CACIO Aktuální bezpečnostní hrozby v informatice; cybersecurity Praha, 17. III. 2015.

Prezentace na téma: "CACIO Aktuální bezpečnostní hrozby v informatice; cybersecurity Praha, 17. III. 2015."— Transkript prezentace:

1 CACIO Aktuální bezpečnostní hrozby v informatice; cybersecurity Praha, 17. III. 2015

2 Cíl semináře: Diskuse nad problematikou bezpečnosti z pohledu vedoucího informatiky. Témata diskuse:  aktuální hrozby v informatice, aneb co se změnilo v poslední době  jak kontrolovat (monitoring, audit, penetrační test), kde jsou silné i slabé stránky  jak o hrozbách komunikovat s managementem a jak na jejich eliminaci získat zdroje (pracovníky, peníze, čas)  pomůže nám ISO 27000?; zkušenosti z ceritfikace  konkrétní zákaznické příklady. „ Praktické aspekty řízení informatiky “ cacio 2

3 Diskutovat mimo jiné bude  ICZ - Pavel Řezníček  Check Point – Peter Kovalčík  ČEPS – Josef Fantík  Deloitte - Vlastimil Červený, Jiří Slabý  CIMIB - Tomáš Hamr  Freedivision Jakub Karvánek - omlouvá se Osobnosti cacio 3

4  K tématu „jak kontrolovat“  Rámec obvyklého penetračního testování (PT)  Předmětem testování je IS v širokém slova smyslu (ne jen aplikace, či systém)  Specifika penetračních testů (specifikace PT např. ve smyslu OSSTMM)  Technické PT (data networks security testing, telecommunications ST, wireless ST)  Sociotechnické PT (human ST, physical ST)  Statistika bezp. incidentů a jejich logický závěr: nezbytnost aktivního testování opatření personální, fyzické a organizační bezpečnosti  SPT  Umění klamu? Podvod nebo bezpečnostní opatření?  Limity a úskalí SPT:  Regulatorní problémy (zákonná ochrana soukromí, OOÚ, pracovněprávní problematika)  Konflikt chráněných zájmů (ochrana majetku x ochrana svobod)  Etické problémy a jejich praktický dopad na realizaci PT  Praktické zkušenosti s realizací PT či SPT? Penetrační testy informačních systémů s využitím sociotechnických metod cacio 4

5  K tématu „aktuální hrozby v informatice“  Požadavky na zajištění důvěrnosti dat (právní povinnosti správce dat)  Úskalí užití „aplikované kryptografie“ v běžné praxi  Šifrování uživatelských dat (data na lokálních nosičích, komunikace, cloud, …)  Technické aspekty (kryptografie, technické aspekty HW prostředků, …) překážkou uplatnění zásad zdravého rozumu (procesní a fyzická bezpečnost, …)  Reálná rizika souvisí s spíše s netechnickými hrozbami  Podstatné otázky:  Kdy se šifruje – kdy dochází k manipulaci s nešifrovanými daty  Kdo má pod kontrolou klíče – kde jsou uloženy  Jak jsou klíče chráněny  Jak lze obnovit/zničit klíč  Kde se šifruje?  Jak se šifruje – jakými klíči  Praktické zkušenosti s využitím šifrování dat?  Za jakých podmínek využíváte cloud pro zpracování hodnotných dat (př. předmět obchodního tajemství? osobní údaje?) Šifrování uživatelských dat – e-mailová komunikace, cloud cacio 5

6 Četnost útoků podle typu 6

7 Slabá místa  Bezpečnost není řešena komplexně – soubor organizačních, procesních a technických opatření  Stále nová zařízení připojená k internetu – Infikovaná osobní chytrá zařízení (mobily, tablety, hodinky, náramky, …) – Backdoor již z výroby (průmyslová špionáž apod). Internet of things  Nezabezpečené domací zařízení (routery, wifi AP) – DDoS útoky, Botnet  Nedostatečné povědomí zaměstnanců /managementu o informační bezpečnosti – Phishing  Nedostatky v bezpečném vývoji aplikací (např. nesprávně validované vstupy formulářů webových stránek)

8 Příklady dalších útoků  16. 1. Air Bank – podvodné e-maily Podvodníci nyní cílí i na klienty Air Bank. Ve zprávě zaslané jménem této bankovní instituce odkazují na podvržený online formulář, kde požadují aktualizaci osobních údajů, aby nedošlo k vypršení přístupu do internetového bankovnictví.  21. 1. Čeští uživatelé internetu – ohrožení vyděračským malwarem CTB-Locker Oběti obdrží e-mail s předmětem „Fax“ obsahující přílohu, která imituje faxovou zprávu. V případě pokusu o otevření přílohy dojde ke stažení trojského koně, který sekundárně stáhne a spustí šifrovací malware. Ten zašifruje na napadeném počítači soubory, zamkne obrazovku a zobrazí výzvu k zaplacení výkupného v bitcoinech.  23. 1. Česká spořitelna – varuje před phishingovými e-maily Česká spořitelna varuje své klienty před další možnou podobou podvodných e-mailů, které se tváří, že byly zaslány touto institucí. Zpráva obsahuje aktivní odkaz, který po kliknutí zobrazuje falešnou stránku služby internetového bankovnictví. Tam se pomocí formuláře snaží z obětí vylákat další citlivé údaje.

9  - uplatnění zákona 181/2014 Sb. o kybernetické bezpečnosti v praxi úřadu a firmy  - metodiky a standardy při uplatňování zákona  - vztah zákona a ISO 27000  - jak se dozvědět více, kde zjistit informace  - právní postavení institucí a firem, které jsou nejisté  - vzdělávání v oboru kybernetické bezpečnosti  - kompetenční profily zaměstnanců v oboru kybernetické bezpečnosti  - analýza rizik, audit kyb. bezpečnosti dle zákona cacio9 Cybersecurity, zaměstnanci