SlideShare a Scribd company logo

Cyberbezpieczeństwo w chmurze obliczeniowej

Microsoft Polska
Microsoft Polska

Informacje na temat zagrożeń i możliwości rozwiązywania problemów z cyberbezpieczeństwem w chmurze. Zapraszamy do zapoznania się z ramami prawnymi i wyzwaniami związanymi z cyberbezpieczeństwem.

Law
1 of 31
Download to read offline
Trusted Cloud Day 2015 26 listopada 2015, Warszawa Spotkanie dla tych, którzy chcą zaufać chmurze
CYBERBEZPIECZEŃSTWO W CHMURZE OBLICZENIOWEJ – CZY KORZYSTAJĄCY Z USŁUG CHMUROWYCH SPEŁNIAJĄ WYMOGI BEZPIECZEŃSTWA WYNIKAJĄCE Z POLSKICH REGULACJI? 2
CZYM JEST CYBERBEZPIECZEŃSTWO? • Bezpieczeństwo systemów IT i urządzeń, w tym brak zakłóceń ich działaniu • Bezpieczeństwo zawartych na nich danych (np. tajemnice przedsiębiorstwa, dane osobowe) 3
ZAGROŻENIA • Według IDC (2013), 14% stron internetowych próbuje zainfekować komputery szkodliwym oprogramowaniem • Ponadto, w 533 testach miejsc w Internecie oferujących nielegalne oprogramowanie, 78% produktów zawierało oprogramowanie śledzące zachowania, a 27% zawierało konie trojańskie i inne niebezpieczne kody • Według raportu Verizon (2012), 69% incydentów dot. bezpieczeństwa było związanych z instalacją maleware • Równocześnie, w strefie EURO aż 13% przedsiębiorstw nie instaluje uaktualnień oprogramowania 4
ZAGROŻENIA • W Wielkiej Brytanii 81% dużych organizacji i 60% małych przedsiębiorstw doświadczyło naruszenia bezpieczeństwa (Information Security Breaches Survey 2014) • W USA 1 na 5 małych i średnich przedsiębiorstw jest celami ataków cyberprzestępców (National Cyber Cecurity Alliance) • 53% giełd na świecie było przedmiotem ataków • Według Verizon (2012), 83% włamań było dokonywanych przez zorganizowane grupy przestępcze • Zagrożenie cyberprzestępczością będzie nadal rosło – jednym z głównych celów będą dane osobowe 5
ZAGROŻENIA • Według IDC (2013), ogólnoświatowy koszt przedsiębiorców związanych z incydentami bezpieczeństwa wynikającymi z nielegalnego oprogramowania wynosi 114 mld $. • Średni koszt związany z najpoważniejszym naruszeniami w Wielkiej Brytanii rośnie (65-115 tys. GBP dla małych przedsiębiorstw i 600 tys. – 1,15 mln GBP dla dużych) • Według IDC (2013) łączny koszt dla przedsiębiorcy średnio na jeden przypadek „zainfekowania” wynosi 598$. W starej Unii – 2,499$ 6
PRZYKŁADY Z POLSKI Przypadek #1 • Średniej wielkości firma produkcyjna (atak miał miejsce w 2015 roku) • Włamanie do systemu i wielotygodniowa obserwacja zachowań kontrahentów i działu zakupów • Mail z „nowymi” danymi do przelewów 7
PRZYKŁADY Z POLSKI Przypadek #2 • Duża firma produkcyjna (atak miał miejsce w 2015 roku) • Wielotygodniowa obserwacja i „uczenie się” firmy • Kradzież tożsamości prezesa • Dzięki współpracy z FBI i policją odzyskano 7 mln $ 8
PRZYKŁADY Z POLSKI Przypadek #3 • Duża firma produkcyjna FMCG (atak miał miejsce w 2014 roku) • Włamanie oraz instalacja maleware. • Przekierowanie i „zamiana” instrukcji między spółką a bankiem • Dzięki współpracy z policją odzyskano 1,5 mln EURO 9
CZY KORZYSTAJĄCY Z USŁUG CHMUROWYCH SPEŁNIAJĄ WYMOGI BEZPIECZEŃSTWA WYNIKAJĄCE Z POLSKICH REGULACJI? 10
RAMY PRAWNE – DANE OSOBOWE • 1997/2004/2015 r. - Ustawa o ochronie danych osobowych (rozdz. 5) • 2004 r. – Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych 11
OBOWIĄZKI ADMINISTRATORA: • zastosowanie środków technicznych i organizacyjnych zapewniające ochronę DO - odpowiednich do zagrożeń i kategorii danych • kontrola nad tym, jakie DO, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane 12
OBOWIĄZKI PRZETWARZAJĄCEGO Przetwarzający odpowiada za wprowadzenie odpowiednich środków techniczno- organizacyjnych ochrony danych osobowych Zakres obowiązków zależy od miejsca prowadzenia działalności gosp. 13
WYMOGI ZABEZPIECZAJĄCE PRZED UDOSTĘPNIENIEM OSOBOM NIEUPRAWNIONYM ZABRANIEM PRZEZ OSOBĘ NIEUPRAWNIONĄ 14
KONTROLA DOSTĘPU FIZYCZNEGO: • Obszar w którym przetwarzane są DO musi być zabezpieczony przed dostępem osób nieuprawnionych • osoby nieuprawione mogą przebywać w obszarze za zgodą administratora lub w obecności osoby upoważnionej 15
KONTROLA DOSTĘPU DO DANYCH: • System informatyczny służący do przetwarzania DO chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. 16
KONTROLA DOSTĘPU DO DANYCH: • odrębny identyfikator dla użytkownika • uwierzytelnienie (jeśli na podstawie hasła – 8 znaków i zmiana nie rzadziej co 30 dni) • identyfikator użytkownika, który utracił uprawnienia, nie może być przydzielony innej osobie 17
WYMOGI ZABEZPIECZAJĄCE PRZED ZMIANĄ, UTRATĄ, USZKODZENIEM I ZNISZCZENIEM 18
• System informatyczny jest zabezpieczony przed działaniem oprogramowania którego celem jest uzyskanie nieuprawnionego dostępu do SI 19
• System informatyczny jest zabezpieczony przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej 20
• Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonanie kopii zapasowej zbiorów danych oraz programów służących do przetwarzania danych 21
• Kopie zapasowe przechowuje się w zabezpieczonych miejscach oraz usuwa po ustaniu ich użyteczności 22
• Urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar przetwarzania zabezpiecza się w sposób zapewniający poufność i integralność tych danych. 23
Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające DO, przeznaczone do: • likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; • przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; • naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. 24
• Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. 25
WPROWADZENIE ODPOWIEDNIEJ DOKUMENTACJI • Prowadzenie dokumentacji opisującej sposób przetwarzania DO i środki techniczne i organizacyjne zapewniające ochronę DO 26
REKOMENDACJE GRUPY ROBOCZEJ ART. 29 - BEZPIECZEŃSTWO • Przejrzystość przetwarzania • Dostępność • Usuwanie i przenoszenie danych • Integralność • Poufność (szyfrowanie) • Rozliczalność • Wsparcie w wykonywaniu praw osób, których dane dotyczą • Ograniczenie celu 27
SEKTOR FINANSOWY - Czy usługi chmurowe są outsourcingiem? - Rekomendacja D (rekomendacja 10 i nowe rekomendacje dot. bezpieczeństwa transakcji) - Nowa ustawa o działalności ubezpieczeniowej 28
WYZWANIA • „przed-cyfrowe” regulacje prawne i brak nowych rekomendacji/wytycznych dotyczących cyberbezpieczeństwa np. w administracji publicznej • Aktywne zaangażowanie korzystających z chmury w kwestiach cyberbezpieczeństwa 29
Chmura może być bezpieczna! 30
Dziękujemy za uwagę

Recommended

Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Logicaltrust pl
 
EXO5 - ochrona digital
EXO5 - ochrona digitalEXO5 - ochrona digital
EXO5 - ochrona digitalEXO5.pl
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
 
Odzyskiwanie danych z macierzy RAID - VS DATA
Odzyskiwanie danych z macierzy RAID - VS DATAOdzyskiwanie danych z macierzy RAID - VS DATA
Odzyskiwanie danych z macierzy RAID - VS DATAVS DATA
 
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...PROIDEA
 
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...ecommerce poland expo
 
Zabezpieczenie danych w firmie
Zabezpieczenie danych w firmieZabezpieczenie danych w firmie
Zabezpieczenie danych w firmieTremark Sp. z. o.o
 
IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.Tomasz Janas
 

Recommended

Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Logicaltrust pl
 
EXO5 - ochrona digital
EXO5 - ochrona digitalEXO5 - ochrona digital
EXO5 - ochrona digitalEXO5.pl
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
 
Odzyskiwanie danych z macierzy RAID - VS DATA
Odzyskiwanie danych z macierzy RAID - VS DATAOdzyskiwanie danych z macierzy RAID - VS DATA
Odzyskiwanie danych z macierzy RAID - VS DATAVS DATA
 
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...
PLNOG 18 - Andrzej Karpiński - Sieć #1 - działania i znaczenie bezpieczeństwa...PROIDEA
 
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...ecommerce poland expo
 
Zabezpieczenie danych w firmie
Zabezpieczenie danych w firmieZabezpieczenie danych w firmie
Zabezpieczenie danych w firmieTremark Sp. z. o.o
 
IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.Tomasz Janas
 
4
44
4Szymon Konkol - Publikacje Cyfrowe
 
Healthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od ITHealthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od ITWydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecieDorota Ręba
 
Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowSzymon Konkol - Publikacje Cyfrowe
 
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 plSoniaNaiba
 
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychNaruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychPwC Polska
 
Modul 1
Modul 1Modul 1
Modul 1Jacek
 
Chmura, bezpieczeństwo - wprowadzenie
Chmura, bezpieczeństwo - wprowadzenieChmura, bezpieczeństwo - wprowadzenie
Chmura, bezpieczeństwo - wprowadzenieEwaB
 
Chmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoChmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoKonwent2015
 
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...Beyond.pl
 
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...ecommerce poland expo
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Sektor 3.0
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBpatryczek
 
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoSzymon Konkol - Publikacje Cyfrowe
 
Bezpieczeństwo pracy zdalnej
Bezpieczeństwo pracy zdalnejBezpieczeństwo pracy zdalnej
Bezpieczeństwo pracy zdalnejSeqred
 
Dirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident ResponseDirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident ResponseArtur Marek Maciąg
 
Moduł 1
Moduł 1Moduł 1
Moduł 1Jacek
 
Bezpieczne biuro w kieszeni
Bezpieczne biuro w kieszeniBezpieczne biuro w kieszeni
Bezpieczne biuro w kieszenibleoszewski
 
infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ube...
infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ube...infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ube...
infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ube...PROIDEA
 

More Related Content

Similar to Cyberbezpieczeństwo w chmurze obliczeniowej

Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecieDorota Ręba
 
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 plSoniaNaiba
 
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychNaruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychPwC Polska
 
Modul 1
Modul 1Modul 1
Modul 1Jacek
 
Chmura, bezpieczeństwo - wprowadzenie
Chmura, bezpieczeństwo - wprowadzenieChmura, bezpieczeństwo - wprowadzenie
Chmura, bezpieczeństwo - wprowadzenieEwaB
 
Chmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoChmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoKonwent2015
 
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...Beyond.pl
 
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...ecommerce poland expo
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Sektor 3.0
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBpatryczek
 
Bezpieczeństwo pracy zdalnej
Bezpieczeństwo pracy zdalnejBezpieczeństwo pracy zdalnej
Bezpieczeństwo pracy zdalnejSeqred
 
Dirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident ResponseDirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident ResponseArtur Marek Maciąg
 
Moduł 1
Moduł 1Moduł 1
Moduł 1Jacek
 
Bezpieczne biuro w kieszeni
Bezpieczne biuro w kieszeniBezpieczne biuro w kieszeni
Bezpieczne biuro w kieszenibleoszewski
 
infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ube...
infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ube...infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ube...
infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ube...PROIDEA
 

Similar to Cyberbezpieczeństwo w chmurze obliczeniowej (20)

4
44
4
 
Healthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od ITHealthcare: bezpieczeństwo pacjentów zaczyna się od IT
Healthcare: bezpieczeństwo pacjentów zaczyna się od IT
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecie
 
Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikow
 
Afc module 4 pl
Afc module 4 plAfc module 4 pl
Afc module 4 pl
 
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychNaruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych
 
Modul 1
Modul 1Modul 1
Modul 1
 
Chmura, bezpieczeństwo - wprowadzenie
Chmura, bezpieczeństwo - wprowadzenieChmura, bezpieczeństwo - wprowadzenie
Chmura, bezpieczeństwo - wprowadzenie
 
Chmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawoChmura microsoft - technologia i prawo
Chmura microsoft - technologia i prawo
 
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...
 
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
 
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
Tomasz Duma: "Zabezpiecz zasoby Twojej organizacji"
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowych
 
Dokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowegoDokumentacja techniczna stanowiska komputerowego
Dokumentacja techniczna stanowiska komputerowego
 
Bezpieczeństwo pracy zdalnej
Bezpieczeństwo pracy zdalnejBezpieczeństwo pracy zdalnej
Bezpieczeństwo pracy zdalnej
 
Dirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident ResponseDirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident Response
 
Moduł 1
Moduł 1Moduł 1
Moduł 1
 
Bezpieczne biuro w kieszeni
Bezpieczne biuro w kieszeniBezpieczne biuro w kieszeni
Bezpieczne biuro w kieszeni
 
infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ube...
infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ube...infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ube...
infraxstructure: Agata Kowalska "Cloud computing w sektorze finansowym i ube...
 

Cyberbezpieczeństwo w chmurze obliczeniowej

  • 1. Trusted Cloud Day 2015 26 listopada 2015, Warszawa Spotkanie dla tych, którzy chcą zaufać chmurze
  • 2. CYBERBEZPIECZEŃSTWO W CHMURZE OBLICZENIOWEJ – CZY KORZYSTAJĄCY Z USŁUG CHMUROWYCH SPEŁNIAJĄ WYMOGI BEZPIECZEŃSTWA WYNIKAJĄCE Z POLSKICH REGULACJI? 2
  • 3. CZYM JEST CYBERBEZPIECZEŃSTWO? • Bezpieczeństwo systemów IT i urządzeń, w tym brak zakłóceń ich działaniu • Bezpieczeństwo zawartych na nich danych (np. tajemnice przedsiębiorstwa, dane osobowe) 3
  • 4. ZAGROŻENIA • Według IDC (2013), 14% stron internetowych próbuje zainfekować komputery szkodliwym oprogramowaniem • Ponadto, w 533 testach miejsc w Internecie oferujących nielegalne oprogramowanie, 78% produktów zawierało oprogramowanie śledzące zachowania, a 27% zawierało konie trojańskie i inne niebezpieczne kody • Według raportu Verizon (2012), 69% incydentów dot. bezpieczeństwa było związanych z instalacją maleware • Równocześnie, w strefie EURO aż 13% przedsiębiorstw nie instaluje uaktualnień oprogramowania 4
  • 5. ZAGROŻENIA • W Wielkiej Brytanii 81% dużych organizacji i 60% małych przedsiębiorstw doświadczyło naruszenia bezpieczeństwa (Information Security Breaches Survey 2014) • W USA 1 na 5 małych i średnich przedsiębiorstw jest celami ataków cyberprzestępców (National Cyber Cecurity Alliance) • 53% giełd na świecie było przedmiotem ataków • Według Verizon (2012), 83% włamań było dokonywanych przez zorganizowane grupy przestępcze • Zagrożenie cyberprzestępczością będzie nadal rosło – jednym z głównych celów będą dane osobowe 5
  • 6. ZAGROŻENIA • Według IDC (2013), ogólnoświatowy koszt przedsiębiorców związanych z incydentami bezpieczeństwa wynikającymi z nielegalnego oprogramowania wynosi 114 mld $. • Średni koszt związany z najpoważniejszym naruszeniami w Wielkiej Brytanii rośnie (65-115 tys. GBP dla małych przedsiębiorstw i 600 tys. – 1,15 mln GBP dla dużych) • Według IDC (2013) łączny koszt dla przedsiębiorcy średnio na jeden przypadek „zainfekowania” wynosi 598$. W starej Unii – 2,499$ 6
  • 7. PRZYKŁADY Z POLSKI Przypadek #1 • Średniej wielkości firma produkcyjna (atak miał miejsce w 2015 roku) • Włamanie do systemu i wielotygodniowa obserwacja zachowań kontrahentów i działu zakupów • Mail z „nowymi” danymi do przelewów 7
  • 8. PRZYKŁADY Z POLSKI Przypadek #2 • Duża firma produkcyjna (atak miał miejsce w 2015 roku) • Wielotygodniowa obserwacja i „uczenie się” firmy • Kradzież tożsamości prezesa • Dzięki współpracy z FBI i policją odzyskano 7 mln $ 8
  • 9. PRZYKŁADY Z POLSKI Przypadek #3 • Duża firma produkcyjna FMCG (atak miał miejsce w 2014 roku) • Włamanie oraz instalacja maleware. • Przekierowanie i „zamiana” instrukcji między spółką a bankiem • Dzięki współpracy z policją odzyskano 1,5 mln EURO 9
  • 10. CZY KORZYSTAJĄCY Z USŁUG CHMUROWYCH SPEŁNIAJĄ WYMOGI BEZPIECZEŃSTWA WYNIKAJĄCE Z POLSKICH REGULACJI? 10
  • 11. RAMY PRAWNE – DANE OSOBOWE • 1997/2004/2015 r. - Ustawa o ochronie danych osobowych (rozdz. 5) • 2004 r. – Rozporządzenie MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych 11
  • 12. OBOWIĄZKI ADMINISTRATORA: • zastosowanie środków technicznych i organizacyjnych zapewniające ochronę DO - odpowiednich do zagrożeń i kategorii danych • kontrola nad tym, jakie DO, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane 12
  • 13. OBOWIĄZKI PRZETWARZAJĄCEGO Przetwarzający odpowiada za wprowadzenie odpowiednich środków techniczno- organizacyjnych ochrony danych osobowych Zakres obowiązków zależy od miejsca prowadzenia działalności gosp. 13
  • 14. WYMOGI ZABEZPIECZAJĄCE PRZED UDOSTĘPNIENIEM OSOBOM NIEUPRAWNIONYM ZABRANIEM PRZEZ OSOBĘ NIEUPRAWNIONĄ 14
  • 15. KONTROLA DOSTĘPU FIZYCZNEGO: • Obszar w którym przetwarzane są DO musi być zabezpieczony przed dostępem osób nieuprawnionych • osoby nieuprawione mogą przebywać w obszarze za zgodą administratora lub w obecności osoby upoważnionej 15
  • 16. KONTROLA DOSTĘPU DO DANYCH: • System informatyczny służący do przetwarzania DO chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. 16
  • 17. KONTROLA DOSTĘPU DO DANYCH: • odrębny identyfikator dla użytkownika • uwierzytelnienie (jeśli na podstawie hasła – 8 znaków i zmiana nie rzadziej co 30 dni) • identyfikator użytkownika, który utracił uprawnienia, nie może być przydzielony innej osobie 17
  • 18. WYMOGI ZABEZPIECZAJĄCE PRZED ZMIANĄ, UTRATĄ, USZKODZENIEM I ZNISZCZENIEM 18
  • 19. • System informatyczny jest zabezpieczony przed działaniem oprogramowania którego celem jest uzyskanie nieuprawnionego dostępu do SI 19
  • 20. • System informatyczny jest zabezpieczony przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej 20
  • 21. • Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonanie kopii zapasowej zbiorów danych oraz programów służących do przetwarzania danych 21
  • 22. • Kopie zapasowe przechowuje się w zabezpieczonych miejscach oraz usuwa po ustaniu ich użyteczności 22
  • 23. • Urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar przetwarzania zabezpiecza się w sposób zapewniający poufność i integralność tych danych. 23
  • 24. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające DO, przeznaczone do: • likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; • przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; • naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. 24
  • 25. • Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. 25
  • 26. WPROWADZENIE ODPOWIEDNIEJ DOKUMENTACJI • Prowadzenie dokumentacji opisującej sposób przetwarzania DO i środki techniczne i organizacyjne zapewniające ochronę DO 26
  • 27. REKOMENDACJE GRUPY ROBOCZEJ ART. 29 - BEZPIECZEŃSTWO • Przejrzystość przetwarzania • Dostępność • Usuwanie i przenoszenie danych • Integralność • Poufność (szyfrowanie) • Rozliczalność • Wsparcie w wykonywaniu praw osób, których dane dotyczą • Ograniczenie celu 27
  • 28. SEKTOR FINANSOWY - Czy usługi chmurowe są outsourcingiem? - Rekomendacja D (rekomendacja 10 i nowe rekomendacje dot. bezpieczeństwa transakcji) - Nowa ustawa o działalności ubezpieczeniowej 28
  • 29. WYZWANIA • „przed-cyfrowe” regulacje prawne i brak nowych rekomendacji/wytycznych dotyczących cyberbezpieczeństwa np. w administracji publicznej • Aktywne zaangażowanie korzystających z chmury w kwestiach cyberbezpieczeństwa 29
  • 30. Chmura może być bezpieczna! 30