w w w . v i a v i s . c z 1 / 30 Technická opatření kyber bezpečnosti Kybernetická a informační bezpečnost I Vladimír Lazecký vladimir.lazecky@viavis.cz www.viavis.cz 2 / 30 Cíl přednášky Základní přehled technických opatření Proč? Zabránit incidentům Detekovat incidenty Udržet stanovenou míru bezpečnosti www.viavis.cz 3 / 30 Zopakujeme – základní pojmy analýzy rizik Aktivum Hodnota Hrozba Zranitelnost Četnost Dopad hrozby Riziko Ochranné opatření Účinnost www.viavis.cz 4 / 30 Aktivum Aktivum - všechno, co má hodnotu Informační aktivum – samotná informace Hmotná aktiva Nehmotná aktiva (např. programy, data, morálka pracovníků, pověst ...) Systémy aktiv - spojují jak hmotné, tak nehmotné prvky – lidé, informační systémy Primární aktiva Informace, nebo služby kterou zpracovává nebo poskytuje IS Př: řízení výroby, personální systém… Podpůrná aktiva – aktiva potřebná pro provoz primárních aktiv- lidé, HW, SW… www.viavis.cz 5 / 30 Základní vztahy www.viavis.cz 6 / 30 ISMS – systém managementu informační bezpečnosti Organizační opatření: ISMS, ZKB, Vyhláška ZKB (nejen) Definice pravidel hry Politiky, směrnice, role, odpovědnost, pravomoc Řízení dodavatelů… Procesy – PDCA cyklus Technická opatření www.viavis.cz 7 / 30 Technická opatření – inspirace vyhláška č. 82/2018 Fyzická bezpečnost Co je fyzická bezpečnost? Definice perimetru Zabránění neoprávněnému přístupu Ochrana před poškozením a zcizením Ochrana systémů a lidských zdrojů www.viavis.cz 8 / 30 Technická opatření Bezpečnost komunikačních sítí Perimetr a segmentace Řízení provozu Vzdálené přístupy, zajištění dostupnosti, důvěrnosti a integrity Blokování nežádoucího provozu Technologie: Firewall, IDS (Intrusion Detection System), FlowMon, VPN… Problémy: Technologické systémy Vzorce chování a detekce anomálií www.viavis.cz 9 / 30 Technická opatření Správa a ověřování identit Centrální x decentralizovaná správa identit Vysoká míra jistoty u ověření identity Podpora více faktorové autentizace Single Sign On Identity Management System (AD…) Řízení přístupových oprávnění – náročný a komplikovaný proces Autorizace uživatelů www.viavis.cz 10 / 30 Technická opatření Ochrana před škodlivým kódem Co je škodlivý kód? Antiviry Jaké jsou jejich limity? Spyware, malware, Trojan Horse, Back Door… www.viavis.cz 11 / 30 Technická opatření Zaznamenávání a detekce událostí Uživatelé, správci, záznam aktivit Detekce anomálií, jejich hodnocení Incidenty – detekované události představující bezpečnostní hrozbu Klíčové otázky: Jakou zvolit hloubku Jak efektivně vyhodnocovat Metadata dražší dat www.viavis.cz 12 / 30 Technická bezpečnost Aplikační bezpečnost Zranitelnosti a slabiny aplikací Ověřování integrity dat Útoky na data – WEB, mailová komunikace Jak navrhnete požadavky na bezpečnost aplikace? Co vše do aplikační bezpečnosti patří? (samostatný předmět) www.viavis.cz 13 / 30 Pojďme si opět hrát Naše stará známá Soukromá s.r.o. Soukromá s.r.o. je středně velká soukromá společnost zaměřená na strojírenskou zakázkovou výrobu s 300 stálými zaměstnanci a úzkou spolupráci s dalšími firmami (kooperace). Původně šlo o malou nástrojárnu, která postupně rostla. Dnes generuje tržby kolem 700 mil/rok, je stabilní, trvale v zisku. Struktura vlastníků jsou 3 společníci, fyzické osoby. Hlavní činnost spočívá převážně v návrhu, programování robotů a jejich kompletací a testování z výroby a nasazením u zákazníků. Zákazníci jsou světově známé výrobní korporace, kde Soukromá s.r.o. vykryla niku trhu, je schopna rychle reagovat na atypické požadavky v jednotlivých kusech. Část výrobních kooperací probíhá u dodavatelů v Číně a v zemích EU. www.viavis.cz 14 / 30 Nastoupil bezpečnostní manažer Společnost je po incidentu Najala bezpečnostního manažera Jeho cílem je „vyřešit bezpečnost“ Co bude dělat? Jak bude postupovat? www.viavis.cz 15 / 30 Pravidla hry Tým managementu Ředitel, obchodní, výrobní a ekonomický ředitel Bezpečnostní manažer + IT tým 2 skupiny, každá bude pro tu druhou představovat tým managementu www.viavis.cz 16 Prostor pro vaše dotazy www.viavis.cz 17 Prostor pro vaše dotazy… Děkuji za pozornost Za tým VIAVIS a.s. § Vladimír Lazecký