Cyber Services 2015Nagymajtényi Gábor

Üzletfejlesztési IgazgatóCyber Services Zrt.

2

IVSZ Cloud Workshop 20151003

Tartalom

Kik vagyunk - Cyber Services

Felhőjog

Trust-and-control

Szolgáltatás

BYOD

Hazai helyzet

Jövő

Kérdések?

Tartalom

Sérülékenység

3

Áttekintés – Cyber Services

Alapítás éve 2015 A cég alapítói és kiemelt szakértői az informatikai biztonság veteránjai szerteágazó nemzetközi tapasztalattal

Rendelkezésre álló erőforrások 10+ vezető szakértő 20+ szoftver/hardver fejlesztő20+ szoftver/hardver tesztelő

Képesítések9 etikus hacker (KCEH)3 etikus hacker (International CEH)4 proaktív biztonsági szakértő – Offensive Security Certified Professional (OSCP)

Szolgáltatások

Etikus hackelés Kiber fenyegetettség elemzésKibervédelmi gyakorlatok tervezése, levezetéseTöbbszintű információbiztonság tudatosság növelő képzési rendszerek fejlesztése, oktatás, gamificationInformatikai biztonsági képzések fejlesztése és oktatásReputáció menedzsmentInnováció menedzsment, startup Integráció

Kiemelt referenciák

NATOUAE DubaiZAIN KuwaitEU TanácsJelentős kormányzati szerepvállalás (beleértve a hazai Kibervédelmi Központ – NBF CDMA kialakítását)

4

„Felhőjogi” környezet

● Jogvita

– ÁSZF és SLA alapján ● kötbér● kártérítési felelősség● elévülés

● Ki a joghatóság?

– NMHH● Magyar bíróság

– Európai bíróság● Nemzetközi bíróság

● Mi a jogi környezet?

– ÁSZF ( Általános szolgáltatási Feltételek ) - NMHH● Új Ptk. – 2014. március 14.

– EU bíróság döntése – EU-US safe harbor megállapodás “nem valós”

5

Felhőjog : EU - US Safe Harbor IS INVALID!

Court of Justice of the European Union (2015.10.06)

● Judgment in Case C-362/14: Maximillian Schrems v Data Protection Commissioner

The Court of Justice declares that the Commission’s US Safe Harbour Decision is invalid

● Osztrák PhD hallgató, aki 2008 óta Facebookon regisztrált

● A Facebook a személyes adatait amerikai szerverekre továbbította

● Mivel 2013-ban Snowden feltárta, hogy az NSA közvetlen hozzáfér az személyes adataihoz, ezért az ír hatóságoknál feljelentést tett, hogy az EU-US Safe Harbor megállapodás nem teljesíti a EU adatvédelmi előírásait.

● Az EU Bíróság most kimondta, hogy a Safe Harbor megállapás érvénytelen

Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ 1995 L 281, p. 31).

Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (OJ 2000 L 215, p. 7).

The safe harbour scheme includes a series of principles concerning the protection of personal data to which United States undertakings may subscribe voluntarily.

6

Felhőjog – Adatüzlet, Hol tárolhatom?

A Piac még nem tudja értelmezni a Safe Harbor megállapodás megszüntét

Workaround-ok születnek

7

Felhőjog – Net Neutrality

● EU döntés: Roaming díj megszűnik EU-ban 2017-re, viszont az ebből eredő költségeit a Telkó átháríthatja egy bizonyos érték felett. Mit jelent ez?

– Net neutrality megszűnik? Avagy vége az internetnek, vagy új innováció?● Sávszél vs Profit a Telkónál

– Voice 85% profit, 15% sávszél– Data 15% profit, 85% sávszél

● Deutsche Telekom „sávos” árazás a szolgáltatóknak – speciális szolgáltatás – QoS– Revenue share a Start-Up-oknak az infra használatért

– Nem mindegy, hogy “jobb” szolgáltatást adunk, vagy korlátozzuk a többit?

● http://www.theregister.co.uk/2015/10/27/european_net_neutrality_amendments_fail/

● http://www.theregister.co.uk/2015/10/30/deutsche_telekom_starts_tiered_pricing/

● http://hvg.hu/tudomany/20151102_ketsebesseges_internetezes_telekom_dt

8

Felhőjog – Net Neutrality

„If adopted as currently written, these rules will threaten innovation, free speech and privacy, and compromise Europe’s ability to lead in the digital economy.”

Tim Berners-Lee, inventor of the World Wide Web, Founding Director of the World Wide Web Foundation

● http://webfoundation.org/2015/10/net-neutrality-in-europe-a-statement-from-sir-tim-berners-lee/

9

On Premise IaaS PaaS SaaS

App App App App App

VM VM VM Szolgáltatás Szolgáltatás

Server Server Server Server Server

Storage Storage Storage Storage Storage

Network Network Network Network Network

On Premise(host-olt)

Ügyfélnél a kontroll

Megosztott a kontroll

Szolgáltatói kontroll

Trust-and-control

Ügyfél elveszíti a kontrollt

10

Trust-and-control

● Tier 1 = Nem redundáns kapacitás komponensek (telkó, szerverek).

● Tier 2 = Tier 1 + Redundáns kapacitás komponensek.

● Tier 3 = Tier 1 + Tier 2 + Két-betáppal az eszközök és több független telkó vonal.

● Tier 4 = Tier 1 + Tier 2 + Tier 3 + Minden elem hibatűrő, a szünetmentes és a hűtőrendszer is, több betáppal.

● Tier 1: Garantált 99.671% rendelkezésre állás.

● Tier 2: Garantált 99.741% rendelkezésre állás.

● Tier 3: Garantált 99.982% rendelkezésre állás.

● Tier 4: Garantált 99.995% rendelkezésre állás.

A kontroll vesztésért cserébe CAPEX nélküli, skálázható, olcsó kapacitást kap

11

Trust-and-control

12

Szolgáltatás

Összetettek a szolgáltatások, vegyünk egy e-commerce példát

● Biztos minden igénybe vett 3rd-party szolgáltatás “Trusted”?

– Authentikáció, authorizáció – külső Oauth2

– Fizetés - Paypal

– Szállítás – DHL● Hogyan authorizáljuk a szolgáltatásokat?

● Milyen szenzitív adatokat osztunk meg?

– Mindig csak a szükséges minimális infót adjuk meg? ( pl DHL: név, szállítási cím, mobil, és nem adjuk meg az ügyfél egyéb adatait, fizetésnél csak a név és bankkártya azonosítók szükségesek, a többi üzleti adat nem... )

– Nem kerülnek ki a felhasználói és üzleti adatok a szolgáltatás kontrollja alól?

– Tudjuk-e menedzselni a teljes supply-ra a teljes adatéletciklust? ( archíválás, törlés, … )

– Van-e megfelelő biztonsági auditor, vannak minősítések? ( SOX, ISO, … )

13

Szolgáltatás

Összetettek a szolgáltatások, vegyünk egy e-commerce példát

● Biztos minden igénybe vett 3rd-party szolgáltatás “Trusted”?

– Authentikáció, authorizáció – külső Oauth2

– Fizetés - Paypal

– Szállítás – DHL● Hogyan authorizáljuk a szolgáltatásokat?

● Milyen szenzitív adatokat osztunk meg?

– Mindig csak a szükséges minimális infót adjuk meg? ( pl DHL: név, szállítási cím, mobil, és nem adjuk meg az ügyfél egyéb adatait, fizetésnél csak a név és bankkártya azonosítók szükségesek, a többi üzleti adat nem... )

– Nem kerülnek ki a felhasználói és üzleti adatok a szolgáltatás kontrollja alól?

– Tudjuk-e menedzselni a teljes supply-ra a teljes adatéletciklust? ( archíválás, törlés, … )

– Van-e megfelelő biztonsági auditor, vannak minősítések? ( SOX, ISO, … )

14

Szolgáltatás

● Minden “beszállító” teljesíti-e ?

– az elvárt SLA szintet

– az információ biztonsági elvárásokat?● Hogyan tudok erről meggyőződni?

● Honnan nyújtják fizikailag a szolgáltatást? A számomra előírt elvárások ebben a tekintetben teljesülnek-e? Tudja-e a szolgáltató garantálni az európai adatkezelést a teljes adatéletciklusra?

– egészségügyi adatok

– közigazgatási adatok

15

Bring-Your-Own-Device

● Hol a rendszerhatár? - Mit kontrollálunk, mit nem? )

● 2faktoros authentikáció: az eszközt authentikáljuk a service-hez! ( Radius, Diameter )

● Google Native Client ( új saját “VM” minden eszközre, blockchain technológiával )

16

Sérülékenység

17

Sérülékenység

18

Sérülékenység

19

Sérülékenység

20

Sérülékenység

21

Sérülékenység

Kibersérülékenységek száma időben nem csökken! :)

● Mobil eszközök, BYOD

● Komplex szolgáltatások - Publikus micro service-ek, több támadható API

● Gyors deployment – continuous deployment (DevOps)

– Tesztelés automatizálása és a code coverage nem jelenti, hogy valóban a teljes támadási vektortér tesztelt, sőt!

● SaaS Multi-tenant probléma: mennyire izoláltak a folyamatok, az adatok?

● PaaS: azonos hardveren tud futni a támadó és a célpont!

● IaaS: védett-e a belső hálózat, valóban csak a szükséges portok és kommunikáció lehetséges? A belső kommunikáció védett csatornán, titkosítva, … ?

● ÖSSZES EDDIG SÉRÜLÉKENYSÉG + MULTITENANT SÉRÜLÉKENYSÉGEK

● Viszont komoly biztonsági csapatok és eszközök

22

Hazai helyzet

● Hazai datacenter helyzet

– 25,000 nm a teljes hazai “datacenter” infrastruktúra

– Főleg Tier1 , és azon belül is a “salgó polc”

– Jellemzően 0.5-1kW/m2 energiasűrűség ( ez a tizede a mai világátlagnak )

– Nem redundáns ( csak a cégek saját megoldásai ) ● Spoke-Hub infrastruktúra

– Szerencsénk: Európa pontosan közepe vagyunk, ezért az Isztambul-Berlin optika itt megy át

– ~1000km-enként kéne egy Hub, ami München után valahol itt kéne legyen, de nem biztos, hogy itt lesz

● Biztonságos jogi környezet és energiabiztonság kell := “Biztonságosabb kikötő”

– Megfelelő kíbervédelmi képesség : nemzeti és szolgáltatói szinten

23

Jövő – együttműködés → elosztottság nő

24

Jövő – IoT, M2M, IoE, AI

12

3

4

5

6

7

8

10

9

1. A műholdas kommunikáció leállhat

2. Az épületek áramellátása megszűnhet

3. Az olajkitermelés leállhat

4. A vasúti jelzőrendszer meghibásodhat

5. Vízszennyezés történhet

6. Elektromos energiallátási problémák merülhetnek fel

7. Az üzleti kommunikáció megbénulása

8. Légkondícionáló rendszerek leállhatnak

9. Mobiltelefon hálózati hiba lehetséges

10. Gázellátási problémák jelentkezhetnek

25

Jövő – Felhő problémák

● IPv6, CoAP/DTLS ( TLS on Datagram )

– nincs endpoint menedzsment szabvány

=> csak PSK ( pre-shared-key ), vagy full PKI megoldás működhet

– DTLS csak csatorna titkosítás, nincs szabványos hiteles üzenet küldés: aláírás/titkosítás hiányzik

● IPv6 routing megbízhatatlansága ( itt még elméleti problémák is vannak )

● IPv6 és Smart Object session kezelés

● Smart Objects interoperabilitása – bár van IPSO alliance, nem implementálják a draftokat

● Big Data privacy implementálása

Köszönöm a figyelmet!Nagymajtényi Gábor

Üzletfejlesztési IgazgatóCyber Services Zrt.