Ciberseguridad en la Administración Cibersecurity 1
ÍNDICE 1 2 3 4 Marco Legal / Sistemas Alerta Temprana Ciberespionaje Actuaciones en las AAPP Estrategia de Seguridad Nacional 2
MARCO LEGAL Ley 11/2002 reguladora del Centro Nacional de Inteligencia, Real Decreto 421/2004, 12 de Marzo, que regula y define el ámbito y funciones del CCN. Real Decreto 3/2010, 8 de Enero, que define el Esquema Nacional de Seguridad para la Administración Electrónica. Establece al CCN-CERT como CERT Gubernamental/Nacional MISIÓN Contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a las Administraciones Públicas y a las empresas estratégicas, y afrontar de forma activa las nuevas ciberamenazas. COMUNIDAD Responsabilidad en ciberataques sobre sistemas clasificados y sobre sistemas de la Administración y de empresas pertenecientes a sectores designados como estratégicos. HISTORIA 2006 Constitución en el seno del CCN 2007 Reconocimiento internacional 2008 Sist. Alerta Temprana SAT SARA 2009 EGC (CERT Gubernamentales Europeos) 2010 ENS y SAT Internet 2011 Acuerdos con CCAA 2012 CARMEN Y Reglas 2013 Relación con empresas 2014 LUCÍA 3
SISTEMAS DE ALERTA TEMPRANA - SAT RED SARA: Servicio para la Intranet Administrativa Coordinado con MINHAP. 49/54 áreas de conexión SONDAS SALIDAS DE INTERNET AAPP: Servicio por suscripción de los Organismos. Despliegue de Sensores. 52 organismos / 60 sondas SISTEMA CARMEN Análisis LOG,s en el perímetro (Proxy.) Búsqueda anomalías de tráfico Fase piloto: 6 sondas 4
5 ISMS Forum. Ciberseguridad en las AAPP. CLASIFICACIÓN DE LOS INCIDENTES CRÍTICOS APT con exfiltración información DoS Distribuido MUY ALTO Ataques Dirigidos DoS Código dañino específico BAJO / MEDIO / ALTO Mayoría Incidentes Ataques externos sin consecuencias Código dañino genérico Guía CCN-STIC-817 Criterios Comunes y Gestión de Incidentes
Incidentes por Sistema y año 14.11.2013 6388 Incidentes 2009 68 0125 2010 19019969 2011 1459 325130 2012 3363 430 205 2013 5784 434 170 0 1000 2000 3000 4000 5000 6000 7000 SAT Internet SAT SARA Otros 6
Sistemas de Alerta Temprana Estadísticas 3500 3283 3000 2500 2000 1500 1737 1532 2067 1000 500 0 900 949 749 398 172 196 213 85 8 20 21 bajo medio alto muy alto crítico 2011 2012 2013 7
AGENTES DE LA AMENAZA CIBERESPIONAJE 8
Ciberamenazas. Agentes Hackers Usuarios internos 1. Ciberespionaje / Robo propiedad intelectual Objetivo: Administraciones públicas / Empresas estratégicas China, Rusia, Irán, otros Servicios de Inteligencia / Fuerzas Armadas / Otras empresas 2. Ciberdelito / cibercrimen Objetivo: Robo información de tarjetas de crédito / Fraude Telemático / Blanqueo de dinero HACKERS y crimen organizado 3. Ciberactivismo Objetivo: Ataques a servicios webs / Robo y publicación de datos e información sensible o de carácter personal. ANONYMOUS y otros grupos 4. Uso de INTERNET por terroristas / Ciberterrorismo Objetivo : Comunicaciones, obtención de información, propaganda o financiación / Ataque a Infraestructuras críticas ETA, Org. de apoyo y Grupos Yihaidistas 9 9
1. Ciberespionaje Estados / Industrias / empresas Dificultad de atribución. Contra los Sectores Privado y Público. Ataques dirigidos (APT) Ventajas políticas, económicas, sociales RUSIA CHINA OTROS PAÍSES??? 10
Fuerza Aérea de Estados Unidos, en el año 2006 Definición APT / Ataques Dirigidos - Ataque Dirigido Ciber Ataque a medida contra un objetivo concreto (administración, empresa, red, sistema) - Advanced Habilidad de evitar la detección Se adapta al objetivo Disponibilidad de recursos (tecnológicos, económicos, humanos) - Persistent Una vez infectado, se mantiene el acceso a la red/sistema durante un largo periodo de tiempo Muy difícil de eliminar - Threat El atacante tiene la intención y capacidades para ganar acceso a información sensible almacenada electrónicamente 11
TIEMPOS DE RESPUESTA EN UN APT 12 12
COMO PROTEGERNOS EN AAPP? 13
TIEMPOS Qué es DE el Esquema RESPUESTA Nacional EN UN de APT Seguridad (ENS)? El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, regula el citado Esquema previsto en el artículo 42 de la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Su objeto es establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que permitan una protección adecuada de la información. 14
ESQUEMA NACIONAL DE SEGURIDAD TIEMPOS DE RESPUESTA EN UN APT 6 15 76 15
Recomendaciones Defensa ante APT,s 1. Equipo de seguridad de cómo mínimo 4 personas (10.000 usuarios). Multidisciplinar / Necesidad consultoría externa 2. Política de seguridad. Restricción progresiva de permisos de usuarios. 3. Se deben aplicar configuraciones de seguridad a los distintos componentes de la red corporativa y portátiles. 4. Herramientas de gestión centralizada de logs - Monitorización y Correlación. Trafico de red / Usuarios remotos / Contraseñas Administración. Minería de datos 5. Empleo de indicadores de compromiso 6. INTERCAMBIO DE INFORMACIÓN CON CCN-CERT SE DEBE TRABAJAR COMO SI SE ESTUVIERA COMPROMETIDO 16 16
Intercambio Empresas y otros organismos Firmas, patrones, impacto Análisis de tráfico Aproximación en el CCN Ciber seguridad Quién? Qué? Cómo? Inteligencia Defensa de Redes Prevención y detección Políticas Procedimientos Medidas técnicas Vigilancia de redes y sistemas Gestión de incidentes y capacidad de reacción Análisis forense / ingeniería inversa Firmas / Patrones / Análisis de Tráfico, Minería de datos Atacantes, Victimas, Personas, Grupos, Estados Motivación Medios e Infraestructura 17
ESTRATEGIA DE SEGURIDAD NACIONAL 18 18
1. DEFENSA NACIONAL 2. LUCHA CONTRA EL TERRORISMO 3. CIBERSEGURIDAD Garantizar un uso seguro de las redes y los sistemas de información a través del fortalecimiento de nuestras capacidades de prevención, detección y respuesta a los ciberataques. 4. LUCHA CONTRA EL CRIMEN ORGANIZADO 5. SEGURIDAD ECONÓMICA Y FINANCIERA 6. SEGURIDAD ENERGÉTICA 7. NO PROLIFERACIÓN DE ARMAS DE DESTRUCCIÓN MASIVA 8. ORDENACIÓN DE FLUJOS MIGRATORIOS 9. CONTRAINTELIGENCIA Adoptar medidas de contrainteligencia en la defensa de los intereses estratégicos, políticos y económicos de España, para prevenir, detectar y neutralizar las agresiones encubiertas procedentes de otros Estados, de sus servicios de inteligencia y de grupos o personas, que estén dirigidas a la obtención ilegal de información. 10. PROTECCIÓN ANTE EMERGENCIAS Y CATÁSTROFES 11. SEGURIDAD MARÍTIMA 12. PROTECCIÓN DE INFRAESTRUCTURAS CRÍTICAS Robustecer las infraestructuras que proporcionan los servicios esenciales para la sociedad. 19 19
Líneas de Acción de la EECS 20
E-Mails ccn-cert@cni.es info@ccn-cert.cni.es ccn@cni.es sondas@ccn-cert.cni.es redsara@ccn-cert.cni.es organismo.certificacion@cni.es Websites www.ccn.cni.es www.oc.ccn.cni.es Gracias 21
Definiciones. Agentes de la amenaza CIBERSEGURIDAD La habilidad de proteger y defender las redes o sistemas de los ciberataques. Estos según su motivación pueden ser: CIBERESPIONAJE Ciberataques realizados para obtener secretos de estado, propiedad industrial, propiedad intelectual, información comercial sensible o datos de carácter personal. CIBERDELITO / CIBERCRIMEN Actividad que emplea las redes y sistemas como medio, objetivo o lugar del delito. HACKTIVISMO Activismo digital antisocial. Sus practicantes persiguen el control de redes o sistemas (sitios web) para promover su causa o defender su posicionamiento político o social. CIBERTERRORISMO Actividades dirigidas a causar pánico o catástrofes realizadas en las redes y sistemas o utilizando éstas como medio. CIBERCONFLICTO / CIBERGUERRA CIBERDEFENSA CIBERATAQUE Uso de redes y comunicaciones para acceder a información y servicios sin autorización con el ánimo de robar, abusar o destruir. CCN-STIC 401 Glosario 22 22
CCN-CERT RD 3/2010 ESQUEMA NACIONAL DE SEGURIDAD Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas 1. De acuerdo con lo previsto en el artículo 36, el CCN-CERT prestará a las Administraciones públicas los siguientes servicios: a) Soporte y coordinación para el tratamiento de vulnerabilidades y la resolución de incidentes de seguridad que tengan la Administración General del Estado, las Administraciones de las comunidades autónomas, las entidades que integran la Administración Local y las Entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de cualquiera de las administraciones indicadas. El CCN-CERT, a través de su servicio de apoyo técnico y de coordinación, actuará con la máxima celeridad ante cualquier agresión recibida en los sistemas de información de las Administraciones públicas. Para el cumplimiento de los fines indicados en los párrafos anteriores se podrán recabar los informes de auditoría de los sistemas afectados. b) Investigación y divulgación de las mejores prácticas sobre seguridad de la información entre todos los miembros de las Administraciones públicas. Con esta finalidad, las series de documentos CCN-STIC (Centro Criptológico Nacional-Seguridad de las Tecnologías de Información y Comunicaciones), elaboradas por el Centro Criptológico Nacional, ofrecerán normas, instrucciones, guías y recomendaciones para aplicar el Esquema Nacional de Seguridad y para garantizar la seguridad de los sistemas de tecnologías de la información en la Administración. c) Formación destinada al personal de la Administración especialista en el campo de la seguridad de las tecnologías de la información, al objeto de facilitar la actualización de conocimientos del personal de la Administración y de lograr la sensibilización y mejora de sus capacidades para la detección y gestión de incidentes. d) Información sobre vulnerabilidades, alertas y avisos de nuevas amenazas a los sistemas de información, recopiladas de diversas fuentes de reconocido prestigio, incluidas las propias. 2. El CCN desarrollará un programa que ofrezca la información, formación, recomendaciones y herramientas necesarias para que las Administraciones públicas puedan desarrollar sus propias capacidades de respuesta a incidentes de seguridad, y en el que, aquél, será coordinador a nivel público estatal. 23