adat és információvédelmi mesteriskola 30 mb · adat és információvédelmi mesteriskola...

Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola

SZERVEZETI-SZERVEZÉSIVESZÉLYFORRÁSOKÉSAZELLENÜKALKALMAZHATÓVÉDELMIMÓDSZEREK

Dombora Sándor

2018.08.22.

30MBAdat és Információvédelmi Mesteriskola


Tartalom

• Biztonságiszervezetésműködés• Titokvédelemésiratkezelés• Szabályozás,szervezetiműködés• Emberihibák,humánvédelmimódszerek• Harmadikféllelkötöttszerződések• Jogszabályok

2018.08.22. 2


Aműködésgyakranszabályozatlan

• Aszervezetnemismerisajátműködését,működésifolyamatait,erőforrásait.

• Aszervezetifelépítésnemegyértelmű.• Nincsenektisztázvaafeladatok,felelősségek,hatáskörökéserőforrások.

• Szigetszerűmegoldások.• Aszabályozásokhiányaill.ellentmondásai.• „Tipikusgyalogságihelyzet:senkinemtudsemmit.”

„Aztsemtudjuk,hogy

működünk”

3

„Ad hoc” szervezeti működés


Rendelkezésreállásiprobléma?!

4

• Index:2006.augusztus21.,hétfő21:40:• Azaugusztus20-itűzijátékközbenbekövetkezett,négyhalálosáldozatotkövetelőkatasztrófafelelőseitkeresőkormányzativizsgálatmegállapította,hogyarendezvénytszervező,ésatűzijátékotfelfüggesztő, majdújraindító********mindentmegfelelőencsinált,viszontaztérdemesvolnakivizsgálni,hogyameteorológiai intézetfigyelmeztetésénekmiértnemlettfoganatja.Ameteorológusok ugyanisbárnemigazánkonkrétan,deküldtekegyfigyelmeztetőe-mailtakatasztrófavédelemnek,ámaztcsakórákkalaviharutánolvastákel.Politikaifelelőseiislehetnénekakatasztrófának,haszóltakvolnanekikaviharról.

• AzOMSZriasztásaite-mailenazOrszágosKatasztrófavédelmiFőigazgatóságnak(OKF)küldi,azOMSZelnökeszerintösszhangbanafebruár1-tőlhatályosriasztásirenddel.

Riasztáse-mail-ben?

„Ad hoc” szervezeti működés


Előfordul,hogybiztonságnemkapjamegakellősúlytaszervezetéletében(1)

5 veszélyforrások

Gyenge biztonsági szervezet


Előfordul,hogybiztonságnemkapjamegakellősúlytaszervezetéletében(2)

• Nincsintegráltbiztonságiszervezet• Avagyonésadatbiztonságegymástólfüggetlenülműködik ill.afunkciókösszekeverednek

• Azadatvédelemésadatbiztonságszétválasztásánakhiánya• Biztonságiellenőrzésekhiánya• Biztonságiszervezetek(tűzvédelmi,polgárivédelmihiánya,gyengesége• Biztonsággalkapcsolatosdokumentumok hiánya:BiztonságiStratégia,BiztonságiPolitika,Biztonságiátvilágítás,Katasztrófaterv,IBSZ…

• Szabályozásokhiányosságai,aszabályokbenemtartása• Amunkakörökésszakmaikompetencianemteljesenfüggössze• Amunkakörileírásésaténylegestevékenységnemegyezikmeg• Segregation ofduties• Nemmegfelelőoktatás

Tipikushiba-

jelenségek

6

Gyenge biztonsági szervezet

Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola7

AzITbiztonságifeladatokatszervezethezésszemélyekhezkellkötni

• Abiztonságértaszervezetelsőszámúvezetőjefelelős.• Abiztonságivezetőésazadatvédelmi(titokvédelmi)felelősazelsőszámúvezetőközvetlenalárendeltje.

• Azinformatikaibiztonságnemazinformatikaiszervezetalegysége.

• Azinformatikaibiztonságésavagyonbiztonságnemelkülönültegység.

• Abiztonságiszervezetfeladatai• avédelmiintézkedésekmeghatározása,betartatása;• abiztonságieseményekkezelése;• követés,naprakészségbiztosítása;• …

AzITbiztonságiszervezet

Biztonsági szervezet és működés


Atitokvédelemnemmegfelelőenszabályozott

• Nincsenekosztályozvatitokvédelmiszempontbólazadatok,alkalmazások,eszközök,helyiségek(Hanincsmeghatározva,hogyMITkellvédeni,nemlehetmegmondani,hogyHOGYAN)

• Atitokvédelmimunkatárselhelyezkedése aszervezetihierarchiábannemmegfelelő(nemazelsőszámúvezetőközvetlenalárendeltje- nincsmegfelelő jogköre,létezéseformális)

• (Apapíralapúdokumentumokkezeléseáltalábanjobbanszabályozott!!!)

Miszámít

titoknak?

8

Titokvédelmi és iratkezelési hiányosságok


Atitkosügyiratkezelésspeciáliskompetenciátigényel

9

Titokvédelmi és iratkezelési hiányosságok


Atitokvédelemtradicionálisprobléma(1)

• Azadatokat,alkalmazásokat,eszközöketéshelyiségeketosztályozni,minősítenikell.

• Azosztályozásalapjaatitokvédelemről,azüzletititokról,aszemélyesadatokról,abanktitokrólszólójogszabályokéssajátüzletiérdek.

• Azalkalmazásokvédelmiosztályozása:milyenosztálybatartozóadatokatkezel(alegerősebb).

Nemcsakaz

adatokatkell

osztályozni

Titokvédelem



• Titkos(pl.államtitok,üzletititok)• Bizalmas(pl.szolgálatititok,személyesadatok)• Belsőhasználatra• Nyilvános

Adatvédelmiosztályok(adatokra,

alkalmazásokraéseszközökre)

• Zárt• Kiemeltenellenőrzött• Ellenőrzött• Nyilvános

Helyiségekosztályozása

Titokvédelem



• IratkezelésiUtasításszükséges(elektronikusiratokelőállítására,feldolgozására,továbbítására,megsemmisítésére iskitér)

• Kritikusprobléma:áttéréselektronikusrólpapíralapúraésviszont• Papíralapúoutputokelőállítása• Aminősítéstfelkelltüntetniapapíralapúiraton

Kiindulás:azadatok

titokvédelmiosztályozása

Titokvédelem


Példa:NAIHadatvédelmibírság

Iratkezelés


Hogyankaphategyfelhasználóhozzáféréseket?

Szabályozás


Milyenajószabályzatrendszer

• Konzisztens• Lényegretörő• Betarthatószabályokattartalmaz• Végrehajtható,szerepkörhözrendeltmunkafolyamatokattartalmaz

• Amunkatársaknakcsakarájukvonatkozószabályokatéseljárásokatkellismerniük

• Összhangbanvanajogszabályikörnyezettel• Összhangbanvanabevezetettszabványokkal

Számosszabályzatból

álló,konzisztensrendszerszükséges

Szabályozás


Aszabályozásnakösszhangbankelllennieajogszabályokkalésmásszabályozásokkal

• Informatikaibiztonságipolitika• IBSZ(InformatikaiBiztonságiSzabályzat)• ITüzemeltetésiszabályzat• Felhasználóiszabályzat• Hozzáférésiszabályzat• Változáskezelésiszabályzat• Incidenskezeléseiszabályzat• Kockázatkezeléseiszabályzat• Katasztrófakezelésiszabályzat• Mentésiszabályzat• …

Számosszabályzatból

álló,konzisztensrendszerszükséges

Szabályozás


Amunkatársakrosszhiszeműek?

• Külsőtámadó• Belsőrosszhiszeműmunkatárs

• Belsőjóhiszeműmunkatárs

• Együtt…

Akárokkeletkezésbenközreműködők

17

Emberi hibák


Jellemzőhibaelkövetőszemélyiségtípusok(1)

•Munkájukmegkönnyítéseérdekébennemfoglalkoznakabiztonságiszabályokkal.

• Véletlenüladjákkiazinformációtelvesztetteszközökön(laptop,okostelefon, CDlemez,USBstick)keresztül.

• Adatokathagynakaleselejtezett,lecseréltszámítógépeken.•Nemelégkörültekintőenosztjákmegazadatokatharmadikféllel.• Védelemnélkül küldenek adatokatnyilvános szolgáltatókonkeresztül

Hanyag

•Szándékosanmegkerülikabiztonságielőírásokat,aztgondolva,hogyezzelhatékonyabbantudjákszolgálniavállalatérdekeitéssajátkarrierjüket.(Példáultitkosításokelhagyása,clear desk policyfigyelmenkívül hagyása.)

• Kiviszik azadatokatabiztonságoskörnyezetből,hogyirodánésmunkaidőn kívül isdolgozhassanak

Túlbuzgó

18

Emberi hibák


Jellemzőhibaelkövetőszemélyiségtípusok(2)

• Célpontjailehetnekasocial engineeringnek• Általábansegítőszándékkaladjákkiakódokat,információkat,abbanahitben,hogyaszervezetérdekébencselekszenek.

Manipulálható

• Sajátosetikaimegfontolásokalapjánadjákkiabizalmasadatokatanyilvánosságszámára.(Aszivárogtatásokáltalábanvalamilyenközösségiszolgáltatásonkeresztülzajlanak.)

Sajátosetikaimegfontolásokat

követő

19

Emberi hibák


Példákahumánerőforrásokvisszaéléseire(1)

20

Emberi hibák


Példákahumánerőforrásokvisszaéléseire(2)

21

Emberi hibák


Ahumánerőforráslehetkiindulásaéscéljaisafenyegetéseknek(1)

• Ahumánerőforrásokbizalmassága(személyesadatok,feladatkörökstb.),sértetlensége (sérülés),rendelkezésreállása(sérülés,betegség,haláleset, túszejtés,sztrájkstb.)sérülhet

Ahumánerőforrásazinformatikairendszer

egyikeleme

22

Emberi hibák


Ahumánerőforráslehetkiindulásaéscéljaisafenyegetéseknek(2)

• Nemmegbízható,nemlojálismunkaerőalkalmazása(erkölcsibizonyítvány?,előzőmunkahely?,életvitel,pénzügyizavarstb.)

• Nemmegfelelőenképzett,nemelegendőgyakorlattalrendelkezőmunkatársalkalmazása,abiztonságitudatossághiánya,védtelenségasocial engineeringellen…

Ahumánerőforrásazinformatikairendszerrefenyegetést

jelent

23

Emberi hibák


Ahumánerőforráslehetkiindulásaéscéljaisafenyegetéseknek

Ahumánerőforrásjelentettefenyegetéstsajátostényezőkfokozzák

• Digitálisírástudatlanság,informatikaiszakadék,azinformációstechnológiavívmányaihozvalóhozzáféréshiánya,azinnoválhatótudáshiánya(azmultimédiáseszközöklustítjákazagytevékenységet.)

• Azinformációstúlterheltségnegatívhatásai• Azinformációstechnológiaeszközeinekfelhasználásávalösszefüggőpszichikai,fiziológiaiésegészségügyijellegűveszélyek

• Azinformációstechnológiákkalszembeniidegenkedés,bizonytalanság

24

Emberi hibák


Hogyanbiztosíthatóahumánerőforráslojalitása?(1)

• Háttérellenőrzés,referenciákbekérése,erkölcsibizonyítvány,folyamatbanlevőbűnügyieljárásellenőrzése

• Titoktartásinyilatkozat(amunkaviszonymegszüntetéseutániidőszakrais)

• Nyilatkozatabiztonságikövetelmények ismeretéről• Érdekütközésinyilatkozat(nincsolyanérdekeltsége,amelynemteszilehetővéatervezettmunkakörbetöltését)

• Szakmaiésemberikompetenciavizsgálat

Munkaviszonylétesítésekor(Felvételipolitika)

Humán védelmi módszerek



• Védelmi intézkedésekamegbízhatóságfenntartásaérdekében

• Teljesítménykövetés• Karriermenedzsment– lojalitás,kötődés• Szakmaikompetenciaésfeladatokközöttikonzisztenciabiztosítása

• Képzések• Munkakörileírásoknaprakészsége• Egymástkizáróbiztonságkritikusmunkakörökfigyelembevétele(Segregation ofDuties)

Munkaviszonyalatt

Szabályozás



• Jogosultságok,accountokvisszavonása(felmondásiidő:legalábbkorlátozás)

• Megszüntetési interjú:(nyilatkozatavállalatidokumentumokésadathordozókvisszaszolgáltatásáról,kilépésutánititoktartásról)

• Vállalati tulajdonvisszavonása(beléptetőkártya,kulcsokis)

• Törlésafizetésilistáról• Amunkatársakértesítése akilépéstényéről

Munkaviszonymegszüntetésekor

Szabályozás


Azinformatikátérintőoutsourcingszerződésekkritikusak(1)

• Afejlesztésikörnyezetrevonatkozóbiztonságikövetelmények

• Amegbízóellenőrzésijogosultságánakelismerése• Afejlesztés tárgyáravonatkozóbiztonságikövetelmények

• Fenyegetettségmentességinyilatkozatazátadás/átvételkor

Outsourcingfejlesztésimegbízás

• Abiztonságikörnyezetrevonatkozókövetelmények(humán,fizikai,logikaileválasztás)

• Amegbízóellenőrzésijogosultságánakelismerése• Megfelelőerősségűhumán,fizikaiéslogikaivédelmiintézkedésekmegtétele

Outsourcingüzemeltetésimegbízás

Harmadik féllel kötött szerződések


Azinformatikátérintőoutsourcingszerződésekkritikusak(2)

• AszolgáltatóalárendeléseamegbízóBiztonságiPolitikájának

• Aszolgáltatójogosultságainakkorlátozása,rögzítése

• Ellenőrzésilehetőségbiztosítása

Outsourcingkarbantartási,rendszerkövetési

megbízás

• AmunkaerőalárendeléseamegbízóBiztonságiPolitikájának,nyilatkozatennekelfogadásáról

• Számokérési,szankcionálásilehetőségbiztosítása

Munkaerőbérlés/

kölcsönzés



Azinformatikaibiztonságigaranciákgyakranhiányoznakaszerződésekből

• Szállításiszerződések- beszerzések•Outsourcing szerződések:fejlesztői,karbantartási,üzemeltetési•Amegbízóhatáskörénkívül esőbiztonságikörnyezetkérdésenincskezelve

•Abiztonságikövetelményekérvényesítése,aszámonkérhetőségbiztosíthatóságahiányzik

•Aszervezetterületén„idegenszakemberek”,hozzáférnekarendszerhez.Abiztonságiszabályzatokbetartatásaproblematikus.

•Aszervezetbizalmasadataihoz„idegenszakemberek”,hozzáférnek.Abizalmasságikövetelményekbetartásaproblematikus

Tipikusantöbbféleszerződésérvényes

•Azüzletitevékenységmegszakadásáravonatkozóanaharmadikfélnemvállalgaranciát-- vismaiorrahivatkozik

•Atermékhibájaeseténcsakatermékértékéigvállalkártérítést

Korlátozottfelelősségvállalás

30

Szerződések gyengeségei


Azinformatikaibiztonságotkezelnikellaszerződésekben

• Megfelelővédelmiintézkedésekabiztonságikörnyezetben

• Megfelelővédelmiintézkedésekafeladatvégrehajtásasorán

• Megfelelővédelmiintézkedésekavégtermékben

Aszerződéseknekgaranciákatkelltartalmaznia



Elfogadhatófeltételek?

Szervezeti-szervezési veszélyforrások elleni módszerek



Atörvényikötelezettségekgyakranfigyelmenkívülvannakhagyva(1)

2011.éviCXII.törvényazinformációsönrendelkezési jogrólésazinformációszabadságról(Infotv.)

2001éviXXXV.törvény:Azelektronikusaláírásról

1999.éviLXXVI.törvényaszerzőijogról

AZEURÓPAIPARLAMENTÉSATANÁCS(EU)2016/679RENDELETE (2016.április27.)– GDPR

2013.éviL.törvény(Ibtv.)

33

Jogszabálysértés


Atörvényikötelezettségekgyakranfigyelmenkívülvannakhagyva(2)

41/2015.(VII.15.)BMrendelet- azállamiésönkormányzatiszervekelektronikusinformációbiztonságárólszóló2013.éviL.törvénybenmeghatározotttechnológiaibiztonsági,valamintabiztonságosinformációseszközökre,termékekre,továbbáabiztonságiosztálybaésbiztonságiszintbesorolásravonatkozókövetelményekről

26/2013.(X.21.)KIMrendelet- azállamiésönkormányzatiszervekelektronikusinformációbiztonságárólszólótörvénybenmeghatározottvezetőiésazelektronikusinformációsrendszerbiztonságáértfelelősszemélyekképzésénekéstovábbképzésénektartalmáról

Ágazatitörvények…

34

Jogszabálysértés


Példatörvénysértésre

35

Jogszabálysértés


Példa:NAIHadatvédelmibírság

Iratkezelés


Mitjelentasocialengineering?

ASocial Engineering (SE)nemmás,mintannakaművészeteéstudománya,hogymikéntvegyünkrászemélyeketarra,hogyamiakaratunknakmegfelelőencselekedjenek.

Támadásimódszer,amelyazemberihibák,gyengeségek,tájékozatlanság,hiszékenység,felelőtlenségaktívkihasználásáraépül.

37


Asocialengineeringnektipikusforgatókönyvevan

Információszerzés

Kapcsolat-építés

Akapcsolatkihaszná-

lása(felhaszná-

lása)

Végrehaj-tás,ater-vezettcélmegva-lósítása

Start

38


Azinformációszerzéssorántörvényeséstörvénytelenmódszereketisalkalmaznak(1)

• Aszervezetweboldala• Üzletipartnerekweboldalai• Telephellyelkapcsolatosinformációk(Google Map)• Telefonszámok,kontaktszemélyek,e-mailcímek,munkatársak• Aktuálisesemények(pl.sajtóközlemények)• Nyilvánosanelérhetőműszakiinformációk(szabályzatok,szabványok,stb.)

• Alkalmazottaktólkiszivárgóinformációk(pl.fórumok,blogok,iWiW,Facebook)

• Keresőkáltalszolgáltatottinformációk(pl.Google hacking)• …

Törvényesmódszerek

39


Azinformációszerzéssorántörvényeséstörvénytelenmódszereketisalkalmaznak(2)

• Megtévesztésselszerzettinformációk(telefonhívás,személyesismeretség)

• Hackermódszerek• Illegálisbejutásatelephelyre• Vagyontárgyakeltulajdonítása(notebook,okostelefon,dokumentáció)

• …

Törvénytelenmódszerek

40


Akapcsolatépítéssoránacélszemélyakarataellenéresegítségetnyújt

• Kíváncsiság• Tudatlanság• Gondatlanság• Sértődöttség• Bosszú• Segítőkészség• Ajómegítélésmegszerzése• Ellenszolgáltatáselvárása(azellenszolgáltatástipikusanegysemmiség)

• Amorálisbűnösségérzésénekelkerülése• Afelelősségelhárítása

Miértnyújtsegítségetacélszemély?

41


Akapcsolatépítéstnégyfőtényezősegítheti,mindabizalommegszerzéséreirányul

1• Atámadóacélszeméllyelszembenkonstruktívanésnemtámadószellembenlépfel

2• Korábbiaprószívességeket• Kedvességszolgáltunkacélszemélyfelé

3• Azemberségünkhangsúlyozása• Megértőviselkedés,nemcsupánegyhangatelefonban

4• Gyorsalkalmazkodásakialakultszituációhoz

42


Akapcsolatkihasználásaamegszerzettbizalomraépül

• Olyaninformáció/eszközmegszerzése,amelynekbirtokábanatervezettcélmegvalósítatható• Jelszavak• Fizikaibejutáshozszükségeskód• Kulcs• Beléptetőkártya• Megszemélyesítéshezszükségesadatok

Cél:avégsőcéleléréshezszükségeseszközmegszerzése

43


Akapcsolatkihasználásaamegszerzettbizalomraépül

• Illegálisbelépésarendszerbe(fizikai,logikai)• Manipulációelvégzése(adatmanipuláció,adathordozóeltulajdonításstb.)

• Dokumentumoklemásolása• Tranzakciómegvalósítás• Anyomokeltüntetése

Avégsőcélelérése,azeredményrealizálása

44


Tipikussocialengineeringtámadásiminták(1)

• Atámadótelefononpróbálolyaninformációkhozhozzájutni,melyeksegítenekatámadáscélpontjáulszolgálószeméllyelkapcsolatotépítenivagyatámadássoránkésőbb felhasználhatóaklesznek.

• Illetékeseknevei,elérhetőségei,azonosítói(esetlegjelszavai),munkaidő-beosztása,helyettesítőivagyhozzáférésimódokstb.

Direkttelefonosmegkeresés

• Acélzottlevélatámadáscélpontjáulszolgálószemélyrészére• Egyszerűkérdőívnekálcázottlevél:születésidátum,aházikedvencneve,autójatípusa,kedvenchírportálja(aholaztánafórumbanesetlegmegtalálható)

• Motivációakitöltésre:nyereménylehetőség,ajándék

Célzottlevél

• Azirodaihulladékánakátvizsgálása:belsőlevelezés,naptárbejegyzések,feljegyzések,szervezetiábrák

• Cél:acélszemélymunkahelyiéletébetörténőminélmélyebbbelátás• Akésőbbitámadássoránazadottkörnyezetben történőeligazodás

DumpsterDiving (kuka-átvizsgálás)

45



• Alkalmazásáhozfizikailagacélszemélyközelébekellkerülni• Példáulegyolcsóajándékkikézbesítésesorán(karácsonyiajándékazügyfélvezetőjének)

• Akárdokumentumok, eszközök, jelszavakbirtokábaislehetígyjutni

ShoulderSurfing

(„vállszörf”)

• EgyigazimunkatársnevébentörténőtelefonaServiceDesknek,hogyelfelejtetteajelszavátéskéri,hogyadjanaknekiegyújat

Megszemélye-sítés

• Atámadómegszerziegyfontosembernevétésbeosztását,majdfelhívjaacélszemélyt,hogyFontosEmber(vezető)kéréséreazonnaladjákodaakövetkező adatokat

• Amódszerkülönösen akkorhatékonyhaFontosEmberéppenszabadságonvan

FontosEmber

46



• AServiceDesk nevébenegymunkatársfelhívása,hogyazonnal(pl.későeste)bekelljönnieésbekelljelentkeznie,egyébkéntkieséskövetkezikbe.Alternatívmegoldáskéntmegadhatjafelhasználónevétésajelszavát…?

• AServiceDesk nevébenegymunkatársfelhívásaéstesztretörténőhivatkozássalajelszóelkérése

MivagyunkaHelp-Desk

47

Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.08.22. 48

Köszönöm a figyelmet!

adat és információvédelmi mesteriskola 30 mb · adat és információvédelmi mesteriskola...

Documents