Successfully reported this slideshow.

Információbiztonság alulnézetből

758 views

Published on

Published in: Business
  • Be the first to comment

  • Be the first to like this

Információbiztonság alulnézetből

  1. 1. 2010<br />Oláh Tamás - INFOBIZ<br />1<br />Információbiztonság alulnézetből<br />(Mit lát a kívülálló?)<br />
  2. 2. 2010<br />Oláh Tamás - INFOBIZ<br />2<br />Az ESET<br />(párhuzamosan két nagy távközlési szolgáltatónál, céges és magánszemélyi státuszban is előfizetések „kötődtek”)<br />Szolgáltatói értesítés:<br /> "Üdvözöljük előfizetőink körében!"<br />Szolgáltatói számla:<br />Hóközi számla<br />
  3. 3. 2010<br />Oláh Tamás - INFOBIZ<br />3<br />Telefonos ügyfélszolgálatok reakciói<br />Adjam meg az „ügyfél azonosítómat”, különben a telefonos bejelentésekre nem tudnak reagálni.<br />Érthető: mert a telefonáló nem azonosítható.<br />Nem érthető: mert a "károkozás" nyugodtan folytatódhat tovább.<br />
  4. 4. 2010<br />Oláh Tamás - INFOBIZ<br />4<br />Személyes ügyfélszolgálatok reakciói<br />… tulajdonképpen mi közöm nekem a szolgáltatóhoz?<br />Az adatai nem egyeznek a szerződéses adatokkal - további felvilágosítást nem adunk (adatvédelmi okok).<br />Tegyen feljelentést a rendőrségen, majd a nyomtatványunkon kérelmezze, hogy ÖN nem azonos ÖNNEL.<br />Addig a bejelentést nem tudjuk fogadni, fizesse a számlákat, mert...(a Behajtási osztály intézkedik).<br />És a "károkozás" nyugodtan folytatódhat tovább.<br />
  5. 5. 2010<br />Oláh Tamás - INFOBIZ<br />5<br />Közbevetés 1<br />A szolgáltatónak van információbiztonsági rendszere (és egyéb ISO rendszerei).<br />B szolgáltatónak nincs információbiztonsági rendszere.<br />A két szolgáltatónak kísértetiesen egyező az alkalmazott eljárása, de B-nél mégis gördülékenyebben megy az ügyintézés.<br />
  6. 6. 2010<br />Oláh Tamás - INFOBIZ<br />6<br />Közbevetés 2<br />Feljelentés a szolgáltató(k) ellen:<br />fiktív számlamanipuláció,<br />zaklatás (Btk. 176/A §),<br />személyes adatokkal való visszaélés (Btk. 177/A §),<br />kényszerítés (kísérlete) (Btk. 174§).<br />A feljelentés után "nyugalmam" van, de...<br />a "károkozás" nyugodtan folytatódhat tovább.<br />
  7. 7. 2010<br />Oláh Tamás - INFOBIZ<br />7<br />Mit mondanak a szabályok? (1)<br />Általános Üzletszabályzat (internetről letöltve)<br />Az Előfizetői Szerződés létrejöttéhez szükséges adatok, igazolások (cím a 2.2.1. pontban)<br />Természetes személy esetén (Eht 157. § (2))<br />Előfizető neve, leánykori neve, <br />állandó lakcíme, tartózkodási helye, <br />születési helye, -ideje, anyja neve (önkéntesen megadandó), (?!)<br />személyi igazolvány vagy útlevél illetve a személyazonosságot igazoló egyéb dokumentum, annak száma, <br />továbbá a lakcímet igazoló hatósági igazolvány, <br />valamint ezek mellett egy, az Előfizetőt azonosító egyéb okmány (pl.: útlevél, társadalombiztosítási igazolvány, jogosítvány, adóigazolvány, bankkártya, stb.), annak száma,<br />és az Előfizető egyéb elérhetősége (telefonszám, e-mail cím).<br />
  8. 8. 2010<br />Oláh Tamás - INFOBIZ<br />8<br />Mit mondanak a szabályok? (2)<br />Nem természetes személy esetén (Eht 157. § (2))<br />Előfizető neve, székhelye, levelezési címe, <br />cégbejegyzési - ha nincs, más nyilvántartási - száma,<br />adószáma, bankszámlaszáma, a képviselő(k) vagy meghatalmazott(ak) neve, valamint egyéb elérhetősége (telefonszám, e-mail cím), és az igazoló dokumentumok sorszáma. <br />A szerződéskötéskor be kell mutatni képviselő(k) vagy meghatalmazott(ak) személyi igazolványát vagy útlevelét illetve a személyazonosságot igazoló egyéb dokumentumát (pl.: ideiglenes személyi igazolvány, stb.), a cégbírósági végzést (ha nincs, más nyilvántartásba vételt igazoló dokumentumot), az adóbejelentkezési lapot, bankszámla szerződést, a képviselő(k) aláírási címpéldányát és...<br />
  9. 9. 2010<br />Oláh Tamás - INFOBIZ<br />9<br />Mit mondanak a szabályok? (3)<br />Részleges szolgáltatás (cím az 1.1. pontban)<br /> Az Egyedi értékhatár (első 4 hónapban nettó 10.000,- Ft/hó) elérését követően a Szolgáltató által nyújtott csökkentett értékű szolgáltatás, amelynek körében a Szolgáltató biztosítja:<br />- az Előfizető hívhatóságát belföldön<br />- segélykérő hívások továbbítását<br />- a Szolgáltató Ügyfélszolgálatának, hibabejelentőjének elérését.<br /> A hóközi számla ennek értelmében jött és 17.000 Ft-ról szólt.<br />És a "károkozás" nyugodtan folytatódhat tovább.<br />
  10. 10. 2010<br />Oláh Tamás - INFOBIZ<br />10<br />2.4. A Szolgáltató minőségügyi rendszere<br />2.4.1. A Szolgáltató átfogó minőségbiztosítási rendszert működtet és elnyerte az ISO 9001:2000 minőségbiztosítási tanúsítványt. A rendszer szabályozott folyamatokon keresztül biztosítja a minőségi jellemzők rendszeres mérését, dokumentálását és archiválását. A minőségbiztosítási rendszer folyamatos működését a xxx tanúsító meghatározott rendszerességgel ellenőrzi és tanúsítja.<br />A honlapon fel van tüntetve az ISO 9001:2000, ISO 14001:2004, és ISO/IEC 27001:2005 tanúsítvány is.<br />
  11. 11. 2010<br />Oláh Tamás - INFOBIZ<br />11<br />A "kívülálló" gondolatai (általában)<br />1. Szép nagy cég - legalább egy jogászt is alkalmazhatna.<br />kinek kell feljelentést tenni,<br />az ÁÜsz pontjai és a hivatkozott törvényhelyek között legyen összefüggés,<br />a Behajtási osztály kivel szemben járjon el.<br />2. Ha van szabályozás (ÁÜsz), azt be kéne tartani.<br />
  12. 12. 2010<br />Oláh Tamás - INFOBIZ<br />12<br />A "kívülálló" gondolatai (ISO 27001 szemszögből)<br />1. A törvényi megfelelés nem feltétele-e az ISO rendszereknek?<br />2. A becsapott szervezet nem érzi-e magát hamis biztonságban?<br />(… És a "károkozás" nyugodtan folytatódhat tovább.)<br />3. A szervezet – a hamis biztonság miatt – nem csapja-e be a partnereit?<br />(A károkozás bennünket is érint: tiltólistákon való megjelenés, kiesett munkaidők, rendőrségi idézések, stb. formájában. A szolgáltatóknak okozott kár kb. 300.000 Ft. A szolgáltatók eljárásaiból adódó kárunk ennek kb. a duplája. Lehet, hogy jobban jártunk volna, ha kifizetjük a számlákat?  )<br />4. A felkészítőnek felelőssége-e a "helyes" rendszerkiépítés? (... no és a szakma becsülete … ?)<br />5. A tanúsítónak felelőssége-e, hogy ilyen esetek megtörténhetnek? (Kiderülhet-e ez auditáláskor? Kell-e eljárásának lennie, ha felhívják erre a figyelmét – pl. bejelentés formájában? Akkor is belefér-e az a működés a tanúsításba?)<br />
  13. 13. A „szakma” becsülete?<br />Sajnálatos tény, hogy – hasonlóan az ISO 9001-es rendszerek leértékelődéséhez – az ISO 27001-es rendszerek leértékelődése is elkezdődött a piacon. ///tanúsítvány (= papír) megvétele a legolcsóbban (felkészítőtől + tanúsítótól)<br />Tanúsított cégnek nincs jobb biztonsága (nem is akart!), csak „megvásárolt” papírja!<br />Kívülálló nem tapasztalja a tanúsítvány mögött a jól működő rendszert, csak a problémákat – mire jó akkor a tanúsítás?<br />Szerezzük vissza a SZAKMA becsületét! HIRDESSE ezt az információbiztonsági szakma fóruma: A HÉTPECSÉT!<br />2010<br />Oláh Tamás - INFOBIZ<br />13<br />
  14. 14. 2010<br />Oláh Tamás - INFOBIZ<br />14<br />Köszönöm megtisztelő figyelmüket!<br />Oláh Tamás<br />(30) 9797937<br />olaht@infobiz.hu <br />

×