dan varnostne kulture - uvtp.gov.si · • socialni inženiring – načini pridobivanja gesel za...
TRANSCRIPT
Dan varnostne kulture
MAJA ROŽAJ
Urad Vlade RS za varovanje tajnih podatkov
Ljubljana, 19. december 2012
Namen predstavitve
• dvigniti raven zavedanja obstoja tveganj za varnost
tajnih in drugih pomembnih podatkov
• spodbuditi razmišljanje o pomenu krepitve varnostne
ozaveščenosti
• spodbuditi razmišljanje o ustreznem samozaščitnem
vedenju
• dvigniti raven zavedanja, da imajo tudi najmanjše
spremembe velike učinke
• TP so last države
• poslovne skrivnosti so last podjetja
se zavedate posledic zlorabe
TP za interese države?
se zavedate dejanske vsebinske
vrednosti svojih poslovnih skrivnosti?
se znate ustrezno opredeliti
glede podatkov, ki bi lahko bili
poslovna skrivnost?
vsak posameznik je dolžan presojati
varnostni pomen podatkov in
poskrbeti za njihovo ustrezno zaščito
v skladu z internimi pravili oziroma
zakonsko ureditvijo
Sistem varovanja tajnih podatkov
• fizična varnost
• tehnična varnost
• osebna varnost
• dokumentacijska varnost
• informacijska varnost
celostni sistem
varovanja
• največji % $ predvidenega za varnost je namenjen fizičnemu in tehničnemu varovanju
• večina se ne zaveda dejanske vsebinske vrednosti svojih podatkov oz. v primeru zavedanja stori zelo malo ali nič za njihovo zaščito
• stopnja varovanja je tako visoka, kot je njen najšibkejši člen
• najpogostejši razlogi za varnostne prestopke:
1) zaposleni se ne zavedajo, da grožnje obstajajo
2) zanašajo se na druge
3) so nezadostno usposobljeni
4) preprosto imajo občutek, da imajo drugo, pomembnejše delo
• filozofija na področju varovanja podatkov
varnostna zavest je poleg tehničnih rešitev nujni pogoj za
zagotavljanje večje varnosti konkurenčnosti
Varnostna kultura
• pravočasno zaznavanje - zmanjševanje dejavnikov tveganja
• sistemski pristop k vzpostavitvi ustrezne ravni varnostne kulture temelji na: ljudeh, procesih in tehnologiji
• varnostni ukrepi postanejo organizacijsko znanje – deluje sistem
prepričanj, znanj, vrednot in ravnanj – zaposleni začnejo sami zaznavati
varnostno relevantne dogodke
postavitev in uresničevanje normativnih okvirov
komunikacija in medosebni odnosi
pozitivna delovna klima
poštenje, zaupanje, spoštovanje
sodelovanje vseh zaposlenih
Krepitev varnostne zavesti
obveščevalna dejavnost gospodarska
obveščevalna dejavnost
TP poslovne skrivnosti
poznavanje osnov metodologije
obveščevalnega delovanja
se zavedate posledic zlorabe
poslovnih skrivnosti za
interese vašega podjetja?
se zavedate posledic zlorabe
TP za interese države?
metode so odvisne od vrste podatkov,
katere se želi pridobiti
prosto dostopni podatki:
• letna poročila o delu
• finančna poročila
• sejmi, razstave, gradiva s
konferenc
• podatki, ki jih odkrito
pripovedujejo zaposleni
posredno dostopni podatki:
• notranje informacije
• poročila trgovskih potnikov in nabavnih služb
• …
strogo varovane skrivnosti,
katerih zbiranje pogosto pomeni nezakonite aktivnosti
zaščita
ofenziva
ofenziva
zaščita
• obzirno in premišljeno zastavljena vprašanja udeležencem strokovnih
seminarjev
Nekaj metod obveščevalne dejavnosti
• neformalna druženja v popoldanskem
in večernem času
• uporaba izbrisanih, odvrženih nosilcev podatkov
• lažne ponudbe za zaposlitev
• podkupovanje
• lažna pogajanja s tekmecem pod pretvezo, da se želi pridobiti licenca za enega njegovih patentov
• vtihotapljanje agentov med tekmečeve uslužbence ali tehnike
• kraja vzorcev listin
• kraja pomnilnih medijev, kopiranje podatkov
• nezakonito prisluškovanje
Pristopi do računalniškega sistema
najpogostejši cilji napada:
• uporabniška gesla
• podatki in informacije
• računalniški programi
• onemogočanje uporabe sistema
TEHNIČNE METODE
• izkoriščanje slabosti internetnih protokolov in
nepazljivosti uporabnikov
• pristop do sistema s pomočjo računalniških
programov
• optično vohunjenje
SOCIALNE METODE
• neformalno druženje – info o sistemu, varnostnih
ukrepih ipd
• kompromitacija – izsiljevanje in izkoriščanje osebnih
slabosti
• socialni inženiring – načini pridobivanja gesel za dostop
do sistema z izkoriščanjem nepazljivosti, lahkovernosti
metode
Metode socialnega inženiringa
• prepričevanje – izdajanje za serviserja, uslužbenca IT podpore, vodilnega delavca, sodelavca (v velikih organizacijah je to skoraj nemogoče odkriti) – najpogosteje po telefonu, omrežju
• brskanje po smeteh – veliko uporabnih podatkov:
interni imeniki – imena zaposlenih in telefonske številke
organigrami – položaj posameznih zaposlenih in njihova moč v organizaciji
zapiski – deli informacij za podkrepitev avtentičnosti pri sogovorniku
varnostna navodila – informacija o tem kako (ne)varna je organizacija
koledarji dopustov – podatki o odsotnosti zaposlenih v določenem času
varnostna navodila, priročniki – občutljivi podatki, potrebni za vstop v mrežo
dotrajana strojna oprema – trdi diski so relativno hitro in poceni obnovljivi
• brskanje po pisarni – mize, odprti predali, nalepke, zapiski ipd
• gledanje čez ramo
• povratni socialni inženiring – sabotaža + oznanjanje + pomoč
• direktni napad
Nekaj varnostnih ukrepov
• politika pospravljene mize
• skrb za prijetno počutje na delovnem mestu - krepitev pripadnosti
• izobraževanje in usposabljanje:
ZAKAJ in KAKO prihaja do napadov
nevarnosti, povezane s pogovori z nepooblaščenimi osebami, na neprimernih
krajih, po neustreznih sredstvih
previdnostni ukrepi na potovanjih
obveznost poročanja o vsaki sumljivi/nenavadni okoliščini
varnostno “debrifiranje”
prepoved uporabe enakega ali podobnega gesla na več kot 1 sistemu
prepoved razkrivanja gesel brez predhodne pisne odobritve
postavljanje ključnih vprašanj samim sebi …
Hvala za vašo pozornost