3. 3
Áttekintés – Cyber Services
Alapítás éve 2015 A cég alapítói és kiemelt szakértői az informatikai biztonság veteránjai szerteágazó nemzetközi tapasztalattal
Rendelkezésre álló erőforrások
10+ vezető szakértő
20+ szoftver/hardver fejlesztő
20+ szoftver/hardver tesztelő
Képesítések
9 etikus hacker (KCEH)
3 etikus hacker (International CEH)
4 proaktív biztonsági szakértő – Offensive Security Certified Professional (OSCP)
Szolgáltatások
Etikus hackelés Kiber fenyegetettség elemzés
Kibervédelmi gyakorlatok tervezése, levezetése
Többszintű információbiztonság tudatosság növelő képzési rendszerek fejlesztése, oktatás, gamification
Informatikai biztonsági képzések fejlesztése és oktatás
Reputáció menedzsment
Innováció menedzsment, startup
Integráció
Kiemelt referenciák
NATO
UAE Dubai
ZAIN Kuwait
EU Tanács
Jelentős kormányzati szerepvállalás (beleértve a hazai Kibervédelmi Központ – NBF CDMA kialakítását)
4. 4
„Felhőjogi” környezet
●
Jogvita
– ÁSZF és SLA alapján
●
kötbér
●
kártérítési felelősség
●
elévülés
●
Ki a joghatóság?
– NMHH
●
Magyar bíróság
– Európai bíróság
●
Nemzetközi bíróság
●
Mi a jogi környezet?
– ÁSZF ( Általános szolgáltatási Feltételek ) - NMHH
●
Új Ptk. – 2014. március 14.
– EU bíróság döntése – EU-US safe harbor megállapodás “nem valós”
5. 5
Felhőjog : EU - US Safe Harbor IS INVALID!
Court of Justice of the European Union (2015.10.06)
●
Judgment in Case C-362/14: Maximillian Schrems v Data Protection Commissioner
The Court of Justice declares that the Commission’s US Safe Harbour Decision
is invalid
●
Osztrák PhD hallgató, aki 2008 óta Facebookon regisztrált
●
A Facebook a személyes adatait amerikai szerverekre továbbította
●
Mivel 2013-ban Snowden feltárta, hogy az NSA közvetlen hozzáfér az személyes
adataihoz, ezért az ír hatóságoknál feljelentést tett, hogy az EU-US Safe Harbor
megállapodás nem teljesíti a EU adatvédelmi előírásait.
●
Az EU Bíróság most kimondta, hogy a Safe Harbor megállapás érvénytelen
Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal
data and on the free movement of such data (OJ 1995 L 281, p. 31).
Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the
protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (OJ 2000 L 215, p.
7).
The safe harbour scheme includes a series of principles concerning the protection of personal data to which United States undertakings may subscribe
voluntarily.
6. 6
Felhőjog – Adatüzlet, Hol tárolhatom?
A Piac még nem tudja értelmezni a Safe Harbor megállapodás megszüntét
Workaround-ok születnek
7. 7
Felhőjog – Net Neutrality
●
EU döntés: Roaming díj megszűnik EU-ban 2017-re, viszont az ebből eredő költségeit
a Telkó átháríthatja egy bizonyos érték felett. Mit jelent ez?
– Net neutrality megszűnik? Avagy vége az internetnek, vagy új innováció?
●
Sávszél vs Profit a Telkónál
– Voice 85% profit, 15% sávszél
– Data 15% profit, 85% sávszél
●
Deutsche Telekom „sávos” árazás a szolgáltatóknak
– speciális szolgáltatás
– QoS
– Revenue share a Start-Up-oknak az infra használatért
– Nem mindegy, hogy “jobb” szolgáltatást adunk, vagy korlátozzuk a többit?
●
http://www.theregister.co.uk/2015/10/27/european_net_neutrality_amendments_fail/
●
http://www.theregister.co.uk/2015/10/30/deutsche_telekom_starts_tiered_pricing/
●
http://hvg.hu/tudomany/20151102_ketsebesseges_internetezes_telekom_dt
8. 8
Felhőjog – Net Neutrality
„If adopted as currently written, these rules will threaten innovation, free
speech and privacy, and compromise Europe’s ability to lead in the digital
economy.”
Tim Berners-Lee, inventor of the World Wide Web, Founding Director of the World Wide
Web Foundation
●
http://webfoundation.org/2015/10/net-neutrality-in-europe-a-statement-from-sir-tim-berners-lee/
9. 9
On Premise IaaS PaaS SaaS
App App App App App
VM VM VM Szolgáltatás Szolgáltatás
Server Server Server Server Server
Storage Storage Storage Storage Storage
Network Network Network Network Network
On Premise
(host-olt)
Ügyfélnél a
kontroll
Megosztott a
kontroll
Szolgáltatói
kontroll
Trust-and-control
Ügyfél elveszíti a kontrollt
10. 10
Trust-and-control
●
Tier 1 = Nem redundáns kapacitás komponensek (telkó, szerverek).
●
Tier 2 = Tier 1 + Redundáns kapacitás komponensek.
●
Tier 3 = Tier 1 + Tier 2 + Két-betáppal az eszközök és több független telkó vonal.
●
Tier 4 = Tier 1 + Tier 2 + Tier 3 + Minden elem hibatűrő, a szünetmentes és a
hűtőrendszer is, több betáppal.
●
Tier 1: Garantált 99.671% rendelkezésre állás.
●
Tier 2: Garantált 99.741% rendelkezésre állás.
●
Tier 3: Garantált 99.982% rendelkezésre állás.
●
Tier 4: Garantált 99.995% rendelkezésre állás.
A kontroll vesztésért cserébe
CAPEX nélküli, skálázható, olcsó kapacitást kap
12. 12
Szolgáltatás
Összetettek a szolgáltatások, vegyünk egy e-commerce példát
●
Biztos minden igénybe vett 3rd-party szolgáltatás “Trusted”?
– Authentikáció, authorizáció – külső Oauth2
– Fizetés - Paypal
– Szállítás – DHL
●
Hogyan authorizáljuk a szolgáltatásokat?
●
Milyen szenzitív adatokat osztunk meg?
– Mindig csak a szükséges minimális infót adjuk meg? ( pl DHL: név, szállítási cím,
mobil, és nem adjuk meg az ügyfél egyéb adatait, fizetésnél csak a név és
bankkártya azonosítók szükségesek, a többi üzleti adat nem... )
– Nem kerülnek ki a felhasználói és üzleti adatok a szolgáltatás kontrollja alól?
– Tudjuk-e menedzselni a teljes supply-ra a teljes adatéletciklust? ( archíválás,
törlés, … )
– Van-e megfelelő biztonsági auditor, vannak minősítések? ( SOX, ISO, … )
13. 13
Szolgáltatás
Összetettek a szolgáltatások, vegyünk egy e-commerce példát
●
Biztos minden igénybe vett 3rd-party szolgáltatás “Trusted”?
– Authentikáció, authorizáció – külső Oauth2
– Fizetés - Paypal
– Szállítás – DHL
●
Hogyan authorizáljuk a szolgáltatásokat?
●
Milyen szenzitív adatokat osztunk meg?
– Mindig csak a szükséges minimális infót adjuk meg? ( pl DHL: név, szállítási cím,
mobil, és nem adjuk meg az ügyfél egyéb adatait, fizetésnél csak a név és
bankkártya azonosítók szükségesek, a többi üzleti adat nem... )
– Nem kerülnek ki a felhasználói és üzleti adatok a szolgáltatás kontrollja alól?
– Tudjuk-e menedzselni a teljes supply-ra a teljes adatéletciklust? ( archíválás,
törlés, … )
– Van-e megfelelő biztonsági auditor, vannak minősítések? ( SOX, ISO, … )
14. 14
Szolgáltatás
●
Minden “beszállító” teljesíti-e ?
– az elvárt SLA szintet
– az információ biztonsági elvárásokat?
●
Hogyan tudok erről meggyőződni?
●
Honnan nyújtják fizikailag a szolgáltatást? A számomra előírt elvárások ebben a
tekintetben teljesülnek-e? Tudja-e a szolgáltató garantálni az európai adatkezelést a
teljes adatéletciklusra?
– egészségügyi adatok
– közigazgatási adatok
15. 15
Bring-Your-Own-Device
●
Hol a rendszerhatár? - Mit kontrollálunk, mit nem? )
●
2faktoros authentikáció: az eszközt authentikáljuk a service-hez! ( Radius, Diameter )
●
Google Native Client ( új saját “VM” minden eszközre, blockchain technológiával )
21. 21
Sérülékenység
Kibersérülékenységek száma időben nem csökken! :)
●
Mobil eszközök, BYOD
●
Komplex szolgáltatások - Publikus micro service-ek, több támadható API
●
Gyors deployment – continuous deployment (DevOps)
– Tesztelés automatizálása és a code coverage nem jelenti, hogy valóban a teljes
támadási vektortér tesztelt, sőt!
●
SaaS Multi-tenant probléma: mennyire izoláltak a folyamatok, az adatok?
●
PaaS: azonos hardveren tud futni a támadó és a célpont!
●
IaaS: védett-e a belső hálózat, valóban csak a szükséges portok és kommunikáció
lehetséges? A belső kommunikáció védett csatornán, titkosítva, … ?
●
ÖSSZES EDDIG SÉRÜLÉKENYSÉG + MULTITENANT SÉRÜLÉKENYSÉGEK
●
Viszont komoly biztonsági csapatok és eszközök
22. 22
Hazai helyzet
●
Hazai datacenter helyzet
– 25,000 nm a teljes hazai “datacenter” infrastruktúra
– Főleg Tier1 , és azon belül is a “salgó polc”
– Jellemzően 0.5-1kW/m2 energiasűrűség ( ez a tizede a mai világátlagnak )
– Nem redundáns ( csak a cégek saját megoldásai )
●
Spoke-Hub infrastruktúra
– Szerencsénk: Európa pontosan közepe vagyunk, ezért az Isztambul-Berlin optika
itt megy át
– ~1000km-enként kéne egy Hub, ami München után valahol itt kéne legyen, de
nem biztos, hogy itt lesz
●
Biztonságos jogi környezet és energiabiztonság kell := “Biztonságosabb
kikötő”
– Megfelelő kíbervédelmi képesség : nemzeti és szolgáltatói szinten
24. 24
Jövő – IoT, M2M, IoE, AI
1
2
3
4
5
6
7
8
10
9
1. A műholdas kommunikáció leállhat
2. Az épületek áramellátása megszűnhet
3. Az olajkitermelés leállhat
4. A vasúti jelzőrendszer meghibásodhat
5. Vízszennyezés történhet
6. Elektromos energiallátási problémák merülhetnek fel
7. Az üzleti kommunikáció megbénulása
8. Légkondícionáló rendszerek leállhatnak
9. Mobiltelefon hálózati hiba lehetséges
10. Gázellátási problémák jelentkezhetnek
25. 25
Jövő – Felhő problémák
●
IPv6, CoAP/DTLS ( TLS on Datagram )
– nincs endpoint menedzsment szabvány
=> csak PSK ( pre-shared-key ), vagy full PKI megoldás működhet
– DTLS csak csatorna titkosítás, nincs szabványos hiteles üzenet küldés:
aláírás/titkosítás hiányzik
●
IPv6 routing megbízhatatlansága ( itt még elméleti problémák is vannak )
●
IPv6 és Smart Object session kezelés
●
Smart Objects interoperabilitása – bár van IPSO alliance, nem implementálják a
draftokat
●
Big Data privacy implementálása