PODATKI VLADNIH INFORMACIJSKIH SISTEMOV MED ZAHTEVAMI PO JAVNI DOSTOPNOSTI IN VAROVANJEM V ZAPRTIH SISTEMIH mag. Samo Maček, mag. Franci Mulec, mag. Franc Močilar
UVOD Razvrščanje dokumentov: odprta družba, transparentnost delovanja vlade >> javni dostop varovati pred kibernetskimi grožnjami >> zapirati v izolirane sisteme Med obema skrajnostma: Primer: vladna gradiva gradiva v vladni obravnavi, vsa področja družbe predlog >> usklajevanje >> odbori >> vlada >> DZ, objava vsebinski vidik - ena zbirka / zaupnost > različni sistemi (izolirani, nepovezani, odprti)
Javna dostopnost podatkov Prve pobude 1955 znanstvenih pod. WDC (ideja: v strojno berljivi obliki) Internet dostopnost, povezljivost 1989 2004 pobuda OECD - odprtega dostopa do raziskovalnih podatkov
Javni sektor inf. javnega značaja, odprti podatki Direktiva EU o ponovni uporabi podatkov javnega sektorja (2003) ZDIJZ Zakon o dostopu do informacij javnega značaja Spremembe direktive (2013) > odprti podatki > novela ZDIJZ proaktivno Definicija odprtega podatka javno dostopen (brez omejitev) v odprtem formatu brezplačno za katerikoli namen zgolj z navedbo vira Zakaj je to pomembno? sodelovanje javnosti pri odločanju (izjeme) participativna demokracija transparentnost delovanja države
Razvojne stopnje odprtih podatkov 5 stopenj odprtosti: > splet (HTML) > strukturirano (XLS) > nelicenčni format (XML) > enotni označevalnik virov (RDF, URI) > kontekst (RDF) odprta oblika (5*) - portal OPSI: https://podatki.gov.si/dataset/vladna-gradiva-2
Varnostni razredi Uredba o informacijski varnosti, Uredba o varovanju TP v kom. - inf. sistemih razvrščanje IS in podatkov možne škodljive posledice v primeru zlorabe na nivoju organizacije / države vse 3 dimenzije informacijske varnosti (zaupnost, celovitost, razpoložljivost) podobni koncepti preteklosti večnivojska zaščita
Varnostni razredi danes
Grožnje Pri podatkih, ki so ključni za varnost in delovanje države kibernetske grožnje na najvišjem nivoju Poglavitni viri kibernetskih groženj: hacktivizem interesi nacionalnih držav organizirani kriminal Najem storitve Zaščitni ukrepi regulativa NATO, EU SLO rešitve (šifrirni alg )
Neželene EM emisije Elektronske naprave > delovanju > sevanje ~ podatki > prestreže > rekonstrukcija vsebine Izpostavljene komponente informacijske opreme Zaslon, tipkovnica, tiskalnik Način širjenja neželenih emisij EM sevanje (vodnik oddajna antena) Konduktivne (neustrezna izolacija, ozemljitev, parazitni sklopi) Namerne (virus) Razlogi za visoko tveganje Obdelava podatkov v nešifrirani obliki Pasivna narava napadov težko zaznavanje
TEMPEST napadi - zaščitni ukrepi ločena infrastruktura - rdeča / črna oklopljena oprema, omare TEMPEST zaščitimo prostor cona TEMPEST motilci signala optične povezave (kovinski oklopi, barva s kovinskimi delci, folije na oknih, ozemljitev )
Grožnje pri uporabi mobilnih naprav Različna strojna oprema Operaterji (domači, tuji) operacijski sistemi, Aplikacije Senzorji in komunikacijski kanali mešanje uporabe v službene in privatne namene Obvadovanje >> tveganje Varnost v rokah uporabnika Najem storitve Zaščitni ukrepi regulativa NATO, EU SLO rešitve (šifrirni alg )
Akustični napadi Pri podatkih, ki so ključni za varnost in delovanje države kibernetske grožnje na najvišjem nivoju Poglavitni viri kibernetskih groženj: hacktivizem interesi nacionalnih držav organizirani kriminal Najem storitve Zaščitni ukrepi regulativa NATO, EU SLO rešitve (šifrirni alg )
Optični napadi teleskop kamera pogled čez ramo Zaščitni ukrepi zavese folije, izbira prostora postavitev opreme
Začasni (poceni) varnostni ukrepi za vsakega Občutljiv sestanek Izključiti vse prenosne naprave (telefone, prenosnike, pametne ure, žične telefone, WiFi naprave). Uporabiti zavese. Individualno delo v tujem prostoru ali na poti, npr. v hotelu Previdnost pri uporabi WiFi (ali vidite res hotelski WiFi), če je možno, raje uporabljajmo podatkovni prenos, uporaba VPN povezav. Nikoli ne puščamo telefona, prenosnika, občutljivih dokumentov brez nadzora. Uporaba vidne zaščite pri delu z občutljivimi podatki (na primer pri vnosu PIN-a, gesla, ). Varno pisanje papir, svinčnik
Viri slik: www.gsv.gov.si, www.mzz.gov.si, https://www.mojaobcina.si/ljubljana/novice/obvestila/dogodki/pes-iz-mesta-na-ljubljanski-grad.html (Primoz Hieng, Turizem Ljubljana), http://www.ets-lindgren.de/en/solutions/security/information-security.html, http://apitech.com/product-classes/sst-emcon-tempest-communications, http://w3.siemens.com/mcms/topics/en/tempest-products/maximum-protection/pages/default.aspx, http://cdn.xump.com/kj6konustelescope-300a.jpg, http://www.computertips.com/computer/, http://www.cbc.ca/radio/undertheinfluence/dear-terry-1.2801796, https://citizenfour.thecthulhu.com, http://people.csail.mit.edu/mrub/papers/visualmic_siggraph2014.pdf, www.w3.org/designissues/linkeddata.html, https://www.bbc.com/news/technology-40427907; http://techgenix.com/mobile-security-threats, literatura in viri navedeni v prispevku za konferenco