S GDPR za hranice tradiční ICT bezpečnosti. Petr Stoklasa, AGORA Plus,

Transkript

1 S GDPR za hranice tradiční ICT bezpečnosti Petr Stoklasa, AGORA Plus,

2 Aneb co budete patrně platit v ICT opatřeních a proč

3 Co znamená za hranice tradiční bezpečnosti? S nástupem relevantní legislativy a zejména GDPR je tradiční pojetí kyberbezpečnosti nutné, nikoli dostačující, mj. protože Profesionální útočníci jsou vždy před námi, Kyberkriminalita je byznys, Podnikání na internetu přináší nové zranitelnosti a rizika, Cíle útočníků: značka, osobní údaje zaměstnanců, zákazníků, intelektuální vlastnictví, Útočníci jsou často uvnitř, nikoliv pouze na plotem! Cloud, BYOD a podobné koncepce = částečná či úplná ztráta kontroly ICT nad informacemi. Kybernetická bezpečnost, potažmo GDPR compliance znamená též porozumění rizikům plynoucím z výše uvedeného a jejich řízení.

4 Tradiční bezpečnostní opatření Vytvoření perimetru a střeženého prostoru = Bad Boys neproniknou dovnitř

5 obvykle to dopadá nějak takto, povšimněte si, prosím, obou směrů Tradiční bezpečnostní opatření

6 Komplexní bezpečnostní systém musí nyní umět a to pokud možno ve všech komponentách/vrstvách ICT infrastruktury Řídit přístup (tzn. kdo, zda, kdy, kde, odkud a kam může/nemůže), Nepřetržitě monitorovat prostor a detekovat podezřelé události, Zaznamenávat a vyhodnocovat aktivity infrastruktury i lidí, kteří jsou její součástí, Vynucovat omezení a restrikce, Rychle a přesně lokalizovat a pacifikovat útoky a útočníky přicházející zevnitř i zvenčí, Znemožnit odcizení dat či zneužití ztracených dat/informací, což není jednoduchý (ani levný) úkol.

7 Bezpečnostní skládačka - díry Analýzou identifikované rozdíly v rizikových místech DATOVÁ ÚLOŽIŠTĚ APLIKACE OPLOCENÍ S ohledem na prostředí a předmět podnikání subjektu!!! LIDÉ GDPR rizika SÍŤ (LAN/WAN) WEB STANICE

8 Bezpečnostní skládačka - ucpávky Zpravidla pečlivě vybrané technologie Dobře padnoucí s ohledem na míru rizika, které ošetřují DATOVÁ ÚLOŽIŠTĚ, ŘÍZENÍ PŘÍSTUPU A ENKRYPCE!!! LIDÉ, MONITORING CHOVÁNÍ A ZÁZNAM APLIKACE, OCHRANA & PRÁVA & NOVÉ FUNKCE GDPR opatření NOVÁ GENERACE OBRANY OPLOCENÍ MONITORING CHOVÁNÍ SÍTĚ, ŘÍZENÍ PŘÍSTUPU, DETEKCE, LOKALIZACE INCIDENTŮ WEB, OCHRANA WEB APLIKACÍ PŘED ÚTOKY STANICE, DEZINFEKCE A IMUNIZACE

9 Aplikace Riziko Oprávněné osoby k relevantním agendám, možná je jich zbytečně mnoho Zastavení zpracování osobních dat nebo pseudonymizace Opatření Úprava přístupových práv na základě definice oprávnění Nové funkcionality v aplikacích

10 Síť = komunikační infrastruktura Riziko Nedostatečná autentizace, autorizace, přístup neoprávněných osob k infrastruktuře z různých míst a zařízení Potenciálně nebezpečné aktivity útočících robotů, nebo také oprávněně přistupujících uživatelů Opatření Monitoring výskytu zařízení v síti a jejich přesná lokalizace v rámci hierarchie infrastruktury Možnost odpojení neoprávněných a potenciálně nebezpečných zařízení Monitoring provozu v síti s detekcí podezřelých aktivit Silná autentikace/autorizace zařízení a uživatelů pro přístup k infrastruktuře

11 Stanice Riziko Vynesení osobních dat mimo prostředí firmy Infekce malware s cílem vynesení, znepřístupnění, znehodnocení a zneužití osobních dat Opatření Monitoring práce uživatelů/včetně privilegovaných s aplikacemi a daty Omezení přístupu oprávněných pouze k relevantním úložištím dat Vynucení restriktivních opatření proti různým způsobům vynesení osobních dat Účinná preventivní ochrana proti infekci, dezinfekce a imunizace

12 WEB a webové/mobilní aplikace Riziko Nedostatečná ochrana aplikací, front/back endu aplikací a jejich komunikace Napadení web/mobil aplikace s cílem infiltrace, pozměnění nebo vynesení zpracovávaných osobních dat Opatření Ochrana frontend web/mobil aplikací před útoky Zabezpečená komunikace aplikací s jejich databázovým zázemím

13 Datová úložiště Riziko Odcizení, znehodnocení, zneužití zde uložených a zpracovávaných osobních dat Opatření Řízení přístupu k úložištím a šifrování dat na úložištích, zejména přenosných

14 a případné další (nutné) doplňky. Technologie a postupy, které obecně posilují odolnost a bezpečnost infrastruktury proti útokům: Zajištění trvalé dostupnosti, Trvalý či pravidelný průzkum zranitelností, Pult centrální ochrany, globální detekce a hlášení incidentů, Atd.

15 Technická opatření GDPR budou zejména vždy otázkou balance míry rizikovosti děr a nákladů na jejich ucpání, případně zbytkových rizik i když ucpávku aplikujeme.

16 Děkuji Vám za pozornost DOTAZY? Kontakt: Petr Stoklasa Tel: