Niewiedza kosztuje - czy warto rujnować reputację z powodu przeoczonych danych osobowych?

Transkrypt

1 Niewiedza kosztuje - czy warto rujnować reputację z powodu przeoczonych danych osobowych? Cezary Prokopowicz Enterprise Security Products, HPE Software Dariusz Śliwa Inf. Mgmt & Governance, HPE Software

2 Wyzwania związane z wdrażaniem zgodności z RODO Zarządzanie rekordami (Records Management) Jakie dane osobowe mamy, w jakim formacie i gdzie się one znajdują? Jak je odnaleźć/wykryć i sklasyfikować? Jak nimi zarządzać by zapewnić zgodność z RODO? Bezpieczeństwo Zewnętrzne - jak efektywna jest moja tarcza obronna? Wewnętrzne - jak mogę zapobiec przypadkowemu lub intencjonalnemu działaniu zagrażającemu danym osobowym?

3 Przykładowe kroki wdrażania zgodności z RODO UŚWIADAMIANIE - uświadom zarządzającym, co ich/nas czeka w najbliższych miesiącach OPINIA PRAWNA - tłumacząca GDPR/RODO na wymogi i funkcjonalności LOKALIZACJA/WYKRYCIE DANYCH OSOBOWYCH - zlokalizuj dane osobowe w organizacji, nawet w mało spodziewanych miejscach (dane niestrukturalne, zasoby dyskowe, SharePoint, itp.) ANALIZA RYZYKA - wykonaj ocenę narażenia oraz potencjalnych środków zaradczych ANALIZA LUK W POLITYKACH - przejrzyj i zaktualizuj polityki ochrony danych osobowych, szkoleń ANALIZA LUK TECHNICZNYCH - oceń, gdzie rozwiązania techniczne/it skokowo zwiększą 'efektywność' GDPR IMPLEMENTACJA - ustal priorytety i rozpocznij wdrażanie rozwiązań IT IMPLEMENTACJA W KOLEJNYCH OBSZARACH - po zaadresowaniu najbardziej palących problemów ustal priorytety na kolejny etap

4 Mapy ryzyka (tu dla Data Processing & Lifecycle Mgmt.) pokażą nam priorytety Data Processing / Lifecycle Mgmt. Records Mgmt. for Personal Data Right to be Forgotten Archival Management Data Retention Management Records Mgmt. for Personal Data processing Data Flow Mapping Contractual Necessity Consent Structure and Management 5 4,5 4 3,5 3 2,5 2 1,5 1 0,5 0 Obtaining Methodology and Coverage Legal base for Data Transfer Controls Processing Lawful & Transparent Processing Registry and Mapping Accuracy Purpose Limitation Data Minimisation Pseudonymisation / Anonymisation Storage Limitation Data Porcessing / Lifecycle Mgmt. Sub-Capability Risk Score Consent Structure and Management 5 Obtaining Methodology and Coverage 5 Legal base for Data Processing 5 Data Flow Mapping 5 Records Mgmt. for Personal Data processing 5 Registry and Mapping 4 Purpose Limitation 4 Data Minimisation 4 Storage Limitation 4 Right to be Forgotten 4 Pseudonymisation / Anonymisation 3 Transfer Controls 3 Data Retention Management 3 Records Mgmt. for Personal Data 3 Accuracy 2 Lawful & Transparent Processing 2 Contractual Necessity 2 Archival Management 2 4

5 Ale... Czy wiemy, gdzie są dane osobowe naszych klientów? Jak wdrożyć automatyczną identyfikację i klasyfikację danych? Jak stworzyć rejestr danych osobowych z obsługą retencji?

6 Czy wiemy, gdzie są dane osobowe naszych klientów? Wyszukiwanie danych osob. UD Klasyfikacja Repozytoria danych Aplikacje Pliki Read SDM Control Point Analiza Deklarowanie Document Management SharePoint Komunikatory Apply SDM Akcja Control Point Data Warehouses Social Media Web Content UD: SDM: ESKM: HPE Universal Discovery HPE Structured Data Manager HPE Data Security - Enterprise Secure Key Manager HPE ControlPoint

7 Jak stworzyć rejestr danych osobowych z obsługą retencji? Zarządzanie Policy Center Nakładanie polityk retencyjnych Compliance, Legal Hold & Audyt Deklarowanie Content Manager Repozytorium rekordów (danych osobowych) Udostępnione Rekordy Składowanie Content Manager Archiwum danych Database Third Party UD: SDM: ESKM: HPE Universal Discovery HPE Structured Data Manager HPE Data Security - Enterprise Secure Key Manager

8 Kompletna platforma HPE dla GDPR Wyszukiwanie danych osob. Klasyfikacja Zarządzanie UD Repozytoria danych Policy Center Nakładanie polityk retencyjnych Compliance, Legal Hold & Audyt Aplikacje Document Management Pliki SharePoint Komunikatory Read Apply SDM SDM Analiza Akcja Control Point Control Point SecureData ESKM Szyfro wanie danych Deklarowanie Wybrane Rekordy Content Manager Repozytorium rekordów (danych osobowych) Data Warehouses Social Media Web Content Składowanie Content Manager Archiwum danych Database Third Party UD: SDM: ESKM: HPE Universal Discovery HPE Structured Data Manager HPE Data Security - Enterprise Secure Key Manager

9 Przykład usunięcia w kontrolowany sposób Polityka retencji Rekordy Proxy Zgoda na Usunięcie Lista danych do usunięcia CM Metadane SDM SDM SDM SDM SDM Usuń Edytuj Usuń Edytuj Usuń JDBC Script API App1 App2 App3 App4 App n. 9

10 Przykład z rynku telekomunikacyjnego (zdarzyło się w 2016 roku) Informacja o naruszeniu danych osobowych XXX Szanowni Państwo, niezwłocznie informujemy, że dnia XXX roku strona internetowa ZZZZ.pl została zaatakowana przez hakerów. Doszło do naruszenia danych osobowych, które przekazali Państwo poprzez formularze na stronie ZZZZ.pl Pragniemy pokreślić, że dane Klientów oraz firm współpracujących są zabezpieczone przez ekspertów Spółki, których wspomaga dodatkowy, wysoko wykwalifikowany, zewnętrzny zespół doradczy. Hasła i loginy do portalu samoobsługowego ZZZZOnline są bezpieczne, dlatego nie ma konieczności podejmowania żadnych dodatkowych działań ze strony Klientów. Informacja o naruszeniu danych osobowych W wykonaniu obowiązku określonego w art. 174a ust. 3 oraz ust. 8 ustawy z dnia 16 lipca 2004 r. prawo telekomunikacyjne tj. z dnia 10 stycznia 2014 r. (Dz.U. z 2014 r. poz. 243 ze zm.), przekazujemy następujące informacje: XXX o godz. 11:03 przeprowadzono atak hakerski na serwis zzzz.pl.

11 Bezpieczeństwo dla GDPR Security Intelligence Application Security Data Security Breach Detection Breach Prevention Encryption / Pseudonymization Find Classify Govern Records Repository Data Repositories

12 HPE SecureData Zabezpieczenie danych osobowych Privacy by design Pseudonimizacja 12

13 Data security coverage End-to-end Protection HPE Security Data Security zapewnia kompletną ochronę Threats to Data Traditional IT infrastructure security Data Ecosystem Security Gaps HPE Security data-centric security Credential Compromise Authentication Management Data and applications Security gap Traffic Interceptors SSL/TLS/firewalls Middleware Security gap SQL injection, Malware Database encryption Databases Security gap Malware, Insiders SSL/TLS/firewalls File systems Malware, Insiders Disk encryption Security gap Storage 13

14 HPE Format-Preserving Encryption (FPE) NIP FPE AES-FF1 mode Imię: Jan Nazwisko: Kowalski PESEL: Data Ur.: Imię: Uywjlqo Nazwisko: Muwruwwbp PESEL: Data Ur. : Regular AES-CBC mode 8juYE%Uks&dDFa2345^WFLERG Ija&3k24kQotugDF2390^32 0OWioNu2(*872weW Oiuqwriuweuwr%oIUOw1@ Zatwierdzony jako standard tryb kodowania AES (NIST SP800-38G) - HPE Format-Preserving Encryption Wysoka wydajność, ograniczona ingerencja w infrastrukturę IT Zakodowane od momentu wprowadzenia dane są zabezpieczone. Większość aplikacji może działać z takimi danymi Wpasowuje się do istniejących systemów, protokołów wymiany danych etc. (nazwisko, adres, itp.) Zachowanie referencyjnej integralności 14

15 HPE Secure Stateless Tokenization (SST) Karta kredytowa NIP SST Częściowe SST Maskowane SST AZ UYTZ AZS-UX Zastępuje bazę danych tokenów mniejszą tablicą mapowania tokenów Wartości tokenów są mapowane z użyciem liczb losowych Obniżenie kosztów Brak potrzeby użycia hardware, problemów z replikacją 15

16 Przepływ poufnych danych John Smith John Smith Web Form New Account Application Fraud Detection John Smith John Smith Database CC Processing John Smith Customer Service Application Hadoop Analytics John Smith

17 To samo środowisko z HPE SecureData Jan Kowalski Kelt Dqitp Web Form New Account Application Fraud Detection Jan Kowalski HPE SecureData Kelt Dqitp Database CC Processing Jan Kowalski Customer Service Application Hadoop Analytics Kelt Dqitp

18 HPE SecureData platforma zabezpieczenia danych HSM HPE SecureData Konsola zarządzająca HPE SecureData Źródła uwierzytelnienia i autoryzacji (active directory) Volume Key Management HPE SecureData Web Services API HPE SecureData Command Lines HPE SecureData Native APIs (C, Java, C#/.NET) HPE SecureData File Processor HPE SecureData Native UDFs HPE SecureData z/protect, z/fpe Partner integrations SaaS & PaaS cloud apps Payment terminals Kontrolowane politykami usługi zabezpieczenia danych i klienci Aplikacje biznesowe, składowanie danych i procesy Volumes and storage Enterprise applications Production databases Payment systems ETL & data integration suites 3 rd party applications Teradata, Hadoop & HPE Haven HPE Nonstop Applications & Databases Mainframe applications & databases Network Interceptors Web/cloud applications (AWS, Azure) 3 rd party SaaS gateways 18

19 HPE Fortify oraz WebInspect 84% udanych ataków wykorzystuje podatności aplikacji! 19

20 Tradycyjne podejście do bezpieczeństwa aplikacji Develop Test Deploy Aplikacje stanowią nowy perymetr!

21 Bezpieczeństwo w nowym SDLC Secure Development Znajdowanie podatności w trakcie kodowania Security Testing Testowanie aplikacji webowych i mobilnych w fazie eksploatacji Test Software Security Assurance Podejście systemowe do procesu programowania Develop Deploy

22 Testowanie Dynamiczne i Statyczne Aplikacji Black Box: Dynamiczne Testowanie penetracyjne White Box: Statyczne Skanowanie kodów źródłowych HPE WebInspect HPE Fortify SCA

23 Komponenty rozwiązania HPE Fortify WAF Fortify Static Code Analyzer Fortify WebInspect Fortify AppDefender Run-Time Protection PLAN DESIGN CODE FUNCTIONAL TEST ACCEPTANCE TEST DEPLOY Software Inventory Collaboration Module Governance Module HPE Fortify Software Security Center (SSC) Server Software Security Metrics and Reporting

24 HPE Fortify Static Code Analyzer (SCA)

25 Fortify SCA Kod źródłowy Schemat Analizy Diagram

26 Wizualizacja żywego skanowania WebInspect Wizualizacja wyników skanów Drzewo site u Bieżąca statystyka skanów Zestawienie ataków Lista wyboru hostów Podatności znalezione w aplikacjach

27 HPE Fortify wskazany jako lider w Gartner AST MQ 10 z 10 największych firm w dziedzinie technologii informatycznej 9 z 10 największych banków 4 z 5 największych firm farmaceutycznych 3 z 3 największych niezależnych dostawców oprogramowania 5 z 5 największych firm telekomunikacyjnych

28 HPE ArcSight W 98% przebadanych incydentach dowody aktywności napastników były dostępne i zawarte w logach (Verizon Data Breach Report) 28

29 SOC Security Operation Centre SIEM Security Information Event Management - fundament SOC 29

30 SIEM Monitorowanie incydentów bezpieczeństwa Główne punkty Servers Users Firewalls NW Devices Logi & Zdarzenia Alerty Alerty Dochodzenie Security Operations Centers stają wobec zwiększającej się ilości informacji do obrobienia Efektywność zależy od zawężenia strumienia alertów, oraz zwiększenia mocy przetwarzania Endpoints # logs & events increases exponentially Alerts identified IOCs* Increase speed to detection Polowanie Speed up investigation Niższy poziom false positives oraz mniejszy szum pozwalają skoncentrować się na najważniejszych zagrożeniach IOC: Indicator of Compromise 30

31 Integracja z Big Data Przeszukiwanie danych Event Broker Vertica (OEM) Search Application Strumień danych Data lake Hadoop /HDFS Dane Konektory Analiza Danych 31

32 Security controls responding GDPR requirements Security Intelligence Application Security Data Security ArcSight ADP/ESM Fortify SAST / DAST / RASP SecureData Breach Detection Breach Prevention Encryption / Pseudonymization Find Classify Govern Records Repository Data Repositories SAST: DAST: RASP: (HPE Security - Fortify) Static Application Security Testing (HPE Security - Fortify) Dynamic Application Security Testing (HPE Security - Fortify) Runtime Application Self-Protection