Petr Zahálka. Cílená ochrana citlivých dat s přihlédnutím k požadavkům GDPR

Transkript

1 Petr Zahálka Cílená ochrana citlivých dat s přihlédnutím k požadavkům GDPR

2 Mobile Workforce + BYOD = Riziko Credit Suisse : Data ukradl VP 58% zaměstnanců ukládá citlivá firemní data na SOUKROMÁ ZAŘÍZENÍ 40% zaměstnanců používá citlivá firemní data, která si odnesli při změně zaměstnání Více než 50% zaměstnanců si posílá obchodní korespondenci na jejich soukromý a po jeho použití ho již nesmažou Třetina zaměstnanců používá aplikace na sdílení pro pracovní data Sources: What s Yours Is Mine: How Employees are Putting Your Intellectual Property at Risk, Symantec & Ponemon Institute Security Awareness Training: It's Not Just for Compliance, Enterprise Management Associates

3 Zaměstnanci jako hrozba pro firmy 64% ztrát dat bylo způsobeno loajálními zaměstnanci 50% zaměstnanců odchází s informacemi Cena značky některých firem sa odhaduje v miliónech Ztráta Důvěryhodnosti Reputace Kredibility Přímá finanční ztráta

4 Tváře Prevence ztráty dat Je to o lidech loajální zaměstnanec Zlomyslný zaměstnanec Nespokojený zaměstnanec

5 Netransparentní řešení Potřebujeme víc než jen technologické řešení. Kde jsou citlivé informace? Jak jsou používané? Jak je nejlépe chránit před zneužitím? ZJISTI SLEDUJ OCHRAŇ

6 Ochrana dat je o lidech Jana G. Loajální zaměstnanec Asistent HR Manažera SITUACE: Posílá citlivé údaje přes personální agentuře. Detekce a odpověď Problém Jana sa snaží odeslat s citlivými osobními údaji bez toho aby si to uvědomovala DLP Odpověď DLP kontroluje obsah a kontext na shodu a ponechá na serveru Akce Server: Monitoruje, notifikuje užívatele, šifruje anebo blokuje Užívatel: Zobrazí se mu upozornění, zdůvodnění, blokuje se , odstraní se citlivé informace Výsledek Pomůže užívateli porozumět a zdůvodnit transparentně rizika Blokuje anebo šifruje v určitých případech

7 Ochrana dat je o lidech Igor V. Loajální zaměstnanec Asistent Compliance SITUACE: Kopíruje citlivé údaje na USB klíč Detekce a odpověď Problém Igor kopíruje neveřejnou finanční zprávu na USB klíč DLP Odpověď Analýza je vykonaná na jeho počítači na základě politik Akce Monitoruje, vytvoří záznam a upozorňuje Automaticky šifruje soubory na USB. Výsledek Automaticky zabezpečí citlivé informace Zvyšuje viditelnost kde sa citlivé informace pohybují. Změna chování užívatelů

8 Novinky v GDPR Povinnost oznámit neoprávněný přístup k osobním údajům Širší teritoriální a věcný dopad Vyšší pokuty (až 4% celosvětového obratu celého podniku) Pověřenec pro ochranu osobních údajů Privacy by design and by default Vedoucí dozorový úřad jako one-stopshop Zrušení systému registrací u ÚOOÚ Povinnost správce provést posouzení vlivu na ochranu osobních údajů

9 Novinky v GDPR Posílení práv subjektů údajů Výslovnost souhlasu pro všechna zpracování Širší informační povinnost Pseudonymizace dat Nové náležitosti zpracovatelské smlouvy (vč. řetězení) Kodexy a certifikáty Evropský sbor pro ochranu osobních údajů Odpovědnost zpracovatele za způsobenou újmu

10 Technické zabezpečení dle GDPR BEZPEČNOST ÚDAJŮ správce a zpracovatel přijmou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku Obnova dostupnosti osobních údajů a přístupu k nim včas v případě fyzických či technických incidentů Čl. 32 GDPR obsahuje demonstrativní výčet možných opatření Pravidelné testování, posuzování a hodnoce ní Pseudonymizace a šifrování Neustálá důvěrnost, integrita, dostupnost a odolnost systémů a služeb zpracování

11 BEZPEČNOST ÚDAJŮ Technická opatření dle GDPR Kodexy chování Kodexy schvaluje ÚOOÚ nebo EDPB Pomáhají správcům a zpracovatelům prokazovat technické zabezpečení a soulad s právními předpisy Certifikace GDPR podporuje ustanovení orgánů, které budou udílet podnikům akreditace Certifikáty budou platné vždy po dobu 3 let Privacy by design Záměrná a standardní ochrana osobních údajů Organizace musí implementovat technické a organizační prostředky Zahrnuje rovněž zaměstnanecké směrnice Privacy impact assesment Posouzení vlivu na ochranu osobních údajů Slouží k identifikaci a minimalizaci rizik při zpracování údajů Nahrazuje dřívější registrace národním úřadům Možnost předchozích konzultací s dozorovým úřadem

12 Co je a co není Data Loss Prevention DLP není standardní bezpečnostní nástroj Je to Enerprisová aplikace, která vám umožní vidět konkrétní rizika, dovolí zachytit citlivá data a tím: Zjistit a odstranit špatné procesy Vyškolit zaměstance a změnit jejich chování Snížit rizika a tím ochránit organizaci Umožní ochranu dat měřit

13 90% of DLP is Incident Response Right Automation Resolution, Enforcement, Notification Right Person Route Incidents to Right Responder Right Order High Severity of Incidents First Right Information 5 Second Test Right Action 1 Click Response Right Metrics Prove Results to Execs and Auditors

14 Universal Reporting Across All Threats

15 Multi-Level Summarization Reporting 15 In this Report, Accounting has the most Incidents, SSN s related

16 Měřitelnost

17 Defense-In-Depth: Encryption + Data Loss Prevention Network DLP / Gateway Encryption Automaticky šifruje y obsahující citlivá data Upozorní zaměstnance v reálném čase o šifrování obsahu policies and tools Storage DLP / Shared Storage Encryption Nalezne kde jsou citlivá data uložena a automaticky je zašifruje Jednoduše, bez nutné účasti zaměstnance, nebo IT Endpoint DLP / Endpoint Encryption Zaměřeno na rizikové uživatele, kde nalezne citlivá data na jejich počítačích Ochrání a umožní práci tím že šifruje cíleně pouze citlivá data například kopírovaná USB zařízení

18 Shrnutí Ochrana dat musí být cílená Potřebuji vědět kde data leží a jak se s nimi pracuje Potřebuji pokrýt všechna rizika, všechny vektory úniku Lepší je mít jedno řešení, které mi zajistí kompletní ochranu, než mít více oddělených Pozor na právní důsledky podrobného monitorování korespondence a činnosti uživatelů Pokud potřebujete pomoci s analýzou stávajícího stavu a navrhnout optimální řešení obraťte se na nás!

19 Seminář na téma Ochrana osobních údajů v souladu s GDPR Avnet Obecný úvod do bezpečnosti a ochrany dat Ochrana dat Stávající povinnosti v ochraně osobních údajů Ochrana osobních údajů a bezpečnost dat - srovnání stávající právní úpravy a GDPR Základní principy zpracování osobních údajů Smlouva o zpracování osobních údajů Zabezpečení údajů Nahlašování Data breaches Práva subjektů údajů Předávání osobních údajů do zahraničí Postih za porušení předpisů na ochranu osobních údajů Sektorová regulace cloudu Cílená ochrana osobních ůdajů a citlivých dat Data Loss Prevention princip Možnosti Úskalí Zkušenosti

20 Děkuji za pozornost S případnými dotazy se na mně neváhejte obrátit Ing. Petr Zahálka Avnet s.r.o petr.zahalka@avnet.com

21 Technologie detekce dat a dokumentů Described Content Matching (DCM) Symantec Data Loss Prevention Porovnání popsaného obsahu dat, zpráv a vztahů Exact Data Matching (EDM) Přesné porovnání strukturovaných a nestrukturovaných dat Indexed Document Matching (IDM) Detailní porovnání nestrukturovaných dat Vector Machine Learning (VML) Porovnání podobnosti nestrukturovaných dat Directory Group Matching Porovnání identit uživatelů podle databáze, adresáře serveru

22 Vstupní data: Datové identifikátory DCM Opisné Data Opisné Data Regulární výraz - speciální řetězec znaků, který představuje určitý vzor (masku) pro textové řetězce Rodná čísla, čísla jednací, Čísla kreditních karet - plus jejich verifikace Vlastní číselné řady - plus jejich verifikace Klíčové slova (klíčové fráze, slovníky) Metadata souboru, klasifikace dokumentů Metoda DCM je velmi často používána v kombinaci s jinými metodami odhalování citlivých dat, čímž se dosáhne minimalizace false positive

23 Vstupní data: Strukturované data EDM Strukturované Data Strukturované Data Excel *.xls Strukturovaný seznam *.txt, *.dat, Strukturovaný seznam Jako vstupní formát Excel *.xls, Textový soubor *.txt, Datový soubor *.dat, řádků, 2GB pro jeden import 300 mil záznamu/protect server Symantec Data Loss Prevention

24 Vstupní data: Nestrukturované data IDM Nestrukturované Data Nestrukturované Data Word *.doc, Adobe *.pdf Visio *.vsd, Power Point *.pst AutoCad, Zdrojový kód Finanční reporty, Obchodní smlouvy Word *.doc Adobe *.pdf Visio *.vsd Power Point *.pst AutoCad Zdrojový kód Finanční reporty, Obchodní smlouvy,

25 Detekce obrázku s OCR rozšířením with an invoice attached as a scan (TIFF file format) Symantec DLP OCR plug-in MODI (Microsoft Office Document Imaging) Text extracted from the image Používá MS Office 2007 OCR Screenshots Obrázky s citlivými daty Skenované dokumenty

26 Příklad detekce s OCR [Tax ID#] [Keyword] Symantec Poland [Bank Account#] [Tax ID#] invoice.tiff extracted text that can trigger incident

27 Příklad detekce s OCR

28 Kombinace AND/OR a dalších technologií pro minimalizaci false positive incidentů Ke snížení počtu false positive incidentů se doporučuje kombinace pravidel pomocí logických operátorů AND/OR a kombinace různých detekčních technologií. Příklad: kombinace technologií EDM a DCM. EDM - Jména, Příjmení, Seznam obcí a měst DCM Datové identifikátory (RČ)

29 Řešení: DLP + Vector Machine Learning Symantec Data Loss Prevention Učení Popis Otisky dat Automatizace hledání klíčových slov, snazší ladění pravidel Vyšší přesnost detekce, méně falešných poplachů Nalezení nových dat bez nutnosti předchozí tvorby otisků Funguje všude: koncový bod, síť i úložiště Symantec Proprietary & Confidential - This information is not a commitment, promise or legal obligation to deliver any material, code or functionality 9

30 Jak to funguje: Vector Machine Learning Symantec Data Loss Prevention Přínosy Jednodušší tvorba přesných pravidel nic se nemusí popisovat Vystačí s menším množstvím vzorků než datové otisky Nižší náklady na správu a vylepšená přesnost

31 Directory Group Matching (DGM) Pomocí této metody jsme schopni odhalit přesnou identitu uživatelů dat, odesílatelů a příjemců ů a tím dále zpřesnit pravidla pro vyhledávání citlivých dat nebo pro udělení výjimky. Skupiny uživatelů, odesílatelů a příjemců mohou být porovnávány se seznamy ových adres, IP adres, IM jmen nebo s LDAP skupinami. Příklad: Výjimky - Nebudou se monitorovat zaměstnanci pracující ve společnosti Deloitte jako příjemci citlivých dat podle určité politiky