Czy każdy administrator potrafi dobrze zabezpieczyć dane w swoim serwisie? Co administrator powinien robić, aby prowadzić nowoczesny serwis internetowy? Maciej Kołodziej Administrator Bezpieczeństwa Informacji portalu nk.pl Specjalista informatyki śledczej, audytor FHU MatSoft matsoft@pro.onet.pl Katowice, 6 czerwca 2013 Gdzie pojawiają się problemy? Największym zagrożeniem dla systemu komputerowego jest użytkownik działający świadomie lub nieświadomie. Największe zagrożenie dla systemu teleinformatycznego znajduje się wewnątrz organizacji. /84 Skrypt str. 25 1
Cykl życia danych Użytkownika w systemie Gdzie pojawiają się problemy dla IT? Serwis internetowy + infrastruktura IT dostępność w sieci, ochrona, backupy, regulamin (umowa) i polityka ochrony prywatności (opis) Rejestracja Użytkownika bezpieczny formularz z niezbędnymi danymi, zbieranie zgody, notyfikacja, dane połączeń Potwierdzenie danych walidacja treści i kompletności danych, kontrola powtórzeń, mail aktywacyjny Kontrola dostępu hasła: zalecenia dla klienta, skomplikowane dla obsługi, zmiana i przypomnienie, hash+salt, Uprawnienia Użytkownika prywatność, zmiana danych, przekazywanie danych, odwołanie zgody, kontakt z usługodawcą Rozwiązanie umowy usunięcie konta usunięcie danych, okresy przechowywania informacji, odmowa usunięcia /84 Obsługa incydentów zabezpieczenie informacji, retencja, logi z połączeń i aktywności, blokady Notice & Takedown Skrypt str. 25 Projekt Rozporządzenia UE w sprawie ODO najważniejsze zmiany, dla projektanta systemów i administratora Problem udzielenia zgody (formularz elektroniczny) i jej udokumentowania (logi, rejestry, wiarygodność) Przenoszalność danych osobowych (data portability) Prawo do bycia zapomnianym (system produkcyjny i archiwa) Analiza ryzyka przetwarzania danych (audyty, decyzje biznesowe) Obowiązki informacyjne (czyli miejsce na beletrystykę) Pseudonimizacja vs anonimizacja danych osobowych Weryfikacja wieku usługobiorcy 2
Rejestracja zdarzeń czyli kiedy logi okazują się przydatne Logi dla administratora czy jako dokumentacja pracy systemu? Jak powinny wyglądać logi? Data, czas, ścieżka adresów IP Dane z transmisji HTTP REMOTE_ADDR - adres IP z którego klient łączy się z serwerem/serwisem HTTP_X_FORWARDED_FOR - nagłówek X-Forwarded-For HTTP_X_FORWARDED - nagłówek X-Forwarded HTTP_CLIENT_IP - nagłówek Client-IP HTTP_VIA - nagłówek Via SERVER_ADDR - adres IP serwera, na który klient wysyła żądanie /84 Skrypt str. 25 Zarządzanie dostępem Kontrola korzystania z aplikacji Uwaga na Cross-Site Request Forgery (CSRF lub XSRF) - to mało znana i dość rzadko opisywana metoda ataku na aplikacje polegająca na podszywaniu się pod użytkownika i wykonywaniu w jego imieniu operacji w serwisie lub aplikacji Ze względu na zagrożenia związane z dużym zaufaniem aplikacji do obsługi (użytkowników) zalecane jest aby okresowo, w sposób inicjowany przez aplikację, odbywała się kontrola uprawnień do korzystania z aplikacji Gdy jest to możliwe, należy odseparować od siebie systemy przetwarzające dane, a informacje udostępniać jedynie w niezbędnym, żądanym zakresie. Każdy system powinien mieć własne mechanizmy kontroli dostępu i uprawnień, aby zapobiec aktywności na zaufanego sąsiada 3
Jak sprawdzić użytkownika i jego uprawnienia czyli model AAA+A Ważna jest weryfikacja osób pragnących skorzystać z systemu Autentykacja, Autoryzacja, Accounting + Auditing Kto?, Do czego jest uprawniony?, Co zrobił? + Kontrola Weryfikacja może się odbywać w oparciu o trzy rodzaje kryteriów: coś, co masz klucze, karty magnetyczne coś, co wiesz PIN, hasła, poufne dane coś, kim jesteś metody biometryczne Hasła nietrywialne, często zmieniane, niezapisywane Problem bezpieczeństwa nośnika informacji zawierającej hasła lub wzorce wykorzystywane przy identyfikacji użytkownika i jego uprawnień Problem kopert z hasłami są przydatne, gdy zawiedzie człowiek Kompleksowe rozwiązania archiwizacyjne Czyli o czym nie powinno się zapominać BACKUP czyli zabezpieczamy dane RESTORE czyli odzyskujemy dane CONTROL czyli sprawdzamy czy to działa Problemy, najczęstsze błędy: Nawet najlepsi architekci zapominają o uwzględnieniu w projektach kopii zapasowych Kopie zapasowe przechowywane są razem z oryginałami Jedni backupy wykonują, inni będą wykonywać, tylko niektórzy sprawdzają czy to działa. Wielu administratorów bezgranicznie wierzy brakom błędów w logach Regularna kontrola funkcjonowania mechanizmów to nieuzasadnione wydatki? Kopiowane są tylko dane, bez aplikacji i systemów. 4
Szyfrowanie transmisji - Przekazywanie danych bezpieczne kanały dostępu oraz transmisji danych Komunikacja Przepływ informacji wewnątrz organizacji (sieć lokalna, intranet, sieć serwerowni), Obsługa użytkowników mobilnymi (vpn, tunele ssl, callback), Komunikacja z partnerami (extranet), Udostępnianie informacji w sieci Internet (szyfrowanie, tunelowanie) Dostęp do danych Ochrona bazująca na modelach AAA+ Mechanizmy API (w tym Social API) Pojedyncze logowanie (Single Sign-on) Push i pull, czyli otrzymywanie lub pobieranie informacji Nadzór nad urządzeniami przenośnymi Usuwanie przechowywanej informacji w przypadku utraty lub nieużywania urządzenia Dużą popularność, oprócz komputerów przenośnym, zdobywają urządzenia spełniające funkcje biurowe, w tym urządzenia prywatne użytkowników Bring Your Own Device Ze względu na utrudnione zarządzanie i brak możliwości stałego nadzoru zalecane jest aby urządzenia przenośne zostały skonfigurowane tak, aby w przypadku utraty urządzenia nie doszło do: naruszenia integralności danych służbowych utraty danych osobowych lub innych informacji przetwarzanych na komputerze zagrożenia nieuprawnionego dostępu do danych narażenia użytkownika na kradzież tożsamości i podszywanie się innej osoby Zalecane jest stosowanie oprogramowania umożliwiającego automatyczne usunięcie wskazanych informacji z utraconego (lub nieużywanego przez określony czas) komputera lub urządzenia. 5
Obsługa użytkowników i reakcja na incydenty Systemy CRM, obsługa zgłoszeń, rejestracja problemów Obowiązujące przepisy nakładają na Administratorów Danych Osobowych oraz na Przedsiębiorców świadczących usługi z wykorzystaniem Nowych Technologii szereg obowiązków dotyczących obsługi klientów i terminowego reagowania na zgłaszane wnioski i zastrzeżenia związane z przetwarzanymi danymi lub usługami. Nie jest to wymóg formalny, ale dobra praktyka, aby stosować oprogramowanie do obsługi klientów, obiegu korespondencji i dokumentów oraz prowadzić ewidencję incydentów bezpieczeństwa lub zgłaszanych usterek w świadczonych usługach. Informacje te pozwalają na czas i z odpowiednią bazą wiedzy wypełniać obowiązki i dbać o system informatyczny. Systemy obsługi klienta i punkt kontaktowy dla zgłaszania incydentów Przeznaczenie danych zamiast do archiwum, trafiają do okrągłych segregatorów Wydruki, płyty CD, notatki, dyski trafiają do śmietnika Aby dotrzeć do tego informatycznego zasobu nie trzeba się włamywać, ani przechodzić obok ochrony Ostatecznie zawsze można poczekać, aż zostaną wywiezione na wysypisko /84 6
Na co należy zwrócić największą uwagę? Szpieg/Hacker Zakłócanie Analiza Podsłuch Beztroska Przeciążenie Jak zapobiegać powstawaniu problemów? Zabezpieczać Filtrować i weryfikować Chronić Szyfrować Szkolić Porządkować Kontrolować 7
Niektóre z obowiązujących przepisów WiFi Szpieg/Hacker Art. 267 par. 1 KK Kto uzyska dostęp do informacji przełamując lub omijając zabezpieczenia Analiza Art. 267 par. 2 KK Kto bez uprawnienia uzyska dostęp do całości lub części systemu informatycznego Niektóre z obowiązujących przepisów Art. 267 par. 3 KK Kto w celu uzyskania informacji, do której nie jest uprawniony, posługuje się oprogramowaniem Podsłuch Art. 269b par 1. KK Kto wytwarza, pozyskuje, zbywa lub udostępnia urządzenia lub programy komputerowe przystosowane do popełnienia przestępstwa określonego w art. {}, a także hasła komputerowe, kody dostępu lub inne dane umożliwiające dostęp do informacji przechowywanych w systemie komputerowym lub sieci teleinformatycznej 8
Niektóre z obowiązujących przepisów Zakłócanie Art. 268a par. 1 KK Kto, nie będąc do tego uprawniony, utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych Art. 285 par 1. KK Kto, włączając się do urządzenia telekomunikacyjnego, uruchamia na cudzy rachunek impulsy telefoniczne Niektóre z obowiązujących przepisów Art. 212 Kodeksu Karnego - pomówienie Art. 216 Kodeksu Karnego - znieważenie Art. 190a Kodeksu Karnego - stalking, nękanie, podszywanie się Art. 18 ust. 6 Ustawy o Świadczeniu Usług Drogą Elektroniczną - udzielenie informacji Art. 23 ust. 1.5 Ustawy o Ochronie Danych Osobowych - przetwarzanie i wydanie danych Art. 488 par. 1 Kodeksu Postepowania Karnego - tryb prywatnoskargowy Ustawa Prawo Telekomunikacyjne, Ustawa o Ochronie Baz Danych, Ustawy Skarbowe, Ustawa o Prawie Autorskim i Prawach Pokrewnych, przepisy branżowe 9