Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuCybersecurity Foundation
Fundacja Bezpieczna Cyberprzestrzeń już po raz czwarty przygotowała raport o zagrożeniach czyhających w sieci Internet. Początek roku to zwykle podsumowanie tego co było i pierwsza próba przygotowania się na to co może nastąpić. Wiele firm na podstawie opracowań i przewidywań własnych lub zewnętrznych przeprowadza w tym czasie analizy tego co działo się w minionym roku i jednocześnie, planuje budżety i działania strategiczne dotyczące wejścia w nadchodzący rok. Podobnie jest, jeśli chodzi o branżę cyberbezpieczeństwa.
Tradycyjnie więc przygotowaliśmy dla Państwa raport, w którym chcemy przedstawić najbardziej prawdopodobne i najbardziej groźne zjawiska w cyberprzestrzeni jakie mogą się pojawić
w nadchodzącym roku.
Na wstępie zamieszczamy podsumowanie tego co zdarzyło się w roku 2015. Przedstawimy również przewidywania w dalszej części tego raportu, chcemy uczulić na to, co potencjalnie najgroźniejsze. Naszym celem jest aby raport ten był pomocny w działaniach na rzecz minimalizacji ryzyka działań w cyberprzestrzeni. Specjaliści od zarządzania ryzykiem szczególnie mogą z niego skorzystać, chociażby dzięki wartościowaniu poszczególnych zagrożeń.
Przygotowany raport na temat prognoz dotyczących zagrożeń teleinformatycznych w 2016 roku jest czwartą edycją tego raportu po edycjach dotyczących roku 2013, 2014 i 2015. Jednocześnie jest pierwszym tego typu raportem, na wyniki którego składają się z głosy polskich specjalistów ds. bezpieczeństwa teleinformatycznego. Dotychczas przy analizie tego co może być groźne w nadchodzącym okresie korzystaliśmy z opinii innych podmiotów i specjalistów z zagranicy.
Raport: https://www.cybsecurity.org/wp-content/uploads/2016/02/RaportFBC_Cyberzagrozenia_2016.pdf
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Cybersecurity Foundation
Fundacja Bezpieczna Cyberprzestrzeń już po raz czwarty przygotowała raport o zagrożeniach czyhających w sieci Internet. Początek roku to zwykle podsumowanie tego co było i pierwsza próba przygotowania się na to co może nastąpić. Wiele firm na podstawie opracowań i przewidywań własnych lub zewnętrznych przeprowadza w tym czasie analizy tego co działo się w minionym roku i jednocześnie, planuje budżety i działania strategiczne dotyczące wejścia w nadchodzący rok. Podobnie jest, jeśli chodzi o branżę cyberbezpieczeństwa.
Tradycyjnie więc przygotowaliśmy dla Państwa raport, w którym chcemy przedstawić najbardziej prawdopodobne i najbardziej groźne zjawiska w cyberprzestrzeni jakie mogą się pojawić
w nadchodzącym roku.
Na wstępie zamieszczamy podsumowanie tego co zdarzyło się w roku 2015. Przedstawimy również przewidywania w dalszej części tego raportu, chcemy uczulić na to, co potencjalnie najgroźniejsze. Naszym celem jest aby raport ten był pomocny w działaniach na rzecz minimalizacji ryzyka działań w cyberprzestrzeni. Specjaliści od zarządzania ryzykiem szczególnie mogą z niego skorzystać, chociażby dzięki wartościowaniu poszczególnych zagrożeń.
Przygotowany raport na temat prognoz dotyczących zagrożeń teleinformatycznych w 2016 roku jest czwartą edycją tego raportu po edycjach dotyczących roku 2013, 2014 i 2015. Jednocześnie jest pierwszym tego typu raportem, na wyniki którego składają się z głosy polskich specjalistów ds. bezpieczeństwa teleinformatycznego. Dotychczas przy analizie tego co może być groźne w nadchodzącym okresie korzystaliśmy z opinii innych podmiotów i specjalistów z zagranicy.
Raport:
https://www.cybsecurity.org/wp-content/uploads/2016/02/Raport_FBC_Raport-Cyberzagrozenia_2016.pdf
Już piąty rok z rzędu prezentujemy praktyki polskich firm w obszarze cyberbezpieczeństwa:
- jedynie 8% przebadanych firm można zaliczyć do organizacji -
- dojrzałych pod względem cyberbezpieczeństwa
- 21% firm padło ofiarą zaszyfrowania dysku (ransomware)
- 44% poniosło straty finansowe na skutek ataków
- 1/2 oceniła swój stan przygotowania do RODO na 30% lub mniej
- budżet na bezpieczeństwo stanowił średnio 3% całego budżetu IT
Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście? Pełen raport dostępny na https://pwc.to/2BYtrtm
Światowe badanie bezpieczeństwa informacji 2014EYPoland
Światowe badanie bezpieczeństwa informacji przeprowadzono między czerwcem a sierpniem 2014 roku. 1825 respondentów z 60 krajów, pracujących w 25 sektorach, to przede wszystkim członkowie zarządów, CIO oraz dyrektorzy działów IT. Jest to 17. edycja badania.
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 RokuCybersecurity Foundation
Fundacja Bezpieczna Cyberprzestrzeń już po raz czwarty przygotowała raport o zagrożeniach czyhających w sieci Internet. Początek roku to zwykle podsumowanie tego co było i pierwsza próba przygotowania się na to co może nastąpić. Wiele firm na podstawie opracowań i przewidywań własnych lub zewnętrznych przeprowadza w tym czasie analizy tego co działo się w minionym roku i jednocześnie, planuje budżety i działania strategiczne dotyczące wejścia w nadchodzący rok. Podobnie jest, jeśli chodzi o branżę cyberbezpieczeństwa.
Tradycyjnie więc przygotowaliśmy dla Państwa raport, w którym chcemy przedstawić najbardziej prawdopodobne i najbardziej groźne zjawiska w cyberprzestrzeni jakie mogą się pojawić
w nadchodzącym roku.
Na wstępie zamieszczamy podsumowanie tego co zdarzyło się w roku 2015. Przedstawimy również przewidywania w dalszej części tego raportu, chcemy uczulić na to, co potencjalnie najgroźniejsze. Naszym celem jest aby raport ten był pomocny w działaniach na rzecz minimalizacji ryzyka działań w cyberprzestrzeni. Specjaliści od zarządzania ryzykiem szczególnie mogą z niego skorzystać, chociażby dzięki wartościowaniu poszczególnych zagrożeń.
Przygotowany raport na temat prognoz dotyczących zagrożeń teleinformatycznych w 2016 roku jest czwartą edycją tego raportu po edycjach dotyczących roku 2013, 2014 i 2015. Jednocześnie jest pierwszym tego typu raportem, na wyniki którego składają się z głosy polskich specjalistów ds. bezpieczeństwa teleinformatycznego. Dotychczas przy analizie tego co może być groźne w nadchodzącym okresie korzystaliśmy z opinii innych podmiotów i specjalistów z zagranicy.
Raport: https://www.cybsecurity.org/wp-content/uploads/2016/02/RaportFBC_Cyberzagrozenia_2016.pdf
Raport – Największe Zagrożenia Dla Bezpieczeństwa w Internecie w 2016 Roku.Cybersecurity Foundation
Fundacja Bezpieczna Cyberprzestrzeń już po raz czwarty przygotowała raport o zagrożeniach czyhających w sieci Internet. Początek roku to zwykle podsumowanie tego co było i pierwsza próba przygotowania się na to co może nastąpić. Wiele firm na podstawie opracowań i przewidywań własnych lub zewnętrznych przeprowadza w tym czasie analizy tego co działo się w minionym roku i jednocześnie, planuje budżety i działania strategiczne dotyczące wejścia w nadchodzący rok. Podobnie jest, jeśli chodzi o branżę cyberbezpieczeństwa.
Tradycyjnie więc przygotowaliśmy dla Państwa raport, w którym chcemy przedstawić najbardziej prawdopodobne i najbardziej groźne zjawiska w cyberprzestrzeni jakie mogą się pojawić
w nadchodzącym roku.
Na wstępie zamieszczamy podsumowanie tego co zdarzyło się w roku 2015. Przedstawimy również przewidywania w dalszej części tego raportu, chcemy uczulić na to, co potencjalnie najgroźniejsze. Naszym celem jest aby raport ten był pomocny w działaniach na rzecz minimalizacji ryzyka działań w cyberprzestrzeni. Specjaliści od zarządzania ryzykiem szczególnie mogą z niego skorzystać, chociażby dzięki wartościowaniu poszczególnych zagrożeń.
Przygotowany raport na temat prognoz dotyczących zagrożeń teleinformatycznych w 2016 roku jest czwartą edycją tego raportu po edycjach dotyczących roku 2013, 2014 i 2015. Jednocześnie jest pierwszym tego typu raportem, na wyniki którego składają się z głosy polskich specjalistów ds. bezpieczeństwa teleinformatycznego. Dotychczas przy analizie tego co może być groźne w nadchodzącym okresie korzystaliśmy z opinii innych podmiotów i specjalistów z zagranicy.
Raport:
https://www.cybsecurity.org/wp-content/uploads/2016/02/Raport_FBC_Raport-Cyberzagrozenia_2016.pdf
Już piąty rok z rzędu prezentujemy praktyki polskich firm w obszarze cyberbezpieczeństwa:
- jedynie 8% przebadanych firm można zaliczyć do organizacji -
- dojrzałych pod względem cyberbezpieczeństwa
- 21% firm padło ofiarą zaszyfrowania dysku (ransomware)
- 44% poniosło straty finansowe na skutek ataków
- 1/2 oceniła swój stan przygotowania do RODO na 30% lub mniej
- budżet na bezpieczeństwo stanowił średnio 3% całego budżetu IT
Dlaczego firmy w walce z cyberprzestępcami liczą na szczęście? Pełen raport dostępny na https://pwc.to/2BYtrtm
Światowe badanie bezpieczeństwa informacji 2014EYPoland
Światowe badanie bezpieczeństwa informacji przeprowadzono między czerwcem a sierpniem 2014 roku. 1825 respondentów z 60 krajów, pracujących w 25 sektorach, to przede wszystkim członkowie zarządów, CIO oraz dyrektorzy działów IT. Jest to 17. edycja badania.
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
Wystąpienie poświęcone było najciekawszym ukierunkowanym atakom socjotechnicznym... a także tym mniej spektakularnym, ale równie skutecznym atakom phishingowym, wycelowanym w szeregowych internautów. Oprócz przybliżenia problemu, celem prezentacji jest także próba znalezienia odpowiedzi na pytanie jak w poszczególnych przypadkach można było pokrzyżować plany cyberprzestępców i ustalenia podstawowych zasad, których przedstrzeganie pozwoli internautom na zmniejszenie powodzenia kolejnych tego typu działań.
PLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firmaPROIDEA
W dzisiejszych czasach zapobieganie nie jest sexy. Zbyt często wolimy leczyć zamiast zapobiegać, usuwać efekty zamiast skutków. Poczucie oszczędności jest bardzo mylące - jednorazowo może wydamy mniej, ale na dłuższą metę pozbycie się skutków będzie znacznie bardziej kosztowne, niż przyjrzenie się temu, co je powoduje! Tymczasem przynajmniej 8 na 10 zwykłych internautów nie wie czym jest phishing, nie obchodzi ich co to jest ransomware, a na dźwięk informatycznego slangu dostają drgawek. Oni chcą korzystać z sieci, im się bardzo często spieszy, oni wciąż nie rozumieją - bądź nie chcą do siebie dopuścić - że zagrożenia w internecie są jak najbardziej realne! Jeśli wyjdziemy z "eksperckiej bańki" i dotrzemy do naszych klientów, pomożemy im, opowiemy w sposób prosty, zwięzły, zrozumiały, ich językiem, co im grozi w sieci, to relatywnie niskim kosztem wychowamy sobie ambasadorów bezpieczeństwa, a w efekcie zmniejszymy ryzyko tego, że w naszej sieci stanie się coś naprawdę złego.
WebTotem zbadał bezpieczeństwo stron 33 polskich banków. Wszystkie przebadane banki mają pewne - choćby błache - problemy z bezpieczeństwem. Przedstawiamy pełny raport “Ocena Bezpieczeństwa Teleinformatycznego Banków w Polsce”
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...PROIDEA
Speaker: Jarosław Sordyl
Language: Polish
Przez ostatnie dekady tzw. „podziemie cyberprzestępcze” zmieniło się zasadniczo. Od pojedynczych grup hakerów dokonujących ataków dla prestiżu do obecnego kształtu dobrze zorganizowanych „korporacji” zarabiających na różnych działaniach biliony dolarów rocznie.
Czy w dalszym ciągu zagrożeniem są „hakerzy”, crakerzy, skryp kiddies? To jedno z pytań, które musimy postawić sobie w przypadku wykorzystywania sieci Internet. Kto faktycznie i jak bardzo nam zagraża?
Obecne trendy rozwoju cyberprzestępczości wskazują na bardzo intensywny rozwój tzw. „podziemia cybernetycznego” oferującego całkowicie kompletne środowiska i zarazem narzędzia do samodzielnego przeprowadzenia ataku, ukrycia działalności, uniemożliwienia wykrycia śladów ataku oraz sprzedaży danych czy też uzyskanych informacji. Rozwiązania takie stanowią swoistego rodzaju platformę cyberprzestepczą zwaną „Crime-as-a-Service” (przestępstwo jako serwis - CaaS).
Jak ten system jest zorganizowany oraz jakie są jego elementy, jakie wykorzystywane są narzędzia i dlaczego jest to bardzo duży problem dla organizacji, firm oraz osób zajmujących się bezpieczeństwem IT? Gdzie są dostępne oraz co oferują usługi CaaS? Ta wiedza jest niezbędna do zabezpieczenia/przygotowania organizacji na potencjalny atak.
Nie ulega wątpliwości że dostęp do „profesjonalnych” narzędzi ułatwiających czy też pozwalających na przeprowadzenie bardzo wyrafinowanego ataku
z wykorzystaniem np. exploita 0-day jest poważnym problemem, na który należy zwrócić uwagę i odpowiednio wcześniej przygotować się na takie scenariusze ataku. Tym bardziej, że do przeprowadzenia takiego ataku nie potrzeba dzisiaj bardzo zaawansowanej wiedzy informatycznej – wystarczy karta kredytowa.
CONFidence: http://confidence.org.pl/pl/
Prezentacja przedstawiona przeze mnie i Macieja Grelę w 2016 roku na XIX Międzynarodowej Konferencji Naukowej Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT) organizowanej przez Wyższą Szkołę Policji w Szczytnie.
Raport „Bezpieczeństwo infrastruktury krytycznej wymiar teleinformatyczny” powstał przy współpracy Instytutu Kościuszki z Rządowym Centrum Bezpieczeństwa, firmą doradczą EY, kancelarią prawną WKB, firmą Matic, a także ekspertami Fundacji Cyberprzestrzeń i Politechniki Krakowskiej.
Jest to próba odpowiedzi na poniższe pytania - Jak cyberprzestępcy wykradają
nasze prywatne dane? Jakie metody i programy stosują? Na jakie ryzyko
nas narażają" jak się przed tym bronić?
Prezentacja przedstawiona przeze mnie w 2014 roku na XVII Międzynarodowej Konferencji Naukowej Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT) organizowanej przez Wyższą Szkołę Policji w Szczytnie.
Fenomen bitcoina, czym nie jest bitcoin w świetle polskiego prawa, jak można rozumieć bitmonety?, problemy natury prawnej (wybrane case studies i rozważania), do czego można jeszcze wykorzystać bitcoin?
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce.
Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka?
Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013.
Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
Wystąpienie poświęcone było najciekawszym ukierunkowanym atakom socjotechnicznym... a także tym mniej spektakularnym, ale równie skutecznym atakom phishingowym, wycelowanym w szeregowych internautów. Oprócz przybliżenia problemu, celem prezentacji jest także próba znalezienia odpowiedzi na pytanie jak w poszczególnych przypadkach można było pokrzyżować plany cyberprzestępców i ustalenia podstawowych zasad, których przedstrzeganie pozwoli internautom na zmniejszenie powodzenia kolejnych tego typu działań.
PLNOG 17 - Michał Rosiak - Świadomy Klient to bezpieczna firmaPROIDEA
W dzisiejszych czasach zapobieganie nie jest sexy. Zbyt często wolimy leczyć zamiast zapobiegać, usuwać efekty zamiast skutków. Poczucie oszczędności jest bardzo mylące - jednorazowo może wydamy mniej, ale na dłuższą metę pozbycie się skutków będzie znacznie bardziej kosztowne, niż przyjrzenie się temu, co je powoduje! Tymczasem przynajmniej 8 na 10 zwykłych internautów nie wie czym jest phishing, nie obchodzi ich co to jest ransomware, a na dźwięk informatycznego slangu dostają drgawek. Oni chcą korzystać z sieci, im się bardzo często spieszy, oni wciąż nie rozumieją - bądź nie chcą do siebie dopuścić - że zagrożenia w internecie są jak najbardziej realne! Jeśli wyjdziemy z "eksperckiej bańki" i dotrzemy do naszych klientów, pomożemy im, opowiemy w sposób prosty, zwięzły, zrozumiały, ich językiem, co im grozi w sieci, to relatywnie niskim kosztem wychowamy sobie ambasadorów bezpieczeństwa, a w efekcie zmniejszymy ryzyko tego, że w naszej sieci stanie się coś naprawdę złego.
WebTotem zbadał bezpieczeństwo stron 33 polskich banków. Wszystkie przebadane banki mają pewne - choćby błache - problemy z bezpieczeństwem. Przedstawiamy pełny raport “Ocena Bezpieczeństwa Teleinformatycznego Banków w Polsce”
CONFidence 2015: CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzes...PROIDEA
Speaker: Jarosław Sordyl
Language: Polish
Przez ostatnie dekady tzw. „podziemie cyberprzestępcze” zmieniło się zasadniczo. Od pojedynczych grup hakerów dokonujących ataków dla prestiżu do obecnego kształtu dobrze zorganizowanych „korporacji” zarabiających na różnych działaniach biliony dolarów rocznie.
Czy w dalszym ciągu zagrożeniem są „hakerzy”, crakerzy, skryp kiddies? To jedno z pytań, które musimy postawić sobie w przypadku wykorzystywania sieci Internet. Kto faktycznie i jak bardzo nam zagraża?
Obecne trendy rozwoju cyberprzestępczości wskazują na bardzo intensywny rozwój tzw. „podziemia cybernetycznego” oferującego całkowicie kompletne środowiska i zarazem narzędzia do samodzielnego przeprowadzenia ataku, ukrycia działalności, uniemożliwienia wykrycia śladów ataku oraz sprzedaży danych czy też uzyskanych informacji. Rozwiązania takie stanowią swoistego rodzaju platformę cyberprzestepczą zwaną „Crime-as-a-Service” (przestępstwo jako serwis - CaaS).
Jak ten system jest zorganizowany oraz jakie są jego elementy, jakie wykorzystywane są narzędzia i dlaczego jest to bardzo duży problem dla organizacji, firm oraz osób zajmujących się bezpieczeństwem IT? Gdzie są dostępne oraz co oferują usługi CaaS? Ta wiedza jest niezbędna do zabezpieczenia/przygotowania organizacji na potencjalny atak.
Nie ulega wątpliwości że dostęp do „profesjonalnych” narzędzi ułatwiających czy też pozwalających na przeprowadzenie bardzo wyrafinowanego ataku
z wykorzystaniem np. exploita 0-day jest poważnym problemem, na który należy zwrócić uwagę i odpowiednio wcześniej przygotować się na takie scenariusze ataku. Tym bardziej, że do przeprowadzenia takiego ataku nie potrzeba dzisiaj bardzo zaawansowanej wiedzy informatycznej – wystarczy karta kredytowa.
CONFidence: http://confidence.org.pl/pl/
Prezentacja przedstawiona przeze mnie i Macieja Grelę w 2016 roku na XIX Międzynarodowej Konferencji Naukowej Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT) organizowanej przez Wyższą Szkołę Policji w Szczytnie.
Raport „Bezpieczeństwo infrastruktury krytycznej wymiar teleinformatyczny” powstał przy współpracy Instytutu Kościuszki z Rządowym Centrum Bezpieczeństwa, firmą doradczą EY, kancelarią prawną WKB, firmą Matic, a także ekspertami Fundacji Cyberprzestrzeń i Politechniki Krakowskiej.
Jest to próba odpowiedzi na poniższe pytania - Jak cyberprzestępcy wykradają
nasze prywatne dane? Jakie metody i programy stosują? Na jakie ryzyko
nas narażają" jak się przed tym bronić?
Prezentacja przedstawiona przeze mnie w 2014 roku na XVII Międzynarodowej Konferencji Naukowej Techniczne Aspekty Przestępczości Teleinformatycznej (TAPT) organizowanej przez Wyższą Szkołę Policji w Szczytnie.
Fenomen bitcoina, czym nie jest bitcoin w świetle polskiego prawa, jak można rozumieć bitmonety?, problemy natury prawnej (wybrane case studies i rozważania), do czego można jeszcze wykorzystać bitcoin?
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce.
Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka?
Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013.
Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PROIDEA
Marek Karczewski - Radware
Language: Polish
2014 był rokiem przełomowym w dziedzinie bezpieczeństwa. Ataki cybernetyczne osiągnęły punkt krytyczny pod względem ilości, złożoności oraz celów ataków. Sytuacja zaskoczyła nawet firmy, które posiadały “wzorcowe” systemy i mechanizmy ochrony.
Raport firmy Radware „Bezpieczeństwo Aplikacji i Sieci 2014” prezentuje kompleksowy i obiektywny przegląd ataków cybernetycznych w 2014 r. z perspektywy biznesowej i technicznej oraz określa zestaw najlepszych praktyk dla organizacji planujących ochronę przed atakami w 2015 r.
Zarejestruj się na kolejną edycję PLNOG już teraz: krakow.plnog.pl
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Rafal
Rosnąca popularność Internetu jest nadal połączona z niską świadomością internautów na temat bezpieczeństwa informacji. Jednak przedsiębiorcy wolą blokować dostęp do portali społecznościowych niż szkolić użytkowników - wynika z pierwszego polskiego badania poświęconego tym kwestiom, przeprowadzonego przez firmę doradczą Deloitte oraz Zespół Badań i Analiz Gazeta.pl.
http://badania.gazeta.pl/pr/150741/raport-deloitte-i-gazeta-pl-o-bezpieczenstwie-polski-aspekt-global-security-survey
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
Piotr Wojciechowski – Consultant and network solutions architect, working on projects for clients from a wide Service Providers sector. Focuses not only on typical routing issues, IP/MPLS but also on VoIP and Wireless technologies. He gained his experience first at NOC ATMAN, then at leading integrator in the design and implementation for the operators, medium and large companies. Piotr is a holder of CCIE Routing & Switching Certificate, he is also CCIE.PL portal Administrator.
Topic of Presentation: TBD
Language: Polish
Abstract: TBD
Większość banków stosuje w swoich systemach bankowości internetowej i mobilnej metody autoryzacji transakcji (np. hasła SMS, "podpis elektroniczny", tokeny OTP, tokeny challenge-response). Stosowanie tego typu metod nie jest ograniczone tylko do systemów finansowych, są np. szeroko stosowane do autoryzowania operacji odzyskiwania hasła w różnego rodzaju aplikacjach.
Autoryzacja transakcji ma ograniczać skutki wynikające z działania wrogiego oprogramowania na stacji użytkownika, przechwytywania sesji oraz zgadywania czy kradzieży haseł.
W ostatnich latach widzimy jednak, że strategie działania grup przestępczych dostosowują się do tych zabezpieczeń i niejednokrotnie skutecznie je omijają. Prezentacja ma na celu skonfrontowanie obecnych metod autoryzacji operacji ze współczesnymi scenariuszami ataku przy użyciu malware oraz wskazanie typowych błędów w implementacji, które mogą przyczynić się do możliwości obejścia tych zabezpieczeń.
Agenda (draft):
- Krótka prezentacja metod autoryzacji transakcji.
- Kilka "case study" - jak malware obchodzi autoryzacje transakcji (w tym własne doświadczenia zdobyte podczas analizy przypadków ataków w bankach).
- Jak wybrać skuteczną metodę autoryzacji transakcji?
- Na co uważać? Typowe błędy implementacji, które mogą przyczynić się do osłabienia mechanizmu autoryzacji transakcji.
Czym charakteryzuje się nowoczesny system CMS na przykładzie CMS Squiz Matrix?Squiz Poland
Prezentacja przeprowadzona podczas warsztatów "lunch & learn" organizowanych 22.03.2016 przez Squiz Poland w Warszawie. Z prezentacji dowiesz się:
- czym są nowoczesne systemy CMS?
- jak dział marketingu może wykorzystać nowoczesny system zarządzania treścią i CMS?
- dlaczego automatyzacja procesów sprzedażowych jest kluczowa w nowoczesnej komunikacji?
- jak zbierać leady i angażować użytkowników dzięki nowoczesnej stronie internetowej?
Więcej dowiesz się na stronie: www.squiz.pl
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?SecuRing
Urządzenia przenośne (smartfony, tablety) coraz częściej zastępują komputer w roli klienta aplikacji. Ponadto ich zastosowanie umożliwia wdrożenie nowych, niestosowanych dotąd funkcji zmieniających sposób korzystania przez klienta z usług finansowych czy płatności. W swojej prezentacji chciałbym omówić problemy dotyczące bezpieczeństwa informacji jakie należy rozpatrzyć wdrażając usługi mobilne. W szczególności chciałbym się skupić na defektach w oprogramowaniu, które mogą przyczynić się do wzrostu ryzyka stosowania technologii mobilnych.
Omawiane problemy:
- Profil ryzyka: Czym pod względem bezpieczeństwa różni się aplikacja mobilna od aplikacji przeglądarkowej?
- Ograniczenia środowiska mobilnego – wpływ na bezpieczeństwo.
- Typowe podatności dla aplikacji internetowych – czy są one aktualne dla aplikacji mobilnych?
- Ryzyka i podatności specyficzne dla aplikacji mobilnych – Przykłady.
- Dane przechowywane na urządzeniu.
- Autoryzacja transakcji.
- Wrogie oprogramowanie (malware).
- Bezpieczna aplikacja mobilna – Jak to osiągnąć?
- Wymagania (również niefunkcjonalne) odnośnie bezpieczeństwa – Przykłady dla bankowości mobilnej
- Ocena projektu
- Testy bezpieczeństwa
Robotyzacja procesów biznesowych - od optymalizacji do transformacji modelu d...Andrzej Sobczak
Obecnie coraz więcej przedsiębiorstw w mniejszym lub większym zakresie wdrożyło lub planuje wdrożyć u siebie rozwiązania klasy RPA (Robotic Process Automation). Pojawia się pytanie – jaki może być scenariusz wykorzystania tej technologii. Część z firm może zatrzymać się na punktowo wdrożonych rozwiązaniach RPA, część będzie automatyzować poszczególne procesy lub obszary, a tylko nieliczne będą postrzegły wdrożenie zrobotyzowanej automatyzacji procesów jako okazję do transformacji modelu działa przedsiębiorstwa. Oczywiście każda z tych ścieżek wiąże się z innym podejściem - nie tylko na etapie wdrożenia, ale również utrzymania, zarządzania zmianą i dalszego rozwoju. Prezentacja poświęcona jest sposobowi konsekwencjom – zarządczym i organizacyjnym wdrożenia RPA w organizacji.
Similar to Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych (20)
3. Warstwy zabezpieczeń w instytucjach finansowych
Polityka uwierzytelnienia i autoryzacji:
Instytucja: wdrożenie i integracja, odporność na atak, koszty utrzymania
Użytkownik: ergonomia narzędzi, kultura wykorzystania, migracja i polityka
cenowa
Polityka zabezpieczeń „wewnętrznych”:
Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania
oprogramowania i rozwoju biznesu
Monitoring systemów i polityka reagowania na zagrożenia
Systemy anty-fraudowe i wykrywania zagrożeń
4. Uwierzytelnienie i autoryzacja – bieżąca sytuacja
Pierwszą i podstawową formą ochrony klientów jest
udostępnienie im narzędzi autoryzacji i
uwierzytelniania takich jak:
Login i hasło (także PIN mobilny)
Kody SMS – Wszystkie badane banki
Tokeny (narzędziowe i mobilne) – 4 badane banki
Biometria – 1 badany bank
Narzędzia te są najłatwiejsze i najtańsze w
implementacji z perspektywy banków
Gwarantują one podstawowy poziom zabezpieczenia
W bardzo dużej mierze ich skuteczność zależy od
wiedzy i uwagi klienta
5. Pierwsza linia ochrony klientów chroni jedynie przed podstawowymi zagrożeniami
Rozwiązania takie jak kody SMS które wydawały się być gwarantem bezpieczeństwa
zawiodły w ostatnich latach
Banki starając się podnosić bezpieczeństwo poświęcają ergonomię użytkowania:
Bywa to czasem wymiana nieadekwatna do osiąganego efektu – hasło maskowane,
dodatkowe „pytania” przy logowaniu
Skomplikowane procesy „zaufania” urządzeń mobilnych które w niektórych
przypadkach wymagają wykorzystania 2-3 kanałów kontaktu (mobile/internet/call
center)
Skomplikowane i niejasne systemy zarządzania limitami w których klienci bardzo
łatwo mogą się pogubić
Wprowadzanie dodatkowych haseł i numerów identyfikacji w mobile – np. osobny
identyfikator w PeoPay w stosunku do normalnego loginu do bankowości mobilnej
PEKAO
Uwierzytelnienie i autoryzacja – bieżąca sytuacja
8. Uwierzytelnienie i autoryzacja – słabości systemów
Słabe hasła i polityka zmiany/odzyskiwania
hasła
Edukacja klientów
na temat silnego uwierzytelniania i
autoryzacji
możliwych ataków i reagowania
Słabości w systemach bankowości
elektronicznej
polityka limitów
możliwość podmiany rachunku
możliwość zdobycia numeru telefonu
9. Dwa najpoważniejsze zagrożenia czyhające na
klientów:
Malware – coraz bardziej zaawansowane i
niebezpieczne oprogramowanie które może nie tylko
kopiować wprowadzany przez klienta tekst ale także
przechwytywać SMSy lub podstawiać niepoprawne
numery rachunków gdy nieświadomy klient wykonuje
przelew
Phishing – podszywanie się pod strony bankowe
starając się w ten sposób zdobyć dane do logowania.
Hasło maskowane nie jest wystarczającym
zabezpieczeniem, zwłaszcza w przypadku klientów
mniej świadomych zagrożeń lub nieuważnych
W ostatnich 12 miesiącach mieliśmy do czynienia z
kilkoma dużymi zdarzeniami jak ataki MITM
Uwierzytelnienie i autoryzacja – największe zagrożenia
10. Walka z malware to codzienność
Banki są odpowiedzialne za bezpieczeństwo klientów:
Podstawa to edukacja - jak atakujący oszukują klienta i nasze systemy
Kolejny krok to bezpieczne i łatwe w użyciu narzędzia autoryzacyjne
Przygotowanie się na potencjalne ataki:
Analiza ryzyk i danych z rynku w celu przewidywania zagrożeń
Ciągłe doskonalenie stosowanych w banku mechanizmów obronnych na podstawie
przeprowadzonych analiz
Stosowanie wielu warstw ochronnych
Uwierzytelnienie i autoryzacja – największe zagrożenia
11. Konieczność wdrożenia dedykowanej polityki uwierzytelniania i autoryzacji
dla poszczególnego banku / instytucji, uwzględniającej aspekty:
Aspekt techniczny: wdrożenie, integracja i utrzymanie rozwiązania
Aspekt zw. z użytkownikiem: ergonomia narzędzi, kultura wykorzystania, migracja i
polityka cenowa
Aspekt biznesowy: koszty wdrożenia, utrzymania, migracji i komunikacji
Aspekt rozwojowo-strategiczny (standardy, regulacje, potencjał rozwoju uwzględniający
zmiany technologiczne)
Aspekt zw. z bezpieczeństwem: odporność na ataki wszelkiego typu
Wyzwanie związane z wykorzystaniem potencjału ergonomii wraz ze
zrozumieniem jej ograniczeń
Wyzwanie związane z potencjałem „eksportu/importu” uwierzytelniania (eIDAS)
Wyzwanie związane z koniecznością budowy ogólnorynkowych standardów
Edukacja rynku – element szerszych działań zw. z cybersecurity
Uwierzytelnienie i autoryzacja – kierunki rozwoju
12. Bezpieczeństwo jako element nowoczesnych metodologii
wytwarzania oprogramowania i rozwoju biznesu
Innowacyjność i zwinne podejście
do developmentu to klucze do
sukcesu:
Agile Scrum
DevOps
Zabezpieczenia po stronie banku
muszą być niewidzialne dla
użytkownika:
Wiele warstw
Automatyzacja
Współpraca między organizacjami (CERT, SOC)
Inteligentne systemy reagowania
Bezpieczeństwo również musi być innowacyjne i zwinne aby wspierać biznes
13. Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania
oprogramowania i rozwoju biznesu
Edukacja – szkolenia
Projektowanie z uwzględnieniem
bezpieczeństwa – architekt bezpieczeństwa
DevOps – automatyzacja bezpieczeństwa
operacyjnego
Dobre praktyki i standardy:
PCI DSS
OWASP
Innowacje są silnie związane z rozwojem firm (innovation is of crucial importance for a
handful of ‘superstar’ fast-growth firms)
Zespoły zwinne tworzące produkty muszą mieć wsparcie w zakresie bezpieczeństwa
14. Bezpieczeństwo jako element nowoczesnych metodologii wytwarzania
oprogramowania i rozwoju biznesu
Zwinne testy bezpieczeństwa, testy oparte o przegląd kodu i architektury są optymalne,
pozwalają szybko reagować w sytuacji nowych błędów
Audyt w świecie Scrum’a, nastawienie na biznes i realne bezpieczeństwo
DevOps a gdzie Security - (IAST) Interactive Application Security Testing
Bug Bounty
Data security in the Cloud (IoT)
Legacy Code - (RASP) Runtime Application Self-
Protection
16. Monitoring systemów i polityka reagowania na zagrożenia
Audyty bezpieczeństwa dostosowane do nowej rzeczywistości
Monitorowanie incydentów (SIEM) – analiza logów
Procedury awaryjne oraz ustalone ścieżki komunikacyjne (SOC)
Współdziałanie na rzecz poprawy bezpieczeństwa systemów, jesteśmy
współzależni
Bezpieczeństwo jako podstawa biznesu (przykład raportowanie CISO)
17. Systemy anty-fraudowe i wykrywania zagrożeń
Ewolucja od systemów regułowych w kierunku systemów inteligentnych (AI)
Integracja sygnałów z wielu kanałów wewnętrznych (internet, mobile, call center)
Integracja ze źródłami zewnętrznymi, np. inne organizacje
Systemy jutra będą przewidywać z dużym prawdopodobieństwem ataki i reagować
w czasie rzeczywistym
18. Zabezpieczenia wewnętrzne – kierunki rozwoju
Wiele warstw zabezpieczeń w oparciu o analizę ryzyka pozwoli reagować na
ataki na klientów
Systemowe zabezpieczenia w bankowości elektronicznej wymagają
współpracy deweloperów oraz działów operacyjnych i bezpieczeństwa
(audytu) – usprawni to również reagowanie.
Systemy antyfraudowe dla bankowości elektronicznej są niezbędnym
elementem infrastruktury systemowej zabezpieczenia banków i muszą być́
coraz bardziej inteligentne i zautomatyzowane, aby nadarzyć́ za rosnącą liczbą
zagrożeń́.