Zdeněk Blažek: Ochrana dat – teorie a skutečnost

  • 279 views
Uploaded on

• Ochrana dat jako stálý problém – historie a současnost …

• Ochrana dat jako stálý problém – historie a současnost
• Posouzení hrozeb/rizika jako předpoklad efektivního zajištění jakési ochrany
• Materialita informace – ochrana dat před únikem a před ztrátou
• Koncepce Katalogu hrozeb a zranitelností
• Prostředky ochrany a jejich účinnost
• Hrozby úniku dat
• Důsledky

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
279
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
0
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Ochrana dat – teorie a skutečnost Ing. Zdeněk Blažek, CSc. CISM, Commerzbank AG Ochrana osobních dat ve finančních službách, SmithNovak, s.r.o 28. února 2013, 11.20, Hotel Barcelo, Praha©Zdeněk Blažek, PhD. CISM, 28. II. 2013
  • 2. Ochrana dat – teorie a skutečnost Agenda – Ochrana dat jako stálý problém – historie a současnost – Posouzení hrozeb/rizika jako předpoklad efektivního zajištění jakési ochrany – Materialita informace – ochrana dat před únikem a před ztrátou – Koncepce Katalogu hrozeb a zranitelností – Prostředky ochrany a jejich účinnost – Hrozby úniku dat – Jaká je ve skutečnosti ochrana dat? – Důsledky©Zdeněk Blažek, PhD. CISM, 28.II. 2013 2
  • 3. Historie Ochrana dat/snaha o jejich získání Čas – v zásadě se ochrana dat i snaha o jejich získání zvyšuje se zvyšující se úrovní civilizace (informace v nepsané podobě) – špehové – zrádci – specializace výzvědné činnosti (navíc informace v písemné podobě) – specialisté, pronikající do uzavřených prostor – grafici/kartografové – další specializace v získávání dat – fotografie – záznam zvuku – sofistikované systémy pro získání dat – výpočetní technika – útoky na osobnost .......©Zdeněk Blažek, PhD. CISM, 28.II. 2013 3
  • 4. Riziko ztráty dat Riziko ztráty dat definujeme jako pravděpodobnost, že dojde k úniku či zničení dat BIA Data Hrozba Odstranění Zranitelnost. Vyhodnocení. Vnitřní/vnější nebezpečí Jak jsou data Co vlastně Příčina? Co pomůže vystavena chcete nebezpečí? ohrožení zmírnit? chránit? Dopad Pravděpodobnost Způsobí únik nebo ztrátu Možnost, že dojde k dat nebezpečné události Riziko riziko = dopad x pravděpodobnost©Zdeněk Blažek, PhD. CISM, 28.II. 2013 4
  • 5. Hodnota dat –co chráníme. známe ji? Je třeba si rozvážit, nejenom hmotné, ale i nehmotné veličiny. Jak stanovit jejich hodnotu. U hmotných veličin to jde celkem snadno, ale co s nehmotnými? Víme, jaká je skutečná hodnota dat? Jedním z vodítek je tzv. materialita informace. Informace je materi alitou tehdy, jestliže její opomenutí nebo změna m ají vliv na ekonomické rozhodování uživatelů, které je založeno právě na finančních úvahách. Materialita závisí jednak na velikosti položky nebo na vyhodnocení problémů, které může opomenutí nebo změna způsobit. Materialita tak poskytuje prahovou hodnotu.©Zdeněk Blažek, PhD. CISM, 28.II. 2013 5
  • 6. Ztráta a únik dat - Kategorie hrozeb Kategorie Popis chybná funkce Funkční chyba technického zařízení, systému, .... lidská chyba Chyba zanesená lidským faktorem-chybné zápisy,. překliknutí... nepředvídané dopady změn Neočekávaný problém zaviněný nesprávným řízením změn přerušení dodávky služeb Přerušení dodávky služeb společností – různé příčiny (vnější faktor) (epidemie, živly, politika ....) vnější útok Útok z vnějšího prostředí-fyzický/digitální... vnitřní chyba použití Nesprávné použití dat, prostředků apod. krádež, zločin Data nebo zařízení jsou ukradena Shromažďování dat a jejich Sběr dat z různých zdroj a vytváření tzv. znalostních následné zpracování bez databází, kdy dochází k propojování údajů a vědomí vlastníků vyhodnocování (profilace) ...©Zdeněk Blažek, PhD. CISM, 28.II. 2013 6
  • 7. Ochrana dat – teorie a skutečnost Druhy dat: – osobní (osobní údaje, majetek, pohyb, návštěvy v kyberprostoru, chování, korespondence, zdravotní údaje, ...) – obchodní (marketing, seznamy zákazníků, strategie firmy, finance, korespondence, zdravotní údaje, ...) – technická/vědecká (výzkum/vývoj, patenty, výrobní postupy, korespondence, ...) – státní (bezpečnostní data/armáda, policie, finance, politika, korespondence, ...) Ochrana dat řešena na různých úrovních: – zákonné normy (zákon na ochranu osobních údajů, zákon o bankách, direktivy EU, mezinárodní úmluvy, ...) – podnikové předpisy (ochrana vlastních znalostí a shromážděných dat, záměrů, ...) – mezinárodní standardy Způsoby ochrany dat – technické – organizační©Zdeněk Blažek, PhD. CISM, 28.II. 2013 7
  • 8. Ochrana dat – teorie a skutečnostjaká je skutečnost – osobní data odevzdáváme dobrovolně různým obchodním organizacím, disponuje jimi bez zásadních překážek státní správa, náš pohyb v kyberprostoru je sledován (Facebook, Google, mobilní operátoři apod.), náš fyzický pohyb je zaznamenáván (trasovací prostředky u tzv. chytrých telefonů, GPS, mýtné brány, kamery ...), bankovní data má k dispozici BIS, exekutoři, finanční úřady, FAO ČNB, platební společnosti, zdravotní data má k dispozici ZP, ošetřující lékař, nově SÚKL, lékárníci, .... – obchodní data kolují velmi často mezi firmami na základě cirkulace lidí, tj. seznamy zákazníků jsou bez zábran přenášeny, finanční údaje, strategie. Časté jsou úniky dat zaviněné zaměstnanci, technickými nedostatky, v poslední době fenomén BYOD (ztráty soukromých zařízení, vymazání dat jinými uživateli, omylem předaná data atd.) – technická data, výzkum/vývoj. tato data jsou pod neustálými útoky nejenom technickými prostředky, ale i prostředky sociálního inženýrství. Jsou sice relativně dobře chráněna, ale o to více jsou sofistikovanější prostředky, které jsou na tyto útoky použity (Stuxnet, Flame) – státní data by měla být v zásadě chráněna na velmi vysoké úrovni, ale je tomu naopak. Nejde tak ani o odbornou nedostatečnost, ale spíše o počítačovou negramotnost vysokých státních úředníků a politiků. Tak není problém získat např. obsah poštovních schránek (Austrálie, USA, ...). Stejně tak se lze dostat k různým datům přes sociální inženýrství, zradou, korupcí atd. Proti státním systémům bývají nasazovány velmi sofistikované prostředky, které jsou často vytvářeny speciálními útočnými formacemi v kyberprostoru – Flame). Někde katastrofální přístup k zálohám atd.©Zdeněk Blažek, PhD. CISM, 28.II. 2013 8
  • 9. Ochrana dat – existuje doopravdy? Prostředky ochrany a jejich účinnost Technické (na tyto prostředky se spoléhá nejvíce) – Antivirové systémy (účinnost je diskutabilní-pohybuje se od 70% – 90%). Existence micromalware často tyto programy zcela obchází, bezpečnostní firmy volí tzv. triage systém. Nové škodlivé programy zcela obcházejí tuto ochranu: Flame zjištěn až po několika letech provozu víceméně náhodou firmou Kaspersky (květen 2012). Nemluvě již o tzv. policejním hackingu, který vyžaduje otevřená zadní vrátka. – firewally, vcelku známé, ale mohou se vyskytovat velmi závažné chyby zapříčiněné dodavateli (2009 – chyba v sw zapříčinila problémy DNS serverů a firewallů – vzájemně se negovaly). Vyžadují kvalifikovanou obsluhu. – IDS/IPS, Systémy detekce a prevence průniku, často složité, vyskytuje se mnoho chyb v nastavení – sledování síťového provozu, náročné na provozní prostředky a kvalifikovanou obsluhu, firmy šetří©Zdeněk Blažek, PhD. CISM, 28.II. 2013 9
  • 10. Ochrana dat – existuje doopravdy? Prostředky ochrany a jejich účinnost Organizační – politiky, často velmi formální, zaměstnanci jim nerozumí a nestarají se o ně. problém odtržení vedení, zejména větších firme a úřadů od reality – rámce, často velmi formální, zaměstnanci jim nerozumí a nestarají se o ně. problém odtržení vedení, zejména větších firem a úřadů od reality – návody, užitečné, ale pouze pro odborně zdatné jedince, běžným zaměstnancům mnoho neříkají. Často bývají cílem vnějších útočníků – popisy procesů, formalizované, vycházejí z toho, že firmy ztrácejí znalosti a snaží se je podchytit pro budoucí využití. Organizační prostředky jsou velmi často úspěšně likvidovány tzv. outsourcingem, kdy organizace ztrácí zhusta kontrolu nad svými daty a je vystavena tlaku poskytovatele na nepříliš přísný dohled nad ochranou svých dat. Vážné nedostatky lze nalézt např. v likvidaci výpočetní techniky.©Zdeněk Blažek, PhD. CISM, 28.II. 2013 10
  • 11. Ochrana dat – existuje doopravdy? nebezpečí hrozí odjinud – v zásadě největším nebezpečím pro ochranu dat jsou státní orgány ev. pověřené orgány soukromoprávní a to nejen tuzemské, ale i zahraniční (exekutoři, BIS, úvěrové společnosti, zdravotní instituce, ...) – snaha dostat kyberprostor pod kontrolu (Čína, Irán, ...) – dopady trestního řízení na provozovatele datových center za obsah, který je v nich uložen (Megaupload, ....) – snaha na mezinárodním poli o kontrolu nad toky dat (telekomunikace a snaha zpoplatnit přeshraniční data) – mezinárodní smlouvy a z nich vyplývající povinnosti předávání dat (USA - Foreign Account Tax Compliance Act - FATCA, ...) – zákony vlivných států, které mají mezinárodní dopad (SOX, ...) – snaha vlád získat data o svých občanech i nezákonným způsobem (krádeže dat o bankovních účtech apod.)©Zdeněk Blažek, PhD. CISM, 28.II. 2013 11
  • 12. Ochrana dat – spraví to zákony?§3 (1) Ustanovenia § 6 ods. 2 až 5, § 8 ods. 5, § 15 ods. 1, 2 a 8, § 28 ods. 1 a § 44 sa nevzťahujú na spracúvanie osobných údajov nevyhnutných na zabezpečenie verejného záujmu, ak prevádzkovateľ plní povinnosti výslovne ustanovené osobitným zákonom určené na zaistenie - bezpečnosti ... republiky,[1]) - obrany ... republiky,[2]) - verejného poriadku a bezpečnosti (6) Ustanovení § 5 odst. 1 a § 11 a 12 se nepoužijí pro zpracování osobních údajů nezbytných pro plnění povinností správce stanovených zvláštními zákony pro zajištění a) bezpečnosti České republiky, b) obrany České republiky, c) veřejného pořádku a vnitřní bezpečnosti, d) předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů, e) významného hospodářského zájmu České republiky nebo Evropské unie, f) významného finančního zájmu České republiky nebo Evropské unie, kterým je zejména stabilita finančního trhu a měny, fungování peněžního oběhu a platebního styku, jakož i rozpočtová a daňová opatření, g) výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci v případech uvedených v písmenech c), d), e) a f),10) nebo h) činností spojených se zpřístupňováním svazků bývalé Státní bezpečnosti.©Zdeněk Blažek, PhD. CISM, 28.II. 2013 12
  • 13. Jak postupovat? vyhodnotit, která data jsou opravdu pro organizaci cenná z hlediska její činnosti – dopady lze jasně určit – jednoduché zdůvodnění ochrany vyhodnotit, která data musíme chránit z legislativních důvodů – dopady lze jasně určit – jednoduché zdůvodnění ochrany Zde zvolit silnější metody ochrany v dalších případech se zbytečně nesnažit, tj. chránit spíše systémy než samotná data©Zdeněk Blažek, PhD. CISM, 28.II. 2013 13
  • 14. Incidenty dle kategorií hrozeb – 2010 netradiční pohled na problémy bezpečnosti 2012-13 The cloud economic model becomes compelling The economic benefits of cloud computing are likely to overpower any security concerns.©Zdeněk Blažek, PhD. CISM, 28.II. 2013 14
  • 15. Ochrana dat Závěrem dotazy a a j iz t ku os Dě orn z po©Zdeněk Blažek, PhD. CISM, 28.II. 2013 15