Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

„Ukradená“ databáze aneb Jak uchránit e-shop před ztrátou dat konference Trendy internetové bezpečnosti 16. února 2010, Praha, Česká republika.

Podobné prezentace


Prezentace na téma: "„Ukradená“ databáze aneb Jak uchránit e-shop před ztrátou dat konference Trendy internetové bezpečnosti 16. února 2010, Praha, Česká republika."— Transkript prezentace:

1 „Ukradená“ databáze aneb Jak uchránit e-shop před ztrátou dat konference Trendy internetové bezpečnosti 16. února 2010, Praha, Česká republika

2 Internet jako prodejní kanál Zdroj: NetMonitor  Velikost internetové populace přesáhla v prosinci roku 2009 v ČR 5,51 milionů RU (historické maximum).  Populace nadále roste.  Nákupní tendence internetové populace - 24% alespoň jednou nakoupilo na internetu, 21% nakoupilo za posledních 12 měsíců.  Nejpopulárnější je nakupování mezi VŠ, obyvateli Prahy a studenty.  Za poslední 4 roky výrazně stoupl podíl nakupujících žen z 33% na 43%.

3 Stručně o e-shopech Zdroj: Lupa.cz, Seznam.cz, APEK, Lidovky.cz. oXy Online  Lidé nakupovali i během krize.  Tržby byly přibližně stejné jako v roce  Někteří z velkých hráčů zvýšili obrat až o 30%.  Meziroční nárůst e-commerce se však celkově pohyboval řádově v jednotkách procent (výrazné rozdíly mezi malými a velkými e-shopy).  Vánoční tržby e-shopů dle odhadů přes 8 mld. - nárůst ve srovnání s rokem 2008 o 25%.

4 Stručně o e-shopech Zdroj: Lupa.cz, Seznam.cz, APEK, Lidovky.cz. oXy Online  V roce 2009 se zvýšil počet lidí nakupujících na internetu.  Příliv nových zákazníků až o 20% na velkých e-shopech.  Ačkoliv není známo přesné číslo, počet e-shopů v ČR v současné době dosahuje ke hranici 30 tisíc.  Neustále vznikají další nové e-shopy, hlavně v segmentech s malou konkurencí a s vysokou mírou specializace.  Trendem jsou nově i obory, kde se dříve vůbec o prodeji přes internet neuvažovalo.

5 Databáze e-shopu: Jaké informace skrývá? Varianty:  Databáze v e-shopu.  Databáze v ERP systému.

6 Databáze v e-shopu Obsahuje:  Popisy produktů - obchodní informace o produktech (cena, dostupnost, DPH…).  Informace o nakupujících (adresy, y, telefonní čísla, zakódovaná hesla…).  Objednávky.  Faktury, dodací listy a další doklady. Hrozí:  Databáze v e-shopu je méně bezpečná než v ERP, hrozí větší bezpečnostní rizika.  Největší problém - informace o nakupujících (možné obchodní zneužití databáze, vydírání atd.)

7 Zákonná ochrana dat Ne všechna data v databázi e-shopu jsou citlivá.  Nejdůležitější je respektovat zákon č. 101/2000 Sb., o ochraně osobních údajů.  „Správce údajů musí přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům a k jejich jinému neoprávněnému zpracování a zneužití.“  Vztahuje se především na informace o nakupujících (jména, adresy, y, telefonní čísla, hesla atp. ).  Velkou hodnotu však mohou mít i firemní údaje - objednávky, faktury, doklady, informace o nejčastěji kupovaných produktech, ceníky, pravidla tvorby slev atd.  Za nedostatečnou ochranu osobních dat nehrozí trestní postihy, ale pokuty až do výše 10 milionů korun.

8 Bezpečnostní rizika  Ztráta dat (útočník, nevhodný uživatelský zásah, havárie HW) 65%  Krádež dat (útočník, záškodník) 8%  Zneužití dat 15%  Falšování dat 12%

9 Důvody pro napadení Proč hackeři útočí na e-shopy?  Prodej databáze SPAMerům.  Konkurenční boj.  Prodej databáze původnímu majiteli.  Vydírání za účelem zisku.  Zneužití dat k osobnímu prospěchu.  Publicita. Jak se před napadením bránit?  Prevence!  Bezpečnostní audity.  Ochrana a zabezpečení dat.  Obrana technickými prostředky.

10 Způsob krádeže databáze Krádež zevnitř  Nejčastější způsob úniku dat.  Bývalý zaměstnanec.  Sociální inženýrství. Obrana:  Bezpečnostní politika firmy.  Směrnice pro práci s daty.  Definice úrovní přístupu k datům. SQL Injection  Technika, která vsune SQL kód přes neošetřený vstup aplikace. Obrana:  Ošetření vstupu na straně aplikace.  Nastavení práv na straně databáze.

11 Zabezpečení databáze proti krádeži Nejdůležitější je prevence!  Nastavte přístupová práva v databázi.  Omezte přístupy na lokální síť.  Uživatelská hesla ukládejte zahashovaně.  Zálohovat, zálohovat, zálohovat! Největší nebezpečí hrozí zevnitř!  Obrana technickými prostředky (zákazy použití flashek, přenosných disků atd.)  Vnitrofiremní směrnice (práce s daty, přihlašování, ochrana hesla, šíření informací atd.)  Pravidelné kontroly dodržování směrnic, případně bezpečnostní audit.

12 Co dělat, pokud ke krádeži dat dojde? 1.Zjistíte to vůbec?  Mechanismy rozpoznávající napadení. 2.Víte, kdo kradl?  Zjištění rozsahu škod a podle závažnosti situace kontaktování Policie ČR.  Zahájení trestního řízení.  Zahájení adhezního řízení (o náhradu škody). 3. Máte to jak to prokázat?  Vytvoření dokumentace, zajištění dat, ochrana před manipulací s důkazy.  Kontaktování znalce, expertní posudek nezávislé organizace. 4. Chcete se domluvit se zlodějem?  Bude vás to něco stát.  Problém - data se dají kopírovat.  Nikdo vám nezaručí ochranu před možným vydíráním. Pár důležitých otázek

13 Krizová situace – řešení krok za krokem 1.Kontaktovat policii.  Zahájit trestní řízení.  Je třeba počítat s tím, že šance získat odškodnění za zneužití dat v rámci našeho právního systému je zatím spíše utopie. Elektronická data lze snadno modifikovat a proto jsou většinou pro soud jako důkaz nepřijatelná. 2.Vytvořit dokumentaci a zajistit data.  Zjištění přesného rozsahu škod, odhad potenciálních rizik.  Zabezpečení důkazů před možnou manipulací, jinak je nelze vůbec použít jako důkazy. Ideální je mít bezpečnostní audit před krádeží a znalecký posudek po krádeži.

14 Krizová situace – řešení krok za krokem 3.Zavést přísná bezpečností opatření.  Viz zabezpečení databáze proti krádeži, pokud již nebylo. (Prevence!)  Stanovení preventivního plánu pro postup v krizových situacích.  Zpřísnění norem a vnitropodnikových směrnic, postihy za jejich nedodržování. 4.Upozornit své klienty a kontakty.  Vysvětlit problém.  Omluvit se.  Formálně nabídnout odškodnění.

15 Kam se obrátit pro pomoc a radu? Váš dodavatel e-shopu - oXy Online Policie České republiky Znalecký ústav RAC v oboru kybernetiky a výpočetní techniky - Risk Analysis Consultants Pár důležitých kontaktů

16 Děkujeme za vaši pozornost. Mgr. Jana Oborná marketing manager Petr Uttendorfský ředitel divize eSales


Stáhnout ppt "„Ukradená“ databáze aneb Jak uchránit e-shop před ztrátou dat konference Trendy internetové bezpečnosti 16. února 2010, Praha, Česká republika."

Podobné prezentace


Reklamy Google