Informacje na temat zagrożeń i możliwości rozwiązywania problemów z cyberbezpieczeństwem w chmurze. Zapraszamy do zapoznania się z ramami prawnymi i wyzwaniami związanymi z cyberbezpieczeństwem.
Semafor 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
https://www.exo5.pl/ Poznaj jak działa produkt EXO5 i dlaczego jest on niezbędny dla bezpieczeństwa Twojej firmy. Dowiedz się jakie certyfikaty bezpieczeństwa zastosowano, jakie korzyści osiągniesz oraz przeczytaj o specyfikacjach i wymaganiach technicznych.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
PLNOG 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Odzyskiwanie danych z macierzy RAID - VS DATAVS DATA
W podanej prezentacji znalazły się najistotniejsze informacje dotyczące firmy VS DATA - lidera w profesjonalnym odzyskiwaniu danych z Polski północnej. W jej ofercie oprócz profesjonalnego odzyskiwania danych ze wszystkich nośników, znajdują się usługi z zakresu informatyki śledczej. Więcej szczegółowych informacji dostępnych jest na stronie internetowej http://www.vsdata.pl/.
IT w RODO – praktyczne podejście do spełnienia wymagań RODO przez dział IT.
Jakie wymagania w stosunku do działu IT wprowadza rozporządzenie? Od czego zacząć? Jakie rozwiązania informatyczne zastosować?
Analiza zapisów rozporządzenia - zapraszam do lektury.
Semafor 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
https://www.exo5.pl/ Poznaj jak działa produkt EXO5 i dlaczego jest on niezbędny dla bezpieczeństwa Twojej firmy. Dowiedz się jakie certyfikaty bezpieczeństwa zastosowano, jakie korzyści osiągniesz oraz przeczytaj o specyfikacjach i wymaganiach technicznych.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
PLNOG 2015
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Odzyskiwanie danych z macierzy RAID - VS DATAVS DATA
W podanej prezentacji znalazły się najistotniejsze informacje dotyczące firmy VS DATA - lidera w profesjonalnym odzyskiwaniu danych z Polski północnej. W jej ofercie oprócz profesjonalnego odzyskiwania danych ze wszystkich nośników, znajdują się usługi z zakresu informatyki śledczej. Więcej szczegółowych informacji dostępnych jest na stronie internetowej http://www.vsdata.pl/.
IT w RODO – praktyczne podejście do spełnienia wymagań RODO przez dział IT.
Jakie wymagania w stosunku do działu IT wprowadza rozporządzenie? Od czego zacząć? Jakie rozwiązania informatyczne zastosować?
Analiza zapisów rozporządzenia - zapraszam do lektury.
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychPwC Polska
Prezentacja ze spotkania DPO Talks - warsztatów dla osób pełniących funkcję Inspektora Ochrony Danych oraz zajmujących się ochroną danych osobowych w firmach.
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...Beyond.pl
Z jakim ryzykiem wiąże się przesyłanie danych do serwerów w USA?
Agenda:
Niebezpieczna chmura zza oceanu
Przetwarzanie danych osobowych - definicje
Kto czuwa nad przetwarzaniem danych w Polsce?
Kiedy administrator może przekazać dane?
Przekazanie danych osobowych do Państw trzecich
Zagrożenia związane z przechowywaniem danych za granicą
Przechowywanie danych poza UE – przypadek USA
Kogo dotyczy Safe Harbour?
Beyond.pl - Bezpieczna chmura obliczeniowa
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
Praca zdalna z dnia na dzień stała się koniecznością.
Zdalny dostęp utrudnia ochronę danych firmowych i powoduje, że ryzyko utraty wrażliwych informacji znacząco rośnie. Z jakich rozwiązań technologicznych korzystać i jakie wprowadzić procedury? Jak bezpiecznie korzystać z Internetu?
Dirty 12 of Human Errors for Business Continuity/Incident ResponseArtur Marek Maciąg
Based on data driven security (Verizon DBIR2019) and Incident Response ported from aviation, we analysed cognitive biases of underlying cybersecurity incidents and data breaches building action plan that covers human factors detected. Illustrated with Equifax data breach reach reports.
Naruszenia ochrony danych osobowych vs. Inspektor Ochrony DanychPwC Polska
Prezentacja ze spotkania DPO Talks - warsztatów dla osób pełniących funkcję Inspektora Ochrony Danych oraz zajmujących się ochroną danych osobowych w firmach.
Koniec safe harbour, czyli na co uważać wybierajac dostawcę usług cloud compu...Beyond.pl
Z jakim ryzykiem wiąże się przesyłanie danych do serwerów w USA?
Agenda:
Niebezpieczna chmura zza oceanu
Przetwarzanie danych osobowych - definicje
Kto czuwa nad przetwarzaniem danych w Polsce?
Kiedy administrator może przekazać dane?
Przekazanie danych osobowych do Państw trzecich
Zagrożenia związane z przechowywaniem danych za granicą
Przechowywanie danych poza UE – przypadek USA
Kogo dotyczy Safe Harbour?
Beyond.pl - Bezpieczna chmura obliczeniowa
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
Praca zdalna z dnia na dzień stała się koniecznością.
Zdalny dostęp utrudnia ochronę danych firmowych i powoduje, że ryzyko utraty wrażliwych informacji znacząco rośnie. Z jakich rozwiązań technologicznych korzystać i jakie wprowadzić procedury? Jak bezpiecznie korzystać z Internetu?
Dirty 12 of Human Errors for Business Continuity/Incident ResponseArtur Marek Maciąg
Based on data driven security (Verizon DBIR2019) and Incident Response ported from aviation, we analysed cognitive biases of underlying cybersecurity incidents and data breaches building action plan that covers human factors detected. Illustrated with Equifax data breach reach reports.
3. CZYM JEST CYBERBEZPIECZEŃSTWO?
• Bezpieczeństwo systemów IT i urządzeń, w
tym brak zakłóceń ich działaniu
• Bezpieczeństwo zawartych na nich danych
(np. tajemnice przedsiębiorstwa, dane
osobowe)
3
4. ZAGROŻENIA
• Według IDC (2013), 14% stron internetowych próbuje
zainfekować komputery szkodliwym oprogramowaniem
• Ponadto, w 533 testach miejsc w Internecie oferujących
nielegalne oprogramowanie, 78% produktów zawierało
oprogramowanie śledzące zachowania, a 27% zawierało konie
trojańskie i inne niebezpieczne kody
• Według raportu Verizon (2012), 69% incydentów dot.
bezpieczeństwa było związanych z instalacją maleware
• Równocześnie, w strefie EURO aż 13% przedsiębiorstw nie
instaluje uaktualnień oprogramowania
4
5. ZAGROŻENIA
• W Wielkiej Brytanii 81% dużych organizacji i 60% małych
przedsiębiorstw doświadczyło naruszenia bezpieczeństwa
(Information Security Breaches Survey 2014)
• W USA 1 na 5 małych i średnich przedsiębiorstw jest celami
ataków cyberprzestępców (National Cyber Cecurity Alliance)
• 53% giełd na świecie było przedmiotem ataków
• Według Verizon (2012), 83% włamań było dokonywanych
przez zorganizowane grupy przestępcze
• Zagrożenie cyberprzestępczością będzie nadal rosło – jednym
z głównych celów będą dane osobowe
5
6. ZAGROŻENIA
• Według IDC (2013), ogólnoświatowy koszt przedsiębiorców
związanych z incydentami bezpieczeństwa wynikającymi z
nielegalnego oprogramowania wynosi 114 mld $.
• Średni koszt związany z najpoważniejszym naruszeniami w
Wielkiej Brytanii rośnie (65-115 tys. GBP dla małych
przedsiębiorstw i 600 tys. – 1,15 mln GBP dla dużych)
• Według IDC (2013) łączny koszt dla przedsiębiorcy średnio na
jeden przypadek „zainfekowania” wynosi 598$. W starej Unii –
2,499$
6
7. PRZYKŁADY Z POLSKI
Przypadek #1
• Średniej wielkości firma produkcyjna (atak miał miejsce
w 2015 roku)
• Włamanie do systemu i wielotygodniowa obserwacja
zachowań kontrahentów i działu zakupów
• Mail z „nowymi” danymi do przelewów
7
8. PRZYKŁADY Z POLSKI
Przypadek #2
• Duża firma produkcyjna (atak miał miejsce w 2015
roku)
• Wielotygodniowa obserwacja i „uczenie się” firmy
• Kradzież tożsamości prezesa
• Dzięki współpracy z FBI i policją odzyskano 7 mln $
8
9. PRZYKŁADY Z POLSKI
Przypadek #3
• Duża firma produkcyjna FMCG (atak miał miejsce w
2014 roku)
• Włamanie oraz instalacja maleware.
• Przekierowanie i „zamiana” instrukcji między spółką a
bankiem
• Dzięki współpracy z policją odzyskano 1,5 mln EURO
9
10. CZY KORZYSTAJĄCY Z USŁUG CHMUROWYCH
SPEŁNIAJĄ WYMOGI BEZPIECZEŃSTWA
WYNIKAJĄCE Z POLSKICH REGULACJI?
10
11. RAMY PRAWNE – DANE OSOBOWE
• 1997/2004/2015 r. - Ustawa o ochronie
danych osobowych (rozdz. 5)
• 2004 r. – Rozporządzenie MSWiA w sprawie
dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i
organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące
do przetwarzania danych
11
12. OBOWIĄZKI ADMINISTRATORA:
• zastosowanie środków technicznych i
organizacyjnych zapewniające ochronę DO
- odpowiednich do zagrożeń i kategorii
danych
• kontrola nad tym, jakie DO, kiedy i przez
kogo zostały do zbioru wprowadzone oraz
komu są przekazywane
12
13. OBOWIĄZKI PRZETWARZAJĄCEGO
Przetwarzający odpowiada za wprowadzenie
odpowiednich środków techniczno-
organizacyjnych ochrony danych osobowych
Zakres obowiązków zależy od miejsca
prowadzenia działalności gosp.
13
15. KONTROLA DOSTĘPU FIZYCZNEGO:
• Obszar w którym przetwarzane są DO
musi być zabezpieczony przed dostępem
osób nieuprawnionych
• osoby nieuprawione mogą przebywać w
obszarze za zgodą administratora lub w
obecności osoby upoważnionej
15
16. KONTROLA DOSTĘPU DO DANYCH:
• System informatyczny służący do
przetwarzania DO chroni się przed
zagrożeniami pochodzącymi z sieci
publicznej poprzez wdrożenie fizycznych
lub logicznych zabezpieczeń chroniących
przed nieuprawnionym dostępem.
16
17. KONTROLA DOSTĘPU DO DANYCH:
• odrębny identyfikator dla użytkownika
• uwierzytelnienie (jeśli na podstawie hasła –
8 znaków i zmiana nie rzadziej co 30 dni)
• identyfikator użytkownika, który utracił
uprawnienia, nie może być przydzielony
innej osobie
17
19. • System informatyczny jest zabezpieczony
przed działaniem oprogramowania
którego celem jest uzyskanie
nieuprawnionego dostępu do SI
19
20. • System informatyczny jest zabezpieczony
przed utratą danych spowodowaną awarią
zasilania lub zakłóceniami w sieci
zasilającej
20
21. • Dane osobowe przetwarzane w systemie
informatycznym zabezpiecza się przez
wykonanie kopii zapasowej zbiorów
danych oraz programów służących do
przetwarzania danych
21
22. • Kopie zapasowe przechowuje się w
zabezpieczonych miejscach oraz usuwa po
ustaniu ich użyteczności
22
23. • Urządzenia i nośniki zawierające dane
osobowe przekazywane poza obszar
przetwarzania zabezpiecza się w sposób
zapewniający poufność i integralność tych
danych.
23
24. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające
DO, przeznaczone do:
• likwidacji - pozbawia się wcześniej zapisu tych danych, a w
przypadku gdy nie jest to możliwe, uszkadza się w sposób
uniemożliwiający ich odczytanie;
• przekazania podmiotowi nieuprawnionemu do przetwarzania
danych - pozbawia się wcześniej zapisu tych danych, w sposób
uniemożliwiający ich odzyskanie;
• naprawy - pozbawia się wcześniej zapisu tych danych w sposób
uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem
osoby upoważnionej przez administratora danych.
24
25. • Administrator danych stosuje środki
kryptograficznej ochrony wobec danych
wykorzystywanych do uwierzytelnienia,
które są przesyłane w sieci publicznej.
25
26. WPROWADZENIE ODPOWIEDNIEJ DOKUMENTACJI
• Prowadzenie dokumentacji opisującej
sposób przetwarzania DO i środki
techniczne i organizacyjne zapewniające
ochronę DO
26
27. REKOMENDACJE GRUPY ROBOCZEJ ART. 29 -
BEZPIECZEŃSTWO
• Przejrzystość przetwarzania
• Dostępność
• Usuwanie i przenoszenie danych
• Integralność
• Poufność (szyfrowanie)
• Rozliczalność
• Wsparcie w wykonywaniu praw osób, których dane
dotyczą
• Ograniczenie celu
27
28. SEKTOR FINANSOWY
- Czy usługi chmurowe są outsourcingiem?
- Rekomendacja D (rekomendacja 10 i nowe
rekomendacje dot. bezpieczeństwa
transakcji)
- Nowa ustawa o działalności
ubezpieczeniowej
28
29. WYZWANIA
• „przed-cyfrowe” regulacje prawne i brak
nowych rekomendacji/wytycznych
dotyczących cyberbezpieczeństwa np. w
administracji publicznej
• Aktywne zaangażowanie korzystających z
chmury w kwestiach cyberbezpieczeństwa
29