Czas jest dominującym czynnikiem. 12 składowych błędów ludzkich - pechowa dwunastka. Pętla OODA u podstaw zarządzania ryzkiem technologicznym, a to wszystko w kontekście prawdziwych incydentów, na które warto spojrzeć z innej perspektywy i wyciągnąć wnioski. Tylko kto się odważy zmienić swoje uporządkowane życie w chaos?

1. Od incydentu do bezpieczeństwa,
ścieżka zarządzania ryzykiem
połączonych usług i zasobów
ARTUR MAREK MACIĄG

2. Inicjatywa
Kultury
Bezpieczeństwa

3. „Time is the dominant parameter”
- 40 seconds Boyd
https://en.wikipedia.org/wiki/John_Boyd_(military_strategist)

4. Obserwacja-Orientacja-Decyzja-Akcja
https://docs.wixstatic.com/ugd/20f020_65b20dec99cb45d0bd1456ed526c09b8.pdf

5. OBSERWACJA
- gromadzenie danych dotyczących środowiska, w którym działamy

6. https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf
IncidentA security event that compromises the integrity,
confidentiality or availability of an information asset.
BreachAn incident that results in the confirmed disclosure—not
just potential exposure—of data to an unauthorized party.

7. C-suite
Mobile
GUI
https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf

8. https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf

9. https://www.varonis.com/blog/data-breach-response-times/
stolen credentials lack of asset management lack of access controls

10. ORIENTACJA
- analiza zebranych informacji i synteza przesłanek do podjęcia decyzji

11. https://www.varonis.com/blog/data-breach-response-times/
stolen credentials (DBIR2019, Target)
lack of asset management (DBIR2019, Marriott)
lack of access controls (DBIR2019, Uber)
https://www.cisecurity.org/cis-controls-version-7-whats-old-whats-new/
orientacja automatyczna
przed analizą ryzyka
DESTRUCTION & CREATION

12. DECYZJE
- świadomy lub rutynowy wybór / odrzucenie jednego z wariantów działania

13. http://mistrzbranzy.pl/artykuly/pokaz/Mocne-i-slabe-strony-biznesu-994.html
ANALIZA STRATEGIA
http://www.jaknapisac.com/analiza-swot/

14. DZIAŁANIE
- zmiana otoczenia poprzez testowanie podjętej decyzji

15. ISO 27005:
„Ryzyko to zagrożenia wykorzystujące podatności zasobów w celu wytworzenia strat organizacji”
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2017
Ryzyko dla Zasobu
Zagrożenie x Wpływ
WŁAŚCICIEL
ŚRODKI ZARADCZE
PODATNOŚCI
RYZYKA
ZASOBYZAGROŻENIAAGENCI ZAGROŻENIA
WEKTORY ATAKU
wartość
dąży do minimalizacji
redukują
mogą posiadać
mogą być
redukowane przez
wiodą do
które zwiększają
dla
które wykorzystują
którzy chcą nadużyć lub uszkodzić
używają
powodują
wzrost
oparte o grupy
może być swiadomy
nakłada

16. identyfikacja
ocena
zarządzanie
(+kontrole)
monitorowanie
i raportowanie
OODA LOOP CYKL ZARZĄZANIA
RYZYKIEM

17. DLACZEGO NIE DZIAŁA?
- kwestia czasu i perspektywy, problem niekompletności i spójności

18. cyber efekt Dunninga-Krugera
pewność siebie vs kompetencja
to, co faktycznie wiesz
uświadomiony brak wiedzy
Masz pewność,
że jesteś bezpieczny*
Myślisz, że już wiesz,
jednak nadal nie jesteś świadom,*
czego jeszcze nie wiesz.
Myślisz,
że jesteś bezpieczny*
Ale nie jesteś świadom,*
czego jeszcze nie wiesz. Uświadamiasz sobie swoją słabość
Dowiadujesz się, czego nie byłeś* świadom*
Audyt zewnętrzny, ocena, próba, ćwiczenie świadomości, cyber incydent
Wiesz co zrobić,
by czuć się bezpiecznie
Teraz wiesz jakiej wiedzy potrzebujesz,
aby ograniczyć przyszły wpływ na Ciebie,
wynikający z tego czego nie wiesz.
*wersja żeńska również obowiązuje
OPRACOWANIEINICJATYWAKULTURYBEZPIECZEŃSTWANAPODSTAWIEŹRÓDEŁINTERNETOWYCH

19. OODA LOOP + NIEPEWNOŚĆ (natura procesu poznawczego)
https://docs.wixstatic.com/ugd/20f020_65b20dec99cb45d0bd1456ed526c09b8.pdf

20. thinkers
PUNKT WIDZENIA

21. PRAWDZIWA HISTORIA
- tylko kto skorzysta?

23. B. Failed traffic inspection caused by expired certificate
A. Ineffective CISO location
https://www.gao.gov/assets/700/694158.pdf
https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf

24. Who How Why
Marriott Acquired hacked company
(Starwood)
Lack of communication, norms, lack of team work, lack of knowledge
Equifax Hacking (platform vulnerability) Lack of resources, pressure, lack of team work, lack of awareness
Adult Friend Finder Hacking (Local File Inclusion) Lack of resources, pressure, lack of team work, lack of awareness, stress
Uber AWS credentials on Github Norms, complacency, pressure, lack of resources, lack of team work
Anthem Phishing/malware Lack of assertiveness, stress, pressure, fatigue, complacency, lack of awareness
eBay User credentials Norms, lack of awareness, pressure, fatigue, lack of resources
JP Morgan Chase Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress
Home Depot Malware/trojanAV Lack of resources, pressure, lack of team work, lack of awareness, stress
Yahoo User account hacked Norms, lack of awareness, pressure, fatigue, lack of resources
Target Stores Third party HVAC system Lack of communication, norms, lack of team work, lack of knowledge
OPM Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress
Sony Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress
WYJŚCIE POZA SCHEMAT TECHNOLOGII

25. nawyki
presja
brak współpracy brak
asertywności
brak komunikacji
brak
świadomości
Nowe kontrole:
 Stosuj listy kontrolne
 Pytaj
 Kwestionuj
 Potwierdź wątpliwości
 Nie próbuj (wiedz co robić)
 Bądź na bieżąco
 Testuj innych
 Zmień perspektywę
 Miej plan
 Nie akceptuj jeśli się nie zgadzasz
 Rób co należy, a nie co łatwiejsze
 Skorzystaj z komentarzy
 Rób przerwy
 Nie łam własnych zasad
 Dbaj o siebie
Pechowa 12 błędów ludzkich

26. JEDNA PĘTLA DALEJ…
- gdy chaos daje przewagę i odporność
https://en.wikipedia.org/wiki/John_Boyd_(military_strategist)

27. • Sieć komunikacyjna jest wiarygodna i stabilna
• Brak opóźnień w przekazywaniu informacji
• Przepustowość informacyjna sieci jest nieskończona
• Sieć zapewnia bezpieczeństwo przekazywanym
danym
• Topologia sieci nie ulega nigdy zmianie
• Jest tylko jeden administrator technologii
• Przekaz danych nic nie kosztuje
• Sieć informacyjna jest jednorodna i spójna
Fałszywe założenia dla systemów rozproszonych:

28. INŻYNIERIA CHAOSU
CELOWY INCYDENT JAKO PROBIERZ RZECZYWISTOŚCI
 OODA LOOP W PRAKTYCE
 ZABURZENIE OODA LOOP ATAKUJĄCEGO
 ZWIĘKSZONA ODPORNOŚĆ ŚRODOWISKA NA AWARIE
https://www.gremlin.com/community/tutorials/chaos-engineering-the-history-principles-and-practice/

29. Koniec, końców … to kwestia czasu!
ORIENTACJAOBSERWACJA DECYZJA AKCJA
OO D A OO D A
TYPOWA OFIARA
ATAKUJĄCY
INŻYNIERIA
CHAOSU
O MAŁY WŁOS
+ WNIOSKI
OO DA
OO D A
OO D A OO D A OO D A OO D A OO D A
OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA
O
CZAS
OO DA OO DA

30. Dziękuję za uwagę