Security Information and Event Management Smartfony pracowników poważnym zagrożeniem

Transkrypt

1 NR 16/GRUDZIEŃ 2012 Przyszłość retencji danych w Polsce Prawo do bycia zapomnianym - fikcja czy nieuchronna przyszłość? Security Information and Event Management Smartfony pracowników poważnym zagrożeniem

2 Retencja danych Przyszłość retencji danych w Polsce Maciej Kołodziej Maciej Pajęcki O d ponad dwóch lat na konferencjach branżowych, w mediach, a także wśród specjalistów zajmujących się informatyką śledczą oraz bezpieczeństwem i prywatnością w Internecie trwa dyskusja na temat zmian w przepisach oraz praktykach postępowania w zakresie retencji, zatrzymywania, a przede wszystkim sposobu wykorzystywania i zasad udostępniania informacji przetwarzanych przez przedsiębiorców świadczących swoje usługi na rynkach tzw. nowych technologii oraz telekomunikacji. Temat zasługuje na uwagę, ponieważ niedoskonałość polskiego prawa prowadzi do sytuacji, w których podmioty upoważnione do wykrywania i ścigania przestępstw (policja, prokuratura, inne służby) mogą zostać pozbawione informacji, które są przydatne, a niejednokrotnie wręcz niezbędne w toku prowadzonych czynności dochodzeniowo-śledczych. Dyrektywa retencyjna nie spełnia standardów w zakresie prawa do prywatności i ochrony danych osobowych. 4. Rzecznik Praw Obywatelskich wnioskował w sierpniu 2011r. do Trybunału Konstytucyjnego o uznanie przepisów dotyczących pozyskiwania przez służby Poniżej przedstawiono kilka znaczących faktów dotyczących regulacji retencyjnych: 1. W 2011 roku powstał Raport dotyczący retencji danych telekomunikacyjnych opracowany przez sekretarza stanu ds. bezpieczeństwa w Kancelarii Premiera Jacka Cichockiego. Zaproponowano w nim wprowadzenie regulacji ograniczających ingerencję organów państwowych w prywatność obywateli oraz wzmacniających mechanizmy kontroli nad służbami specjalnymi w kontekście prac nad zmianą przepisów dotyczących dostępu do danych telekomunikacyjnych. Przedstawiono też podsumowanie zasad retencji danych obowiązujących w Europie, z którego wynika że polskie regulacje należą do jednych z najbardziej rozbudowanych i niedoprecyzowanych. 2. Generalny Inspektor Ochrony Danych Osobowych wielokrotnie zgłaszał zastrzeżenia dotyczące sposobu i zakresu przetwarzania danych osobowych w celach retencyjnych. 3. Europejski Inspektor Danych Osobowych wydał opinię mówiącą, że unijna informacji objętych tajemnicą komunikowania się za niezgodne z Konstytucją RP oraz z Europejską Konwencją o Ochronie Praw Człowieka i Podstawowych Wolności, ponieważ przepisy te nie regulują w sposób precyzyjny celu gromadzenia danych, gdyż odwołują się jedynie do zakresu zadań poszczególnych służb bądź ogólnego stwierdzenia, iż dane te są pozyskiwanie w celu zapobiegania lub wykrywania przestępstw oraz nie wskazują kategorii osób, w stosunku do których niezbędne jest respektowanie ich tajemnicy zawodowej. Dodatkowo warunkiem uzyskania dostępu do danych nie jest wyczerpanie innych, mniej ingerujących w sferę praw lub wolności obywatelskich, możliwości pozyskania niezbędnych informacji, dziedzina dotycząca pozyskiwania w tym trybie danych nie podlega żadnej zewnętrznej formie kontroli, a istotna część danych gromadzonych przez służby nie podlega zniszczeniu także wtedy, gdy dane te okazały się nieprzydatne z punktu widzenia realizowanych zadań. W kwietniu 2012r. Rzecznik Praw Oby- watelskich skierował do Trybunału Konstytucyjnego dwa kolejne wnioski, w których wskazuje na nadmierną ingerencję służb w prywatność obywateli. Dotyczyły one: zgodności z Konstytucją zasady działania Krajowego Systemu Informacji Policji ponieważ brak kryteriów oceny przydatności danych oraz brak procedur uprawniających obywatela o sprostowanie bądź usunięcie informacji oraz zakwestionowano uprawnienia Służby Celnej w dostępie do danych telekomunikacyjnych oraz zasad ich niszczenia. 5. Prokurator Generalny podziela stanowisko Rzecznika Praw Obywatelskich. 6. Organizacje pozarządowe wnioskują o wprowadzenie istotnych zmian w zakresie czasu i rodzaju przechowywanych informacji, wskazanie i ograniczenie ich kategorii, ustanowienie obowiązku informacyjnego w stosunku do osób które podlegają kontroli oraz zmniejszenie dopuszczalności sięgania po informacje tylko dla wykrywania poważnych przestępstw. 7. Przedsiębiorcy wielokrotnie wskazywali na dodatkowe obciążenie finansowe i organizacyjne, które spowodowane są przechowywaniem i przetwarzaniem znaczącej ilości, nieprzydatnych zazwyczaj dla bieżącego prowadzenia biznesu, informacji o charakterze retencyjnym. Często zgłaszane są wnioski o uregulowanie zasad i wprowadzenie, wzorem innych krajów, regulacji w zakresie możliwości żądania od wnioskodawców odpłatności za przygotowanie i udostępnienie informacji. Przedsiębiorcy proponują też ustanowienie preferencji lub ułatwień w prowadzeniu działalności gospodarczej dla podmiotów, które na podstawie własnych decyzji i na własny koszt przechowują i udostępniają informacje retencyjne. NR 16 GRUDZIEŃ 2012

3 Retencja danych Podobnych przykładów można podać więcej, a wyłania się z nich obraz niepewności prawnej oraz wątpliwości dotyczących zasadności i celowości przechowywania informacji z przeznaczeniem dla późniejszego wykorzystania ich do czynności dochodzeniowo-śledczych. Mając nadzieję że temat ten zostanie uporządkowany w niniejszym artykule przedstawiony zostanie aktualny stan prawny oraz praktyka związana z retencją danych u przedsiębiorców internetowych. Retencja danych ogólnie oraz rodzaje danych jej podlegających zostały ujęte w zapisach Art.2 unijnej Dyrektywy 2002/58/WE (prywatność, dane osobowe i komunikacja elektroniczna). Definiuje ona: dane o ruchu (traffic data) czyli wszelkie dane przetwarzane do celów przekazywania komunikatu w sieci łączności elektronicznej lub naliczania opłat za te usługi, dane dotyczące lokalizacji (location data) czyli wszelkie dane przetwarzane w sieci łączności elektronicznej wskazujące położenie geograficzne terminala użytkownika publicznych usług łączności, z którymi korespondują definicje podane w polskich przepisach: art.18 ust.5 Ustawy o Świadczeniu Usług Drogą Elektroniczną - dane eksploatacyjne czyli dane charakteryzujące sposób korzystania przez usługobiorcę z usługi świadczonej drogą elektroniczną, w tym dane osobowe usługobiorcy, identyfikujące zakończenie sieci telekomunikacyjnej lub system teleinformatyczny, informacje o czasie i fakcie każdorazowego skorzystania z usługi, art.159 ust.3 Ustawy Prawo Telekomunikacyjne jako dane transmisyjne czyli dane przetwarzane dla celów przekazywania komunikatów w sieciach telekomunikacyjnych lub naliczania opłat za usługi telekomunikacyjne, w tym dane lokalizacyjne, które oznaczają wszelkie dane przetwarzane w sieci telekomunikacyjnej wskazujące położenie geograficzne urządzenia końcowego użytkownika publicznie dostępnych usług telekomunikacyjnych. Należy podkreślić, że kategoria danych eksploatacyjnych opisana w art.18 ust.5 Ustawy o Świadczeniu Usług Drogą Elektroniczną traktowana jest jako dane osobowe, co implikuje konieczność ochrony tych danych zgodnie z zasadami wynikającymi z Ustawy o Ochronie Danych Osobowych oraz z Rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, czyli w szczególności należy przechowywać informacje o źródle i czasie pozyskania danych, zmianach oraz sposobie ochrony przetwarzania tych danych. Ustawa o Świadczeniu Usług Drogą Elektroniczną nie przewiduje obowiązku przechowywania przez określony czas danych eksploatacyjnych, a wręcz w art.19 ust.1 zakazuje przetwarzania danych osobowych usługobiorcy po zakończeniu korzystania z usługi. Przewiduje jednak od tej zasady wyjątki i zezwala na przetwarzanie danych w zakresie niezbędnym do rozliczeń finansowych (art.19 ust.2), w celach dowodowych, gdy usługobiorca działał bezprawnie (art.19 ust.3 w związku z art.21 ust.1) lub gdy istnieje ku temu podstawa (także nakaz) w odrębnej ustawie (art.19 ust.4). Ustawa Prawo Telekomunikacyjne w art.180c określa dane dotyczące abonentów i użytkowników końcowych wskazując dane niezbędne do ustalenia zakończenia sieci, telekomunikacyjnego urządzenia końcowego, użytkownika końcowego: inicjującego połączenie, do którego kierowane jest połączenie oraz dla określenia: daty i godziny połączenia oraz czasu jego trwania, rodzaju połączenia, lokalizacji telekomunikacyjnego urządzenia końcowego. Ustawa zalicza do usług telekomunikacyjnych przekazywanie poczty elektronicznej, a nie usługę poczty elektronicznej (ponieważ usługa telekomunikacyjna to usługa polegająca głównie na przekazywaniu sygnałów w sieci telekomunikacyjnej). Taka kwalifikacja ma kluczowe znaczenie dla przedsiębiorców, którzy świadczą usługi poczty w Internecie, ponieważ nie są zobowiązani do retencji danych. W piśmiennictwie oraz przepisach zdefiniowane zostały cztery kategorie danych,

4 Retencja danych które podlegają przetwarzaniu, a część z nich jest zachowywana w ramach retencji: Dane osobowe i profilowe (personal data) - informacje na temat kont użytkowników, danych i ich zmian, powiązań między kontami i usługami. Mogą podlegać częściowej retencji. Dane zawierające treść (content!) - wszelkie informacje tekstowe, także te które informują o parametrach używanych serwisów (np. adresy URL, wersjonowanie serwisów, pliki cookie, nagłówki protokołów transmisyjnych, itp.). Zazwyczaj nie są objęte retencją, ze względu na rozmiar, ulotność i modyfikowalność oraz przepisy je chroniące (np. tajemnica korespondencji). Informacje o ruchu (traffic) - logi serwerów i urządzeń transmisyjnych, dane adresowe kierujące ruchem w protokołach transmisyjnych warstw powyżej 4 modelu OSI-ISO (np. pocztowych, www i usług sieciowych). Podlegają retencji w zakresie wynikającym z przepisów lub samoregulacji. Informacje o dostępie (access) - adresacja MAC, IP, TCP/UDP i innych warstw 1 3 modelu OSI-ISO dla ruchu lokalnego oraz logi mechanizmów autentykacji i autoryzacji użytkowników. Informacje te mają znaczenie lokalne dla poszczególnych systemów teleinformatycznych i są częściowo przechowywane, najczęściej w celach diagnostycznych i dokumentacyjnych. Obowiązujące przepisy wskazują też na cztery kategorie przedsiębiorców przetwarzających dane: Operator / Dostawca usług telekomunikacyjnych czyli przedsiębiorca telekomunikacyjny, uprawniony do świadczenia usług telekomunikacyjnych, Dostawca usług poczty elektronicznej, który świadczy usługę poczty elektronicznej, nie uczestniczący w jej transmitowaniu (z wyjątkiem automatycznego i krótkotrwałego, pośredniego przechowywania transmitowanych danych), Dostawca usługi hostingu, który nie przekazują sygnałów w sieci telekomunikacyjnej, a jedynie przechowuje dane dostarczone przez usługobiorców, Przedsiębiorca świadczący usługi drogą elektroniczną, którego aktywność polega, zgodnie z art.2 ust.2 Ustawy o Świadczeniu Usług Drogą Elektroniczną, na wysyłaniu i odbieraniu danych za pomocą systemów teleinformatycznych do/z sieci telekomunikacyjnej. Tylko przedsiębiorcy pierwszej kategorii, czyli Operatorzy i Dostawcy usług telekomunikacyjnych, zobowiązani są, na podstawie ustawy Prawo Telekomunikacyjne, do dwuletniej (rocznej - po zmianie przepisów które właśnie następują) retencji danych dotyczących świadczonych usług. Dla pozostałych kategorii brak jest obowiązku retencji danych. Często jednak, w drodze samoregulacji, przedsiębiorcy ci przechowują dane przynajmniej przez okres 3 miesięcy, lub definiują dogodne dla siebie okresy retencyjne wynikające ze stosowanej technologii lub innych potrzeb własnych albo na rzecz swoich klientów. Ciąg dalszy artykułu w następnym numerze. Maciej Kołodziej jest Administratorem Bezpieczeństwa Informacji w portalu nk.pl. Wcześniej przez 9 lat związany z Onet.pl gdzie pełnił m.in. funkcję Dyrektora Działu Bezpieczeństwa, CSO i ABI. Praktyk w zakresie ochrony danych osobowych oraz audytor Systemów Zarządzania Bezpieczeństwem Informacji. Członek SABI i SIIŚ. Maciej Pajęcki - jest Dyrektorem Działu Bezpieczeństwa spółki Nasza Klasa, kieruje pracami zespołu, do którego obowiązków należy współpraca z: policją, specjalistami ds. przestępczości komputerowej, organami ścigania. Przez 6 lat był związany z portalem aukcyjnym Allegro. Pomyśl o rozwoju zawodowym w 2013 roku NR 16 GRUDZIEŃ 2012

5 Smartfony pracowników poważnym zagrożeniem Zbigniew Engiel Bit9, amerykańska firma zajmująca się bezpieczeństwem IT, opublikowała wyniki analizy ponad aplikacji dostępnych w Google Play. Wynika z nich, że prawie 72% aplikacji żąda od użytkownika przynajmniej jednej zgody wysokiego ryzyka. 25% z nich uznano za podejrzane. Raport Pausing Google Play powstał w oparciu o prace analityczne przeprowadzone w sierpniu i wrześniu bieżącego roku. Aplikacje pytają m.in. o zgodę na dostęp do danych lokalizacyjnych (42%), do połączeń i numerów telefonów (31%), do informacji osobistych - takich jak poczta i kontakty (26%). Aż 9% może narazić na wydanie pieniędzy bez wiedzy użytkownika. 1% z nich wymaga dostępu do informacji o koncie użytkownika. Szefowie działów bezpieczeństwa IT, a prywatne smartfony Analitycy Bit9 przeprowadzili również ankietę wśród decydentów IT, którzy łącznie odpowiadają za pracowników. Wynika z niej, że pomimo świadomości, iż smartfony mogą być źródłem zagrożenia, aż 98% z nich zezwala na używanie prywatnych urządzeń do obsługi służbowej poczty . 85% pozwala na współdzielenie poprzez prywatne urządzenie kalendarza i harmonogramów prac, a 71% zezwala na dostęp smartfonów do firmowej sieci. Smartfony luką w systemie bezpieczeństwa? Jak twierdzą specjaliści z laboratorium informatyki śledczej Mediarecovery W dzisiejszym świecie prywatne smartfony, nad których bezpieczeństwem nie czuwa dział IT, stanowią prawdziwy problem. Przetwarzanie firmowych danych na prywatnych urządzeniach powoduje, że organizacja nie ma kontroli nad ich przepływem. Stąd już tylko krok do wycieku informacji i zaburzenia ciągłości prowadzonego biznesu. Nie dla prywatnych smartfonów w firmie? Inżynierowie z Mediarecovery twierdzą, że Najprostszym rozwiązaniem byłby całkowity zakaz korzystania z zasobów informacyjnych firmy za pośrednictwem prywatnych urządzeń. Wówczas dział IT mógłby zachować kontrolę na przepływem danych i ich bezpieczeństwem. Każdy wyłom w tej zasadzie skutkować będzie zmniejszeniem poziomu bezpieczeństwa - dodaje. Służbowy smartfon dla każdego! Innym rozwiązaniem byłoby wyposażenie pracowników w smarfony będące własnością firmy. Wówczas dział IT nie miałby problemu z zapewnieniem bezpieczeństwa danych, mogąc skorzystać chociażby z McAfee Enterprise Mobility Management, czy MobileIron Mobile Device Management. Rozwiązania tego typu pozwalają zapewnić podobny poziom bezpieczeństwa danych, jaki jest możliwy w przypadku komputerów, czy laptopów - podsumowują przedstawiciele laboratorium informatyki śledczej Mediarecovery.

6 Prawo i technologia Prawo do bycia zapomnianym fikcja czy nieuchronna przyszłość? Jakub Ślązak Liczba osób, które nie posiadają konta w którymkolwiek z internetowych portali społecznościowych sukcesywnie maleje. Początkowo, założenie konta na Facebook u, czy Naszej Klasie (obecnie NK) podyktowane było chęcią nawiązania kontaktu z dawnymi znajomymi, obecnie to również doskonały środek komunikacji oraz okno na świat. Nie tylko coraz łatwiej nawiązujemy znajomości, lecz także coraz chętniej upubliczniamy wszelkie informacje o Nas samych, nie licząc się z konsekwencjami takich działań. Niewiele osób zdaje sobie sprawę, iż wszystko co raz znajdzie się w sieci na zawsze w niej pozostaje, nie mamy bowiem wpływu na to, czy ktoś nie powieli opublikowanych przez Nas materiałów. Przyjmijmy sytuację dosyć powszechną - dana osoba co tydzień wrzuca na swoje Facebook owe konto, zdjęcia z ubiegłonocnej zabawy, które niekoniecznie, przedstawiają ją w dobrym świetle, czasem wręcz balansując na granicy dobrego smaku lub prawa. W okresie studiów materiały takie, mogą wydawać się niegroźne, a często wręcz dobrze widziane w środowisku znajomych. Sytuacja diametralnie zmienia się, gdy osoba ta kończy studia i poszukuje pracy, bądź wykonuje zawód zaufania publicznego. W takim przypadku, informacje z przed kilkunastu lat mogą zaważyć na dalszej karierze zawodowej oraz życiu osobistym. Innymi słowy to co kiedyś niegroźne, może stać się barierą hamującą dalszy rozwój człowieka. Weźmy przypadek bardziej dosadny. Dochodzi do brutalnego morderstwa znanego aktora, sprawcy zostają schwytani, a w wyniku procesu skazani na wieloletnią karę pozbawienia wolności. Sprawa zyskuje medialny rozgłos, a nazwiska sprawców (łącznie z ich wizerunkami) umieszczone zostają w najpopularniejszej z encyklopedii, jako powiązane z nazwiskiem ofiary. Mija kilkanaście lat, osadzeni opuszczają zakład karny. Z czasem wyrok ulega zatarciu. Teoretycznie osoby te mają szansę wrócić do społeczeństwa i od nowa starać się poukładać sobie życie. Z uwagi jednakże na powszechnie dostępną informację o popełnionej przed laty zbrodni, powrót do społeczeństwa okazuje się niemożliwy. Historia opisana powyżej wydarzyła się naprawdę. Do dzisiaj, wpisując w dowolnej wyszukiwarce hasło Walter Sedlmayr trafiamy na opis kariery zawodowej, tego popularnego niegdyś, niemieckiego aktora. Bez problemu znajdujemy również informację o procesie jego zabójców, włącznie z ich danymi osobowymi. Wolfgang Werlé oraz Manfred Lauber, bo o nich mowa, przez lata toczyli walkę o usunięcie tych danych z Wikipedii. Skutkiem tych działań informacje faktycznie zniknęły, jednakże wyłącznie z wydania niemieckojęzycznego. Przykłady można mnożyć, konkluzja jaka nasuwa się po ich analizie pozostaje natomiast niezmienna usunięcie informacji wprowadzonych niegdyś do sieci jest obecnie niemożliwe. Nawet jeśli usuniemy je z jednego portalu, nie możemy wykluczyć, że pojawią się one na zupełnie innym, często bez Naszej wiedzy. Osoba, której informacje dotyczą, pozbawiona jest możliwości ich kontroli, a w konsekwencji ochrony prawa do prywatności i pozostałych swobód obywatelskich. Problem już nabrał na znaczeniu, a stanie się dopiero języczkiem uwagi, kiedy pokolenie obecnych nastolatków wejdzie na rynek pracy. Sprawę rozwiązałoby uchwalenie norm regulujących tzw. prawo do bycia zapomnianym, będące niejako odpowiednikiem wskazanej powyżej instytucji zatarcia skazania. Według stanu na dzień dzisiejszy, w żadnym z Państw normy takie nie funkcjonują. Nie istnieją także techniczne narzędzia, aby prawo to realizować. Na szczególną uwagę zasługuje więc przygotowywany w ramach Unii Europejskiej projekt zmian do Dyrektywy w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Propozycja przedstawiona przez unijnych polityków jest niewątpliwie przełomowa, szczególnie w kontekście dotychczasowego podejścia do przepływu informacji. Zasadza się ona na słusznym założeniu, iż osoba, której określone dane dotyczą, powinna mieć znacznie większy wpływ na ich przetwarzanie. Sposób w jaki to prawo ma być realizowane nie jest natomiast równie jasny co sama idea. Przykładowo, umieszczając zdjęcie na Facebook u to właśnie ten portal ma być odpowiedzialny za dalsze losy publikacji. Jeśli więc postanowimy zdjęcie usunąć z Naszego profilu, Facebook będzie musiał uczynić to również ze wszystkich stron, na które zdjęcie to zostało skopiowane. Nie jestem przekonany czy założenie powyższe jest w ogóle do zrealizowania, a jeśli tak to czy nie będzie pociągać za sobą niewspółmiernie wysokich kosztów. Kolejnym problemem pozostaje fakt, iż akty prawne uchwalane w ramach Unii Europejskiej obejmują wyłącznie Państwa leżące w obrębie Wspólnoty. W dalszym ciągu do rozwiązania pozostanie więc sytuacja, w której określone informacje znajdują się na serwerach położonych poza Europą. Ogólnoświatowe ujednolicenie prawa wydaje się w tej materii całkowicie niemożliwe. Mając na uwadze powyższe, zasadnym jest przyjęcie, iż do czasu przedstawienia finalnej wersji proponowanych zmian pozostaje Nam wyłącznie liczyć, że przystawać będą one do rzeczywistości i nie pozostaną całkowitą abstrakcją. Autor jest aplikantem radcowskim w Kancelarii Adwokatów i Radców Prawnych Ślązak, Zapiór i Wspólnicy, Spółka Komandytowa w Katowicach NR 16 GRUDZIEŃ 2012

7 SIEM Security Information and Event Management Adrian Wróbel SIEM czyli Security Information and Event Management to platforma, które gromadzi w jednym, centralnym miejscu logi oraz pomaga w pozyskaniu z nich istotnych informacji dla funkcjonowania organizacji jako całości. Logi gromadzone są z niemal dowolnych źródeł sieć, systemy bezpieczeństwa (firewall, IDS/IPS), aplikacje, bazy danych. Do samego składowania logów producenci nie rzadko wykorzystują dedykowane bazy danych między innymi po to, aby zapewnić do nich jak najszybszy dostęp. W każdej organizacji wiele urządzeń czy aplikacji generuje w niemal każdej chwili tysiące a nierzadko setki tysięcy logów. Zapanowanie nad ogromem informacji, nawet gdy uda się je zebrać w jedno miejsce jest bardzo trudne a znalezienie interesującej nas informacji graniczy z cudem. W praktyce więc do logów zagląda się sporadycznie i głównie wtedy, gdy coś się wydarzy. Reagowanie na bieżące incydenty i zapobieganie nim bez odpowiedniej pomocy, w postaci narzędzia informatycznego jest niemożliwe. Skuteczne zarządzanie i zapewnienie bezpieczeństwa w organizacji opiera się na kilku filarach. Po pierwsze konieczne jest aby połączyć w czasie rzeczywistym zdarzenia z konkretnymi danymi napływającymi z całości infrastruktury fizycznej oraz wirtualnej. Sam proces gromadzenia logów jest niezwykle ważny, ale kluczowe jest również aby określić, które zdarzenia się istotne z punktu widzenia bezpieczeństwa. Poprzez tzw. mechanizmy korelacyjne pozwala to na zawężenie liczby zdarzeń tylko do tych, które powinny być badane. Po drugie niezwykle istotna jest integracja z już posiadanymi technologiami bezpieczeństwa firewall, systemy IDS/IPS i innych. Wykorzystując korelację można w przejrzysty sposób sprawdzić i powiązać dane zdarzenie z reakcją takiego systemu. Z punktu widzenia zgodności, informacje te mogą być wykorzystane do sporządzenia raportów potwierdzających zgodność z przepisami, takimi jak GLBA, HIPAA, PCI, i wielu innych, w tym ścieżek audytu wskazując, kiedy raporty były oglądane i przez kogo. Z perspektywy operacyjnej bezpieczeństwa, informacje te mogą być wykorzystane do stworzenia zamkniętej pętli procesu obsługi incydentów, który w czasie rzeczywistym, alarmuje o naruszeniach polityki i o samych zagrożeniach. Dodatkowym elementem jest możliwość monitorowania aktywności całej infrastruktury. Po umieszczeniu w sieci system określa bazową aktywność, która jest typowy dla organizacji i poruszających się w jej obrębie użytkowników. Dostajemy w rezultacie powiadomienia, gdy zdarzenie są poza normą, np. o kilku nieudanych próbach logowania do serwera finansowego. Kluczowym elementem całego rozwiązania jest możliwość przechowywania i utrzymania dużej ilości danych w zakresie bezpieczeństwa, które są zbierane. W tym celu system jest zintegrowany z systemami pamięci masowej aby efektywnie przechowywać i zarządzać informacją w całym jego cyklu życia. Autor jest konsultantem Mediarecovery specjalizującym się w doradztwie w zakresie systemów bezpieczeństwa danych i reakcji na incydenty. Adres redakcji Mediarecovery Katowice, ul. Piotrowicka 61 Tel , fax redakcja@mediarecovery.pl Redakcja Zbigniew Engiel (red. nacz.), Przemysław Krejza Skład, łamanie, grafika: Marcin Wojtera Reklama: Zbigniew Engiel Wydawca Media Sp. z o.o Katowice, ul. Piotrowicka 61 Tel , fax biuro@mediarecovery.pl Redakcja i Wydawca nie zwracają tekstów nie zamówionych. Redakcja zastrzega sobie prawo redagowania i skracania tekstów. Redakcja nie odpowiada za treść zamieszczanych ogłoszeń.

8 w skrócie EnCase Forensic 7.5 Jak informuje Guidance Software nowa wersja EnCase Forensic w wersji 7.5 jest do dziewięciu razy szybsza w działaniu w stosunku do poprzednich wydań. Producentowi udało się znacznie poprawić czas analizy danych bez względu na ich wielkość. Jest to również najszybszy produkt na rynku. Takie wyniki osiągnięto dzięki automatyzacji wielu działań, priorytezacji i możliwości zaprzestania dalszej analizy w przypadku kiedy w pierwszych wynikach pojawiły się interesujące śledczych dane. USA kontra Francja w cyberprzestrzeni? Jedna z francuskich gazet poinformowała, że według zdobytych informacji pod koniec prezydentury Sarkozego doszło do spersonalizowanego ataku na bliskich współpracowników byłego prezydenta. Do ataku użyto szerokiego spektrum narzędzi. Najpierw namierzono ich na Facebook aby potem zwabić ich do spreparowanej sieci łudząco podobnej do sieci Pałacu Elizejskiego. W ten sposób zdobyto dane dostępowe do prawdziwej sieci. Dzięki nim zalogowano się do komputerów Pałacu i zainfekowano je szkodliwym oprogramowaniem przypominającym Flame. Według gazety udało się w ten sposób zdobyć wiele istotnych informacji. Oficjalnie, zarówno Francja, jak i USA zaprzeczyły rewelacjom gazety. Aresztowani za wpisy na Facebook Dwóch hindusów zostało aresztowanych w środku nocy za opublikowanie na swoich profilach w serwisie Facebook, wpisów krytycznych wobec polityków rządzącej partii. To nie pierwszy przypadek tego typu. Jak donosi Dziennik Internautów niewiele wcześniej aresztowano kobietę, która w tym samym serwisie krytykowała zamknięcie sklepów po śmierci założyciela partii Armia Śiwy. Jej znajomy miał podobne kłopoty bo polubił jej wpis. gateprotect z nowym filtrem aplikacji Nowa wersja oprogramowania wykorzystywanego w urządzeniach UTM gate- Protect zawiera filtr aplikacji o rozszerzonej funkcjonalności. Po raz pierwszy filtr aplikacji jest zintegrowanym dodatkiem zabezpieczeń sieciowych. Klienci zyskują rozwiązanie dzięki któremu poradzą sobie ze zmiennymi warunkami oraz przyszłymi wyzwaniami bezpieczeństwa danych. Ta aktualizacja jest odpowiedzią gateprotect na zmianę zasad zarządzania ryzykiem bezpieczeństwa w sieciach IT. Dziś, inaczej niż jeszcze kilka lat temu, nie wystarcza już filtrowanie danych na podstawie portów i protokołów oraz blokowanie poszczególnych stron mówi Stephen Ziegler, CTO gateprotect, tłumacząc potrzebę wprowadzenia filtra aplikacji. Nowe generacje zapór sieciowych muszą teraz zachowywać ściślejszą kontrolę na pakietami danych oraz informacjami w nich zapisanymi. NR 16 GRUDZIEŃ 2012