Kybernetická bezpečnost odpovědnost managementu za její zajištění

Transkript

1 Kybernetická bezpečnost odpovědnost managementu za její zajištění CEVRO Institut, 22. dubna 2014

2 Vzdělávání manažerů v oblasti informační a kybernetické bezpečnosti

3 Společnosti provádí řadu opatření k ochraně svých informací zajišťují složitými bezpečnostními systémy značné investice nejsou ve všech případech zárukou bezpečnosti informací Značné investice jsou znehodnocovány úmyslným či neúmyslným chováním vlastních zaměstnanců a nepřipravenosti manažerů k řízení v oblasti kybernetické bezpečnosti. Přiložený graf ukazuje na průzkum společnosti APOGEO Esteem o procentuálním úniku chráněných organizací Vnější vlivy podle této statistiky jsou charakterizovsané ve 38% případech (včetně neidentifikovaných) útoky hackerů, krádeže a další vlivy 62% je připisováno chybám nebo úmyslnému jednání vlastních zaměstnanců což jde na vrub vedení Zásadní je údaj 50% nedbalost což je neoddiskutovatelná povinnost manažerů

4 Manažerská opatření jsou zásadním krokem k zajištění informační a kybernetické bezpečnosti - I přes nesporně silné obranné mechanismy SW a fyzického charakteru dochází k zásadním únikům. Ukázkou jsou případy dvou nejznámějších osob, které způsobily zemětřesení na úrovni mezinárodních vztahů - Bladley Manning zveřejnil cestou WikiLeaks (Julian Assange) v roce 2010 obrovské množství vojenských a diplomatických dokumentů, které neměly nikdy vyjít na veřejnost ( mimo jiné i depeše z ambasády USA přinesly svědectví o pokusu korupce v případu nákupu Pandurů - Edward Joseph Snowden v roce 2013 zveřejnil cestou sdělovacích prostředků (The Guardian) informace o aktivitách CIA a NSA (200 tis utajovaných dokumentů a sledování elektronické a telefonní komunikace. Narušilo to vztahy mezi spojenci. - Pravidelné úniky dat z bankovnictví (např. červenec 2013 KB únik 47 tis údajů) (duben 2013 informace z bank daňových rájů lidí a firem ze 170 zemí světa Mezinárodní sdružení investigativních novinářů (ICIJ)

5 Česká republika je stále pozadu za ochranou dat, která je zajišťována jak v Evropě, tak USA většina společností je spokojena se svým zabezpečením až 67% (SAFETICA 2013) V poměru privátní sektor/státní sektor je slabší státní sektor typickým příkladem úniků informací jsou úniky v případech řešení trestných věcí, odposlechy apod. Vždy se musí jednat o úniky informací cestou selhání lidského faktoru. Ochranu nelze zajišťovat jen programovým vybavením nebo HW opatřeními ALE musí být se jednat i o komplex procesů/postupů, služeb a opatření v personální oblasti (60% společností neví co se daty děje kdo s nimi zachází má přístup atd.) Opatření musí být dělány preventivně s cílem eliminovat negativní aspekty lidského faktoru. Podle průzkumů lze uvést že až 20% případů je úmyslné zcizení informací až 80% případů je neúmyslné selhání Viz. statistika (mění se v čase)

6 Příčiny neúmyslného selhání: - ová komunikace je považována za důvěryhodnou pošta není šifrována, což je běžnou součástí SW vybavení - Pracovní počítač je poskytován pro práci nebo hry nepovolaným osobám s odkazem, že nebude zneužit - Velmi častý problém data v počítači nejsou chráněna hesly, šifrováním - ztráta USB, nebo celého počítače je častý případ - Připojování na WIFI není věrohodnou zajištěnou sítí - Porušování bezpečnostní politiky společností nebo státní organizace slabina českých manažerů - nerespektování nařízených byrokratických postupů a obcházení opatření - Neprověření tzv. servisní pracovníci mají přístup k počítačům počítač není při přerušení práce zajištěn - Nezměněná hesla po dlouhou dobu, jednoduše prolomitelná a pro analytiky snadná jména manželek, dětí, datum narození atd.

7 - Vyhazování neskartovaných dokumentů do koše, nebo jinak neznehodnocené - Mazání dat je prováděno jen do koše, ani smazaná data nejsou bezpečná datová skartovačka - Neuvážené diskuse na sociálních sítích

8 Statisticky téměř polovina dotázaných firem se setkala s únikem nebo ztráty dat. Statisticky je rovněž zřejmý nárůst počtu případů podle spol. SAFETICA za poslední dva roky až o 40% ADMINISTRÁTOŘI slabé místo ke kterému nemáme klíč jak zajistit, aby se nestali zdrojem zneužití nebo zcizení v zásadě mají neomezený přístup-

9 Společnost CEVRO INSTITUT [vysoká škola] se dlouhodobě věnuje bezpečnostním otázkám naší (české) společnosti Nejvyšším stupněm vzdělání jsou programy MPA zaměření na důležité segmenty řízení státní správy i samosprávu a podnikové sféry - Významným aspektem je program postgraduálního studia bezpečnostních studií a krizového managementu - tento program se cíleně věnuje všem otázkám bezpečnosti: obecné zásady vnitrostátní záležitosti ( bezpečnostní strategie) multinárodní vztahy manažerské praktiky řízení bezpečnost organizací - Součástí je 12 ti hodinový blok vztahující se ke kybernetické bezpečnosti Magisterské studium bezpečnostních studií. Součástí je předmět kybernetické bezpečnosti Řada konferencí zabývající se kybernetickou bezpečností tato konference je v řadě již druhého roku konferenčního programu.