Ing. Mgr. Michaela Stonová, Ph.D. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze Kybernalita ZS 2011/12, Přednáška 10 https://edux.fit.cvut.cz/courses/mi-kyb/start Evropský sociální fond Praha & EU: Investujeme do Vaší budoucnosti Ing. Mgr. Michaela Stonová, Ph.D. Přednáška 10/13, 2011
Zaměstnanec plat, mzda, zajímavá práce, osvícený nadřízený, příjemné a bezpečné pracovní prostřední, flexibilní pracovní doba, home office, benefity, právo na soukromí a osobní prostor. Zaměstnavatel vykonaná práce, levnost, výkonnost, pracovitost, flexibilita, oddanost, spolehlivost, mlčenlivost (konkurenční doložka).
Základní práva a povinnosti zaměstnanec vs. zaměstnavatel Právními předpisy povolená oblast Zaměstnanec Zaměstnavatel Zaměst nanec Zaměstnavatel Zaměstnanec Zaměst navatel
Právní předpisy Listina základních práv a svobod (usnesení č. 2/1993 Sb.), Ústava (ústavní zákon č. 1/1993 Sb.), zákoník práce (zákon č. 262/2006 Sb.), autorský zákon (zákon č. 121/2000 Sb.), zákon o elektronických komunikacích (zákon č. 127/2005 Sb.), zákon o elektronickém podpisu (zákon č. 227/2000 Sb.), zákon o informačních systémech veřejné správy (zákon č. 365/2002 Sb.), zákon o ochraně osobních údajů (zákon č. 101/2000 Sb.), zákon o ochraně utajovaných informací (zákon č. 412/2005 Sb.), zákon o soudech a soudcích (zákon č. 6/2002 Sb.), občanský soudní řád (zákon č. 99/1963 Sb.), zákon o rozhodčím řízení (zákon č. 216/1994 Sb.), správní řád (zákon č. 500/2004 Sb.), správní řád soudní (zákon č. 150/2002 Sb.), zákon o veřejném ochránci práv (zákon č. 349/1999 Sb.).
Externí vs. interní hrozby 20 % rizik 80 % rizik
Externí hrozby
Tradiční ochrana dat firewall, antivirový program. Povoleno je vše, co jsme nedokázali zakázat!
Dogma člověk ip, aplikace port,
Nedostatky klasické ochrany dat polovina síťového provozu protokoly pro routing, správu sítě z 97 % nejnižší míra rizika, rizikové protokoly: http, https. Většinu rizika (92 %) představuje sdílení souborů, proxy servery, sdílení mediálního obsahu, messaging, VOIP, SSL tunely. 82 % webových aplikací obsahuje chybu, kterou je možno zneužít. 75 % všech internetových útoků se zaměřuje na aplikace.
Moderní ochrana dat firewall, antivirový program, anti-malware program, spam filtr, IDS (Intrusion Detection Systems), IPS (Intrusion Prevention Systems), NBA (Network Behavior Analysis), kontrola aplikací, URL filtrace, šifrování, DLP (Data Loss Prevention), SIEM.
IDS (Intrusion Detection System) systém odhalení průniku software nebo hardware užívaný k odhalení pokusů o proniknutí do sítě nebo systému a k upozornění na ně. složen ze: senzorů, které generují bezpečnostní události, terminálu k monitoringu událostí a varování a ke kontrole senzorů, centrálního systému, který zaznamenává události senzorů do databáze. užívá systém pravidel ke generování varování v reakci na zjištěné bezpečnostní případy. IPS (Intrusion Prevention System) systém prevence průniku SW nabo HW zajišťující preventivní ochranu před známými i neznámými typy útoků ve vnitřní síti, preventivně chrání vnitřní síť kombikovanými útoky, spyware, malware, botnety, DoS/DDoS útoky, VoIP hrozbami atd., kombinuje několik stupňů detekce narušení od rozpoznání útoků na základě signatur přes pravidla chování, anomálií provozu a Zero Day Atacků.
NBA (Network Behavior Analysis) analýza chování sítě, detekce anomálií, analýza síťových toků (NetFlow, sflow, jflow), DPI 7L, obvykle pasivní monitorování, detekce zero-day útoků. Gartner vs. NBA neexistuje bezpečnost bez monitoringu, 90 % organizací nemá implementován systém monitorování datových toků, mnoho společnostípřesvědčeno, že stačí budovat perimetr a monitoring je zbytečný, monitoring síťových komunikací a network behavioral analysis zařazen do TOP10 nejdůležitějších technologií roku 2010.
SIEM (Security Information Event Management) SEM (Security Event Management) real-time monitoring, korelace událostí, alerting. SIM (Security Information Management), dlouhodobé uložení logů, jejich analýza, alerting a reporting. 2005 SIEM = SEM + SIM agregace a správa dat, log management, korelace a dektce hrozeb, alerting a reporting, dashboard.
Interní hrozby
Interní hrozby Původci zaměstnanci, subdodavatelé, hosté, vzdálení uživatelé. Způsoby špatná ochrana koncových stanic, neznalost, neopatrnost, úmyslný zásah. Důvody a Metody absence bezpečnostních procesů, politik a nástrojů, snaha šetřit finanční prostředky, nedostatečné nebo žádné vzdělání uživatelé (správci sítě), chybějící AUP (Acceptable Use Policies).
Dopady ztráta dat, shutdown služeb, nedůvěra -> Ztráta -> obchodních partnerů, nedůvěra -> Ztráta -> zákazníků, poškození značky, soudní spory (civilní), alternativní řešení sporů, soudní spory (správní), vyšetřování orgány činnými v trestním řízení, soudní spory (trestní), shutdown společnosti, shutdown (SW/HW) lidských zdrojů (vedení, odpovědní pracovníci, jednotlivci).
Statistika interních hrozeb 80 % 20 % 52 % 58 % 48 % všech incidentů má interní původ, denně stráví zaměstnanci na internetu, zaměstanců připustilo, že by si odneslo po odchodu ze společnosti firemní data, společností přiznalo, že stalo obětí úniku dat, ztrát dat způsobeno nedbalostí. Kontrola připojení výměnných médií 23 % společností aktivně kontroluje, 70 % o nebezpečí ví, ale nic nedělá, 7 % nepovažuje toto ohrožení za reálné.
Nejpopulárnější metody pro únik dat E-mail, Instant Messaging, Web mail, USB zařízení, Papír.
Odstrašující příklady
2009 T-Mobile UK Nejpopulárnější metody pro únik dat zaměstnanci pobočky postupně vynášeli: jména, adresy, telefonní čísla, konkrétní faktury, další informace o svých klientech, informace prodáváli konkurenčním společnostem, odhad škod miliony liber, velká ztráta důvěry zákazníka.
2009 Robert Moffat IBM Robert Moffat vysoce postavený představiel americké společnosti IBM, Zatčen a obviněn za vynášení interních dokumentů o výdajích a ziscích IBM a SUN. za miliony dolarů data prodával konzultantům z New Castle Funds, byl vždy hodnocen jako úspěšný a loajální manažer.
2010 Rene Rebollo Countrywide Financial Rene Rebolo po dobu několika měsíců vynášel denně 40 000 souborů, únik dat o 2,2 mil. klientů, škoda $ 20 000 000, $ 600 000 Countrywide zaplatila na sankcích, finančních vyrovnáních a dalších nákladech spojených s únikem dat.
Listopad 2011 Ministerstvo školství mládeže a tělovýchovy MŠMT na svých webových stránkách zveřejnilo osobní údaje o romských studentech, kteří studují na středních či vyšších odborných školách a jsou finančně podporováni v rámci dotačního programu, osobní údaje o 893 studentech včetně jmen, adres a dat narození byly volně dostupné, po zveřejnění informace v České televizi ministerstvo odkaz stáhlo, podáno trestní oznámení na neznámého pachatele, Úřad pro ochranu osobních údajů (ÚOOÚ) začal věc prošetřovat.
Odstrašující příklady
ČR odstrašující příklady společnosti 2008 listopad Dopravní podnik města Prahy 40 výpovědí, 42 000 pracovních hodin / 3 měsíce, 2009 únor Magistrát města Ostavy 7 výpovědí, 145ti zaměstancům sníženy platy, 2009 březen Škoda Auto 80 výpovědí, 950 napomenutí, 2009 červenec Magistrát města Karviné 3 výpovědí, 30ti zaměstancům sníženy platy, 2009 září Krajský úřad Jihlava 2 výpovědi, 56ti zaměstancům sníženy platy.
ČR odstrašující příklady konkrétní zaměstnanci 46 % pracovní doby hrál zaměstnanec Solitaire, 80 % pracovní doby si pracovnice městského úřadu trénovala strategické myšlení hraním Age of Empires, 106 % (počítala si i přesčasy) pracovní doby strávila administrativní pracovnice státní instituce chatováním, pouze 4 % pracovní doby prokazatelně odpracoval webmaster velké společnosti v průběhu 1 měsíce, 45 % pracovní doby měl člověk, který má v popisu práce celý den pracovat s PC, vypnutý počítač.
Zákon vs. Monitoring
Důvody pro monitoring zaměstanců bezpečnostní (odhalování úniku a průniku škodlivých dat), ekonomické (produktivita, motivace zaměstnanců, pracovní kázeň). V ČR 250 000 000 hodin ročně tráví zaměstnanci nepracovními činnostmi, ztráta 75 000 000 000 Kč ročně (2 % HDP).
301 povinnosti zaměstnaců zákon č. 262/2006 Sb., zákonéku práce Vedoucí zaměstanci jsou dále povinni a) pracovat řádně podle svých sil, znalostí a schopností, plnit pokyny nadřízených, vydané v souladu s právními předpisy a spolupracovat s ostatními zaměstnanci, b) využívat pracovní dobu a výrobní prostředky k vykonávání svěřených prací, plnit kvalitně a včas pracovní úkoly, c) dodržovat právní předpisy vztahující se k práci jimi vykonávané; dodržovat ostatní předpisy vztahující se k práci jimi vykonávané, pokud s nimi byli řádně seznámeni, d) řádně hospodařit s prostředky svěřenými jim zaměstnavatelem a střežit a ochraňovat majetek zaměstnavatele před poškozením, ztrátou, zničením a zneužitím a nejednat v rozporu s oprávněnými zájmy zaměstnavatele.
302 povinnosti vedoucích zákon č. 262/2006 Sb., zákonéku práce Vedoucí zaměstnanci jsou povinni a) řídit a kontrolovat práci podřízených zaměstnanců a hodnotit jejich pracovní výkonnost a pracovní výsledky, b) co nejlépe organizovat práci, c) vytvářet příznivé pracovní podmínky a zajišťovat bezpečnost a ochranu zdraví při práci, d) zabezpečovat odměňování zaměstnanců podle tohoto zákona, e) vytvářet podmínky pro zvyšování odborné úrovně zaměstnanců, f) zabezpečovat dodržování právních a vnitřních předpisů, g) zabezpečovat přijetí opatření k ochraně majetku zaměstnavatele.
316 povinnosti vedoucích zákon č. 262/2006 Sb., zákonéku práce (1) Zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování zákazu podle věty první je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat. (2) Zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci. (3) Jestliže je u zaměstnavatele dán závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele, který odůvodňuje zavedení kontrolních mechanismů podle odstavce 2, je zaměstnavatel povinen přímo informovat zaměstnance o rozsahu kontroly a o způsobech jejího provádění. (4) Zaměstnavatel nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a s pracovněprávním vztahem uvedeným v 3 větě druhé. Nesmí vyžadovat informace zejména o a) těhotenství, b) rodinných a majetkových poměrech, c) sexuální orientaci, d) původu, e) členství v odborové organizaci, f) členství v politických stranách nebo hnutích, g) příslušnosti k církvi nebo náboženské společnosti, h) trestněprávní bezúhonnosti; to, s výjimkou písmene c), d), e), f) a g), neplatí, jestliže je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to stanoví tento zákon nebo zvláštní právní předpis. Tyto informace nesmí zaměstnavatel získávat ani prostřednictvím třetích osob.
Řešení a doporučení
Komplexní ochrana objektová bezpečnost, požární čidla, protipovodňová opatření, fyzická bezpečnost, personální bezpečnost, interní zaměstnanci, externí pracovníci, administrativní bezpečnost, komunikační bezpečnost, informační bezpečnost, ekonomická bezpečnost.
Řešení vytvoření kontrolních procesů a bezpečnostních politik, kontrola jejich dodržování, NDA (Non-disclosure agreements), konkurenční doložky, informování zaměstnanců o monitoringu, nasazení monitorovacího SW a nástrojů pro sledování a prevenci ztráty dat, implementace AUP (Acceptable Use Policies).
Doporučení nespoléhat se pouze na SW, vzdělávat uživatele, připravit si plán pro případ úniku dat, jasně definovat rozdělení povinností, pravomoci, působnosti a odpovědnosti, prověřovat zaměstnace s přístupem k vysoce citlivým datům.
České vysoké učení technické v Praze MI-KYB Kybernalita přednáška 10/13 Děkuji za pozornost.