30 MB Dombora Sándor SZERVEZETI-SZERVEZÉSI VESZÉLYFORRÁSOK ÉS AZ ELLENÜK ALKALMAZHATÓ VÉDELMI MÓDSZEREK 2018. 08. 22.
Tartalom Biztonsági szervezet és működés Titokvédelem és iratkezelés Szabályozás, szervezeti működés Emberi hibák, humán védelmi módszerek Harmadik féllel kötött szerződések Jogszabályok 2018. 08. 22. 2
Ad hoc szervezeti működés A működés gyakran szabályozatlan Azt sem tudjuk, hogy működünk A szervezet nem ismeri saját működését, működési folyamatait, erőforrásait. A szervezeti felépítés nem egyértelmű. Nincsenek tisztázva a feladatok, felelősségek, hatáskörök és erőforrások. Szigetszerű megoldások. A szabályozások hiánya ill. ellentmondásai. Tipikus gyalogsági helyzet: senki nem tud semmit. 3
Ad hoc szervezeti működés Rendelkezésre állási probléma?! Riasztás e-mailben? Index: 2006. augusztus 21., hétfő 21:40: Az augusztus 20-i tűzijáték közben bekövetkezett, négy halálos áldozatot követelő katasztrófa felelőseit kereső kormányzati vizsgálat megállapította, hogy a rendezvényt szervező, és a tűzijátékot felfüggesztő, majd újraindító ******** mindent megfelelően csinált, viszont azt érdemes volna kivizsgálni, hogy a meteorológiai intézet figyelmeztetésének miért nem lett foganatja. A meteorológusok ugyanis bár nem igazán konkrétan, de küldtek egy figyelmeztető e-mailt a katasztrófavédelemnek, ám azt csak órákkal a vihar után olvasták el. Politikai felelősei is lehetnének a katasztrófának, ha szóltak volna nekik a viharról. Az OMSZ riasztásait e-mailen az Országos Katasztrófavédelmi Főigazgatóságnak (OKF) küldi, az OMSZ elnöke szerint összhangban a február 1-től hatályos riasztási renddel. 4
Gyenge biztonsági szervezet Előfordul, hogy biztonság nem kapja meg a kellő súlyt a szervezet életében (1) 5 veszélyforrások
Gyenge biztonsági szervezet Előfordul, hogy biztonság nem kapja meg a kellő súlyt a szervezet életében (2) Tipikus hibajelenségek Nincs integrált biztonsági szervezet A vagyon és adatbiztonság egymástól függetlenül működik ill. a funkciók összekeverednek Az adatvédelem és adatbiztonság szétválasztásának hiánya Biztonsági ellenőrzések hiánya Biztonsági szervezetek (tűzvédelmi, polgári védelmi hiánya, gyengesége Biztonsággal kapcsolatos dokumentumok hiánya: Biztonsági Stratégia, Biztonsági Politika, Biztonsági átvilágítás, Katasztrófaterv, IBSZ Szabályozások hiányosságai, a szabályok be nem tartása A munkakörök és szakmai kompetencia nem teljesen függ össze A munkaköri leírás és a tényleges tevékenység nem egyezik meg Segregation of duties Nem megfelelő oktatás 6
Biztonsági szervezet és működés Az IT biztonsági feladatokat szervezethez és személyekhez kell kötni Az IT biztonsági szervezet A biztonságért a szervezet első számú vezetője felelős. A biztonsági vezető és az adatvédelmi (titokvédelmi) felelős az első számú vezető közvetlen alárendeltje. Az informatikai biztonság nem az informatikai szervezet alegysége. Az informatikai biztonság és a vagyonbiztonság nem elkülönült egység. A biztonsági szervezet feladatai a védelmi intézkedések meghatározása, betartatása; a biztonsági események kezelése; követés, naprakészség biztosítása; 7
Titokvédelmi és iratkezelési hiányosságok A titokvédelem nem megfelelően szabályozott Mi számít titoknak? Nincsenek osztályozva titokvédelmi szempontból az adatok, alkalmazások, eszközök, helyiségek (Ha nincs meghatározva, hogy MIT kell védeni, nem lehet megmondani, hogy HOGYAN) A titokvédelmi munkatárs elhelyezkedése a szervezeti hierarchiában nem megfelelő (nem az elsőszámú vezető közvetlen alárendeltje - nincs megfelelő jogköre, létezése formális) (A papíralapú dokumentumok kezelése általában jobban szabályozott!!!) 8
Titokvédelmi és iratkezelési hiányosságok A titkos ügyiratkezelés speciális kompetenciát igényel 9
Titokvédelem A titokvédelem tradicionális probléma (1) Nemcsak az adatokat kell osztályozni Az adatokat, alkalmazásokat, eszközöket és helyiségeket osztályozni, minősíteni kell. Az osztályozás alapja a titokvédelemről, az üzleti titokról, a személyes adatokról, a banktitokról szóló jogszabályok és saját üzleti érdek. Az alkalmazások védelmi osztályozása: milyen osztályba tartozó adatokat kezel (a legerősebb). 10
Titokvédelem A titokvédelem tradicionális probléma (2) Adatvédelmi osztályok (adatokra, alkalmazásokra és eszközökre) Titkos (pl. államtitok, üzleti titok) Bizalmas (pl. szolgálati titok, személyes adatok ) Belső használatra Nyilvános Helyiségek osztályozása Zárt Kiemelten ellenőrzött Ellenőrzött Nyilvános 11
Titokvédelem A titokvédelem tradicionális probléma (3) Kiindulás: az adatok titokvédelmi osztályozása Iratkezelési Utasítás szükséges (elektronikus iratok előállítására, feldolgozására, továbbítására, megsemmisítésére is kitér) Kritikus probléma: áttérés elektronikusról papíralapúra és viszont Papír alapú outputok előállítása A minősítést fel kell tüntetni a papíralapú iraton 12
Iratkezelés Példa: NAIH adatvédelmi bírság 13
Szabályozás Hogyan kaphat egy felhasználó hozzáféréseket? 14
Szabályozás Milyen a jó szabályzatrendszer Számos szabályzatból álló, konzisztens rendszer szükséges Konzisztens Lényegre törő Betartható szabályokat tartalmaz Végrehajtható, szerepkörhöz rendelt munkafolyamatokat tartalmaz A munkatársaknak csak a rájuk vonatkozó szabályokat és eljárásokat kell ismerniük Összhangban van a jogszabályi környezettel Összhangban van a bevezetett szabványokkal 15
Szabályozás A szabályozásnak összhangban kell lennie a jogszabályokkal és más szabályozásokkal Számos szabályzatból álló, konzisztens rendszer szükséges Informatikai biztonsági politika IBSZ (Informatikai Biztonsági Szabályzat) IT üzemeltetési szabályzat Felhasználói szabályzat Hozzáférési szabályzat Változáskezelési szabályzat Incidenskezelései szabályzat Kockázatkezelései szabályzat Katasztrófa kezelési szabályzat Mentési szabályzat 16
Emberi hibák A munkatársak rosszhiszeműek? A károk keletkezésben közreműködők Külső támadó Belső rosszhiszemű munkatárs Belső jóhiszemű munkatárs Együtt 17
Emberi hibák Jellemző hibaelkövető személyiségtípusok (1) Hanyag Munkájuk megkönnyítése érdekében nem foglalkoznak a biztonsági szabályokkal. Véletlenül adják ki az információt elvesztett eszközökön (laptop, okostelefon, CD lemez, USB stick) keresztül. Adatokat hagynak a leselejtezett, lecserélt számítógépeken. Nem elég körültekintően osztják meg az adatokat harmadik féllel. Védelem nélkül küldenek adatokat nyilvános szolgáltatókon keresztül Túlbuzgó Szándékosan megkerülik a biztonsági előírásokat, azt gondolva, hogy ezzel hatékonyabban tudják szolgálni a vállalat érdekeit és saját karrierjüket. (Például titkosítások elhagyása, clear desk policy figyelmen kívül hagyása.) Kiviszik az adatokat a biztonságos környezetből, hogy irodán és munkaidőn kívül is dolgozhassanak 18
Emberi hibák Jellemző hibaelkövető személyiségtípusok (2) Manipulálható Célpontjai lehetnek a social engineeringnek Általában segítő szándékkal adják ki a kódokat, információkat, abban a hitben, hogy a szervezet érdekében cselekszenek. Sajátos etikai megfontolásokat követő Sajátos etikai megfontolások alapján adják ki a bizalmas adatokat a nyilvánosság számára.( A szivárogtatások általában valamilyen közösségi szolgáltatáson keresztül zajlanak. ) 19
Emberi hibák Példák a humán erőforrások visszaéléseire (1) 20
Emberi hibák Példák a humán erőforrások visszaéléseire (2) 21
Emberi hibák A humán erőforrás lehet kiindulása és célja is a fenyegetéseknek (1) A humán erőforrás az informatikai rendszer egyik eleme A humán erőforrások bizalmassága (személyes adatok, feladatkörök stb.), sértetlensége (sérülés), rendelkezésre állása (sérülés, betegség, haláleset, túszejtés, sztrájk stb.) sérülhet 22
Emberi hibák A humán erőforrás lehet kiindulása és célja is a fenyegetéseknek (2) A humán erőforrás az informatikai rendszerre fenyegetést jelent Nem megbízható, nem lojális munkaerő alkalmazása (erkölcsi bizonyítvány?, előző munkahely?, életvitel, pénzügyi zavar stb.) Nem megfelelően képzett, nem elegendő gyakorlattal rendelkező munkatárs alkalmazása, a biztonsági tudatosság hiánya, védtelenség a social engineering ellen 23
Emberi hibák A humán erőforrás lehet kiindulása és célja is a fenyegetéseknek A humán erőforrás jelentette fenyegetést sajátos tényezők fokozzák Digitális írástudatlanság, informatikai szakadék, az információs technológia vívmányaihoz való hozzáférés hiánya, az innoválható tudás hiánya (az multimédiás eszközök lustítják az agytevékenységet.) Az információs túlterheltség negatív hatásai Az információs technológia eszközeinek felhasználásával összefüggő pszichikai, fiziológiai és egészségügyi jellegű veszélyek Az információs technológiákkal szembeni idegenkedés, bizonytalanság 24
Hogyan biztosítható a humán erőforrás lojalitása? (1) Humán védelmi módszerek Munkaviszony létesítésekor (Felvételi politika) Háttér ellenőrzés, referenciák bekérése, erkölcsi bizonyítvány, folyamatban levő bűnügyi eljárás ellenőrzése Titoktartási nyilatkozat (a munkaviszony megszüntetése utáni időszakra is) Nyilatkozat a biztonsági követelmények ismeretéről Érdekütközési nyilatkozat (nincs olyan érdekeltsége, amely nem teszi lehetővé a tervezett munkakör betöltését) Szakmai és emberi kompetencia vizsgálat 25
Szabályozás Hogyan biztosítható a humán erőforrás lojalitása? (2) Munkaviszony alatt Védelmi intézkedések a megbízhatóság fenntartása érdekében Teljesítménykövetés Karrier menedzsment lojalitás, kötődés Szakmai kompetencia és feladatok közötti konzisztencia biztosítása Képzések Munkaköri leírások naprakészsége Egymást kizáró biztonságkritikus munkakörök figyelembe vétele (Segregation of Duties) 26
Szabályozás Hogyan biztosítható a humán erőforrás lojalitása? (3) Munkaviszony megszüntetésekor Jogosultságok, accountok visszavonása (felmondási idő: legalább korlátozás) Megszüntetési interjú: (nyilatkozat a vállalati dokumentumok és adathordozók visszaszolgáltatásáról, kilépés utáni titoktartásról) Vállalati tulajdon visszavonása (beléptető kártya, kulcsok is) Törlés a fizetési listáról A munkatársak értesítése a kilépés tényéről 27
Harmadik féllel kötött szerződések Az informatikát érintő outsourcing szerződések kritikusak (1) Outsourcing fejlesztési megbízás A fejlesztési környezetre vonatkozó biztonsági követelmények A megbízó ellenőrzési jogosultságának elismerése A fejlesztés tárgyára vonatkozó biztonsági követelmények Fenyegetettség mentességi nyilatkozat az átadás/átvételkor Outsourcing üzemeltetési megbízás A biztonsági környezetre vonatkozó követelmények (humán, fizikai, logikai leválasztás) A megbízó ellenőrzési jogosultságának elismerése Megfelelő erősségű humán, fizikai és logikai védelmi intézkedések megtétele 28
Harmadik féllel kötött szerződések Az informatikát érintő outsourcing szerződések kritikusak (2) Outsourcing karbantartási, rendszerkövetési megbízás A szolgáltató alárendelése a megbízó Biztonsági Politikájának A szolgáltató jogosultságainak korlátozása, rögzítése Ellenőrzési lehetőség biztosítása Munkaerő bérlés/ kölcsönzés A munkaerő alárendelése a megbízó Biztonsági Politikájának, nyilatkozat ennek elfogadásáról Számokérési, szankcionálási lehetőség biztosítása 29
Szerződések gyengeségei Az informatikai biztonsági garanciák gyakran hiányoznak a szerződésekből Tipikusan többféle szerződés érvényes Szállítási szerződések - beszerzések Outsourcing szerződések: fejlesztői, karbantartási, üzemeltetési A megbízó hatáskörén kívül eső biztonsági környezet kérdése nincs kezelve A biztonsági követelmények érvényesítése, a számon kérhetőség biztosíthatósága hiányzik A szervezet területén idegen szakemberek, hozzáférnek a rendszerhez. A biztonsági szabályzatok betartatása problematikus. A szervezet bizalmas adataihoz idegen szakemberek, hozzáférnek. A bizalmassági követelmények betartása problematikus Korlátozott felelősségvállalás Az üzleti tevékenység megszakadására vonatkozóan a harmadik fél nem vállal garanciát -- vis maiorra hivatkozik A termék hibája esetén csak a termék értékéig vállal kártérítést 30
Harmadik féllel kötött szerződések Az informatikai biztonságot kezelni kell a szerződésekben A szerződéseknek garanciákat kell tartalmaznia Megfelelő védelmi intézkedések a biztonsági környezetben Megfelelő védelmi intézkedések a feladat végrehajtása során Megfelelő védelmi intézkedések a végtermékben 31
Harmadik féllel kötött szerződések Elfogadható feltételek? 32 Szervezeti-szervezési veszélyforrások elleni módszerek
A törvényi kötelezettségek gyakran figyelmen kívül vannak hagyva (1) Jogszabálysértés 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.) 2001 évi XXXV. törvény: Az elektronikus aláírásról 1999. évi LXXVI. törvény a szerzői jogról AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (2016. április 27.) GDPR 2013. évi L. törvény (Ibtv.) 33
A törvényi kötelezettségek gyakran figyelmen kívül vannak hagyva (2) Jogszabálysértés 41/2015. (VII. 15.) BM rendelet - az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben meghatározott technológiai biztonsági, valamint a biztonságos információs eszközökre, termékekre, továbbá a biztonsági osztályba és biztonsági szintbe sorolásra vonatkozó követelményekről 26/2013. (X. 21.) KIM rendelet - az állami és önkormányzati szervek elektronikus információbiztonságáról szóló törvényben meghatározott vezetői és az elektronikus információs rendszer biztonságáért felelős személyek képzésének és továbbképzésének tartalmáról Ágazati törvények 34
Jogszabálysértés Példa törvénysértésre 35
Iratkezelés Példa: NAIH adatvédelmi bírság 36
Mit jelent a social engineering? A Social Engineering (SE) nem más, mint annak a művészete és tudománya, hogy miként vegyünk rá személyeket arra, hogy a mi akaratunknak megfelelően cselekedjenek. Támadási módszer, amely az emberi hibák, gyengeségek, tájékozatlanság, hiszékenység, felelőtlenség aktív kihasználására épül. 37
A social engineeringnek tipikus forgatókönyve van Start Információs zerzés A kapcsolat kihasználása (felhasználása) Végrehajtás, a tervezett cél megvalósítása Kapcsolatépítés 38
Az információszerzés során törvényes és törvénytelen módszereket is alkalmaznak (1) Törvényes módszerek A szervezet web oldala Üzleti partnerek web oldalai Telephellyel kapcsolatos információk (Google Map) Telefonszámok, kontaktszemélyek, e-mail címek, munkatársak Aktuális események (pl. sajtóközlemények) Nyilvánosan elérhető műszaki információk (szabályzatok, szabványok, stb.) Alkalmazottaktól kiszivárgó információk (pl. fórumok, blogok, iwiw, Facebook) Keresők által szolgáltatott információk (pl. Google hacking) 39
Az információszerzés során törvényes és törvénytelen módszereket is alkalmaznak (2) Törvénytelen módszerek Megtévesztéssel szerzett információk (telefonhívás, személyes ismeretség) Hacker módszerek Illegális bejutás a telephelyre Vagyontárgyak eltulajdonítása (notebook, okostelefon, dokumentáció) 40
A kapcsolatépítés során a célszemély akarata ellenére segítséget nyújt Miért nyújt segítséget a célszemély? Kíváncsiság Tudatlanság Gondatlanság Sértődöttség Bosszú Segítőkészség A jó megítélés megszerzése Ellenszolgáltatás elvárása (az ellenszolgáltatás tipikusan egy semmiség) A morális bűnösség érzésének elkerülése A felelősség elhárítása 41
A kapcsolatépítést négy fő tényező segítheti, mind a bizalom megszerzésére irányul 1 2 3 A támadó a célszeméllyel szemben konstruktívan és nem támadó szellemben lép fel Korábbi apró szívességeket Kedvesség szolgáltunk a célszemély felé Az emberségünk hangsúlyozása Megértő viselkedés, nem csupán egy hang a telefonban 4 Gyors alkalmazkodás a kialakult szituációhoz 42
A kapcsolat kihasználása a megszerzett bizalomra épül Cél:a végső cél eléréshez szükséges eszköz megszerzése Olyan információ/eszköz megszerzése, amelynek birtokában a tervezett cél megvalósítatható Jelszavak Fizikai bejutáshoz szükséges kód Kulcs Beléptető kártya Megszemélyesítéshez szükséges adatok 43
A kapcsolat kihasználása a megszerzett bizalomra épül A végső cél elérése, az eredmény realizálása Illegális belépés a rendszerbe (fizikai, logikai) Manipuláció elvégzése (adatmanipuláció, adathordozó eltulajdonítás stb.) Dokumentumok lemásolása Tranzakció megvalósítás A nyomok eltüntetése 44
Tipikus social engineering támadási minták (1) Direkt telefonos megkeresés A támadó telefonon próbál olyan információkhoz hozzájutni, melyek segítenek a támadás célpontjául szolgáló személlyel kapcsolatot építeni vagy a támadás során később felhasználhatóak lesznek. Illetékesek nevei, elérhetőségei, azonosítói (esetleg jelszavai), munkaidőbeosztása, helyettesítői vagy hozzáférési módok stb. Célzott levél A célzott levél a támadás célpontjául szolgáló személy részére Egyszerű kérdőívnek álcázott levél: születési dátum, a házi kedvenc neve, autója típusa, kedvenc hírportálja (ahol aztán a fórumban esetleg megtalálható) Motiváció a kitöltésre: nyereménylehetőség, ajándék Dumpster Diving (kukaátvizsgálás) Az irodai hulladékának átvizsgálása: belső levelezés, naptárbejegyzések, feljegyzések, szervezeti ábrák Cél: a célszemély munkahelyi életébe történő minél mélyebb belátás A későbbi támadás során az adott környezetben történő eligazodás 45
Tipikus social engineering támadási minták (2) Shoulder Surfing ( vállszörf ) Alkalmazásához fizikailag a célszemély közelébe kell kerülni Például egy olcsó ajándék kikézbesítése során (karácsonyi ajándék az ügyfél vezetőjének) Akár dokumentumok, eszközök, jelszavak birtokába is lehet így jutni Megszemélyesítés Egy igazi munkatárs nevében történő telefon a ServiceDesknek, hogy elfelejtette a jelszavát és kéri, hogy adjanak neki egy újat Fontos Ember A támadó megszerzi egy fontos ember nevét és beosztását, majd felhívja a célszemélyt, hogy Fontos Ember (vezető) kérésére azonnal adják oda a következő adatokat A módszer különösen akkor hatékony ha Fontos Ember éppen szabadságon van 46
Tipikus social engineering támadási minták (3) Mi vagyunk a Help- Desk A ServiceDesk nevében egy munkatárs felhívása, hogy azonnal (pl. késő este) be kell jönnie és be kell jelentkeznie, egyébként kiesés következik be. Alternatív megoldásként megadhatja felhasználónevét és a jelszavát? A ServiceDesk nevében egy munkatárs felhívása és tesztre történő hivatkozással a jelszó elkérése 47
Köszönöm a figyelmet! 2018. 08. 22. 48