S GDPR za hranice tradiční ICT bezpečnosti Petr Stoklasa, AGORA Plus, 22. 9. 2017
Aneb co budete patrně platit v ICT opatřeních a proč
Co znamená za hranice tradiční bezpečnosti? S nástupem relevantní legislativy a zejména GDPR je tradiční pojetí kyberbezpečnosti nutné, nikoli dostačující, mj. protože Profesionální útočníci jsou vždy před námi, Kyberkriminalita je byznys, Podnikání na internetu přináší nové zranitelnosti a rizika, Cíle útočníků: značka, osobní údaje zaměstnanců, zákazníků, intelektuální vlastnictví, Útočníci jsou často uvnitř, nikoliv pouze na plotem! Cloud, BYOD a podobné koncepce = částečná či úplná ztráta kontroly ICT nad informacemi. Kybernetická bezpečnost, potažmo GDPR compliance znamená též porozumění rizikům plynoucím z výše uvedeného a jejich řízení.
Tradiční bezpečnostní opatření Vytvoření perimetru a střeženého prostoru = Bad Boys neproniknou dovnitř
obvykle to dopadá nějak takto, povšimněte si, prosím, obou směrů Tradiční bezpečnostní opatření
Komplexní bezpečnostní systém musí nyní umět a to pokud možno ve všech komponentách/vrstvách ICT infrastruktury Řídit přístup (tzn. kdo, zda, kdy, kde, odkud a kam může/nemůže), Nepřetržitě monitorovat prostor a detekovat podezřelé události, Zaznamenávat a vyhodnocovat aktivity infrastruktury i lidí, kteří jsou její součástí, Vynucovat omezení a restrikce, Rychle a přesně lokalizovat a pacifikovat útoky a útočníky přicházející zevnitř i zvenčí, Znemožnit odcizení dat či zneužití ztracených dat/informací, což není jednoduchý (ani levný) úkol.
Bezpečnostní skládačka - díry Analýzou identifikované rozdíly v rizikových místech DATOVÁ ÚLOŽIŠTĚ APLIKACE OPLOCENÍ S ohledem na prostředí a předmět podnikání subjektu!!! LIDÉ GDPR rizika SÍŤ (LAN/WAN) WEB STANICE
Bezpečnostní skládačka - ucpávky Zpravidla pečlivě vybrané technologie Dobře padnoucí s ohledem na míru rizika, které ošetřují DATOVÁ ÚLOŽIŠTĚ, ŘÍZENÍ PŘÍSTUPU A ENKRYPCE!!! LIDÉ, MONITORING CHOVÁNÍ A ZÁZNAM APLIKACE, OCHRANA & PRÁVA & NOVÉ FUNKCE GDPR opatření NOVÁ GENERACE OBRANY OPLOCENÍ MONITORING CHOVÁNÍ SÍTĚ, ŘÍZENÍ PŘÍSTUPU, DETEKCE, LOKALIZACE INCIDENTŮ WEB, OCHRANA WEB APLIKACÍ PŘED ÚTOKY STANICE, DEZINFEKCE A IMUNIZACE
Aplikace Riziko Oprávněné osoby k relevantním agendám, možná je jich zbytečně mnoho Zastavení zpracování osobních dat nebo pseudonymizace Opatření Úprava přístupových práv na základě definice oprávnění Nové funkcionality v aplikacích
Síť = komunikační infrastruktura Riziko Nedostatečná autentizace, autorizace, přístup neoprávněných osob k infrastruktuře z různých míst a zařízení Potenciálně nebezpečné aktivity útočících robotů, nebo také oprávněně přistupujících uživatelů Opatření Monitoring výskytu zařízení v síti a jejich přesná lokalizace v rámci hierarchie infrastruktury Možnost odpojení neoprávněných a potenciálně nebezpečných zařízení Monitoring provozu v síti s detekcí podezřelých aktivit Silná autentikace/autorizace zařízení a uživatelů pro přístup k infrastruktuře
Stanice Riziko Vynesení osobních dat mimo prostředí firmy Infekce malware s cílem vynesení, znepřístupnění, znehodnocení a zneužití osobních dat Opatření Monitoring práce uživatelů/včetně privilegovaných s aplikacemi a daty Omezení přístupu oprávněných pouze k relevantním úložištím dat Vynucení restriktivních opatření proti různým způsobům vynesení osobních dat Účinná preventivní ochrana proti infekci, dezinfekce a imunizace
WEB a webové/mobilní aplikace Riziko Nedostatečná ochrana aplikací, front/back endu aplikací a jejich komunikace Napadení web/mobil aplikace s cílem infiltrace, pozměnění nebo vynesení zpracovávaných osobních dat Opatření Ochrana frontend web/mobil aplikací před útoky Zabezpečená komunikace aplikací s jejich databázovým zázemím
Datová úložiště Riziko Odcizení, znehodnocení, zneužití zde uložených a zpracovávaných osobních dat Opatření Řízení přístupu k úložištím a šifrování dat na úložištích, zejména přenosných
a případné další (nutné) doplňky. Technologie a postupy, které obecně posilují odolnost a bezpečnost infrastruktury proti útokům: Zajištění trvalé dostupnosti, Trvalý či pravidelný průzkum zranitelností, Pult centrální ochrany, globální detekce a hlášení incidentů, Atd.
Technická opatření GDPR budou zejména vždy otázkou balance míry rizikovosti děr a nákladů na jejich ucpání, případně zbytkových rizik i když ucpávku aplikujeme.
Děkuji Vám za pozornost DOTAZY? Kontakt: Petr Stoklasa Tel: +420 602 879 958 stoklasa@agoraplus.cz