KDYŽ POTŘEBUJETE MNOHEM VÍC, NEŽ JEN ANTIVIR NA DESKTOPU

Rozměr: px
Začít zobrazení ze stránky:

Download "KDYŽ POTŘEBUJETE MNOHEM VÍC, NEŽ JEN ANTIVIR NA DESKTOPU"

Transkript

1 KDYŽ POTŘEBUJETE MNOHEM VÍC, NEŽ JEN ANTIVIR NA DESKTOPU TESTOVACÍ DATACENTRUM HP NOVINKY AKTUALITY Z PODNIKOVÉHO IT NEJEN ANTIVIR TRENDY V BEZPEČNOSTI CLOUD COMPUTING PRO MALÉ A MINIATURNÍ FIRMY LEO MÁ PLÁN NOVÁ STRATEGIE HP ŠIFROVAČKA JAK FUNGUJE BITLOCKER POZOR NA INFRASTRUKTURU KRITICKÉ INFRASTRUKTURY CERT/CSIRT BEZPEČNOST KOMUNIKAČNÍCH SÍTÍ PREVENTIVNÍ OČKOVÁNÍ DALŠÍ POHLED NA DLP PROJÍT KONKURZEM CO BY MĚL UMĚT SMB FIREWALL KOMPLETNÍ OCHRANA 3D SECURITY NA DOBRÉ ADRESE SEND V IPV6 PŘES NĚJ NEPROJDEŠ ZABEZPEČENÁ KOMUNIKACE IPSEC IBM IMPACT 2011 NOVINKY Z KONFERENCE IBM SUPERPOČÍTAČOVÉ ŽELEZO TESTOVACÍ DATACENTRUM HP KOMUNIKAČNÍ JEDNOTA UNIFIED COMMUNICATION ARCHITEKTURA SECUREX ARCHITEKTURA A BEZPEČNOSTNÍ RÁMEC DIGITÁLNA AGENDA V CLOUDU CLOUD PRE ŽIVNOSTNÍKOV

2 aktuality AreaGuard Neo ochrání lokální data Brněnská firma SODATSW po třech letech dokončila vývoj šifrovacího nástroje AreaGuard Neo, který právě uvádí na trh. AreaGuard Neo zajišťuje ochranu informací a dat na koncových stanicích ve více vrstvách. Kombinuje ochranu dat online transparentním šifrováním s omezením nežádoucího používání výměnných médií. Pomocí centrální vzdálené správy lze snadno chránit data na noteboocích, koncových stanicích uživatelů a zároveň účelně omezovat využívání výměnných zařízení uživateli. Celý systém pracuje s Active Directory a platformou Windows, takže není nutné vytvářet žádné další nadstavby. Více informací hledejte na sodatsw.cz/neo. VMware kupuje nástroj SlideRocket Virtualizační gigant VMware oznámil akvizici společnosti SlideRocket, která provozuje stejnojmenný nástroj pro tvorbu, správu a řízení prezentací v cloudu. VMware tak prakticky získává webovou aplikaci, kterou je nyní možné nasadit například do katalogu poskytovaných aplikací z cloudu. Akvizice, jejíž finanční podrobnosti nebyly zveřejněny, na první pohled nezapadá do hlavního proudu zaměření VMware. Firma v rámci SaaS aplikací nabízela spíše platformu a možnost aplikace provozovat, nenabízela však přímo vlastní služby. Je tedy dost možné, že se firma tímto odkupem posouvá zase někam dále. Alternetivo uvádí na český trh mikrovlnný spoj EtherHaul Společnost Alternetivo (dříve atlantis datacom) uvedla na tuzemský trh nový mikrovlnný spoj EtherHaul od izraelské firmy Siklu. Zařízení pracuje v pásmu milimetrových vln GHz a nabízí přenosové rychlosti v rozsahu 100 až 500 Mb/s. Je zde integrovaný ethernetový switch, SFP sloty a je možné nastavit asymetrický přenos a výrobce uvádí maximální spolehlivost minimálně do vzdálenosti 1,5 km. EtherHaul HP slaví 20 let v České republice Společnost Hewlett- Packard v těchto dnech slaví 20 let od svého nástupu na tuzemský trh. Oficiální zastoupení slavné americké firmy funguje v České republice od roku V 90. letech HP zákazníkům nabízelo především spotřební elektroniku chce konkurovat především mikrovlnným spojům v pásmech GHz. Doporučená maloobchodní cena startuje pod 100 tisíci korunami. a později přišlo na trh také se servery a dalšími službami. HP dnes patří mezi největší tuzemské IT zaměstnavatele a patří k nejvýznamnějším tuzemským (a celosvětovým) IT dodavatelům a mimo jiné provozuje také značkovou prodejnu. Českou pobočku v současné době řídí Jan Kameníček. Red Hat bude v Brně nabírat další zaměstnance Brněnský Red Hat hodlá v brzké době otevřít další pracovní pozice pro schopné vývojáře. V únoru tohoto roku počet zaměstnanců ambiciózní pobočky přesáhl hranici 300, firma tak překonala původní odhady a plány. Red Hat se chce poohlížet především po mladých absolventech brněnských technických škol, zejména po lidech z Masarykovy univerzity a VUT. Red Hat v České republice působí od roku 2004, vývojové centrum v Brně funguje od roku Brno má přitom pro Red Hat v globálním měřítku jednu z nejdůležitějších rolí. Jednou větou ALC odstartovalo roadshow nového produktu ALVAO Service Desk, který rozšiřuje portfolio firmy o produkt pro enterprise řešení Novell dokončil akvizici společnosti Attachmate Corporation v hodnotě 6,10 dolaru za akcii. Firma zároveň odprodala některé patenty v hodnotě 450 milionů dolarů Brněnská firma Kentico, která vyvíjí systém Kentico CMS, otevřela nové pobočky ve Velké Británii a v USA Zástupci firem Safetica Technologies a AdvaICT se vrátili z tříměsíčního pobytu v Silicon Valley v rámci programu CzechInvest. Rozhovor s nimi naleznete na video.zive.cz 52 Connect! květen 2011

3 Lotus Symposium 2011 začátkem června Tradiční akce Lotus Symposium pořádaná společností IBM se letos uskuteční 2. června v hotelu Andel s v Praze. IBM zde hodlá předvést nejžhavější novinky ve svých produktech IBM Lotus a nabídne různá řešení pro týmovou spolupráci a komunikaci. Akce je určena pro již stávající uživatele IBM produktů, potenciální nové zájemce o řešení IBM, ředitele, IT ředitele, manažery a odborníky a vývojáře aplikací a správce systémů. Celá akce je přístupná zdarma, stačí, když se včas zaregistrujete na webových stránkách na adrese ibm. com/cz/events/symposium2011, kde také naleznete podrobnější informace a program. Mediálním partnerem akce je časopis Connect, můžete se proto těšit na podrobnější článek v některém z následujících vydání. Windows 7 nyní s certifikací EAL4+ Cisco otevřelo datacentrum se solárními kolektory Síťový a komunikační gigant otevřel v Allenu v americkém státě Texas nové datové centrum, které má patřit k těm nejvíce INZERCE A SR108 SILENT ekologickým na světě. V rámci infrastruktury jsou logicky použity komponenty a prvky z portfolia společnosti, například síťové systémy a nástroje pro ukládání dat. Nové datacentrum využívá namísto baterií jako zdroj napětí rotační setrvačníky, které jsou v případě nutnosti nahrazeny dieselovými agregátory. Střecha centra je pokryta solárními kolektory, které dokáží generovat 100 kw pro kanceláře. K zavlažování okolních rostlin je využívaná laguna zachycující dešťovou vodu. Systémy Windows 7 a Windows Server 2008 R2 získaly certifikaci Common Criteria Evaluation Assurance Level 4 (EAL4+). Jedná se o mezinárodní certifikaci softwarových produktů týkající se bezpečnosti (ISO/IEC 15408). Produkty, které mají tuto certifikaci, splňují veškeré atributy týkající se procesu specifikace, implementace a vyhodnocení bezpečnostních požadavků, které deklarují. Některé země a instituce splnění těchto certifikací vyžadují pro nasazení v rámci svého IT. Windows 7 a Windows Server 2008 R2 jsou tak nyní plně připraveny pro případné nasazení. Made in Germany! OD CZK ,- CZ: EU: +49 (0) Connect! květen

4 AUTOR Co umí a jak funguje BitLocker BitLocker je standardní součástí vyšších edicí operačního systému Windows Vista a 7, a není tak nutné investovat do nástrojů třetích stran v případě, že potřebujete šifrovat data. Zároveň není nutné budovat složitou správu v rámci organizace pro šifrování pevných disků, datových disků a vyměnitelných médií. Vdnešní době, kdy cena notebooku je velmi nízká, software je zakoupený a může být instalován na podnikové počítače i v případě jeho ztráty, jsou tím nejcennějším data. Pokud se podíváte na situaci, kdy dojde k odcizení počítače, pak notebook koupíte nový, software je obnoven z firemního image, ale o co přicházíte, jsou data. V tom lepším případě máte zálohu a data můžete obnovit, ale o tom šifrování není. Šifrování je o tom, aby se data nedostala do nepovolaných rukou. A nemusí se jednat ani o firemní data, ale například i o fotografie z rodinné dovolené či podobné informace, které mohou pomoci k identifikaci dané osoby a mohou být v horší variantě zneužity. Vedle šifrování dat na počítači je čím dál tím důležitější šifrovat data na externích úložištích dat, jako jsou USB flashdisky nebo externí pevné disky. Ty velmi často obsahují právě citlivá data a o jejich ztrátě se v mnoha případech nikdo nedozví do té doby, než se tato citlivá data někde objeví. To už ale bývá pozdě myslet na šifrování. Navíc zapomenout flashdisk na schůzce nebo ho vytratit je vzhledem k jeho velikosti relativně jednoduché. A vzhledem k jeho zanedbatelné ceně nikdo tyto ztráty nehlásí. Je proto dobré mít k dispozici řešení, které umožňuje šifrování dat jednoduchým způsobem, který lze navíc vynutit pravidly přímo v operačním systému. Ondřej Výšek Senior Solution Architect, Microsoft, DELL Česká republika Použití kombinací zabezpečení BitLocker pro systémové oddíly. Každý způsob je náchylný k něčemu jinému Použití kombinací zabezpečení pro datový oddíl. Výhody a nevýhody u každého způsobu jsou zřejmé Systémová data Na chvíli zapomeňte na situaci, kdy máte na pevném disku nějaká data (což je teorie). I v případě, že na disku nejsou data, se kterými pracujete, velké množství uživatelů nechává prohlížeč zapamatovat si přihlašovací jména do různých webových stránek, stejně tak jsou v systému uloženy hashe síťových hesel, a pokud je počítač zařazený do domény, pak potenciální útočník získává důvěryhodný počítač pro vedení útoku proti organizaci. V případech, kdy je disk šifrovaný, se k těmto i systémovým informacím není možné dostat. Havárie disku a jeho vyřazení Co provedete v případě, že vám havaruje disk? Obvykle je disk odevzdán do servisu na opravu a uživatel předpokládá, že disk bude neopravitelně poškozený. Leckdy je ale problém například v elektronice pevného disku a po její výměně má servis plný přístup na váš havarovaný disk a může provést bezpečnostní zálohu dat, o které koncový uživatel ani nemusí vědět důvěřujete svému servisu? Pokud není servisní organizace prověřená, není možné jí důvěřovat. Pokud má uživatel data zašifrovaná, pak dojde k opravě disku, ale servisní organizace má přístup k zašifrovaným datům, která jsou jí k ničemu nemá klíče pro jejich odemčení. Podobná situace může nastat ve chvíli, kdy je počítač u konce své životnosti a bude likvidován. Některé organizace vlastní nákladná zařízení na ničení disků pomocí elektromagnetického pole či specializovaný software na bezpečné smazání disku. Opět, pokud je disk zašifrovaný, pak odemčení dat, když není znám PIN nebo heslo pro dešifrování, zůstává v teoretické rovině. Encrypted File System (EFS) jako řešení? Již několik generací operační systémy Windows podporují šifrování jednotlivých souborů pomocí technologie EFS. Toto řešení by mohlo být alternativou pro BitLocker, nicméně není možné pomocí EFS šifrovat boot operačního systému. EFS je například vhodným řešením pro šifrování souborů, které se pohybují po síti mezi více uživateli. Technický pohled na BitLocker Ještě předtím, než je provedeno rozhodnutí o nasazení šifrování pomocí BitLockeru, je důležité znát několik podstatných informací. Důležitým aspektem je například porovnání hardwarového a softwarového šifrování, kdy BitLocker coby zástupce softwarového šifrování nevyžaduje žádný specifický hardware, ale šifrování také spotřebovává systémové prostředky nicméně pro běžného uživatele i za použití následné virtualizace můžeme hovořit o zpomalení systému v jednotkách procent. Další podstatnou výhodou technologie BitLockeru je fakt, že je obsažena již v operačním systému a není nutné budovat speciální systémy pro jeho správu. Při zvažování nasazení technologie BitLocker je nutné vzít v úvahu, že šifrované disky budou čitelné pouze v prostředí Windows a zapisovat na vyměnitelná média je možné pouze v rámci Windows 7. Další důležitou informací je způsob šifrování. BitLocker využívá v základní konfiguraci AES128 + Diffuser. Je možné použít i AES256 + Diffuser (využívají americké vládní organizace), případně tuto funkci vypnout. Diffuser je technologie, která náhodně rozmisťuje data na disku, a je tedy řešením proti útokům nazývaným Pattern Search, kde jsou vyhledávány stejné vzorky dat, podle kterých by bylo možné odhadnout klíč použitý pro dešifrování. Nejčastěji je BitLocker používaný ve spojení s TPM čipem, který slouží jako zabezpečené úložiště dešifrovacích klíčů a generátor dešifrovacích klíčů. Je také možné nasadit BitLocker bez TPM, kde 54 Connect! květen 2011

5 dešifrovací klíče jsou uloženy například na USB tokenu (v podání BitLockeru se jedná o běžný USB flashdisk). Různé kombinace technologií zvyšují úroveň zabezpečení, ale také snižují úroveň jednoduchosti použití. Šifrování datových oddílů od systémových navíc přináší některé další metody ověření uživatele ve Windows 7. Datové oddíly je možné šifrovat například i pomocí smartkaret, je možné zajistit automatické odemykání datových svazků (v takovém případě je vyžadováno zašifrování systémového oddílu, aby nebyly kompromitovány klíče pro datový oddíl). Pro obnovení u datového oddílu je možné použít certifikát recovery agenta (OID ). Bootovací proces BitLocker umožňuje šifrování již v čase startu operačního systému. Pro start operačního systému (boot loader) je samozřejmě nutné mít část disku nešifrovanou, pro tyto účely se ve Windows 7 používá 100MB systémový oddíl (Vista 1,5GB), který je automaticky vytvořen při instalaci na prázdný disk (pokud vytvoříte oddíl ručně anebo oddíl již existuje, 100MB oddíl není vytvořen). Pokud pro práci s BitLockerem použijete TPM čip, pak při výrobě počítače výrobce TPM čipu vytváří Endorsement Key (EK), který nikdy neopouští TPM čip. Tento klíč je RSA-2048bit a následně podepisuje veřejnou částí další klíče struktura TPM na obrázku. Jakmile je povolen a inicializován TPM čip, jsou vygenerovány další klíče: Storage Root Key (SRK), podepsaný pomocí EK a uložený v TPM čipu (veřejná i privátní část) Volume Master Key (VMK), který je podepsaný pomocí SRK Full Volume Encryption Key (FVEK), podepsaný pomocí VMK. Tento klíč se následně používá pro šifrování disku. Klíče VMK a FVEK jsou uloženy na šifrované části disku s operačním systémem. Pokud se podíváme na uspořádání dat na disku, pak oproti Windows Vista došlo také ke změnám, kde došlo ke zvětšení bloků s vlastními daty, a především pak k navýšení počtu bloků s metadaty, která jsou důležitá pro ukládání CRC šifrovaných dat a při případné obnově havarovaného disku. Při přípravě počítačů je možné také vytvořit systémový oddíl o velikosti 300 MB, následně je do něj možné umístit i Windows Recovery Environment (WinRE), který umožňuje případnou opravu při pádu vlastního OS. Pokud nastartujete operační systém, tak ještě před zahájením startu vlastního OS jste dotázáni na potvrzení, že jste oprávněni tento OS spustit ať je to zadáním PIN (může být alfanumerický), či vložením USB klíče. Zašifrování disku bez přítomnosti TPM čipu Pro zajištění šifrování pevných disků není nutné mít přítomný TPM čip, který je používán pro generování klíčů a ukládání šifrovacích informací. Pokud tedy není TPM čip přítomen, je možné pro uložení dešifrovacího klíče využít vyměnitelné médium, jako je disketa či USB klíč. Pro povolení šifrování za pomoci vyměnitelného média je nutné modifikovat bezpečnostní politiku počítače, kde je nutné informovat operační systém, že TPM není vyžadován konfigurace skupinové politiky (může být i lokální). Přejděte do Konfigurace počítače Šablona pro správu Součásti Při obnovení je nutné zadat šifrovací klíč BitLocker vás provede ověřením přístupu k počítači pomocí USB tokenu systému Windows Šifrování jednotky pomocí služby BitLocker Požadovat při spuštění další ověřování a zvolte Povolit nástroj BitLocker bez kompatibilního čipu TPM. Následně je možné povolit šifrování systémového disku. Po dokončení průvodce dojde k restartu počítače a následně k zašifrování obsahu disku. V průběhu šifrování je možné běžně pracovat, nicméně pozor na snížený výkon diskového subsystému. Disk je také v průběhu šifrování plně alokován, takže je k dispozici pouze omezené množství volného prostoru. Jakmile je BitLocker povolen a na disku probíhá šifrování, je nutné při startu počítače provést ověření platnosti přístupu k počítači, a to zadáním PIN kódu, který je ve spojení s TPM čipem, případně za využití USB tokenu, který byl vytvořen předchozím postupem. V případě, že dojde ke změně boot sekvence, tedy například k zásahu na disku, změně konfigurace některých nastavení BIOSu, případně si uživatel nepamatuje přístupový PIN, je možné pro obnovení použít hesla pro obnovu, jež se vytváří při šifrování disku. Toto heslo pro obnovu může být uloženo na disku, vytisknuto, případně uloženo k objektu počítače v rámci Active Directory. Šifrování vyměnitelných médií V rámci technologie BitLocker je k dispozici také šifrování vyměnitelných médií, především tedy různých USB klíčů a disků, nicméně je možné šifrovat jakákoliv vyměnitelná mass storage média. Tato technologie se nazývá BitLocker ToGo. Pro zašifrování vyměnitelného média není nutné, aby uživatel vlastnil administrátorská oprávnění. Nastavení šifrování vyměnitelných médií může být stejně jako u pevných disků řízeno pomocí skupinových politik, kde je možné nastavení vyměnitelné médium bude pouze pro čtení, dokud nebude zašifrováno. Takto lze zajistit, že data, která budou z počítače odnášena, budou na zašifrovaném médiu. BitLocker ToGo je možné také použít na operačních systémech, které BitLocker ToGo nepodporují tedy například Windows Vista/XP. V takovém případě se při vložení vyměnitelného média do operačního systému spustí BitLocker ToGo Reader a data je možné přečíst (nikoliv zapsat to je možné pouze na Windows 7, a to i v nižších edicích, edice Ultimate a Enterprise jsou vyžadovány při vytvoření šifrovaného svazku). Pokud se podíváte blíže na obsah vyměnitelného média, pak naleznete jeden velký soubor, který je de facto šifrovaným svazkem, a několik dalších souborů, včetně BitLocker ToGo Reader. Tato struktura je viditelná právě ve starších verzích Windows. Prostředí BitLocker je kompletně integrované do operačního systému Windows, a je tedy možná jednoduchá správa pomocí skupinových politik. Klíče pro obnovu je možné ukládat nejenom na koncových zařízeních, ale také k objektu počítače v rámci Active Directory. K dispozici je také celá řada nástrojů pro správu, příkladem může být nástroj příkazové řádky manage-bde.exe, celá řada poskytovatelů WMI, VBscript a v neposlední řadě také nový nástroj z rodiny produktů Microsoft Desktop Optimization Pack (MDOP) Microsoft BitLocker Administration and Monitoring, jenž umožňuje centrální správu prostředí BitLocker. Connect! květen

6 V hledáčku počítačových zločinců je kritická infrastruktura AUTOR Zájem počítačového organizovaného zločinu se v posledních letech stále více přesouvá k velkým, mnohdy nadnárodním firmám, mezi které patří i provozovatelé kritické civilní infrastruktury, jako jsou elektrorozvodné sítě nebo systémy pro rozvod a zpracování pitné vody, ropy či zemního plynu. Podle nedávného průzkumu společnosti McAfee se zhruba třetina velkých firem domnívá, že na kybernetický útok nejsou dostatečně připraveny. Dvě pětiny korporací přitom odhadují, že k masivnímu útoku dojde v průběhu následujícího roku. O tom, že nejde o plané obavy, svědčí fakt, že podobné rozsáhlé napadení již zaznamenalo 80 % firem. Čtvrtina podniků se stala obětí vydírání ze strany počítačových kriminálníků. Experti z McAfee zjistili, že přijímání bezpečnostních opatření v civilním průmyslu nestačí držet krok s nárůstem hrozeb, ke kterému došlo za poslední rok. O vážnosti Rudolf Pleva nezávislý publicista, spolupracovník redakce situace jsou ale zřejmě přesvědčení pouze firemní specialisté na IT bezpečnost. Zhruba % ostatních zaměstnanců vnímá bezpečnost informačních systémů na jednom z posledních míst na žebříčku důležitosti. Rozvodné sítě a další kritická infrastruktura jsou přitom na počítačových sítích ve velké míře závislé. Tyto systémy se nejčastěji označují jako SCADA (supervisory control and data acquisitions, doslova nadřazené řízení a sběr dat ). Pavel Hanko, McAfee Channel Territory Manager pro ČR a SR říká: Vedle zranitelností a chyb je přitom mnohdy problematický i nevhodný návrh sítí. Relativně malý incident se pak může kaskádovitě šířit a nakonec vyřadit z provozu značnou část sítě. To může vést například k přerušení dodávek ropy nebo tzv. blackoutu v případě elektrorozvodných sítí. Nejčastější formou kybernetických útoků vůči provozovatelům kritické infrastruktury jsou podle Hanka útoky na dostupnost služby (DDoS, distributed denial of service). S těmito incidenty se setkaly čtyři z pěti firem a jejich počet stále roste. Ještě více, zhruba 85 % podniků, se již potýkalo se zavirovanou počítačovou sítí. Čtvrtina společností uvádí, že k takovým útokům dochází denně či týdně nebo jimi vyděrači aspoň vyhrožují. Pořád ten Stuxnet Téměř polovina elektroenergetických firem a zhruba 40 % v ostatních odvětvích loni objevila ve svých systémech červ Stuxnet. Tento mimořádně ničivý kód loni mimo jiné zaútočil na řízení provozu obohacování uranu v Íránu. Na nový malware poprvé upozornila běloruská bezpečnostní firma VirusBlokAda v polovině června minulého roku. Velmi důmyslný červ se šířil například prostřednictvím USB klíčů a využíval zero-day zranitelnosti operačních systémů Windows, přičemž se útočníci zaměřili především na počítače, jejichž součástí jsou systémy SCADA. Jakmile se dostal do místní počítačové sítě, překonfiguroval software 56 Connect! květen 2011

7 a změnil instrukce pro technické řízení. Nejúčinněji se výskyt Stuxnetu podařilo potlačit v Itálii, Japonsku a Spojených arabských emirátech, tento malware je dnes rozšířen naopak hlavně v Indii. Podíl firem, které se staly obětí vydírání hackery, se za poslední rok zvýšil o čtvrtinu na 25 %. V této oblasti existují velké regionální rozdíly. Mnohem častější je vydírání například v Indii nebo Mexiku, kde se s ním setkalo % podniků. Hackeři přitom napadají všechna odvětví kritické infrastruktury zhruba stejnou intenzitou. Útočníci mnohdy nevyhrožují planě, ale jsou schopni fungování kritické infrastruktury narušit. Předpokládá se, že za výpadky elektrorozvodných sítí v řadě zemí světa opravdu stály kybernetické útoky, ačkoliv z oficiálních míst to bývá jako příčina incidentů obvykle popíráno, uvedl ředitel SANS Institute Allan Paller. Právě vydírání je podle něj velikou, a přitom obvykle málo zmiňovanou oblastí kybernetické kriminality. Za rostoucím počtem útoků na strategické podniky souvisí zásadní přeměna na poli počítačového zločinu, ke které začalo docházet na začátku tisíciletí. Z kybernetické kriminality se stal výnosný byznys, ve kterém osamělé geeky stále více nahrazují organizované skupiny s napojením na klasický organizovaný zločin. Dalším fenoménem jsou politicky motivované útoky a možná zainteresovanost některých vlád na vysoce sofistikovaných kybernetických incidentech. Po objevení Stuxnetu nebo dalšího cíleného útoku Hydraq začínají odborníci stále častěji hovořit o hrozbě kybernetické války. Zároveň se experti shodují v tom, že míra zabezpečení počítačových sítí, včetně těch kritických, je nedostatečná. Podle studie McAfee se oproti loňskému roku míra zabezpečení kritické infrastruktury zvýšila jen velmi málo a k relativně největšímu zlepšení situace došlo jen u vodárenských firem a provozovatelů kanalizací. Příliš se nezlepšila ani příprava na nejvíc rozšířené hrozby, jako jsou DDoS útoky. Podle zjištění není na DDoS útoky připravena zhruba třetina firem s kritickou infrastrukturou. Jen částečnou přípravu, na které je ještě možné leccos zlepšit, přiznává 35 % IT manažerů. Podobné je to i u prevence proti skrytým infiltracím, na které je zcela nepřipraveno 32 % firem a pouze částečnou přípravu přiznává 38 % podniků. Pozor na sofistikované útoky Firmy se při ochraně své infrastruktury často přednostně zaměřují na hrubé útoky, které se nijak nemaskují, namísto ochrany před sofistikovaným malwarem provádějícím nepozorovaně sabotáž. Pokroky v této oblasti jsou jen velmi pozvolné. Nástroje ke sledování činnosti sítí používá jen čtvrtina firem a podobné procento podniků se zabývá detekcí neobvyklého chování informačních systémů. Programy s cílem nenápadně rozvracet počítačové sítě se přitom objevují u tří čtvrtin podniků, komentuje dění Hanko. Vážná bezpečnostní rizika existují i ve vztahu k právě zaváděným inteligentním elektrorozvodným sítím, které umožňují například v reálném čase regulovat výrobu a spotřebu elektrické energie. Tyto tzv. smart grids totiž zasahují až ke koncovým odběratelům, a do rukou hackerů se tak mohou dostat citlivá data o účtování nebo odběru energií. Tato data navíc mohou neoprávněně modifikovat. Celosvětový trh s těmito sítěmi se v roce 2015 odhaduje na 45 miliard dolarů. Elektrorozvodné firmy a další provozovatelé infrastruktury by se podle doporučení McAfee měli zaměřit především na zlepšení mechanismů pro autentizaci uživatelů, například využitím biometrických identifikátorů namísto používání hesel. Dalším doporučením je zaměření se na šifrování dat a zároveň sledování neobvyklého dění v síti. Zvýšený dohled by měly firmy věnovat i novým přístupovým kanálům do sítí, jako je internet, mobilní zařízení či přenosná média, například USB klíče. K včasnému varování by pak mohlo pomoci efektivní partnerství firem s jednotlivými vládami. V zavádění bezpečnostních opatření zaostávají hlavně Brazílie, Mexiko a Francie, na opačném konci žebříčku se nacházejí Firmy jsou často vydírány počítačovými hackery. Za poslední rok počet případů narostl o 25 % Čína, Japonsko a Itálie. USA a Evropa jsou za asijskými zeměmi pozadu v míře zapojení vlád. V Číně a Japonsku probíhá s ohledem na zabezpečení kritické infrastruktury mezi komerčním sektorem a vládami řada formálních i neformálních kontaktů, naopak v USA, Velké Británii nebo Španělsku je takových interakcí minimum. V Číně musejí provozovatelé kritické infrastruktury procházet náročnými bezpečnostními audity. Ani vládní angažmá nebo mezinárodní spolupráce při potlačování stávajících kybernetických hrozeb však problém zcela nevyřeší a zločinci budou vždy o krok napřed. Jde o to, aby ten krok byl co nejmenší. Connect! květen

8 AUTOR Problematiku bezpečnosti sítí a jejich služeb s důrazem na oblast řešení bezpečnostních incidentů řeší profesionální týmy CSIRT (Computer Security Incident Response Team), případně CERT (Computer Emergency Response Team). Uplynulá dekáda znamenala překotný rozvoj internetu a také jeho masivní komercionalizaci. Zvýšil se počet služeb dostupných jeho prostřednictvím a především počet provozovaných kritických aplikací, a to jak ve sféře komerční (elektronické bankovnictví, elektronické obchody), tak ve sféře státní (systémy bezpečnostních složek, informační servis státní správy a samosprávy). S tím souvisí nejen zvyšující se počet bezpečnostních incidentů, ale i nárůst jejich závažnosti a negativního dopadu na chod firem a soukromý život uživatelů. Proto je nutné, aby na možnost narušení bezpečnosti sítě a služeb na ní provozovaných byli jejich správci a uživatelé připraveni a měli k dispozici funkční struktury, efektivní postupy, pravidla a technické prostředky vedoucí k co nejrychlejšímu odstranění problémů při minimalizaci škod. První CERT tým vznikl v roce 1988 na Carnegie Mellon University (CMU) jako reakce na jeden z prvních vážných bezpečnostních problémů tehdejšího internetu, tzv. Morissův červ. Nejcennějším výsledkem práce tohoto týmu, který byl zřízen především za účelem nalezení účinné obrany proti jedinému (byť pustošivému) incidentu, bylo poznání, že nejdůležitější je být na možnost narušení bezpečnosti předem připraven a v okamžiku problému spustit předem definovaný a vyzkoušený záchranný plán, a ne teprve začít zkoumat, co je nutné udělat. Výsledek práce prvního ad hoc CERTu na CMU odstartoval éru budování světové infrastruktury týmů tohoto typu. Carnegie Mellon University si zkratku CERT zaregistrovala jako ochrannou známku, a ač se jejímu užití ostatními organizacemi v tomto kontextu nebrání, právě toto bylo příčinou vzniku a zavedení druhého pojmu CSIRT, přičemž obě zkratky vyjadřují totéž. CERT/CSIRT dané sítě (organizace) tedy představuje záchytný bod, na který je možné se obrátit se zjištěným bezpečnostním problémem (nebo jen podezřením), který by tým měl prozkoumat a podle možností zjednat nápravu. Existence aspoň jednoho oficiálního CERT/CSIRT týmu je žádoucí v každé provozované síti, obzvláště pak v těch velkých (tranzitní, regionální, univerzitní, rozsáhlé koncové apod.), tzn. na úrovni velkých ISP, ale také v bankách nebo u poskytovatelů služeb. Významnou a specifickou roli mají zastřešující vrcholové týmy tzv. národní nebo vládní, o kterých bude řeč později. Globálně lze pak na existující CERT/CSIRT týmy nahlížet jako na infrastrukturu, která řeší bezpečnostní problémy Internetu. Vznik a fungování CSIRT týmu Organizace, která se rozhodne zřídit tým typu CERT/CSIRT, si musí na začátku jasně a srozumitelně definovat, čeho chce ustavením týmu dosáhnout a jakou roli od nově zřizovaného týmu chce, tzn. definovat jeho pole působnosti a provozované služby. Aby se tým mohl oficiálně nazývat týmem typu CERT/CSIRT, je potřeba, aby nabízel především službu řešení nebo koordinace řešení bezpečnostních incidentů v rámci definovaného pole působnosti, a tím naplnil slovo response použité ve zkratkách CERT a CSIRT reakce na bezpečnostní incident. Polem působnosti je obvykle myšlena oblast kyberprostoru, ve které je tým způsobilý konat a nad kterou má příslušné pravomoci a odpovědnosti definované zřizovatelem. Na základě deklarovaného pole působnosti je potom tým kontaktován např. napadenými a řeší problémy ve sféře svého vlivu. Pole působnosti týmu může být definováno jako konkrétní síť/sítě, autonomní systém(y), jmenná doména/domény. Týmová práce pro zajištění bezpečnosti komunikačních sítí Andrea Kropáčová Šéfka modelového pracoviště CSIRT.CZ a bezpečnostního týmu CESNET-CERTS Na úplném počátku při vytváření týmu typu CERT/CSIRT ale stojí také vybudování jeho zázemí technické, administrativní a organizační bez kterého nemůže efektivně fungovat žádný tým. Technickým zázemím se myslí například nástroj pro efektivní správu hlášení bezpečnostních incidentů, který umožní sledovat celý jeho životní cyklus kdo se v kterých fázích incidentem zabýval, proč, jak postupoval, koho požádal o spolupráci apod. Pro tuto oblast týmy obvykle používají různé ticketovací systémy, např. RTIR (Request Tracker for Incident Response), OTRS (Open Source Ticket Request System). Dalšími důležitými pomocníky na poli technických nástrojů jsou různé systémy IDS (Intrusion Detection System), systémy pro bezpečnostní audity, forenzní analýzy, sledování provozu sítě (netflow) apod. Zázemí administrativně-organizační představuje právě onu připravenost na problém, tzn. definování základních pravidel pro chod týmu tak, aby každý člen týmu znal svou roli, povinnosti a zodpovědnost, politiku postupu řešení bezpečnostních incidentů, pravidla pro komunikaci a spolupráci apod. Základem v této oblasti je obecně dobře zvládnutý tzv. incident management, kterým se ovšem v tomto článku dopodrobna zabývat nebudu. Spolupráce CERT/CSIRT infrastruktury V současnosti neexistuje oficiální hierarchie CERT týmů. Tyto týmy vznikaly a vznikají dobrovolně a v samotném jejich zájmu je navzájem efektivně komunikovat, vyměňovat si důležité informace a poznatky a spolupracovat. Sdružují se proto v mezinárodních organizacích. V současnosti nejznámější a nejaktivnější organizace, které se touto problematikou zabývají, jsou následující: 58 Connect! květen 2011

9 TERENA The Trans-European Research and Education Networking Association, FIRST Forum for Incident Response and Security Teams, ENISA European Network and Information Security Agency, europa.eu. Všechny tři výše zmíněné organizace představují platformu, která umožňuje pravidelná setkávání, výměnu zkušeností a definování základních pravidel spolupráce a komunikace mezi světovými CERT/ CSIRT týmy. Světovou infrastrukturu CERT/CSIRT týmů v současné době představuje cca 250 týmů, které jsou buď členy organizace FIRST nebo spolupracují s evropsky působícími organizacemi TERENA a ENISA. Národní a vládní týmy CERT/CSIRT Jak už bylo řečeno, speciální úlohu v této bezpečnostní infrastruktuře mají týmy národní a vládní. Národní CERT/CSIRT týmy v prostředí svých zemí obvykle plní především roli národního PoC (Point of Contact) pro sdílení informací s ostatními světovými CERT/ CSIRT týmy a se subjekty a organizacemi země působnosti. Na základě znalostí světové infrastruktury a prostředí dokáže národní tým efektivně nastavit a zprostředkovat komunikační kanály mezi zainteresovanými subjekty, například v okamžiku řešení vážného, často plošného, bezpečnostního incidentu. Z pohledu stále zdůrazňované služby řešení bezpečnostních incidentů pak národní tým funguje jako tzv. tým posledního útočiště (last resort). To znamená, že tomuto týmu mohou být oznamovány bezpečnostní incidenty, které mají původ v sítích provozovaných v dané zemi, a to v okamžiku, kdy tým (osoba) zodpovědný za síť (zařízení), která je zdrojem problému, problém neřeší, nebo vůbec nereaguje, odmítá řešit nebo takový kontakt není možné nalézt (nebo není platný). Plní roli poslední možné instance v případě přetrvávajícího problému, od které je možné očekávat pomoc. Je nutné zdůraznit, že národní CERT/ CSIRT není primárně určen k fyzickému řešení konkrétních zaznamenaných problémů (incidentů). V případě vzniku incidentu je vždy žádoucí, aby byl co nejrychleji kontaktován přímo tým konkrétně zodpovědný za danou síť, který má možnost zasáhnout (třeba i fyzicky a provést odpojení problémové sítě nebo zařízení), a případně následně národní tým až v případě přetrvávání problému v rámci eskalace jeho řešení. Dalším momentem, kde má národní CERT/ CSIRT v této oblasti uplatnění, mohou být útoky většího rozsahu, kdy je potřeba rychlé vyhodnocení situace, koordinace spolupráce mnoha subjektů a varování dalších možných potenciálních cílů. Další důležitou rolí národního CERT/ CSIRT, kterou pracoviště tohoto typu má plnit, je role fóra pro výměnu zkušeností a navázání bližší spolupráce mezi subjekty typu CERT/CSIRT týmy, poskytovatelé připojení, poskytovatelé obsahu, banky, bezpečnostní složky státu apod. a pomoc organizacím ve vybudování jejich vlastních CERT/CSIRT týmů. V neposlední řadě se národní CERT/ CSIRT obvykle věnuje šíření osvěty a vzdělanosti v oblasti počítačové bezpečnosti směrem k uživatelům (občanům). Do této oblasti patří pořádání vzdělávacích akcí, informování uživatelů např. o aktuálních hrozbách prostřednictvím médií, webových stránek nebo elektronické pošty. Obecně může národní tým CERT/CSIRT nabízet celou řadu reaktivních i proaktivních služeb v oblasti bezpečnosti, záleží především na jeho provozovateli. Týmy označované jako vládní jsou obvykle určené pro dohled nad sítěmi státní správy, samosprávy a tzv. kritické infrastruktury země. V některých zemích, za všechny jmenujme například Finsko, jsou týmy tohoto typu zřízené přímo státem na základě zákona, který definuje jejich pravomoc, pole působnosti a zodpovědnost. V mnoha zemích plní vládní týmy zároveň roli národního týmu. V zemích, kde není ustaven ani národní ani vládní tým, ale existuje zde CERT/CSIRT tým například v prostředí významného ISP nebo v akademickém sektoru, je tento tým světovou infrastrukturou chápán jako de facto národní a tuto roli národního týmu plní. Tuto situaci lze velmi dobře ilustrovat například na známých útocích na Gruzii, kde se role hlavního koordinátora obrany ujal tým CERT-GE provozovaný organizací GRENA (Georgian Research and Educational Networking Association), jediný v té době existující tým typu CERT. Situace v České republice V České republice existují v současné době čtyři konstituované a světovou komunitou oficiálně uznané CERT/CSIRT týmy: CESNET-CERTS provozovaný sdružením CESNET, z.s.p.o. CZNIC-CSIRT provozovaný sdružením CZ.NIC, z.s.p.o. CSIRT-MU provozovaný Masarykovou Univerzitou Brno CSIRT.CZ vytvořený v rámci grantu MVČR Bezpečnostní tým CESNET-CERTS (http://csirt.cesnet.cz/) je zodpovědný za řešení bezpečnostních incidentů v síti národního výzkumu a vzdělávání CESNET2. Uživatelé sítě CESNET2, což jsou především studenti a zaměstnanci českých univerzit a Akademie věd, spadají do pole působnosti tohoto týmu a mohou mu hlásit zjištěné bezpečnostní incidenty. Tým CES- NET-CERTS je v síti CESNET2 (autonomní systému AS2852) způsobilý konat a řešit bezpečnostní incidenty přímým zásahem. Pracoviště CSIRT.CZ (www.csirt.cz) vzniklo v rámci plnění grantu Ministerstva vnitra České republiky Problematika kybernetických hrozeb z hlediska bezpečnostních zájmů České republiky (identifikační kód projektu je VD B013). Toto pracoviště je označováno jako modelové a bylo vybudováno za účelem ověření stavu bezpečnostní infrastruktury v ČR a ověření realizovatelnosti distribuované hierarchie pro systematické plošné řešení bezpečnostní problematiky v počítačových sítích ČR prostřednictvím CSIRT týmů. Provoz tohoto týmu byl spuštěn 3. dubna 2008 a v květnu téhož roku byl přijat evropskou infrastrukturou CERT/CSIRT týmů jako pracoviště typu CSIRT s rolí last resort pro Českou republiku. Další funkční tým typu CSIRT je provozován také Ministerstvem obrany ČR jedná se o vojenský CSIRT tým určený pro spolupráci s obdobnými týmy v rámci členských zemí NATO. Je pravděpodobné, že ačkoliv v rámci dalších komerčních organizací nejsou CERT/CSIRT týmy oficiálně ustaveny, existují zde oddělení nebo osoby, které se bezpečností sítí a služeb reálně zabývají a roli CERT/CSIRT týmu de facto plní. Tato oddělení a týmy nejsou ale napojeny na světovou bezpečnostní infrastrukturu CERT/CSIRT týmů a nezapojují se do spolupráce a výměny informací. Český národní tým Česká republika se o vybudování národního nebo vládního pracoviště typu CERT/ CSIRT snaží již několik let. Za první dobrý krok lze v tomto směru považovat vybudování již zmíněného modelového pracoviště CSIRT.CZ, které vzniklo v rámci vědecko-výzkumného grantu MV ČR. CSIRT.CZ položilo základy pro další rozvoj vrcholové úrovně CERT/CSIRT infrastruktury v ČR, a to především v oblasti spolupráce lokální a mezinárodní, protože žádný CERT/CSIRT, obzvláště ne národní nebo vládní, nemůže pracovat izolovaně. V únoru tohoto roku bylo při Ministerstvu vnitra České republiky zřízeno Oddělení kybernetické bezpečnosti, které má kromě mnoha jiných povinností za úkol zajišťovat provoz vládního pracoviště CSIRT. O dalším vývoji tedy rozhodnou následující měsíce. Nezbývá než doufat, že se Česká republika již brzy připojí k těm zemím EU, které mají oficiálně zřízen funkční národní nebo vládní CERT/CSIRT. Connect! květen

10 AUTOR Velkou hrozbu pro firmy znamená především únik dat, vůči kterému není imunní žádná společnost bez ohledu na velikost nebo obor. Vanson Bourne jménem společnosti Dimension Data provedl začátkem roku 2011 průzkum mezi reprezentativním vzorkem 200 IT zaměstnanců s rozhodovacími pravomocemi (CIO, IT ředitelé, IT manažeři, atd.), kteří pracují ve firmách ve Velké Británii s více než 500 zaměstnanci. Z výsledků studie vyplývá, že každá desátá velká společnost ve Velké Británii zažila únik dat a každá dvacátá byla podobným únikem poškozena. Navíc více než polovina respondentů (51 %) se domnívá, že jejich firma byla poškozena únikem, o kterém ani neví. Navzdory tomu 31 % společností ani neposoudilo obchodní rizika spojená s únikem dat. Formy poškození mohou být různé, od poškození dobrého jména (zaznamenalo 91 % poškozených společností), přes ztrátu konkurenční výhody (27 % poškozených firem), ztrátu dodavatelů/ partnerů (18 %) a zákazníků (9 %) až po sankce za nedodržování dohod (9 %). Prevence šetří náklady Prvním krokem v oblasti zabezpečení dat by měla být implementace technologií prevence ztráty dat (DLP). Přestože v důsledku úniku dat dochází k výrazné ztrátě potenciálních zákazníků a ztrátě dobré pověsti, nejsou firemní investice do DLP dostatečné. Společnosti potom musí vynaložit vysoké částky na změnu procesů, zabezpečení dat a školení zaměstnanců. Podle průzkumu mezi hlavní překážky pro přijetí DLP patří: Ostatní IT výdaje mají vyšší prioritu, vedení společnosti není dostatečně ochotné provést potřebné investice a není jistota, že je DLP pro společnost nezbytné Firmy věří, že jim se podobná věc nestane a prosazují reaktivní přístup Absence diskuze o rizicích na úrovní vrcholového managementu společnosti Rizika spojená s únikem dat lze jen těžko vyčíslit, a proto je složité připravit důvody pro investice do zabezpečení dat. Úkolem pro IT zaměstnance s rozhodovacími pravomocemi by tak mělo být vytváření obchodních případů z této oblasti. V současné době existuje již mnoho veřejně známých případů úniku dat, což argumentaci usnadňuje. DLP je potřeba přizpůsobit konkrétním potřebám jednotlivých společností. Nejdříve je nutné provést komplexní analýzu bezpečnostní situace, aby mohlo dojít k přijetí DLP a snížení rizika. Zbyszek Lugsch Sales & Solutions Director, Dimension Data Czech Republic a.s. Další pohled na DLP Útoky hackerů jsou sofistikované a nebezpečné, ale jako jeden z nejčastějších problémů se nakonec jeví člověk, který nedbá na bezpečnost, není poučený nebo prostě má možnost vynést citlivá firemní data. Tomu se snaží zabránit technologie Data Loss Prevention. V některých případech nakonec nemusí dojít k novým investicím, ale již tento proaktivní přístup je správným krokem, který se v případě úniku pozitivně projeví. Informace jsou dnes prostřednictvím internetu šířeny rychleji než kdykoli dříve, k čemuž přispívá i rozvoj sociálních sítí, takže se znásobuje dopad úniku. Nicméně přesto má řada společností reaktivní přístup a spoléhá na to, že právě jim se nic podobného nestane. Ovšem pokud společnost není na tuto situaci připravena, dochází k pomalejší reakci a následky jsou o to horší. Změny přijímané v krizové situaci jsou podstatně nákladnější a komplikovanější než opatření přijatá předem. Mobilní zařízení pomocník i hrozba Mobilní zařízení představují pro IT specialisty zcela novou výzvu v oblasti zabezpečení dat. Specifickou oblastí je právě ochrana před únikem dat. V posledních letech došlo k dramatickému nárůstu počtu těchto přístrojů. Obliba chytrých mobilních zařízení překonává oblibu osobních počítačů. Podle odhadů bude během následujících pěti let více lidí připojeno k internetu přes tyto přístroje než přes osobní počítače. Zároveň dochází k prolínání pracovního a osobního života, takže zaměstnanci často využívají jedno zařízení doma i v práci. Většina znalostních pracovníků se dnes již neobejde bez notebooku nebo chytrého telefonu a po správcích IT požadují možnost dostat se ze svého zařízení do podnikové sítě. Na rozdíl od klasických počítačů ale mobilní zařízení v podstatně vyšší míře fungují na různých platformách, z těch hlavní jmenujme Apple ios, Google Android, BlackBerry a Windows Phone, což znesnadňuje jejich integraci do firmy a rizika se mnohonásobně zvyšují. Zapojení nových zařízení do podnikového prostředí je samo o sobě bezpečnostní riziko. Navíc pro počítačové zločince jsou tyto přístroje mnohem atraktivnější než klasické počítače, protože jsou většinu času zapnuté a někdy vůbec nedochází k jejich vypínání. Klasické stolní počítače nejsou například přes noc aktivně připojené k síti, ale mobilní zařízení jsou již ze své podstaty většinou připojená nepřetržitě, takže mohou sloužit jako dokonalý zdroj aktuálních informací. Navíc útočníci sice napadnou jeden přístroj, ale ten v sobě spojuje hned několik komunikačních kanálů. Chytré telefony kombinují klasickou hlasovou komunikaci, textové zprávy, ovou komunikaci, IM, ale také slouží pro ověřování například bankovních hesel. Ještě před integrací mobilních zařízení do podnikové sítě je nutné udělat důkladnou analýzu a zjistit všechna bezpečnostní rizika a jejich dopady. Následně je potřeba aktualizovat celkovou bezpečnostní strategii a vytvořit bezpečnostní politiku pro mobilní zařízení. V bezpečnosti není žádný stav definitivní a také v tomto případě musí být strategie průběžně aktualizována a vy- 60 Connect! květen 2011

11 hodnocována. Pokud dojde k zanedbání průběžného updatování bezpečnostního přístupu, může dojít k zásadnímu narušené celého systému. Mobilní zařízení a jejich operační systémy mají velkou výhodu, že jejich architektura byla vyvinuta teprve v nedávné minulosti, kdy již povědomí o hrozbách bylo vysoké. Výrobci od samého počátku při vývoji kladli velký důraz na bezpečnost a zabezpečení je velkou výhodou těchto přístrojů. Aplikace lze ale snadno stahovat prostřednictvím různých služeb pro uživatele zařízení Apple je k dispozici App Store, pro uživatele přístrojů se systémem Android je připravený Android Market a pro BlackBerry App World a mohou je tvořit i běžní uživatelé, což představuje významné riziko. Například Apple proto všechny aplikace kontroluje a ověřuje ještě před jejich zařazení do App Store. Mobilní platformy jsou také přirozeně více odolné vůči škodlivému kódu. To ale neznamená, že by tato zařízení byla vůči hrozbám imunní. Například dochází ke zneužívání zranitelností v PDF nebo prohlížečích, ale objevují se i rafinovanější cílené hrozby, které se vydávají za legitimní aplikace. Na chytrých telefonech se systémem Android již například podvodná aplikace informovala zločince o aktuální poloze uživatelů a zároveň vybízela k boji proti pirátství a stahování nelegálního softwaru. Lákavý cíl pro zloděje Mobilní zařízení nelákají jen počítačové zločince, ale i klasické zločince. Moderní přístroje jsou kompaktní a snadno se vejdou pouze do kapsy. Pro zloděje pak není problém takové zařízení ukradnout a získat velmi cenná data. Nebezpečím přitom není jen krádež, ale i obyčejná ztráta. Pro kriminálníky se jedná o zajímavý cíl, což potvrzují i statistiky: Zaměstnanci na služebních cestách na letištích v Severní Americe ztratili za pouhý jeden víkend notebooků 63 % malých a středních firem ztratilo nějaké přenosné zařízení v minulém roce Při průzkumu 100 % organizací potvrdilo, že firma nemá technologie na vzdálené smazání citlivých dat 42 % narušení dat v Severní Americe bylo v důsledku ztráty nebo ukradení zařízení Jako příklad můžeme například uvést ztrátu prototypu Apple iphone 4 ještě před jeho oficiálním představením. Technik společnosti Apple ztratil telefon v jednom baru a technologický web Gizmodo zaplatil dolarů jeho nálezci a jako první přinesl fotografie a komplexní reportáž a novém zařízení. Důsledky ztráty zařízení mohou být ještě katastrofálnější, když vezmeme v úvahu předpisy o ochraně údajů. Současná legislativa sice ještě není detailně propracovaná, přesto (anebo právě proto), je potřeba tomuto bodu věnovat velkou pozornost. Například v oblasti digitalizace zdravotnictví a s rozvojem programu e-health je zabezpečení dat klíčové. Zdravotní personál v mobilních zařízeních snadno může aktualizovat informace o pacientech, ale zároveň se tím zvyšuje riziko úniku informací. Optimálním řešením je přechod na sjednocenou komunikaci, takže chráněna jsou nejenom data, ale veškerá komunikace, od hlasu až po IM. Vzdělávání a osvěta V oblasti firemní bezpečnosti je tradičně velkou hrozbou samotný uživatel. Firmy musí klást velký důraz na školení a vzdělávání zaměstnanců. Uživatelé musí rozumět rizikům a znát zásady bezpečnosti. V minulém roce došlo k rapidnímu nárůstu cílených hrozeb a tento trend bude pokračovat Mobilní aplikace v app storech jsou sice kontrolovány ještě před umístěním do obchodu, i tak jsou ale uzavřené mobilní systémy bezpečnostním rizikem. Škodlivý kód se do systému může dostat například formou PDF přílohy v u i v následujících letech. Útočníci se zaměřují pouze na přesně definované skupiny, skrz které se dostanou k hledaným informacím. Hrozby jsou tak důmyslnější a pro obyčejné uživatelé je stále složitější útoky rozeznat. Navíc počítačoví zločinci zneužívají i sociální sítě. Ovšem jejich striktní zákaz problém nevyřeší. Opět je potřeba je ošetřit v rámci sjednocené komunikace. Pokud má být celý proces efektivní, musí být všechna opatření v rovnováze se svobodou, kterou mají zařízení poskytovat. Pokud jsou nařízení stanovená příliš přísně, dochází k jejich nedodržování a porušování, a tím se hroutí celý systém. Optimální je tedy definovat nastavení ve spolupráci s uživateli. Sjednocená komunikace Integrace mobilních zařízení, ať již se jedná o notebooky, chytré telefony nebo například tablety, by mělo být součástí jedné komplexní firemní strategie, která tyto přístroje zapojí do struktury jednotné komunikace. Teprve v rámci ní uživatelé plně využijí potenciál všech nových technologií. Optimální je propojení mobilních zařízení s cloudovými technologiemi a službami, protože stačí relativně malý výpočetní výkon a přístup k internetu a zařízení se promění v plně mobilní kancelář. Uživatelé v rámci sjednocené komunikace mohou snadno také přepínat mezi mobilní sítí a bezdrátovou podnikovou sítí, takže jsou k zastižení na jednom čísle bez ohledu na používané zařízení. Sjednocená komunikace je bezpečná a efektivní cesta. Ale hned na počátku je potřeba neztratit se na rozcestí, pokud má cesta vést do úspěšně cíle. Nastavení celého systému je velmi citlivé, a základy je proto potřeba vybudovat velmi pevně. Firmy by proto neměly váhat s kontaktováním firem, jako je Dimension Data, a své vize s nimi konzultovat. V minulosti řada firem odmítala z principu přejít na moderní technologie, ale lpět na tradičních hodnotách lze i jinak. Firmy dnes musí pružně reagovat na vývoj trhu a musí mít možnost vstupovat na nové trhy a rozvíjet své podnikání. Mobilní zařízení dávají zaměstnancům svobodu. Není nutné sedět v kanceláři u stolu a pracovat je možné prakticky odkudkoli. Výrazně se tak zvyšuje produktivita a efektivita pracovníků a zároveň se zvyšuje jejich spokojenost. Podle průzkumů většina zaměstnanců dává přednost volnosti před vyšším platem. Firmy by tedy již neměly přemýšlet, jestli se touto cestou vydat nebo ne, ale svou energii by měly zaměřit směrem, jak tuto transformaci provést bezpečně. Přestože mediální povyk kolem nových hrozeb je místy lehce přehnaný, podceňovat rizika se nevyplácí. Connect! květen

12 AUTOR Architektura SecureX Bob má na starosti bezpečnost v docela úspěšné mezinárodní firmě. Zrovna cosi testuje, ale na chvíli přerušuje práci, upíjí z kalíšku, zavírá oči a vzpomíná. Donedávna to byla celkem pohoda. Každý z kolegů měl jeden černý notebook, na všech běžel jeden operační systém s ověřenou sadou aplikací. Pak se ale začalo dít něco zvláštního. Objevili se první otravové s bílými notebooky a méně obvyklým operačním systémem. Že se jim líbí a nic jiného nechtějí. Potom začali vyměňovat svoje staré dobré telefony za nové, inteligentnější. Ani by nevadilo, že se při jednáních nesoustředili, každou chvíli je vytahovali a nepříčetně osahávali, někdy i dvěma prsty současně ale oni na nich měli další operační systémy. A začali se s nimi připojovat do sítě, a ještě se domáhali přístupu k aplikacím. A do toho všeho přišly ty tablety. Bob si najednou vzpomněl, sáhl do kapsy a vzal si další tabletu. Hned mu bylo o něco líp. Tak třeba Cyril, typický potížista. Má tři mobilní zařízení telefon s iosem, tablet s Androidem a notebook s Linuxem. Prostě lahůdka. Své mazlíčky běžně připojuje do sítě současně na různých místech. Notebook nechá večer ve firmě, aby přes noc zazálohoval svých dvacet gigabytů dat. Pak si klidně odejde domů, kde vytáhne tablet, aby si konečně přečetl poštu. Přitažlivé hračky se ale samozřejmě zmocní jeho děti. Přes domácí Wi-Fi a již spuštěný VPN tunel se snaží proniknout do další úrovně napínavé hry. Jakýkoliv pokus zmocnit se Ivo Němeček Vedoucí týmu konzultantů a systémových inženýrů, Cisco Systems tabletu Cyril po chvíli vzdává. Nechává tablet malé havěti napospas a nachází přístřeší v nedalekém pohostinství, kde si s mobilním telefonem užívá druhou směnu. Bob z toho občas propadá trudnomyslnosti nejenže musí zajistit aspoň rozumnou bezpečnost třem zařízením s různými operačními systémy místo jednoho. Ale ještě musí přemýšlet, která z těch tří jsou připojena oprávněně. Jsou všechna v povolaných rukou? Má dvě z nich zablokovat? Ale která? Pokud by šlo jen o jednoho potížistu a tři mašiny, ale ono je jich několik tisíc a strojů skoro třikrát tolik. A to je jen začátek. Ještě nedávno měla firma jedno připojení do internetu. To byla pohoda. Demilitarizovaná zóna, soustava firewallů, IPS, pár bran pro VPN, web a poštu, průzračná architektura, všechno v jednom místě a celkem pod kontrolou. Doba se mění Pak se ale uživatelé zbláznili do videokonferencí. Dokud je používali jen ve firmě, tak to šlo. Ale potom se začali propojovat i s partnery a zákazníky, tedy ven ze sítě, často v HD kvalitě, že prý jim to šetří čas a kdesi cosi. Všechno video, někdy i několik megabitů za sekundu pro jedinou dvojici, se začalo valit přes centrálu za oceánem, tam a zpátky, křížem krážem, dokonce i když oba propojení seděli pod jednou střechou. Kupodivu to nějakou dobu docela dobře šlapalo i přes internet, než se linky naplnily. Začalo být jasné, že mnohem levnější bude zřídit místní přípojky do internetu než pořád posilovat mezinárodní trasy. A olej do ohně přilily ty nešťastné cloud služby. Napřed byly jak yetti, rok dva o nich každý mluvil, i když je nikdo nikde neviděl. Pak ale přece jen přišly. A začaly se z nich valit gigabajty dat nahoru a dolů. A přesouvaly se do nich kritické aplikace, citlivé na parametry přenosu, například videokonference nebo rychlé transakce. Někteří obchodníci se dožadovali milisekund v odezvách a přitom se tvářili docela vážně. Ale jak na to, když jen do centra a zpátky to rychleji než za 80 milisekund v principu nejde? Nebylo vyhnutí, začala se vytvářet místní připojení do internetu. To síti hodně odlehčilo a parametry přenosu se pro většinu aplikací zřetelně zlepšily. Ale pro bezpečnost to byla rána. Komunikace se rozprostřely intenzivní komunikací každého s každým a všemi směry, okraje sítě se rozmazaly nepřeberným množstvím přenosných zařízení a různých typů připojení. Bobovi bylo zřejmé, že se musí změnit i způsob, jakým bude síť chránit: Síť i správce musí mít přehled o tom kdo, kde, z jakého zařízení a v jakých souvislostech je připojen. Bezpečnost se musí rozprostřít podobně jako komunikace, musí proniknout skrz celou infrastrukturu. Bezpečnostní i síťové technologie musejí zvládat dynamické multimediální komunikace. Události v síti je nutné posuzovat v souvislostech, ne izolovaně v jednom místě. Síť i bezpečnostní zařízení musí mít přístup ke globálním informacím o aktuálních hrozbách. Jinak se nové hrozby nedají správně vyhodnotit a reagovat na ně v reálném čase je skoro nemožné. Bez softwaru pro jednotnou správu bezpečnosti to dál nepůjde. Takový software musí jednoduše formulovat globální pravidla a zavádět je do celé sítě, optimálně co nejblíže ke koncovým zařízením. S nástupem virtualizace je nutné účinně chránit data a aplikace ve fyzickém i virtualizovaném prostředí. Bob se začal rozhlížet, jestli by nenašel něco, co by jeho představy aspoň částečně naplnilo. Narazil na concept SecureX architektury. Jak si přečetl, SecureX je architektura, kde jednotlivé součásti spolupracují na zabezpečení sítě jako celku. Přitom právě hodnocení souvislostí je klíčem pro účinnou ochranu. SecureX posoudí identitu uživatele, typ zařízení, se kterým pracuje, způsob, jakým je připojen a aplikace, které používá. Zároveň bere v úva- 62 Connect! květen 2011

13 hu informace o aktuálních hrozbách. Ty jsou v reálném čase dostupné v globální databázi. Po prvním přečtení Bob pojal podezření, že jde o vizi, kterou sotva dostane do skutečné sítě. Pak se podíval blíž na jednotlivé součásti SecureX a jejich vlastnosti. Anyconnect klient zajistí ověřování uživatelů a přezkoumá stav mobilních zařízení různých typů, s různými operačními systémy. Technologie TrustSec v LAN infrastruktuře vyhodnotí údaje o přihlášeném uživateli, o zařízení, ze kterého je připojen, a klasifikuje a šifruje přenášená data. Klasifikace pak využívají bezpečnostní a síťová zařízení pro přidělování přístupu ke zdrojům ve fyzické infrastruktuře, virtualizovaném prostředí nebo ke cloud službám. Bezpečnostní funkce sítě jsou velmi silné. Síťová zařízení mohou ověřovat uživatele, šifrovat přenos, předávat informace, aktivovat filtry, hostit softwarové nebo hardwarové intrusion prevention systémy, firewally, popř. spustit další bezpečnostní funkce. Centrální ověřovací systém spravuje uživatele a přiděluje oprávnění v závislosti na jejich identitě i stavu jejich zařízení. Grafický systém pro správu bezpečnostních pravidel umí pracovat s tisíci různorodými zařízeními najednou. IPS systémy a brány pro ochranu webu a pošty nepustí ani myš. Využívají mimo jiné i globální databáze reputace a hrozeb (SenderBase a SensorBase). Ty jsou aktualizované v reálném čase živými experty i neživými bezpečnostními zařízeními v ostrých sítích. Bezpečnostní cloud služba ScanSafe chrání uživatele ve firemních sítích i mimo ně. Důkladné bezpečnostní zpravodajství informuje správce o aktuálních hrozbách a doporučuje postupy. Aplikační rozhraní umožní zapojovat další řešení, technologie a služby. Bob s překvapením zjistil, že prakticky všechny součásti jsou již dostupné. Rozhodl vše otestovat nejprve na sobě, pak na vybraném vzorku uživatelů, hlavně na těch, které považoval za nejobtížnější. Vybavil se notebooky s několika operačními systémy, koupil si pár atraktivních telefonů a se spacákem vyrazil pro novou verzi tabletu. Na vše nainstaloval lehkého AnyConnect klienta a pustil se do testování. Výsledky si pečlivě zaznamenával. Princip fungování Po připojení notebooku do LAN sítě ve firemním prostředí rozpozná AnyConnect známou síť a chová se jako 802.1x supplicant. Spolu s přístupovým přepínačem a ověřovacím serverem (ISE, Identity Service Engine) ověří uživatele i přezkoumá zařízení, ze kterého je připojen. AnyConnect předá informace přes přístupový přepínač ověřovacímu serveru, ten odpoví a podle totožnosti uživatele a stavu jeho zařízení předá pokyn přístupovému přepínači, jaká oprávnění uživateli přiřadit. Tato oprávnění se mohou odrazit v zařazení uživatele do virtuální sítě VLAN nebo nastavením filtrů na portu přepínače. Technologie TrustSec nezaměnitelně označkuje data uživatele. Zařízení na hranici sítě, například na vstupu do datového centra, se pak podívá na značku a povolí přístup k serverům a aplikacím podle oprávnění uživatele. TrustSec navíc zajistí šifrování dat v celé LAN síti na linkové vrstvě. Pokud se Bob připojí přes firemní Wi-Fi, AnyConnet sdělí síti, kdo a z jakého zařízení je do sítě připojen, a podle toho přidělí oprávnění. Z notebooku se tak například Bob dostane ke všem svým aplikacím, ze svého tabletu nebo telefonu jen k některým aplikacím a z neznámého zařízení (třeba z telefonu, který náhodou našel na ulici) jen do internetu. Bob si AnyConnect klienta docela oblíbil. Kromě toho, že šlape jak hodinky na všem, co má po kapsách i na stole, se o něj nemusí vůbec starat. Klient sám rozpozná, kde je a jak se má připojit. A hlavně Bob nemusí zadávat otravná jednorázová hesla pokaždé, když se někde odpojí a kousek jinde zase připojí, nebo když některého Diagram principu fungování architektury SecureX broučka pošle spát a pak ho znovu probudí. Spojení se naváže hned a samo. Naopak Bobův kolega Cyril AnyConnect moc nemusí. Bob mu nastavil klienta tak, že ho z neznámé sítě vždycky nažene VPN tunelem do firemní sítě. A tam mu vše nachystal tak, že si kromě práce moc neužije. Dokud je Bob ve firemní síti, jeho komunikaci chrání firemní firewall a intrusion prevention system. IPS používá globální databázi SensorBase v reálném čase tak, aby reagoval co nejpřesněji i na zcela nové hrozby. Brány IronPort se zaměřují speciálně na web a mail provoz. Většinu nebezpečné komunikace odfiltrují posouzením pověsti cílových web serverů nebo odesílatelů pošty. Tu získají dotazem do globální reputační databáze SenderBase. Zbytek nežádoucí komunikace zastaví antivirovými systémy a další technologie. Brány vědí, že Bob je Bob (údaje o něm si přeberou po prvním přihlášení do sítě) a podle toho mu nastaví pravidla. Bob je na sebe přísný, z firmy se nedostane například na sociální sítě, na rozdíl od Alice, která je prý nutně potřebuje k práci. Jak brány, tak IPS systémy se nejen dotazují, ale také do databází aktivně vkládají aktuální informace o zjištěných útocích a hrozbách (Bob je filantrop, proto tuto funkci povolil). I infrastruktura přispívá k bezpečnosti dat šifrováním přenosu, dynamickou aktivací filtrů a předáváním informací. Bob odchází každý večer z práce rovnou do nedalekého baru, aby zde pokračoval v testování. Otevře notebook, AnyConnect ihned zjistí nedůvěryhodnou Wi-Fi síť, automaticky přesměruje data šifrovaným tunelem do bezpečnostní cloud služby ScanSafe. Ta chrání web a mail komunikaci podobně účinně jako brány ve firemní síti. Mírnější pravidla ale Boba pustí do prostředí, kde se cítí tak dobře. Před půlnocí se Bob jediným kliknutím připojí přes VPN spojení do firemní sítě. Data, která si zrovna stahuje z internetu, jdou stále přes ScanSafe, spojení do firmy prochází nově sestaveným tunelem. Bob se připojí k dohledovému systému a zkoumá nové bezpečnostní výstrahy. Nic vážného, jen osm zelených a šest žlutých. Porovnává tyto údaje s čárkami na účtence a překvapeně zdvihá obočí. Na chvíli přerušuje práci, dopíjí osmý kalíšek a zavírá oči. Takový pocit harmonie už dlouho nezažil. Více informací naleznete na cisco.com/ go/security. Connect! květen

14 AUTOR Trendy a vize v podnikové bezpečnosti Podniková bezpečnost se za poslední desetiletí velmi změnila. Snad všem administrátorům velkých, středních, ale i menších podniků již došlo, že ochrana podnikových sítí nespočívá jen v antivirovém řešení na koncových stanicích a firewallu na vstupu. Vdnešní době se zabezpečení antivirem a firewallem zdá spíše jako jeden z několika základních kamínků bezpečnosti, na kterém se dále staví pokročilejší prvky ochrany. Navíc dle nejnovějších průzkumů je čím dál tím větší část útoků a krádeží dat podnikána vnitřními útočníky, ať už vědomě, či nevědomou neznalostí, a proto je potřeba ochránit společnost i proti takovýmto hrozbám. Vývoj a prosazování IT politik V první řadě je třeba si uvědomit, že soulad je víc než jen dodržování vládních nebo oborových předpisů. Je to také podporování obchodních cílů a řízení rizik IT. Pro dosažení souladu je nutné důsledné sladění činností v oblasti zajišťování souladu a činností v oblasti zmírňování rizik IT. Jen tak mohou provozní týmy dostatečně zabezpečit infrastrukturu podle firemních zásad a současně plnit interní a externí požadavky na zajištění souladu. Moderní systémy pro zajištění souladu vám pomohou snížit finanční rizika vyplývající ze ztráty nebo krádeže údajů o zákaznících prostoje organizace kvůli selhání IT a přerušení služeb průměrné roční výdaje na soulad s předpisy tím, že automatizují hlavní činnosti v rámci zajištění souladu IT, včetně vyhodnocení rizik, správy zásad, hodnocení a sledování kontrolních mechanismů IT, nápravy nedostatků a vytváření zpráv. Ochrana IT infrastruktury Ochrana podnikové sítě nespočívá jen v aktualizaci antiviru na koncových stanicích. Dnešní moderní zabezpečení koncových bodů se dokonce brání označení antivir, jenž pro něj představuje jistou degradaci toho, čím skutečně je, a svádí poté ke srovnávání s jednoduchými produkty Petr Vojáček Territory Account Manager, Symantec některých obvykle menších a lokálně působících antivirových firem. V první řadě jsou stále potřebné tradiční moduly Antivirus a Antispyware, které by ovšem měly být navrženy tak, aby díky stále rostoucí databázi signatur a hrozeb, která roste exponenciální řadou, nezpomalovaly chod již tak vytížené pracovní stanice. Stejně tak byste měli vyžadovat, aby antivirový systém byl schopen v případě potřeby zamezit přístupu k USB portům či mechanikám, ale i k jednotlivým aplikacím. Budování paralelního zabezpečení nad tím, které poskytuje operační systém, není zbytečné. Výsledkem je výrazně ztížená možnost napadení systému útočníky. Další důležitou součástí je ochrana pošty, a to minimálně na dvou úrovních: jak na úrovni samotného vstupu do sítě pomocí ové brány, tak přímo na ovém serveru. Pomocí podobné brány, nyní ovšem webové, by měl být chráněn i přístup na webové stránky. Spolu s elektronickou poštou představuje totiž nákaza škodlivým kódem z internetových stránek dva nejčastější způsoby napadení počítačů. Součást Network Access Control řídí právo přístupu jednotlivých koncových bodů k síti na základě předem definovaných pravidel. Nedovolí tak například počítači s vypnutým antivirem či s neaktualizovaným kritickým patchem se vůbec připojit do sítě. S rostoucím počtem mobilních zařízení a jejich integrací do podnikové sítě čím dál více roste potřeba ochrany i před útoky zneužívajícími tyto technologie, proto by měl být součástí bezpečnosti i systém mobilního zabezpečení. V neposlední řadě je důležité ochránit se před ztrátou důležitých dat a aplikací pomocí automatického zálohování a systému obnovy všech koncových stanic. Zde jsme si tedy vyjmenovali součásti bezpečnostního podnikového systému, které by ovšem nemohly správně a komfortně spolupracovat bez dokonalé konzole pro správu. Ta umožňuje sladění a spravování jednotlivých prvků této ochrany a pro administrátory rozsáhlých podniků je jednou z nejdůležitějších vlastností právě dokonalost dálkové správy pomocí této konzole. Ochrana informací V současné době může téměř kdokoli sdílet informace, přistupovat k nim a šířit je v neomezeném rozsahu. Organizace si zvykly toho využívat, protože je to nesmírně přínosné. Současně stále stoupá mobilita pracovních sil. Všudypřítomnost vysokorychlostního přístupu k internetu, inteligentních mobilních zařízení a přenosných úložišť znamená, že kancelář může být prakticky kdekoli. V důsledku toho je pro organizace složitější než kdykoli dříve zabránit ztrátě citlivých dat. Metody zabezpečení se ještě v nedávné minulosti zaměřovaly na zabezpečení sítě. Je čas začít se zabývat zabezpečením samotných dat. Jedním z nejlepších způsobů, jak to udělat, je použít software Data Loss Prevention. Například software Symantec Data Loss Prevention poskytuje jednotné řešení pro zjišťování, sledování a ochranu důvěrných dat bez ohledu na to, kde jsou uložena a kde se používají. Můžete tak mít ucelený pohled na to: kam jsou odesílána vaše důvěrná data jaká důvěrná data jsou přenášena z přenosného počítače jak používají zaměstnanci důvěrná data, když jsou připojeni k podnikové síti, ale i když k ní připojeni nejsou jak zabránit ztrátě důvěrných dat Management IT systémů Oddělení IT stojí před obtížným úkolem spravovat početně neustále se měnící klienty, včetně stolních a přenosných počítačů, tenkých klientů a kapesních zařízení. S rostoucím počtem zařízení v síti a regionální složitostí struktury společností roste i potřeba vzdálené správy všech zařízení v síti nezávisle na tom, kde se nacházejí. Nejlepší systémy pro takovouto dálkovou správu vám umožní: zabezpečit tuto správu na základě rolí a působností bezobslužné zavedení a přenesení operačního systému integrovanou inventarizaci hardwaru a softwaru s vytvářením webových zpráv správu softwaru na základě zásad automatizovanou správu patchů a oprav dodržování podmínek softwarových licencí nativní integraci do Microsoft Active Directory správu prostředí napříč smíšeným hardwarem a různými operačními systémy 64 Connect! květen 2011

15 Co by měl umět firewall pro SMB Také malé firemní sítě, které čítají do 100 zapojených počítačů, musí být dobře zabezpečeny hardwarovým firewallem. Co by měl takový SMB firewall umět? AUTOR Administrátor takovéto sítě musí předem dobře promyslet strukturu sítě a případné řešení bezpečnosti hlavně z hlediska komplexnosti a propracovanosti řešení. V dnešní době se často začínají přebudovávat již starší firemní řešení bezpečnosti, postavené na starých, vyřazených počítačích, běžící na platformě Linux, ke kterým většinou již nikdo nezná heslo a možná ani jejich umístění. Nová a moderní struktura sítě musí nabízet ucelené řešení, které je pro takovouto firmu také cenově dostupné. Většina firem se snaží na řešení co nejvíce ušetřit, proto je nutné volit nějakou střední cestu. Nemůžete volit cenově vysoce postavené řešení řádově za desítky tisíc euro, nebo zase řešení, třeba zadarmo, které se musí složitě implementovat a složitě spojovat do jednoho celku z více různorodých dílů. Zde dojde právě k cenovému navýšení při implementaci řešení. Ideální řešení je takové, která zahrnuje nákup hardware, pokud možno v jednom boxu, který bude schopen obsluhovat firemní bezpečnost komplexně a nebude nutné za něj platit jakékoli roční poplatky, které někteří výrobci ukrývají pod upgrade firmware takovéhoto zařízení, nebo dokonce možnost využít technickou podporu. Funkce a doplňky Petr Koudelka Security Product Manager, ZyXEL Communications Czech Pokud jsou nějaké služby zpoplatněny nad rámec hardware, třeba roční licencí, jsou to většinou nějaké doplňkové funkce, které umožní správci zařízení větší možnosti zamezení a blokací na firemní síti. Ideální je vyzkoušet si takovéto služby zdarma na nějaké období, kdy správce sítě může jednoduše posoudit a následně managementu firmy vyhodnotit přínos těchto placených, doplňkových funkcí. Placené funkce a doplňky jsou třeba online vyhodnocení obsahu webových stránek, kdy zaměstnanci nemohou navštěvovat stránky s pornografickým obsahem, vyhledávače nebo ové klienty pracující přes webové rozhraní. Stále častěji se tato blokace ve firmách zavádí, protože vede velmi rychle ke zvýšení efektivity práce zaměstnanců, kteří musí v pracovní době opravdu pracovat, a ne na počítači provádět jakékoli nekalosti, které vedou k pracovní neefektivitě, nebo dokonce poškození počítače virem nebo spywarem a následné nutnosti platit za servis tohoto stroje. Zaměstnanci tráví hodně času nejen prohlížením internetových stránek, ale také jsou velmi oblíbené různé druhy komunikačního software, jako je Skype, ICQ, MSN a další. Toto nejsou standardní firewallová řešení schopna nijak efektivně blokovat, doplňky však ano. Firma často schvaluje a úmyslně provozuje nějakou takovouto službu, z důvodu snížení nákladů na komunikaci mezi pobočkami firmy. K firemním účelům stačí jen napsat vzkaz a volat, nejsou tedy potřebné jiné možnosti komunikačního software, a proto je zablokujte. Vyhnete se tak možnosti nakazit stanici třeba přijetím souboru, který někdo zaměstnanci pošle. Tyto skenovací mechanismy jsou schopny blokovat i potenciální útoky po návštěvě nekorektních webových stránek atd. Další online kontrolou může být možnost použití antivirové kontroly na komunikační protokoly, které do sítě vstupují. Mohou to být otevírané stránky a skripty, odesílající na pozadí infekční soubor, nebo příloha v poště, která je třeba i komprimovaná archivačním softwarem. Přílohu u je bezpečnostní brána schopna jednoduše zničit. Ničte tedy nejen archivy, ale můžete ničit obrázky a videa, takže zaměstnanci nebudou trávit mnoho pracovní doby jejich prohlížením. Datový tok a šifrování Všechny tyto restrikce je krásné používat, ale musí zde být možnost je aplikovat vždy jen na nějaké skupiny a segmenty sítě, nebo dokonce jen někdy. Ideální zařízení musí být schopno pracovat s časovými pravidly, aby bylo možné přesně definovat, kdy a pro koho dané restrikce platit budou nebo nebudou. Zde se pohybujeme v segmentu firemní sítě o větším počtu zaměstnanců, kdy můžete jednoduše spojovat jednotlivé uživatele na úrovni jejich uživatelského jména a hesla s bezpečnostními pravidly, které jsou ušity přesně na jednotlivého uživatele. Z důvodu sjednocení bezpečnostní brány s dalšími prvky sítě můžete ověřovat jména a hesla na již existujícím firemním doménovém serveru LDAP, Active Directory. Administrátor tedy používá jednu ucelenou databázi jmen a hesel pro všechny uživatele. Admin nemusí duplikovat všechny jména a hesla několikrát na mnoha místech, kdy se naskýtá možnost udělat jednoduše chybu. Zařízení musí být schopno automatizovaně řídit datový tok a navíc prioritu toku jednotlivých aplikací, které jsou velmi náchylné na zpoždění přenosu některých paketů třeba pro VoIP aplikace. Pokud je ve firmě používáno více přípojek od ISP, z důvodu zálohy konektivity nebo z důvodu reálného vytěžování více linek zároveň, musí být bezpečnostní branou tato funkce také podporována. Nezapomínejte na bezpečné a šifrované propojení všech poboček firmy s centrálou, kde jsou většinou umístěny všechny důležité ové, webové a databázové servery, které budou schopny využívat předem definovaní uživatelé z poboček. A co obchodní zástupce, který cestuje stále někde mimo firmu a potřebuje také bezpečný přístup k firemním datům přes VPN tunel odkudkoli, kde má přístup na internet. Důležité je mít přehled o chování sítě nebo schopnost jednoduše reportovat vedení firmy dění na síti a chování zaměstnanců. Proto si vždy ověřte, zda vybrané řešení umí automatizovaně zajistit vyhodnocení provozu a chování na firemní síti. Connect! květen

16 Recept na 3DSecurity AUTOR Podle nedávného průzkumu společnosti Check Point a Ponemon Institut mezi 2400 bezpečnostními IT profesionály je největším problémem současnosti správa složitých bezpečnostních prostředí. Časté ztráty dat, rozmach Web 2.0 aplikací, mobilní výpočetní techniky i nárůst kombinovaných útoků je pro mnoho organizací bez ohledu na jejich velikost výzva, jak si udržet krok s rostoucími hrozbami. Stále více firem si uvědomuje, že na bezpečnost musí být v rámci jejich celkové infrastruktury IT kladen daleko větší důraz. Aby byl dosažený potřebný stupeň ochrany, která je pro obchodní prostředí v 21. století nezbytná, měly by společnosti zvážit zavedení plánu pro implementaci počítačové bezpečnosti. Plán, který jde nad rámec technologií a vnímá bezpečnost jako proces, umožňuje zapojit do bezpečnostní politiky zaměstnance a pomáhá organizacím sladit jejich IT politiky s obchodními potřebami. Pokud firmy chtějí přeměnit bezpečnost na podnikový proces, měly by zvážit zavedení kombinace jejich tří zásadních rozměrů: bezpečnostní politiky, uživatele, respektive jeho lidský faktor a metodologii a nástroje na celkové prosazování IT bezpečnosti. Bezpečnostní politika: Základním krokem je definice bezpečnostní politiky, která bude platná napříč celou organizací. Bezpečnostní politiky by měly být formulovány jednoduchým byznys jazykem, ne jen jako technologické poučky. V současné době nemá většina organizací bezpečnostní politiky definovány jasně a především Juliette Sultan Head of global marketing, Check Point Software Technologies srozumitelně a často o nich zaměstnanci nejsou ani informováni. Pokud si firmy chtějí zajistit vyšší úroveň bezpečnosti ve všech vrstvách síťového zabezpečení, musí začít holisticky pochopit, jak do sebe všechny používané technologie zapadají a kde se mohou vyskytovat určitá rizika. Lidský faktor: Druhý a v podstatě nejdůležitější rozměr vize 3D Security jsou lidé, firemní zaměstnanci. Používání internetu v kanceláři se dramaticky změnilo s nástupem sociálních médií a aplikací Web 2.0. Bezpečnost bývala zajišťována blokováním určitých aplikací, portů, protokolů, popřípadě úplným zablokováním webových stránek. Jak se webové aplikace vyvíjely, firmy zjistily, že řada z nich může být zajímavým způsobem komunikace a spolupráce. Pro IT správce tento vývoj ovšem představoval výzvu, jak ochránit firmu před celou škálou nových i vznikajících hrozeb, aniž by byl narušený plynulý chod firmy. Uživatelé jsou beze vší pochybnosti důležitou součástí bezpečnostního procesu. Je to právě uživatel, kdo dělá chyby, které vedou k infekci malwaru i neúmyslné ztrátě dat. Většina firem nevěnuje příliš velkou pozornost zapojení uživatelů do bezpečnostního procesu, i když by to měla být jedna ze zásadních podmínek. Je potřeba informovat a vzdělávat uživatele o firemních bezpečnostních politikách, stejně jako je poučit o zodpovědném chování při připojování k firemní síti a datům. Uživatelé představují velké riziko v narušení firemní bezpečnosti, ale zároveň to jsou oni, kteří pokud získají řádné školení a informace mohou sehrát důležitou roli při snižování těchto rizik. Bezpečnostní procesy by měly být maximálně jasné a přehledné, neměly by uživatelům bránit v práci anebo měnit způsob jejich práce. Metodologie a nástroje na celkové prosazování IT bezpečnosti: Třetím zásadním prvkem 3D Security je vynutitelnost bezpečnosti IT. Zajištění bezpečnosti spočívá v získání lepší kontroly nad mnoha vrstvami ochrany. Firmy bohužel často ztrácejí kontrolu nad nesourodými bezpečnostními politikami, navázanými na různé typy používaných řešení, které mohou paradoxně vytvořit příliš složitou infrastrukturu a vznik bezpečnostních děr mezi jednotlivými produkty. Kombinací tří základních prvků bezpečnostních politik, lidí a metodologie pro vynucení bezpečnosti mohou firmy prosadit bezpečnost do svých podnikových procesů. Zásadní je právě toto propojení a zajištění spolupráce mezi všemi vrstvami zabezpečení od uživatelů přes obsah, aplikace, data i síť. Všechny vrstvy zabezpečení by měly fungovat společně. Opět platí, že prosazování bezpečnosti musí být provedené s holistickým přístupem tak, aby byly zajištěny všechny politiky. Nevynechávejte řešení nedostatků a věnujte se prevenci hrozeb. Pokud dnes firmy chtějí zlepšit zabezpečení, potřebují lépe pochopit svá současná prostředí a stanovit si hlavní priority, a to jak v krátkodobém, tak i dlouhodobém horizontu. Jako bezpečnostní prioritu pro rok 2011 řada respondentů udává správu firmy, rizik a zajištění shody (GRC). Poté následovalo zabezpečení koncových bodů, ochrana proti novým hrozbám, zabezpečení dat a zajištění virtuálních prostředí (Průzkum společností Check Point a Ponemon, 2011). Vize 3D Security není o nasazování produktů ani kupení technologií, je o zvyšování povědomí o dnešních bezpečnostních problémech, poskytování osvědčených postupů a kompletní propojenosti s firemními potřebami a strategiemi na nejvyšší možné úrovni. Vzděláváním koncových uživatelů a dodržováním jasně vymezených bezpečnostních politik mohou společnosti snížit složitost při současném zvýšení efektivity současného firemního zabezpečení. INZERCE A Connect! květen 2011

17 Garantujeme úsporu diskové kapacity! HP Thin Guarantee Program A TO ZCELA ZDARMA!

18 Bezpečné adresy na lokální síti IPv6 SEND AUTOR Protokol SEND (Secure Neighbor Discovery Protocol) nabízí bezpečnou formu objevování sousedů a routerů v IPv6. Je to dodatečné rozšíření protokolu IPv6, které si svoji oblibu zatím ještě nevybojovalo. Pokud se zajímáte o sítě a IPv6, rozhodně stojí za to se s ním seznámit. Na sítích s IPv6 se používá protokol NDP (Neighbor Discovery Protocol), který se používá při začleňování nových zařízení do lokální sítě a při navazování komunikace mezi zařízeními. Mezi jinými umí objevování sousedů a routerů. Protokol NDP trpí víceméně stejnými problémy jako jeho předchůdci ze světa IPv4 (například ARP a DHCP). Na lokální síti bez speciálně konfigurovaných prvků je velmi jednoduché falšovat odpovědi protokolů ARP či DHCP, a tím na sebe strhnout komunikaci, která byla určena někomu jinému. Tento problém (nebo vlastnost, chcete-li) provází lokální sítě TCP/IP od začátku. Předchozí metody se zaměřují na použití chytrých síťových prvků nebo zašifrování Pavel Šimerda Nezávislý lektor, konzultant a publicista v oblasti počítačových sítí, komunikace a bezpečnosti celé komunikace za použití předem připravených šifrovacích klíčů. Oba uvedené způsoby fungují s IPv4 i IPv6, ale vyžadují velmi pečlivou předchozí konfiguraci. SEND oproti tomu využívá velikosti adresního prostoru IPv6 a nabízí flexibilnější metodu. Kryptografické adresy Jedním ze základních konceptů protokolu SEND jsou kryptografické adresy. Právě ty vyžadují dostatečný adresní prostor, který IPv6 nabízí. Koncové sítě IPv6 nechávají 64bitový prostor pro identifikátory počítačů v síti. Kryptografická adresa tedy obsahuje síťový prefix a kryptografický hash. Ten se počítá z několika parametrů včetně veřejného klíče a síťového prefixu. Právě veřejný klíč je tím nejdůležitějším prvkem, protože vznikl společně se soukromým klíčem, a tvoří s ním dvojici klíčů algoritmu RSA. Celý smysl kryptografické adresy je v tom, že její vlastník se prokazuje tím, že má k dispozici soukromý klíč. Vlastník adresy tedy může digitálně podepisovat zprávy a zveřejnit parametry kryptografické adresy, podle kterých pak příjemce ověří digitální podpis. Objevování sousedů Objevování sousedů je takový vzletný název pro zaplňování tabulky ARP v IPv4 či NDP v IPv6. Princip je jednoduchý. Zařízení, které chce komunikovat s některým sousedem po ethernetu, potřebuje zjistit jeho MAC adresu. Pošle tedy multicast/ broadcast zprávu, která obsahuje dotaz typu: Jakou MAC adresu má zařízení s IP adresou i:j:k:l:m:n:o:p?. Dotyčné zařízení na tento dotaz odpovídá stylem: Já jsem zařízení s IP adresou i:j:k:l:m:n:o:p a moje MAC adresa je qq:rr:ss:tt:uu:vv. Problém je v tom, že takto může odpovědět kdokoli a podvrhnout svou vlastní MAC adresu. Tomuto útoku se říká ARP spoofing nebo NDP spoofing podle verze protokolu IP. SEND tomuto problému předchází tím, že zavádí kryptografické adresy a podpisy odpovědí NDP. Podepsané odpovědi tak zajišťují správnost vazby mezi IP adresami a MAC adresami. Podepisují se i dotazy, ale o tom později. Do objevování sousedů v IPv6 spadá i správná detekce nedostupnosti. Když 68 Connect! květen 2011

19 je soused nedostupný, měli bychom to být schopni zjistit. Používá se stejný typ NDP zprávy jako pro zjištění MAC adresy. Nedostupnost se pozná podle toho, že (opakovaně) nepřijde odpověď. Použitím SENDu se můžete bránit útoku, kdy jiný stroj předstírá dostupnost již nedostupného zařízení. Velmi speciálním použitím NDP je detekce duplicitních adres, která je součástí procesu automatické konfigurace. Zařízení, které se chystá začít používat novou IP adresu, nejdřív posílá dotaz na tuto adresu, aby zjistilo, jestli ta adresa už není použita v síti. Při použití kryptografické adresy může zařízení zareagovat na kolizi s obyčejnou adresou, ale při dalším pokusu už kolize ignoruje kvůli možnému DOS útoku. Pozor ale na falešný pocit bezpečí. SEND v tomto případě pouze zajišťuje správnou vazbu mezi IP a MAC. To znamená, že nijak nechrání proti útokům typu MAC spoofing, ani nechrání následnou komunikaci. Je tedy jen jedním článkem v řetězu opatření, která je třeba udělat pro zabezpečení lokální komunikace. Objevování routerů Podobně, jako funguje objevování sousedů, funguje i objevování routerů. Podstatný rozdíl je ale v tom, že ne každé zařízení má právo stát se routerem. Taková autorizace vyžaduje určitou spolupráci mezi routery a připojenými zařízeními. SEND zajišťuje tuto autorizaci pomocí certifikátů routerů, které jsou v nejjednodušším případě podepsané něčím, čemu se říká kotva důvěry. Každé zařízení má v sobě seznam těchto kotev, které přímo či nepřímo certifikují jednotlivé routery. Certifikace může routerům vymezovat i konkrétní prefixy, které smějí nabízet. Soužití SEND a NDP Klasické objevování sousedů (NDP) a bezpečné objevování sousedů INZERCE A (SEND) se dají používat dohromady. Ve skutečnosti SEND není samostatný nový protokol, ale sada rozšiřujících voleb pro protokol NDP. Zařízení bez podpory SEND tyto rozšiřující informace ignorují a fungují, jako by žádný SEND neexistoval. Oproti tomu zařízení s podporou SEND musí pečlivě vážit přijaté zprávy s ohledem na zabezpečení. Striktní nastavení, kdy se nezabezpečená oznámení ignorují, asi jen tak nepotkáte. Většinou to bude fungovat tak, že stroj bude dávat přednost podepsaným informacím a v případě jejich absence využívat nepodepsané. IPv6 díky svému většímu adresnímu rozsahu přináší nové možnosti adresace. Díky na zelené louce navržené architektuře automatického přidělování adres přináší autonomii koncových zařízení při volbě adres. Na obou těchto novinkách staví SEND, který umožňuje podepisovat informace týkající se objevování sousedů a routerů. SEND tak zavádí do protokolu IP úplně nové koncepty, které se jistě uplatní i v dalších situacích. Connect! květen

20 Zabezpečení komunikace přes IPsec AUTOR IP security, zkráceně IPsec, je protokol pro zabezpečení komunikace mezi počítači na sítích TCP/IP. Vznikl jako povinná součást IPv6 a později se začal uplatňovat i ve starším protokolu IPv4. IPsec nahrazuje či doplňuje různé starší protokoly pro navázání šifrované komunikace a tvorbu šifrovaných tunelů. Jeho asi největší konkurenční výhodou je standardizace pod křídly IETF a povinná implementace v IPv6. Jak název napovídá, zabezpečení probíhá na síťové úrovni, IPsec tedy slouží jako doplněk protokolu IP, který podobné bezpečnostní vlastnosti jinak nemá. Zabezpečení zajišťuje operační systém, aplikace se nemusejí o nic starat (na rozdíl třeba od TLS/SSL). IPsec nabízí zajištění autenticity, integrity a utajení IP paketů. Autenticitou se myslí, že víte, od koho jste paket dostali (není podvržený). Integrita znamená, že nebyl po cestě změněn. A utajení v tomto případě znamená, že kdo ho odchytí, nedozví se z něj nesenou informaci. Pavel Šimerda Nezávislý lektor, konzultant a publicista v oblasti počítačových sítí, komunikace a bezpečnosti Ochrana dat Povinnou součástí IPsec je protokol ESP, který nabízí všechny tři uvedené bezpečnostní vlastnosti, přičemž utajení se někdy vynechává, pokud není potřeba. Bez utajení funguje také autentizační hlavička (AH), kterou už teď ani není povinnost implementovat a celkově je spíše na ústupu. Budeme se tedy zabývat spíše protokolem ESP, a to ještě ve variantě se šifrováním. AH se použije v případě, že je potřeba chránit integritu včetně informací v IP hlavičce. Ať už se použije jakýkoli protokol, je potřeba zajistit, aby prošel firewallem. Transportní varianta IPsec se používá dvěma způsoby. Prvním z nich je transportní varianta, kdy ESP část paketu obsahuje zašifrovanou transportní hlavičku a aplikační data a to vše je chráněno kontrolní hodnotou proti změně. IP hlavička je nechráněná. Podobně funguje protokol AH, jen nedochází k šifrování a kontrolní hodnota chrání i část IP hlavičky. Transportní varianta se používá mezi jednotlivými koncovými zařízeními a nevyžaduje žádnou speciální podporu na routerech po cestě. Hlavní výhodou je, že jsou data chráněna po celé cestě od zdroje k cíli. Tunelová varianta Tunelová varianta se používá, když je potřeba propojit celé sítě. Data pak probíhají šifrovaná jen mezi bránami daných sítí. Technicky to vypadá tak, že se celý IP paket zašifruje, zabalí do ESP a přidá se nová IP hlavička. V této veřejné hlavičce uvidíte jen adresy bran propojených sítí. Tunelová varianta IPsec se tedy chová jako klasická VPN. Tento způsob se používá i na speciální případ, kdy se k síti připojuje samostatný počítač. IPsec potom chrání spojení mezi tím jedním počítačem a sítí. Obvyklé použití je zaměstnanecká VPN pro mobilní přístup do sítě. Mezi výhody tunelového přístupu patří skrytí IP hlavičky a také to, že konfigurace probíhá pouze na koncových bodech tunelu. Ostatní zařízení nemusí být pro toto použití nijak nakonfigurovaná. Bezpečnostní vztahy Aby toto vše fungovalo, musí být komunikující strany nějak domluvené. Navazují 70 Connect! květen 2011

Computer, květen 2011. Týmová práce pro zajištění bezpečnosti komunikačních sítí

Computer, květen 2011. Týmová práce pro zajištění bezpečnosti komunikačních sítí Týmová práce pro zajištění bezpečnosti komunikačních sítí Problematiku bezpečnosti sítí a jejich služeb s důrazem na oblast řešení bezpečnostních incidentů řeší profesionální týmy CSIRT (Computer Security

Více

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC

Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC Bezpečnostní týmy typu CSIRT/CERT obecně a v CZ.NIC CZ.NIC z.s.p.o. Martin Peterka / martin.peterka@nic.cz Konference Bezpečnost kyberprostoru 25. 10. 2011 1 Obsah CERT/CSIRT týmy obecně Co to je CSIRT/CERT

Více

Aktivity NBÚ při zajišťování kybernetické bezpečnosti

Aktivity NBÚ při zajišťování kybernetické bezpečnosti Aktivity NBÚ při zajišťování kybernetické bezpečnosti Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 10.4.2013 1 Zákon o kybernetické bezpečnosti Kritická informační infrastruktura 10.4.2013

Více

ACTIVE24-CSIRT - řešení bezpečnostních incidentů v praxi. Ing. Tomáš Hála ACTIVE 24, s.r.o. www.active24.cz

ACTIVE24-CSIRT - řešení bezpečnostních incidentů v praxi. Ing. Tomáš Hála ACTIVE 24, s.r.o. www.active24.cz ACTIVE24-CSIRT - řešení bezpečnostních incidentů v praxi Ing. Tomáš Hála ACTIVE 24, s.r.o. www.active24.cz CSIRT/CERT Computer Security Incident Response Team resp. Computer Emergency Response Team hierarchický

Více

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu

Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Spolupráce veřejného a soukromého sektoru při prevenci a zvládání kybernetického kolapsu Jaroslav Šmíd Tel.: 420 257 283 333 e-mail: J.Smid@nbu.cz 30.5.2013 1 30.5.2013 1 Internet hybná síla globální ekonomiky

Více

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s.

Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu. Simac Technik ČR, a.s. Alternativní řešení pro ochranu dat, správu infrastruktury a zabezpečení přístupu Simac Technik ČR, a.s. Praha, 26.10. 2012 Jan Kolář Vedoucí Technického Oddělení Jan.kolar@simac.cz Úvod 9:00 Úvod, novinky

Více

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@email.cz, 603 248 295 Zákon o kybernetické bezpečnosti základní přehled Luděk Novák ludekn@email.cz, 603 248 295 Obsah Zákon č. 181/2014 Sb., o kybernetické bezpečnosti Vyhláška č. 316/2014 Sb., vyhláška o kybernetické bezpečnosti

Více

Správa stanic a uživatelského desktopu

Správa stanic a uživatelského desktopu Správa stanic a uživatelského desktopu Petr Řehoř, S.ICZ a.s. 2014 1 Správa stanic v rámci DVZ Slouží pro Zajištění opakovatelné výsledné konfigurace nových a reinstalovaných stanic Převod uživatelských

Více

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115 Číslo projektu: Číslo šablony: 28 CZ.1.07/1.5.00/34.0410 Název materiálu: Ročník: Identifikace materiálu: Jméno autora: Předmět: Tématický celek:

Více

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz

ZÁKON O KYBERNETICKÉ BEZPEČNOSTI. JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz ZÁKON O KYBERNETICKÉ BEZPEČNOSTI JUDr. Mgr. Barbora Vlachová judr.vlachova@email.cz PRÁVNÍ ZAKOTVENÍ KYBERNETICKÉ BEZPEČNOSTI zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů

Více

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS Představujeme KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Obchodní faktory a jejich dopad na IT AKCESCHOPNOST Jednejte rychle, pohotově a flexibilně 66 % vlastníků firem považuje akceschopnost za svou prioritu

Více

Národní bezpečnostní úřad

Národní bezpečnostní úřad 1 Role NBÚ v oblasti kybernetické bezpečnosti Jaroslav Šmíd náměstek ředitele NBÚ j.smid@nbu.cz 2 Obsah Něco z historie Vliv Internetu na národní hospodářství Legislativní rámec Hlavní činnosti NCKB NCKB

Více

Security of Things. 6. listopadu 2015. Marian Bartl

Security of Things. 6. listopadu 2015. Marian Bartl Security of Things 6. listopadu 2015 Marian Bartl Marian Bartl Unicorn Systems, Production Manager, 2013 Unicorn Systems, Operations Architect, 2012 Unicorn, 2012 Architektura a projektové řízení Bezpečnost

Více

Národní bezpečnostní úřad

Národní bezpečnostní úřad 1 Národní centrum kybernetické bezpečnosti Ing. Jaroslav ŠMÍD 2 Jak to začalo Usnesení vlády č. 781 ze dne 19. října 2011 NBÚ ustaven gestorem problematiky kybernetické bezpečnosti a zároveň národní autoritou

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

Zabezpečení v síti IP

Zabezpečení v síti IP Zabezpečení v síti IP Problematika zabezpečení je dnes v počítačových sítích jednou z nejdůležitějších oblastí. Uvážíme-li kolik citlivých informací je dnes v počítačích uloženo pak je požadavek na co

Více

Mobilní komunikace a bezpečnost. Edward Plch, System4u 16.3.2012

Mobilní komunikace a bezpečnost. Edward Plch, System4u 16.3.2012 Mobilní komunikace a bezpečnost Edward Plch, System4u 16.3.2012 Citát z Hospodářských novin ze dne 5.3.2012, příloha Byznys, článek Počet útoků na mobily prudce vzrostl: Trend Micro zadal studii mezi analytiky

Více

Symantec Mobile Security

Symantec Mobile Security Pokročilá ochrana mobilních zařízení před bezpečnostními riziky Katalogový list: Správa koncových zařízení a mobilita Přehled Nabídka aplikací neautorizovanými prodejci spolu se značnou otevřeností platformy

Více

Daniela Lišková Solution Specialist Windows Client. daniela.liskova@microsoft.com

Daniela Lišková Solution Specialist Windows Client. daniela.liskova@microsoft.com DESKTOP: Windows Vista Daniela Lišková Solution Specialist Windows Client daniela.liskova@microsoft.com TCO desktopů analýzy spol. Gartner Téměř 80% všech nákladů v IT vzniká po nákupu tj. na správě, opravě,

Více

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí Řešení pro vaše e technologie, technologie pro vaše řešení Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí Skupina PCS Společnosti sjednocené pod názvem PCS se zabývají širokým spektrem

Více

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy Petr Řehoř, S.ICZ a.s. 25. září 2014 1 Důvěryhodná výpočetní základna Vlastní metodika pro návrh a implementaci počítačové infrastruktury

Více

Práce na dálku (z domova) prakticky

Práce na dálku (z domova) prakticky Práce na dálku (z domova) prakticky Ing. Radka Nepustilová konzultantka společnosti Idealine Solutions Telefon: 602 666 336 Email: radka.nepustilova@workline.cz Weby: www.workline. cz www.webinare. cz

Více

MXI řešení nabízí tyto výhody

MXI řešení nabízí tyto výhody MXI řešení nabízí tyto výhody Přenositelnost Zero-Footprint technologie Nezanechává žádnou stopu (klíče nebo software) v zařízeních, na kterých je používáno, což je důležité z bezpečnostních důvodů a dovoluje

Více

Technické aspekty zákona o kybernetické bezpečnosti

Technické aspekty zákona o kybernetické bezpečnosti D Ů V Ě Ř U J T E S I L N Ý M Technické aspekty zákona o kybernetické bezpečnosti Michal Zedníček Key Account Manager CCSSS, ID No.: CSCO11467376 michal.zednicek@alef.com ALEF NULA, a.s. Petr Vácha Team

Více

Mobilní komunikace a zvyšování efektivity. Stanislav Bíža ISSS 2010

Mobilní komunikace a zvyšování efektivity. Stanislav Bíža ISSS 2010 Mobilní komunikace a zvyšování efektivity Stanislav Bíža ISSS 2010 Mobilní komunikace Mobilita zaměstnanců dnes představuje významný faktor zvašování efektivity. Mobilita vyžaduje přístup k informačním

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra Symantec pcanywhere 12.0 Špičkové řešení vzdáleného ovládání pro odbornou pomoc a řešení problémů Co je Symantec pcanywhere 12.0? Symantec pcanywhere, přední světové řešení vzdáleného ovládání*, pomáhá

Více

Extrémně silné zabezpečení mobilního přístupu do sítě.

Extrémně silné zabezpečení mobilního přístupu do sítě. Extrémně silné zabezpečení mobilního přístupu do sítě. ESET Secure Authentication (ESA) poskytuje silné ověření oprávnění přístupu do firemní sítě a k jejímu obsahu. Jedná se o mobilní řešení, které používá

Více

Optimalizaci aplikací. Ing. Martin Pavlica

Optimalizaci aplikací. Ing. Martin Pavlica Optimalizaci aplikací Ing. Martin Pavlica Vize: Aplikace v dnešním světě IT Ze všech částí IT jsou aplikace nejblíže businessu V elektronizovaném světě významným způsobem podporují business, ten se na

Více

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ

VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ VÝBĚR CLOUDU, ANEB JAK ZVOLIT TEN NEJLEPŠÍ Infinity, a.s. U Panasonicu 375 Pardubice 530 06 Tel.: (+420) 467 005 333 www.infinity.cz PROČ SE ZABÝVAT VÝBĚREM CLOUDU 2 IT služba Jakákoliv služba poskytovaná

Více

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná vazba o Příklad o Zákon č. 181/2014 Sb., o kybernetické

Více

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel

Více

Ochrana před následky kybernetických rizik

Ochrana před následky kybernetických rizik ztráta zisku ztráta důvěry poškození dobrého jména ztráta dat Ochrana před následky kybernetických rizik Co jsou kybernetická rizika? Kybernetická rizika jsou součástí našeho života ve světě plném informací

Více

Řízení přístupu k dokumentům a monitorování aktivit zaměstnanců. Pavel Krátký Technical & Development Manager COSECT

Řízení přístupu k dokumentům a monitorování aktivit zaměstnanců. Pavel Krátký Technical & Development Manager COSECT Řízení přístupu k dokumentům a monitorování aktivit zaměstnanců Pavel Krátký Technical & Development Manager COSECT Představení Společnost COSECT (zkratka z Computer Security Technologies s.r.o.) Zabývá

Více

Fenomén Cloudu v kontextu střední a východní Evropy. Petr Zajonc, IDC pzajonc@idc.com

Fenomén Cloudu v kontextu střední a východní Evropy. Petr Zajonc, IDC pzajonc@idc.com Fenomén Cloudu v kontextu střední a východní Evropy Petr Zajonc, IDC pzajonc@idc.com Představení IDC CEMA Výzkum IT trhu Komunikace s prodejci, poskytovateli a konzumenty Přes 1000+ analytiků (120+ v CEMA)

Více

Symantec Mobile Management for Configuration Manager 7.2

Symantec Mobile Management for Configuration Manager 7.2 Symantec Mobile Management for Configuration Manager 7.2 Škálovatelná, bezpečná a integrovaná správa zařízení Katalogový list: Správa koncových zařízení a mobilita Přehled Mobilní zařízení pronikají nebývalou

Více

CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY

CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY 1 CLOUD COMPUTING PRO MALÉ A STŘEDNÍ FIRMY Ing. Martin Pochyla, Ph.D. VŠB TU Ostrava, Ekonomická fakulta Katedra Aplikovaná informatika martin.pochyla@vsb.cz Informační technologie pro praxi 2010 Definice

Více

Seminář o bezpečnosti sítí a služeb. 11. února 2015. CESNET, z. s. p. o.

Seminář o bezpečnosti sítí a služeb. 11. února 2015. CESNET, z. s. p. o. Seminář o bezpečnosti sítí a služeb 11. února 2015 CESNET, z. s. p. o. 11. 2. 2015 Založen v roce 1996 CESNET, z. s. p. o. Členové 25 českých univerzit Akademie věd České republiky Policejní akademie ČR

Více

CESNET. Národní e-infrastruktura. Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o.

CESNET. Národní e-infrastruktura. Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o. Národní e-infrastruktura CESNET Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o. 2 1. M E Z I N Á R O D N Í S Y M P O Z I U M I N O V A C E 2 0 1 4 P R A H A 2. P R O S I N C E CESNET» Zájmové sdružení

Více

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající IT které pomáhá a chrání Kybernetická bezpečnost a povinnosti z ní vyplývající AGENDA 2 Zavádíme a provozujeme užitečné informační technologie v organizacích. Co vše je Informační systém? Hardware Software

Více

Kaspersky ONE. univerzální zabezpečení. Ochrana různých zařízení

Kaspersky ONE. univerzální zabezpečení. Ochrana různých zařízení Kaspersky ONE univerzální zabezpečení Ochrana různých zařízení Ochrana notebooku Rizikem pro notebooky jsou nezabezpečená připojení Wi-Fi. Komplexní ochranné technologie neustále monitorují veškerý příchozí

Více

ICZ - Sekce Bezpečnost

ICZ - Sekce Bezpečnost ICZ - Sekce Bezpečnost Petr Řehoř, ICZ a.s. 31. října 2013 1 Agenda Sekce Bezpečnost Důvěryhodná výpočetní základna bezpečnost sítí Microsoft Windows ICZ Protect Boot ochrana dat při ztrátě nebo odcizení

Více

Zabezpečení organizace v pohybu

Zabezpečení organizace v pohybu Zabezpečení organizace v pohybu Zdeněk Jiříček Microsoft Marian Henč Microsoft AFCEA seminář DMZ 19. března 2013 Útoky na DMZ od ekonomické krize Je to živnost Dříve pro svoje ego, nyní pro peníze Trh

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

EMBARCADERO TECHNOLOGIES. Jak na BYOD chytře? Možnosti zapojování různých mobilních zařízení do podnikových informačních systémů.

EMBARCADERO TECHNOLOGIES. Jak na BYOD chytře? Možnosti zapojování různých mobilních zařízení do podnikových informačních systémů. Jak na BYOD chytře? Možnosti zapojování různých mobilních zařízení do podnikových informačních systémů. Trendy a móda EMBARCADERO TECHNOLOGIES Popularita a prodej mobilních zařízení roste Skoro každý má

Více

Nedávné útoky hackerů a ochrana Internetu v České republice. Andrea Kropáčová / andrea@csirt.cz 14. 5. 2013

Nedávné útoky hackerů a ochrana Internetu v České republice. Andrea Kropáčová / andrea@csirt.cz 14. 5. 2013 Nedávné útoky hackerů a ochrana Internetu v České republice Andrea Kropáčová / andrea@csirt.cz 14. 5. 2013 CZ.NIC CZ.NIC, z. s. p. o. Založeno 1998 významnými ISP Aktuálně 107 členů (otevřené členství)

Více

FlowMon Vaše síť pod kontrolou

FlowMon Vaše síť pod kontrolou FlowMon Vaše síť pod kontrolou Kompletní řešení pro monitorování a bezpečnost počítačových sítí Michal Bohátka bohatka@invea.com Představení společnosti Český výrobce, univerzitní spin-off Založena 2007

Více

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert Agenda Úvod do problematiky Seznam problémů Definice požadavků,

Více

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o.

Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o. Proč ochrana dat a informací není běžnou součástí každodenního života? Martin HANZAL SODATSW spol. s r.o. Obsah příspěvku Hledání odpovědí hlavně na otázky: Co v současnosti běžně děláme pro ochranu dat

Více

Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010

Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010 Technologický seminář Simac Technik ČR, a.s. Praha, 21.4. 2010 Petr Kolda Petr.kolda@simac.cz 1 Program 9.00 Představení společnosti Simac TECHINIK ČR a.s. 9.15 Unified Fabric konsolidace sítí v datových

Více

Nejlepší zabezpečení chytrých telefonů

Nejlepší zabezpečení chytrých telefonů Nejlepší zabezpečení chytrých telefonů CHRAŇTE své soukromí; některé kontakty se mají zobrazit výhradně vám ZABEZPEČTE své kontakty, fotografie a soubory pro případ ztráty nebo zcizení telefonu NAJDĚTE

Více

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert případová studie Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert Sektor veřejné správy Zpracovává řadu agend potřebných pro život občanů IT představuje strategický pilíř, o který se opírá

Více

EXKURZ DO KYBERNETICKÉ BEZPEČNOSTI. Praha, 4. 4. 2012 1

EXKURZ DO KYBERNETICKÉ BEZPEČNOSTI. Praha, 4. 4. 2012 1 EXKURZ DO KYBERNETICKÉ BEZPEČNOSTI Praha, 4. 4. 2012 1 Témata Exkurz do terminologie Exkurz do souvislostí Exkurz do historie Exkurz do současnosti Praha, 4. 4. 2012 2 Dilema Intenzivní rozvoj elektronické

Více

Projekt podnikové mobility

Projekt podnikové mobility Projekt podnikové mobility Cortado Corporate Server Jedno řešení pro firemní mobilitu IGNUM Telekomunikace s.r.o. Cortado Corporate Server Bezkonkurenční all-in-one řešení zahrnuje mobilní zařízení a správu

Více

O autorech 13 O odborném korektorovi 13. Poděkování 15 Úvod 17. Cílová skupina této knihy 17 Témata této knihy 17

O autorech 13 O odborném korektorovi 13. Poděkování 15 Úvod 17. Cílová skupina této knihy 17 Témata této knihy 17 Obsah O autorech 13 O odborném korektorovi 13 Poděkování 15 Úvod 17 Cílová skupina této knihy 17 Témata této knihy 17 Část I: Začínáme 18 Část II: Technologie cloud computingu 19 Část III: Cloud computing

Více

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu 22 let zkušeností komplexní řešení & dlouhodobý provoz nepřetržité dohledové centrum procesy, role & kompetence zkušení, certifikovaní odborníci

Více

NÁRODNÍ STRATEGIE KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ LET 2015 AŽ 2020. Ing. Dušan Navrátil

NÁRODNÍ STRATEGIE KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ LET 2015 AŽ 2020. Ing. Dušan Navrátil NÁRODNÍ STRATEGIE KYBERNETICKÉ BEZPEČNOSTI ČESKÉ REPUBLIKY NA OBDOBÍ LET 2015 AŽ 2020 Ing. Dušan Navrátil STRATEGICKÝ RÁMEC ČR V OBLASTI KYBERNETICKÉ BEZPEČNOSTI o 19. října 2011 Vláda České republiky

Více

Na co se ptát poskytovatele cloudových služeb?

Na co se ptát poskytovatele cloudových služeb? Na co se ptát poskytovatele cloudových služeb? Tomáš Novák, technický ředitel December 08 th 2015 2015 Cloud4com, a.s. All rights reserved. www.cloud4com.com Společnost Cloud4com, a.s. Přední český poskytovatel

Více

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s. Mobilní aplikace ve světě ERP Michal Hanko Petr Kolda Asseco Solutions, a.s. a Simac Technik ČR, a.s. Skupina Asseco Solutions Asseco Solutions je průkopníkem a vizionářem na poli informačních systémů

Více

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s.

Bezpečnostní technologie a jejich trendy. Simac Technik ČR, a.s. Bezpečnostní technologie a jejich trendy Simac Technik ČR, a.s. Praha, 5.5. 2011 Jan Kolář, Solution Architect Jan.kolar@simac.cz 1 Program 9:00 Úvod, aktuální hrozby a trendy v oblasti bezpečnosti (Jan

Více

Podzim 2008. Boot možnosti

Podzim 2008. Boot možnosti Sedí dva velmi smutní informatici v serverové místnosti. Přijde k nim třetí a ptá se: "A cože jste tak smutní?" "No, včera jsme se trošku ožrali a měnili jsme hesla... Podzim 2008 PV175 SPRÁVA MS WINDOWS

Více

Technická specifikace předmětu plnění:

Technická specifikace předmětu plnění: Technická specifikace předmětu plnění: Poskytnutí standardní služby Premier Support zahrnující konzultační a implementační podporu, řešení problémů u produktů v nepřetržitém režimu 24x7 v rámci aktuálního

Více

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta pavel.basta@nic.cz 29.01.2015

Nejzajímavější bezpečnostní incidenty CSIRT.CZ. Pavel Bašta pavel.basta@nic.cz 29.01.2015 Nejzajímavější bezpečnostní incidenty CSIRT.CZ Pavel Bašta pavel.basta@nic.cz 29.01.2015 CSIRT.CZ Národní CSIRT tým pro ČR Založen v rámci plnění grantu MV ČR Kybernetické hrozby z hlediska bezpečnostních

Více

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy Zákon o kybernetické bezpečnosti a související předpisy PSP ČR, listopad 2014 SEMINÁŘ Zákon o kybernetické bezpečnosti a řízení bezpečnosti informačních systémů ve veřejné správě a ve zdravotnictví Václav

Více

Kybernetická bezpečnost odpovědnost managementu za její zajištění

Kybernetická bezpečnost odpovědnost managementu za její zajištění Kybernetická bezpečnost odpovědnost managementu za její zajištění CEVRO Institut, 22. dubna 2014 Vzdělávání manažerů v oblasti informační a kybernetické bezpečnosti Společnosti provádí řadu opatření k

Více

Představení Kerio Control

Představení Kerio Control Představení Kerio Control UTM - Bezpečnostní řešení bez složitostí Prezentující Pavel Trnka Agenda O společnosti Kerio Kerio Control Přehled jednotlivých vlastností Možnosti nasazení Licenční model O společnosti

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

Aktuální informace o elektronické bezpečnosti

Aktuální informace o elektronické bezpečnosti Aktuální informace o elektronické bezpečnosti a digitální vydírání, fenomén současnosti? Jiří Palyza, Národní centrum bezpečnějšího internetu Konference Řešení kybernetické kriminality, KÚ Kraje Vysočina,

Více

KOMPLEXNÍ PÉČE V OBLASTI MOBILNÍCH TECHNOLOGIÍ

KOMPLEXNÍ PÉČE V OBLASTI MOBILNÍCH TECHNOLOGIÍ KOMPLEXNÍ PÉČE V OBLASTI MOBILNÍCH TECHNOLOGIÍ PRO VAŠI FIRMU VOLBA / NEZÁVISLOST / ŠIRŠÍ MOŽNOSTI PŘEDSTAVENÍ SPOLEČNOSTI Jsme distributor s přidanou hodnotou působící v oboru informačních a komunikačních

Více

Interní komunikace formou

Interní komunikace formou Interní komunikace formou mobilních aplikací 12. listopadu 2014 Ondřej Švihálek Příležitost pro mobil je situace, kdy staré věci děláme novým způsobem. 2 Oběžníky, zpravodaje a jiné čtivo Papírové materiály

Více

Místo plastu lidská dlaň

Místo plastu lidská dlaň PalmSecure Bezkontaktní biometrická identifikace osob pomocí obrazu krevního řečiště y Místo plastu lidská dlaň FUJITSU TECHNOLOGY SOLUTIONS s.r.o. V Parku 22 148 00 Praha 4 End User Services Ing. Martin

Více

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz

Vývoj moderních technologií při vyhledávání. Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz Vývoj moderních technologií při vyhledávání Patrik Plachý SEFIRA spol. s.r.o. plachy@sefira.cz INFORUM 2007: 13. konference o profesionálních informačních zdrojích Praha, 22. - 24.5. 2007 Abstrakt Vzhledem

Více

Check Point Nový Proaktivní Systém Ochrany Informací Ochrana SCADA/ICS systémů

Check Point Nový Proaktivní Systém Ochrany Informací Ochrana SCADA/ICS systémů Check Point Nový Proaktivní Systém Ochrany Informací Ochrana SCADA/ICS systémů Petr Frýdl, ICZ a. s. 2014 www.i.cz 1 Nový proaktivní systém ochrany informací Jaká data firmám nejčastěji unikají? Personální

Více

Centrum veřejných zakázek e-tržiště České pošty

Centrum veřejných zakázek e-tržiště České pošty Centrum veřejných zakázek e-tržiště České pošty www.centrumvz.cz Konference ISSS 8. dubna 2013 RNDr. Vít Příkaský Česká pošta a egovernment? Informační systém datových schránek (ISDS) Datový trezor (dlouhodobé

Více

INVESTICE MALÝCH A STŘEDNÍCH PODNIKŮ DO IT Trendy ve využívání ICT

INVESTICE MALÝCH A STŘEDNÍCH PODNIKŮ DO IT Trendy ve využívání ICT 19. nezávislý průzkum Asociace malých a středních podniků a živnostníků ČR INVESTICE MALÝCH A STŘEDNÍCH PODNIKŮ DO IT Trendy ve využívání ICT N: 500 MSP (více jak 100 mil. Kč tržeb) Praha, 7.3.2013 Výzkum

Více

Tomáš Kantůrek. IT Evangelist, Microsoft

Tomáš Kantůrek. IT Evangelist, Microsoft Tomáš Kantůrek IT Evangelist, Microsoft Správa a zabezpečení PC kdekoliv Jednoduchá webová konzole pro správu Správa mobilních pracovníků To nejlepší z Windows Windows7 Enterprise a další nástroje Cena

Více

Informační a komunikační technologie. 1.7 Počítačové sítě

Informační a komunikační technologie. 1.7 Počítačové sítě Informační a komunikační technologie 1.7 Počítačové sítě Učební obor: Kadeřník, Kuchař - číšník Ročník: 1 1. Základní vlastnosti 2. Technické prostředky 3. Síťová architektura 1. Peer-to-peer 2. Klient-server

Více

Zákon o kybernetické bezpečnosti a související předpisy

Zákon o kybernetické bezpečnosti a související předpisy Zákon o kybernetické bezpečnosti a související předpisy egovernment 20:10 Mikulov 2014 Václav Borovička NBÚ / NCKB Národní bezpečnostní úřad Národní centrum kybernetické bezpečnosti NBÚ ustaven gestorem

Více

TSM for Virtual Environments Data Protection for VMware v6.3. Ondřej Bláha CEE+R Tivoli Storage Team Leader. TSM architektura. 2012 IBM Corporation

TSM for Virtual Environments Data Protection for VMware v6.3. Ondřej Bláha CEE+R Tivoli Storage Team Leader. TSM architektura. 2012 IBM Corporation TSM for Virtual Environments Data Protection for VMware v6.3 Ondřej Bláha CEE+R Tivoli Storage Team Leader TSM architektura 2012 IBM Corporation Tradiční zálohování a obnova dat ze strany virtuálního stroje

Více

IT Bezpečnostní technologie pro systémy integrované bezpečnosti

IT Bezpečnostní technologie pro systémy integrované bezpečnosti IT Bezpečnostní technologie pro systémy integrované bezpečnosti Mgr. Pavel Hejl, CSc. Konference isss 8.dubna 2008 1 Obsah Základní IT bezpečnostní technologie Komplexní správa ID Závěr 2 Smart tokeny

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší? Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší? Karel Miko, CISA (miko@dcit.cz) DCIT, s.r.o (www.dcit.cz) Nadpis Penetrační test i bezpečnostní audit hodnotí bezpečnost předmětu

Více

O bezpečnost se postaráme my. Vy se soustřeďte jen na svoji práci.

O bezpečnost se postaráme my. Vy se soustřeďte jen na svoji práci. O bezpečnost se postaráme my. Vy se soustřeďte jen na svoji práci. Opravdu je možné, aby byla ochrana podniku takto snadná? Taková dnes jednoduše je. Zapotřebí jsou jen věci: Jedna webová platforma, prostřednictvím

Více

Monitorování datových sítí: Dnes

Monitorování datových sítí: Dnes Monitorování datových sítí: Dnes FlowMon Friday, 29.5.2015 Petr Špringl springl@invea.com Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost sítě = Network Behavior Analysis

Více

Správa a zabezpečení mobilních zařízení. Jiljí Barouš

Správa a zabezpečení mobilních zařízení. Jiljí Barouš Správa a zabezpečení mobilních zařízení Jiljí Barouš Agenda Přehled potencionálních bezpečnostních problémů mobilních zařízení Představení IBM řešení pro zabezpečení a vzdálenou správu mobilních zařízení

Více

Microsoft Windows Server System

Microsoft Windows Server System Microsoft Windows Server System ČRa spouští jako první telekomunikační operátor v České republice služby pro malé a střední firmy, které požadují kancelářské aplikace, e-mail, sdílený kalendář a kontakty

Více

Správa mobilních zařízení a aplikací

Správa mobilních zařízení a aplikací Správa mobilních zařízení a aplikací 13. října 2014 Martin Kavan Agenda Úvod do Mobile Device Management (MDM) / Mobile Application Management (MAM) Proces vývoje mobilních aplikací Distribuce aplikací

Více

ACTIVE 24 CSIRT na Cyber Europe 2012. Ing. Tomáš Hála ACTIVE 24, s.r.o. www.active24.cz

ACTIVE 24 CSIRT na Cyber Europe 2012. Ing. Tomáš Hála ACTIVE 24, s.r.o. www.active24.cz ACTIVE 24 CSIRT na Cyber Europe 2012 Ing. Tomáš Hála ACTIVE 24, s.r.o. www.active24.cz 4.10.2012 - pracovní den jako každý jiný 8:00 - přicházím do práce - uvařím si kávu - otevřu poštu a koukám do kalendáře,

Více

co to znamená pro mobilního profesionála?

co to znamená pro mobilního profesionála? funkce Vstupte do širokopásmové sítě WWAN Vstupte do širokopásmové sítě WWAN: co to znamená pro mobilního profesionála? Bezporuchové, vysokorychlostní připojení je ve vzrůstající míře základní podmínkou

Více

Jakou cenu má IT pro vaši společnost Seminář Jak pomáhat českým firmám a institucím při přechodu do cloudu? VŠE, 12. 12. 2013

Jakou cenu má IT pro vaši společnost Seminář Jak pomáhat českým firmám a institucím při přechodu do cloudu? VŠE, 12. 12. 2013 Jakou cenu má IT pro vaši společnost Seminář Jak pomáhat českým firmám a institucím při přechodu do cloudu? VŠE, 12. 12. 2013 Martin Souček Manažer pro datová centra České radiokomunikace, a.s. IT vstupuje

Více

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB Návrh vyhlášky k zákonu o kybernetické bezpečnosti Přemysl Pazderka NCKB Východiska ISO/IEC 27001:2005 Systémy řízení bezpečnosti informací Požadavky ISO/IEC 27002:2005 Soubor postupů pro management bezpečnosti

Více

Současný stav a rozvoj elektronického zdravotnictví - pohled Ministerstva zdravotnictví

Současný stav a rozvoj elektronického zdravotnictví - pohled Ministerstva zdravotnictví Současný stav a rozvoj elektronického zdravotnictví - pohled první ročník semináře ehealth 2012 kongresový sál IKEM 1.11.2012 Elektronizace zdravotnictví: 1. jedná se o dlouhodobé téma 2. povede ke zvýšení

Více

Strategie sdružení CESNET v oblasti bezpečnosti

Strategie sdružení CESNET v oblasti bezpečnosti Strategie sdružení CESNET v oblasti bezpečnosti CESNET, z. s. p. o. Služby e-infrastruktury CESNET CESNET, http://www.cesnet.cz/ Provozuje síť národního výzkumu a vzdělávání CESNET2 Založen v roce 1996

Více

Monitoring uživatelů zkušenosti z praxe Proč monitorovat? Kde monitorovat? Příklady z praxe.

Monitoring uživatelů zkušenosti z praxe Proč monitorovat? Kde monitorovat? Příklady z praxe. Monitoring uživatelů zkušenosti z praxe Proč monitorovat? Kde monitorovat? Příklady z praxe. Autor: Martin Ondráček, Product Director SODATSW spol. s r. o., Horní 32, Brno, Czech Republic O nás - SODATSW

Více

Dalibor Kačmář 21. 9. 2015

Dalibor Kačmář 21. 9. 2015 Dalibor Kačmář 21. 9. 2015 200+ 75%+ $500B $3.5M Průměrný počet dní, které útočník stráví v síti oběti, než je detekován všech průniků do sítí se stalo díky úniku přihlašovacích údajů celková odhadovaná

Více

Jak být online a ušetřit? Ing. Ondřej Helar

Jak být online a ušetřit? Ing. Ondřej Helar Jak být online a ušetřit? Ing. Ondřej Helar Obsah Co znamená být online ve škole? Rizika online přístupu Skryté náklady na straně školy Jak snížit rizika a náklady? Koncepce SaaS (Software as a Service)

Více

Klíčem je mobilní telefon

Klíčem je mobilní telefon Klíčem je mobilní telefon AirKey Uzamykací systém pro flexibilní použití Tak dynamický jako potřeby zákazníků Systém AirKey je další inovací v nabídce společnosti EVVA. Tento elektronický uzamykací systém,

Více

Průzkum PRÁCE NA DÁLKU 2013 v ČR 708 respondentů, leden duben 2013

Průzkum PRÁCE NA DÁLKU 2013 v ČR 708 respondentů, leden duben 2013 Průzkum PRÁCE NA DÁLKU 2013 v ČR 708 respondentů, leden duben 2013 I přes prokazatelné přínosy neumí firmy v ČR pracovat na dálku chybí jim k tomu podmínky i dovednosti! www.pracenadalku.cz 1 ZÁKLADNÍ

Více

Virtualizace jako nástroj snížení nákladů. Periodické opakování nákladů nové verze Licence na pevný počet klientů

Virtualizace jako nástroj snížení nákladů. Periodické opakování nákladů nové verze Licence na pevný počet klientů Model Mainframe Centralizované řešení Cena za strojový čas Klientská zařízení nedisponují výkonem Vysoké pořizovací náklady na hardware Bez softwarových licencí software na míru Model Klient Server Přetrvává

Více