BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Transkript

1

2 BEZ LIDÍ TO NEPŮJDE Ivan Svoboda, ANECT & SOCA

3 PROCESY LIDÉ JSOU NEJSLABŠÍM ČLÁNKEM Nedostatek expertů Slabiny zaměstnanců Nefunguje strategie a procesy TECHNOLOGIE LIDÉ

4 PROCESY TECHNOLOGIE LIDÉ

5 Incidenty, hrozby, trendy

6 Smutné trendy Úniky dat Kybernetické útoky Lidé jako nejslabší článek Kyber-rizika rostou Lidé nejsou Má smysl něco dělat?? ANO

7 Statistiky: Cost of Data Breach Study Ponemon + IBM

8 MTTI / MTTC 16 Velký prostor ke zlepšení

9 MTTI / MTTC & Total cost of data breach / Úspora: 3 M $ Úspora: 3 M $

10 Jak snížit náklady při úniku dat? 16 Úspora: 2,6 M $ (pro 100,000 údajů)

11 Jak snížit náklady při úniku dat? 16 INCIDENT RESPONSE SOC / CSIRT ACADEMY RISK MANAGEMENT Úspora: 2,6 M $ (pro 100,000 údajů) DPO

12 Požadavky GDPR na IR proces

13 Co říká GDPR? Článek 33 Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu 1. Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu příslušnému podle článku 55, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

14 Praktické dopady GDPR Co k tomu musí každá organizace mít? Co musí každá organizace dělat? Analýzu rizik, Posouzení vlivu Kategorizace bezpečnostních incidentů Incident Response plán / proces Předem dohodnuté zapojení (non)-it rolí Metodu pro zajištění včasné reakce Co dělat? Situace Zaznamenat Jakékoli porušení zabezpečení! Ohlásit úřadu (do 72h) Riziko pro subjekty údajů!! Oznámit subjektům údajů Vysoké riziko pro subjekty údajů!!!

15 Proces reakce na porušení zabezpečení ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? 72 HOD IR PLAN DETEKCE KATEGORIZACE Incident response tým Expert & Execution tým ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ

16 SOCA IR

17 SOCA řešení procesu IR IR proces jako komplexní služba Vyhodnocení událostí Zvládání incidentů Reakce dle GDPR

18 Představení služeb SOCA

19 Portfolio služeb IR Risk Management PREMIUM ACTIVE START Bezpečnostní role ACADEMY Posouzení stavu DPO SCAN SIEM Log management JEDNORÁZOVÉ PRŮBĚŽNÉ

20 ? Potřebujete pomoc se zákony a standardy? Chcete zjistit, co vám konkrétně hrozí? Potřebujete technologie, procesy, role, lidi? Chcete trvale vidět, rozumět a reagovat?

21

22 SOCA: portfolio služeb

23 SOCA služby: 4 fáze 02 Zjištění stavu Konfigurace Analýzy rizik PREDIKCE PREVENCE Blokace Karanténa REAKCE DETEKCE Monitoring Náprava Analýza incidentů

24 ONE-TIME Typy služeb SOCA 30 CONTINUOUS

25 ONE-TIME Typy služeb SOCA: jednorázové 30 SCAN ASSESSMENTS & CONSULTING INCIDENT RESPONSE IR

26 Typy služeb SOCA: průběžné 30 RISK MANAGEMENT DPO ACADEMY ROLES & OPERATIONS CONTINUOUS MONITORING, DETECTION & RESPONSE SOC / CSIRT

27 ONE-TIME Typy služeb SOCA: přehled 30 SCAN RISK MANAGEMENT DPO ACADEMY ASSESSMENTS & CONSULTING ROLES & OPERATIONS CONTINUOUS INCIDENT RESPONSE MONITORING, DETECTION & RESPONSE IR SOC / CSIRT

28 Jednorázové služby SOCA

29 SCANY

30 ONE-TIME SCAN & ASSESSMENT 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ STUDIE NA MÍRU

31 SCAN & ASSESSMENT 30 Změříme COKOLIV AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?

32 SCAN & ASSESSMENT 30 Změříme COKOLIV KDEKOLIV AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?

33 SCAN & ASSESSMENT 30 Změříme COKOLIV KDEKOLIV RŮZNÝMI METODAMI AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? ANALÝZA AUDIT / POSOUZENÍ SCAN / TECHNICKÁ INVENTURA PENETRAČNÍ TEST SOULAD? DETEKCE & REAKCE?

34 Znáte stav Vašich sítí a systémů? ODHALÍME, CO VÁS OHROŽUJE HROZBY A RIZIKA, KTERÁ NEZNÁTE / NEVIDÍTE, VÁS MOHOU VÁŽNĚ POŠKODIT ZMĚŘÍME STAV RIZIK A BEZPEČNOSTI ZNÁTE VŠECHNY ZÁVAŽNÉ HROZBY A RIZIKA? ZMĚŘÍME PŘÍNOSY NÁSTROJŮ JAKOU MÁTE JISTOTU, ŽE JSTE V BEZPEČÍ?

35 ONE-TIME SCAN & ASSESSMENT: AKTIVA 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? INVENTURA DAT (GDPR!!) INVENTURA IT PRVKŮ ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?

36 ONE-TIME SCAN & ASSESSMENT: HROZBY 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? ÚTOKY / MALWARE / BOTNETY APLIKACE MOBILY / CLOUD DARK WEB THREAT INTELLIGENCE USERS / ACCESS FLOWS INFECTED ENDPOINTS MALWARE BOTNETS SOULAD? DETEKCE & REAKCE?

37 ONE-TIME SCAN & ASSESSMENT: ZRANITELNOSTI 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? SÍTĚ SERVERY APLIKACE ENDPOINTY SECURITY PRVKY ZAMĚSTNANCI DETEKCE & REAKCE?

38 ONE-TIME SCAN & ASSESSMENT: RIZIKA 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? ANALÝZA RIZIK IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?

39 ONE-TIME SCAN & ASSESSMENT: IT ARCHITEKTURA 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? INVENTURA SECURITY PRVKŮ SECURITY ARCHITEKTURA SOULAD? DETEKCE & REAKCE?

40 ONE-TIME SCAN & ASSESSMENT: PROCESY 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DOKUMENTACE / SMĚRNICE PROCESY ROLE DETEKCE & REAKCE?

41 ONE-TIME SCAN & ASSESSMENT: SOULAD 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE? LEGISLATIVA STANDARDY BEST PRACTICE ZKB / GDPR ISO 27k / PCI / HIPAA NIST / SANS

42 ONE-TIME SCAN & ASSESSMENT: DETEKCE A REAKCE 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE? PŘIPRAVENOST - PLÁNY SCHOPNOSTI - MONITORING SCHOPNOSTI - DETEKCE SCHOPNOSTI - REAKCE

43 INCIDENT RESPONSE

44 ONE-TIME INCIDENT RESPONSE 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ INCIDENT RESPONSE MONITORING & DETECTION PREPARATION INCIDENT RESPONSE PLANNING BEFORE INCIDENT ANALYSIS & CONTAINMENT DURING POST-ATTACK ANALYSIS & RECOVERY AFTER

45 INCIDENT MANAGEMENT & GDPR 01 ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? ANALÝZA 72 HOD ANALÝZA IR PLAN DETEKCE KATEGORIZACE ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ

46 Průběžné služby SOCA

47 ONE-TIME Typy služeb SOCA: PRŮBĚŽNÉ SLUŽBY 30 ASSESSMENTS & CONSULTING ROLES & OPERATIONS CONTINUOUS INCIDENT RESPONSE MONITORING, DETECTION & RESPONSE

48 BEZPEČNOSTNÍ ROLE A PROVOZ 30 CONTINUOUS ROLES & OPERATIONS SECURITY ROLES TRAININGS AWARENESS & THREAT INTELLIGENCE RISK MANAGEMENT SECURITY TECHNOLOGY OPERATIONS SECURE BACKUP MANAGEMENT

49 BEZPEČNOSTNÍ ROLE 30 CONTINUOUS ROLES & OPERATIONS SECURITY ROLES CISO / IT SEC MANAGER EDUCATION & TRAINING ZKB MANAŽER KB AWARENESS & THREAT INTELLIGENCE ARCHITEKT KB RISK MANAGEMENT AUDITOR KB SECURITY TECHNOLOGY OPERATIONS GDPR DPO SECURE BACKUP MANAGEMENT

50 DPO

51 Kdo potřebuje DPO službu? Kdo musí zřídit DPO: - orgán veřejné moci / veřejný subjekt - rozsáhlé pravidelné a systematické monitorování - rozsáhlé zpracování zvláštních kategorií údajů Kdo chce zřídit DPO - někdo ty činnosti vykonávat musí Článek 37 Jmenování pověřence pro ochranu osobních údajů 1.Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy: a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10 Nedostatek lidských zdrojů - Znalosti, zkušenosti, kvalifikace - Dostupnost a spolehlivost Pouze interní

52 DPO: varianty služby DPO Mandatory DPO Options DPO Support Činnost pověřence v rámci služby Ombudsman pro subjekty údajů Poradenství v rámci organizace Konzultace v případě porušení zabezpečení Prověřování právního souladu zpracování Zvyšování povědomí zaměstnanců Posudek k posouzení vlivu Komunikace s dozorovým úřadem Pravidelný audit souladu se zákonnými požadavky Reporting činností Činnost pověřence v rámci služby Vedení záznamů o činnostech zpracování včetně SW Příprava posouzení vlivu Konzultace záměrné a standardní ochrany Komunikace v případě porušení zabezpečení Konzultace k obsluze subjektů údajů Konzultace k souhlasům se zpracováním osobních údajů Konzultace ke komunikaci se subjekty údajů Revize smluv se zpracovateli Konzultace k předávání do třetích zemí Konzultace k ustanovení společných správců Vytvoření a údržba závazných podnikových pravidel Vzdělávání zaměstnanců Jiné činnosti v oblasti GDPR a bezpečnosti Pouze interní

53 SOCA DPO otázky Musíte mít DPO? Chcete mít DPO? - Kdo to bude dělat? Jak to bude dělat? Máte na to vlastní vhodné kapacity? - Znalosti, zkušenosti, kvalifikace - Dostupnost a spolehlivost Kdo bude dělat ty ostatní činnosti v rámci GDPR? (viz SOCA DPO OPTIONS) - Vedení záznamů o činnostech zpracování - Příprava posouzení vlivu (DPIA) - Konzultace záměrné a standardní ochrany - Komunikace v případě porušení zabezpečení (Incident Management) Nepotřebujete podporu pro interního DPO? (viz SOCA DPO SUPPORT) Pouze interní

54 ACADEMY

55 Školení kybernetické bezpečnosti - možnosti Pro zaměstnance: - On-line školení - jako BOZP - Moderní, živější, s příklady z reálného života - Aktivní ověřování chování uživatelů - Praktický trénink: jak poznat phishing, atd. - Praktické ověření: kolik uživatelů klikne? - Školení s instruktorem Pro privilegované uživatele a administrátory - Školení pro IT administrátory a IT-sec specialisty (např. nácvik řešení incidentů) - Školení BLUE (SOC) týmu - Další Pouze interní

56 RISK MANAGEMENT

57 RISK MANAGEMENT

58 RISK MANAGEMENT Co to je? - komplexní služba řízení rizik zahrnující všechny potřebné metodiky, nástroje i lidské zdroje Kdo potřebuje řídit rizika? - GDPR - ZoKB - ISO (ISMS) - Další typy rizik Přínosy - Řada metodik podle účelu - Nejen služba, ale i zavedení procesu - Sofistikovaný nástroj v ceně - Průběžně aktualizovaný pohled Pouze interní

59 Řízení rizik & DPIA (GDPR) DPIA (Posouzení vlivu na ochranu osobních údajů) - Obecné nařízení o ochraně údajů ukládá správci povinnost zavést odpovídající opatření, aby zajistil a byl schopen doložit soulad s obecným nařízením o ochraně osobních údajů, přičemž přihlíží mimo jiné k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob (čl. 24 odst. 1). - Posouzení vlivu na ochranu osobních údajů se vyžaduje jen tehdy, je-li u určitého druhu zpracování pravděpodobné, že [ ] bude mít za následek vysoké riziko pro práva a svobody fyzických osob (čl. 35 odst. 1). Kdy a jak řídit rizika? - Pouhá skutečnost, že nebyly naplněny podmínky zakládající povinnost provádět posouzení vlivu na ochranu osobních údajů, však nesnižuje obecnou povinnost správců vhodným způsobem zvládat rizika pro práva a svobody subjektů údajů. - V praxi to znamená, že správci musí soustavně vyhodnocovat rizika vznikající při činnostech zpracování, aby mohli stanovit, kdy je u určitého druhu zpracování pravděpodobné, že [...] bude mít za následek vysoké riziko pro práva a svobody fyzických osob. - Je třeba zdůraznit, že řízení rizik pro práva a svobody fyzických osob vyžaduje, aby byl nejprve vypracován jejich výčet, proveden jejich rozbor, odhad, posouzení a aby byla řešena (např. snižována ) a pravidelně přezkoumávána. - Správci nemohou uniknout své odpovědnosti tím, že pokryjí rizika pojistnými smlouvami. Pouze interní

60 SOC / CSIRT

61 INCIDENT MANAGEMENT & GDPR 01 ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? ANALÝZA 72 HOD ANALÝZA IR PLAN DETEKCE LOG MNGMT DETEKCE SIEM FORENSICS KATEGORIZACE RISK MNGMT INCIDENT MNGMT ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ

62 Úrovně služeb SOCA 29 Monitoring (7x24) Analýza (7x24) Povolení zásahu Rychlý zásah (7x24) Alerty Incident Management (Service Desk) Analýza (5x8) Návrh opatření (5x8) Nástroje: FW / IDS / SIEM Reporty Analýza Návrh system. opatření

63 Souhrn: služby SOCA

64 Problémy a rizika (A ŘEŠENÍ) Nové kybernetické hrozby a rizika SCAN Security technologie nepřináší efekt Lidé jsou nejslabším článkem RISK MANAGEMENT Chybí vám technologie? DPO ARCH KB Legislativa a standardy? (ZoKB, GDPR, ISO) Bojíte se nových technologií? ACADEMY Chcete mít jistotu pro případ požáru? IR SOC / CSIRT

65 ONE-TIME Typy služeb SOCA: přehled 30 SCAN RISK MANAGEMENT DPO ACADEMY ASSESSMENTS & CONSULTING ROLES & OPERATIONS CONTINUOUS INCIDENT RESPONSE MONITORING, DETECTION & RESPONSE IR SOC / CSIRT

66 ? Potřebujete pomoc se zákony a standardy? Chcete zjistit, co vám konkrétně hrozí? Potřebujete technologie, procesy, role, lidi? Chcete trvale vidět, rozumět a reagovat?

67