ασφαλεια κρισιμων πληροφοριακων υποδομων λιμενων

Download Report

Transcript ασφαλεια κρισιμων πληροφοριακων υποδομων λιμενων 

ΑΣΦΑΛΕΙΑ ΚΡΙΣΙΜΩΝ ΠΛΗΡΟΦΟΡΙΑΚΩΝ
ΥΠΟΔΟΜΩΝ ΛΙΜΕΝΩΝ
Επ. Καθ. Ν. Πολέμη
Πανεπιστήμιο Πειραιώς, Τμήμα Πληροφορικής
[email protected]
http://athina.cs.unipi.gr/security-lab/
Περιεχόμενα
 Υπάρχουσα Κατάσταση
 Προβλήματα
 Το έργο S-PORT
 Συμπεράσματα
τράπεζες
Ναυτιλιακές
εταιρείες
πλοία
Υπουργεία
Λιμένες
Ναυπηγεία
Λιμενικές
Αρχές
Τελωνεία
ICT
Πάροχοι
Πάροχοι
Κρίσιμες
Υποδομές
Περιβάλλον Ναυτιλίας
Οι υπάρχουσες νομοθεσίες, μεθοδολογίες και
εργαλεία ασχολούνται μόνο με την φυσική
ασφάλεια των λιμένων :
 MARPOL (e.g. MEPC.: 189(60), 190(60), Annex VI) για
την προστασία των θαλασσών
 SOLAS (e.g. MSc.: 286(86), 256(84), 46(66), 291(87),
216(82), 282(86), 291(87), 290(87)) για την φυσική
ασφάλεια των λιμένων, ISPS οργανωτική πλευρά της
ασφάλειας
 Directive 2002/59/EC, 2010
 Μεθοδολογίες/ Συστήματα: MSRAM , MARISA,
CMA, SafeSeaNet
Χρήστες
Πληροφορία/Δεδομένα
Υπηρεσίες
Λογισμικό
Τηλ. υλικό
Υποδομή
Προβλήματα
 Δεν αντιμετωπίζονται οι λιμένες σαν κρίσιμες
υποδομές. Δεν ακολουθούν τις αντίστοιχες νομοθεσίες
και μεθοδολογίες.
 Δεν πιστοποιούν τα πληροφοριακά τους συστήματα
κατά ISO27001 και δεν ακολουθούν διαδικασίες ISO
27002.
 Συνήθως η ασφάλεια των πληροφοριακών συστημάτων
τους προκύπτει από τους κατασκευαστές. Δεν
ελέγχεται από Αρχές.
 Οι υπάρχουσες μεθοδολογίες είναι ελλιπείς.
6
Workshop on Cyber Security Aspects in the
Maritime Sector (9/2011)
http://www.enisa.europa.eu/act/res/workshops1/2011/cyber-security-aspects-in-the-maritimesector
ENISA report 2011 «ANALYSIS OF CYBER
SECURITY ASPECTS IN THE MARITIME
SECTOR»
7
Σκοπός του S-PORT
 Ικανοποίηση των αναγκών ασφάλειας των ΠΣ εμπορικών λιμένων, για
την αδιάλειπτη παροχή υπηρεσιών, τη λήψη των κατάλληλων
αντιμέτρων, την κατάστρωση στρατηγικών ασφάλειας και ανάκαμψης
συστημάτων.
 Ενίσχυση των μέσων και των μεθόδων αξιολόγησης, σύγκρισης, ελέγχου,
αναβάθμισης και εναρμόνισης των μεθόδων διαχείρισης της
ασφάλειας των ΠΣ των εμπορικών λιμένων με τις βέλτιστες πρακτικές
και του κώδικα ISPS.
Βασικοί Στόχοι του S-PORT
 Καταγραφή υπαρχουσών μεθοδολογιών/πρακτικών/προτύπων για




ανάλυση επικινδυνότητας, αποτίμηση απειλών, επιχειρησιακή συνέχεια
και αποκατάστασης καταστροφών.
Αξιολόγηση ως προς την αποτελεσματικότητά τους στην ανάλυση
επικινδυνότητας και στη διαχείριση ασφάλειας των Π.Σ. των εμπορικών
λιμένων.
Ανάπτυξη στοχευμένων μεθόδων για την ανάλυση επικινδυνότητας των
Π.Σ. των εμπορικών λιμένων.
Ανάπτυξη και δοκιμή ασφαλούς και συνεργατικού εργαλείου «SPORT» για την διαχείρισης ασφάλειας Π.Σ. των εμπορικών λιμένων.
Ανάπτυξη, ενσωμάτωση και δοκιμή η-υπηρεσιών διαχείρισης
ασφάλειας στο συνεργατικό εργαλείο «S-PORT» βασισμένες σε
στοχευμένες μεθοδολογίες.
S-PORT
Κύρια Πλατφόρμα S-PORT
Web Interactive Tier
Υποσύστημα Διαδικτυακών Διεπαφών
Κύρια Πλατφόρμα
Υποσύστημα Συνεργατικότητας
Υποσυστήματα
Συστήματα S-PORT
Enterprise Tier
Υποσύστημα
Χαρτογράφησης
Υποσύστημα Ανάλυσης
Επικινδυνότητας
Πλαίσιο Ανίχνευσης
Αδυναμιών
Υποσύστημα Διαχείρισης
Επικινδυνότητας
Υποσύστημα Διαχείρισης
Εγγράφων Ασφάλειας
Υποσύστημα Διαχείρισης
Ταυτότητας
Υποσύστημα Αποθετηρίου
Υποσύστημα Διαχείρισης
Περιεχομένου
Database Tier
BPM System
Middleware Tier
IAM System
11
Αξιολόγηση Κρισιμότητας Υπηρεσιών
12
Χαρτογράφηση
13
Αποτίμηση Επιπτώσεων Ασφάλειας
14
Forum
15
Wiki
16
Ηλεκτρονική Βιβλιοθήκη
17
Συμπεράσματα
 Οι λιμένες φιλοξενούν κρίσιμες υποδομές και τα
πληροφοριακά τους συστήματα πρέπει να ακολουθούν
πρότυπα ασφάλειας.
 Οι μεθοδολογίες διαχείρισης ασφάλειας πρέπει να
υλοποιούν και να συνδυάζουν τα πρότυπα ISO27001 και
ISPS.
 Καινοτόμα εργαλεία και συνεργατικά συστήματα
διαχείρισης ασφάλειας θα διευκολύνουν την ασφαλή
λειτουργία των εμπορικών λιμένων.
18
 ENISA upcoming study 2012:
“Minimum Control Measures for PIT Systems”.
19
ΕΥΧΑΡΙΣΤΩ
Επ. Καθ. Ν. Πολέμη
Πανεπιστήμιο Πειραιώς, Τμήμα Πληροφορικής
[email protected]
http://athina.cs.unipi.gr/security-lab/