Monitoring pracowników w ujęciu informatyki śledczej

HTML
DOWNLOAD

Wielkość: px

Rozpocząć pokaz od strony:

Download "Monitoring pracowników w ujęciu informatyki śledczej"

Gabriela Szymańska
8 lat temu
Przeglądów:

1 Monitoring pracowników w ujęciu informatyki śledczej Przemysław Krejza, EnCE, ACE Prezes Stowarzyszenia InfoTRAMS Prywatność zabezpieczenie interesów w pracodawcy, a prywatność pracownika w pracy "

2 Instytut informatyki śledczej ZałoŜony w grudniu 2008, Obecnie 150 członków, Zrzesza biegłych, prawników i specjalistów informatyki śledczej, Szeroka działalność edukacyjna (Ministerstwo Sprawiedliwości, MSWIA, Szkoła Policji w Szczytnie, KSP, Uniwersytet w Toruniu, Uniwersytet Śląski), Certyfikowany Informatyk Śledczy, Najlepsze praktyki informatyki śledczej.

3 ISO Informacja jest aktywem, który, podobnie jak inne waŝne aktywa biznesowe, ma dla instytucji wartość i dlatego naleŝy ją odpowiednio chronić.

4 Technologia sprzyja naduŝyciom do znajomego Wynoszenie na USB Wydruki Web-mail Obcy w sieci Blackberry

5 Odpowiedź: bezpieczeństwo systemów Kanały IM HTTP Copy / Paste Prnt screen USB Web Mail Blackberry Inne? Brama Drogi wycieku danych Host Sieć firmowa Sieć Internet Off-line Internet Sieć Off-line Internet Off-line nd nd nd nd nd nd nd nd nd nd nd nd nd nd

6 NaduŜycia Obecnie 93% informacji porusza się drogą elektroniczną, Między 70 a 95% dokumentów nie jest drukowane, Dane elektroniczne mogą stanowić 95% moŝliwych do zgromadzenia dowodów!* Źródło: Ernst&Young

7 Źródła informacji o naduŝyciach ACFE, 2008

8 Odpowiedź: informatyka śledcza Poszukiwanie Zabezpieczanie Analiza Informacji w formie elektronicznej mogącej mieć znaczenie dowodowe

9 Informatyka śledcza

10 Informatyka śledcza Zakłada, Ŝe kaŝda informacja moŝe mieć wartość dowodową, wszelkie działania muszą zatem prowadzić do sytuacji kiedy dowód jest: 1. Autentyczny 2. Wierny 3. Kompletny 4. Przystępny

11 Po pierwsze autentyczność Łańcuch dowodowy (chain of custody) stanowi podstawę prawidłowego postępowania z dowodem elektronicznym. NajwaŜniejszym elementem w łańcuchu jest autentyfikacja materiału, najlepiej z wykorzystaniem sum kontrolnych (np. MD5) odnotowanych w protokole zabezpieczania.

12 Po drugie wierność Wiem wszystko nie zmieniam nic

13 28 December Monitoring = total security Dane Monitoring Urządzenia Kopiowane Komputery Ruch sieciowy Lokalne Wydrukig Przesyłane USB

14 Monitoring z poziomu sieci Pakiety total network knowledge, TCPDump (.pcap) Etherpeek NetDetector Infinistream NetObserver Snort rekonstrukcja sesji, działanie w trybie rzeczywistym.

15 Monitoring z poziomu sieci

16 Monitoring z poziomu sieci

17 Monitoring z poziomu systemów pełna analiza aktywności uŝytkownika w trybie rzeczywistym

18 Monitoring z poziomu systemów

19 Monitoring z poziomu systemów

20 wielki brat Biuro A Biuro B wiem i widzę wszystko SAFE SAFE przeszłośćnie jest tajemnicą WAN Aggregation Database Examiner SAFE Siedziba główna Examiner Biuro C

21 Analiza stacji

22 Case study ediscovery Dane osobowe poza kontrolą banku Po włamaniu na jeden z serwerów www banku wyciekły dane, których tam nie było, Zarząd zdecydował się na audyt 580 komputerów, Tradycyjne techniki wymagałyby mozolnej analizy kolejnych komputerów.

23 Case study ediscovery 1. Rozproszenie servletów 2. Kwerenda ediscovery opisująca poszukiwane dane 3. Zgromadzenie dokumentów 4. Indeksacja 5. Przegląd 6. Raport wyników

24 Case study ediscovery Proces trwał łącznie 5 dni UŜytkownicy nie odczuli audytu, Na 35% komputerów ujawniono ponad 700 nieuprawnionych dokumentów i arkuszy, które zawierały dane osobowe klientów i były przechowywane na dyskach uŝytkowników.

25 Case study dochodzenie wewnętrzne Wieloletnia współpraca pracownika z firmą konkurencyjną: Jedna z Katowickich firm produkcyjnych zatrudniająca ok. 300 osób, Kilkunastoosobowy dział handlowy, Dobra pozycja rynkowa, Mała, jednak nadspodziewanie pręŝna konkurencja, Dobra infrastruktura IT i kontrolna, Anonimowy list wszczyna dochodzenie.

26 Obiekty zainteresowania Examiner Autoryzacja Wyniki SERWER Połączeni a

27 Wyniki Miesiąc obserwacji pozwolił zgromadzić materiał dowodowy: Maile z informacjami wysyłanymi do firmy konkurencyjnej, Rozmowy za pomocą web gg, Pracownik otrzymał wypowiedzenie dyscyplinarne ale zgodził się zeznawać przeciwko firmie konkurencyjnej

28 Case study dochodzenie wewnętrzne Pazerność bez granic: DuŜa firma telekomunikacyjna, DuŜe nakłady na infrastrukturę usługową, Współpraca z kilkoma firmami zewnętrznymi w zakresie rozbudowy tej infrastruktury, Pracownik IT przypadkowo wpada na dziwną informację.

29 Analiza off-line Servlety Kopia binarna Kopia binarnae Laptopy Serwery Kopia binarna Kopia binarnae Desktopy Examiner Nie wiadomo komu ufać Absolutna poufność 18 kopii binarnych wykonanych w nocy Analiza off-line 10Tb danych do przeanalizowania Backupy

30 Wyniki Analiza kopii binarnych ujawniła: ZaangaŜowane główne osoby z zaopatrzenia, księgowości i audytu, Główny organizator zapisywał gifty, Proceder trwał od dłuŝszego czasu, Została powiadomiona prokuratura. Zerwano współpracę z firmami zewnętrznymi

31 NaduŜycie wnioski KaŜda z firm wydawała się odporna na naduŝycia, śadna z firm nie miała przygotowanego planu incydentu, Wszystkie były zmuszone skorzystać z usług zewnętrznych.

32 Podsumowanie Status Quo Wiedza Kontrola Kontrola Ochrona Confidential Confidential Informatyka śledcza

33 Certyfikowany Informatyk Śledczy Celem szkolenia jest uzyskanie wiedzy na temat: najlepszych praktyk informatyki śledczej, aspektów prawnych związanych z elektronicznym materiałem dowodowym logicznej i fizycznej budowy nośników danych, prawidłowego zabezpieczania danych, a w szczególności autentykacji za pomocą sum kontrolnych, tworzenia łańcucha dowodowego, wykorzystywania odpowiednich technik i narzędzi.

34 Stowarzyszenie Instytut Informatyki Śledczej

Podobne dokumenty

Informatyka Śledcza dowód elektroniczny. Przemysław Krejza, EnCE

Informatyka Śledcza dowód elektroniczny Przemysław Krejza, EnCE Informacje o firmie Założona 1998, Lokalizacje Katowice, Warszawa, 25 osób (8 inżynierów CF), Największe istniejące laboratorium informatyki