CACIO Aktuální bezpečnostní hrozby v informatice; cybersecurity Praha, 17. III. 2015

Cíl semináře: Diskuse nad problematikou bezpečnosti z pohledu vedoucího informatiky. Témata diskuse:  aktuální hrozby v informatice, aneb co se změnilo v poslední době  jak kontrolovat (monitoring, audit, penetrační test), kde jsou silné i slabé stránky  jak o hrozbách komunikovat s managementem a jak na jejich eliminaci získat zdroje (pracovníky, peníze, čas)  pomůže nám ISO 27000?; zkušenosti z ceritfikace  konkrétní zákaznické příklady. „ Praktické aspekty řízení informatiky “ cacio 2

Diskutovat mimo jiné bude  ICZ - Pavel Řezníček  Check Point – Peter Kovalčík  ČEPS – Josef Fantík  Deloitte - Vlastimil Červený, Jiří Slabý  CIMIB - Tomáš Hamr  Freedivision Jakub Karvánek - omlouvá se Osobnosti cacio 3

 K tématu „jak kontrolovat“  Rámec obvyklého penetračního testování (PT)  Předmětem testování je IS v širokém slova smyslu (ne jen aplikace, či systém)  Specifika penetračních testů (specifikace PT např. ve smyslu OSSTMM)  Technické PT (data networks security testing, telecommunications ST, wireless ST)  Sociotechnické PT (human ST, physical ST)  Statistika bezp. incidentů a jejich logický závěr: nezbytnost aktivního testování opatření personální, fyzické a organizační bezpečnosti  SPT  Umění klamu? Podvod nebo bezpečnostní opatření?  Limity a úskalí SPT:  Regulatorní problémy (zákonná ochrana soukromí, OOÚ, pracovněprávní problematika)  Konflikt chráněných zájmů (ochrana majetku x ochrana svobod)  Etické problémy a jejich praktický dopad na realizaci PT  Praktické zkušenosti s realizací PT či SPT? Penetrační testy informačních systémů s využitím sociotechnických metod cacio 4

 K tématu „aktuální hrozby v informatice“  Požadavky na zajištění důvěrnosti dat (právní povinnosti správce dat)  Úskalí užití „aplikované kryptografie“ v běžné praxi  Šifrování uživatelských dat (data na lokálních nosičích, komunikace, cloud, …)  Technické aspekty (kryptografie, technické aspekty HW prostředků, …) překážkou uplatnění zásad zdravého rozumu (procesní a fyzická bezpečnost, …)  Reálná rizika souvisí s spíše s netechnickými hrozbami  Podstatné otázky:  Kdy se šifruje – kdy dochází k manipulaci s nešifrovanými daty  Kdo má pod kontrolou klíče – kde jsou uloženy  Jak jsou klíče chráněny  Jak lze obnovit/zničit klíč  Kde se šifruje?  Jak se šifruje – jakými klíči  Praktické zkušenosti s využitím šifrování dat?  Za jakých podmínek využíváte cloud pro zpracování hodnotných dat (př. předmět obchodního tajemství? osobní údaje?) Šifrování uživatelských dat – ová komunikace, cloud cacio 5

Četnost útoků podle typu 6

Slabá místa  Bezpečnost není řešena komplexně – soubor organizačních, procesních a technických opatření  Stále nová zařízení připojená k internetu – Infikovaná osobní chytrá zařízení (mobily, tablety, hodinky, náramky, …) – Backdoor již z výroby (průmyslová špionáž apod). Internet of things  Nezabezpečené domací zařízení (routery, wifi AP) – DDoS útoky, Botnet  Nedostatečné povědomí zaměstnanců /managementu o informační bezpečnosti – Phishing  Nedostatky v bezpečném vývoji aplikací (např. nesprávně validované vstupy formulářů webových stránek)

Příklady dalších útoků  Air Bank – podvodné y Podvodníci nyní cílí i na klienty Air Bank. Ve zprávě zaslané jménem této bankovní instituce odkazují na podvržený online formulář, kde požadují aktualizaci osobních údajů, aby nedošlo k vypršení přístupu do internetového bankovnictví.  Čeští uživatelé internetu – ohrožení vyděračským malwarem CTB-Locker Oběti obdrží s předmětem „Fax“ obsahující přílohu, která imituje faxovou zprávu. V případě pokusu o otevření přílohy dojde ke stažení trojského koně, který sekundárně stáhne a spustí šifrovací malware. Ten zašifruje na napadeném počítači soubory, zamkne obrazovku a zobrazí výzvu k zaplacení výkupného v bitcoinech.  Česká spořitelna – varuje před phishingovými y Česká spořitelna varuje své klienty před další možnou podobou podvodných ů, které se tváří, že byly zaslány touto institucí. Zpráva obsahuje aktivní odkaz, který po kliknutí zobrazuje falešnou stránku služby internetového bankovnictví. Tam se pomocí formuláře snaží z obětí vylákat další citlivé údaje.

 - uplatnění zákona 181/2014 Sb. o kybernetické bezpečnosti v praxi úřadu a firmy  - metodiky a standardy při uplatňování zákona  - vztah zákona a ISO  - jak se dozvědět více, kde zjistit informace  - právní postavení institucí a firem, které jsou nejisté  - vzdělávání v oboru kybernetické bezpečnosti  - kompetenční profily zaměstnanců v oboru kybernetické bezpečnosti  - analýza rizik, audit kyb. bezpečnosti dle zákona cacio9 Cybersecurity, zaměstnanci