BEZPIECZEŃSTWO W SIECI CYBER SECURITY WSPARCIE DLA PRZEDSIĘBIORSTW. Specjalizacja, Doradztwo, Profesjonalizm 2015 CUT Risk - All Rights Reserved

Transkrypt

1 Doradztwo & ubezpieczenia BEZPIECZEŃSTWO W SIECI CYBER SECURITY WSPARCIE DLA PRZEDSIĘBIORSTW Specjalizacja, Doradztwo, Profesjonalizm 2015 CUT Risk - All Rights Reserved

2 ZAGROŻENIA DLA BEZPIECZEŃSTWA W SIECI W ciągu ostatnich dziesięcioleci nastąpiła gwałtowna digitalizacja wszystkich dziedzin życia społecznego. Powszechne stosowanie komputerów, tabletów, smartphone, sieci teleinformatycznych we wszystkich obszarach życia społecznego to nie tylko korzyści, ale także sfera szkodliwego, a nawet przestępczego działania cyberprzestępców lub/i cyberterrorystów. Cyberprzestrzeń to przestrzeń przetwarzania i wymiany informacji, która usprawniając działanie organizacji, jednocześnie niesie dla nich zagrożenie. Wśród największych zagrożeń roku 2015 w cyberprzestrzeni wymienia się: Phising z wykorzystaniem i stron www. Ataki Ddos ukierunkowane na przedsiębiorców Zagrożenia dla Android Wyciek bazy danych zawierające dane osobowe, poufne Wycieki haseł kart kredytowych Ataki na organizacje Cyberataki, jako element gry politycznej i konfliktów Ataki Ddos na organy administracji publicznej Ataki na kluczowe elementy systemu finansowego Kradzieże wirtualnej waluty Zagrożenie dla sprzętu medycznego Gry online Serwisy społecznościowe i powszechny dostęp do Internetu, gier online, Botnety oparte o platformy mobilny (Android, Blackberry OS, ios) Cyberprzestępczość wykorzystywana w szpiegostwie gospodarczym Cyber terroryzm? Świadome kształtowanie odporności na cyberataki i zarządzanie bezpieczeństwem cyberprzestrzeni wykorzystywanej przez organizację, wymaga podjęcia szeregu działań o charakterze zarządczym, organizacyjnym, proceduralnym, prawnym, technicznym, technologicznym oraz edukacyjnym. Jak wskazano we wstępie do Rządowego programie ochrony cyberprzestrzeni RP na lata , w obliczu globalizacji, ochrona cyberprzestrzeni stała się jednym z podstawowych celów strategicznych w obszarze bezpieczeństwa każdego państwa. W czasie, gdy panuje swoboda przepływu osób, towarów, informacji i kapitału bezpieczeństwo demokratycznego państwa zależy od wypracowania mechanizmów pozwalających skutecznie zapobiegać i zwalczać zagrożenia dla bezpieczeństwa cyberprzestrzeni. Wychodząc naprzeciw nowym wyzwaniom, wspólnie z naszym partnerem strategicznym spółką Grey Wizard Sp. z o.o., stworzyliśmy wyjątkową usługę, stanowiącą połączenie audytu istniejących polis, rozwiązań umownych, transferu ryzyka do zakładów ubezpieczeń z doradztwem informatycznym w obszarze badania odporności sieci i zabezpieczania przed cyberatakami. PODMIANA STRON

3 AUDYT ISTNIEJĄCYCH POLIS Zarządzanie bezpieczeństwem cyberprzestrzeni wymaga podjęcia szeregu czynności, które dopiero wspólnie zagwarantują wprowadzenie oczekiwanego poziomu ochrony. Niewątpliwie rozwiązania ubezpieczeniowe stanowią istotny element zarządzania ryzykiem bezpieczeństwa finansowego przedsiębiorstw. Jednak skuteczność rozwiązań ubezpieczeniowych można oceniać dopiero łącznie ze współistnieniem innych metod zarządczych. Materializacja cyberataków wywołuje najczęściej negatywne konsekwencję nie tylko organizacji przedsiębiorcy, lecz również dotyka klientów, kontrahentów, udziałowców, akcjonariuszy, reprezentantów, a w konsekwencji może zagrozić bytowi przedsiębiorstwa. Kluczowymi zagadnieniami zarządzania ryzykiem w organizacji jest: + identyfikacja ryzyka + pomiar konsekwencji finansowych materializacji ryzyka + chęć zatrzymania ryzyka + wdrożenie metod poprawy bezpieczeństwa + decyzja o zakresie transferu ryzyka. Usługi doradcze oferowane przez CUT Risk stanowią doskonałe uzupełnienie oferty konsultantów z Grey Wizard. Audyt istniejących rozwiązań ubezpieczeniowych wykonany przez doradców z CUT Risk zapewni identyfikację obszarów nie objętych ochroną ubezpieczeniową, a stanowiących ryzyko wystąpienia negatywnych konsekwencji dla organizacji. Audyt przygotowany w formie pisemnego raportu, dostarczy dodatkowych informacji, niezbędnych do podjęcia decyzji o wyborze właściwej metody zarządzania bezpieczeństwem w cyberprzestrzeni. Celem audytu jest identyfikacja luk w istniejących rozwiązaniach ubezpieczeniowych między innymi: z punktu widzenia konsekwencji wystąpienia cyberataku w tym utraty dochodów w ubezpieczeniu sprzętu elektronicznego od szkód materialnych, w zabezpieczeniu organizacji przed utratą zysku, konsekwencjami wymuszeń, plagiatu, znieważenia, naruszeniem poufności, w zabezpieczeniu organizacji przed odpowiedzialnością za wyciek bazy danych np. zawierających dane osobowe, poufne, hasła kart kredytowych w zakresie odpowiedzialności cywilnej w związku z funkcjonowaniem w cyberprzestrzeni w związku nałożeniem kar, naruszeniem praw osób trzecich, plagiatem, odmową dostępu, w związku z naruszeniem wizerunku w związku z pokryciem kosztów ochrony reputacji w związku z kosztami obrony Audyt obejmuje wnioski i rekomendacje opracowane przez doradców CUT Risk na podstawie przeprowadzonych due diligence polis. Celem rekomendacji jest dostarczenie informacji, które mogą wpłynąć na przyjęty sposób zarządzania ryzykiem obecności w cyberprzestrzeni. Jednocześnie raport dostarczy wiedzę niezbędną do podjęcia decyzji o pozyskaniu na rynku finansowym optymalnych rozwiązań ubezpieczeniowych, dopasowanych do potrzeb Klienta pod względem kosztu i zakresu oczekiwanego transferu ryzyka. PODMIANA STRON

4 AUDYT BADANIA ODPORNOŚCI SIECI NA CYBERATAKI Zarządzanie bezpieczeństwem cyberprzestrzeni wymaga zdiagnozowania problemu, a przede wszystkim zbadania aktualnych zabezpieczeń aplikacji internetowej oraz infrastruktury sieciowej. W ramach współpracy ze specjalistami z Grey Wizard, CUT Risk oferuje Klientom dostęp do usługi testów sieci polegających na symulowaniu ataków według ustalonych scenariuszy. Specjaliści z Grey Wizard sprawdzają stan zabezpieczeń począwszy od warstwy sieciowej, a skończywszy na bezpieczeństwie aplikacji i polityce dostępu do danych. Dodatkowo Klient otrzymuje szczegółowy raport, w którym specjaliści naszego kontrahenta przedstawiają analizę wykrytych podatności, ocenę stosowanych zabezpieczeń, jaki i rekomendację dotyczącą poprawy bezpieczeństwa. Przed przystąpieniem do testów specjaliści z Grey Wizard każdorazowo uzyskują zgodę Klienta na dokonanie pozorowanego ataku, a zakres badania określają w umowie. Testy oferowane przez Grey Wizard: + wykrywanie podatności SQL injection + wykrywanie podatności XSS + wykrywanie podatności CSRF + weryfikacja poprawności mechanizmów autoryzacji i uwierzytelniania + sprawdzanie bezpieczeństwa i konfiguracji urządzeń sieciowych: firewall, switch, router, serwery proxy, serwery cachujące + weryfikację poprawności logiki aplikacji + weryfikację bezpieczeństwa zastosowanych mechanizmów szyfrujących + audyt kodu źródłowego + przeprowadzenie testów DDoS Zintegrowanie usług doradczych CUT Risk oraz Grey Wizard zapewnia unikalny zakres usług, który aktywnie wspiera klienta w procesie analizy, identyfikacji i zarządzania ryzykiem obecności w cyberprzestrzeni. PODMIANA STRON Grey Wizard działa, jako serwer pośredniczący (HTTP proxy) pomiędzy serwerami Klienta a użytkownikami, dzięki czemu Grey Wizard analizuje cały ruch w czasie rzeczywistym. Przy pomocy reguł, zaawansowanych algorytmów, bazy reputacji i wydajnych łączy szerokopasmowych chroni stronę Klienta przed wszystkimi rodzajami ataków.

5 ZARZĄDANIE KONTRAKTAMI Zarządzanie bezpieczeństwem obecności w cyberprzestrzeni oraz bezpieczeństwem finansowym organizacji to również wdrożenie odpowiednich procedur, regulaminów oraz postanowień kontraktowych. Usługi świadczone w cyberprzestrzeni, z uwagi na ciągły rozwój technologii informatycznej, związanej m.in. z używaniem Internetu oraz coraz bardziej zaawansowanym technologicznie sprzętem, wymagają ciągłej analizy regulacji prawnych, dostosowania i odpowiednich procedur. Kluczowymi zagadnieniami zarządzania kontraktami, w konsekwencji minimalizacją potencjalnej odpowiedzialności, są: + regulaminy lub ogólne warunki świadczenia usług + określenie SLA (service level agreement) + postanowienia umowne, w tym ograniczenia odpowiedzialności, zasady zmiany postanowień umowy + bezpieczeństwo danych, w tym dostęp do danych, ich ochrona + zasady świadczenia usług transgranicznych + ochrona praw autorskich i licencji + zasad odpowiedzialności za podwykonawców (korzystanie z outsourcingu) + wyłączenia odpowiedzialności za działanie osób trzecich, działania siły wyższej etc. Usługi doradcze oferowane przez CUT Risk oferują analizę zaawanasowana procedur, regulacji prawnych, regulaminów w oparciu o wywiady przeprowadzane z kluczowymi osobami w organizacji, badania ankietowe i udostępnione dokumenty. Alternatywą wywiadów, mogą być warsztaty prowadzone wśród kluczowych pracowników organizacji Klienta. Badanie nie stanowi porady prawnej, ani jej nie zastępuje. Służy poprawie stanu bezpieczeństwa kontraktowego poprzez ocenę zaawansowania procedur, częstotliwości wprowadzania zmian, sposobu nadzorowania zgodności z przepisami, wyznaczenia osób koordynujących proces w organizacji oraz procedur zarządzania kryzysowego. Rezultatem badania jest raport podsumowujący wyniki badania wraz z wnioskami. PODMIANA STRON

6 WSPARCIE WE WDROŻENIU ROZWIĄZAŃ UBEZPIECZENIOWYCH Zarządzanie bezpieczeństwem obecności w cyberprzestrzeni oraz bezpieczeństwem finansowym organizacji to również wdrożenie odpowiednich rozwiązań ubezpieczeniowych. Dokonane analizy pozwolą na wdrożenie odpowiednich rozwiązań ubezpieczeniowych zabezpieczających organizację przedsiębiorcy przed konsekwencjami cyberataku. Transfer zidentyfikowanych ryzyk może objąć straty własne przedsiębiorcy, jak i odpowiedzialności wobec osób trzecich za szkody, których doświadczą wskutek braku odpowiedniego poziomu zabezpieczenia przed cyberprzestępczością. Doradztwo specjalistów CUT Risk obejmuje: + opracowanie optymalnego zakresu transferu ryzyka + wspólne z Klientem określenie zakresu i kosztu transferu + negocjacje warunków merytorycznych i ekonomicznych z dostawcami usługi ubezpieczeniowej + analiza proponowanych rozwiązań, przygotowanie raportu wraz z rekomendacją najkorzystniejszego rozwiązania + połączenie rozwiązań ubezpieczeniowych z alternatywnymi metodami zwiększenia podatności na cyberataki + podjęcie decyzji przez Klienta + doprowadzenie do zawarcia umowy i wystawienia dokumentu potwierdzającego ochronę + aktywne współuczestniczenie w wykonaniu umowy, zarządzaniu cyber bezpieczeństwem + wsparcie merytoryczne, doradztwo na etapie zarządzania incydentem objętych wdrożoną ochroną ubezpieczeniową, formułowaniem roszczeniem i dochodzeniem roszczeń na etapie pozasądowym, + aktywna doradztwo przy ocenie umów, polis i innych wymagań kontrahentów Klienta. Pracujemy z ubezpieczycielami z rynku polskiego i londyńskiego. Nasi eksperci legitymują się doświadczeniem we współpracy z największymi w Polsce platformami E -commerce. W ubezpieczeniu CYBER może dojść do kumulacji strat z polisy majątkowej własnej i odpowiedzialności cywilnej. Jako przykładowy scenariusz zdarzenia można wskazać, odmowę dostępu do usługi, która spowoduje zakłócenia w działalności operacyjnej organizacji. Wystąpi szkoda majątkowa (np. koszty przywrócenia systemu i odtworzenia danych, wymiany sprzętu), a w dalszej konsekwencji dojdzie do szkody w majątku osoby trzeciej. Przyczyną zdarzenia był atak na portal aukcyjny, który doprowadził do zablokowania strony. Przedsiębiorstwo Klienta nie wdrożyło dostępnych rozwiązań technicznych i informatycznych, zabezpieczających przed atakiem DDos. PODMIANA STRON

7 KONTAKT Danuta E. Kowalik CUT Risk doradztwo & ubezpieczenia ul. Sienkiewicza 22, Poznań HACKING PHISHING ATTACK SPAM VIRUS CYBER RISK DATA LOSS CYBER HIJACKING INSIDER INFORMATION ANONYMOUS CYBER ATTACKS CYBER EXTORTION DISTRIBUTED DENIAL OF SERVICE BUSINESS INTERRUPTION KEYLOGGER MALWARE SPYWARE DATA THEFT CYBER CRIMINALS BACKDOOR DATA LOSS SOCIAL ENGINEERING Niniejszy materiał ma na celu przedstawienie zarysu problemu cyberprzestępczości. Opracowanie nie stanowi oferty w rozumieniu przepisów kodeksu cywilnego. Informacje zawarte w tym dokumencie nie mogą być kopiowane ani wykorzystywane w jakiejkolwiek formie bez zgody CUT Risk CUT Risk to zespół niezależnych ekspertów z różnych dziedzin z wieloletnim doświadczeniem. CUT Risk posiada zezwolenie Komisji Nadzoru Finansowego na prowadzenie działalności brokerskiego pośrednictwa ubezpieczeniowego. Integracja usług specjalistów z różnych branż w jednym współpracującym zespole zapewnia klientom rzetelną i profesjonalną poradę oraz analizę potrzeb. PODMIANA STRON