Petr Zahálka. Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat.

Transkript

1 Petr Zahálka Hlídejte si data! Je čas začít se zabývat zabezpečením samotných dat

2 Proč chráním data? Data jsou významné aktivum Jedná se o klíčová účetní data, údaje o zákaznících a jejich potřebách či významné know-how. Ztráta či únik těchto informací má za následek ohrožení obchodního potenciálu či konkurenční výhody. Často jsem osobně zodpovědný za ochranu dat V budoucnu budou spadat i menší nemocnice pod působnost ZKB

3 Jaká data potřebuji chránit ve zdravotnictví? Právní a jiné dokumenty typu 'smlouva' Ekonomické informace ve vztahu k pojišťovnám Osobní údaje pacientů Informace o zdravotním stavu VIP klientů

4 Zdravotnictví má svá specifika Zdravotnická dokumentace představuje pro nemocnici riziko minimálně negativního mediálního obrazu s konkrétní hrozbou sankcí od ÚOOÚ v případě úniku. Rezervovaný postoj klinických pracovníků k výpočetní technice Ergonomie NIS Poskytování údajů složkám IZS

5 Kdo pozná únik informací? Podle amerického průzkumu Ponemon institutu si 54% IT managerů není jisto zda jsou schopni identifikovat únik informací o pacientech Pokud systémy nezahrnují detekci úniku nemocnice tento únik nikdy nepoznají Podle průzkumu nedokáže únik dat detekovat 67 procent institucí v České republice

6 Doporučená opatření Základní ochrana Nasazení device control Šifrování notebooků Aktualizace zásad řízení přístupu Školení zaměstnanců Provádět pravidelné hodnocení rizika ztráty dat Monitorovat komunikaci s anonymizing proxies Monitorovat P2P provoz

7 Doporučená opatření Rozšířená ochrana Identifikovat klíčová data Zavést politiky založené na kontrole obsahu Identifikovat uložení nejrizikovějších dat a jejich pohyb Šifrovat ohrožená data Zavedení Blacklistu pro nebezpečné aplikace

8 Co je DLP? Data Loss Prevention Ochrana citlivých dat Jak mi DLP pomůže? Umožní mi získat reálný přehled o stavu citlivých dat Umožní mi zaměřit se na důležité Ochranu toho, co je nejvíce exponované Neomezím standardní činnosti, ale pouze nakládáni s citlivými daty Řízené školení zaměstnanců

9 Data Loss Prevention Threat Coverage USB/CD/DVD Network shares Stored data Mobile Print/Fax DLP Policy Monitoring & Prevention Discovery & Protection Webmail HTTPS/FTP IM File Servers Web servers Exchange, SharePoint, Lotus Notes Databases

10 Symantec Data Loss Prevent Products STORAGE Network Discover ENDPOINT Endpoint Discover NETWORK Network Monitor Data Insight Network Protect Endpoint Prevent Mobile Network Prevent for Network Prevent for Web Management Platform Symantec Data Loss Prevention Enforce Platform

11 Architektura řešení Administration: Detection: Integrated Components: Enforce Network Discover / Network Protect Data Insight* Endpoint Prevent / Endpoint Discover Oracle Mobile Prevent Mobile Monitor Network Prevent for Network Prevent for Web Network Monitor MTA SPAN or Tap Všechny DLP komponenty jsou SW (nejedná se o appliance ani hardware) Agenti chrání endpointy na síti ale i mimo ní Network detection servers jsou obvykle umístěny v DMZ *Data Insight server není detection server

12 Network DLP Enforce Oracle Network Discover / Network Protect Data Insight Network Monitor: Endpoint SMTP, HTTP, Prevent IM, / Endpoint FTP, any Discover TCP-Based Prevent: Mobile Prevent SMTP, HTTP/HTTPS, FTP Mobile Monitor Network Prevent for Network Prevent for Web Network Monitor MTA SPAN or Tap

13 Jak Network Prevent for pracuje? Corporate LAN DMZ Network Prevent for Internet Server MTA Uživatel pošle . server ho přepošle na MTA. MTA přesměruje na Network Prevent for . Network Prevent prověří , zablokuje nebo upraví jeho obsah podle politik, a vrátí MTA. MTA přepošle zpracovaný . Pokud byl header modifikován, MTA přepošle vhodným způsobem The above diagram illustrates Network Prevent integrated with an MTA in reflecting mode

14 Endpoint DLP Enforce Network Discover / Network Protect Data Insight Oracle Endpoint Prevent / Endpoint Discover Mobile Prevent Endpoint Computers Discover Data Monitor/Block: USB, CD / DVD Network ( , Web, FTP, IM) Print / Fax, Copy / Paste Network Shares Application File Access Mobile Monitor Network Prevent for Network Prevent for Web Network Monitor MTA SPAN or Tap

15 How Endpoint Prevent Works Corporate LAN Endpoint Server Endpoint Agents (on or off network) Agent kontroluje data na interních discích, USB, CD / DVD, podporovaných e- mailových klientech / IM / prohlížečích, FTP, tisku / faxu, schránky, sdílených síťových složkách a aplikacích. Veškeré blokace, notifikace nebo FlexResponse pravidla jsou řízena lokálně. Agent odesílá data o incidentech na Endpoint Server. Všimněte si, že agent pracuje a ukládá incidenty i při odpojení. Při opětovném připojení, odešle incidenty na Endpoint Server

16 Data Loss Prevention Policies Enforce Oracle Network Discover / Network Protect Data Insight Administration Policies Workflow Mobile Reporting Prevent Remediation Endpoint Prevent / Endpoint Discover Mobile Monitor Network Prevent for Network Prevent for Web Network Monitor MTA SPAN or Tap

17 Storage DLP Enforce Network Discover / Network Protect Data Insight Oracle Endpoint Prevent / Endpoint Discover Storage File Servers Databases Collaboration Platforms Web Sites Desktops Laptops Mobile Prevent Mobile Monitor Network Prevent for Network Prevent for Web Network Monitor MTA SPAN or Tap

18 How Network Discover and Network Protect Work Corporate LAN Network Discover Network Protect Target Repository Quarantine Location* Discover mounts target repositories (such as Windows filers) and analyzes file contents for policy violations (incidents). Protect can automatically copy or relocate files that violate policies (for file servers that support CIFS protocol). *Quarantine is available for file servers that support CIFS protocol.

19 Reporting and Role-Based Access Control Enforce Oracle Network Discover / Network Protect Data Insight Administration Policies Workflow Mobile Reporting Prevent Remediation Endpoint Prevent / Endpoint Discover Mobile Monitor Network Prevent for Network Prevent for Web Network Monitor MTA SPAN or Tap

20 Otázka Je Cloud na pořadu dne?

21 Information Protection for the Cloud

22 Zákaznické výzvy - Cloud Nemám žádné informace o tom, jaká data leží v cloudu Vím, že moji uživatelé vytvářejí a ukládají data v cloudu, ale nemám ponětí, jestli jsou tato data citlivá ani kdo k nim má přístup. Moji uživatelé synchronizují citlivé soubory na cloudová úložiště. Nemáme kontrolu nad tím jaká data mohou být uložena / sdíleny v cloudu Jak mohu mít pod kontrolou únik citlivých dat do cloudu? Chceme upozornit / vzdělávat uživatele, že pokud ukládají citlivá data do cloudu staví tím společnost do ohrožení. Obavy o zabezpečení a dodržováním pravidel brzdí přijetí cloudu Chceme se přesunout do cloudu, ale máme strach o ztrátu přehledu a kontroly nad citlivými firemními daty. Přesun našich dat do cloudu ohrožuje naše požadavky na dodržování předpisů a staví nás do rizika narušení bezpečnosti

23 Úniky dat Ministerstvo školství za únik dat o romských studentech zaplatí 450 tisíc Resort na webu zveřejnil údaje o celkem 893 studentech, kteří byli v rámci dotačního programu od září do prosince loňského roku podporováni. V tabulce byly u každého jména uvedeny i kontaktní údaje a konkrétní částky, které může student čerpat na školné, stravné, cestovné, ubytování, školní potřeby či pomůcky. Skutečně nastala chyba, bylo to selhání úřednice, která udělala blbost, Dotyčná osoba byla tvrdě potrestána a je otázkou, jestli se na blbost lidi pojišťují Ministerstvo ve středečním vyjádření ujistilo, že přijalo opatření, aby k porušení ochrany osobních údajů v budoucnu již nedošlo

24 Aktuální články zabývající se úniky dat Vatikánský počítačový expert napomohl úniku dat, dostal podmínku Yahoo dalším z velkých serverů, kterému unikla hesla uživatelů Webová aplikace LeakedIn ověřuje hesla ze služby LinkedIn Účet za loupež dat: Čechům zmizely z karet statisíce Největší riziko úniku dat se nachází mezi klávesnicí a židlí

25

26 Děkuji za pozornost S případnými dotazy se na mně neváhejte obrátit Ing. Petr Zahálka Avnet s.r.o petr.zahalka@avnet.com