IKT-Katastrophenvorsorge und govcert

Transkript

1 IKT-Katastrophenvorsorge und govcert (Computer Emergency Response Team) Roland Ledinger

2 Einsatz von IKT in der Verwaltung Wie sehr sind wir von IKT abhängig?

3 Historische Entwicklung Papyrus Pergament Papier v.chr. 3. Jhd. v.chr. 105 n.c n. Chr.

4 Interoperabilität Konvergenz

5 E-Government Ziel: vollständige ELAK Formularaufruf ausfüllen (XML) Signatur mit Bürgerkarte epayment interne Bearbeitung elektronische Zustellung

6 Daher gestaltet sich Umfeld der Verwaltung Online-Information elektronische Formulare elektronisches Serviceangebot elektronische Back-Office Prozesse das Potential der BürgerInnen und UnternehmerInnen in Ö 66,8 % der Haushalte haben einen Computer, 62 % nutzen Internet 98,5 % der Unternehmen haben einen Computer, 68 % nutzen Internet

7 Das Angebot an elektronischen Verfahren E-Government Landkarte Online-Formulare der Bundesministerien Online-Formulare der LReg Online-Formulare auf Bezirksebene Online-Formulare auf Gemeindeebene (inkl. Wien Online-Formulare auf Gemeindeebene (inkl. Wien knapp 1300 Gemeinden mit 6.6 Mio Einwohner in der Erhebung)

8 Digitale Information ist heute vielfach das ORIGINAL Elektronische Akt = Original Bundesgesetzblatt im RIS = Original Elekt. Gesetzwerdungsprozess = Original FinanzOnline = Original Elektronische Nachrichten = Original Signierte Elektronische Rechnungen = Original HV-SAP Buchung = Original

9 Kennzahlen aus der Verwaltung digitale Originale ELAKimBUND: ca BenutzerInnen produzieren jährlich ca. 1 Mio elektronische Akten und ca. 2 Mio formfreie Dokumente FinanzOnline: 3.6 Mio Anträge elektronisch E-Recht: 60 Tonnen Papier werden pro Jahr durch elektronische Prozesse ersetzt Gesetzwerdungsprozess und Publikation vollkommen elektronisch HV-SAP: Mittelvormerkung; Auszahlungs- und Annahmeanordnung Zentralstellen ca pro Jahr e-card: Abfragen pro Tag in Arztpraxen; 42 Mio Krankenscheine werden dadurch ersetzt Help.gv: über 3,6 Mio Abfragen pro Monat RIS: ca. 2-3 Mio Abfragen pro Monat, ca. 1,2 Mio Dokumente

10 IKT Anwendungen der Verwaltung sind daher schützenswert! Maßnahmen müssen daher folgende Bereiche abdecken Prävention - notwendige Vorkehrungen Einsatz im Anlassfall Sicherstellung einer Nachhaltigkeit

11 Auszug aktueller Maßnahmen Informations- sicherheits- Klassifizierung Sicherheits- Handbuch Zertifizierung nach Internationalen Standards CERT und govcert Informationsaktivitäten Sicher im Internet; KMUs, usw Vernetzung EU-Ebene und International IKT-Katastrophenvorsorge

12 Eine Maßnahmen zur Vorsorge GovCERT

13 Zusammenspiel CERT und GovCERT Kooperationsvertrag zwischen nic.at und BKA als Basis der Zusammenarbeit des nationalen CERT und des GovCERT GovCERT nutzt die technischen Ressourcen (HW und SW) als auch die technische Qualifikation (Personal) GovCERT stellt den Zusammenschluss der öffentlichen Verwaltung dar GovCERT bieten die Vernetzung im internationalen Bereich mit anderen öffentlichen Einrichtungen

14 Zielgruppen GovCERT Bundesministerien Landesverwaltungen Städte- und Gemeindeverwaltungen Kritische Informationsinfrastrukturen in Österreich

15 Struktur des GovCERT GovCERT als virtueller Zusammenschluss der IT- Sicherheitsverantwortlichen der öffentlichen Verwaltung Anlaufstelle bzw. Betreuung im Rahmen des Bereiches IKT- Strategie des Bundes im Bundeskanzleramtes Organisation von Informationsaustausch, des Krisenmanagements sowie Einrichtung einer Plattform für die gesicherte Kommunikation Kontaktstelle zwischen CERT und GovCERT Betreuung notwendiger AGs und Schwerpunktthemen

16 Struktur des GovCERT Teilnehmer am GovCERT - aktive Informationsbereitstellung von IT-sicherheitsrelevanter Kenndaten bzw. Vorfälle - Mitwirkung im Rahmen von sicherheitsrelevanten Themenaufarbeitung - Know How Austausch - Krisenmanagement bei IT-sicherheitsrelevanter Vorfälle

17 Notwendige gemeinsame Arbeiten Das auf gegenseitigem Vertrauen basierende freiwillige Melden von Vorfällen in den Verwaltungs-, Informationsund Kommunikationsinfrastrukturen (gegenseitige Information über Techniken und Verfahren zum Schutz der Infrastrukturen - Austausch von Erfahrungen zu Risiken, Vorfällen und Problemen), eine ergänzende aktive Informationsbeschaffung sowie die Analyse dieser Daten an einer Stelle, werden zentrale Erfolgsfaktoren für alle Beteiligten sein

18 Lessons learned govcert Lessons learned aus den Erfahrungen von realen Virenattacken Notfallplan unbedingt notwendig Notbetrieb nicht nur technisch, sondern auch operativ für das Arbeiten von Verwaltungsbediensteten (räumliche Verlagerung der User) 100%iges Assetmanagement (Hardware, Netzwerk, Software, wo was in welcher Ausprägung, usw.) 100%ige Benutzerverwaltung inkl. der Organisation (Rollen und Rechte, Anwendungszugriffe) Im Zuge der Fehlerbehebung Freispielen des technischen Bereichs organisatorischen Aufgaben und Öffentlichkeitsarbeit Patchmanagement umfassend umsetzen (jeder sicherheitsrelevante Patch wird eingespielt), wenn die Fachanwendung dies nicht zulässt, diese in ein abgesichertes Netz Konzepte für etwaige Notfallsnetze (zb. für VoIP) Segmentierung der Netze überdenken und weitgehend identifizierbare Einheiten schaffen Sensibilisierung für Security Policy auf allen Ebenen notwendig

19 Weitere gemeinsame, ständig zu koordinierende Tätigkeiten Freiwillige Feuerwehr als Basis für Unterstützung Schrittweise Sensibilisierung von Top-Management, Politik und Öffentlichkeit Förderung des internationalen Dialogs z. B. mit den USA, der EU und mit Organisationen aus Nachbarländern Diskussion ausgewählter Fachthemen Unterstützung von öffentlich-privaten Partnerschaften zum Schutz kritischer Infrastrukturen

20 Internationale Einschätzung Nach Schätzungen des Weltwirtschaftsforums aus dem Jahr 2008 besteht eine Wahrscheinlichkeit von %, dass sich in den kommenden zehn Jahren ein größerer Ausfall der kritischen Informationsinfrastruktur ereignen wird, der für die Weltwirtschaft Kosten von ca. 250 Mrd. US-Dollar verursachen könnte. Der IKT-Sektor spielt für alle gesellschaftlichen Bereiche eine wichtige Rolle. Die Unternehmen sind sowohl im Hinblick auf ihre direkten Umsätze als auch auf die Effizienz ihrer internen Abläufe vom IKT-Sektor abhängig. Die IKT sind ein wichtiger Baustein der Innovation und für fast 40 % des Produktivitätsanstiegs verantwortlich.

21 Strukturen eines CERT können Informations- und Kommunikationsbasis bereitstellen generelle Maßnahmen für Katastrophenvorsorge sind aber ebenfalls notwendig

22 Notwendigkeit der Katastrophenvorsorge Hoher Automationsgrad in Geschäftsprozessen quantitativ qualitativ Komplexität der IT-Verfahren Rückkehr zu manuellen Verfahren ist praktisch unmöglich oft kein Papier mehr das Original ist elektronisch Bedeutung der Funktionsfähigkeit der IKT für die Verwaltung Möglichkeit eines Ausfalles der IT ist trotz aller Sicherheitsvorkehrungen nicht auszuschließen

23 Verwaltung ohne IKT Conclusio Beurteilung der Anwendung und treffen von entsprechenden Vorsorge-Maßnahmen technische Absicherung je nach Verfügbarkeitsanforderung Service Level Agreement (bei externem Betrieb mit vertraglicher Pönale als Anreizsystem) Notprogramm definieren und entsprechende organisatorischen Maßnahmen setzen

24 Katastrophenvorsorge Kategorisierung Trennung von operativ zu betreibenden IKT-Anwendungen Datenarchivierung Vier Vorsorgekategorien unkritisch keine Vorsorge Offline Sicherung gegen Datenverlust Redundante Infrastruktur Ausfall Komponente Redundanter Standort geogr. begrenztes Event Zusätzliche Kategorie K-Fall Sicher Zumindest Notbetrieb in Zero-Risk Umgebung

25 K-Fall Kategorien Für die Anwendung Bestimmung der Kategorien Einstufung K-Fall z.b. bei 3 K 3 örtlich begrenztes Ereignis, RZ nicht mehr zugängig 4 1 Keine Vorsorge unkritisch 2 Offline Sicherung Redundante Infrastruktur Redundanter Standort 2 K 3 K 4 K Betriebsverfügbarkeit Katastrophenvorsorge

26 Einstufung der Anwendung auf Bundesebene Für jede IT Anwendung Kategorie (default: 1 keine Vorsorge) maximale Ausfallzeit für Wahrnehmung der Geschäftsprozesse (default: 24 h) K-Fall (Notbetrieb in Zero-Risk Umgebung), wenn Anwendung in dieser Zeit nicht herstellbar Periode der Datenaktualisierung in Zero-Risk Umgebung (default: 24 h) Erstellung eines Notfallplans

27 Zentrales Ausweichsystem (ZAS) Aufgabenstellung Katastrophenvorsorge für IT-Anwendungen Sichere Lagerung von Daten in einer Zero-Risk Umgebung Nutzung von RZ-Stellfläche in einer Zero-Risk Umgebung für besonders sensible IT-Anwendungen (Server Housing) Abdeckung von Lastspitzen bzw. Bereitstellung von Testumgebung Ab 2011 in Betrieb: elektronisches Staatsarchiv der Republik Österreich (Digitale Langzeitarchivierung)

28 Vielen Dank für Ihre Aufmerksamkeit. IKT ist heute zu einem fixen Bestandteil unseres IKT ist heute zu einem fixen Bestandteil unseres täglichen Lebens geworden, daher müssen wir dafür sorgen, dass wir die richtigen Vorkehrungen treffen, um im Anlassfall auch eine Zeit lang ohne IKT auskommen zu können.