Představení řešení zabezpečení dokumentů Oracle Information Rights Management (IRM). Příspěvek pro 2. den odborné konference IIR Nové výzvy CIO konané 1.-2.12.2009 v hotelu Diplomat v Praze.
1. Data – to nejcennější, co máme Nové výzvy CIO, odborná konference IIR 2. prosince 2009, hotel Diplomat, Praha Patrik Plhoň, Consultant, SEFIRA spol. s r.o.
2.
3.
4. SEFIRA spol. s r.o. Data – to nejcennější, co máme vybrané reference 2. prosince 2009
5.
6.
7. 2. prosince 2009 SEFIRA spol. s r.o. příklad úniku citlivých informací (1/4) Spis dávající rady, jak zabránit úniku dat a dokumentů na internet unikl na web. Bezpečnostní manuál měl přitom pomoci celému ministerstvu, ozbrojeným složkám a bezpečnostním službám v udržení všech důležitých informací v bezpečí před hackery, novináři, zahraničními zvědy a dalšími. Data – to nejcennější, co máme novinky.cz, 6. 10. 2009
8. 2. prosince 2009 SEFIRA spol. s r.o. příklad úniku citlivých informací (2/4) Finský turista objevil v Praze v hotelovém počítači osobní data zahraničních politiků, kteří se zúčastnili pražského summitu EU-USA. Data v počítači podle finské agentury náhodně objevil turista, který po skončení summitu v pražském hotelu nocoval. Data – to nejcennější, co máme denik.cz, 18. 4. 2009
9. 2. prosince 2009 SEFIRA spol. s r.o. příklad úniku citlivých informací (3/4) Data – to nejcennější, co máme sme.sk, 3. 6. 2009 USB klíč s adresami, rodnými čísly a jinými citlivými informacemi o vojenských policistech se našel v obci Vrbové.
10. 2. prosince 2009 SEFIRA spol. s r.o. příklad úniku citlivých informací (4/4) Ztracený disk z ministerstva obrany Velké Británie mohl obsahovat údaje téměř 1 700 000 osob, které chtěli vstoupit do armády. Data – to nejcennější, co máme sme.sk, 13. 10. 2008
11. 2. prosince 2009 SEFIRA spol. s r.o. příklad omylu při odesílání e-mailu Data – to nejcennější, co máme lidovky.cz, 9. 7. 2009 8 z 10 reklamních a marketingových manažerů v USA přiznalo, že při zasílání e-mailů často chybuje ve výběru správného adresáta. O výsledcích výzkumu chyb ve firemní elektronické komunikaci informovala agentura Reuters.
12.
13.
14.
15.
16. Data – to nejcennější, co máme 2. prosince 2009 SEFIRA spol. s r.o. Princip řešení – jak to funguje? schéma fungování
17. 2. prosince 2009 SEFIRA spol. s r.o. rovnovážný trojimperativ Data – to nejcennější, co máme
18.
19.
20.
21.
22.
23.
24.
25.
26. 2. prosince 2009 SEFIRA spol. s r.o. provozování systému v rámci firemní infrastruktury Data – to nejcennější, co máme
27. 2. prosince 2009 SEFIRA spol. s r.o. Data – to nejcennější, co máme provozování systému formou outsourcingu Přenášena jsou jen oprávnění, nikoliv samotné dokumenty Dokumenty jsou zabezpečeny bez ohledu na to, kde se nacházejí (zabezpečení je součástí dokumentu)
28.
29.
30.
31.
32.
33.
34. 2. prosince 2009 SEFIRA spol. s r.o. Data – to nejcennější, co máme ČNB implementuje produkt Zabezpečení dokumentů - Oracle IRM (IRM) jako řešení pro ochranu citlivých informací v elektronických dokumentech určených specifickému okruhu uživatelů, typicky členům bankovní rady či vedoucím zaměstnancům sekcí zajišťujících dohledovou činnost nad finančním trhem. Tisková zpráva ČNB a Oracle Czech, 6. 8. 2008 vybraná reference v tuzemsku
35.
36.
37. 2. prosince 2009 SEFIRA spol. s r.o. diskuze, odpovědi na Vaše dotazy Data – to nejcennější, co máme
38.
Editor's Notes
Představení řešení zabezpečení dokumentů Oracle Information Rights Management (IRM). Příspěvek pro 2. den odborné konference IIR Nové výzvy CIO konané 1.-2.12.2009 v hotelu Diplomat v Praze.
Vládní spis "Jak zabránit úniku informací na internet" unikl na internet Britské ministerstvo obrany má z ostudy kabát. Jeho spis dávající rady, jak zabránit úniku dat a dokumentů na internet, totiž unikl unikl na web. Bezpečnostní manuál měl přitom pomoci celému ministerstvu, ozbrojeným složkám a bezpečnostním službám v udržení všech důležitých informací v bezpečí před hackery, novináři, zahraničními zvědy a dalšími. Někde však zřejmě udělali drobnou chybku. Zvětšit obrázek Otisk několika stránek dokumentu, který unikl na internet. FOTO: Oficiální spis JSP 440/ Wikileaks úterý 6. října 2009, 12:23 - Londýn Celkem 2400 stránek dlouhý dokument se objevil na webu Wikileaks, který se zaměřuje na publikování citlivých uniklých informací z větších organizací včetně vlády, nadnárodních korporací či církví. Spis v informačních službách známý jako JSP 440 byl vydán v roce 2001. Jak uvádí server Wikileaks, součástí tohoto spisu je i doporučení monitorování podobných serverů, jako je právě on sám. V kapitole Úniky oficiálních informací stojí: "Úniky se většinou projevují ve formě zpráv v médiích, které jsou často činné v nepovoleném odhalení oficiálních informací (ať už jsou ochranného charakteru či ne), což působí politické škody či ostudu, ať už celé britské vládě nebo jen konkrétnímu ministerstvu..." Čína je hladová po informacích Celý spis se odvíjí zejména od upozornění, že základem je vyhnout se novinářům, kteří jsou označeni jako hrozba, a v dokumentu tak stojí po boku zpravodajských služeb, kriminálníků, teroristických skupin a neloajálního personálu. Dokument pak například vypichuje Čínu jako stát, který je extrémně hladový po všech druzích informací, ať už politického, vojenského, komerčního, technického či vědeckého charakteru.
Při summitu EU v Praze unikly osobní údaje Stockholm/Helsinky/Praha - Finsko možná požádá Českou republiku o vyšetření úniku osobních informací, které se týkají jeho nejvyšších představitelů. Napsala to finská tisková agentura STT, která již v pátek informovala, že se údaje po nedávném summitu Evropské unie a Spojených států v Praze objevily ve veřejně přístupném počítači jednoho z pražských hotelů. Český Úřad pro ochranu osobních údajů dnes nevyloučil, že únik začne vyšetřovat i bez finského popudu. Kromě osobních dat finské prezidentky Tarji Halonenové a premiéra Mattiho Vanhanena byly v počítači údaje dalších asi 200 politiků ze zemí účastnících se vrcholné schůzky. Kabinet odstupujícího vicepremiéra pro EU Alexandra Vondry uvedl, že z Finska zatím nikdo o vyšetření úniku nepožádal. "Pokud tak učiní, budeme moci reagovat," řekla dnes ČTK Vondrova mluvčí Michaela Jelínková. Informace v počítači náhodně objevil finský turista, který po skončení summitu EU-USA v pražském hotelu nocoval. O možnosti, že Finové Prahu požádají o vyšetření úniku dat, agenturu STT informoval šéf finské tajné policie Kari Harju. Údaje se prý týkaly také krevních skupin politiků, jejich alergií a omezení při stravování. Michaela Jelínková k případu už v pátek pro STT uvedla, že údaje se do hotelového počítače dostaly "lidskou chybou" a byly z něj již odstraněny. Seznam podle ní ale neobsahoval žádné utajované, tedy ani důvěrné informace, jak je definuje český právní řád. "Obsahoval výhradně data určená pro naše pracovní potřeby," doplnila Vondrova mluvčí podle STT. České předsednictví EU dnes sdělilo, že seznam "obsahoval minimum informací, které by mohly být chápány jako citlivé". Údaje o krevních skupinách politiků, jejich alergiích a omezení při stravování podle dnešního vyjádření ředitele Úřad pro ochranu osobních údajů (ÚOOÚ) Igora Němce pro ČTK patří mezi citlivá data, která jsou chráněna přísněji. Němec na základě dosavadních informací ČTK řekl, že jeho úřad pravděpodobně začne únik dat vyšetřovat, neboť existuje vážné podezření pro porušení zákona na ochranu osobních údajů. Případnému viníkovi hrozí pokuta až 10 milionů korun. Také podle nezávislého experta na ochranu údajů Oldřicha Kužílka byl zjevně zákon porušen, tudíž by ÚOOÚ měl jednat. "Tato nešťastná situace byla zapříčiněna neúmyslným lidským selháním jednoho z našich zaměstnanců," informovalo české předsednictví EU. "Vzhledem k tomu, že tato událost představuje vážné porušení pracovních povinností, přistoupili jsme již k nezbytným personálním opatřením," uvedlo předsednictví bez dalšího. Lituje zároveň, "že tato situace nastala, stejně tak i všech potíží, které mohla způsobit". Finská tajná policie označila událost za "znepokojivou" a pro hostitelskou zemi významného summitu "trapnou". Její šéf Kari Harju si ovšem podle finských médií nemyslí, že by únik informací představoval bezpečnostní riziko. STT však zároveň napsala, že počítač obsahoval i jména pracovníků finských tajných služeb, kteří z bezpečnostních důvodů normálně neuvádějí svá jména na veřejnosti. Pražského summitu 5. dubna se zúčastnili vrcholní představitelé všech 27 členských zemí EU spolu s novým americkým prezidentem Barackem Obamou. (ČTK)
Našej armáde unikli citlivé vojenské údaje USB kľuč s adresami, rodnými číslami a inými citlivými informáciami o vojenských policajtoch sa našli v obci Vrbové. V najhoršom prípade môžu byť naši policajti v Afganistane vydieraní, a sú tak rizikom. Čo uniklo adresy rodné čísla platové podmienky údaje o použití zbrane výsledky sledovania priestorov žiadosti o premiestnenie BRATISLAVA. Slovenskí vojenskí policajti nečelia len hrozbe teroristov v Afganistane, kde asi tridsať z nich pracuje, ale aj na Slovensku. Interné údaje o stovke tých, ktorí majú riešiť priestupky svojich kolegov a chrániť ostatných vojakov v Afganistane, sa dostali na verejnosť. Podľa človeka, ktorý ich na USB kľúči priniesol do redakcie SME, sa tak stalo neuveriteľným spôsobom. Materiál sa vraj našiel na hlavnom námestí v obci Vrbové, neďaleko Piešťan. Stratila ho vraj posádka limuzíny BMW tmavej farby. Ide o auto, ktoré využívajú slovenskí ústavní činitelia, ale aj vyšší štátni úradníci. Na kľúči sa nachádzajú rozsiahle elektronické spisy a údaje osobného charakteru, ako sú adresy či rodné čísla. Pochádzajú z Útvaru vojenskej polície v Bratislave. Týkajú sa vojenských policajtov od roku 2006 až doteraz. Stĺpček Lukáša Filu o uniknutých údajoch - KLIKNITE Podľa našich informácií z prostredia ministerstva obrany mnohí z týchto ľudí už odišli z útvaru a sú teraz medzi vyše tridsiatimi slovenskými vojakmi, ktorí strážia vstup do vojenského tábora v Afganistane. Preto predstavuje únik informácií bezpečnostné riziko. „ Predstavte si, že strážite letisko, a jeden deň vás nakontaktuje človek, ktorý vám oznámi, že vie, kde býva vaša rodina a že bolo by lepšie pre ich zdravie, ak zajtra pustíte určitý kamión, človeka alebo zásielku na základňu plnú vojakov,“ povedal človek z ministerstva obrany. Vážny problém Databázy tiež obsahujú mená policajtov, ktorí idú na jazykové kurzy tento rok, aby mohli slúžiť v zahraničí – spolu so zoznamom misií, kam sa chystajú. Podľa bezpečnostného experta Tomáša Valáška z Center for European Reform v Londýne únik údajov je vážny problém. „ Aj keď sme zatiaľ neboli v prvej línii boja proti terorizmu, vôbec možnosť, že mená a osobné údaje ľudí, ktorí slúžia v Afganistane, sa dostali na verejnosť, by nás mala znepokojiť.“ Veľká hanba Na kľúči sú aj spisy, ktoré obsahujú policajné priestupky, úradné záznamy o použití služobnej zbrane alebo výsledky sledovania priestorov. Unikli aj údaje o platobných pomeroch, vzdelaní policajtov či žiadosti o premiestnenie. „ V armáde už nepracujem a nechcem s ňou už mať nič spoločné,“ povedal jeden z policajtov zo zoznamu, ktorého spis sme videli. Zdroj blízky ministerstvu potvrdil, že ide o aktuálne personálne spisy z vojenskej polície. Hovorca ministerstva obrany Vladimír Gemela odmietol odpovedať na otázku, aký trest čaká na človeka, ktorý údaje vyniesol, aj na otázku, či zaznamenali podobné úniky v minulosti. Denník SME upozornil ministerstvo obrany vedené Jaroslavom Baškom (Smer) na únik informácií a USB kľúč odovzdal vojenským vyšetrovateľom. Tí začali trestné stíhanie. Bývalý minister obrany Martin Fedor (SDKÚ) povedal, že si nepamätá na taký rozsiahly lapsus. „ Je to veľká hanba, ak také údaje unikli, a nesvedčí o profesionalite tých, ktorí sa starajú o zabezpečenie osobných údajov,“ povedal. „Je to bezpečnostné riziko najmä v prípade príslušníkov na zahraničných misiách, kde je ochrana osobných údajov oveľa dôležitejšia ako u obyčajných príslušníkov.“ V minulosti ministerstvo obrany odmietalo zverejniť čo i len mená vojakov, ktorí odchádzali do Afganistanu či do Iraku.
Stratený disk britského ministerstva mohol obsahovať dáta 1,7 milióna osôb Londýn 13. októbra (TASR) - Stratený disk z ministerstva obrany Veľkej Británie mohol obsahovať údaje takmer 1.700.000 osôb, ktorí chceli vstúpiť do armády. Uviedol to dnes námestník ministra obrany Bob Ainsworth. Pevný disk, o zmiznutí ktorého informovali médiá minulú stredu, bol totiž súčasťou náborového systému. Pri obyčajných uchádzačoch sa zaznamenáva len ich meno a kontaktné údaje. "Avšak u tých, ktorí sa uchádzajú o vstup do armády, je viac osobných dát," povedal Ainsworth v písomnom vyhlásení pre parlament. V niektorých prípadoch sa na disku vyskytovali aj také údaje ako sú bankové účty, číslo pasu, čísla poistenia, vodičský preukaz a informácie o najbližších príbuzných. Banky sú o celej veci informované a kontrolujú nepovolené prístupy k účtom. Ministerstvo dokonca zriadilo núdzovú linku pre poškodených. Prenosný pevný disk vraj zmizol z kancelárie službukonajúceho zamestnanca, ktorý spravuje údaje ministerstva. Ide o doposiaľ najvážnejší prípad úniku údajov na britskom ministerstve obrany. Správu priniesla tlačová agentúra Reuters.
Zkušenost s trapasem v emailu má většina manažerů 9. července 2009 12:28 NEW YORK - Strnutí úlekem z toho, že e-mail sice odešel, ale nesprávnému adresátovi, zná asi většina uživatelů elektronické pošty. Své o tom vědí i reklamní a marketingoví manažeři v USA. Při zasílání e-mailů jich chybuje osm z deseti. O výsledcích výzkumu chyb ve firemní elektronické komunikaci informovala agentura Reuters. Průzkumu se zúčastnilo na 250 vedoucích pracovníků v tisícovce společností. Manažeři se přiznali mimo jiné k tomu, jak pouhým stiskem tlačítka "odeslat" informovali celou firmu o výši platu zaměstnance, nebo jak stornovali nepříliš lichotivý e-mail o šéfovi, který se propracoval do nejužšího vedení firmy. Jako nejhorší "e-mailové" omyly manažeři například uvedli, jak informovali klienta o interních "pravidlech správného chování" na toaletách, nebo jak místo původně zamýšlené hrstce přátel směrovala manažerka vlastní lechtivý obrázek všem firemním zaměstnancům. "Lidé na vedoucích postech, a obzvláště v marketingu a reklamě, musejí běžně dávat pozor, aby nezpůsobili něco, po čem by mohli jejich zaměstnanci začít pochybovat o jejich úsudku nebo schopnostech. Znamená to mimořádnou pečlivost především tehdy, když zasílají jakoukoli zprávu, navíc s citlivými informacemi," uvedla výkonná ředitelka personální firmy orientované na reklamní a marketingové pracovníky Megan Slabinski. "Chyby v emailové komunikaci jsou někdy až bolestně vidět a mohou otřást všemi, kterých se to týká," uvedla v prohlášení Slabinski, jejíž firma průzkum zadávala.
Zneužití: zaměstnanci zákazníky partnery
Kontext - bezpečnostní skupina Offline perioda – doba, po kterou se koncový uživatel (resp. jeho koncová aplikace) nemusí synchronizovat se serverem (v h či dnech) Architektura klient/server Zabezpečení se stává součástí dokumentu Oracle IRM Server centrálně spravuje nastavení práv a shromažďuje data pro případný audit Možnost offline módu Distribuce práv mezi centralizovaným serverem a klientskými desktopy Možnost okamžitého zrušení práv a kontroly v reálném čase (real-time audit) Při zachování transparentního on-line/off-line přístupu k zabezpečené informaci Klasifikace umožňuje nastavení přístupu dle organizační struktury (odbor, oddělení, útvar, práva a role) Lze šifrovat celou složku souborů – zašifrovány jsou pak všechny jednotlivé soubory
Secure – Usable – Manageable
MS – Microsoft OS - klient – integrace do místní nabídky a Průzkumníka V př. poštovního klienta je předpokladem vyrenderování prostřednictvím příslušné aplikace (např. MS Word)
MS – Microsoft OS - klient – integrace do místní nabídky a Průzkumníka V př. poštovního klienta je předpokladem vyrenderování prostřednictvím příslušné aplikace (např. MS Word)
MS – Microsoft OS - klient – integrace do místní nabídky a Průzkumníka V př. poštovního klienta je předpokladem vyrenderování prostřednictvím příslušné aplikace (např. MS Word) Databázový server Oracle IRM Server (10g a 11g) Microsoft SQL Server (2000 a 2005)
Ochrana obsahu jeho digitálním podepisováním (navýšení velikosti o méně než 1 %) Ochrana komunikace mezi serverovou (OIRM Server) a klientskou (OIRM Desktop) aplikací Ochrana načtených práv klientské aplikace (OIRM Desktop) - práva jsou uložena ve vyrovnávací paměti (cache) Ochrana kódu jeho podepisováním (např. via Microsoft Authenticode) Vlastní správa systémového času a data Ochrana proti ukládání nezašifrovaného obsahu na lokální disky
ASP – Application Service Providing/Provider („poskytování aplikace jako služba“/“poskytovatel aplikace jako služby“; pronájem aplikací)
Zázemí technologického centra (Telehouse Center): energetický systém (trafostanice, UPS, motorgenerátor) klimatizační systém IP konektivita protipožární systém zabezpečení Oddělení správy jednotlivých součástí: databáze – SEFIRA provoz – SEFIRA kontexty – SEFIRA/zákazník uživatelská práva a role – SEFIRA/zákazník
Interní např. via SSO (LDAP, MS AD) Externí via jméno a heslo SSO – Single Sign-On (jednotné přihlášení prostřednictvím OS) via LDAP, resp. MS AD LDAP - Lightweight Directory Access Protocol ("odlehčený protokol pro přístup do složek") MS AD – Microsoft Active Directory
ASP – Application Service Providing/Provider („poskytování aplikace jako služba“/“poskytovatel aplikace jako služby“; pronájem aplikací)
„ Pojištění“ proti úniku citlivých informací: Proti ztrátě a odcizení dat či jejich nosičů a omylu či chybě „ Dálkové ovládání“ dokumentů: Offline perioda Synchronizace dle aktuálního nastavení práv a rolí (uživatel mohl ještě před 5ti min. dokument upravovat, nyní jej však již nemůže ani číst) Integrace do běžně a často používaných aplikací: OS Microsoft Windows, Průzkumník, MS Office (Word, Excel, PoerPoint a Outlook), PDF, atd. Sestavy pro audit, monitoring a optimalizaci používání obsahu: Statistiky přístupů Lze exportovat (např. do formátu CSV) Integrace s produktem McAfee Data Loss Prevention (DLP)