adat és információvédelmi mesteriskola 30 mb · adat és információvédelmi mesteriskola...
TRANSCRIPT
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
SZERVEZETI-SZERVEZÉSIVESZÉLYFORRÁSOKÉSAZELLENÜKALKALMAZHATÓVÉDELMIMÓDSZEREK
Dombora Sándor
2018.08.22.
30MBAdat és Információvédelmi Mesteriskola
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Tartalom
• Biztonságiszervezetésműködés• Titokvédelemésiratkezelés• Szabályozás,szervezetiműködés• Emberihibák,humánvédelmimódszerek• Harmadikféllelkötöttszerződések• Jogszabályok
2018.08.22. 2
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Aműködésgyakranszabályozatlan
• Aszervezetnemismerisajátműködését,működésifolyamatait,erőforrásait.
• Aszervezetifelépítésnemegyértelmű.• Nincsenektisztázvaafeladatok,felelősségek,hatáskörökéserőforrások.
• Szigetszerűmegoldások.• Aszabályozásokhiányaill.ellentmondásai.• „Tipikusgyalogságihelyzet:senkinemtudsemmit.”
„Aztsemtudjuk,hogy
működünk”
3
„Ad hoc” szervezeti működés
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Rendelkezésreállásiprobléma?!
4
• Index:2006.augusztus21.,hétfő21:40:• Azaugusztus20-itűzijátékközbenbekövetkezett,négyhalálosáldozatotkövetelőkatasztrófafelelőseitkeresőkormányzativizsgálatmegállapította,hogyarendezvénytszervező,ésatűzijátékotfelfüggesztő, majdújraindító********mindentmegfelelőencsinált,viszontaztérdemesvolnakivizsgálni,hogyameteorológiai intézetfigyelmeztetésénekmiértnemlettfoganatja.Ameteorológusok ugyanisbárnemigazánkonkrétan,deküldtekegyfigyelmeztetőe-mailtakatasztrófavédelemnek,ámaztcsakórákkalaviharutánolvastákel.Politikaifelelőseiislehetnénekakatasztrófának,haszóltakvolnanekikaviharról.
• AzOMSZriasztásaite-mailenazOrszágosKatasztrófavédelmiFőigazgatóságnak(OKF)küldi,azOMSZelnökeszerintösszhangbanafebruár1-tőlhatályosriasztásirenddel.
Riasztáse-mail-ben?
„Ad hoc” szervezeti működés
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Előfordul,hogybiztonságnemkapjamegakellősúlytaszervezetéletében(1)
5 veszélyforrások
Gyenge biztonsági szervezet
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Előfordul,hogybiztonságnemkapjamegakellősúlytaszervezetéletében(2)
• Nincsintegráltbiztonságiszervezet• Avagyonésadatbiztonságegymástólfüggetlenülműködik ill.afunkciókösszekeverednek
• Azadatvédelemésadatbiztonságszétválasztásánakhiánya• Biztonságiellenőrzésekhiánya• Biztonságiszervezetek(tűzvédelmi,polgárivédelmihiánya,gyengesége• Biztonsággalkapcsolatosdokumentumok hiánya:BiztonságiStratégia,BiztonságiPolitika,Biztonságiátvilágítás,Katasztrófaterv,IBSZ…
• Szabályozásokhiányosságai,aszabályokbenemtartása• Amunkakörökésszakmaikompetencianemteljesenfüggössze• Amunkakörileírásésaténylegestevékenységnemegyezikmeg• Segregation ofduties• Nemmegfelelőoktatás
Tipikushiba-
jelenségek
6
Gyenge biztonsági szervezet
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola7
AzITbiztonságifeladatokatszervezethezésszemélyekhezkellkötni
• Abiztonságértaszervezetelsőszámúvezetőjefelelős.• Abiztonságivezetőésazadatvédelmi(titokvédelmi)felelősazelsőszámúvezetőközvetlenalárendeltje.
• Azinformatikaibiztonságnemazinformatikaiszervezetalegysége.
• Azinformatikaibiztonságésavagyonbiztonságnemelkülönültegység.
• Abiztonságiszervezetfeladatai• avédelmiintézkedésekmeghatározása,betartatása;• abiztonságieseményekkezelése;• követés,naprakészségbiztosítása;• …
AzITbiztonságiszervezet
Biztonsági szervezet és működés
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Atitokvédelemnemmegfelelőenszabályozott
• Nincsenekosztályozvatitokvédelmiszempontbólazadatok,alkalmazások,eszközök,helyiségek(Hanincsmeghatározva,hogyMITkellvédeni,nemlehetmegmondani,hogyHOGYAN)
• Atitokvédelmimunkatárselhelyezkedése aszervezetihierarchiábannemmegfelelő(nemazelsőszámúvezetőközvetlenalárendeltje- nincsmegfelelő jogköre,létezéseformális)
• (Apapíralapúdokumentumokkezeléseáltalábanjobbanszabályozott!!!)
Miszámít
titoknak?
8
Titokvédelmi és iratkezelési hiányosságok
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Atitkosügyiratkezelésspeciáliskompetenciátigényel
9
Titokvédelmi és iratkezelési hiányosságok
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola10
Atitokvédelemtradicionálisprobléma(1)
• Azadatokat,alkalmazásokat,eszközöketéshelyiségeketosztályozni,minősítenikell.
• Azosztályozásalapjaatitokvédelemről,azüzletititokról,aszemélyesadatokról,abanktitokrólszólójogszabályokéssajátüzletiérdek.
• Azalkalmazásokvédelmiosztályozása:milyenosztálybatartozóadatokatkezel(alegerősebb).
Nemcsakaz
adatokatkell
osztályozni
Titokvédelem
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola11
Atitokvédelemtradicionálisprobléma(2)
• Titkos(pl.államtitok,üzletititok)• Bizalmas(pl.szolgálatititok,személyesadatok)• Belsőhasználatra• Nyilvános
Adatvédelmiosztályok(adatokra,
alkalmazásokraéseszközökre)
• Zárt• Kiemeltenellenőrzött• Ellenőrzött• Nyilvános
Helyiségekosztályozása
Titokvédelem
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola12
Atitokvédelemtradicionálisprobléma(3)
• IratkezelésiUtasításszükséges(elektronikusiratokelőállítására,feldolgozására,továbbítására,megsemmisítésére iskitér)
• Kritikusprobléma:áttéréselektronikusrólpapíralapúraésviszont• Papíralapúoutputokelőállítása• Aminősítéstfelkelltüntetniapapíralapúiraton
Kiindulás:azadatok
titokvédelmiosztályozása
Titokvédelem
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola13
Példa:NAIHadatvédelmibírság
Iratkezelés
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola14
Hogyankaphategyfelhasználóhozzáféréseket?
Szabályozás
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola15
Milyenajószabályzatrendszer
• Konzisztens• Lényegretörő• Betarthatószabályokattartalmaz• Végrehajtható,szerepkörhözrendeltmunkafolyamatokattartalmaz
• Amunkatársaknakcsakarájukvonatkozószabályokatéseljárásokatkellismerniük
• Összhangbanvanajogszabályikörnyezettel• Összhangbanvanabevezetettszabványokkal
Számosszabályzatból
álló,konzisztensrendszerszükséges
Szabályozás
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola16
Aszabályozásnakösszhangbankelllennieajogszabályokkalésmásszabályozásokkal
• Informatikaibiztonságipolitika• IBSZ(InformatikaiBiztonságiSzabályzat)• ITüzemeltetésiszabályzat• Felhasználóiszabályzat• Hozzáférésiszabályzat• Változáskezelésiszabályzat• Incidenskezeléseiszabályzat• Kockázatkezeléseiszabályzat• Katasztrófakezelésiszabályzat• Mentésiszabályzat• …
Számosszabályzatból
álló,konzisztensrendszerszükséges
Szabályozás
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Amunkatársakrosszhiszeműek?
• Külsőtámadó• Belsőrosszhiszeműmunkatárs
• Belsőjóhiszeműmunkatárs
• Együtt…
Akárokkeletkezésbenközreműködők
17
Emberi hibák
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Jellemzőhibaelkövetőszemélyiségtípusok(1)
•Munkájukmegkönnyítéseérdekébennemfoglalkoznakabiztonságiszabályokkal.
• Véletlenüladjákkiazinformációtelvesztetteszközökön(laptop,okostelefon, CDlemez,USBstick)keresztül.
• Adatokathagynakaleselejtezett,lecseréltszámítógépeken.•Nemelégkörültekintőenosztjákmegazadatokatharmadikféllel.• Védelemnélkül küldenek adatokatnyilvános szolgáltatókonkeresztül
Hanyag
•Szándékosanmegkerülikabiztonságielőírásokat,aztgondolva,hogyezzelhatékonyabbantudjákszolgálniavállalatérdekeitéssajátkarrierjüket.(Példáultitkosításokelhagyása,clear desk policyfigyelmenkívül hagyása.)
• Kiviszik azadatokatabiztonságoskörnyezetből,hogyirodánésmunkaidőn kívül isdolgozhassanak
Túlbuzgó
18
Emberi hibák
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Jellemzőhibaelkövetőszemélyiségtípusok(2)
• Célpontjailehetnekasocial engineeringnek• Általábansegítőszándékkaladjákkiakódokat,információkat,abbanahitben,hogyaszervezetérdekébencselekszenek.
Manipulálható
• Sajátosetikaimegfontolásokalapjánadjákkiabizalmasadatokatanyilvánosságszámára.(Aszivárogtatásokáltalábanvalamilyenközösségiszolgáltatásonkeresztülzajlanak.)
Sajátosetikaimegfontolásokat
követő
19
Emberi hibák
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Példákahumánerőforrásokvisszaéléseire(1)
20
Emberi hibák
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Példákahumánerőforrásokvisszaéléseire(2)
21
Emberi hibák
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Ahumánerőforráslehetkiindulásaéscéljaisafenyegetéseknek(1)
• Ahumánerőforrásokbizalmassága(személyesadatok,feladatkörökstb.),sértetlensége (sérülés),rendelkezésreállása(sérülés,betegség,haláleset, túszejtés,sztrájkstb.)sérülhet
Ahumánerőforrásazinformatikairendszer
egyikeleme
22
Emberi hibák
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Ahumánerőforráslehetkiindulásaéscéljaisafenyegetéseknek(2)
• Nemmegbízható,nemlojálismunkaerőalkalmazása(erkölcsibizonyítvány?,előzőmunkahely?,életvitel,pénzügyizavarstb.)
• Nemmegfelelőenképzett,nemelegendőgyakorlattalrendelkezőmunkatársalkalmazása,abiztonságitudatossághiánya,védtelenségasocial engineeringellen…
Ahumánerőforrásazinformatikairendszerrefenyegetést
jelent
23
Emberi hibák
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Ahumánerőforráslehetkiindulásaéscéljaisafenyegetéseknek
Ahumánerőforrásjelentettefenyegetéstsajátostényezőkfokozzák
• Digitálisírástudatlanság,informatikaiszakadék,azinformációstechnológiavívmányaihozvalóhozzáféréshiánya,azinnoválhatótudáshiánya(azmultimédiáseszközöklustítjákazagytevékenységet.)
• Azinformációstúlterheltségnegatívhatásai• Azinformációstechnológiaeszközeinekfelhasználásávalösszefüggőpszichikai,fiziológiaiésegészségügyijellegűveszélyek
• Azinformációstechnológiákkalszembeniidegenkedés,bizonytalanság
24
Emberi hibák
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola25
Hogyanbiztosíthatóahumánerőforráslojalitása?(1)
• Háttérellenőrzés,referenciákbekérése,erkölcsibizonyítvány,folyamatbanlevőbűnügyieljárásellenőrzése
• Titoktartásinyilatkozat(amunkaviszonymegszüntetéseutániidőszakrais)
• Nyilatkozatabiztonságikövetelmények ismeretéről• Érdekütközésinyilatkozat(nincsolyanérdekeltsége,amelynemteszilehetővéatervezettmunkakörbetöltését)
• Szakmaiésemberikompetenciavizsgálat
Munkaviszonylétesítésekor(Felvételipolitika)
Humán védelmi módszerek
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola26
Hogyanbiztosíthatóahumánerőforráslojalitása?(2)
• Védelmi intézkedésekamegbízhatóságfenntartásaérdekében
• Teljesítménykövetés• Karriermenedzsment– lojalitás,kötődés• Szakmaikompetenciaésfeladatokközöttikonzisztenciabiztosítása
• Képzések• Munkakörileírásoknaprakészsége• Egymástkizáróbiztonságkritikusmunkakörökfigyelembevétele(Segregation ofDuties)
Munkaviszonyalatt
Szabályozás
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola27
Hogyanbiztosíthatóahumánerőforráslojalitása?(3)
• Jogosultságok,accountokvisszavonása(felmondásiidő:legalábbkorlátozás)
• Megszüntetési interjú:(nyilatkozatavállalatidokumentumokésadathordozókvisszaszolgáltatásáról,kilépésutánititoktartásról)
• Vállalati tulajdonvisszavonása(beléptetőkártya,kulcsokis)
• Törlésafizetésilistáról• Amunkatársakértesítése akilépéstényéről
Munkaviszonymegszüntetésekor
Szabályozás
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola28
Azinformatikátérintőoutsourcingszerződésekkritikusak(1)
• Afejlesztésikörnyezetrevonatkozóbiztonságikövetelmények
• Amegbízóellenőrzésijogosultságánakelismerése• Afejlesztés tárgyáravonatkozóbiztonságikövetelmények
• Fenyegetettségmentességinyilatkozatazátadás/átvételkor
Outsourcingfejlesztésimegbízás
• Abiztonságikörnyezetrevonatkozókövetelmények(humán,fizikai,logikaileválasztás)
• Amegbízóellenőrzésijogosultságánakelismerése• Megfelelőerősségűhumán,fizikaiéslogikaivédelmiintézkedésekmegtétele
Outsourcingüzemeltetésimegbízás
Harmadik féllel kötött szerződések
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola29
Azinformatikátérintőoutsourcingszerződésekkritikusak(2)
• AszolgáltatóalárendeléseamegbízóBiztonságiPolitikájának
• Aszolgáltatójogosultságainakkorlátozása,rögzítése
• Ellenőrzésilehetőségbiztosítása
Outsourcingkarbantartási,rendszerkövetési
megbízás
• AmunkaerőalárendeléseamegbízóBiztonságiPolitikájának,nyilatkozatennekelfogadásáról
• Számokérési,szankcionálásilehetőségbiztosítása
Munkaerőbérlés/
kölcsönzés
Harmadik féllel kötött szerződések
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Azinformatikaibiztonságigaranciákgyakranhiányoznakaszerződésekből
• Szállításiszerződések- beszerzések•Outsourcing szerződések:fejlesztői,karbantartási,üzemeltetési•Amegbízóhatáskörénkívül esőbiztonságikörnyezetkérdésenincskezelve
•Abiztonságikövetelményekérvényesítése,aszámonkérhetőségbiztosíthatóságahiányzik
•Aszervezetterületén„idegenszakemberek”,hozzáférnekarendszerhez.Abiztonságiszabályzatokbetartatásaproblematikus.
•Aszervezetbizalmasadataihoz„idegenszakemberek”,hozzáférnek.Abizalmasságikövetelményekbetartásaproblematikus
Tipikusantöbbféleszerződésérvényes
•Azüzletitevékenységmegszakadásáravonatkozóanaharmadikfélnemvállalgaranciát-- vismaiorrahivatkozik
•Atermékhibájaeseténcsakatermékértékéigvállalkártérítést
Korlátozottfelelősségvállalás
30
Szerződések gyengeségei
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola31
Azinformatikaibiztonságotkezelnikellaszerződésekben
• Megfelelővédelmiintézkedésekabiztonságikörnyezetben
• Megfelelővédelmiintézkedésekafeladatvégrehajtásasorán
• Megfelelővédelmiintézkedésekavégtermékben
Aszerződéseknekgaranciákatkelltartalmaznia
Harmadik féllel kötött szerződések
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola32
Elfogadhatófeltételek?
Szervezeti-szervezési veszélyforrások elleni módszerek
Harmadik féllel kötött szerződések
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Atörvényikötelezettségekgyakranfigyelmenkívülvannakhagyva(1)
2011.éviCXII.törvényazinformációsönrendelkezési jogrólésazinformációszabadságról(Infotv.)
2001éviXXXV.törvény:Azelektronikusaláírásról
1999.éviLXXVI.törvényaszerzőijogról
AZEURÓPAIPARLAMENTÉSATANÁCS(EU)2016/679RENDELETE (2016.április27.)– GDPR
2013.éviL.törvény(Ibtv.)
33
Jogszabálysértés
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Atörvényikötelezettségekgyakranfigyelmenkívülvannakhagyva(2)
41/2015.(VII.15.)BMrendelet- azállamiésönkormányzatiszervekelektronikusinformációbiztonságárólszóló2013.éviL.törvénybenmeghatározotttechnológiaibiztonsági,valamintabiztonságosinformációseszközökre,termékekre,továbbáabiztonságiosztálybaésbiztonságiszintbesorolásravonatkozókövetelményekről
26/2013.(X.21.)KIMrendelet- azállamiésönkormányzatiszervekelektronikusinformációbiztonságárólszólótörvénybenmeghatározottvezetőiésazelektronikusinformációsrendszerbiztonságáértfelelősszemélyekképzésénekéstovábbképzésénektartalmáról
Ágazatitörvények…
34
Jogszabálysértés
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Példatörvénysértésre
35
Jogszabálysértés
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola36
Példa:NAIHadatvédelmibírság
Iratkezelés
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Mitjelentasocialengineering?
ASocial Engineering (SE)nemmás,mintannakaművészeteéstudománya,hogymikéntvegyünkrászemélyeketarra,hogyamiakaratunknakmegfelelőencselekedjenek.
Támadásimódszer,amelyazemberihibák,gyengeségek,tájékozatlanság,hiszékenység,felelőtlenségaktívkihasználásáraépül.
37
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Asocialengineeringnektipikusforgatókönyvevan
Információszerzés
Kapcsolat-építés
Akapcsolatkihaszná-
lása(felhaszná-
lása)
Végrehaj-tás,ater-vezettcélmegva-lósítása
Start
38
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Azinformációszerzéssorántörvényeséstörvénytelenmódszereketisalkalmaznak(1)
• Aszervezetweboldala• Üzletipartnerekweboldalai• Telephellyelkapcsolatosinformációk(Google Map)• Telefonszámok,kontaktszemélyek,e-mailcímek,munkatársak• Aktuálisesemények(pl.sajtóközlemények)• Nyilvánosanelérhetőműszakiinformációk(szabályzatok,szabványok,stb.)
• Alkalmazottaktólkiszivárgóinformációk(pl.fórumok,blogok,iWiW,Facebook)
• Keresőkáltalszolgáltatottinformációk(pl.Google hacking)• …
Törvényesmódszerek
39
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Azinformációszerzéssorántörvényeséstörvénytelenmódszereketisalkalmaznak(2)
• Megtévesztésselszerzettinformációk(telefonhívás,személyesismeretség)
• Hackermódszerek• Illegálisbejutásatelephelyre• Vagyontárgyakeltulajdonítása(notebook,okostelefon,dokumentáció)
• …
Törvénytelenmódszerek
40
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Akapcsolatépítéssoránacélszemélyakarataellenéresegítségetnyújt
• Kíváncsiság• Tudatlanság• Gondatlanság• Sértődöttség• Bosszú• Segítőkészség• Ajómegítélésmegszerzése• Ellenszolgáltatáselvárása(azellenszolgáltatástipikusanegysemmiség)
• Amorálisbűnösségérzésénekelkerülése• Afelelősségelhárítása
Miértnyújtsegítségetacélszemély?
41
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Akapcsolatépítéstnégyfőtényezősegítheti,mindabizalommegszerzéséreirányul
1• Atámadóacélszeméllyelszembenkonstruktívanésnemtámadószellembenlépfel
2• Korábbiaprószívességeket• Kedvességszolgáltunkacélszemélyfelé
3• Azemberségünkhangsúlyozása• Megértőviselkedés,nemcsupánegyhangatelefonban
4• Gyorsalkalmazkodásakialakultszituációhoz
42
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Akapcsolatkihasználásaamegszerzettbizalomraépül
• Olyaninformáció/eszközmegszerzése,amelynekbirtokábanatervezettcélmegvalósítatható• Jelszavak• Fizikaibejutáshozszükségeskód• Kulcs• Beléptetőkártya• Megszemélyesítéshezszükségesadatok
Cél:avégsőcéleléréshezszükségeseszközmegszerzése
43
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Akapcsolatkihasználásaamegszerzettbizalomraépül
• Illegálisbelépésarendszerbe(fizikai,logikai)• Manipulációelvégzése(adatmanipuláció,adathordozóeltulajdonításstb.)
• Dokumentumoklemásolása• Tranzakciómegvalósítás• Anyomokeltüntetése
Avégsőcélelérése,azeredményrealizálása
44
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Tipikussocialengineeringtámadásiminták(1)
• Atámadótelefononpróbálolyaninformációkhozhozzájutni,melyeksegítenekatámadáscélpontjáulszolgálószeméllyelkapcsolatotépítenivagyatámadássoránkésőbb felhasználhatóaklesznek.
• Illetékeseknevei,elérhetőségei,azonosítói(esetlegjelszavai),munkaidő-beosztása,helyettesítőivagyhozzáférésimódokstb.
Direkttelefonosmegkeresés
• Acélzottlevélatámadáscélpontjáulszolgálószemélyrészére• Egyszerűkérdőívnekálcázottlevél:születésidátum,aházikedvencneve,autójatípusa,kedvenchírportálja(aholaztánafórumbanesetlegmegtalálható)
• Motivációakitöltésre:nyereménylehetőség,ajándék
Célzottlevél
• Azirodaihulladékánakátvizsgálása:belsőlevelezés,naptárbejegyzések,feljegyzések,szervezetiábrák
• Cél:acélszemélymunkahelyiéletébetörténőminélmélyebbbelátás• Akésőbbitámadássoránazadottkörnyezetben történőeligazodás
DumpsterDiving (kuka-átvizsgálás)
45
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Tipikussocialengineeringtámadásiminták(2)
• Alkalmazásáhozfizikailagacélszemélyközelébekellkerülni• Példáulegyolcsóajándékkikézbesítésesorán(karácsonyiajándékazügyfélvezetőjének)
• Akárdokumentumok, eszközök, jelszavakbirtokábaislehetígyjutni
ShoulderSurfing
(„vállszörf”)
• EgyigazimunkatársnevébentörténőtelefonaServiceDesknek,hogyelfelejtetteajelszavátéskéri,hogyadjanaknekiegyújat
Megszemélye-sítés
• Atámadómegszerziegyfontosembernevétésbeosztását,majdfelhívjaacélszemélyt,hogyFontosEmber(vezető)kéréséreazonnaladjákodaakövetkező adatokat
• Amódszerkülönösen akkorhatékonyhaFontosEmberéppenszabadságonvan
FontosEmber
46
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola
Tipikussocialengineeringtámadásiminták(3)
• AServiceDesk nevébenegymunkatársfelhívása,hogyazonnal(pl.későeste)bekelljönnieésbekelljelentkeznie,egyébkéntkieséskövetkezikbe.Alternatívmegoldáskéntmegadhatjafelhasználónevétésajelszavát…?
• AServiceDesk nevébenegymunkatársfelhívásaéstesztretörténőhivatkozássalajelszóelkérése
MivagyunkaHelp-Desk
47
Adat és Információvédelmi MesteriskolaAdat és Információvédelmi Mesteriskola2018.08.22. 48
Köszönöm a figyelmet!