Roman Skrzypczyński (PwC)
Transkrypt
Roman Skrzypczyński (PwC)
www.pwc.com „Jak zarządzić nieuniknionym? Czy można przygotować się na atak hackerski?” październik 2016 Roman Skrzypczyński Ekspert ds. cyberprzestępczości PwC Polska PwC 2 Tu i teraz – nasza firma? PwC 3 Incydenty bezpieczeństwa – Polska i świat Atakowane sektory Finansowy 200 Łączna liczba wykrytych incydentów milionów 42.8 Energetyczny miliona 28.9 Technologiczny 22.7 miliona Ochrony zdrowia i medyczny 24.9 miliona miliona 9.4 3.4 miliona miliona Wszystkie !!! 2009 PwC 2010 2011 2012 2013 2014 2015 4 Główne źródła cyberataków 70% 70% 67% 41% 35% 29% Świat 2015 Polska 2015 19% pracownicy PwC 34% nieznany haker Przestępcy Obecni z grupy dostawcy zorganizowanej i wykonawcy pracownicy byli pracownicy firm nie prowadzi monitoringu zachowań pracowników Obecni dostawcy i wykonawcy 5 Kim jest cyberprzestępca? Źródła incydentów obecny pracownik 48% haker 30% były pracownik 22% 70% nadużyć zostało popełnionych przez obecnych (często nieświadomie) lub byłych pracowników PwC Pracownik to przede wszystkim medium dla przenoszenia złośliwego oprogramowania, obiekt ataku phishingowego i wykorzystującego socjotechnikę Partnerzy biznesowi 22% Usługodawcy/konsultanci /wykonawcy 17% Konkurencja 9% Terroryści 4% Przestępczość zorganizowana 4% 6 Z kim się mierzymy?… Przeciwnik Motywy Państwa Wpływ • Uzyskanie korzyści finansowej – teraz lub w przyszłości • • • • Dane osobowe Dane kartowe Informacje wrażliwe – zdrowie Systemy płatności (np. bankomaty) • Dotkliwe kary regulacyjne • Procesy sądowe i odszkodowania • Utrata reputacji • Wpływ na sytuację polityczną • Wpływ na cele biznesowe • Wpływ na politykę firmy • Tajemnice firmowe • Wrażliwe informacje biznesowe • Informacje nt. kluczowych osób • Zakłócenie działania biznesu • Utrata przewagi konkurencyjnej • Utrata zaufania klientów • Uzyskanie przewagi ekonomicznej, politycznej i/lub militarnej • • • • Tajemnice handlowe Wrażliwe informacje biznesowe Nowe technologie Infrastruktura krytyczna • Utrata przewagi konkurencyjnej • Zakłócenie działania infrastruktury krytycznej • Użycie przemocy lub strachu w celu uzyskania wpływu na sytuację polityczną • Widoczne cele użyteczności publicznej lub rządowej • Media Przestępcy Haktywiści Cele …a nawet Cyber Terroryści PwC • Destabilizacja i zniszczenie zasobów • Straty finansowe • Efekty prawne 7 Ile jest wart Twój kluczowy zasób? Ceny z Darknet Karty upominkowe, połowa ceny lub mniej, np. 1000 $ kart upominkowych linii lotniczych dostępnych do 600 $ Szczegóły dotyczące usług strumieniowej transmisji wideo: Netflix za $ 1, Hulu za $ 2,50, HBO za 4 $ Paypal i rachunki bankowe ok. 10 procent wartości Dane osobowe, np. zeskanowane wyciągi bankowe, ok. 60 $ Rachunki lojalnościowe linii lotniczej – 1 mln punktów ok. 300 $ Skradzione karty płatnicze 12 $ szt., (lepsza oferta jeśli kupuje karty w większej ilości) Sprzedaż pirackich materiałów, usług i hakerskiego oprogramowania. Nowy Microsoft Office z zero day exploit za 40 bitcoinów – ok. 23k $ PwC 8 Rozpoznanie: Struktury pracowniczej Danych osobowych Ról w firmie Powiązań Budowy systemu informatycznego Narzędzi zabezpieczających naszą sieć Przepływów finansowych PwC 9 Ekosystem biznesu to zarówno szanse jak i ryzyko Ekonomiczne Architektura oparta na zaufaniu i współpracy Konkurenci Wzrost zależności od technologii Ekologiczne Klienci Dostawcy Powszechność informacji i danych FIRMA Usługodawcy Odbiorcy Partnerzy Współczesny hacker wykorzysta powyższe cechy Technologiczne PwC 10 Możliwe konsekwencje cyberataku PwC 11 Możliwe konsekwencje cyberataku # 1 Utrata danych firmy PwC Utrata pieniędzy Utrata danych klientów/praco wników Przestój firmy Utrata wizerunku firmy 12 Możliwe konsekwencje cyberataku # 2 Przechowalnia danych – obcych PwC Zombie? Zniszczone oprogramowanie i sprzęt Zła prasa – media Szantaż firmy !!! 13 Jak się zabezpieczyć? „Jak zarządzić nieuniknionym? Czy można przygotować się na atak hackerski? …czy?” Jeśli chcesz pokoju, gotuj się do wojny PwC Model infrastruktury IT przedsiębiorstwa Monitorowanie bezpieczeństwa i zarządzanie ryzykiem Bezpieczeństwo CPD Internet IIS IIS Bezpieczeństwo na styku sieci TECHNOLOGIA (SIEM, System Obsługi Incydentów) LDAP Centrum przetwarzania danych Partnerzy biznesowi Styk z sieciami zewnętrznymi SOC (Zespół, Procedury, Technologia) Oddziały Urządzenia mobilne Bezpieczeństwo urządzeń mobilnych PwC SQL Sieć firmowa Bezpieczeństwo oddziałów Bezpieczeństwo stacji PC 15 Koncepcja monitorowania bezpieczeństwa IT Standaryzacja mechanizmów bezpieczeństwa Struktury Zarządcze Moduł Raportowy (OnLine i OffLine) Security Operations Center (SOC) Technologia SIEM • Sprawozdawczość zarządcza z obszaru bezpieczeństwa • Spójność płynny przepływ informacji pomiędzy wszystkimi obszarami organizacji, dający możliwość efektywnego zarządzania bezpieczeństwem • Skalowalność funkcjonalność technologii umożliwia podłączanie źródeł zdarzeń standardowych jak i dedykowanych oraz połączenia obszarów bezpieczeństwa teleinformatycznego, środowiskowego i fizycznego • Mierzalność możliwość kompleksowego pomiaru jakości działania całego procesu Kompetencje Incident handling SOC/Zespół Zdarzenia Reakcje Infrastruktura IT VPN Antymalware FW IPS Web Gateway MDM Dostęp uprzywilejowany DLP FW management WAF/DAM AV IDM Skaner podatności DNS DHCP SYSTEMY IT (OS, DB, Aplikacje) PwC 16 Zarządzanie kryzysowe Przygotowanie Doskonalenie Incydent Przywrócenie Identyfikacja Naprawienie Follow up Separacja Analiza Reakcja PwC 17 Zarządzanie kryzysem (1/2) Przygotowanie • • 1 Ustanowienie listy kontaktów: Dział Prawny, Dział HR, Działem Komunikacji, Doradca Identyfikacja • Weryfikacja i potwierdzenie istnienia incydentu. • Identyfikacja incydentu: Zastosowanie środków technicznych - • PwC 2 Separacja 3 Poinformować kierownictwo o charakterystyce zaistniałego incydentu (potencjalnej skali wycieku informacji) Analiza (reakcja) 4 Przeprowadzenie analizy dostępnych nośników, stacji roboczych logów etc. Stworzenie binarnych kopii danych Zgłoszeń wewnętrznych i zewnętrznych (zewnętrzne podmioty, klienci) Potwierdzenie incydentu - analiza dostępnych informacji 18 Zarządzanie kryzysem (2/2) Przywrócenie (reakcja) Przywrócenie komponentów infrastruktury do pierwotnego stanu, usunięcie równocześnie luk pozwalających na ponowne zaistnienie incydentu 4 Doskonalenie (follow up) 5 Bazując na wnioskach z obsługi incydentu, przeprowadzić akcję uświadamiająca pośród pracowników w celu ograniczenia ryzyka ponownego wystąpienia incydentu • Szkolić Zarząd i wszystkich pracowników • Analizować, badać logi z narzędzi • Wyznaczyć osobę i Zespół odpowiedzialny za kompleksowe badanie incydentu PR, IT, Compliance, Prawnik, Doradca • Wysyłać dobre komunikaty do rynku i wewnętrzne • Przeznaczać siły i środki, nie oszczędzać • Być legalnym • Określić zakres „klejnotów koronnych” PwC 19 Dziękujemy!!! Roman Skrzypczyński tel. 519 504 918 [email protected] This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PwC Polska sp. z o.o., its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. PwC © 2016 PwC Polska sp. z o.o. All rights reserved. In this document, ‘PwC’ refers to PwC Polska sp. z o.o. which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.