Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC

Transkrypt

1 Konferencja organizowana w ramach projektu Implementacja i rozwój systemu informacyjnego publicznych służb zatrudnienia Bezpieczeństwo systemów informatycznych Radek Kaczorek, CISA, CIA, CISSP, CRISC Konferencja współfinansowana ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

2 Cyberprzestrzeń i zagrożenia dla bezpieczeństwa informacji. Jeśli znasz siebie i swego wroga, przetrwasz pomyślnie sto bitew. Jeśli nie poznasz swego wroga, lecz poznasz siebie, jedną bitwę wygrasz, a drugą przegrasz. Jeśli nie znasz ni siebie, ni wroga, każda potyczka będzie dla Ciebie zagrożeniem. Sun Tzu, Sztuka Wojny 2

3 Najnowsze trendy Symantec Polska znajduje się obecnie w czołówce najbardziej zagrożonych krajów w regionie Europy, Bliskiego Wschodu i Afryki, W ciągu minionego roku liczba szkodliwych działań ze strony hakerów zwiększyła się o ponad 80 proc., podczas gdy tylko o 20% ograniczone zostały luki w zabezpieczeniach sieci firmowych, Blisko 60% polskich firm ma do czynienia z atakami w cyberprzestrzeni. Deloitte 78% firm dostrzega zagrożenia związane z przekazywaniem danych stronom trzecim, 74% firm obawia się wykorzystania urządzeń mobilnych, 70% firm dostrzega problem braku świadomości zagrożeń wśród swoich pracowników, Ponad 80% zagrożeń w Internecie nosi znamiona działań o charakterze zorganizowanym. 3

4 Koszty braku nadzoru nad bezpieczeństwem informacji 30 września 2011 r. 2 osoby dokonały podmiany treści około 300 witryn samorządowych, W styczniu 2012 roku celem ataków stały się witryny internetowe Sejmu, Ministerstwa Kultury i Dziedzictwa Narodowego, Kancelarii Premiera Rady Ministrów i Ministerstwa Obrony Narodowej, Na przełomie stycznia i lutego 2013 roku zaatakowany został polski rejestr domen prowadzony przez NASK, w którym nagle dokonano 2,3 mln rezerwacji (>100% dotychczasowej liczby zarejestrowanych domen), Na przełomie marca i kwietnia 2013 roku przeprowadzono ataki DDoS na witryny Allegro, BRE Bank, mbank, Multibank, ING Bank Śląski, Oktawave, 15 kwietnia 2013 r. CERT Polska opublikował raport opisujący botnet nazwany plitfi ( ) Wyniki analizy wskazały, że zainfekowanych zostało co najmniej 11 tysięcy komputerów, z których 77% znajdowało się w Polsce. Botnet wykorzystywał metodę wstrzykiwania kodu do przeglądarki użytkownika, by wykraść pieniądze z jego konta. 4

5 Zagrożenia Nowe zagrożenia oraz rosnąca siła istniejących zagrożeń Wzrost zagrożeń dla aplikacji webowych Rosnąca popularność ataków wykorzystujących technologię w połączeniu z socjotechniką Wyraźny wzrost aktywności grupowej Crimeware Hacktywizm Wzrost zagrożeń dla nowych technologii VoIP Urządzenia mobilne Cloud computing daje dostęp do dużych mocy obliczeniowych 5

6 Podatności Nowe technologie i rosnący stopień wykorzystania istniejących technologii w biznesie Cloud computing, Praca zdalna, BYOD, Urządzenia mobilne: Zdalny dostęp do zasobów firmy, Kody QR, Elektroniczne portfele / NFC, Karty paypass. wiele innych. 6

7 Linia obrony Raport o stanie bezpieczeństwa cyberprzestrzeni RP, Rządowy Program Ochrony Cyberprzestrzeni RP na lata , Ćwiczenia Cyber Europe specjalistów z 29 państw członkowskich UE, Krajowe Ramy Interoperacyjności, Rosnąca rola CERTów (Computer Emergency Response Team). 7

8 Zarządzanie bezpieczeństwem Nowy profil ryzyka Podatności procesów i zasobów, Informatyzacja, Decentralizacja, Dostępność. Zagrożenia wewnętrzne i zewnętrzne. Pracownicy, Współpracownicy, Usługodawcy, Klienci, Inne osoby i organizacje posiadające motywację i środki. Budowanie odporności na ryzyko Ciągłe doskonalenie, Monitorowanie i wykrywanie incydentów, Korelacja i wnioskowanie, Usprawnienie podejścia. Odporność zasobów, Infrastruktura, Systemy informatyczne, Personel, Dostawcy usług. Odporność procesów zarządzania. Podniesienie poziomu dojrzałości procesów, Standaryzacja i certyfikacja. 8

9 Jak się przygotować? Siła międzynarodowych standardów: ISO IT Service Management System, ISO Information Security Management Systems, ISO Societal security Business continuity management systems, ISO Risk management Principles and guidelines. Regulacje wewnętrzne: Polityki, standardy, procedury, instrukcje. System zarządzania bezpieczeństwem informacji: Analiza ryzyka, Opracowanie odpowiedzi na ryzyko, Monitorowanie i ocena, Ciągłe doskonalenie. 9

10 Zarządzanie bezpieczeństwem informacji w urzędach pracy Przegląd zaleceń Polityka bezpieczeństwa informacji powinna obejmować wszystkie zasoby informacyjne urzędu i zapewnić ich ochronę zgodnie z wymaganiami. Zakres polityki bezpieczeństwa informacji powinien być zgodny z Rozporządzeniem Rady Ministrów z dnia z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. Nr 0, poz. 526), Zaleca się klasyfikację wszystkich zasobów informacyjnych ze względu na wymagania bezpieczeństwa, tak aby zapewnić informacjom ochronę adekwatną do potrzeb, Należy zidentyfikować ryzyka związane z bezpieczeństwem informacji oraz dotyczące dostępu do informacji przez strony trzecie, Należy rozważyć opracowanie i wdrożenie procedur dopuszczania urządzeń informatycznych do użytkowania, Należy zapewnić możliwość regularnej, niezależnej oceny procesu zarządzania bezpieczeństwem informacji i systemów informatycznych, zgodnie z Rozporządzeniem o KRI, 10

11 Zarządzanie bezpieczeństwem informacji w urzędach pracy Przegląd zaleceń Należy zadbać o prawidłowy podział obowiązków w obszarze zarządzania, utrzymania i rozwoju systemów informatycznych oraz nadzoru nad bezpieczeństwem informacji, Należy zapewnić pracownikom dostęp do informacji i wiedzy na temat bezpieczeństwa informacji, pozwalających na skuteczną ochronę przed zagrożeniami dla bezpieczeństwa przetwarzanych przez nich danych i wykorzystywanych technologii i narzędzi pracy, Sprzęt wykorzystywany poza siedzibą organizacji należy chronić w szczególny sposób. Zaleca się szyfrowanie dysków twardych na komputerach przenośnych oraz nośników zewnętrznych wykorzystywanych poza siedzibą, Informacje wrażliwe należy skutecznie usuwać lub bezpiecznie nadpisywać z wszelkiego rodzaju nośników informacji przekazywanych poza siedzibę, Zaleca się wprowadzenie procedury przechowywania kopii zapasowych poza siedzibą w celu uniknięcia ryzyka związanego z utratą ciągłości działania w związku z całkowitą utratą danych podstawowych, W celu wymiany informacji należy zawierać umowy o wymianie informacji pomiędzy urzędami a stronami zewnętrznymi, 11

12 Zarządzanie bezpieczeństwem informacji w urzędach pracy Przegląd zaleceń Należy ograniczyć do minimum, a jeśli to możliwe wyeliminować korzystanie ze skrzynek pocztowych na publicznych serwerach poczty. Rekomendowane jest wykorzystanie infrastruktury własnej tak aby informacje zawarte w wiadomościach elektronicznych były objęte ochroną zgodnie z obowiązująca Polityką bezpieczeństwa informacji, Należy tworzyć i przechowywać przez określony czas dzienniki audytu, które powinny rejestrować działania użytkowników i zdarzenia związane z bezpieczeństwem informacji dla ewentualnych postępowań wyjaśniających oraz monitorowania skuteczności kontroli dostępu, Zaleca się wdrożenie centralnego systemu logowania zdarzeń i incydentów, w celu określenia źródła informacji o incydentach, aby móc przeprowadzić analizę incydentów i ograniczyć wpływ incydentów na jednostkę, Należy prowadzić regularny przegląd rejestru incydentów w zakresie powtarzających się zdarzeń lub innych wniosków, które mogą usprawnić podejście do zarządzania systemami informatycznymi i bezpieczeństwem informacji, 12

13 Zarządzanie bezpieczeństwem informacji w urzędach pracy Przegląd zaleceń Należy opracować plany ciągłości działania i procedury awaryjne określające zasady ochrony kluczowych procesów realizowanych przez PUP przed zakłóceniami funkcjonowania, wynikającymi z czynników naturalnych, jak i niedostępności kluczowych zasobów, w tym systemów informatycznych wspierających procesy realizowane przez PUP, Należy włączyć do procesu monitorowania wymagań prawnych dla PUP obszar bezpieczeństwa informacji oraz systemów informatycznych wykorzystywanych przez jednostkę, Należy wprowadzić zasadę regularnych testów podatności systemów informatycznych na znane zagrożenia bezpieczeństwa, Należy zapewnić możliwość audytowania procesu zarządzania bezpieczeństwem informacji i systemów informatycznych przez audyt wewnętrzny lub zastosować inne mechanizmy niezależnej oceny ochrony zasobów jednostki, w tym samoocena w ramach kontroli zarządczej oraz audyt zewnętrzny. 13

14 Pytania i odpowiedzi Radek Kaczorek, CISA, CIA, CISSP, CRISK rkaczorek@immusec.com