Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Válság és Biztonság Dellei László CISA, CGEIT IT Biztonságtechnikai tanácsadó.

Hasonló előadás


Az előadások a következő témára: "Válság és Biztonság Dellei László CISA, CGEIT IT Biztonságtechnikai tanácsadó."— Előadás másolata:

1 Válság és Biztonság Dellei László CISA, CGEIT IT Biztonságtechnikai tanácsadó

2 A gazdasági válság, a kiadáscsökkentések közepette folytatódik a fogócska a számítógépes biztonsági felelősök és a sérülékenységek, óvintézkedések kijátszásával operáló támadók között. Az előbbieknél kevesebb, az utóbbiaknál egyre több a pénz.

3 Miről lesz szó? Adatszivárgás – megelőzés és detektálás Hazai vállalatok szintje Szabályozói és törvényi háttér Leggyakoribb visszaélés típusok Felkészülés az elbocsátásra

4 Adatszivárgás Mit jelent az információ szivárgás? Gyakorlatban minden olyan cselekmény információszivárgásnak minősül, melynek révén valamely belső információ illetéktelen kezekbe kerül. Ennek számos módja létezik. Természetesen információ távozhat a fejekben is, de jellemzőbb formája, hogy valamilyen adathordozón távoznak szenzitív adatok. A technológia fejlődése segíti egyes információ szivárgási módok kivitelezését.

5 Adatszivárgás megelőzése Megelőzhető az információ-szivárgás? bizonyos formáira fel lehet készülni a védelmet illetően az alkalmazandó technikák csak részben olyanok, melyeket korábbi gyakorlat szerint is alkalmaztak érezhetően lassul az újabb veszélyekre való védelmi felkészülés jellemzően védelmi intézkedéseket csak azt követően tesznek, ha valamilyen biztonsági incidens már bekövetkezett

6 Adatszivárgás detektálása Adatszivárgás észlelésének módjai: versenytársak „viselkedésének” változása belső „jelzés” külső jelzés alkalmazott furcsa viselkedése naplózás - riasztás

7 Dörzsölt alakok az egyik, naiv és fegyelmezetlen számítógép-használók a másik oldalon. Az informatikai biztonságért felelős szakembereknek nap mint nap meg kell ezzel birkózniuk. A feladványt bonyolítja, hogy az IT mostanság általában „reformbüdzsével” dolgozik, miközben a gazdasági válság csak újabb trükkökkel szolgált a számítógépes alvilágnak: például könnyű jelzáloghitelt vagy újrafinanszírozást ígérő, álláshirdetést utánzó spamek, minden korábbinál rafináltabb férgek, trójaiak jelentek meg. Helyzetkép/veszélyek 1/2

8 A gazdasági válság több olyan biztonsági esemény kialakulásához vezethet, amelyben a csalódott, rosszkedvű alkalmazottak játsszák a főszerepet, s mint tudjuk, a támadások 80 százaléka amúgy is belülről indul… Helyzetkép/veszélyek 2/2

9 A Forrester Research előrejelzése szerint lehet, hogy az informatikai rendszer fejlesztésére, hardver- és szoftverbeszerzésre kevesebb pénz jut majd, az IT-biztonságra viszont egy kicsivel a tavalyinál több vagy annál csak egy kicsit kevesebb. Jó hír

10 Hazai vállalatok helyzete gyenge érdekérvényesítő képesség az IT biztonsági gyakorlaton belül igen korlátozott erőforrás korlátozott szakértelem olcsóbb győz elv maradéktalan érvényesítése

11 Szabályozói és törvényi háttér Preventív informatikai biztonságra vonatkozó előírások évi CXII. törvény a hitelintézetekről és pénzügyi vállalkozásokról évi LXXXII. törvény a magánnyugdíjról és a magánnyugdíjpénztárakról évi XCVI. törvény az Önkéntes és Kölcsönös Biztosító Pénztárakról évi CXXXVIII. törvény a befektetési vállalkozásokról és az árutőzsdei szolgáltatókról, valamint az általuk végezhető tevékenységek szabályairól 283/2001. kormányrendelet a befektetési és árutőzsdei szolgáltatási tevékenységek, az értékpapír letéti őrzés, az értékpapír letétkezelés, valamint az elszámolóházi tevékenység végzéséhez szükséges személyi, tárgyi, technikai és biztonsági feltételekről évi LX. törvény a biztosítókról és a biztosítási tevékenységekről

12 Szabályozói és törvényi háttér folyt. Egyéb informatikai vizsgálatokkal és eszközökkel kapcsolatba hozható jogszabályok évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról évi IV. törvény a Polgári Törvénykönyvről évi XXII. törvény a Munka Törvénykönyvéről törvény a Büntető Törvénykönyvről 218/1999. Korm. rendelet az egyes szabálysértésekről 84/2007 Kormányrendelet KIB 25. sz Ajánlása, MIBA Adatvédelmi biztos ajánlásai

13 Megelőzés-detektálás Jogi helyzetek előzetes tisztázása Eszközhasználat – számítógép Elektronikus levelezés Internet használat Egyéb körülmények Adatkezelés - Hozzájárulás Önkéntesség Megfelelő tájékoztatás Célhoz kötöttség Arányosság

14 Ellenőrzés Munkahelyi megfigyelőrendszerek (kamerák) Elektronikus levelezés – meghatározott tartalom szűrése stb. Internet használat – bizonyos oldalak letiltása, csak meghatározott oldalak engedélyezése Munkavállaló földrajzi helyzetének meghatározása Visszaélés-jelentési rendszer (SOX) „the disclosure by organization members of illegal, immoral, or illegitimate practices under the control of their employers to persons or organizations that may be able to effect action. „ Belső, külső auditok

15 Incidenskezelés Előzetes helyzetfelmérés Belső eljárásrendek, szabályzatok, nyilatkozatok átvizsgálása Vizsgálat és az érintettek körének meghatározása Incidens felismerése Lefoglalás Lefoglalható eszközök köre Lefoglalás szakszerűségének biztosítása Vizsgálat A vizsgálandó adatok körének meghatározása A törvényi előírásoknak megfelelő vizsgálati módszerek kiválasztása

16 Leggyakoribb visszaélés típusok jogosultsággal való visszaélés információ szivárgás adat jogosultatlan módosítása vállalati eszközök privát célra történő használata munkaidő és költségelszámolás tudatos csalás Az elbocsátás kockázata és/vagy a jövedelem mérséklése növelheti a motivációt kisebb nagyobb súlyú cselekmények végrehajtására, melyek jogba vagy belső szabályokba ütközőnek minősülnek.

17 Mi történik az adatokkal?

18 Felkészülés az elbocsátásra Általános Informatikai biztonsági előírások (hozzáférések megszüntetése, eszközátadás stb.) Munkajogi előírások Incidens specifikus Belső eljárásrendek, előírások ellenőrzése Szükség esetén bizonyíték gyűjtés (computer forensics) Bizonyítékok – felkészülés az esetleges jogvitára

19 Felkészülés az elbocsátásra Fontos szempontok az itt elkövetett hibák (pl.: bizonyíték gyűjtés) rendszerint nem javíthatók a későbbiekben nem helyesen felmért helyzet a kontroll elvesztéséhez vezethet és komoly veszteséggel járhat legyünk tudatában annak, hogy mire vagyunk képesek incidens-reagálás terén és ennek megfelelően készüljünk fel, illetve vegyünk igénybe támogatást

20 Összefoglaló 1/2 Ahogy eddig tekintettünk az adatlopásokra „Ez nálunk nem fog előfordulni.” Szervezetlen, amatőr hackerek csinálják otthonról szórakozásból, mintsem pénzért. „Ez IT probléma.” „Bízunk az alkalmazottainkban, hogy biztonságban tartják adatainkat.” A fenyegetettség kicsi és kezelhető. „Átmentünk az auditon, tehát biztonságban vagyunk.”

21 Összefoglaló 2/2 Ahogy most látjuk A cégeknek szembe kell nézni az adat és személyazonosság lopásból eredő valós, növekvő és stratégiai veszéllyel – cégmérettől és üzleti szektortól függetlenül. A lopás jövedelmező üzlet jól felszerelt és szervezett bűnszövetkezeteknek az egész világon. Az adatvesztés általában fizikai elvesztés, adatcsere, csalás és emberi hiba miatt következik be, mintsem csak IT betörés miatt. Az adatszivárgások leggyakoribb forrásai az alkalmazottak és a közösségi oldalak. A veszély jelentős: feltört informatikai rendszerek, perek, cég hírnév sérülés, ügyfelek elvesztése, bírságok. Az adatvédelem vezetői-szintű probléma.

22 Köszönöm a figyelmet! Dellei László CISA, CGEIT, IT Biztonságtechnikai tanácsadó Nádor Rendszerház Kft 1141 Budapest, Öv utca 3. Tel: /174 Mobil: +36(20) Fax:+36(1)


Letölteni ppt "Válság és Biztonság Dellei László CISA, CGEIT IT Biztonságtechnikai tanácsadó."

Hasonló előadás


Google Hirdetések