BEZ LIDÍ TO NEPŮJDE Ivan Svoboda, ANECT & SOCA
PROCESY LIDÉ JSOU NEJSLABŠÍM ČLÁNKEM Nedostatek expertů Slabiny zaměstnanců Nefunguje strategie a procesy TECHNOLOGIE LIDÉ
PROCESY TECHNOLOGIE LIDÉ
Incidenty, hrozby, trendy
Smutné trendy Úniky dat Kybernetické útoky Lidé jako nejslabší článek Kyber-rizika rostou Lidé nejsou Má smysl něco dělat?? ANO
Statistiky: Cost of Data Breach Study Ponemon + IBM
MTTI / MTTC 16 Velký prostor ke zlepšení https://www.ibm.com/security/data-breach
MTTI / MTTC & Total cost of data breach / 2017 16 Úspora: 3 M $ Úspora: 3 M $ https://www.ibm.com/security/data-breach
Jak snížit náklady při úniku dat? 16 Úspora: 2,6 M $ (pro 100,000 údajů) https://www.ibm.com/security/data-breach
Jak snížit náklady při úniku dat? 16 INCIDENT RESPONSE SOC / CSIRT ACADEMY RISK MANAGEMENT Úspora: 2,6 M $ (pro 100,000 údajů) DPO https://www.ibm.com/security/data-breach
Požadavky GDPR na IR proces
Co říká GDPR? Článek 33 Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu 1. Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu příslušnému podle článku 55, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.
Praktické dopady GDPR Co k tomu musí každá organizace mít? Co musí každá organizace dělat? Analýzu rizik, Posouzení vlivu Kategorizace bezpečnostních incidentů Incident Response plán / proces Předem dohodnuté zapojení (non)-it rolí Metodu pro zajištění včasné reakce Co dělat? Situace Zaznamenat Jakékoli porušení zabezpečení! Ohlásit úřadu (do 72h) Riziko pro subjekty údajů!! Oznámit subjektům údajů Vysoké riziko pro subjekty údajů!!!
Proces reakce na porušení zabezpečení ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? 72 HOD IR PLAN DETEKCE KATEGORIZACE Incident response tým Expert & Execution tým ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ
SOCA IR
SOCA řešení procesu IR IR proces jako komplexní služba Vyhodnocení událostí Zvládání incidentů Reakce dle GDPR
Představení služeb SOCA
Portfolio služeb IR Risk Management PREMIUM ACTIVE START Bezpečnostní role ACADEMY Posouzení stavu DPO SCAN SIEM Log management JEDNORÁZOVÉ PRŮBĚŽNÉ
? Potřebujete pomoc se zákony a standardy? Chcete zjistit, co vám konkrétně hrozí? Potřebujete technologie, procesy, role, lidi? Chcete trvale vidět, rozumět a reagovat?
ivan.svoboda@anect.com 604 293 394
SOCA: portfolio služeb
SOCA služby: 4 fáze 02 Zjištění stavu Konfigurace Analýzy rizik PREDIKCE PREVENCE Blokace Karanténa REAKCE DETEKCE Monitoring Náprava Analýza incidentů
ONE-TIME Typy služeb SOCA 30 CONTINUOUS
ONE-TIME Typy služeb SOCA: jednorázové 30 SCAN ASSESSMENTS & CONSULTING INCIDENT RESPONSE IR
Typy služeb SOCA: průběžné 30 RISK MANAGEMENT DPO ACADEMY ROLES & OPERATIONS CONTINUOUS MONITORING, DETECTION & RESPONSE SOC / CSIRT
ONE-TIME Typy služeb SOCA: přehled 30 SCAN RISK MANAGEMENT DPO ACADEMY ASSESSMENTS & CONSULTING ROLES & OPERATIONS CONTINUOUS INCIDENT RESPONSE MONITORING, DETECTION & RESPONSE IR SOC / CSIRT
Jednorázové služby SOCA
SCANY
ONE-TIME SCAN & ASSESSMENT 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ STUDIE NA MÍRU
SCAN & ASSESSMENT 30 Změříme COKOLIV AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?
SCAN & ASSESSMENT 30 Změříme COKOLIV KDEKOLIV AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?
SCAN & ASSESSMENT 30 Změříme COKOLIV KDEKOLIV RŮZNÝMI METODAMI AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? ANALÝZA AUDIT / POSOUZENÍ SCAN / TECHNICKÁ INVENTURA PENETRAČNÍ TEST SOULAD? DETEKCE & REAKCE?
Znáte stav Vašich sítí a systémů? ODHALÍME, CO VÁS OHROŽUJE HROZBY A RIZIKA, KTERÁ NEZNÁTE / NEVIDÍTE, VÁS MOHOU VÁŽNĚ POŠKODIT ZMĚŘÍME STAV RIZIK A BEZPEČNOSTI ZNÁTE VŠECHNY ZÁVAŽNÉ HROZBY A RIZIKA? ZMĚŘÍME PŘÍNOSY NÁSTROJŮ JAKOU MÁTE JISTOTU, ŽE JSTE V BEZPEČÍ?
ONE-TIME SCAN & ASSESSMENT: AKTIVA 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? INVENTURA DAT (GDPR!!) INVENTURA IT PRVKŮ ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?
ONE-TIME SCAN & ASSESSMENT: HROZBY 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? ÚTOKY / MALWARE / BOTNETY APLIKACE MOBILY / CLOUD DARK WEB THREAT INTELLIGENCE USERS / ACCESS FLOWS INFECTED ENDPOINTS MALWARE BOTNETS SOULAD? DETEKCE & REAKCE?
ONE-TIME SCAN & ASSESSMENT: ZRANITELNOSTI 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? SÍTĚ SERVERY APLIKACE ENDPOINTY SECURITY PRVKY ZAMĚSTNANCI DETEKCE & REAKCE?
ONE-TIME SCAN & ASSESSMENT: RIZIKA 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? ANALÝZA RIZIK IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE?
ONE-TIME SCAN & ASSESSMENT: IT ARCHITEKTURA 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? INVENTURA SECURITY PRVKŮ SECURITY ARCHITEKTURA SOULAD? DETEKCE & REAKCE?
ONE-TIME SCAN & ASSESSMENT: PROCESY 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DOKUMENTACE / SMĚRNICE PROCESY ROLE DETEKCE & REAKCE?
ONE-TIME SCAN & ASSESSMENT: SOULAD 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE? LEGISLATIVA STANDARDY BEST PRACTICE ZKB / GDPR ISO 27k / PCI / HIPAA NIST / SANS
ONE-TIME SCAN & ASSESSMENT: DETEKCE A REAKCE 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ AKTIVA? HROZBY? ZRANITELNOSTI? RIZIKA? IT ARCHITEKTURA? PROCESY? SOULAD? DETEKCE & REAKCE? PŘIPRAVENOST - PLÁNY SCHOPNOSTI - MONITORING SCHOPNOSTI - DETEKCE SCHOPNOSTI - REAKCE
INCIDENT RESPONSE
ONE-TIME INCIDENT RESPONSE 30 PORADENSTVÍ & KONZULTACE ZJIŠTĚNÍ STAVU NÁPRAVNÁ OPATŘENÍ INCIDENT RESPONSE MONITORING & DETECTION PREPARATION INCIDENT RESPONSE PLANNING BEFORE INCIDENT ANALYSIS & CONTAINMENT DURING POST-ATTACK ANALYSIS & RECOVERY AFTER
INCIDENT MANAGEMENT & GDPR 01 ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? ANALÝZA 72 HOD ANALÝZA IR PLAN DETEKCE KATEGORIZACE ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ
Průběžné služby SOCA
ONE-TIME Typy služeb SOCA: PRŮBĚŽNÉ SLUŽBY 30 ASSESSMENTS & CONSULTING ROLES & OPERATIONS CONTINUOUS INCIDENT RESPONSE MONITORING, DETECTION & RESPONSE
BEZPEČNOSTNÍ ROLE A PROVOZ 30 CONTINUOUS ROLES & OPERATIONS SECURITY ROLES TRAININGS AWARENESS & THREAT INTELLIGENCE RISK MANAGEMENT SECURITY TECHNOLOGY OPERATIONS SECURE BACKUP MANAGEMENT
BEZPEČNOSTNÍ ROLE 30 CONTINUOUS ROLES & OPERATIONS SECURITY ROLES CISO / IT SEC MANAGER EDUCATION & TRAINING ZKB MANAŽER KB AWARENESS & THREAT INTELLIGENCE ARCHITEKT KB RISK MANAGEMENT AUDITOR KB SECURITY TECHNOLOGY OPERATIONS GDPR DPO SECURE BACKUP MANAGEMENT
DPO
Kdo potřebuje DPO službu? Kdo musí zřídit DPO: - orgán veřejné moci / veřejný subjekt - rozsáhlé pravidelné a systematické monitorování - rozsáhlé zpracování zvláštních kategorií údajů Kdo chce zřídit DPO - někdo ty činnosti vykonávat musí Článek 37 Jmenování pověřence pro ochranu osobních údajů 1.Správce a zpracovatel jmenují pověřence pro ochranu osobních údajů v každém případě, kdy: a) zpracování provádí orgán veřejné moci či veřejný subjekt, s výjimkou soudů jednajících v rámci svých soudních pravomocí; b) hlavní činnosti správce nebo zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo c) hlavní činnosti správce nebo zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů uvedených v článku 9 a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10 Nedostatek lidských zdrojů - Znalosti, zkušenosti, kvalifikace - Dostupnost a spolehlivost Pouze interní
DPO: varianty služby DPO Mandatory DPO Options DPO Support Činnost pověřence v rámci služby Ombudsman pro subjekty údajů Poradenství v rámci organizace Konzultace v případě porušení zabezpečení Prověřování právního souladu zpracování Zvyšování povědomí zaměstnanců Posudek k posouzení vlivu Komunikace s dozorovým úřadem Pravidelný audit souladu se zákonnými požadavky Reporting činností Činnost pověřence v rámci služby Vedení záznamů o činnostech zpracování včetně SW Příprava posouzení vlivu Konzultace záměrné a standardní ochrany Komunikace v případě porušení zabezpečení Konzultace k obsluze subjektů údajů Konzultace k souhlasům se zpracováním osobních údajů Konzultace ke komunikaci se subjekty údajů Revize smluv se zpracovateli Konzultace k předávání do třetích zemí Konzultace k ustanovení společných správců Vytvoření a údržba závazných podnikových pravidel Vzdělávání zaměstnanců Jiné činnosti v oblasti GDPR a bezpečnosti Pouze interní
SOCA DPO otázky Musíte mít DPO? Chcete mít DPO? - Kdo to bude dělat? Jak to bude dělat? Máte na to vlastní vhodné kapacity? - Znalosti, zkušenosti, kvalifikace - Dostupnost a spolehlivost Kdo bude dělat ty ostatní činnosti v rámci GDPR? (viz SOCA DPO OPTIONS) - Vedení záznamů o činnostech zpracování - Příprava posouzení vlivu (DPIA) - Konzultace záměrné a standardní ochrany - Komunikace v případě porušení zabezpečení (Incident Management) Nepotřebujete podporu pro interního DPO? (viz SOCA DPO SUPPORT) Pouze interní
ACADEMY
Školení kybernetické bezpečnosti - možnosti Pro zaměstnance: - On-line školení - jako BOZP - Moderní, živější, s příklady z reálného života - Aktivní ověřování chování uživatelů - Praktický trénink: jak poznat phishing, atd. - Praktické ověření: kolik uživatelů klikne? - Školení s instruktorem Pro privilegované uživatele a administrátory - Školení pro IT administrátory a IT-sec specialisty (např. nácvik řešení incidentů) - Školení BLUE (SOC) týmu - Další Pouze interní
RISK MANAGEMENT
RISK MANAGEMENT
RISK MANAGEMENT Co to je? - komplexní služba řízení rizik zahrnující všechny potřebné metodiky, nástroje i lidské zdroje Kdo potřebuje řídit rizika? - GDPR - ZoKB - ISO 27000 (ISMS) - Další typy rizik Přínosy - Řada metodik podle účelu - Nejen služba, ale i zavedení procesu - Sofistikovaný nástroj v ceně - Průběžně aktualizovaný pohled Pouze interní
Řízení rizik & DPIA (GDPR) DPIA (Posouzení vlivu na ochranu osobních údajů) - Obecné nařízení o ochraně údajů ukládá správci povinnost zavést odpovídající opatření, aby zajistil a byl schopen doložit soulad s obecným nařízením o ochraně osobních údajů, přičemž přihlíží mimo jiné k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob (čl. 24 odst. 1). - Posouzení vlivu na ochranu osobních údajů se vyžaduje jen tehdy, je-li u určitého druhu zpracování pravděpodobné, že [ ] bude mít za následek vysoké riziko pro práva a svobody fyzických osob (čl. 35 odst. 1). Kdy a jak řídit rizika? - Pouhá skutečnost, že nebyly naplněny podmínky zakládající povinnost provádět posouzení vlivu na ochranu osobních údajů, však nesnižuje obecnou povinnost správců vhodným způsobem zvládat rizika pro práva a svobody subjektů údajů. - V praxi to znamená, že správci musí soustavně vyhodnocovat rizika vznikající při činnostech zpracování, aby mohli stanovit, kdy je u určitého druhu zpracování pravděpodobné, že [...] bude mít za následek vysoké riziko pro práva a svobody fyzických osob. - Je třeba zdůraznit, že řízení rizik pro práva a svobody fyzických osob vyžaduje, aby byl nejprve vypracován jejich výčet, proveden jejich rozbor, odhad, posouzení a aby byla řešena (např. snižována ) a pravidelně přezkoumávána. - Správci nemohou uniknout své odpovědnosti tím, že pokryjí rizika pojistnými smlouvami. Pouze interní
SOC / CSIRT
INCIDENT MANAGEMENT & GDPR 01 ÚTOK DETEKCE INCIDENTU OHLÁŠENÍ INCIDENTU ÚŘAD SUBJEKTY??? ANALÝZA 72 HOD ANALÝZA IR PLAN DETEKCE LOG MNGMT DETEKCE SIEM FORENSICS KATEGORIZACE RISK MNGMT INCIDENT MNGMT ZASTAVENÍ KOMUNIKACE OBNOVA INTERNĚ EXTERNĚ PONAUČENÍ
Úrovně služeb SOCA 29 Monitoring (7x24) Analýza (7x24) Povolení zásahu Rychlý zásah (7x24) Alerty Incident Management (Service Desk) Analýza (5x8) Návrh opatření (5x8) Nástroje: FW / IDS / SIEM Reporty Analýza Návrh system. opatření
Souhrn: služby SOCA
Problémy a rizika (A ŘEŠENÍ) Nové kybernetické hrozby a rizika SCAN Security technologie nepřináší efekt Lidé jsou nejslabším článkem RISK MANAGEMENT Chybí vám technologie? DPO ARCH KB Legislativa a standardy? (ZoKB, GDPR, ISO) Bojíte se nových technologií? ACADEMY Chcete mít jistotu pro případ požáru? IR SOC / CSIRT
ONE-TIME Typy služeb SOCA: přehled 30 SCAN RISK MANAGEMENT DPO ACADEMY ASSESSMENTS & CONSULTING ROLES & OPERATIONS CONTINUOUS INCIDENT RESPONSE MONITORING, DETECTION & RESPONSE IR SOC / CSIRT
? Potřebujete pomoc se zákony a standardy? Chcete zjistit, co vám konkrétně hrozí? Potřebujete technologie, procesy, role, lidi? Chcete trvale vidět, rozumět a reagovat?
ivan.svoboda@anect.com 604 293 394