ZAGROŻENIA BEZPIECZEŃSTWA DANYCH Poziom zagrożenia Podejmowane środki zaradcze Wnioski Zagrożenia w cyberprzestrzeni Polski Rekomendacje Klubu CIO Budowa bezpiecznej organizacji Ocena stanu bezpieczeństwa Jakub Staśkiewicz UpGreat Systemy Komputerowe Sp. z o.o.
Wyprzedzając cyberataki raport Ernest & Young Światowe badanie bezpieczeństwa informacji przeprowadzone w 2014r., 1825 respondentów z 60 krajów, pracujących w 25 sektorach, głównie członkowie zarządów oraz dyrektorzy IT Cyberataki są coraz bardziej natarczywe, skomplikowane, a cyberprzestępcy coraz lepiej zorganizowani Dzisiejsi cyberprzestępcy mają dostęp do źródeł finansowania i są o wiele bardziej wyrafinowani niż kilka lat temu. Cele ataków 28% - kradzież danych finansowych (karty płatnicze, hasła do e-bankowości) 25% - dezorganizacja przedsiębiorstwa 20% - kradzież własności intelektualnej 19% - nadużycia finansowe 3
Wyprzedzając cyberataki raport Ernest & Young Źródła ataków 57% - pracownicy (świadomie lub nie) 53% - organizacje przestępcze Nowość: łączny poziom zagrożeń zewnętrznych przewyższa poziom zagrożeń z wewnątrz Nowość: organizacje rządowe Afera Snowdena NSA i dostawcy czołowych rozwiązań technicznych Hacking Team wśród klientów również polskie służby (ABW) 4
Wyprzedzając cyberataki raport Ernest & Young Najczęstsze problemy: 35% - przestarzałe mechanizmy bezp. 38% - niefrasobliwość pracowników 17% - przetwarzanie w chmurze 16% - urządzenia mobilne Ograniczenia: 37% - nie jest w stanie na bieżąco analizować ryzyka cyberataków 27% - tylko w ograniczonym zakresie 33% - nie rozpoczyna dochodzenia po ataku hackerskim (być może w ogóle o nim nie wiedzą) Zaledwie w 1/5 firm ściśle współpracuje z działami biznesowymi, analizując potencjalne ryzyka. 5
Wyprzedzając cyberataki raport Ernest & Young Problemy budżetowe: według 43% badanych budżet przeznaczony na zapewnienie bezpieczeństwa informacji w ciągu najbliższych 12 miesięcy nie ulegnie zmianie Efekty: - 53% organizacji nie ma odpowiednio wyszkolonych pracowników - 42% organizacji w ogóle nie ma centrów monitorowania bezpieczeństwa - tylko w 5% firm jest specjalny zespół do analizowania ryzyka cyberataków - tylko 13% respondentów twierdzi, że ich systemy w pełni odpowiadają potrzebom organizacji - 16% firm przyznaje, że nie ma programów wykrywania naruszeń bezpieczeństwa informacji 6
Wyprzedzając cyberataki raport Ernest & Young Wnioski i zalecenia Organizacje powinny się cały czas zmieniać i stale dostosowywać swoje systemy zabezpieczeń. Muszą w bezpieczny sposób integrować nowe technologie z procesami biznesowymi Zabezpieczenie się przed cyberprzestępcami powinno obejmować także partnerów, klientów, dostawców Organizacje zapewnią sobie bezpieczeństwo, jeśli będą potrafiły przewidywać cyberprzestępstwa, firmy muszą zmienić podejście do zarządzania bezpieczeństwem informacji z reaktywnego na proaktywne, przestać być dla cyberprzestępców bierną ofiarą i stać się ich silnym przeciwnikiem 7
Globalny stan bezpieczeństwa informacji 2015 raport PWC Zarządzanie ryzykiem w cyberprzestrzeni - obserwacje z wyników ankiety 9700 respondentów ze 154 krajów, w tym 77 firm i organizacji działających w Polsce Średnia roczna stopa wzrostu wykrytych incydentów naruszenia bezpieczeństwa wyniosła 66% rok do roku od 2009 Wiele organizacji nie zdaje sobie jednak sprawy z ataków lub świadomie nie publikuje informacji na ich temat Z powodu wdrażania przez większe firmy bardziej efektywnych zabezpieczeń autorzy zagrożeń coraz częściej atakują spółki średniej i małej wielkości. Intruzi często koncentrują się na małych i średnich spółkach, które mają pełnić rolę przyczółka do wejścia do powiązanych z nimi przedsiębiorstw partnerskich. 8
Globalny stan bezpieczeństwa informacji 2015 raport PWC Wzrost zagrożenia w Europie - 41% skok liczby wykrytych incydentów - 48% respondentów stwierdziło, że postrzeganie ryzyka cyberprzestępczości dla ich organizacji wzrosło - duże spółki zanotowały 53% wzrost szkód finansowych Najsłabsze obszary rodzimych firm: - podnoszenie świadomości pracowników - bezpieczeństwo partnerów biznesowych - zdolność do wykrywania i reagowania na incydenty bezpieczeństwa - łatwość przełamania pierwszej linii zabezpieczeń 9
Globalny stan bezpieczeństwa informacji 2015 raport PWC Zagrożenia własności intelektualnej 19% wzrost kradzieży własności intelektualnej 24% respondentów zgłosiła kradzież miękkiej własności intelektualnej (informacje na temat procesów i wiedzy instytucjonalnej). 15% twierdzi, że ukradziono im twardą własność intelektualną, taką jak strategiczne biznesplany, dokumenty z transakcji kapitałowych oraz wrażliwe dokumenty finansowe. Służby specjalne Ponowne odniesienie do Snowdena i służb USA, Wielkiej Brytanii, Australii i Nowej Zelandii W Polsce udział wydatków na bezpieczeństwo w stosunku do całościowego budżetu IT wzrósł do 5,5% co jest wynikiem zbliżonym do światowego. Z powodu wieloletniego niedoinwestowania jest to niestety zbyt mało by nadrobić zaległości 10
Globalny stan bezpieczeństwa informacji 2015 podsumowanie Istotne wnioski: Spółki, które mają programy budowania świadomości w obszarze bezpieczeństwa, zgłaszają znacznie niższe straty finansowe z tytułu incydentów. Spółki, które nie przewidują szkoleń w dziedzinie bezpieczeństwa dla nowych pracowników, wykazały roczne straty finansowe czterokrotnie wyższe od tych, które mają takie szkolenia. Analiza ryzyka jako podstawa zarządzania bezpieczeństwem Organizacje duże i małe muszą zrozumieć, że zarządzanie ryzykiem cyberbezpieczeństwa jest kluczowe dla przetrwania w cyfrowym, połączonym świecie. I jest to jedno z głównych wyzwań dla prezesów, zarządów i rad nadzorczych oraz organów administracji państwowej. W Polsce klasyfikację wartości biznesowej danych dokonuje tylko 36% badanych Globalnie 34% respondentów nie kieruje wydatków na bezpieczeństwo do najbardziej zyskownych pionów działalności. 11
CERT POLSKA PODSUMOWANIE DZIAŁAŃ Computer Emergency Response Team działa przy NASK, obok rządowego CERT.GOV.PL pełni rolę nieformalnego, głównego organu reagowania na incydenty bezpieczeństwa w Polsce Średnio w ciągu każdych 24h w Polsce jest zainfekowanych 280 tysięcy komputerów. Wzrost działalności ukierunkowanej na użytkowników bankowości internetowej to najważniejszy i najbardziej niepokojący trend w 2014 roku. Wysokość wykradzionych kwot niejednokrotnie wynosiła kilkaset tysięcy złotych Wzrosła liczba ataków na klientów korporacyjnych i administrację samorządową. Zaobserwowaliśmy 7 scenariuszy ataków socjotechnicznych wykorzystywanych w kampaniach złośliwego oprogramowania. 12
CERT POLSKA PODSUMOWANIE DZIAŁAŃ coraz więcej ataków pochodzących z Polski, czasami nawet wykorzystujących autorskie złośliwe oprogramowanie. Najpopularniejszą metodą infekowania polskich użytkowników Internetu są zainfekowane załączniki. Ataki z wykorzystaniem luk takich jak Heartbleed czy Shellshock wciąż trwają i prawdopodobnie długo jeszcze będziemy je obserwować. W 2014 roku miały miejsce wycieki danych, z których największy związany był z atakiem na Giełdę Papierów Wartościowych W 2014 r. zespół CERT Polska obsłużył 1 282 incydenty (wzrost o 100% od 2011). Zgłaszającymi i poszkodowanym były głównie firmy komercyjne. 13
REKOMENDACJE KLUBU CIO Organizacja zrzeszająca dyrektorów IT dużych spółek działająca przy wydawnictwie IDG Poland. Rekomendacje dotyczące systematycznej edukacji służącej przeciwdziałaniu zagrożeniom - Budowanie wewnątrz firmy świadomości wyzwań i znaczenia kwestii bezpieczeństwa, tak u członków zarządu, menedżerów, jak i pracowników. - Nawiązanie współpracy z partnerami biznesowymi, koncentracja na doborze odpowiednich technologii i kompetencji - Dzielenie się dobrymi praktykami i doświadczeniem w ramach forów i spotkań branżowych. - Aktywne wykorzystanie usług zewnętrznych np. Security Operations Center, Vulnerability Management 14
REKOMENDACJE KLUBU CIO Najważniejsze działania, które powinny podjąć firmy i instytucje aby zapewnić sobie bezpieczeństwo w erze cyfrowego biznesu. - Zweryfikować system zarządzania bezpieczeństwem cybernetycznym firmy, a tam gdzie go nie ma zbudować adekwatny do skali lub skorzystać z ofert dostępnych na rynku. - Cyklicznie dokonywać oceny rzeczywistego bezpieczeństwa firmy np. przy użyciu audytów zewnętrznych - Powiązać proces tworzenia i dostarczania oprogramowania oraz innych rozwiązań informatycznych ze stałym testowaniem podatności - Stale uczyć się i doskonalić system ochrony: każdy istotny incydent bezpieczeństwa musi prowadzić do wyciągnięcia wniosków i podjęcia działań minimalizujących ryzyko. - Stworzyć przejrzysty i regularny system informowania Zarządu firmy o poziomie zagrożeń. 15
MOŻLIWOŚĆ WPŁYWU NA ŹRÓDŁA ZAGROŻEŃ Hackerzy, konkurencja źródła zewnętrzne Brak bezpośredniego wpływu na źródło. Konieczność poznawania, analizowania, szacowania ryzyka i minimalizacji zagrożeń. Dostawcy źródła zewnętrzne Możliwość przeniesienia odpowiedzialności lub podniesienia poziomu obsługi i jakości produktów poprzez zapisy w umowach SLA. Pracownicy, obsługa techniczna źródła wewnętrzne. Możliwość ograniczenia uprawnień, opracowania procedur, egzekwowania ich zapisów, edukowania. Awarie, zdarzenia losowe Możliwość przewidywania i zapobiegania przez stosowanie mechanizmów zabezpieczających i eliminowanie pojedynczych punktów awarii 16
OK. ALE KTO? Pracownik szeregowy? Nie widzi potrzeby, nie chce być ograniczany, to nie jego problem. Jak coś nie działa może iść na kawę/papierosa. Administratorzy systemów? Uważają, że ich systemy są bezpieczne, nie mają czasu i środków by myśleć za głupich userów.. Kierownictwo? Nie zna się na bezpieczeństwie i nie zna zagrożeń. Ich zmartwienia to procesy biznesowe i wykonanie planu. Nie będą sobie zaprzątać głowy zmianą haseł. Zarząd? Ma środki i możliwości wpływu na zmianę dotychczasowych praktyk. Nie zna się na cyberbezpieczeństwie i zagrożeniach. 17
POTRZEBNE WSPARCIE Pracownik szeregowy W zakresie szkolenia, uświadamiania i ciągłej ochrony przed zagrożeniami. Administratorzy systemów W zakresie doradztwa, wiedzy eksperckiej, świeżego spojrzenia z innej perspektywy Kierownictwo W zakresie utrzymania ciągłości procesów biznesowych, minimalizacji przestojów i ich negatywnych skutków Zarząd W zakresie budowy polityki bezpieczeństwa, doboru środków, definiowania regulaminów, procedur, minimalizacji strat związanych z zagrożeniami, spełnienia wymogów prawnych dotyczących bezpieczeństwa. 18
PTAK? SAMOLOT?. SECURITY OFICER CISO Chief Information Security Officer Główny funkcjonariusz bezpieczeństwa informacji Niezależne stanowisko podlegające zarządowi lub kierownictwu wyższego szczebla Niezależność, brak możliwości wywierania wpływu przez osoby, dla których stosowanie procedur może być niewygodne Brak innych obowiązków mogących wpłynąć na podejmowane decyzje Łączenie funkcji z zadaniami np. administratora IT pozbawia firmę kontroli nad zabezpieczeniami systemów przez niego zarządzanych. 19
OBSZARY DZIAŁANIA SECURIY OFFICERA Bezpieczeństwo fizyczne Kontrola dostępu, zabezpieczenia, alarmy, zamki, klucze, dostęp do budynków, ochrona sprzętu Bezpieczeństwo pracowników Pracownicy, kontraktorzy, partnerzy, firmy zewnętrzne, goście Bezpieczeństwo danych Kontrola dostępu, uprawnienia, ochrona danych osobowych i krytycznych danych poufnych Bezpieczeństwo infrastruktury IT Sieci, serwery, urządzenia końcowe, zdalny dostęp, strony internetowe, łącza, monitoring, reagowanie Disaster Recovery & Business Continuity Plany backupów, plany odtwarzania, dokumentacja, reagowanie na zdarzenia nagłe, analiza i szacowanie ryzyk 20
ZADANIA SECURITY OFFICERA Inwentaryzacja zasobów Infrastruktura IT serwery, storage, sieci, UPS-y, klimatyzatory, urządzenia końcowe, urządzenia mobilne, oprogramowanie systemowe i użytkowe Zarządzanie incydentami bezpieczeństwa Gromadzenie informacji o incydentach, analiza, reagowanie. Nowe wirusy, nowe wektory ataków, zgłaszane dziury w oprogramowaniu, ataki ukierunkowane Dobór i utrzymanie środków technicznych współpraca z działem IT, firewalle, antywirusy, bramki filtrujące pocztę i ruch www, polisy active directory, praca zdalna, VPN Tworzenie procedur i regulaminów Instrukcje administracyjne związane z kontrolą uprawnień, kontrolą dostępu, planem backupów, tworzeniem i usuwaniem kont użytkowników. Regulaminy pracy z systemem IT na poszczególnych stanowiskach. Zarządzanie aktualizacjami Przygotowywanie i nadzorowanie planu aktualizacji, opracowanie zasad instalacji krytycznych poprawek bezpieczeństwa, reagowanie na zagrożenia nagłe Wdrażanie polityki bezpieczeństwa Budowa polityki bezpieczeństwa dopasowanej do organizacji. Wdrażanie i kontrola przestrzegania jej zapisów. Szkolenie użytkowników. Audytowanie. 21
SECURITY OFFICER MOŻE OUTSOURCING? Problem z zatrudnieniem Brak specjalistów na rynku. Wysokie koszty zatrudnienia. Niepełny wymiar czasu pracy. Problem z utrzymaniem Ryzyko znalezienia lepszej pracy. Tracimy eksperta z dużą wiedzą o naszej firmie, którego trudno będzie zastąpić Problem z dostarczeniem narzędzi Drogie we wdrożeniu i utrzymaniu systemy wymagane do realizacji zadań związanych z bezpieczeństwem Zalety outsourcingu Niepełny wymiar pracy niższe koszty. Większe zaplecze kadrowe. Własne narzędzia. Świeże spojrzenie, większa perspektywa. Budowa polityk, wdrożenie i audyt w kosztach. 22
POLITYKA BEZPIECZEŃSTWA - KORZYŚCI Z POSIADANIA Procedury dostosowane do danej organizacji Stosowanie zasad uniwersalnych, działanie na czuja, gaszenie pożarów to nie jest dobre podejście Działania proaktywne przewidywanie zagrożeń W chwili wystąpienia incydentu bezpieczeństwa nie ma czasu na opracowywanie planów. Działamy pod wpływem stresu i czasu. Musimy być przygotowani Odpowiedzialność i świadomość pracowników Nikt nie powie bo ja nie wiedziałem, ja się na tym nie znam. Spełnienie wymogów prawnych Ochrona danych osobowych, ustawa o KRI, rekomendacja D Utrzymanie procesu zarządzania bezpieczeństwem Konieczność stałego monitorowania, reagowania, dostosowywania. (Cykl Deminga Plan, Do,Check, Act) 23
JAK BYĆ BEZPIECZNYM? Security Officer, polityka bezpieczeństwa co jeśli nie mamy? Konieczność oceny faktycznego stanu bezpieczeństwa przez niezależnego audytora. Monitorowanie IDS/IPS, sondy sieciowe, monitoring sieci, monitoring środowiskowy, monitoring bezpieczeństwa stacji AV, HIDS, bramki skanujące ruch smtp i http/https Zarządzanie logami Centralne gromadzenie, archiwizacja i indeksacja, kompresja. Korelacja zdarzeń z logów i ich ocena pod kątem zagrożeń systemy typu SIEM 24
JAK BYĆ BEZPIECZNYM? Zarządzanie aktualizacjami Konieczność natychmiastowej reakcji i instalacji krytycznych poprawek bezpieczeństwa. Inwentaryzacja i dokumentacja Konieczność utrzymywania aktualnej wiedzy o stanie środowiska IT. Szkolenie użytkowników Konieczność ciągłego przypominania i podnoszenia świadomości o istniejących zagrożeniach. Informowanie o konsekwencjach. Dostarczania narzędzi i procedur. 25
NA CO UCZULIĆ UŻYTKOWNIKÓW? Ograniczone zaufanie Nie uruchamiamy, nie klikamy, nie wpisujemy żadnych komend, które nie zostały nam udostępnione przez dział IT. Nie ważne od kogo jest załącznik i jak się on nazywa. Czym mniej podejrzeń budzi, tym większe jest ryzyko. Weryfikacja tożsamości. Hasła Sztywna polityka, wymuszona okresowa zmiana i odpowiednia siła hasła. Nie ma wyjątków. Poufność Nie udzielamy informacji, co do której nie jesteśmy w 100% pewni, że jest przeznaczona dla danego odbiorcy. Zgłaszanie incydentów Jeżeli dzieje się coś podejrzanego nie ignorujemy. Dział IT musi o tym wiedzieć. Przypominamy o politykach 26 Okresowo wysyłamy informację o obowiązujących procedurach i regulaminach.
Dziękuję za uwagę http://www.upgreat.pl/blog http://www.facebok.com/upgreat.poznan Jakub Staśkiewicz UpGreat Systemy Komputerowe Sp. z o.o.
Dziękuję za uwagę Jakub Staśkiewicz tel.: 667 768 452 mail: jakub.staskiewicz@upgreat.pl UpGreat Systemy Komputerowe Sp. z o.o. 60-122 Poznań, ul. Ostrobramska 22 http://www.upgreat.com.pl