Human security awareness - IT vagy HR feladat?

Slides:



Advertisements
Hasonló előadás
A rendvédelmi szervek helye a kibervédelemben
Advertisements

Számítógépes vírusok.
Vírusok, kémek és egyéb kártevők
Mennyire érzed magad biztonságban a virtuális térben? Dr. Krasznay Csaba.
Éjjel-nappal a világhálón – avagy biztonság a virtuális térben Krasznay Csaba Információbiztonsági tanácsadó HP Magyarország Kft.
Az elektronikus közigazgatási rendszerek biztonsága
Az adat és titokvédelem néhány aspektusa pénzintézeti környezetben
Gondolkodj Egészségesen! Program OSZMK baleset-megelőzési konferencia szeptember 30.
A cyber-terrorizmus problémája Magyarországon
Hogyan vernek át nap, mint nap?
ECDL – Az elmúlt 15 év Várallyai László.
Információbiztonság vs. informatikai biztonság?
B – csoport E-kereskedelem logisztikája és E-logisztika
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Önkéntes oktatói tapasztalatok.
SZENT ISTVÁN EGYETEM GAZDASÁG- ÉS TÁRSADALOMTUDOMÁNYI KAR AUTO- SZŰRŐ FEJLESZTÉSE TÁBLÁZAT ALAPÚ JELENTÉSEK UTÓLAGOS, BÖNGÉSZŐN BELÜLI TOVÁBB- FELDOLGOZÁSÁRA.
SZENT ISTVÁN EGYETEM GAZDASÁG- ÉS TÁRSADALOMTUDOMÁNYI KAR KUTATÓK ÉJSZAKÁJA SZEPTEMBER 24. AUTO-SZŰRŐ FEJLESZTÉSE OLAP JELENTÉSEK UTÓLAGOS, OFFLINE.
Magyarországi cloud computing megoldások, belépési területek a hazai kis- és közepes méretű vállalatok számára Riba István.
AZ INFORMATIKAI BIZTONSÁG
2013. Szeptember 3. Szekeres Balázs Informatikai biztonsági igazgató
Az Ibtv. civil-szakmai támogatása
SZENT ISTVÁN EGYETEM GAZDASÁG- ÉS TÁRSADALOMTUDOMÁNYI KAR TUDOMÁNYOS DIÁKKÖRI KONFERENCIA NOVEMBER 25. AUTO-SZŰRŐ FEJLESZTÉSE OLAP JELENTÉSEK UTÓLAGOS,
INNOCSEKK 156/2006 XXX. Jubileumi OTDK Közgazdaságtudományi Szekció Gazdasági informatika és E-business Tagozat Készítette: Vrabély Balázs,
Biztonságosabb Internet
Az Információ fizikai védelme
Európai Uniós távmunka programok és tredek Wesselényi Andrea
TPM klub - extra Siófok Szabályok Kötetlen viselet Reklámmentesség Tegeződés.
1 Az önfeltárás kockázati tényezőinek összefoglalása Dimenzió Idő Téma Értékelés Emberek Kis kockázat Múlt események, gondolatok, általános elképzelések.
Globális lekapcsolás? Zelei Dániel. Elvileg… Az Anonymus nevű hekker-csoport megtámadja a 13 root DNS szervert, ezáltal az egész internet „sötétségbe.
Az Informatikai biztonság alapjai
5. előadás Ember és vezetés, vezetési stílus
Számítógépes Vírusok.
Közösségi portálok használata
SZENT ISTVÁN EGYETEM GAZDASÁG- ÉS TÁRSADALOMTUDOMÁNYI KAR TUDOMÁNYOS DIÁKKÖRI KONFERENCIA NOVEMBER 25. AUTO-SZŰRŐ FEJLESZTÉSE OLAP JELENTÉSEK UTÓLAGOS,
A MAGYAR MUNKAVÁLLALÓK MUNKAERŐ-PIACI JELLEMZŐI
Közösségi oldalak használata
Levelezés, és a többiek Takács Béla Irodalom Bodnár –Magyari: Az Internet használata I. (Kiskapu) Bodnár –Magyari: Az Internet használata.
ADATBIZTONSÁG, ADATVÉDELEM IV. Takács Béla
A tűzfalakról Microsoft-módra Rövid áttekintés felhasználóknak (A GYIK alapján)
Az e-közigazgatás megvalósításának biztonsági kérdései önkormányzati környezetben Krasznay Csaba.
Web service fenyegetések e- közigazgatási környezetben Krasznay Csaba IT biztonsági tanácsadó HP Magyarország Kft.
Krasznay Csaba ZMNE doktorandusz.  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?
Vezetéknélküli hálózatok biztonsága
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági.
Biztonságtechnikai fejlesztések Eshetőségek: Külső behatolás a rendszerekbe Külső személy bejutása az épületbe Belső szivárogtatás Mindhárom lehetőségre.
Tartalom  Infrastruktúra meghatározása  Infrastruktúrák osztályozása  Kritikus információs infrastruktúrák  Információs infrastruktúrák támadása és.
ADATBIZTONSÁG, ADATVÉDELEM. ALAPHELYZET Jelentősen növekedett és növekszik –IR-ben tárolt, feldolgozott adatok mennyisége –ezen adatoktól való függőség.
© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 CIO `08 Rugalmas biztonság, rugalmas vállalathoz Hirsch Gábor Üzletfejlesztési.
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
Mobileszköz védelem közigazgatási környezetben Dr. Krasznay Csaba NKE KTK EFI ITB.
Korszerû IT Biztonságtechnika Számonkérés Szorgalmi feladatok hétrõl-hétre  Óra kezdésig kell elküldeni nekem Félév-végi vizsga ZH  100.
Ismerd meg az ellenségedet és magadat, így sikeres leszel a csatában! Milyen támadók vannak?  Script-kiddie  Think-tank  Robotok, automaták.
Közigazgatás- technológiai kérdések Dr. Budai Balázs Benjámin.
WORKFLOW MENEDZSMENT MUNKAFOLYAMAT KEZELÉS
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
A biztonság általános értelmezése A biztonság nem termék, hanem egy kedvező állapot. A biztonság állapot, melynek megváltozása nem valószinű,
Információbiztonsági képzések a Nemzeti Közszolgálati Egyetemen
1 Határtalan határvédelem Illés Márton
A belső fenyegetettség elleni védelem aktuális kérdései © , Megatrend 2000 Rt. All rights reserved. Kajati László igazgató, biztonsági üzletág.
Som Zoltán, Nemzeti Közszolgálati Egyetem, Közigazgatás-tudományi D oktori I skola Dr. Krasznay Csaba Nemzeti Közszolgálati.
Telephelyek információbiztonsági felülvizsgálata szervezeti összeolvadás esetén Cseh Zsolt tanácsadó XXXVII. Szakmai fórum szeptember 16.
Felhasználói viselkedés-elemzés – visszaélések felderítése informatikai eszközökkel Dr. Krasznay Csaba Nemzeti Közszolgálati Egyetem Információbiztonsági.
Dr. M uha L ajos mk. alezredes Dr. M uha L ajos mk. alezredes főiskolai tanár Információbiztonsági törvény.
Az Informatikai biztonság alapjai
Kiberbiztonság adatdiódával
Adatvédelmi kihívások a modern információ- technológiában
Paranoia avagy túlélés az IT biztonságban
Web oldal lippaiinfo.atw.hu.
Az emberi tényező, mint biztonsági kockázat
Kinek törték már fel az autóját?
Előadás másolata:

Human security awareness - IT vagy HR feladat? Dr. Krasznay Csaba

Aranyköpések „Az informatikai problémák 90%-a a billentyűzet és a szék között helyezkedik el.” „Csak az nem hibázik, aki nem dolgozik.” „A leggyengébb láncszem mindig az ember!” „A sikeres informatikai támadások legtöbbször belső munkatárs miatt következnek be.” Azaz rengeteg probléma van a munkatársakkal!

Human security error A munkatársak miatti információbiztonsági problémák okai lehetnek szándékosak és nem szándékosak. A hibák többsége nem szándékos, tudatlanság, információhiány, figyelemhiány okozza. Gyakran bekövetkezik, a várható kárérték közepes méretű. A szándékos károkozás viszonylag ritka, de az okozott kár komoly lehet. Bármelyiket nézzük, legalább magas kockázattal kell számolni, tehát valamilyen védelmi intézkedés szükséges!

Fenyegetések Tipikus fenyegetések: Képzetlen munkavállaló Elégedetlen/bűnöző munkavállaló Social engineering Advanced Persistent Threat (APT)

Képzetlen munkavállaló Valljuk meg, bizonyos szinten mindenki ide tartozik! Mit tehetünk ellene? Belső szabályozások Tudatossági oktatás Figyelmeztetés, számonkérés, büntetés, de hogyan? Alapvető technológiai korlátok (hardening, kliens oldali védelem, tartalomszűrés, stb.) Ez egy CISO legelső és legalapvetőbb feladata, de a HR- rel közösen!

Biztonságtudatossági oktatás Ki tartsa? A biztonsági felelős, a HR vagy külső szakértő? A válasz: esete és cége válogatja. Kinek tartsa? Mindenkinek, a számítógéppel dolgozóknak vagy csak bizonyos munkaköröknek? A válasz: mindenkinek, beosztástól függő tartalommal. Hogyan tartsa? Személyesen, tanfolyamon, elektronikusan? A válasz: ahogy az a célcsoportnak a legkényelmesebb.

Elégedetlen/bűnöző munkavállaló Egy ember életében számos olyan szituáció lehetséges, amikor a cég erőforrásai kellően értékesek lehetnek. A következőkben az Association of Certified Fraud Examiners 2012 Report to the Nations tanulmánya alapján próbáljuk megérteni, miért is csalnak az emberek? Részletesen ld. itt: http://www.acfe.com/rttn.aspx

Motivációk

Az elkövetők életkora

Céges múlt

Bűnözői múlt

Az elkövető beosztása

Fertőzött iparágak

Fertőzött területek

Csalástípusok

Csalások felfedezésének módja

Védelmi intézkedések Az alkalmazást megelőzően: Átvilágítás (a pozíciónak megfelelően) Az alkalmazás időtartama alatt: A személyiségi jogokat tiszteletben tartó korai figyelmeztető megoldások (naplózás, DLP, stb.) használata Az alkalmazás után: Jogosultságok visszavonása, vagyontárgyak visszaszolgáltatása Bizonyítékok szolgáltatása az eljárások támogatására Elsősorban HR feladat, de az IT és más területek (pl. belső ellenőrzés) hatékony támogatást tud nyújtani.

Social Engineering „A social engineering a befolyásolás és rábeszélés eszközével megtéveszti az embereket, manipulálja vagy meggyőzi őket, hogy a social engineer tényleg az, akinek mondja magát. Ennek eredményeként a social engineer – technológia használatával vagy anélkül – képes az embereket információszerzés érdekében kihasználni.” – Kevin D. Mitnick „Social engineering is the practice of using deception or persuasion to fraudulently obtain goods or information, and the term is often used in relation to computer systems or the information they contain.” – Douglas P. Twitchell „… social engineering is the art or better yet, science, of skillfully maneuvering human beings to take action in some aspect of their lives.” – Christopher Hadnagy

SE technikák Forrás: Váczi Dániel, Sörös Tamás További részletek: Oroszi Eszter előadásai

Védelmi lehetőségek A védekezés alapvetően a tudatosság emelésével érhető el. De ezen a területen kiemelten fontos a hagyományos biztonságtechnika! Tipikusan az a terület, ahol a security és az IT security találkozik. IT technológiai trükköket persze itt is lehet alkalmazni, de a hasznossága megkérdőjelezhető. Próbáljunk minél kisebb támadási felületet nyitni, azaz koncentráljunk a minél kisebb információszivárgásra Ebbe a cég és az alkalmazotti információk (pl. Facebook) is beletartozik!

Advanced Persistent Threat (APT) Emberi tényező Alkalmazás hiba Elégtelen infrastruk-túra

APT vs. SE Célzottabb informatikai támadások (pl. cégre szabott 0-day) Célzottabb személyi megkeresés (akár hírszerzési információkkal támogatva) Hosszabb eszkalációs idő, nagyobb erőforrások Védekezni szinte lehetetlen! Vagy mégsem? Tűt keresünk a szénakazalban, de időnként azt is meg lehet találni!

APT védelem Jó eséllyel emberen keresztül érkezik a támadás. Ennek elkerülése érdekében: Ahol az APT kockázata fennáll, építsük ki az egészséges paranoiát! Használjunk olyan védelmi eszközöket, melyek „intelligensek”, azaz reagálnak az IT környezet abnormális működésére, és gyorsan frissülnek. Legyen szoros együttműködés a belbiztonsági szervekkel (védjenek ők is!) A humán védelem helyi és nemzetbiztonsági feladat is!

Összefoglalás A humán védelem mindenkinek a feladata! Az IT biztonság elsősorban támogató szerepet tölt be, de „történetileg” sok humán biztonsági feladat itt ragadt. Egyébként ez a létező legnehezebb feladatok egyike, hiszen az emberi tűzfalat eddig még nem találták fel. Ráadásul az ember nem gép, az érzelmek pedig nehezítő tényezők. Klasszikus multidiszciplináris feladat. Sok szerencsét hozzá! 

Ajánlott irodalom Oroszi Eszter előadásai a Hacktivity-n: www.hacktivity.hu A biztonságtudatossági oktatásról két anyag: NIST SP 800-16: http://csrc.nist.gov/publications/drafts/800-16- rev1/Draft-SP800-16-Rev1.pdf NIST SP 800-50: http://csrc.nist.gov/publications/nistpubs/800- 50/NIST-SP800-50.pdf

Köszönöm a figyelmet! Web: www.krasznay.hu E-mail: csaba@krasznay.hu Twitter: twitter.com/csabika25