Dr. Kollár Csaba PhD. Az információbiztonság-tudatosság fejlesztése a vezetők körében a GDPR fókuszában M e g ú j u l á s é s f e n n t a r t h a t ó s á g V I I I. O r s z á g o s Ta n á c s a d ó i K o n f e r e n c i a 2 0 1 6. o k t ó b e r 2 6. B u d a p e s t i K e r e s k e d e l m i é s I p a r k a m a r a B u d a p e s t Miről lesz szó? Elméleti alapvetés GDPR, személyes adatok, információvédelem A vezetők véleménye a digitális korról és az információbiztonságról Alapvető social engineering technikák és megelőzési lehetőségek Az információbiztonság-tudatosság fejlesztése 1
és miről nem? ELMÉLETI ALAPVETÉS 2
Az adatot körbe vevő rendszerelemek* Fizikai környezet és infrastruktúra Személyi környezet ADAT Hardverés szoftverrendszer Kommunikációs és hálózati rendszerek *Muha Lajos Információbiztonság Dokumentum Elektronikus Személyes Adathordozók Dokumentumok és dokumentáció Fizikai 3
Emberi erőforrás kritikus területei* Tudatlanság, szakképzetlenség, Emberi hanyagság és figyelmetlenség Segítőkészség Hiszékenység, naivság Befolyásolhatóság Bosszúállás Kényelmesség *Oroszi Eszter Általános adatvédelmi rendelet A természetes személyek személyes adataik kezelésével összefüggő védelme alapvető jog. 99. cikk Hatálybalépés és alkalmazás: Ezt a rendeletet 2018. május 25-től kell alkalmazni. 83. cikk A közigazgatási bírságok kiszabása: Valamennyi felügyeleti hatóság biztosítja, hogy a kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek. A rendelkezések megsértése legfeljebb 10.000.000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni. 4
EGY KUTATÁS EREDMÉNYEI* *Poór József, Kollár Csaba (2016) Alapvetés Szervezetek a digitális korban 2015. december 2016. január Nagymintás online kutatás 406 értékelhető kérdőív Vezetők körében 5
Alapadatok Átlagéletkor: 36 év Legfiatalabb: 22, legidősebb 75 éves Felsőfokú végzettség: 85% Egytizedük dolgozik az információ és a kommunikáció területén Önállóság a legfontosabb Vállalatirányítás Döntésekbe bevonni másokat is (52%) Világos, autoriter vezetés (18%) Hosszú távra történő tervezés és kiszámíthatóság (33%) Teljesítményalapon történő értékelés alapján (33%) Javadalmazás Fiatalabbaknál (életkor alsó negyede): munkáért járó azonnali elismerés 6
Lojalitás 60%-a lojális, de nyitott a változásra, ha: Versenyképes ajánlatot kap (41%) Esélyei nem csökkennek (27%) Csoportmunka Hangsúly: elvégzett munka és a projektszemlélet (25%) Mit jelent a technológia Internet és az interaktív megoldások jelentik a technológiát (55%) Technológia áll a fókuszban (17%) Vezető viszonya a digitális korhoz (Belső) híreket osztanak meg egymással intraneten, e-mailen keresztül A vállalatot folyamatosan átalakítják a digitális kor igényeinek megfelelően A közösségi média használatának vállalati szintű elindítása 7
CLOUD felhő SECURITY biztonság AR Kiterjesztett valóság DIGITÁLIS KOR MOBILE mobil szolgáltatás és alkalmazás ANALYTICS elemzés SOCIAL MEDIA közösségi média Felhő Vezetők egy kisebb része nem tudja, mi az Tudja, mi az: bárhonnani elérhetőség, platformfüggetlenség, hozzáférési jogok 1%-nál kevesebb írt a veszélyekről és az információbiztonságról Big Data analitika 20-25% nem ismeri Ismeri: szofisztikált adatbányászat, algoritmusok használata, megalapozottabb döntések támogatása 8
Mobileszközök és -alkalmazások Vezetők tájékozottabbak a többi területhez képest Használják az eszközöket Egy részük ismeri és rendszeresen használja az alapvető alkalmazásokat Közösségi média Fiatalabbak jól ismerik Idősebbek: jobban kellene ismernem, én már ebből kinőttem Kiterjesztett valóság A jövő eszköze, A jövő lehetősége Adatvédelem Hálózati biztonság Informatikai rendszer Belépési kódok Vírusvédelem Biztonság Nem került említésre: információbiztonság humán aspektusa, social engineering 9
SOCIAL ENGINEERING TÁMADÁSOK A vállalat közvetlen környezetében levő helyeken információszerzés a munkatársaktól munkatársak felkészítése az ilyen szituációkra, a beszélgetésből a csoportba nem illő idegen személyek kizárása, a beszélgetés témái nem a vállalathoz, hanem pl. a kollégák érdeklődési köréhez kötődnek, a kollégák belépési kártyáit (névvel, arcképpel ellátott igazolványok) a beléptetésen/azonosításon kívül úgy kell magánál tartania, hogy a rajta levő adatokat senki ne lássa. Ha a belépési kártya elveszik, azonnal jelenteni kell, mellőzni kell az üzleti ebédeket olyan helyeken, ahol nem biztosítható a beszélgetés intimitása (bár technikailag valamennyi étteremben könnyen le lehet hallgatni a beszélgető feleket). 10
Illetéktelen behatolás a vállalat védett/őrzött területeire szigorú beléptetési rend (pl.: személyi azonosító okmányok elkérése), a látogató szűkszavú tájékoztatása (nem kell elmondani a cég történetét és a pletykákat), a látogatottat fogadó kolléga telefonos felhívása annak érdekében, hogy valóban vár-e látogatót, látogatók nevének leadása a biztonsági szolgálatnak a látogatást megelőzően, az üresen hagyott irodák kulccsal zárása, az üresen hagyott irodában levő számítógépek kikapcsolása, vagy alvó állapotba helyezése oly módon, hogy az alvó állapot csak jelszó begépelése után oldható fel, az irodában keletkezett irodai hulladék (pl.: szerződések, tervezetek, beszámolók) szakszerű megsemmisítése. Illetéktelen behatolás a távmunkában (is) dolgozó személyek otthonába, otthoni irodájába tudatosítani a munkavállalóban a támadás lehetőségét, a munkaeszközként használt vállalati info-kommunikációs eszközök fokozott védelme (pl.: jelszavas belépés, ellopás esetén nyomkövetés, kamera és/vagy mikrofon távolról vezérelhető bekapcsolása), szükség esetén anyagilag is támogatni a munkavállaló otthoni munkakörnyezetének a védelmét, illetve iratmegsemmisítő beszerzését, szabályozni, hogy a távmunkában dolgozó munkavállaló mely platformokat mely helyszíneken használhat munkavégzésre. 11
Partnertől (pl.: beszállító, szervezeti vásárló) érkező támadás szándékos támadás a partner részéről a partner jóhiszeműségét, figyelmét kihasználó támadás, amikor a fenti esetek valamelyike révén a támadó nem a csak a vállalatot, hanem annak partnereit is megtámadja Nem a fizikai világban levő munka- és szabadidős tevékenységek végzésére, azok regisztrálására, kapcsolattartásra, stb. alkalmas felületek Vezető kapcsolatrendszere család rokonok egykori iskolatársak stb 12
AZ INFORMÁCIÓBIZTONSÁG-TUDATOSSÁG FEJLESZTÉSE Lehetőségek Tantermi előadások E-learning kurzusok Gyakorlati feladatok Tanácsadás Coaching 13
Coaching/tanácsadás I. Alapkérdések: ki, mit, mikor, hol, miért, hogyan, esetleg: mennyiért, milyen céllal Esettanulmány megismertetése és közös feldolgozása A coach megoszthatja saját és/vagy ügyfelei körében tapasztalt eseteket A megbízó saját esetének elemzése, újbóli eljátszása Szakirodalom olvastatása Releváns rövidfilmek megnézettetése Agendázás, naptárelemzés Naplóírás Coaching/tanácsadás II. Fókuszáltató, orientáló kérdések Coach modellek Csoportos módszerek Gamification Brainstorming 14
2019-re* 2,6 milliárd okostelefon 51,5% internethozzáférés 63,4% mobiltenternetezés 42 millió gigabájt globális adatforgalom 20 exabájt/hó mobil adatforgalom Éves kár: 1000 milliárd USD *Statista, EMC 15
Köszönöm megtisztelő figyelmüket! Dr. Kollár Csaba PhD. vezető tanácsadó, coach, mediátor info@drkollar.hu https://www.linkedin.com/in/drkollarcsaba http://www.slideshare.net/drkollarcsaba Felhasznált képek forrása https://www.lookingglasscyber.com/blog/brandprotection/white-paper-sneak-peek-top-2016-informationsecurity-predictions/ http://tanhalaw.com.vn/tai-nguyen/bai-viet-hoc-thuat/ http://www.hutui6.com/data/out/115/67752007-librarywallpapers.jpg http://www.mindbasedhealing.com/images/research- Hypnotherapy-MS.jpg http://www.ibanet.org/imagehandler.ashx?imageuid=3d8381 92-ee5c-4f96-a1af-cd38311527ec https://qph.ec.quoracdn.net/main-qimg- 2d575da5f58dfefe36bed51c64787e3a?convert_to_webp=true http://m.cdn.blog.hu/mi/mirtylphoenix/image/_my_missing_p art_by_fabriloddo.jpg 16