Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Transkrypt

1 Zagrożenia bezpieczeństwa informacji dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

2 Czym jest bezpieczeństwo informacji? Bezpieczeństwo informacji to: (teoretycznie) stan wolny od zagrożeń dla Zasobów Informacyjnych Organizacji (ZIO) (strategicznie) identyfikowanie zagrożeń dla ZIO i ograniczanie ryzyk związanych z tymi zagrożeniami (operacyjnie) instalowanie systemów, implementowanie metod (procesów, procedur) oraz podejmowanie działań, które zabezpieczają zasoby informacyjne wypadkowa bezpieczeństwa fizycznego prawnego osobowo-organizacyjnego teleinformatycznego

3 Zagrożenia Bezpieczeństwa Danych Medycznych Naruszenie poufności danych Naruszenie integralności danych Utrata dostępności danych

4 Zagrożenia dla bezpieczeństwa informacji możemy podzielić na: Wynikające z celowego działania Wynikające z przypadkowego działania Zagrożenia losowe

5 Kilka faktów o zagrożeniach bezpieczeństwa danych błędy ludzkie i usterki systemów były przyczyną prawie dwóch trzecich naruszenia danych na świecie w 2012 roku, podczas gdy najbardziej kosztowne były ataki złośliwe lub kryminalne: średnio 157 dolarów za zaburzony rekord danych 2013 Cost of a Data Breach: Global Analysis, Ponemon Institute i Symantec, 2013 najbardziej narażone na kradzież danych osobowych (93% skradzionych tożsamości) są firmy i organizacje z sektorów IT oraz Ochrony Zdrowia Internet Security Threat Report Volume 17, Symantec, 2012 większość poszkodowanych padła ofiarą naruszenia, ponieważ uznano że posiadają możliwe do wykorzystania (często łatwo) słabości, a nie dlatego, że zostały wcześniej zidentyfikowane do ataku; 79% ofiar było celami przypadkowymi, zaś 96% ataków nie było bardzo trudnych 2012 Data Breach Investigations Report (DBIR), Verizon Business, April 2012

6 Zagrożenia wynikające z celowego działania Podsłuch danych, przechwycenie połączenia Keyloggery (programy bądź urządzenia rejestrujące wszelkie wprowadzane do systemu informacje) Nieodpowiednie zabezpieczenia sieci (np.: sieci Wi-Fi o otwartym dostępie bądź zaszyfrowane słabym kluczem) Nieodpowiednie zabezpieczenie stanowiska pracy (ekran, klawiatura widoczne przez osoby postronne, np. przez okno)

7 Zagrożenia wynikające z celowego działania Podszywanie się Phishing (socjotechniki) podszywanie się pod administratora, np. telefonicznie wykorzystanie spreparowanych stron www Man in the middle (podszywanie się pod router, DNS)

8 Zagrożenia wynikające z celowego działania Programy szpiegujące i ułatwiające dostęp do systemu Trojany podszywając się pod przydatne lub ciekawe dla użytkownika aplikacje dodatkowo implementują niepożądane, ukryte przed użytkownikiem funkcje Backdoory luki w zabezpieczeniach systemu utworzone umyślnie w celu późniejszego wykorzystania Bootnet grupa komputerów zainfekowanych złośliwym oprogramowaniem (np. robakiem) pozostającym w ukryciu przed użytkownikiem i pozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami w ramach botnetu Fizyczna kradzież urządzenia

9 Zagrożenia wynikające z przypadkowego bądź nieświadomego działania użytkownika: Wynikające bezpośrednio z działań użytkownika Nieświadomość zagrożeń Nierzetelne wykonywanie powierzonych obowiązków Uprawnienia nieadekwatne do: zajmowanego stanowiska wykonywanych czynności Oprogramowanie z nieznanego źródła

10 Zagrożenia wynikające z przypadkowego bądź nieświadomego działania użytkownika: Będące następstwami innych działań, bądź ich niepodjęcia Brak opracowanych procedur wewnętrznych (ograniczanie dostępu, polityka haseł, kopie zapasowe) Niedostateczna znajomość przepisów, procedur lub ich nieprzestrzeganie Niedostateczna znajomość systemów / programów

11 Zagrożenia wynikające z przypadkowego bądź nieświadomego działania użytkownika: Niewłaściwa architektura oprogramowania Oszczędności (nielegalne oprogramowanie, brak zapasów sprzętowych, brak modernizacji sprzętu) Niedostateczne bezpieczeństwo fizyczne (np. nieograniczony dostęp do serwerowni)

12 Zagrożenia losowe: Zagrożenia naturalne: Warunki klimatyczne (np. klęski żywiołowe) Zagrożenia techniczne Niezapewnienie odpowiednich warunków środowiskowych (np. brak klimatyzacji w serwerowni) Stan techniczny systemu energetycznego i niezawodność dostaw energii

13 Podsumowanie Aby chronić wrażliwe informacje musimy: określić, które dane są dla nas ważne (chcemy je chronić) zidentyfikować możliwe zagrożenia zwymiarować ryzyka określić sposoby zabezpieczenia danych przed ryzykami uznanymi za istotne WDROŻYĆ OPRACOWANE METODY REGULARNIE WERYFIKOWAĆ ICH SKUTECZNOŚĆ

14 Podsumowanie c.d. Skuteczna ochrona bezpieczeństwa informacji POWINNA MIEĆ STRUKTURĘ WARSTWOWĄ tak aby : naruszenie bezpieczeństwa danych wymagało pokonania szeregu poziomów zabezpieczeń minimalizować rozmiar potencjalnych skutków naruszenia danego pojedynczego zabezpieczenia

15 Podsumowanie c.d. Skuteczna ochrona bezpieczeństwa informacji MUSI BYĆ PROCESEM CIĄGŁYM system zarządzania informacją się zmienia wciąż pojawiają się nowe zagrożenia każde pojedyncze zabezpieczenie da się obejść nowe zabezpieczenia to nowe metody obchodzenia tych zabezpieczeń

16 dr inż. Wojciech Winogrodzki kom tel