Mýty a skutečnosti o ochraně informací Aby bezpečnost byla komplexní Marek Solařík CISA, Senior Security Consultant TNS Kernun Security Notes 2012
Tak tady to máte šéfe…
Základní otázky Jaké zákony musím splnit? Jaké normy a metodiky použít? Co mě reálně hrozí? Na co se primárně zaměřit? Kolik do bezpečnosti investovat? Investuji efektivně? Jsou moje systémy dostatečně odolné? Jak měřit výkonnost bezpečnosti? Spravuji a řídím své IT dobře? Co můžu dělat lépe?
Jaké zákony? Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů Zákon č. 227/2000 Sb., o elektronickém podpisu Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti zákon č. 499/2004 Sb., o archivnictví a spisové službě …
Veřejná správa Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů Zákon č. 227/2000 Sb., o elektronickém podpisu Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti Zákon č. 499/2004 Sb., o archivnictví a spisové službě Zákon č. 365/2000 Sb., o informačních systémech veřejné správy Zákon č. 111/2009 Sb., o základních registrech Zákon č. 106/1999 Sb., o svobodném přístupu k informacím
Utajované informace Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů Zákon č. 227/2000 Sb., o elektronickém podpisu Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti Zákon č. 499/2004 Sb., o archivnictví a spisové službě Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti
Zdravotnictví zákon č. 372/2011 Sb., zákon o zdravotních službách zákon č. 123/2000 Sb., o zdravotnických prostředcích Health Insurance Portability and Accountability Act of 1996 (HIPAA) Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů Zákon č. 227/2000 Sb., o elektronickém podpisu Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů Zákon č. 480/2004 Sb., zákon o některých službách informační společnosti zákon č. 499/2004 Sb., o archivnictví a spisové službě
Finanční sektor Zákon č. 21/1992 Sb., o bankách Zákon č. 87/1995 Sb., o spořitelních a úvěrních družstvech Zákon č. 96/1993 Sb., o stavebním spoření BASEL III: International framework for liquidity risk measurement, standards and monitoring Federal Information Security Management Act of 2002 (FISMA)
Mýty a skutečnosti o ochraně informací, aneb na co soudruzi z NDR zapomněli.
Mýtus 1 Mám antivirový software, pravidelně aktualizuji, mě nemůže žádný nežádoucí kód ohrozit. Skutečnost: Žádný antivirový program nemá úspěšnost 100 %. Samotný antivirus nestačí. Antivir vás neochrání před zneužitím vašeho počítače či před internetovými podvody (např. phishing). Bezpečnost neohrožují pouze viry, i když v poslední době opět roste jejich „obliba“ (USB, mp3, …) Audit ►Trojský kůň v rezervačním systému ►jména, příjmení, domácí adresy, telefonní čísla, zaměstnavatel a všechny podstatné detaily o kreditní kartě ►Přístup prodán ruské mafii … ►Až záznamů, hotel přiznal 13, později 115
Mýtus 2 Skutečnost: Jaký firewall? Kdo ho spravuje? Jak? Sebedražší (i sebelepší) „krabice“ problém nevyřeší. Nutný systematický přístup. Bezpečnostní politika ►Průnik do zóny Public a DMZ ►Neoprávněný přístup k neveřejným informacím ►Ovládnutí šifrované linky mezi NBÚ a Ministerstvem vnitra SR ►Následně uvolněno 1,3 mil EUR,- na zlepšení zabezpečení ►Heslo nbusr123 Mám Firewall za x- stovek tisíc, jsem v bezpečí
Mýtus 3 Skutečnost: Zpoždění záplat Zero-day attacks Komplexní ochrana Upgradauji, patchuji, jsem v bezpečí.
Mýtus 4 Skutečnost: Změna chování útočníků Sociální inženýrství Stále dostupnější a účinnější nástroje útočníků roboty Školení ►Phising ► jakoby od banky ►Odkaz na kopii přihlašovací stránky banky ►Ukradení přihlašovacích údajů ►Zneužití přihlašovacích údajů – ukradení peněz Jsme malá společnost, nemáme žádná cenná data, „hackeři“ nás vynechají.
Mýtus 5 Skutečnost: Cyber crime Cyber terorismus Cyber war Průmyslové odvětví (od poloviny 90-tých let) Dobře organizované skupiny s hierarchickým uspořádáním Organizovaný zločin Terorismus Mezinárodní spolupráce, CERT Hacking – to je hraní si študáků, kteří si jen chtějí vyzkoušet, jak jsou šikovní. Stuxnet DuQu Flame Mahdi
Souvislost virtuální a fyzické války ve světě Part of Israel land hand over to Palestine (21/03/2000) Part of Israel land hand over to Palestine (21/03/2000) Barak/Arafat summit interrupted (03/02/2000) Barak/Arafat summit interrupted (03/02/2000) Increased number of bomb attack in Israel Increased number of bomb attack in Israel Sharm el Sheikh summit (17/10/2000) Sharm el Sheikh summit (17/10/2000)
Mýtus 6 Skutečnost: Stále přetrvává: Nevhodný návrh (TCP/IP, …) Implementace v reálném prostředí (MD5, …) Chyby (v kódu, konfiguraci, správě) (…) Vzrůstající výkon (DES, 3DES, WEP, …) Uživatel Nekončící proces PDCA cyklus Bezpečnost informací jako integrální součást všech procesů V uplynulých letech jsme se na bezpečnost IT zaměřili, do IT jsme investovali velké prostředky, jsme na dlouhou dobu zajištěni.
Mýtus 7 Skutečnost: Nerozhodnost investovat do vlastní bezpečnosti Technická opatření Organizační opatření Školení Outsourcing Bezpečnost je drahá a složitá věc, nemůžu platit odborníka na plný úvazek, který by se staral jen o bezpečnost IT.
Přístup Trusted Network Solutions Plan Analýza a návrh – Analýza rizik – BIA – Bezpečnostní politika – Bezpečnostní dokumentace – DRP, BCP, … Do Implementační studie Implementace Odborná konzultace Školení Certifikace Atestace 365/2000 NBÚ 412/2005 Check Audit bezpečnosti Penetrační testy Monitoring Act Návrh protiopatření Zavedení do praxe
Přístup Trusted Network Solutions Řešení požadavků a problémů zákazníka Hledání optimálních řešení Snaha pomoci Otevřený partnerský přístup Využívání jen reálných a ověřených zkušeností
Vykročte bezpečně Děkuji za pozornost Marek Solařík