On 3rd of November, 2010 "Data Security Solutions" participated in the work group's responsible for optimization of national IT infrastructure and consisting of CIO's of Ministries monthly meeting and shared opinion about importance of data security in management of state information systems.

1. Viedoklis par datu
drošību valsts
informācijas sistēmu
pārvaldīšanā
Valsts IT resursu optimizēšanas
darba grupas sanāksmei
Andris Soroka
03.11.2010

2. AGENDA
IT drošības globālās tendences (+LV)
Kā saglabāt optimālu drošību vienmēr?
Ievainojamības novēršana
Datu aizsardzība
Kritiskās infrastruktūras aizsardzība
Cloud computing / Virtualizācija
Idejas kopīgam diskusiju galdam

3. Ko valsts sektors saka par drošību?
«Nav naudas! Nav resursu!»
«Mēs esam publiska iestāde, mums
nekas nav slēpjams!»
«Par to ir atbildīgs ārpakalpojums!»
«Mums viss ir kārtībā, mūsu
antivīruss un ugunsmūris darbojas
perfekti!»
«Mums nav skaidrības par nākotni!»
«Mums ir citas prioritātes!»

4. Datu noplūdes zināmā «slavas zāle»..
MĒS TĀ ARĪ NEKAD NEUZZINĀSIM

5. Melnais tirgus – kibernoziedznieku motivātors
Online e-veikali ar kredītkaršu
datiem, ļaundabīgajiem kodiem, e-
pastiem, klientu datu bāzēm un
botnetiem
Kibernoziedznieku «CV Online»
Video pamācības masveidīgi
pieejamas sociālajos mēdijos, īpaši
YouTube
«Melnā tirgus kopiena» (forumi,
blogi, lietotāju groupas, konferences)

6. Ko valsts IT vadītājiem ir jāaizsargā?
Kritisko valsts infrastruktūru un tās –
«konfidencialitāti, integritāti, pieejamību»
Klasificēto informāciju, ierobežotās
piekļuves informāciju
Jebkura valsts iedzīvotāja konfidenciālo
informāciju – ieskaitot saraksti, datu
bāzes, finanšu informāciju u.c.
Pašu darbinieku privātumu
Līgumus ar trešajām personām,
nepublicēto, sagatavošanā esošo
informāciju
Savs budžets – no incidentiem, no
dīkstāves, papildus izmaksām utt.

7. Mūsdienīga IT vide
Mobilitāte un
organizāciju
«sienu»
sabrukšana
Organizētā
noziedzība un
iekšējie riski
Jaunās
tehnoloģijas,
jaunie mediji
Ļauno kodu
eksplozīva
offensīva
IT Operāciju un Drošības Konverģence
Ekonomika un konkurētspēja
Palielinās prasības no ES, NATO, valsts

8. Mūsdienīga IT vide (parasts interneta pārlūks)
Viens pārlūks
~8 web
aplikācijas
Saņem datus no
~8 dažādām
vietnēm
Izmantojot vairāk
kā 3 dažādus
protokolus

9. Mūsdienīga IT vide (Web 2.0, Enterprise 2.0)
Source: FaceTime Annual Collaborative Internet Surveys 2007 – 2010 & Projected

10. Mūsdienīga IT vide (Galalietotāju kontrole)
Ievainojamības
noteikšana
Sistēmu
Pārvaldība
Patču Pārvaldība AntiVīruss
AntiMalware
Datu aizsardzība Atbilstība
Atseviško risinājumu ieviešana uzliek papildus produktivitātes «nodokli» IT resursu
pārvaldībā, kas izpaužas papildus ieviešanas, pielāgošanas un uzturēšanas darbos
Iveta
IT pārvaldniece
Jānis
IT vadītājs
Raimonds
IT Drošības vaditājs
45% no IT operācijām
nozares speciālisti
strādā izmantojot 3-5
dažādu risinājumu
konsoles, lai pārvaldītu
IT operacijas un
drošību.*
*Worldwide State of The Endpoint Report 2009

11. IT vadītāju ikdiena
Draudi Tehnoloģijas Pienākumi Prasības Budžets
Apjoms
Dažādība
Attīstība
Mērķtiecība
Izsmalcinātība
Attīstība
Dažādība / Daudzums
Cena / Kvalitāte
Personāla vadība
Organizāciju
pārvaldība
Iepirkumu vadība
Budžets
Apmācības
Politikas izstrāde
Ministrija
ES
NATO
Citas organizācijas
IT nereti noklusē riskus un vajadzības, nekā riskē ar algas samazinājumu..

12. IT drošības labākā prakse

13. Kas traucē atbilst prasībām ikdienā?
MK 1445
ISO 2700*
Kiberdrošība
Drošības
politika
Paroļi garums
Speciālie simboli
Excel
Manuāl
Datubāzē Biznesa
Procesi
IT Resursi
Nepilnīga, daļēja
Datu spkopoana
Atbildības
Nav standartizēti

14. Kas traucē būt pasargātiem?
Nepārtrauktas drošības «redzamības» trūkums
Auditi un aptaujas? Cik bieži
tie notiek? Cik daudz tie
maksā? Kāds ir rezultāts?
Tehniskās kontroles Procedūru & Fiziskās Kontroles
Patch, Scan &
Configuration
via multiple
point solutions
Manuāli / AptaujasManuāli / Aptaujas
Integrētu un centralizētu
datu trūkums
Kur atrodas mūsu kritiskie,
sensitīvie dati? Cik lielā
drošībā tie ir šodien?
2009 Enterprise Management Associates Survey of IT Governance Risk & Control

15. Standartizēta risku un regulu kontrole
Regulation Authority Documents
Biznesa intereses Iekšējie noteikumi, politikas
Profile Risk Attributes
Var piekļūt internetā
Satur sensitīvu informāciju
Satur klientu datus
Pass/Fail Regulation Assessment
DVI
100%
MK XX
65%
ISO 27*
65%
NATO
30%
Nepieciešamā kontrole
Paroles garums
Datu šifrēšana
Elektrība
IT aktīvi
Biznesa procesi
Valsts noslēpumi
Līgumi
GLBA PCI FISMA HIPAA NHS NERC SOX ISO/IEC…

16. Ievainojamība

17. Ievainamība
Ievainojamības bāzēta apdraudējuma dzīves cikls
Uzbrukuma
risks
Laiks
Uzbrukums Ražotājs salabo Izplatība ir ļoti nemanāma
0 2-4 dienas 6-12 mēneši 2-4 gadi
Ievainojamības tiek
visu vadošu filtru
tehnoloģiju atklātasEksplozīvs periods Eksplozīvs periods
Zināmie
apdraudējumi
Laiks, kad riski ir zināmi un
tiek vienmēr precīzi atklāti
Nulles dienas
ievainojamības
Tikko atklātām ievainojamībām
zibenīgas pretindes nav!
Tradicionālā aizsardzība neder!
Veco ievainojamību risks
«Aizsūtītās pensijā» ievainojamības
tiek izņemtas no melnā saraksta vai
kāds tās pielāgo un pārstrādā!
Tradicionālā aizsardzība neder!

18. Ievainojamību Top20 (SANS institute)

19. Ievainojamības var novērst
Centralizēts risinājums (Scan & update)
Jebkurai sistēmai – Serveri /
Desktopi / Laptopi
Jebkurai OS – Windows, Unix /
Linux, Mac
Jebkurai aplikācijai – Adobe,
WinZip, RealNetworks utt.
Papildus – HW & SW
inventarizācija, programmatūras
uzstādīšana un noņemšana, tīkla
resursu kontroles vadība utt.
Papildus – web aplikāciju
aizsardzība Source: John Pescatore Vice
President, Gartner Fellow
Riski
5%
Zero-Day
30%
Nav pēdējo «paču»
65%
Nepareiza
konfigurācija

20. Ieteicamais risinājums
Customer Firewall
Lumension Developers
Kit (LDK)
Global
Subscription
Service
Lumension Patch and
Remediation Server
Custom PLFs
Patch Vendor
Web Sites
Content
Repositories Scan
Subscription

21. Datu aizsardzība
70% no visiem incidentiem
izraisa «insaideri».
Pazaudētas vai
nozagtas ierīces
«Insaideri» P2P Failu apmaiņas
programmas
IDC Worldwide Security Products and Services

22. Šifrēšana?
Šifrēšana ir obligāta –
Vienmēr, kad dati tiek pārvietoti
fiziski vai virtuāli
Lai nodrošinātos pret
nesankcionētu piekļuvi pie datiem
Vislabāk ir izmantot tādus risinājumus
kā PGP, jo
tam ir multiplatformu atbalsts
(Mac, Unix/Linux, Windows)
tam nav Masterkey
Tas ir centralizēti vadāms un tam
ir centralizēta atslēgu pārvalde
tas šifrē datus kustībā, miera
stāvoklī un ar tiem strādājot

23. Ārējās ierīces un to kontrole?
Baltā saraksta princips – atļaujam
tikai zināmās ierīces (līdzīgi kā
aplikācijām..)
Ļoti granulētas iespējas – atļaujam
pēc faila tipa, pēc laika, pēc apjoma,
pēc pielietojuma, pēc ierīces tipa, pēc
lietotāja, pēc pieprasījuma, offlainā utt.
Drošības pēc visus datus (abos
virzienos) kopējam uz servera un
šifrējam

24. Datu noplūdes novēršana?

25. Kristiskās infrastruktūras aizsardzība
Audits un pārraudzība
Ielaušanās novēršanas sistēma (IPS),
kas spēj atpazīt un atvairīt DoS
uzbrukumus 12-18 sekunžu laikā..
Notikumu (logu) korelācijas sistēmas
(SIEM)
Administrātoru un ārpakalpojumu
kontrole / audits
Autentifikācija un autorizācija
Tīkla resursu piekļuves kontrole
Vairāku faktoru autorizācija
Visi iepriekšminētie risinājumi +++
Mums nav koordinētu kiberuzbrukumu
atvairīšanas pieredzes..
Likumdošana ir nesen veidota & Budžeta
nav..

26. Ko teiktu hakeri, ja mēs prasītu palīdzību?

27. Aizsargāt valsti ir labāk kā spēlēt CS..

28. Cloud computing ir atsevišķa tēma

29. Cloud computing / Virtualization
Ko tieši virtualizēsim? (serveris, klients,
operētājsistēma? aplikācijas?)
Vai virtualizācija ir pirms vai pēc biznesa
procesu definēšanas?
Kā tiek nodrošināta drošība –
Patču / Ievainojamības pārvaldība
Datu noplūdes novēršana
Piekļuves kontrole / Darbību audits
Tiesību, privilēģiju kontrole
Ierīču kontrole
Šifrēšana un atslēgu menedžements
DoS / DDoS uzbrukumi un BC / DR

30. Idejas kopīgam diskusiju galdam
Incoming Threats
Malware, Spyware
Viruses, Trojans
Inappropriate Content
Centralizētu IT drošības
politikas, standartu izstrādi un
pārvaldību reālajā laikā
Savu speciālistu sertificēšanu
profilā, kā arī ministriju darbinieku
apmācības drošības jautājumos
Centralizētus iepirkumus IT
drošības jautājumos
Testēšanas aģentūras
izveidošana vai lūgums CSIRTam
to darīt
«Saukt palīgā» vietējos hakerus
un zinātniekus
Data Security Solutions
pakalpojumi un risinājumi

31. Jūsu droša biznesa partneris!
Data Security Solutions ir dibināts
2010.gadā, lai apkalpotu klientus Latvijā,
Lietuvā un Igaunijā
Specializācija - Datu drošība
Inovatīvi un izmeklēti
programmnodrošinājuma un
aparatūras risinājumi no visas
pasaules
Pakalpojumi (konsultācijas,
ieviešana, apmācības, tehniskais
atbalsts u.c.)

32. Think security first
www.dss.lv
andris@dss.lv
+371 2 9162784