Roman Skrzypczyński (PwC)

www.pwc.com
„Jak zarządzić nieuniknionym?
Czy można przygotować się na atak
hackerski?”
październik 2016
Roman Skrzypczyński
Ekspert ds. cyberprzestępczości
PwC Polska
PwC
2
Tu i teraz – nasza firma?
PwC
3
Incydenty bezpieczeństwa – Polska i świat
Atakowane sektory
Finansowy
200
Łączna liczba wykrytych
incydentów
milionów
42.8
Energetyczny
miliona
28.9
Technologiczny
22.7
miliona
Ochrony zdrowia
i medyczny
24.9
miliona
miliona
9.4
3.4
miliona
miliona
Wszystkie !!!
2009
PwC
2010
2011
2012
2013
2014
2015
4
Główne źródła cyberataków
70%
70%
67%
41%
35%
29%
Świat 2015
Polska 2015
19%
pracownicy
PwC
34%
nieznany
haker
Przestępcy
Obecni
z grupy
dostawcy
zorganizowanej i wykonawcy
pracownicy
byli
pracownicy
firm nie prowadzi
monitoringu
zachowań
pracowników
Obecni
dostawcy
i wykonawcy
5
Kim jest cyberprzestępca?
Źródła incydentów
obecny pracownik
48%
haker
30%
były pracownik
22%
70%
nadużyć zostało
popełnionych przez
obecnych (często
nieświadomie) lub
byłych pracowników
PwC
Pracownik to przede wszystkim
medium dla przenoszenia
złośliwego oprogramowania, obiekt
ataku phishingowego
i wykorzystującego socjotechnikę
Partnerzy biznesowi
22%
Usługodawcy/konsultanci /wykonawcy
17%
Konkurencja
9%
Terroryści
4%
Przestępczość zorganizowana
4%
6
Z kim się mierzymy?…
Przeciwnik
Motywy
Państwa
Wpływ
• Uzyskanie korzyści finansowej –
teraz lub w przyszłości
•
•
•
•
Dane osobowe
Dane kartowe
Informacje wrażliwe – zdrowie
Systemy płatności
(np. bankomaty)
• Dotkliwe kary regulacyjne
• Procesy sądowe i odszkodowania
• Utrata reputacji
• Wpływ na sytuację polityczną
• Wpływ na cele biznesowe
• Wpływ na politykę firmy
• Tajemnice firmowe
• Wrażliwe informacje biznesowe
• Informacje nt. kluczowych osób
• Zakłócenie działania biznesu
• Utrata przewagi konkurencyjnej
• Utrata zaufania klientów
• Uzyskanie przewagi
ekonomicznej, politycznej
i/lub militarnej
•
•
•
•
Tajemnice handlowe
Wrażliwe informacje biznesowe
Nowe technologie
Infrastruktura krytyczna
• Utrata przewagi konkurencyjnej
• Zakłócenie działania
infrastruktury krytycznej
• Użycie przemocy lub strachu
w celu uzyskania wpływu na
sytuację polityczną
• Widoczne cele użyteczności
publicznej lub rządowej
• Media
Przestępcy
Haktywiści
Cele
…a nawet
Cyber Terroryści
PwC
• Destabilizacja i zniszczenie
zasobów
• Straty finansowe
• Efekty prawne
7
Ile jest wart Twój kluczowy zasób?
Ceny z Darknet
Karty upominkowe, połowa ceny lub mniej, np. 1000 $ kart upominkowych linii lotniczych dostępnych do 600 $
Szczegóły dotyczące usług strumieniowej transmisji wideo: Netflix za $ 1, Hulu za $ 2,50, HBO za 4 $
Paypal i rachunki bankowe ok. 10 procent wartości
Dane osobowe, np. zeskanowane wyciągi bankowe, ok. 60 $
Rachunki lojalnościowe linii lotniczej – 1 mln punktów ok. 300 $
Skradzione karty płatnicze 12 $ szt., (lepsza oferta jeśli kupuje karty w większej ilości)
Sprzedaż pirackich materiałów, usług i hakerskiego oprogramowania. Nowy Microsoft Office z zero day exploit za
40 bitcoinów – ok. 23k $
PwC
8
Rozpoznanie:
Struktury pracowniczej
Danych osobowych
Ról w firmie
Powiązań
Budowy systemu informatycznego
Narzędzi zabezpieczających naszą sieć
Przepływów finansowych
PwC
9
Ekosystem biznesu to zarówno szanse jak i ryzyko
Ekonomiczne
Architektura oparta na zaufaniu
i współpracy
Konkurenci
Wzrost zależności od technologii
Ekologiczne
Klienci
Dostawcy
Powszechność informacji i danych
FIRMA
Usługodawcy
Odbiorcy
Partnerzy
Współczesny hacker wykorzysta
powyższe cechy
Technologiczne
PwC
10
Możliwe
konsekwencje
cyberataku
PwC
11
Możliwe konsekwencje cyberataku # 1
Utrata danych
firmy
PwC
Utrata pieniędzy
Utrata danych
klientów/praco
wników
Przestój firmy
Utrata
wizerunku
firmy
12
Możliwe konsekwencje cyberataku # 2
Przechowalnia
danych – obcych
PwC
Zombie?
Zniszczone
oprogramowanie
i sprzęt
Zła prasa –
media
Szantaż firmy !!!
13
Jak się
zabezpieczyć?
„Jak zarządzić nieuniknionym?
Czy można przygotować się
na atak hackerski?
…czy?”
Jeśli chcesz pokoju, gotuj się
do wojny
PwC
Model infrastruktury IT przedsiębiorstwa
Monitorowanie
bezpieczeństwa
i zarządzanie
ryzykiem
Bezpieczeństwo CPD
Internet
IIS
IIS
Bezpieczeństwo
na styku sieci
TECHNOLOGIA
(SIEM, System
Obsługi
Incydentów)
LDAP
Centrum przetwarzania danych
Partnerzy
biznesowi
Styk z sieciami
zewnętrznymi
SOC (Zespół,
Procedury,
Technologia)
Oddziały
Urządzenia
mobilne
Bezpieczeństwo
urządzeń mobilnych
PwC
SQL
Sieć firmowa
Bezpieczeństwo
oddziałów
Bezpieczeństwo
stacji PC
15
Koncepcja monitorowania bezpieczeństwa IT
Standaryzacja mechanizmów bezpieczeństwa
Struktury Zarządcze
Moduł Raportowy (OnLine i OffLine)
Security Operations Center (SOC)
Technologia
SIEM
•
Sprawozdawczość zarządcza z obszaru
bezpieczeństwa
•
Spójność
płynny przepływ informacji pomiędzy wszystkimi obszarami
organizacji, dający możliwość efektywnego zarządzania
bezpieczeństwem
•
Skalowalność
funkcjonalność technologii umożliwia podłączanie źródeł
zdarzeń standardowych jak i dedykowanych oraz połączenia
obszarów bezpieczeństwa teleinformatycznego,
środowiskowego
i fizycznego
•
Mierzalność
możliwość kompleksowego pomiaru jakości działania całego
procesu
Kompetencje
Incident handling
SOC/Zespół
Zdarzenia
Reakcje
Infrastruktura IT
VPN
Antymalware
FW
IPS
Web Gateway
MDM
Dostęp uprzywilejowany
DLP
FW management
WAF/DAM
AV
IDM
Skaner podatności
DNS
DHCP
SYSTEMY IT (OS, DB, Aplikacje)
PwC
16
Zarządzanie kryzysowe
Przygotowanie
Doskonalenie
Incydent
Przywrócenie
Identyfikacja
Naprawienie
Follow up
Separacja
Analiza
Reakcja
PwC
17
Zarządzanie kryzysem (1/2)
Przygotowanie
•
•
1
Ustanowienie listy kontaktów:
Dział Prawny, Dział HR, Działem
Komunikacji, Doradca
Identyfikacja
•
Weryfikacja i potwierdzenie
istnienia incydentu.
•
Identyfikacja incydentu:
Zastosowanie środków
technicznych
-
•
PwC
2
Separacja
3
Poinformować kierownictwo
o charakterystyce zaistniałego
incydentu (potencjalnej skali wycieku
informacji)
Analiza (reakcja)
4
Przeprowadzenie analizy dostępnych
nośników, stacji roboczych logów etc.
Stworzenie binarnych kopii danych
Zgłoszeń wewnętrznych
i zewnętrznych (zewnętrzne
podmioty, klienci)
Potwierdzenie incydentu - analiza
dostępnych informacji
18
Zarządzanie kryzysem (2/2)
Przywrócenie (reakcja)
Przywrócenie komponentów infrastruktury do pierwotnego stanu,
usunięcie równocześnie luk pozwalających na ponowne zaistnienie incydentu
4
Doskonalenie (follow up)
5
Bazując na wnioskach z obsługi incydentu, przeprowadzić akcję uświadamiająca
pośród pracowników w celu ograniczenia ryzyka ponownego wystąpienia
incydentu
• Szkolić Zarząd i wszystkich pracowników
• Analizować, badać logi z narzędzi
• Wyznaczyć osobę i Zespół odpowiedzialny za kompleksowe badanie incydentu PR, IT, Compliance, Prawnik, Doradca
• Wysyłać dobre komunikaty do rynku i wewnętrzne
• Przeznaczać siły i środki, nie oszczędzać
• Być legalnym
• Określić zakres „klejnotów koronnych”
PwC
19
Dziękujemy!!!
Roman Skrzypczyński
tel. 519 504 918
[email protected]
This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the
information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy
or completeness of the information contained in this publication, and, to the extent permitted by law, PwC Polska sp. z o.o., its members, employees and agents do
not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information
contained in this publication or for any decision based on it.
PwC
© 2016 PwC Polska sp. z o.o. All rights reserved. In this document, ‘PwC’ refers to PwC Polska sp. z o.o. which is a member firm of PricewaterhouseCoopers
International Limited, each member firm of which is a separate legal entity.