Az adatvédelem informatikai támogatása Biró Ferenc, Partner EY Felelős Üzleti Működés Szolgáltatások
Az adatvédelmi incidensek mindennaposak Taobao (2016) A népszerű kínai apróhirdetési oldal 20 millió felhasználóját sikerült kompromittálni egy korábban megszerzett 100 milliós adatlopásból származó adathalmaz segítségével. Anthem (2015) 80 millió ügyfél és munkavállaló személyes adatait lopták el. A cég több mint 100 millió dollárt költött csupán az ügyfelek értesítésére, míg a teljes kár összegét 8-16 milliárd dollárra becsülik. ebay (2014) 145 millió felhasználói fiókhoz tartozó személyes adatot loptak el. A vállalatnak 200 millió dollárjába került ez az adatszivárgás. JPMorgan Chase (2014) 76 millió háztartás és 7 millió kisvállalkozás pénzügyi és személyes adataihoz jutottak illetéktelenek. A támadás egymilliárd dolláros kárt okozott, annak ellenére, hogy a bankcsoport 250 millió dollárt költött kiberbiztonságra. G20 találkozó Brisbane (2014) Az egyik rendezvényszervező alkalmazottjának figyelmetlensége miatt nyilvánosságra került a G20-on részt vevő országok vezetőinek születési ideje, útlevélszáma és egyéb személyes adataik. Page 2
Új fajta támadási formák Specifikus, célzott malware-ek Az egy adott szolgáltatás típusra, cégcsoportra, vagy akár cégre vagy személyre specializált malware-ek alkalmazása napjainkban már egyáltalán nem elképzelhetetlenül költséges. Vannak olyan bűnözői csoportok, akik kész elemekből az adott célpontra testreszabott kártékony kódokat "fillérekért" állítanak elő. Ransomware fenyegetettség Várható a zsarolóvírusok olyan fajtájának megjelenése, amely nem csak lekövethetetlen kifizetéseket követel az áldozattól, hanem azonosítók kiadását, például olyan azonosító adatokét, amelyek nem megmásíthatók, ellenben a jövőben is hozzáférést biztosíthatnak bizonyos ügyfél specifikus információkhoz. (Ellenőrző kérdések, családi/születési adatok, egyéb, megszemélyesítésre alkalmas információk.) "Sokadik Vadnyugat" A kiberfenyegetések a világ bármely tájáról érkezhetnek, a jogi szabályozás ellenben koránt sem egyenszilárdságú a világ minden táján. A gyengébben szabályozott országokban komoly iparággá növi ki magát a szervezett bűnözés ezen formája. Page 3
Újabb kihívások az adatvédelem területén Feltörekvő új csatornák nyíltak meg, melyek biztonságába vetett hit legtöbbször megalapozatlan Applikáció biztonsága az eszközre vetítve A Bring Your Own Device A kibertámadások ötöde a kis- és középvállalatokat célozza, tanulmányok szerint ezen megtámadott vállalatok 60 százaléka az incidens elszenvedése után fél éven belül tönkremegy A kis- és középvállalkozások 87 százalékának nincs internet biztonsági szabályzata Ötödük elismeri, hogy nem tudnák megmondani, ha a hálózatuk támadás áldozatává válna 60 százalékuknak nincs előre definiált eljárásrendje arra az esetre, ha valamely kritikus tulajdonukat (legyen az informatikai eszköz, vagy adat) eltulajdonítják Mindennek ellenére a válaszadók csaknem fele úgy gondolja, nem lenne jelentős hatással az üzletmenetre egy adatvédelmi incidens Internet of Things (IoT) rohamos terjedése Rengeteg gyorsan formálódó ipari szabvány, ahol az interoperábilitás fontosabb minden másnál Az IoT-hullámot meglovagolva nagyon sok ipari kontroll rendszer kezd ezen szabványok alapján működni, vagy ezen eszközökkel is együttműködni, így akár beléptető- vagy fizikai hozzáférést ellenőrző rendszerek is Page 4
Szervezeti és szabályozási nehézségek Kisméretű szervezetek Az országon belüli szervezetek jó részénél az informatikai gárda mérete kisebb a nyugat európai országokban találhatóakhoz képest. A világméretű cégek legjobb gyakorlatai (best practices) közvetlenül nem átültethetőek Ezen nagyvállalatok bizonyos irányelvei, például a felelősségi körök elhatárolása (segregation of duties) átvétele nem megoldható, mivel egy adott szerepkör ebben a méretben nem tölti ki egy ember egész napi munkáját. A szabályozások egy része külföldi nyomásra érkezik A nemzetközi irányelveket értelemszerűen a jóval nagyobb vállalatok igényei alapján készítik, ellenben ezek az irányelvek később EU szinten is elfogadásra kerülnek. A jogszabályi nyomás gyakran ütközik a való élet által nyújtott lehetőségekkel Az előzőek miatt folyamatos feszültség tapasztalható, ami megnehezíti a szabályozások alkalmazását. Emiatt különféle kényszermegoldások születnek (külső adatvédelmi felelősök, stb.). Page 5
Gyors áttekintés A munkáltatót védő biztonsági és menedzsment folyamatok tekintetében egyértelmű kapcsolat van az adatszivárgás és a kihasználható vállalati gyengeségek között: Nem megfelelő menedzsment gyakorlat és vállalatirányítás Az auditfunkciók nem megfelelő kihasználása Védelmi kontrollok hiánya és gyenge biztonsági kultúra A foglalkoztatást megelőző szűrések hiánya Az üzleti ágazatok közötti nem megfelelő kommunikáció A humán kockázatot érintő tudatosság hiánya vezetői szinteken Page 6
Melyek a kritikus digitális vagyontárgyak? Digitális vagyontárgyak = Adat (fájlokban) + Kontextus (meta-adat formájában) forrás: computerweekly.com/blogs/cwdn/2013/09/what-is-a-digital-asset.html Kritikus digitális vagyontárgyak: Alapvető és kiemelten fontos fájlok, melyek komoly értéket képviselnek a Társaság számára bevétel generáló, üzleti működés vagy a szabályozás miatt. Általában szegmentáltak bizalmas vagy szabályzott adathalmazként Bizalmas: szellemi tulajdon, üzleti titok, üzleti stratégia, jogi ügyek, szerződések stb. Szabályzott: hitelkártya információk, személyes egészségügyi adatok, személyazonosításra alkalmas adatok stb. Massive incident of data fraud/theft, azaz az adatok nagymértékű eltulajdonítása egyike a Top 4 technológiai kockázatnak a World Economic Forum által kiadott The Global Risks Report 2016 szerint. 42% -a a válaszadóknak kulcsfontosságúnak tartja az összes vagyontárgy ismeretét az IT-biztonsági kihívások leküzdésében 56% -a a válaszadóknak kiemelten fontosnak tartja az adatszivárgás, adatvesztés megakadályozását a szervezetében Forrás: 2015 EY Global Information Security Survey Page 7
Kritikus információk védelmére szolgáló EY módszertan Az üzleti rugalmasság és folytonosság értékelése A tapasztalatok értékelése és azok megfelelő felhasználása A teljesítmény mutatók áttekintése, illetve azok eredményességének értékelése A kármentesítési és jogi végrehajtási értesítésekben, eljárásokban való közreműködés Helyreállítás Előkészítés A kulcsfontosságú érdekeltek, felelősök meghatározása A program értékelése, hatáskörének meghatározása A nagy értékkel bíró eszközök összegyűjtése Korábbi esetek áttekintése A magánéleti, jogi aggályok figyelembe vétele Szabályzatok és eljárások definiálása A tudatosság elősegítése, tréningek kidolgozása Válasz Védelem A hozzáférési jogosultságok szabályozottságának értékelése A munkatársak szűrésének elősegítése Felderítés A kulcsfontosságú teljesítmény mutatók meghatározása Válaszadási ütemterv végrehajtása Válaszadási ütemterv kialakítása A bejelentési és eszkalációs protokoll biztosítása A viselkedés elemzésére támaszkodó megelőző megfigyelések A kivizsgáláshoz szükséges bizonyítékok begyűjtése A műszaki és nem műszaki adatok befolyásolása Kárenyhítés, a kitettségi kockázat csökkentése A bennfentes tevékenységekkel kapcsolatos munkavállalói bejelentések vizsgálata Page 8
A kritikus digitális vagyontárgyak meghatározása, tárolása, értékelése Mi az ami értékes? Információ biztonság Besorolás Hozzáférés Ellenőrzés / átvilágítás Nyilvántartás Kulcs kifejezések (adatvesztés megelőzése) Kockázatok elvesztés, sérülés esetén Reputációs kockázat Pénzügyi kockázat Page 9
A kritikus digitális vagyontárgyak előfordulási helyének meghatározása Hol fordul elő ilyen adat? A szervezet tűzfalán belül? Harmadik félnél? Felhőben? Külső adathordozó eszközökön? A személyzet otthoni, saját számítógépén? Page 10
A kritikus digitális vagyontárgyak védelme Milyen adatok szorulnak védelemre? Milyen eszközök állnak rendelkezésre a szervezeten belül? Illeszkedik a vállalat stratégiájába, és kompatibilis a többi eszközzel? Miként kaphat folyamatos naprakész információkat a társaság a legértékesebb vagyontárgyairól különféle elemzések segítségével? Page 11
EY Reaktív kiberbiztonsági megoldások Cyber breach response management Impact assessment, Litigation support, Discovery Advisory Cyber investigation Cybercrime diagnostic, Fact finding, live interviews and evidence collection, Investigative planning and scope setting Cyber forensics Identification, preservation and collection, Transaction analysis and anomaly assessment, Computer forensics and compromise analysis Data recovery and remediation Data recovery, Remediation planning, Unstructured and structured data processing and hosting, Managed document review, Information governance Page 12
EY Proaktív kiberbiztonsági megoldások Security Transformation Cyber Program Assessments, Strategic planning, Managed security services Cyber Threat Management Cyber Exercise, SoC (SIEM, DLP, IDS/IPS, Firewall, Security architecture), Penetration testing Information Protection and Privacy Data loss prevention assessments, Privacy assessments (Cloud, IoT), Data protection strategy, Asset management Resilience Technology resilience, Business impact analysis Page 13
Köszönöm a figyelmet Page 14