DNV Business Assurance Február. Tartalom HÍRLEVÉL / 1. szám

Átírás

1 Tartalom 2013 / 1. szám Miért fontos az információbiztonság? - 2. Várható információ-biztonsági trendek 2013-ban Legújabb információbiztonsági cikkünben fel kívánjuk hívni a figyelmüket a 2013-as évben várható információbiztonsági trendekre, valamint arra, hogy mit tehetünk annak érdekében, hogy ne váljunk áldozattá. Újdonság a DNV-nél - BRC/IOP tanúsítás BRC/IOP szabvány szerinti tanúsítást azoknak a cégeknek ajánljuk, akik élelmiszeripari csomagolóanyagok előállításával foglalkoznak, illetve más, magas szintű higiéniai körülményeket igénylő csomagolóanyagot gyártóknak. Globális fenntartható Bioüzemanyag Tanúsítás Globális üvegházhatású gáz kibocsátási szintek magasabbak, mint amit a Föld kezelni képes. Válaszul erre a biomassza és a bioüzemanyag termelés iránti kereslet növekszik. A jövő energiaellátása függ a bioüzemanyag fenntartható termelésétől. Hirschmann - ahol a kiváló antennák készülnek 10 éves évforduló a tanusításban. Mosolygó audit

2 Várható információ-biztonsági trendek 2013-ban Egyre fejlettebb támadó eszköztár A 2012-es év információ-biztonsági incidensei előre vetítik, hogy idén is folytatódik a kártevő-ipari eszközkészletek fogyasztókat megcélzó alkalmazása. A támadó eszköztár a sebezhetőségek kihasználását előrecsomagolva elősegítő programcsomag. Az elmúlt évben ezek közül a legnagyobb károkat a Blackhole okozta, amely több mint száz változattal és folyamatosan frissített sebezhetőségi adatbázissal rendelkezik. Az Adobe termékek és az Oracle Java programozási nyelv szoftver-hibáinak kihasználására specializálódott. A Blackhole-t üzemeltető hackerek a nyilvános hálózat felől, támadó kódokkal kihasználható biztonsági réseken keresztül törik fel a netezők számítógépeit - amelyekre azután a kiberbűnözők által megrendelt típusú kártevőt telepítik. Egy másik májusában felfedezett kártevő a Flame, egy nagyon kifinomult támadó eszköztár: kémkedik a megfertőzött rendszereken a hálózati forgalmat figyelve, képernyőképeket készít, rögzíti a billentyűleütéseket, sőt, hangfelvételeket is készít a számítógépekben levő mikrofon segítségével. Sokkal kifinomultabb Botnet-ek A botnet célja, hogy nagy teljesítményű, gyors, mégis anonim infrastruktúrát nyújtson a spammernek, mellyel az könnyen és gyorsan tud nagy mennyiségű spamet küldeni, illetve más törvénytelen cselekedeteket folytatni. Nemcsak spammerek használnak botneteket, hanem más bűnözői csoportok is, többféle ártó szándékkal. A botnetek leggyakrabban spamet küldenek szét, de használják őket DDoS-támadásra is (elosztott szolgáltatásmegtagadással járó támadás, az informatikai szolgáltatás teljes vagy részleges megbénítása, helyes működési módjától való eltérítése céljából). A botneteket hétköznapi, otthoni, iskolai, vállalati számítógépek alkotják. Egy számítógép anélkül tagja lehet egy botnetnek, hogy a gazdája ezt kérte, megengedte volna vagy akár egyáltalán tudna róla. Egy speciális program települ a gépre, mely a háttérben fut anélkül, hogy a számítógép gazdája azt észrevenné. Napjaink vírusvédelmi rendszerei felismerik az ilyen típusú programokat, azonban nagyon sokan egyáltalán nem használnak vírusvédelmet, vagy ha használnak is elavultat. Sajnos megjósolható az idei évben is tovább folytatódik a botnetek további terjedése, vannak hálózatok, amelyek több mint százezer kompromittált gazda számítógépből állnak. Symantec szakemberek felismerték, hogy nem egy esetben a hamis antivirus programok állnak ezek széleskörű elterjedése mögött, mint például a Zeus kártevő esetében.

3 Ransomware növekedése A ransomware olyan rosszindulatú számítógépes program, amely valamilyen fenyegetéssel próbál pénzt kicsikarni a felhasználóból. Ez rendszerint azt jelenti, hogy használhatatlanná teszi a számítógépet vagy elérhetetlenné a rajta lévő adatokat, és csak pénzért vásárolható meg az a kód, aminek a hatására visszaállítja az eredeti állapotot. Megjelentek fájlcserélőkön terjedő változatok is, amelyek a felhasználó személyes adatainak megszerzése után egy weboldalon listázza az általa letöltött filmeket, és pénzt kér a lista levételéért. Hálózati hozzáférés ellenőrzés a saját eszközök (BYOD) használatánál A Gartner előrejelzése szerint a saját eszköz (BYOD) jelenség, amelynél a munkavállalók használhatják saját személyes Apple ipad, iphone, Google Android és más mobil-ware eszközüket üzleti célra, vezethet a hálózati hozzáférés ellenőrzés újra ébredéséhez. Számos biztonsági kérdés merülhet fel a saját személyes eszközök alkalmazásánál vállalati környezetben, mint például hogyan lehetséges a hozzáférési jogosultságok létrehozása és kikényszerítése, vagy az eszközök javításokkal és frissítésekkel való ellátása, a rosszindulatú programok jelentette veszélyek elhárítása, csak hogy néhányat említsünk. A leghatékonyabb módszert a hálózati hozzáférés ellenőrzés és mobil eszköz menedzsment rendszert integráló alkalmazások nyújthatják. Okostelefonok biztonsági megerősítése, és biometrikus azonosítás Várható, hogy tovább folytatódik az okostelefonok operációs rendszereinek biztonsági megerősítése a 2013-as esztendőben, továbbá egyre gyakrabban alkalmaznak majd a telefon ill. szoftver gyártók biometrikus azonosítást, mivel egyre nagyobb erre az igény és a nyomás a felhasználói oldalról. Ezzel szemben elmondható, hogy rohamosan nő a rosszindulatú kóddal fertőzött mobil eszközök száma. A Trend Micro nemrég közzétett jelentése szerint az Android platformot megcélzó kártevők száma a júniusi ről, szeptemberre meghaladta a et, felülmúlva minden előrejelzést.

4 Társadalmi hálózatok veszélyei egyre növekednek A társadalmi hálózatok és az internetezők többségének helytelen használata, mondhatjuk aranybánya a számítógépes bűnözők és hackerek számára. Emberek milliárdjai használják nap mint nap a társadalmi hálózati platformokat megfelelő adatvédelmi beállítások nélkül. Ezen kívül ritkán használnak a felhasználók erős jelszavakat és ritkán változtatják jelszavaikat, ezáltal könnyen feltörhető Facebook, LinkedIn vagy más felhasználói fiókjuk, ezáltal idegenek ismerősnek kiadva magukat a hálózaton keresztül könnyen megtéveszthetik, és terjeszthetik fertőzött alkalmazásaikat. Mit tehetünk, hogy ne legyünk áldozatok? A legjobb még időben megelőzni a bajt és a kibertámadásoktól jobban védett szoftvereket és operációs rendszereket kell alkalmazni, tehát használjunk megbízható és jogtiszta forrásokat, fektessünk nagyobb hangsúlyt a biztonsági frissítések telepítésére, a vírusvédelmi alkalmazások vírus definíciós fájljainak mindennapos aktualizálására. Biztonságosabb hálózati infrastruktúrát kell kialakítani, tűzfalakat, behatolás érzékelő és megelőző rendszereket (IDS, IPS) kellene alkalmazni, a rendszerek működését folyamatosan figyelemmel kísérni, monitorozni kell, az érzékeny adatokat rendszeresen és több helyre célszerű elmenteni. Ezen felül ERŐSÍTSÜK A TUDATOSSÁGOT AZ INFORMÁCIÓ-BIZTONSÁG TERÉN A SZERVEZETBEN, legyen a biztonság a szervezeti kultúra része. AZ ISO 27001:2005 Információ-biztonsági szabvány de-facto előírássá és a legjobb gyakorlat keretrendszerévé vált, és világszerte biztosítja a szervezetek bizalmas információinak, vagyontárgyainak védelmét. Miért ne hívná segítségül a szabványt az információ-biztonsági rendszerének kialakítása során. Mint a DNV meglévő vagy leendő partnere számíthat szakértő kollégáink segítségére, legyen az képzés, felülvizsgálat, megfelelőség értékelés Önöknél, vagy beszállítóiknál, szolgáltatóiknál, forduljon hozzánk bizalommal.

5 Újdonság a DNV-nél - BRC/IOP tanúsítás BRC/IOP szabvány szerinti tanúsítást azoknak a cégeknek ajánljuk, akik élelmiszeripari csomagolóanyagok előállítással foglalkoznak illetve más, magas szintű higiéniai körülményeket igénylő (pl. gyógyszer, koztmetikum) csomagolóanyag gyártóknak. Azon szervezeteknek érdemes e szabvány szerint auditáltatni magukat akik számára fontos azt bizonyítani, hogy a működtetett folyamataik alapján megbízható termékeket gyártanak, és ezzel tudják megkülönböztetni magukat a versenytáraiktól. A szabvány megfelel a legmagsabb szinten lévő európai és globális élelmiszerbiztonsági kívánalmaknak, így kereskedelmi láncok által kért GFSI megfelelés bizonyítására kiválóan alkalmas. Örömmel értesítjük meglévő és jövőbeni partnereinket, hogy hazai auditor csapatunk BRC/IOP auditorral bővült, ezáltal is színesítve élmemiszerbiztonság terülén kínált szolgáltatásainkat.

6 Globális fenntartható Bioenergia Tanúsítás Globális üvegházhatású gáz (ÜHG) kibocsátási szintek magasabbak, mint amit a Föld kezelni képes. Válaszul erre a biomassza és a bioüzemanyag termelés iránti kereslet növekszik. A jövő energiaellátása függ a bioüzemanyag fenntartható termelésétől; ezek ellátási láncai összetettek, és egy sor környezeti hatással is számolni kell. A tanúsítás egy hatékony eszköz a bioüzemanyagok és a biomassza alapú termékek fenntarthatóságának bizonyításában a teljes ellátási láncban. A harmadik fél általi tanúsítás egy hiteles eszköz amely demonstrálja vállalatának elkötelezettségét a fenntartható fejlődés iránt. A DNV fenntarthatósági szolgáltatásainak részeként a bioüzemanyag tanúsítás erősítheti cége piaci megítélést. DNV meg van győződve arról, hogy a harmadik fél általi tanúsítás egy előremutató út a fenntartható jövő felé. DNV Business Assurance az RSB és ISCC tanúsítási rendszerek szerinti fenntartható bioüzemanyagok tanúsítási szolgáltatásait nyújtja Önnek. Mi az RSB tanúsítási rendszer? Az RSB ( kerekasztal a megújuló energia-irányelv szerint szavatolt fenntartható bioüzemanyagok tanúsítására") tanúsítási rendszer valamennyi biomassza-és bioüzemanyag ipari szereplőre és termékre alkalmazható. A tanúsítást harmadik fél általi tanúsító szervezetek, mint például a DNV Business Assurance végzik. RSB egy többszereplős folyamatban kifejlesztett világszerte elismert szabvány. Ez egy önkéntes szabvány, amely bizonyítja, hogy a terméke felelősségteljesen előállított, és megfelel bizonyos követelményeknek. Az RSB tanúsítási rendszer az Európai Bizottság (EB) által elismert. A minősített termékek és a szolgáltatók megfelelnek az EU megújuló energia-irányelvnek (RED), és ez által megjelenhetnek a fenntartható bioüzemanyagok és biomassza termékek piacán. RSB tanúsításhoz bizonyítottan szükséges az üvegházhatást okozó gázok (ÜHG) kibocsátásának 50%-os csökkentése a bioüzemanyag keverékeknél, szemben a fosszilis tüzelőanyagokkal. Az üzemeltetők kötelesek megfelelni a vonatkozó jogszabályi ÜHG követelményeknek abban a régióban, ahol működnek.

7 Ezen felül a tanúsítás megkövetel további 12 alapelvnek és kritériumnak való megfelelést. Az felülvizsgálat az alábbi témákkal foglalkozik: Jogiszerűség Hatásvizsgálat és konzultáció az érdekelt felekkel Tervezés, figyelemmel kísérés és folyamatos fejlesztés Üvegházhatású gázok kibocsájtása Emberi jogok és munkajog Helyi fejlesztés és élelmiszerbiztonság Természetvédelem (biológiai sokféleség és az ökoszisztéma-szolgáltatások) Talaj-, víz- és levegővédelem Alkalmazott technológia, bemenetek és hulladékgazdálkodás Földhasználati jogok Mi az ISCC tanúsítási rendszer? DNV Business Assurance globális akkreditációval rendelkezik az ISCC tanúsításra (International Sustainability Carbon Certification), amely egy másik szabvány a fenntartható biomassza és a bioüzemanyag tanúsításhoz. ISCC az üvegházhatást okozó gázkibocsátás csökkentésére összpontosít az értékláncon, a fenntartható földhasználaton, a természetes élőhelyek védelmén és az alapanyag termelés társadalmi fenntarthatóságán keresztül. Ez a tanúsítási szolgáltatás egy alternatíva, de kiegészítheti az RSB (Kerekasztal a fenntartható bioüzemanyagokhoz) fenntartható bioüzemanyagok és a biomassza tanúsítási rendszert. Az EU-RED irányelv alapján az ISCC minimum 35%-os ÜHG-kibocsátás megtakarítást követel meg (amely 2017 januárjában 50%-ra, majd 2018 januárjában 60%-ra emelkedik; azaz azokra létesítményekre, ahol a termelés 2017-től indul, és így tovább.) A nyersanyag termelésnek (ültetvények) is meg kell felelniük a 6 irányelvnek. A ISCC audit az alábbi témákkal foglalkozik: Természetvédelem (biológiai sokféleség és az ökoszisztéma-szolgáltatások) és magas szénkészletekkel rendelkező föld Talaj, víz, levegő és a helyes mezőgazdasági gyakorlat alkalmazása Munkakörülmények Emberi jogok, munka-, és földhasználati jogok. Felelős közösségi kapcsolatok. Jogszerűség Jó irányítási gyakorlat Üvegházhatású gázok kibocsájtása. Mindkét szabvány, az RSB és az ISCC egyaránt megfelel EU RED irányelveknek.

8 Miért érdemes az RBS és/vagy ISCC rendszer szerinti tanúsítás? A megújuló energia világszerte az érdeklődés középpontjában van, és jelentősége hatalmas abban az erőfeszítésben, amelyet az üvegházhatást okozó gázok kibocsátásának csökkentésében, és a globális felmelegedés visszafordításában tehetünk. A hatósági követelmények és a piaci szereplők egyre inkább megkövetelik, hogy a szolgáltatók bizonyítsák biomassza és a bioüzemanyagok termelésük felelős módon történik és fenntartható, a teljes ellátási láncban. A fenntartható bioüzemanyag tanúsítás előnyei: Ügyfelek biztosítása afelől, hogy a termék előállítása felelős módon történik Piaci elismerés, hogy vezető szerepet tölt be a fenntartható bioüzemanyag piacon Igazolja megfelelését az Ön régiója jogszabályi követelményeinek Bizonyítja a megfelelést az EU megújuló energia irányelvének (RED), ezáltal megjelenhetnek a fenntartható bioüzemanyagok és biomassza termékek piacán A tanúsítás lehetővé teszi, hogy hitelesen kommunikálja a piacon a biomassza és bioüzemanyag termékeik fenntarthatóságát. Hogyan segíthet a DNV Business Assurance? DNV Business Assurance elismert harmadik fél általi tanúsító szervezet az RSB és ISCC tanúsítási rendszerekhez. Segíthetünk abban, hogy megértse, mire van szüksége a tanúsításhoz, és tanúsítani is tudjuk az Önök szervezetét az RSB és az ISCC tanúsítási rendszerekben. A bioüzemanyag gyártásban fontos bizonyítani a fenntarthatóságot a teljes termelési láncban ahhoz, hogy képesek legyünk értékesíteni a terméket a piacon. Segítségére lehetünk a teljes tanúsítási folyamatban, biztosítva, hogy a tanusítás a folymatos fejlesztés eszköze legyen. Ha többet szeretne megtudni a szabványokról és a tanúsítási rendszerekről, valamint arról, hogy hogyan támogathatjuk Önt a tanúsításhoz vezető úton, lépjen kapcsolatba a DNV Business Assurance-el.

9 Hirschmann - ahol a kiváló antennák készülnek 2012 őszén történt, hogy az egyik auditunk keretében megünnepeltük Partnercégünk és a DNV 10 éves együttműködését. Auditorként nekem, személy szerint fel sem tűnt a 10 év múlása. Partnercégünk a Hirschmann Car Communication Kft volt olyan kedves és professzionálisan megszervezte a megemlékezést, ami számunkra is kellemes meglepetés volt. A Hirschmann Car Communication Kft a nagyhírű Hirschmann antennagyár magyarországi leányvállalataként az 1990-es évektől kezdve tevékenykedik hazánkban. Termékpalettájuk rendkívül széles: elektronikai alkatrészeket, HI-FI csatlakozókat, tető- és fóliaantennákat, szűrőket és erősítőket gyártanak kiváló minőségben. Gyakorlatilag a nyáklapra ültethető csatlakozóktól kezdve a bluetooth antennákon át a modern integrált antenna rendszerekig mindenféle elektronikai termék készül itt. A cég magyar telephelyét egy rendkívül kreatív és elkötelezett csapat vezeti. Véleményem szerint az egyik legfontosabb és legszerencsésebb tény, hogy 2012-ben is ugyanazok a vezetők vettek részt a nyitó és záró értekezleten, mint 10 évvel ezelőtt. A magyar telephely az elmúlt tíz év során egyre nagyobb önállóságra tett szert. Eleinte csak az anyavállalatnak szállítottak Németországba, mára már több autógyárnak a közvetlen beszállítói. Sikerüket jellemzi, hogy az elmúlt esztendőben az antennagyártó részleg területét közel duplájára kellett növelni a fokozódó vevői igények kiszolgálása miatt.

10 Az elmúlt években gyakran megfordultam a Hirschmann Car Communication Kft-nél auditorként. Minden évben újabb és újabb fejlesztésekkel sikerült meglepniük, gondolok itt lean technikák bevezetésére vagy éppen IT alapú vállalatirányítási rendszer alkalmazására. Remélem, hogy sokszor lesz még lehetőségem a jövőben auditálni a Hirschmannt! Ezúton kívánok a Hirschmann Car Communication Kft vezetőségének és minden munkatársának sok sikert és nagyon jó egészséget a munkájához!

11 Mosolygó audit Az egyik nagy cég telephelyén történt, hogy egy német kolléga a raktárat auditálta. A raktárban egy rendkívül szemrevaló fiatal hölgy nevezzük most Melindának gyalogkíséretű targoncával rakodott. A szemfüles német kolléga elkérte Melindától a targoncavezetői engedélyét, ami nem volt elérhető lévén Melindának nem volt semmilyen targoncavezetői engedélye. Később a záró értekezleten a vezetőség felé a német kolléga a következő visszajelzést adta: uraim, ama bizonyos Melinda nevű hölgynek nem volt targoncavezetői engedélye, ennek ellenére a raktárban targoncával rakodott. Ez enyhe nemmegfelelőség, amelyre intézkedéseket kell hozni! Másfelől viszont megértem Önöket! Láttam a hölgyet, ha otthon nekem lenne targoncám, én is megengedném, hogy vezesse akár jogosítvány nélkül is!

12 Elérhetőségeink : DNV Magyarország Kft Budapest, Stefánia u Telefon: Telefax: budapest@dnv.com Tartalomért felelős: Zrupkó János Ügyvezető igazgató