Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
Cadrul normativ pentru securitate informatică in OBR
Controlul accesului
Managementul corect al parolelor
Inginerie socială
Phishing si spearphishing
Malware
Ransomware
Gestionare incidente
Accesul vizitatorilor și politica biroului curat
Clasificarea informațiilor
Protecția datelor
Utilizarea accesului la internet
Principalele reglementari interne privind securitatea informatică în cadrul OTP Bank România:
• Politica de securitate in cadrul OBR• Norma interna de securitate bancara in cadrul OBR• Politica de Utilizare Acceptabilă a Resurselor Informatice (Anexa 4)
Aceste documente sunt localizate pe portalul intern, la secțiunea GROW – Reglementări – Direcția Securitate Bancară, iar continuțul lor poate fiaccesat de către orice angajat OBR.
O bună înțelegere a politicilor și procedurilor de securitate a informațiilor ajută la protejarea persoanelor de a fi victime ale incidentelor de securitate,
oferă o înțelegere a pașilor de urmat în cazul unui incident de securitate și ajută la înțelegerea nivelurilor de responsbilitate.
Nota: Nerespectarea acestor reglementari de către oricare angajat al băncii implică riscuri de securitate la adresa mediului informatic și poate atrage
implicit sancțiuni de partea angajatului respectiv.
Fiecare angajat are răspunderea de a se informa și respecta normele de securitate informatică ale băncii
Actele sau faptele care încalcă aceste norme nu trebuiesc ascunse sau trecute cu vederea
Tineți cont de aceste două principii atunci când solicitați accesul la resurse dar și atunci când plecați în concediu sau delegație și lăsați responsabilitățile unui înlocuitor
Nu solicitați privilegii mai elevate dacă activitatea pe care o desfășurați nu necesită astfel de privilegii
Principii:
• Principiul “separarii responsabilitatii” – presupune evitarea conflictelor de interese prin partajarea responsabilitatilor aparute in desfasurarea activitatii
profesionale, intre angajatii bancii.
• Principiul “celui mai mic privilegiu” – intr-un mediu de calcul, fiecare modul (cum ar fi un proces, un utilizator sau un program) trebuie să
poata accesa numai acele informatii si resurse care ii sunt necesare pentru un scop legitim in desfasurarea activitatii
Ce trebuie să faci pentru a obține acces?
Cerere acces la resurse IT – Prin postarea unui formular electronic Formulare electronice - Home sau prin completarea Anexei 2 (Cerere acces la resurse IT), se
pot acorda drepturi cum ar fi:
• acces la baze de date
• acces pe servere de aplicatie
• acces la fisiere de loguri
• acces de la distanta la reteaua bancii
• acces permanent la periferice
Formulare electronice (drepturi de acces) - aplicație informatică pentru automatizarea procesării cererilor;
In cazul în care se doresc drepturi in aplicațiile integrate cu Active Directory se va completa formularul <Cerere Modificare drepturi non AbSolut>
Rețineți!
Conectarea de la distanţă la resurse IT
- se vor conecta de la distanţă folosind doar echipamentele proprietate a băncii și aflate în dotarea lor (laptop, token, modem, smartphone);
- echipamentele mobile nu se vor lăsa nesupravegheate, dacă nu se poate asigura protecţia acestora
- Consultati Procedura privind accesul de la distanta la resursele informatice ale bancii pentru mai multe detalii
Dispozitive mobile - Utilizarea dispozitivelor portabile este restrânsă doar la activităţile de serviciu iar utilizatorii trebuie să fie conştienţi şi să accepte termenii şi
condiţiile de folosire, îndeosebi responsabilităţile privind securitatea informaţiilor stocate pe asemenea dispozitive și să evite:
• furtul dispozitivelor mobile
• divulgarea datelor stocate pe dispozitivele mobile
• accesul neautorizat
Cine este un utilizator
privilegiat?
Consultați - Securitatea informatică în cadrul OTP Bank România - Ghidul de management al parolelor -Anexa 3.
Parola reprezintă prima linie de apărare și cel mai sensibil element în cadrul unui sistem de securitate sigur si robust.
Parola:
• NU se comunică nimănui
• NU este solicitată niciodată de către personalul IT/SUPORT/SECURITATE
• NU se notează
• NU se utilizează atunci când poate fi ușor observată de alte persoane
PAROLA trebuie să fie una complexă și sa indeplinească urmatoarele condiții:
• are minim 8 caractere;
• nu conține date despre utilizator (nume, prenume, porecle, data nașterii, etc.), și nu este derivată din acestea;
• conține litere mici, litere mari, spații și caractere speciale (precum !@#$%^&*()[];’,./?<>:”{});
• se schimbă des
• este diferită pentru fiecare cont
Rețineți!
• Utilizatorii sunt responsabili și pot fi traşi la răspundere referitor la asigurarea confidențialității propriilor credențiale de identificare și autentificare
• Utilizatorul trebuie să efectueze schimbarea obligatorie a parolei cel târziu la expirarea perioadei stabilită de documentul actual de reglementare,
respectiv în cazul în care utilizatorul bănuieşte că parola i-a fost compromisă într-un fel sau altul și a ajuns la o persoană neautorizată
Ce este ingineria socială?
Manipularea oamenilor pentru a livra informații sau pentru a intreprinde anumite acțiuni
sau totalitatea acțiunilor care speculează slăbiciunea umană in scopul obținerii a
diverse informații.
De multe ori, pentru un atacator, încercarea de a păcăli oamenii pentru a fura informații
secrete sau a îi determina să facă ceva, este mai ușor decât să pătrundă in
infrastructura IT.
Nu deveni o victimă!
În timp ce atacurile sunt tot mai agresive, de scurtă durată, și au nevoie de doar câțiva
utilizatori pentru o campanie de succes, există metode pentru a vă proteja. Cele mai
multe nu necesită mult mai mult decât pur și simplu să acordați o atenție la detalii.
Aminți-vă următoarele sfaturi pentru a evita sa devenți o victimă:
- nu vă grăbiți – atacatorii doresc să actionați intâi și să gândiți mai târziu. În cazul în
care mesajul transmite un sentiment de urgență sau utilizează tactici sub presiune,
fiți sceptici; Nu lăsați niciodată urgența să vă influențeze deciziile.
- fiți suspicios cu privire la mesajele nesolicitate - în cazul în care un e-mail arata că
este de la o companie cunoscută, faceți propria cercetare. Utilizați un motor de
căutare pentru a merge pe site-ul companiei reale pentru a verifica informațiile.
- nu accesați link-uri din surse necunoscute sau suspicioase – folosiți cursorul
mouse-ului pentru a naviga deasupra linkului din mesaj și verificați link-ul
destinație.
- feriți-vă de orice download - Dacă nu știți personal expeditorul sau nu așteptați un
fișier de la acesta, nu descărcați nimic pe calculatorul dvs.
- ofertele false - Dacă primiți un e-mail de la o loterie străină sau tombolă, bani de la
o rudă necunoscută, sau cereri de a transfera fonduri dintr-o țară străină pentru o
parte din bani, este garantat a fi o înșelătorie.
- nu distribuiți informații sensibile (personale, confidențiale, de serviciu) pe rețelele
de socializare
OAMENII SUNT VERIGA CEA MAI SLABA
DIN LANTUL DE SECURITATE
Infractorilor li se pare mai ușor să
exploateze încrederea unei persoane decât
să pătrundă într-un sistem securizat
Cine este cel mai susceptibil?
Angajat nou
Subcontractor
Personal HR
Sef de departament
Personal IT
CELE MAI MULTE INSELATORII
FOLOSESC O METODA IN 4 PASI
1. Colectarea de informatii
2. Dezvoltarea relatiilor
3. Exploatare
4. Executie
ATACURI COMUNE DE INGINERIE SOCIALA
Phishing si Spear Phising
Telefon sau email de la cinevacare pretinde a fi intr-o pozitie
de autoritate si care solicitainformatii confidentiale cum ar
fi o parola, sau trimiterea de email-uri ce contin malware catre contactele organizatiei
vizate
Vishing si Smishing
Atacatorii conving victimeleprin telefon sau SMS sa
predea detalii personale sausa transfere bani
Tailgating/Piggybacking
Atacatorii obtin accesneautorizat in sediile
companiei urmandindeaproape un angajat
care intra in sediu
Pretexting
Atacatorulfoloseste un motiv credibil pentru a
impersona o autoritate, un coleg, repreentant IT sauun furnizor in scopul de a
aduna informatiiconfidentiale sau alte date
sensibile
Quid Pro Quo
Atacator face apeluritelefonice aleatorii siofera un cadou sau
beneficiu in schimbul uneiactiuni specifice sau
informatii
Baiting
Implica frecvent un dispozitivinfectat cu malware, cum ar fi un USB sau CD/DVD lasat intr-o locatie unde angajatul le vagasi si apoi din curiozitate vaincarca dispozitivul infectat in
computerul lor
Phishing-ul este o metodă de furt de identitate prin care se incearcă obținerea unor date personale sau confidențiale
Pentru aflarea lor, atacurile de phishing se folosesc de un canal electronic de comunicație (e-mail, telefon) sau de un program rău intenționat,care exploateaza vulnerabilitătile sistemului pentru a fura date.
Ce urmăresc atacatorii?
• să păcălească victimele să acceseze o pagină web falsă cu scopul de a obține date cu caracter personal (user, parolă, telefon, email, etc).
• să păcălească victimele să descarce și să instaleze software malițios - acest software poate fi un ransomware sau poate fura date sensibile
de pe calculatorul dvs. (parole, carduri de credit, PIN, etc)
• stabilirea unei relații de incredere cu victima pe o durată mai lungă de timp, folosind conturi false de social media, email-uri sau alte
mijloace prin care pot câștiga increderea victimei și a o determina să desfașoare o anumită acțiune sau inacțiune
Spear Phishing - atacuri phishing direcționate
O înșelătorie spear phishing este un tip de fraudă care poate lua mai
multe forme. Aceste înșelătorii nu folosesc doar diverse tehnici online,
cum ar fi e-mailuri false și reclame pop-up, ci pot include chiar și apeluri
telefonice.
Modul în care funcționează: un e-mail sosește, aparent de la o sursă
de încredere, dar în schimb conduce destinatarul către un site web fals
plin de malware iar utilizatorul este indemnat sa descarce un fișier sau
aplicație, ce va permite atacatorului să infecteze sistemul țintă.
Cum ne protejăm împotriva atacurilor de tip phishing si spear
phising?
• nu faceți click pe link-uri sau descărcați orice atașamente din email-
uri suspecte
• fiți vigilenți și fiți atenți – atacatorii pot utiliza logo-ul companiei reale
pentru a induce în eroare victima pentru a părea o comunicare
legitimă
• atacatorii folosesc, de asemenea, adrese de e-mail falsificate, care
sunt similare cu adresa companiei reale. Cu toate acestea, adresa
poate fi scrisă greșit, verificați cu atenție detaliile expeditorului
(adresa e-mail, domeniu)
Dacă ați identificat un mesaj de tip phishing NU accesați linkurile și NU deschideți fișierele atașate
Dacă ați observat un mesaj suspect, și nu sunteți sigur dacă este legitim sau nu, contactați Departamentul Securitate IT ([email protected]) sau raportati mesajul folosing butonul Report Phishing din Outlook
9. Hacker-ul folosește backdoor-ul pt a fura informații
1. Un hacker tinteste o
companie. Folosind
retelele sociale sau alte
date disponibile pe
internet, el gaseste
angajații cu acces la datele si sistemele companiei
2. Folosind informatiile de pe
retelele de socializare,
identifica si alte persoane pe
care angajatul le cunoaste
3. O adresa de email falsa,
dar asemanatoare este
creata pentru a impersona
rolul unui coleg sau sef
4. Un email personalizat continand un
link sau atasament de la o adresa falsa
este trimis catre angajatul tinta
5. Emailul trece de filtrul
de SPAM si ajunge in
inboxul angajatului
6. Emailul este deschis deoarececunoaste expeditorul
7. Este accesat linkul sau este
deschis documentul atasat
8a. Site-ul deschis cauzeaza furtul
credentialelor sau un malware
este instalat
8b. Atasamentul deschis
instaleaza un malware care
infecteaza sistemul
Desfasurarea unuiatac spear phishing
Tipuri de malware• Viruși - acest tip de malware va distribui copii de sine, folosind orice mijloace pentru a se răspândi
• Viermi - este un software independent care se reproduce fără direcționare și infectează fișierele specifice care sunt deja prezente pe computer
• Cai troieni - un troian este un program rău intenționat care se reconstituie ca fiind util pentru utilizator
• Rootkit - un rootkit este o colectie de software special conceput pentru a permite aplicațiilor de tip malware care colectează informații acces în computer
• Ransomware - blochează accesul la datele unei victime, amenințând fie să le publice, fie să le șteargă până când se plătește o răscumpărare. Mai rău însă, nu există nici o garanție că
plata unei răscumpărări va returna accesul la date, sau va preveni ștergerea acestora de către atacator.
• Keyloggers - software care înregistrează toate informațiile care sunt tastate si stochează informațiile colectate și le trimite la atacator, care poate extrage apoi informații sensibile cum
ar fi numele de utilizator și parole, precum și detaliile cardului de credit.
• Adware – se manifestă de obicei prin anunțuri sub formă de popup-uri și ferestre care nu pot fi închise, si care prezinta aplicatii malițioase
• Spyware - este software-ul care în mod constant spionează/aduna informații despre o organizație și trimite aceste informații la o altă entitate, fără consimțământul victimei
Programele malițioase (Malware) reprezintă o categorie de aplicații proiectate să intrerupă sau să blocheze anumite operații, să obțina informații ce pot provoca pierderea confidentialității,
integrității sau disponibilității datelor sau să obtină acces neautorizat la anumite resurse informatice.
Răspândirea programelor malware
Programele malware pot fi instalate pe computer în mai multe moduri. Iată câteva exemple frecvente:
• descărcarea de pe internet a unor programe software gratuite care conțin, în secret, programe malware;
• descărcarea unor programe legitime care, în secret, vin la pachet cu programe malware;
• accesarea unui site infectat cu programe malware;
• click-ul pe un mesaj de eroare fals sau pe o fereastră de tip pop-up falsă, care duce la descărcarea unui program malware;
• deschiderea unui fișier atașat la e-mail care conține programe malware.
• conectarea unui dispozitiv mobil infectat in calculator (stick USB, CD/DVD, HDD extern)
Cum ne protejăm?
• Computerul și aplicațiile software trebuie să fie actualizate
• Dați dovadă de precauție când dați click pe linkuri sau descărcați ceva
• Fiți precaut când doriți să deschideți fișiere atașate la e-mailuri
• Fiți atenți la atașamentele criptate sau parolate primite pe e-mail dacă sunt dintr-o sursă necunoscută
• Nu aveți încredere în ferestrele de tip pop-up care vă solicită să descărcați programe software
Dacă ați observat un mesaj suspect, și nu sunteți sigur dacă este legitim sau nu, contactați Departamentul Securitate IT ([email protected]) sau raportati mesajul folosing butonul Report Phishing din Outlook
Ce este un atac ransomware?
Ransomware - blochează accesul la datele unei victime, amenințând fie să le publice, fie să le șteargă
până când se plătește o răscumpărare.
Cum te poți infecta cu un Ransomware?
• e-mail - descarcarea de atasamente malițioase deghizate în documente legitime (ex. factură, extras,
etc)
• click pe link-uri cu conținut malițios
Ce se intâmplă după ce ești infectat?
• criptează datele și solicită plata unei răscumparări in criptomonedă (de obicei Bitcoin) pentru
furnizarea cheilor de decriptare
• în funcție de versiune poate încerca să se răspândească în rețea, mărind astfel impactul negativ
asupra organizației
Ce faci când te infectezi?
• opriți imediat calculatorul, deconectați-l de la rețea si anunțați IT Security
• SFAT PENTRU ACASA! - păstrați fișierele criptate, s-ar putea sa fie posibil sa fie decriptate mai
târziu ( luni, ani).
A plăti sau a nu plăti pentru recuperarea fișierelor?
• nu există nici o garanție că plata unei răscumpărări va returna accesul la date, sau va preveni
ștergerea acestora de către atacator
Cum iți poți proteja fișierele împotriva acestor atacuri?
NU poți evita astfel de atacuri, dar poți lua o serie de măsuri de prevenție generală:
• Backups (copii de siguranță) – asigurați-vă ca fișierele importante sunt salvate pe directoarele de
rețea specifice departamentului) ATENȚIE – fișierele de pe stația locală nu sunt incluse in politica
de backup OBR
• nu deschideți atașamente si nu faceți click pe link-uri suspicioase sau din surse necunoscute
• ACASA puteți folosi un HDD extern pentru salvarea periodica a documentelor dvs. importante
• aplicați actualizările de securitate
Gestionare incidente
Incidentul de securitate reprezintă o schimbare defavorabilă în securitatea sistemului informatic, în urma căreia confidenţialitatea,integritatea, autenticitatea sau disponibilitatea datelor administrate în sistemul informatic s-a deteriorat sau poate fi deteriorată.
Toți angajatii băncii sunt responsabili pentru raportarea promptă a incidentelor de securitate cunoscute sau suspectate, inclusiv “slăbiciuni”observate sau suspectate în sistemele sau serviciile OBR, prin telefon, e-mail, sau personal, catre Departamentul de Securitate IT([email protected]) sau către serviciul de Suport IT ([email protected]).
La momentul raportării incidentului, angajatul trebuie să furnizeze următoarele informații:
• nume, prenume, nr. de telefon, și departamentul din care face parte
• descrierea incidentului de securitate cu cât mai multe detalii posibil
• data și ora depistării activitații suspecte
• dovada activității suspecte (jurnale de sistem / aplicație, mesaje de SPAM primite, antetul complet în cazul unor mesaje de mail suspecte,mesaje de hărtuire / amenințare, etc).
Gestionare incidente
Incidentele de securitate cu privire la datele cu caracter personal
În cazul în care are loc o încălcare a securității datelor cu caracter personal, banca notifică acest lucru ANSPDCP, în termen de max. 72 de ore de la data la care
a luat cunoștință de aceasta, cu excepția cazului când încălcarea nu generează un risc pentru drepturile și libertățile persoanelor fizice.
Notificarea trebuie sa conțină cel puțin urmatoarele aspecte:
- descrierea caracterului încălcării securității datelor cu caracter personal
- categoriile și numărul aproximativ al persoanelor vizate în cauză
- categoriile și numărul aproximativ al înregistrărilor de date cu caracter personal în cauză
- numele și datele de contact ale responsabilului cu protecția datelor
- consecințele probabile ale încălcării securității datelor cu caracter personal
- măsurile luate sau propuse spre a fi luate de banca pentru a remedia problema încălcării securității datelor cu caracter personal si pentru atenuarea
eventualelor sale efecte negative.
Daca încălcarea securității datelor cu caracter personal este susceptibilă să genereze un risc ridicat pentru drepturile și libertățile persoanelor vizate, operatorul
informează persoana vizată fără întârzieri nejustificate.
Informarea transmisă persoanei vizate va include:
numele și datele de contact ale DPO
consecințele probabile ale încălcării securității datelor cu caracter personal
măsurile luate sau propuse spre a fi luate de banca
• O atenție deosebită va fi acordată vizitatorilor. Aceștia nu
trebuiesc lăsați nesupravegheați în incinta băncii și trebuie
să vă asigurați că nu expuneți informații sensibile în prezența
persoanelor neautorizate (Informațiile de pe monitor, parola,
documente listate la imprimantă, etc).
• Verificați ca la plecare să închideți sistemele informatice,
documentele, dispozitivele token, cheile de criptare
hardware, etc. în fișete, si să nu fie păstrate pe birou sau în
alte spații nesecurizate.
Accesul vizitatorilor și politica “Biroului Curat”
Conform normei interne de Protectie a Informațiilor in cadrul OTP Bank România, informațiile sunt clasificate pe 4 nivele:
• public• uz intern• secret profesional• secret de serviciu (eticheta se va utiliza doar pentru documentele letrice)
Pentru a încadra corect o informație în una din cele 4 categorii sus-menționate, se va consulta nomenclatorul aflat pe pagina de intranet la sectiunea:
Reglementari interne – Directia Securitate Bancara – Protectia informatiilor in cadrul OBR (N028/2016)
Clasificarea informațiilor
Transmiterea informatiilor clasificate:
• informațiile publice pot fi trimise in mod liber fară restricții, indiferent de destinatar
• este interzisa scoatere din banca a documentelor de uz intern, secret profesional, secret de serviciu fara un scop legitim precum indeplinirea atributiilor de serviciu.
Protecția datelor
Atribuțiile personalului băncii
Responsabilitatile SALARIATILOR :
- sa respecte Politica OBR pentru prelucrarea și protecția datelor cu caracter personal
- să acceseze și să proceseze numai informații care conțin date cu caracter personal necesare îndeplinirii sarcinilor lor
- să informeze și să consulte DPO (Responsabil/Ofiter protectia datelor), cu privire la orice subiect care are impact asupra prelucrarii datelor
personale
Responsabilitatile DIRECTORILOR si SEFILOR DE DEPARTAMENT :
- se asigura că angajații aflați în coordonarea lor accesează numai informații care conțin date cu caracter personal necesare îndeplinirii
sarcinilor lor și procesează date cu caracter personal în conformitate cu Politica OBR pentru prelucrarea și protecția datelor cu caracter
personal
- se asigura că regulile de arhivare sunt respectate în cadrul direcției / departamentului coordonat
Administratorii de date cu caracter personal (Data Stewards):
- desemnati la nivelul unitatilor organizatorice ale bancii
- informeaza DPO cu privire la activități / proiecte / colaborări care implică prelucrarea datelor cu caracter personal
- acorda suport DPO în desfasurarea activitatilor sale
Conformitatea cu protecția datelor cu caracter personal este responsabilitatea fiecarui angajat al bancii
Protecția datelor
DATE CU
CARACTER
PERSONAL
- orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizata)
- informatii de orice natura si cu orice continut, stocate in orice format si pe orice mediu
(date din documentele de identitate, informatii financiare sau medicale, orientari politice, sexuale, culturale sau
religioase etc.)
PERSOANĂ
VIZATĂ
- persoana fizica identificată sau identificabilă la care se referă datele cu caracter personal
- persoana identificabila – persoana care nu este clar delimitata, insa identificarea sa este posibila
In mod direct - prin nume, CNP, numar de la masina, numar de telefon etc.
In mod indirect - prin combinarea mai multor elemente de identificare
(fie ca sunt toate detinute de catre operatorul de date sau nu)
PRELUCRARE - colectarea
- organizarea, structurarea
- stocarea
- adaptarea sau modificarea
- extragerea, consultarea, utilizarea
- divulgarea prin transmitere, diseminarea sau punerea la dispoziţie în orice alt mod
- alinerea sau combinarea
- restricţionarea
- ştergerea sau distrugerea
CREAREA DE
PROFILURI
- prelucrare automată a datelor cu caracter personal
- evaluarea anumitor aspecte referitoare la persoanele fizice (performanţa la serviciu, situaţia economică, starea
de sănătate, preferinţele personale, interesele, comportamentul, locul unde se află sau deplasările)
Accesul la “Internet” se face doar în scop de business și este monitorizat de către administratorii de sistem/rețeași ofițerii de securitate.
Persoanele care au acces la internet trebuie să fie conștiente de pericolele prezente în această rețea și să nu seangajeze în activități care pot pune în pericol rețeaua băncii.
Utilizarea accesului la internet
Activități interzise:
• toate activitățile considerate ilegale conform legislației în vigoare
• copierea neautorizată de materiale supuse legii copyright-ului
• traficul materialelor cu conotatie sexuală, rasistă sau xenofobă
• transferul și instalarea de aplicații neautorizate pe sistemele băncii
• transferul informațiilor confidențiale sau de uz intern fără autorizație
• jocurile on-line