜΗ ΥΠΟΔΟΜΗ: Υποδομή μεγάλης κλίμακας, υποβάθμιση, διακοπή ή δυσ- λειτουργία της οποίας έχει σοβαρή επίπτωση στην υγεία, ασφάλεια ή ευμάρεια των πολιτών ή στην ομαλή λειτουργία διοίκησης ή οικονομίας. 4
Νέοι όροι νέες στοχεύσεις ΚΡΙΣΙΜΗ ΠΛΗΡΟΦΟΡΙΑΚΗ ΥΠΟΔΟΜΗ: Πληροφοριακό Σύστημα υποστηριζόμενο από ΤΠΕ, που αποτελεί το ίδιο κρίσιμη υποδομή ή είναι προϋπόθεση για τη λειτουργία άλλων τέτοιων υποδομών. ΠΡΟΣΤΑΣΙΑ ΚΡΙΣΙΜΗΣ ΠΛΗΡΟΦΟΡΙΑΚΗΣ ΥΠΟΔΟΜΗΣ: Δράσεις των κατόχων, κατασκευαστών, χρηστών, διαχειρι- στών, ερευνητικών ιδρυμάτων, Διοίκησης και κανονιστικών αρχών, για τη διατήρηση της ποιοτικής λειτουργίας της υποδομής σε περίπτωση επιθέσεων, ατυχημάτων, σφαλμά- των, όσο και για την ταχεία ανάκαμψη της υποδομής μετά από τέτοιο γεγονός. 5
Κρίσιμες Υποδομές και ευπάθειες: Φαινόμενα συγκέντρωσης Συγκέντρωση ενέργειας (εγκαταστάσεις παραγωγής ηλεκτρισμού, φράγματα, εύφλεκτα υλικά, τοξικές ουσίες, εκρηκτικά κλπ.). Συγκέντρωση πληθυσμού (μεγα-πόλεις, μητροπό- λεις, περιφερειακά κέντρα). Συγκέντρωση εξουσίας (οικονομικής και πολιτικής, ειδικά στις ΤΠΕ και στη βιομηχανία τροφίμων). οι συγκεντρώσεις οικονομικής και πολιτικής εξουσί- ας ευνοούν τη συγκέντρωση ενέργειας (συνήθως με- σω της απελευθέρωσης αγορών), η οποία τείνει να συμβαίνει σε περιοχές με πολύ μεγάλο πληθυσμό. 6
Πληροφορία: Πακτωλός ή παγίδα; Applications Customers Partners Employees quotes quotes memos VoIP Infrastructure whitepapers video plans contracts reports whitepapers images Όγκος δεδομένων 75% ετήσια αύξηση analysis Από Gigabytes σε Petabytes XML σε 10 μόλις χρόνια forecasts SOW research Web proposalsmodels reports images SOPs presentations directories Information POS warranties models email illustrations images orders tests email manuals resumes reports manuals inventory billing notes RFID brochures photosbalances Πολυπλοκότητα διαδικασιών models articles Εκατοντάδες εφαρμογές και formats Περίπλοκοι διακομιστές και δίκτυα Nέοι κανόνες και κανονισμοί Νέες απειλές και ευπάθειες 7 specs payroll designs
8 Customers Partners Employees Applications Infrastructure Information POS photos directories VoIP reports whitepapers models images designs XML presentations analysis research manuals images models quotes email email resumes SOW inventory video orders Web brochures payroll balances quotes forecasts notes memos proposals illustrations reports SOPs warranties articles manuals plans models tests reports RFID whitepapers specs images billing contracts Νέα ευκαιρία! presentations proposals orders research specs models Καινοτομία! Καινοτομία Καινοτομία, ευκαιρία ευκαιρία, ευπάθεια ευπάθεια images Νέα ευπάθεια! email memos contracts
Μια νέα πληροφοριακή πλατφόρμα αναδύεται ΒΕΛΤΙΣΤΟΠΟΙΗΣΗ Virtualization Security ΠΡΟΣΤΑΣΙΑ Resource Mgmt Intelligent Information Mgmt Information Infrastructure Reliability Archive ΑΞΙΟΠΟΙΗΣΗ Enterprise Content Mgmt Storage ΑΠΟΘΗΚΕΥΣΗ 9
World Economic Forum (2008) Core Global Risks: Likelihood with Severity by Economic Loss 10
Κρίσιμες Υποδομές που κινδυνεύουν: Agriculture and Food Η περίπτωση των ΗΠΑ 1.9M farms 87,000 food processing plants Water 1,800 federal reservoirs 1,600 treatment plants Public Health 5,800 registered hospitals Chemical Industry 66,000 chemical plants Telecomm 2B miles of cable Energy 2,800 power plants 300K production sites Transportation To σύνολο των 120,000 miles railroads 590,000 highway bridges των 2M miles of pipeline 300 ports Κρίσιμων Υποδομών Banking and Finance 6,600 FDIC institutions εξαρτάται από τη χρήση Postal and Shipping 137M delivery sites Υποδομών ΤΠΕ Key Assets 5,800 historic building 104 nuclear power plant 80K dams 3,000 government facilities 460 skyscrapers
Νέα απειλή - νέες εξαρτήσεις Year 1995 NAVSTAR GPS Declared Operational Εποχή του Διαστήματος Sputnik 1-1957 1963 First Computerized Database 1875 First Electric Street Lighting Κοινωνία της Πληροφορίας Ηλεκτρισμός Konrad Zuse - Z1 Computer 1936 Benjamin Franklin 1747 Εξάρτηση από τις ΤΠΕ
Οικονομικές διαστάσεις προστασίας Κρίσιμων Πληροφοριακών Υποδομών Commercially Global Telecommunications Industry Revenue (2005) GPS Market Μέσο (2007) MILSTAR Satellite Cost Weather Satellite Benefits (2002) 12 year insurance cost of a $100M Satellite 42 Plasma TV $1T Μέσο κόστος $30B ενός ICBM $800M $638M $53M $2000 $10 12 - Trillion $10 9 - Billion ~$10-50M $10 6 - Million $10 3 - Thousand
Σύγκριση Κρισιμότητας Υποδομών Assessment Matrix for Five Infrastructures Studied by IRGC - Geneva, CH Colors are used to judge the performance level; red corresponds to the worst, green to an adequate performance with regard to the considered criterion, transitions indicate changes.
Κρισιμότητα Υποδομής vs. Ακαταλληλότητα Διαχείρισης Επικινδυνότητας Satellite Systems
Πρώτα συμπεράσματα Μεγάλο μέρος κρίσιμων υποδομών ανήκει στον ιδιωτικό τομέα, που - όπως και ο δημόσιος - είναι επιρρεπής σε σφάλματα, αστοχίες και συχνή αδυναμία ικανοποίησης των απαιτήσεων των πολιτών-πελατών. Οι πιθανές επιπτώσεις ατυχημάτων, σφαλμάτων και αστοχιών είναι διεθνείς και γεωγραφικά εκτενείς. Τοπλήθοςτωνκρίσιμωνυποδομώναυξάνεταικαιηαλληλεξάρτησή τους, καθώς και η εξάρτηση άλλων από αυτές διευρύνεται. Οι υποδομές ΤΠΕ τείνουν, ταχύτατα και διεθνώς, να καταστούν υποδομές-υποδομών. Η επιδίωξη για ανάπτυξη ασφαλών ολοκληρωμένων πληροφοριακών συστημάτων δίνει τη θέση της στην ανάπτυξη ασφαλών πληροφοριακών υποδομών. Μια νέα επιστημονική περιοχή πιθανώς αναδύεται: Critical Infrastructures Management and Engineering 16
Κομβικά Προγράμματα ` Προστασίας Κρίσιμων Υποδομών 2007 1 st Space Security Conference UK & India 20012007 Vulnerability The Fragility of Assessment of the Transportation Infrastructures Infrastructure Proposal VOLPE National IIASA Transportation Center Austria United States 2006 The European Programme for Critical Infrastructure Protection (EPCIP) Brussels 1996 Critical Infrastructure Protection Act PDD-63 United States 2003 Homeland Security Presidential Directive HSPD-7 2007-2008 National Science Foundation (NSF) Resilient and Sustainable Infrastructures (RESIN) United StatesUnited States
Quo vadis?