zagrożenia bezpieczeństwa danych 16.07.2015

ZAGROŻENIA BEZPIECZEŃSTWA DANYCH
Poziom zagrożenia
Podejmowane środki zaradcze
Wnioski
Zagrożenia w cyberprzestrzeni Polski
Rekomendacje Klubu CIO
Budowa bezpiecznej organizacji
Ocena stanu bezpieczeństwa
Jakub Staśkiewicz
UpGreat Systemy Komputerowe Sp. z o.o.
„Wyprzedzając cyberataki” – raport Ernest & Young
Światowe badanie bezpieczeństwa informacji
przeprowadzone w 2014r., 1825 respondentów
z 60 krajów, pracujących w 25 sektorach, głównie
członkowie zarządów oraz dyrektorzy IT
Cyberataki są coraz bardziej natarczywe,
skomplikowane, a cyberprzestępcy coraz lepiej
zorganizowani
Dzisiejsi cyberprzestępcy mają dostęp do źródeł
finansowania i są o wiele bardziej wyrafinowani niż kilka lat temu.
Cele ataków
28% - kradzież danych finansowych (karty płatnicze, hasła do e-bankowości)
25% - dezorganizacja przedsiębiorstwa
20% - kradzież własności intelektualnej
19% - nadużycia finansowe
3
„Wyprzedzając cyberataki” – raport Ernest & Young
Źródła ataków
57% - pracownicy (świadomie lub nie)
53% - organizacje przestępcze
Nowość: łączny poziom zagrożeń
zewnętrznych przewyższa poziom
zagrożeń z wewnątrz
Nowość: organizacje rządowe
Afera Snowdena – NSA i dostawcy
czołowych rozwiązań technicznych
Hacking Team – wśród klientów
również polskie służby (ABW)
4
„Wyprzedzając cyberataki” – raport Ernest & Young
Najczęstsze problemy:
35% - przestarzałe mechanizmy bezp.
38% - niefrasobliwość pracowników
17% - przetwarzanie w chmurze
16% - urządzenia mobilne
Ograniczenia:
37% - nie jest w stanie na bieżąco
analizować ryzyka cyberataków
27% - tylko w ograniczonym zakresie
33% - nie rozpoczyna dochodzenia
po ataku hackerskim (być może
w ogóle o nim nie wiedzą)
Zaledwie w 1/5 firm ściśle współpracuje
z działami biznesowymi, analizując
potencjalne ryzyka.
5
„Wyprzedzając cyberataki” – raport Ernest & Young
Problemy budżetowe:
według 43% badanych budżet przeznaczony na zapewnienie bezpieczeństwa
informacji w ciągu najbliższych 12 miesięcy nie ulegnie zmianie
Efekty:
- 53% organizacji nie ma odpowiednio wyszkolonych pracowników
- 42% organizacji w ogóle nie ma centrów monitorowania bezpieczeństwa
- tylko w 5% firm jest specjalny zespół do analizowania ryzyka cyberataków
- tylko 13% respondentów twierdzi, że ich systemy w pełni odpowiadają
potrzebom organizacji
- 16% firm przyznaje, że nie ma programów wykrywania naruszeń
bezpieczeństwa informacji
6
„Wyprzedzając cyberataki” – raport Ernest & Young
Wnioski i zalecenia
Organizacje powinny się cały czas zmieniać i stale dostosowywać swoje systemy
zabezpieczeń. Muszą w bezpieczny sposób integrować nowe technologie z
procesami biznesowymi
Zabezpieczenie się przed cyberprzestępcami powinno obejmować także
partnerów, klientów, dostawców
Organizacje zapewnią sobie bezpieczeństwo, jeśli będą potrafiły przewidywać
cyberprzestępstwa, firmy muszą zmienić podejście do zarządzania
bezpieczeństwem informacji z reaktywnego na proaktywne, przestać być dla
cyberprzestępców bierną ofiarą i stać się ich silnym przeciwnikiem
7
„Globalny stan bezpieczeństwa informacji 2015” – raport PWC
Zarządzanie ryzykiem w cyberprzestrzeni
- obserwacje z wyników ankiety
9700 respondentów ze 154 krajów,
w tym 77 firm i organizacji działających
w Polsce
Średnia roczna stopa wzrostu wykrytych
incydentów naruszenia bezpieczeństwa
wyniosła 66% rok do roku od 2009
Wiele organizacji nie zdaje sobie jednak sprawy z ataków lub świadomie nie
publikuje informacji na ich temat
Z powodu wdrażania przez większe firmy bardziej efektywnych zabezpieczeń
autorzy zagrożeń coraz częściej atakują spółki średniej i małej wielkości.
Intruzi często koncentrują się na małych i średnich spółkach, które mają pełnić
rolę „przyczółka” do wejścia do powiązanych z nimi przedsiębiorstw partnerskich.
8
„Globalny stan bezpieczeństwa informacji 2015” – raport PWC
Wzrost zagrożenia w Europie
- 41% skok liczby wykrytych incydentów
- 48% respondentów stwierdziło, że
postrzeganie ryzyka cyberprzestępczości
dla ich organizacji wzrosło
- duże spółki zanotowały 53% wzrost
szkód finansowych
Najsłabsze obszary rodzimych firm:
- podnoszenie świadomości pracowników
- bezpieczeństwo partnerów biznesowych
- zdolność do wykrywania i reagowania
na incydenty bezpieczeństwa
- łatwość przełamania pierwszej linii
zabezpieczeń
9
„Globalny stan bezpieczeństwa informacji 2015” – raport PWC
Zagrożenia własności intelektualnej
19% wzrost kradzieży własności intelektualnej
24% respondentów zgłosiła kradzież „miękkiej” własności intelektualnej
(informacje na temat procesów i wiedzy instytucjonalnej).
15% twierdzi, że ukradziono im „twardą” własność intelektualną, taką jak
strategiczne biznesplany, dokumenty z transakcji kapitałowych oraz
wrażliwe dokumenty finansowe.
Służby specjalne
Ponowne odniesienie do Snowdena i służb USA, Wielkiej Brytanii, Australii i
Nowej Zelandii
W Polsce udział wydatków na bezpieczeństwo w stosunku do całościowego
budżetu IT wzrósł do 5,5% co jest wynikiem zbliżonym do światowego.
Z powodu wieloletniego niedoinwestowania jest to niestety zbyt mało by
nadrobić zaległości
10
„Globalny stan bezpieczeństwa informacji 2015” – podsumowanie
Istotne wnioski:
Spółki, które mają programy budowania świadomości w obszarze
bezpieczeństwa, zgłaszają znacznie niższe straty finansowe z tytułu incydentów.
Spółki, które nie przewidują szkoleń w dziedzinie bezpieczeństwa dla nowych
pracowników, wykazały roczne straty finansowe czterokrotnie wyższe od tych,
które mają takie szkolenia.
Analiza ryzyka jako podstawa zarządzania bezpieczeństwem
Organizacje – duże i małe – muszą zrozumieć, że zarządzanie ryzykiem
cyberbezpieczeństwa jest kluczowe dla przetrwania w cyfrowym, połączonym
świecie. I jest to jedno z głównych wyzwań dla prezesów, zarządów i rad
nadzorczych oraz organów administracji państwowej.
W Polsce klasyfikację wartości biznesowej danych dokonuje tylko 36% badanych
Globalnie 34% respondentów nie kieruje wydatków na bezpieczeństwo do
najbardziej zyskownych pionów działalności.
11
CERT POLSKA – PODSUMOWANIE DZIAŁAŃ
Computer Emergency Response Team – działa przy NASK, obok rządowego
CERT.GOV.PL pełni rolę nieformalnego, głównego organu reagowania na
incydenty bezpieczeństwa w Polsce
Średnio w ciągu każdych 24h w Polsce jest zainfekowanych 280 tysięcy
komputerów.
Wzrost działalności ukierunkowanej na użytkowników bankowości internetowej to
najważniejszy i najbardziej niepokojący trend w 2014 roku. Wysokość
wykradzionych kwot niejednokrotnie wynosiła kilkaset tysięcy złotych
Wzrosła liczba ataków na klientów korporacyjnych i administrację samorządową.
Zaobserwowaliśmy 7 scenariuszy ataków socjotechnicznych wykorzystywanych w
kampaniach złośliwego oprogramowania.
12
CERT POLSKA – PODSUMOWANIE DZIAŁAŃ
coraz więcej ataków pochodzących z Polski, czasami nawet wykorzystujących
autorskie złośliwe oprogramowanie.
Najpopularniejszą metodą infekowania polskich użytkowników Internetu są
zainfekowane załączniki.
Ataki z wykorzystaniem luk takich jak Heartbleed czy Shellshock wciąż trwają i
prawdopodobnie długo jeszcze będziemy je obserwować.
W 2014 roku miały miejsce wycieki danych, z których największy związany był z
atakiem na Giełdę Papierów Wartościowych
W 2014 r. zespół CERT Polska obsłużył 1 282 incydenty (wzrost o 100% od
2011). Zgłaszającymi i poszkodowanym były głównie firmy komercyjne.
13
REKOMENDACJE KLUBU CIO
Organizacja zrzeszająca dyrektorów IT dużych spółek działająca przy
wydawnictwie IDG Poland.
Rekomendacje dotyczące systematycznej edukacji służącej przeciwdziałaniu
zagrożeniom
- Budowanie wewnątrz firmy świadomości wyzwań i znaczenia kwestii
bezpieczeństwa, tak u członków zarządu, menedżerów, jak i pracowników.
- Nawiązanie współpracy z partnerami biznesowymi, koncentracja na doborze
odpowiednich technologii i kompetencji
- Dzielenie się dobrymi praktykami i doświadczeniem w ramach forów i spotkań
branżowych.
- Aktywne wykorzystanie usług zewnętrznych np. Security Operations Center,
Vulnerability Management
14
REKOMENDACJE KLUBU CIO
Najważniejsze działania, które powinny podjąć firmy i instytucje aby zapewnić
sobie bezpieczeństwo w erze cyfrowego biznesu.
- Zweryfikować system zarządzania bezpieczeństwem cybernetycznym firmy, a
tam gdzie go nie ma zbudować adekwatny do skali lub skorzystać z ofert
dostępnych na rynku.
- Cyklicznie dokonywać oceny rzeczywistego bezpieczeństwa firmy np. przy
użyciu audytów zewnętrznych
- Powiązać proces tworzenia i dostarczania oprogramowania oraz innych
rozwiązań informatycznych ze stałym testowaniem podatności
- Stale uczyć się i doskonalić system ochrony: każdy istotny incydent
bezpieczeństwa musi prowadzić do wyciągnięcia wniosków i podjęcia działań
minimalizujących ryzyko.
- Stworzyć przejrzysty i regularny system informowania Zarządu firmy o poziomie
zagrożeń.
15
MOŻLIWOŚĆ WPŁYWU NA ŹRÓDŁA ZAGROŻEŃ
Hackerzy, konkurencja – źródła zewnętrzne
Brak bezpośredniego wpływu na źródło. Konieczność poznawania, analizowania,
szacowania ryzyka i minimalizacji zagrożeń.
Dostawcy – źródła zewnętrzne
Możliwość przeniesienia odpowiedzialności lub podniesienia poziomu obsługi i
jakości produktów poprzez zapisy w umowach SLA.
Pracownicy, obsługa techniczna – źródła wewnętrzne.
Możliwość ograniczenia uprawnień, opracowania procedur, egzekwowania ich
zapisów, edukowania.
Awarie, zdarzenia losowe
Możliwość przewidywania i zapobiegania przez stosowanie mechanizmów
zabezpieczających i eliminowanie pojedynczych punktów awarii
16
OK. ALE KTO?
Pracownik szeregowy?
Nie widzi potrzeby, nie chce być ograniczany, „to nie jego problem”. Jak coś nie
działa może iść na kawę/papierosa.
Administratorzy systemów?
Uważają, że ich systemy są bezpieczne, nie mają czasu i środków by myśleć
za „głupich userów”..
Kierownictwo?
Nie zna się na bezpieczeństwie i nie zna zagrożeń. Ich zmartwienia to procesy
biznesowe i wykonanie planu. Nie będą sobie zaprzątać głowy zmianą
haseł.
Zarząd?
Ma środki i możliwości wpływu na zmianę dotychczasowych praktyk. Nie zna się
na cyberbezpieczeństwie i zagrożeniach.
17
POTRZEBNE WSPARCIE
Pracownik szeregowy
W zakresie szkolenia, uświadamiania i ciągłej ochrony przed zagrożeniami.
Administratorzy systemów
W zakresie doradztwa, wiedzy eksperckiej, świeżego spojrzenia z innej
perspektywy
Kierownictwo
W zakresie utrzymania ciągłości procesów biznesowych, minimalizacji
przestojów i ich negatywnych skutków
Zarząd
W zakresie budowy polityki bezpieczeństwa, doboru środków, definiowania
regulaminów, procedur, minimalizacji strat związanych z zagrożeniami, spełnienia
wymogów prawnych dotyczących bezpieczeństwa.
18
PTAK? SAMOLOT? …. SECURITY OFICER
CISO – Chief Information Security Officer
Główny funkcjonariusz bezpieczeństwa
informacji
Niezależne stanowisko podlegające
zarządowi lub kierownictwu wyższego
szczebla
Niezależność, brak możliwości
wywierania wpływu przez osoby,
dla których stosowanie procedur
może być niewygodne
Brak innych obowiązków mogących
wpłynąć na podejmowane decyzje
Łączenie funkcji z zadaniami np. administratora IT pozbawia firmę kontroli nad
zabezpieczeniami systemów przez niego zarządzanych.
19
OBSZARY DZIAŁANIA SECURIY OFFICERA
Bezpieczeństwo fizyczne
Kontrola dostępu, zabezpieczenia,
alarmy, zamki, klucze, dostęp do
budynków, ochrona sprzętu
Bezpieczeństwo pracowników
Pracownicy, kontraktorzy, partnerzy,
firmy zewnętrzne, goście
Bezpieczeństwo danych
Kontrola dostępu, uprawnienia,
ochrona danych osobowych
i krytycznych danych poufnych
Bezpieczeństwo infrastruktury IT
Sieci, serwery, urządzenia końcowe, zdalny dostęp, strony internetowe, łącza,
monitoring, reagowanie
Disaster Recovery & Business Continuity
Plany backupów, plany odtwarzania, dokumentacja, reagowanie na zdarzenia
nagłe, analiza i szacowanie ryzyk
20
ZADANIA SECURITY OFFICERA
Inwentaryzacja zasobów
Infrastruktura IT – serwery, storage, sieci, UPS-y, klimatyzatory, urządzenia
końcowe, urządzenia mobilne, oprogramowanie systemowe i użytkowe
Zarządzanie incydentami bezpieczeństwa
Gromadzenie informacji o incydentach, analiza, reagowanie. Nowe wirusy, nowe
wektory ataków, zgłaszane dziury w oprogramowaniu, ataki ukierunkowane
Dobór i utrzymanie środków technicznych
współpraca z działem IT, firewalle, antywirusy, bramki filtrujące pocztę i ruch
www, polisy active directory, praca zdalna, VPN
Tworzenie procedur i regulaminów
Instrukcje administracyjne związane z kontrolą uprawnień, kontrolą dostępu,
planem backupów, tworzeniem i usuwaniem kont użytkowników. Regulaminy
pracy z systemem IT na poszczególnych stanowiskach.
Zarządzanie aktualizacjami
Przygotowywanie i nadzorowanie planu aktualizacji, opracowanie zasad instalacji
krytycznych poprawek bezpieczeństwa, reagowanie na zagrożenia nagłe
Wdrażanie polityki bezpieczeństwa
Budowa polityki bezpieczeństwa dopasowanej do organizacji. Wdrażanie i
kontrola przestrzegania jej zapisów. Szkolenie użytkowników. Audytowanie. 21
SECURITY OFFICER – MOŻE OUTSOURCING?
Problem z zatrudnieniem
Brak specjalistów na rynku. Wysokie koszty
zatrudnienia. Niepełny wymiar czasu pracy.
Problem z utrzymaniem
Ryzyko znalezienia lepszej pracy. Tracimy
eksperta z dużą wiedzą o naszej firmie,
którego trudno będzie zastąpić
Problem z dostarczeniem narzędzi
Drogie we wdrożeniu i utrzymaniu systemy
wymagane do realizacji zadań związanych
z bezpieczeństwem
Zalety outsourcingu
Niepełny wymiar pracy – niższe koszty.
Większe zaplecze kadrowe. Własne narzędzia.
Świeże spojrzenie, większa perspektywa.
Budowa polityk, wdrożenie i audyt w kosztach.
22
POLITYKA BEZPIECZEŃSTWA - KORZYŚCI Z POSIADANIA
Procedury dostosowane do danej organizacji
Stosowanie zasad uniwersalnych, działanie
„na czuja”, gaszenie pożarów – to nie jest dobre
podejście
Działania proaktywne – przewidywanie zagrożeń
W chwili wystąpienia incydentu bezpieczeństwa
nie ma czasu na opracowywanie planów. Działamy
pod wpływem stresu i czasu. Musimy być
przygotowani
Odpowiedzialność i świadomość pracowników
Nikt nie powie „bo ja nie wiedziałem”, „ja się na tym nie znam”.
Spełnienie wymogów prawnych
Ochrona danych osobowych, ustawa o KRI, rekomendacja D
Utrzymanie procesu zarządzania bezpieczeństwem
Konieczność stałego monitorowania, reagowania, dostosowywania. (Cykl
Deminga – Plan, Do,Check, Act)
23
JAK BYĆ BEZPIECZNYM?
Security Officer, polityka bezpieczeństwa – co jeśli nie mamy?
Konieczność oceny faktycznego stanu
bezpieczeństwa przez niezależnego
audytora.
Monitorowanie
IDS/IPS, sondy sieciowe, monitoring sieci,
monitoring środowiskowy, monitoring
bezpieczeństwa stacji – AV, HIDS, bramki
skanujące ruch smtp i http/https
Zarządzanie logami
Centralne gromadzenie, archiwizacja i indeksacja,
kompresja. Korelacja zdarzeń z logów i ich ocena
pod kątem zagrożeń – systemy typu SIEM
24
JAK BYĆ BEZPIECZNYM?
Zarządzanie aktualizacjami
Konieczność natychmiastowej reakcji i instalacji krytycznych poprawek
bezpieczeństwa.
Inwentaryzacja i dokumentacja
Konieczność utrzymywania aktualnej wiedzy o stanie środowiska IT.
Szkolenie użytkowników
Konieczność ciągłego przypominania i podnoszenia świadomości o istniejących
zagrożeniach. Informowanie o konsekwencjach. Dostarczania narzędzi i
procedur.
25
NA CO UCZULIĆ UŻYTKOWNIKÓW?
Ograniczone zaufanie
Nie uruchamiamy, nie klikamy, nie wpisujemy żadnych komend, które nie zostały
nam udostępnione przez dział IT. Nie ważne od kogo jest załącznik i jak się on
nazywa. Czym mniej podejrzeń budzi, tym większe jest ryzyko. Weryfikacja
tożsamości.
Hasła
Sztywna polityka, wymuszona okresowa zmiana i odpowiednia siła hasła. Nie ma
wyjątków.
Poufność
Nie udzielamy informacji, co do której nie jesteśmy w 100% pewni, że jest
przeznaczona dla danego odbiorcy.
Zgłaszanie incydentów
Jeżeli dzieje się coś podejrzanego nie ignorujemy. Dział IT musi o tym wiedzieć.
Przypominamy o politykach
26
Okresowo wysyłamy informację o obowiązujących procedurach i regulaminach.
Dziękuję za uwagę
http://www.upgreat.pl/blog
http://www.facebok.com/upgreat.poznan
Jakub Staśkiewicz
UpGreat Systemy Komputerowe Sp. z o.o.
Dziękuję za uwagę
Jakub Staśkiewicz
tel.: 667 768 452
mail: [email protected]
UpGreat Systemy Komputerowe Sp. z o.o.
60-122 Poznań, ul. Ostrobramska 22
http://www.upgreat.com.pl