Enterprise information security issues.

1. Семинар
«Международные стандарты в банковской деятельности»
20 февраля 2015
Информационная НЕбезопасность предприятия
В. Мельничук, директор сервиса ИТ аудита и консалтинга

2. Корпоративные риски
• Несостоятельность поддерживать
критические услуги
• Уменьшение рыночных позиций
или рыночной стоимости
• Потеря имиджа, репутации, бренда,
гудвил (goodwill)
• Потеря активов, интеллектуальной
собственности, персонала
• Потеря управления бизнесом
• Невыполнение
юридических/регуляторных
требований

3. Классификация происшествий по версии Verizon

4. ВСЕГО ЛИШЬ ТРИ КЛАССА ИНЦИДЕНТОВ СОСТАВЛЯЮТ…
…от общего количества инцидентов по индустрии
Розничный сектор финансовый сектор технологии

5. Методы и сценарии атак
• Фишинг
• Социальная инженерия
• Хак-девайсы
• Вирусытрояны
• DoS/DDoS атаки
• Protocol attack (UDP Bomb, Land, Mail bombing, Sniffing, IP Hijack,
Dummy ARP, Back Connect/Pipes/Reverse, Software vulnerabilities, Buffer
Overflow, Shatter, Nuke, Cross User Attack, etc)
• Web attack (CGI, SQL Injection, HRS (HTTP Resource Splitting), CSS/XSS
(Cross-Site Scripting), SiXSS (SQL Injection Cross Site Scripting), Hidden
Fields)
• USB Attack (BadUSB)

6. Фишинг
ВРЕДНЫЕ СОВЕТЫ
Как попасться «на удочку»?
- Кликните по одной из
указанных ссылок и в
открывшейся привычной
веб-странице укажите свой
логин и пароль

7. Социальная инженерия
ВРЕДНЫЕ СОВЕТЫ
Если у входа в офисное
помещение незнакомец
попросит вас открыть
дверь, поскольку свой
бейдж он забыл дома –
будьте приветливы и
помогите ему попасть в
«свой» офис.

8. Хак-девайсы
ВРЕДНЫЕ СОВЕТЫ
Если вам «подарили» некий
«ускоритель» клавиатуры,
обязательно вставьте его, как
показано на картинке.

9. Dos/DDoS атака
ВРЕДНЫЕ СОВЕТЫ
Как стать «зомби»?
- Установите коммерческое
программное обеспечение
и воспользуйтесь
генератором ключей или
«ломалкой» («кряк»,
«ключеделалка» ,
«лекарство», «таблетка»,
«пилюля», «вылеченный»
исполняемый файл,
«genkey», «fix»)

10. Трояны, Ransomware
ВРЕДНЫЕ СОВЕТЫ
Если вам пришло письмо от
незнакомки с «фотографиями со
вчерашней вечеринки»,
обязательно откройте эти
«фотографии»!

11. Web-атака

12. Новая угроза.
Security Research Labs: Karsten Nohl, Jakob Lell

13. Новая угроза - BadUSB
ВРЕДНЫЕ СОВЕТЫ
Если у входа в офис вам
дарят бесплатную
«флешку» с рекламным
роликом компании «Рога и
копыта» – обязательно
примите подарок и
посмотрите этот ролик на
рабочем компьютере! Если
антивирусная программа
мешает смотреть ролик –
отключите антивирус,
чтобы не мешал.

14. Менеджеры паролей

15. Жертвы аттак или внутреннего мошенничества
• JPMorgan Chase
• UBS
• Société Générale
• CitiGroup Inc
• RSA (SecurID)
• PayPal, VISA, MasterCard
• Saudi Adamco
• Международное агентство по атомной энергии (МАГАТЭ)
• eBay
• Google
• Cisco
• Motorola
• IBM
• Intel
• Home Depot
• Associated Press
• Facebook
• LinkedIn
• Одноклассники
• Twitter (Дмитрий Медведев)

16. Реальные случаи взломов – Sony Pictures
Компьютерная сеть одной из крупнейших
киностудий мира Sony Pictures
Entertainment была взломана 24 ноября
2014 года. Хакеры выложили в открытый
доступ персональные данные 47 тыс.
бывших и действующих сотрудников
компании. Кроме того, в Сети появилась
конфиденциальная информация о звездах,
работавших с этой киностудией. По
состоянию на первую декаду декабря,
полностью устранить последствия взлома
Sony Pictures так и не удалось.
Есть детальные зарплаты всей компании,
список уволенных в 2014 году, включая
причины и различные связанные с этим
затраты, данные о больничных, пенсионных
выплатах и прибыльности фильмов.

17. Процессы построения информационной защиты
• Поддержка
конфиденциальности
• Анализ рисков
• Построение архитектуры
защиты
• Безопасная разработка кода
• Реагирование на инциденты
• Поддержка процедур ИБ

18. Классификация активов
• Зачем классифицировать активы?
• Кто владеет информационным
активом?
• У кого есть права и полномочия?
• Кто определяет права и уровни
доступа?
• Кто утверждает политики доступа и
изменения в них?
• Где хранится документация?
• Как часто обновлять???

19. Виды информационных активов
• Бумажные документы
• Критическое оборудование и системы
• Системы управления сетями и серверами
(базы данных, почтовые сервера)
• Системы бухучета и управления предприятием
• Системы управления производством
• Системы управления логистикой
• прочее
• Конфиденциальные данные
• Коммерческая тайна (know-how, договорные
обязательства)
• Корпоративная интеллектуальная
собственность
• Персональные и корпоративные данные
клиентов
• Финансовые средства клиентов
• Ключи и доступ к управлению платежными
системами (системы клиент-банк, доступ к
удаленным ресурсам)
• Периферийное, серверное и сетевое
оборудование

20. Полномочия доступа
• Физический доступ
• Доступ в помещения
• Доступ к оборудованию
• Логический доступ
• Доступ к оборудованию
• Доступ к системам и приложениям
• Сетевые ресурсы, платформы,
сервера, базы данных
• Правила доступа, роли,
полномочия

21. Ключевые роли и ответственности
• Поддержка высшего руководства
• Разработанный комплект политик и процедур
• Организация и планирование
• Осведомление об опасностях и обучение
• Комплаенс (compliance), тестирование и мониторинг
• Обработка инцидентов и ответные меры

22. Международные и отечественные стандарты
Статус по банковской индустрии:
• Формальное отношение банков к реализации стандарта
• Отсутствие объективной и регулярной оценки рисков
• Отсутствие работающих процедур обработки рисков
• Статичная нормативная документация
• Нежелание вникать и как следствие - экономия на персонале ИБ и
делегирование ответственности на подразделение ИТ
СОУ Н НБУ 65.x СУІБVS

23. Тренд сертификации ISO 27001
Украина - 12
Польша - 307
Япония - 7084

24. Принцип “do not need to outrun the shark, just your
buddy” – не работает

25. Угадай героя
Jessica Harper - head of fraud and
security for online digital banking of
Lloyds Banking Group
- 2,5 млн фунтов стерлингов

26. Вопросы?