9/26/2019 GDPR BEZ KYBERNETICKÉ OCHRANY? Jak budovat ochranu organizace před internetovými hrozbami a vypořádat se s nástrahami nové legislativy (NIS, GDPR) Jindřich Šavel 23.11.2017

Jak se s GDPR vypořádat? Cesta ke splnění GDPR požadavků Srovnávací analýza stavu ochrany OÚ Plán implementace Analýza rizik zpracování OÚ Posouzení vlivu na ochranu OÚ Implementace a zdokumentování procesů Zahájení technické úpravy IS (+ možné zavedení podpůrných nástrojů) Technická úprava IS Školení uživatelů Testy a přezkoumání systému ochrany GDPR – akceptování závažnosti Platí pro všechny firmy a organizace Rozšiřuje definici významu osobních dat Zpřísňuje pravidla pro získání platného souhlasu s použitím osobních údajů Požaduje jmenování inspektora ochrany údajů (DPO – Data Protection Officer) Zavádí povinné PIA – Privacy Impact Assessment Zavádí podmínku oznámení úniků dat pro všechny Zavádí právo být zapomenut Rozšiřuje odpovědnost správce údajů osobních dat Vyžaduje ochranu soukromí již v návrhu systému Zavádí koncept jednotného přístupu 25.5.2018

A jak to souvisí s kybernetickou ochranou? GDPR se zaměřuje především na zajištění ochrany osobních údajů Bez zajištění bezpečnosti počítačové sítě není možné zajistit ochranu osobních údajů Informační systém Aplikace Osobní údaje Uživatelé Servery/úložiště Počítačová síť Počítačová síť

Jak se budovat kybernetickou bezpečnost? Definice výhod Stanovení cílů Stanovení standardů pro implementaci Organizace implementace Posouzení/analýza rizik Implementace zvládání rizik Výcvik a povědomí Implementace KB je nekonečný příběh

1. Definice výhod KB Nutnost získání podpory vrcholového managementu pro projekt KB pokud neexistuje podpora managementu, implementace KB s vysokou pravděpodobností selže Management má k dispozici finanční prostředky a lidské zdroje Benefity Soulad s legislativou Při správné identifikaci zákonných norem a zajištění souladu s nimi, nehrozí společnosti riziko postihů ani pokut Marketing a kredibilita Možná deklarace pro obchodní partnery o bezpečném nakládání s jejich informacemi Snižování nákladů KB je o prevenci. Investuje se do ní nyní aby se ušetřilo v budoucnu Optimalizace business procesů KB je o jasně definovaných procesech a pracovních postupech

Vhodné stanovit cíle – například 2. Stanovení cílů „Co se měří, to se dá řídit“ Jak mohu vědět, že jsem např. v souladu s legislativou, či získám marketingovou výhodu? Vhodné stanovit cíle – například zachování všech existujících zákazníků získání 2% nových zákazníků, kteří jsou citliví na KB v následujících 12 měsících být v souladu se všemi zákonnými normami do 6 měsíců Snížit náklady na KB v následujících 2 letech o 50%... Jedině nastavením obdobných cílů je možné následně vyhodnotit úspěšnost implementace všech kroků ke KB.

3. Stanovení standardů pro implementaci KB Po stanovení cílů, je nutné určit plán, jak jich dosáhnout implementace je činnost na delší dobu Projekt zahrnuje zaměstnance, dodavatele, partnery, klienty, změny ve stávajících pracovních postupech, stanovených povinnostech atd. je výhodné využít služeb společností, které se implementací KB zabývají Rozšířené standardy ISO/IEC 27001 (ISMS) COBIT CRAMM PCI DSS ITIL ISO 22301 (BCMS)

4. Organizace implementace Zavedení projektového řízení (produkt, peníze, čas) získání know-how zvolené standardy samy nezajistí potřebné know-how Je nutné rozhodnout o způsobu implementace implementace KB vlastními zaměstnanci implementace KB vlastními zaměstnanci pod vedením externího specialisty implementace KB výhradně specialisty/konzultanty zvenčí stanovení potřebných zdrojů (lidské, finanční)

5. Posouzení/analýza rizik nelze se spoléhat na instinkty IT pracovníci jsou schopni identifikovat cca 40% rizik pracovníci z obchodu jsou schopni identifikovat cca 25% rizik Vysvětlení procesu tvorby analýzy rizik zaměstnanci na počátku často ani neví, že jsou správci aktiv… je vhodné vycházet ze seznamu hrozeb a zranitelností je vhodné využití nástrojů pro správu rizik

6. Implementace zvládání rizik Po zhodnocení rizik je nutné stanovit akční plán zvládání rizik s určením opatření termínů odpovědností rozpočtu komunikační matice akční plán je nedílnou součástí projektu implementace KB KB se obvykle implementuje pomocí těchto prostředků stanovení nových pravidel implementace nových technologií změny v organizační struktuře

7. Výcvik a povědomí Nedostatek školení a zvyšování povědomí je další příčinou neúspěchu kybernetických bezpečnostních projektů. Proč? bezpečnost je obvykle otrava bezpečnost obvykle vyžaduje nové vědomosti a zdatnosti Je potřeba vzít do úvahy KB není záležitostí pouze IT, je třeba zapojit všechny zaměstnance při implementaci nových opatření je třeba paralelně provádět školení a posilovat povědomí o KB školení a posilování povědomí jsou nekončící proces…

8. Implementace KB je nekonečný příběh KB není o jednom kroku, ale o aktivitách prováděných průběžně S cílem udržovat a zlepšovat systém je třeba zavést monitoring měření obecné cíle cíle u jednotlivých opatření naslouchání návrhům na zlepšení interní audit přezkoumání vedením např. čtvrtletně osoba zodpovědná za KB předloží na poradě vedení výsledky měření, výsledky interního auditu, seznam incidentů, nově identifikované hrozby, požadované výdaje (náklady), návrhy na změny v politikách atd. certifikační audit (nepovinný) neustálé zlepšování (nápravná a preventivní opatření)

Aktivní bezpečnost sítě Koncept připravený na půdě NSMC Network Security Monitoring Cluster kooperační odvětvové uskupení zaměřené na oblast bezpečnosti počítačových sítí a bezpečnosti v ICT Aktivity klastru společné projekty v oblasti technické infrastruktury inovačního charakteru, aplikovaného výzkumu, vývoje a inovací návrh a integrace komplexních řešení v oblasti monitorování bezpečnosti sítí osvěta týkající se bezpečnosti počítačových sítí a informací, školení a vzdělávání návrhy úprav právních norem v oblasti bezpečnosti ICT infrastruktury a jejího zabezpečení komunikace s organizacemi a asociacemi zabývající se bezpečností počítačových sítí (např. ENISA, IT Security in Germany,…) tvorba a akreditace výukových programů kybernetické bezpečnosti pro střední a vysoké školy

Koncept Aktivní bezpečnosti sítě SOC (Security Operation Center) Internet SIEM Log Management Ochrana perimetru Firewall Audit privilegovaných uživatelů DDI - IP address management DHCP, DNS IDS/IPS Network DLP NAC - 802.1x MAC authentication / authorisation NBA Network behaviour analysis MoNet Infrastrukturní monitoring L2 monitoring Flow monitoring Aplikační monitoring Plan Do Check Act Ochrana klientů EndPoint Security / DLP Klienti Desktopy Mobilní klienti Síť Síťové prvky Wifi Infrastruktura Servery Aplikace Procesy ISMS Antivirus Antimalware

Další technické prostředky Kryptování dat na serverech v cloudu na klientech Ochrana proti DDOS Zamezení komunikace zahlcující infrastrukturu Aplikační firewally Garance dostupnosti a důvěryhodnosti webových aplikací Zabezpečená komunikace mezi zaměstnanci mezi obchodními partnery K omunikační kanály Email, SMS, Chat

Vzdělávání a získávání dovedností Vzdělávání ve školách vysoké školy střední školy Kurzy kybernetické bezpečnosti přehledové pro management detailnější pro technické pracovníky Cvičení kybernetické ochrany kybernetické arény cvičení obránců a útočníků (modří a červení) Cvičení managementu pro zvládání krizových situací Např. cvičení blackout v Praze

Testování zranitelnosti Ověření nastavení technických prostředků proti známým hrozbám Jednorázové scany Periodické scany Testování zranitelnosti kódu Etický hacking Odolnost vůči sociálnímu inženýrství

Kybernetická bezpečnost – shrnutí stavu Technologie velký výběr: komerční řešení x opensource nástroje Lidské zdroje nedostatek sil na pracovním trhu nepřipravenost pro 24x7x365 Znalosti nedostatečné detekční znalosti neschopnost reagovat na incidenty

Kybernetická bezpečnost – optimální model Pokročilý model bezpečnosti Zabezpečení provozních potřeb sítě Inhouse (alernativně outsourcing) Potřeba provozu typicky 8-17 Zabezpečení bezpečnostních potřeb sítě Poskytovatel služeb Potřeba provozu 24x7x365

Zajištění provozních potřeb sítě Konvenčně zvládnuto základní správa sítě a stanic ochrana perimetru (firewall) ochrana klientů (antivirus, antimalware) infrastrukturní monitoring Nezvládnuté nebo podceňované Komplexní správa IP prostoru Dílčí řešení: Open source nástroje X Microsoft DDI (DHCP, DNS, IPAM) Řízení přístupu do sítě (NAC) Autentizace, Autorizace (přiřazení zařízení do VLAN)

Zabezpečení sítě organizace Managed Security Services (Security as a Service) Internet Ochrana perimetru Síť organizace AddNet Flowmon Firewall DDI - IP address management DHCP, DNS IDS/IPS Network DLP Syslog concentrator NAC - 802.1x MAC authentication / authorization NBA Network behavior analysis Infrastrukturní monitoring L2 monitoring Flow monitoring Aplikační monitoring Plan Do Check Act Ochrana klientů EndPoint Security / DLP Klienti Desktopy Mobilní klienti Network Switche Wifi Infrastruktura Servery Aplikace Proceses ISMS Antivirus Antimalware

Zajištění bezpečnostních potřeb sítě Pokročilá detekce vyhodnocení provozu flow monitoring syslog Bezpečnostní dohled služba SOC (Security Operating Center) využití nástrojů Logmanagment/SIEM Zajištění incident response Služba SOC bez integrovaných nástrojů řízení sítě zákazníka nedokáže aktivně a samostatně řešit incident response

Managed Security & Security as a Service Managed Security Services Cloud Services - Security Security Expert Services SOC Applications Security Assessment Infrastructure Vulnerability Scanning SIEM Log Management Business continuity & DR Continuous Monitoring Plan Do Check Act Privileged user management Email protection Proceses ISMS Flow monitoring / NBA Encryption DDoS Protection DLP Protection DDI/NAC Management Intrusion management

Pokročilý model bezpečnosti Internet Přínosy modelu pro organizace Využití špičkových znalostí cyber defense Provoz 24 x 7 x 365 Okamžitá reakce na bezpečnostní incidenty CAPEX úspory odpadají investice do nástrojů pokročilé detekce a řízení sítě OPEX optimalizace odpadá nutnost zajistit kvalifikovaný tým pro práci v režimu 24x7

Shrnutí Kybernetická bezpečnost je nekonečný příběh Nikdy nebudete mít jistotu, že váš soubor technických opatření postihne nejnovější typy útoků Zero day attacks zneužití dat a technologií z vnitřku organizace Proto je nutné kombinovat typy opatření periodicky vyhodnocovat stav ochrany a následně ho vylepšovat kontinuálně vzdělávat pracovníky zodpovědné za KB školení, tréninky bojů proti útočníkům Využijte optimální model bezpečnosti zaměřte se na zajištění vlastních provozních potřeb válku s hackery nechte na odbornících

Další informace Novicom, s.r.o. Jindřich Šavel Třebohostická 14 100 00 Praha 10 www.novicom.cz sales@novicom.cz Jindřich Šavel obchodní ředitel jindrich.savel@novicom.cz +420 271 777 231 +420 777 222 961