..ili kako to rade obrazovne institucije u svijetu te sto bi od njih trebali kopirati.
Predavnanje je odrzano na
Carnet User Conference CUC 10.11.2016.
1. Jesmo li sigurni
na internetu?
Toni Gržinić
Konzultant za informacijsku sigurnost
2. Sadržaj
1. Informacijska sigurnost i obrazovanje
2. Kako obrazovne instituciju u svijetu
provode informacijsku sigurnost
3. Od čega se obrazovne institucije štite?
4. Nije sve tako crno … otvoreni standardi
3. whoami
• Završio sam Fakultet organizacije i informatike u Varaždinu,
smjer Informacijski sustavi
• Radio sam u Lovelosu, Penti, CARNet CERT i HR-CERT.
Od 2011. službeno se bavim informacijskom sigurnošću.
• Trenutno radim u Diverto d.o.o. kao Konzultant za
informacijsku sigurnost.
• U slobodno vrijeme radim na doktoratu, područje
istraživanja “Hibridna metoda za detekciju malicioznih
programa”.
4. Diverto d.o.o
• Diverto d.o.o. osnovan je 2007. godine s idejom
primjene informacijske sigurnosti
• Sigurnosne usluge po mjeri
• GRC, Red team, blue team, forenzika
• Tim se sastoji od stručnjaka s višegodišnjim iskustvom u
informacijskoj sigurnosti (dolaze iz međunarodnih i
domaćih tvrtki – Cisco, IBM …).
• Ukoliko vjerujete certifikatima – CISSP, CISA, CISM,
CRISC, CEH, GPEN, GXPN, GCFE, GCFA, GIAC,
SEPP, MLS, OSCP, OSCE i mnogi drugi
• http://www.diverto.hr/
5. Informacijska sigurnost i obrazovanje?
• Obrazovna institucija (škola, fakultet) je ”poslovna”
organizacija te ima više ili manje formalizirane
poslovne procese
• Obrazovne institucije postaju digitalno “zrelije”
• Dostupne su na javnom internetu, imaju svoje
lokalne i bežične mreže, Windows domene itd…
• Meta su napadačima kao i lokalni portal s vijestima
• Obrazovne institucije djeluju u okviru pravne regulative
i usklađene su propisanim standardnim (pravilima)
(AZOO, NCVVO … ).
• Primjer, školski imenik je zbirka osobnih podataka (NN
106/2 čl.2. st.3.)
6. Povrede Zakona o zaštiti osobnih podataka –
iskustva iz AZOP-ove prakse
• Neovlašteno čitanje podataka iz e-Matice
(učenici unosili podatke u e-Maticu)
• Komentiranje rezultata NCVVO-og
ispitivanja od strane koordinatora
• Objavljivanje fotografija učenika na web
stranici škole bez privole roditelja
• Kamere koje snimaju ulaz u školu i
školske prostorije u svrhu zaštite imovine
i osoba (nije dobro definiran opseg
projekta i zadužene osobe)
• …
Branka Bet Radelić, Zaštita osobnih podatka u RH, AZOP, 2013. Url: http://bit.ly/2fPBcw1
10. Od čega se štitimo? Upravljanje lozinkama
dogtime.com
11. MIRAI malware/botnet
• IoT fijasko
• DDoS napad jačine 620 Gbps – 1 TBbs koji je na nekoliko
sati srušio važne servise na Internetu (Github, Reddit,
Twitter, SoundCloud, Spotify, Netflix, AirBnb)
• Napad na DNS registrar Dyn (listopad, 2016)
• Probava slabe lozinke na ruterima, logira se na njih i
DDoS-a svoje mete
• Optimistične procjene spominju 1,5M strojeva zaraženih
Miraiom (MalwareTech)
https://f5.com/about-us/news/articles/mirai-the-iot-bot-that-took-down-krebs-and-launched-a-tbps-ddos-attack-on-ovh-21937
13. Od čega se štitimo?
Ranjivosti na sustavima ili zašto nitko nije
instalirao zadnju zakrpu?
14. Od čega se štitimo?
Curenje podataka
haveibeenpwned.com
15. Od čega se štitimo? Enkripcija
“(…) Encryption should be used when you are dealing with data (including the
Data Protection Act’s definition of Sensitive Personal Data) which the LSE would
classify as ‘Confidential’.” (LSE, Encryption guidelines)
• Enkripcija cijelog računala - Bitlocker (Windows)
• Enkripcija e-pošte – GPG
• Enkripcija pojedinih datoteka/mapa - 7zip+lozinka,
VeraCrypt
• Enkripcija privatne komunikacije – OTR, Wire
http://www.lse.ac.uk/intranet/LSEServices/IMT/about/policies/documents/Guidelines-Encryption-Guidelines-v1.3.pdf
16. Nije sve tako crno … Slobodni (otvoreni) standardi
http://croatianmakers.hr/
http://hrblog.ivoras.net/2014/Apr-narodne-novine-servirane-na-raspberrypi-u.html
http://downloads.raspberrypi.org/Raspberry_Pi_Education_Manual.pdf
Škola, fakultet, X nema dovoljno resursa za …