Dan varnostne kulture

MAJA ROŽAJ

Urad Vlade RS za varovanje tajnih podatkov

Ljubljana, 19. december 2012

Namen predstavitve

• dvigniti raven zavedanja obstoja tveganj za varnost

tajnih in drugih pomembnih podatkov

• spodbuditi razmišljanje o pomenu krepitve varnostne

ozaveščenosti

• spodbuditi razmišljanje o ustreznem samozaščitnem

vedenju

• dvigniti raven zavedanja, da imajo tudi najmanjše

spremembe velike učinke

• TP so last države

• poslovne skrivnosti so last podjetja

se zavedate posledic zlorabe

TP za interese države?

se zavedate dejanske vsebinske

vrednosti svojih poslovnih skrivnosti?

se znate ustrezno opredeliti

glede podatkov, ki bi lahko bili

poslovna skrivnost?

vsak posameznik je dolžan presojati

varnostni pomen podatkov in

poskrbeti za njihovo ustrezno zaščito

v skladu z internimi pravili oziroma

zakonsko ureditvijo

Sistem varovanja tajnih podatkov

• fizična varnost

• tehnična varnost

• osebna varnost

• dokumentacijska varnost

• informacijska varnost

celostni sistem

varovanja

• največji % $ predvidenega za varnost je namenjen fizičnemu in tehničnemu varovanju

• večina se ne zaveda dejanske vsebinske vrednosti svojih podatkov oz. v primeru zavedanja stori zelo malo ali nič za njihovo zaščito

• stopnja varovanja je tako visoka, kot je njen najšibkejši člen

• najpogostejši razlogi za varnostne prestopke:

1) zaposleni se ne zavedajo, da grožnje obstajajo

2) zanašajo se na druge

3) so nezadostno usposobljeni

4) preprosto imajo občutek, da imajo drugo, pomembnejše delo

• filozofija na področju varovanja podatkov

varnostna zavest je poleg tehničnih rešitev nujni pogoj za

zagotavljanje večje varnosti konkurenčnosti

Varnostna kultura

• pravočasno zaznavanje - zmanjševanje dejavnikov tveganja

• sistemski pristop k vzpostavitvi ustrezne ravni varnostne kulture temelji na: ljudeh, procesih in tehnologiji

• varnostni ukrepi postanejo organizacijsko znanje – deluje sistem

prepričanj, znanj, vrednot in ravnanj – zaposleni začnejo sami zaznavati

varnostno relevantne dogodke

postavitev in uresničevanje normativnih okvirov

komunikacija in medosebni odnosi

pozitivna delovna klima

poštenje, zaupanje, spoštovanje

sodelovanje vseh zaposlenih

Krepitev varnostne zavesti

obveščevalna dejavnost gospodarska

obveščevalna dejavnost

TP poslovne skrivnosti

poznavanje osnov metodologije

obveščevalnega delovanja

se zavedate posledic zlorabe

poslovnih skrivnosti za

interese vašega podjetja?

se zavedate posledic zlorabe

TP za interese države?

metode so odvisne od vrste podatkov,

katere se želi pridobiti

prosto dostopni podatki:

• letna poročila o delu

• finančna poročila

• sejmi, razstave, gradiva s

konferenc

• podatki, ki jih odkrito

pripovedujejo zaposleni

posredno dostopni podatki:

• notranje informacije

• poročila trgovskih potnikov in nabavnih služb

• …

strogo varovane skrivnosti,

katerih zbiranje pogosto pomeni nezakonite aktivnosti

zaščita

ofenziva

ofenziva

zaščita

• obzirno in premišljeno zastavljena vprašanja udeležencem strokovnih

seminarjev

Nekaj metod obveščevalne dejavnosti

• neformalna druženja v popoldanskem

in večernem času

• uporaba izbrisanih, odvrženih nosilcev podatkov

• lažne ponudbe za zaposlitev

• podkupovanje

• lažna pogajanja s tekmecem pod pretvezo, da se želi pridobiti licenca za enega njegovih patentov

• vtihotapljanje agentov med tekmečeve uslužbence ali tehnike

• kraja vzorcev listin

• kraja pomnilnih medijev, kopiranje podatkov

• nezakonito prisluškovanje

Pristopi do računalniškega sistema

najpogostejši cilji napada:

• uporabniška gesla

• podatki in informacije

• računalniški programi

• onemogočanje uporabe sistema

TEHNIČNE METODE

• izkoriščanje slabosti internetnih protokolov in

nepazljivosti uporabnikov

• pristop do sistema s pomočjo računalniških

programov

• optično vohunjenje

SOCIALNE METODE

• neformalno druženje – info o sistemu, varnostnih

ukrepih ipd

• kompromitacija – izsiljevanje in izkoriščanje osebnih

slabosti

• socialni inženiring – načini pridobivanja gesel za dostop

do sistema z izkoriščanjem nepazljivosti, lahkovernosti

metode

Metode socialnega inženiringa

• prepričevanje – izdajanje za serviserja, uslužbenca IT podpore, vodilnega delavca, sodelavca (v velikih organizacijah je to skoraj nemogoče odkriti) – najpogosteje po telefonu, omrežju

• brskanje po smeteh – veliko uporabnih podatkov:

interni imeniki – imena zaposlenih in telefonske številke

organigrami – položaj posameznih zaposlenih in njihova moč v organizaciji

zapiski – deli informacij za podkrepitev avtentičnosti pri sogovorniku

varnostna navodila – informacija o tem kako (ne)varna je organizacija

koledarji dopustov – podatki o odsotnosti zaposlenih v določenem času

varnostna navodila, priročniki – občutljivi podatki, potrebni za vstop v mrežo

dotrajana strojna oprema – trdi diski so relativno hitro in poceni obnovljivi

• brskanje po pisarni – mize, odprti predali, nalepke, zapiski ipd

• gledanje čez ramo

• povratni socialni inženiring – sabotaža + oznanjanje + pomoč

• direktni napad

Nekaj varnostnih ukrepov

• politika pospravljene mize

• skrb za prijetno počutje na delovnem mestu - krepitev pripadnosti

• izobraževanje in usposabljanje:

ZAKAJ in KAKO prihaja do napadov

nevarnosti, povezane s pogovori z nepooblaščenimi osebami, na neprimernih

krajih, po neustreznih sredstvih

previdnostni ukrepi na potovanjih

obveznost poročanja o vsaki sumljivi/nenavadni okoliščini

varnostno “debrifiranje”

prepoved uporabe enakega ali podobnega gesla na več kot 1 sistemu

prepoved razkrivanja gesel brez predhodne pisne odobritve

postavljanje ključnih vprašanj samim sebi …

Hvala za vašo pozornost