200 likes | 322 Vues
Aby bezpečnost byla komplexní. Mýty a skutečnosti o ochraně informací. Marek Solařík CISA , Senior Security Consultant TNS Kernun Security Notes 2012. www.kernun.cz. Tak tady to máte šéfe…. www.kernun.cz. Základní otázky. Jaké zákony musím splnit? Jaké normy a metodiky použít?
E N D
Aby bezpečnost byla komplexní Mýty a skutečnosti o ochraně informací Marek SolaříkCISA, Senior SecurityConsultant TNSKernunSecurity Notes 2012 www.kernun.cz
Tak tady to máte šéfe… www.kernun.cz
Základní otázky • Jaké zákony musím splnit? • Jaké normy a metodiky použít? • Co mě reálně hrozí? • Na co se primárně zaměřit? • Kolik do bezpečnosti investovat? • Investuji efektivně? • Jsou moje systémy dostatečně odolné? • Jak měřit výkonnost bezpečnosti? • Spravuji a řídím své IT dobře? • Co můžu dělat lépe? www.kernun.cz
Jaké zákony? • Zákon č. 101/2000 Sb.,o ochraně osobních údajů a o změněněkterých zákonů • Zákon č. 227/2000 Sb.,o elektronickém podpisu • Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů • Zákon č. 480/2004 Sb.,zákon o některých službách informační společnosti • zákon č. 499/2004 Sb., o archivnictví a spisové službě • … www.kernun.cz
Veřejná správa • Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů • Zákon č. 227/2000 Sb., o elektronickém podpisu • Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů • Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti • Zákon č. 499/2004 Sb., o archivnictví a spisové službě • Zákon č. 365/2000 Sb., o informačníchsystémechveřejnésprávy • Zákonč. 111/2009 Sb., o základních registrech • Zákon č. 106/1999 Sb., o svobodném přístupu k informacím www.kernun.cz
Utajované informace • Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů • Zákon č. 227/2000 Sb., o elektronickém podpisu • Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů • Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti • Zákon č. 499/2004 Sb., o archivnictví a spisové službě • Zákon č. 412/2005 Sb., o ochraně utajovaných informacía o bezpečnostní způsobilosti www.kernun.cz
Zdravotnictví • Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů • Zákon č. 227/2000 Sb., o elektronickém podpisu • Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů • Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti • zákon č. 499/2004 Sb., o archivnictví a spisové službě • zákon č. 372/2011 Sb., zákon o zdravotních službách • zákon č. 123/2000 Sb., o zdravotnických prostředcích • Health Insurance Portability and Accountability Act of 1996 (HIPAA) www.kernun.cz
Finanční sektor • Zákon č. 21/1992 Sb., o bankách • Zákon č. 87/1995 Sb., o spořitelních a úvěrních družstvech • Zákon č. 96/1993 Sb., o stavebním spoření • BASEL III: International framework for liquidity risk measurement, standards and monitoring • Federal Information Security Management Act of 2002 (FISMA) www.kernun.cz
Mýty a skutečnosti o ochraně informací, aneb na co soudruzi z NDR zapomněli. www.kernun.cz
Mýtus 1 Mámantivirovýsoftware,pravidelně aktualizuji, mě nemůže žádný nežádoucí kód ohrozit. • Skutečnost: • Žádný antivirový program nemá úspěšnost 100 %. • Samotný antivirus nestačí. • Antivirvásneochránípředzneužitímvašehopočítačečipředinternetovýmipodvody(např. phishing). • Bezpečnostneohrožujípouzeviry, i kdyžv poslední době opět roste jejich „obliba“(USB, mp3, …) • Audit • Trojský kůň v rezervačním systému • jména, příjmení, domácí adresy, telefonní čísla, zaměstnavatela všechny podstatné detailyo kreditní kartě • Přístup prodán ruské mafii … • Až 8.000 záznamů, hotel přiznal 13, později 115 www.kernun.cz
Mýtus 2 Mám Firewall za x- stovektisíc,jsemv bezpečí • Průnik do zóny Public a DMZ • Neoprávněný přístup k neveřejným informacím • Ovládnutí šifrované linky mezi NBÚ a Ministerstvem vnitra SR • Následně uvolněno 1,3 mil EUR,- na zlepšení zabezpečení • Heslo nbusr123 • Skutečnost: • Jaký firewall? Kdo ho spravuje? Jak? • Sebedražší (i sebelepší) „krabice“ problém nevyřeší. • Nutný systematický přístup. • Bezpečnostní politika www.kernun.cz
Mýtus 3 Upgradauji, patchuji, jsem v bezpečí. • Skutečnost: • Zpoždění záplat • Zero-dayattacks • Komplexní ochrana www.kernun.cz
Mýtus 4 Jsmemaláspolečnost, nemámežádnácenná data, „hackeři“ násvynechají. Skutečnost: • Změna chování útočníků • Sociální inženýrství • Stále dostupnější a účinnější nástroje útočníků • roboty Školení • Phising • E-mail jakoby od banky • Odkaz na kopii přihlašovací stránky banky • Ukradení přihlašovacích údajů • Zneužití přihlašovacích údajů – ukradení peněz www.kernun.cz
Mýtus 5 Hacking – to je hranísištudáků, kteřísijenchtějívyzkoušet, jakjsoušikovní. • Skutečnost: • Cyber crime • Cyber terorismus • Cyber war • Průmyslové odvětví (od poloviny 90-tých let) • Dobře organizované skupiny s hierarchickým uspořádáním • Organizovaný zločin • Terorismus • Mezinárodní spolupráce, CERT Stuxnet DuQu Flame Mahdi www.kernun.cz
Souvislost virtuální a fyzické války ve světě Increased number of bomb attack in Israel SharmelSheikh summit (17/10/2000) Part of Israel land hand over to Palestine (21/03/2000) Barak/Arafat summit interrupted (03/02/2000) www.kernun.cz
Mýtus 6 V uplynulýchletechjsme se nabezpečnost IT zaměřili, do IT jsmeinvestovalivelképrostředky, jsmenadlouhoudobuzajištěni. • Skutečnost: • Stále přetrvává: • Nevhodný návrh (TCP/IP, …) • Implementace v reálném prostředí (MD5, …) • Chyby (v kódu, konfiguraci, správě) (…) • Vzrůstající výkon (DES, 3DES, WEP, …) • Uživatel • Nekončící proces • PDCA cyklus • Bezpečnost informací jako integrální součást všech procesů www.kernun.cz
Mýtus 7 Bezpečnost je drahá a složitávěc, nemůžuplatitodborníkanaplnýúvazek, který by se staraljen o bezpečnost IT. Skutečnost: • Nerozhodnost investovat do vlastní bezpečnosti • Technická opatření • Organizační opatření • Školení • Outsourcing www.kernun.cz
Přístup Trusted Network Solutions Analýza a návrh – Analýza rizik – BIA – Bezpečnostní politika – Bezpečnostní dokumentace – DRP, BCP, … • Plan Návrh protiopatření Zavedení do praxe • Do • Act Implementační studie Implementace Odborná konzultace Školení Certifikace 27001 Atestace 365/2000 NBÚ 412/2005 • Check Audit bezpečnosti Penetrační testy Monitoring www.kernun.cz
Přístup Trusted Network Solutions • Řešení požadavků a problémů zákazníka • Hledání optimálních řešení • Snaha pomoci • Otevřený partnerský přístup • Využívání jen reálných a ověřených zkušeností www.kernun.cz
Vykročte bezpečně Děkuji za pozornost Marek Solařík www.kernun.cz