Upload
adam-mizerski
View
229
Download
6
Embed Size (px)
Citation preview
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Adam Mizerski –ksiądz -architekt
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Agenda: klasyka gatunku/audytu wyzwania audytu w sektorze public wyzwania audytu w sektorze finansowym nowe / stare wyzwania w dobie
współczesnych zagrożeń
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
klasyka gatunku/audytu
Roczny plan audytuPlanowanie audytu w ramach tematów
zaakceptowanych w rocznym planie audytów + audyty zlecone Dobór zespołu audytowego Ustalenie terminu audytu Zapoznanie się z audytowanym obszarem Ustalenie celu, zakresu i typu audytu Ustalenie warunków audytu
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
klasyka gatunku/audytu
Analiza procesów biznesowych Analiza obszaru audytu Identyfikacja ryzyk i oszacowanie ich poziomu
Przeprowadzenie testów mechanizmów kontrolnych Identyfikacja mechanizmów kontrolnych Testy mechanizmów kontrolnych Ocena adekwatności mechanizmów kontrolnych do zidentyfikowanych ryzyk
Zakończenie audytu Opracowanie raportu oraz nadzór nad realizacją zaleceń
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
klasyka gatunku/audytu - narzędzia
PN-ISO/IEC 27001:2014-12wersja polska
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
wyzwania audytu w sektorze publicZgodność z systemem prawnym
§ § §
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
https
://o
penc
lipar
t.org
/det
ail/1
8269
/cro
w-fl
ying
-dow
n
https
://o
penc
lipar
t.org
/det
ail/1
9251
0/2-
flieg
ende
-kra
ehen
K R I
K r A
K r A
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
http://www.itsecurity24.info
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
http://www.itsecurity24.info
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Czytając raport NIK można stwierdzić, że kontrolowane urzędy skoncentrowały się głównie na ochronie danych osobowych, jednak „nie wprzęgły” ochrony danych osobowych w kompleksowy System Zarządzania Bezpieczeństwem Informacji:
http://www.itsecurity24.info
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
NIK objął kontrolą 24 urzędy, a badanie PTI realizowane w postaci ankiety w formie wniosku o udostępnienie informacji publicznej objęło 339 urzędów.
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań
publicznych
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań
publicznych
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wytyczne dla audytu działania systemów teleinformatycznych używanych do realizacji zadań
publicznych
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
4. Obszary kontroliKontrola powinna objąć następujące główne obszary:Wymianę informacji w postaci elektronicznej, w tym
współpracę z innymi systemami/rejestrami informatycznymi i wspomagania świadczenia usług drogą elektroniczną.
Zarządzania bezpieczeństwem informacji w systemach teleinformatycznych.
Zapewnienia dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych.
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana w szczególności, gdy: nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono jej
obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli); nie zarządza się usługami realizowanymi przez systemy teleinformatyczne
na deklarowanym poziomie dostępności usług i w oparciu o udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki kontroli);
nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań do rejestrów zawierających dane referencyjne w zakresie niezbędnym do realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki
Ilość organizacji bez wdrożonej procedury
Wdrażanie aktywów
Eksploatacja aktywów
Testowanieaktywów
Wycofanie aktywów
Tabela 9. Procedury wdrożone w badanych urzędach
Z badania PTI : http://nauka-polska.pl/dhtml/raporty/praceBadawcze?rtype=opis&objectId=298365&lang=pl
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy: nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania
Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki kontroli);
nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§ 20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);
nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz nie są podejmowane działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt 3 rozporządzenia; pkt 2.2 tematyki kontroli);
nie jest przeprowadzany audyt wewnętrzny w zakresie BI co najmniej raz w roku (§ 20 ust. 2 pkt 14 rozporządzenia; pkt 2.9 tematyki kontroli);
nie zarządza się dostępem do systemów teleinformatycznych w sposób zapewniający, że osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji (§ 20 ust. 2 pkt 4 rozporządzenia; pkt 2.4 tematyki kontroli);
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy: nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji,
ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2 pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);
nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki kontroli);
nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia; pkt 2.12 tematyki kontroli);
nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12 tematyki kontroli).
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
(…) pozytywną ocenę BI może uzyskać system posiadający mało zabezpieczeń, jeśli taka ich ilość (i jakość) wynika z rzetelnie przeprowadzonej analizy ryzyka (np.: system jednostanowiskowy przetwarzający dane powszechnie dostępne). Jednocześnie ocenę negatywną może uzyskać system posiadający znaczną liczbę zabezpieczeń, w przypadku gdy rodzaj zabezpieczeń (w tym ich ilość i jakość) został zastosowany przypadkowo, bez potwierdzenia poprzez rzetelnie wykonaną analizę ryzyka i powstały w jej wyniku plan postępowania z ryzykiem. W takiej sytuacji jednostka nie zarządza właściwie ryzykiem bezpieczeństwa BI, gdyż system jednostki dla pewnych ryzyk może posiadać nadmierne, niczym nieuzasadnione zabezpieczenia, natomiast dla innych całkowity ich brak.
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
wyzwania audytu w sektorze finansowymZgodność z systemem prawnym – tak, ale przede
wszystkim:Zarządzanie ryzykiem
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
wyzwania audytu w sektorze finansowymZgodność z systemem prawnym – tak, ale przede
wszystkim:Zarządzanie ryzykiem
Współczesne bezpieczeństwo opera się na zarządzaniu ryzykiem czyli na adekwatnym doborze zabezpieczeń
do zidentyfikowanych i ocenionych ryzyk uwzględniających ich prawdopodobieństwo i skutek
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Czy wasz dział IT
świadczy usługi IT na ustalonym poziomie OLA/SLA ?
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Czy wasz dział IT
świadczy usługi IT na ustalonym poziomie OLA/SLA ?
świadomie i udokumentowanie zarządza ryzykiem ?
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
nowe / stare wyzwania w dobie współczesnych zagrożeń„Shadow IT” – nieautoryzowane IT w organizacji
Cloud Computing outsourcing IT
„łańcuchy podwykonawców”
Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
nowe / stare wyzwania w dobie współczesnych zagrożeńmonitoring IP (shodan.io)
w październiku 2015 r. eksperci odnotowali ogromną liczbę żądań HTTP (do 20 000 żądań na sekundę) pochodzących z kamer telewizji przemysłowej. Badacze zidentyfikowali około 900 kamer na świecie, które tworzyły botnet wykorzystywany do ataków DDoS. http://securelist.pl/analysis/7349,raport_kaspersky_ddos_intelligence_dla_iv_kwartalu_2015_roku.html
Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
nowe / stare wyzwania w dobie współczesnych zagrożeńMalware
Od 8 lat liczba malware wzrasta o 100% 0-day skuteczność AVhttps://www.av-test.org/en/statistics/malware/
Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
nowe / stare wyzwania w dobie współczesnych zagrożeńMalvertising
http://di.com.pl/forbes-poprosil-o-wylaczenie-adblocka-i-zaserwowal-zlosliwa-reklame-54144
http://sekurak.pl/popularne-serwisy-internetowe-infekowaly-wirusami-ransomware/
msn.com, nytimes.com, bbc.com, aol.com, newsweek.com.
Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
nowe / stare wyzwania w dobie współczesnych zagrożeńPhishing - > APT
Jak chronić „najwyższe kierownictwo” ? Jak ocenić szkolenia z zakresu bezpieczeństwa ?
Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
nowe / stare wyzwania w dobie współczesnych zagrożeńBYODInternet of Things ???
Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
nowe / stare wyzwania w dobie współczesnych zagrożeńMaterializacja ryzyka związanego z malware po
stronie klienta w kontekście ryzyka prawnego Banku: Sygn. akt I C 1908/14 -
http://orzeczenia.ms.gov.pl/content/$N/152510000000503_I_C_001908_2014_Uz_2016-02-08_001
Sygn. akt I C 307/15 - http://orzeczenia.ms.gov.pl/content/$N/152510000000503_I_C_000307_2015_Uz_2016-01-15_001
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
1908/14
Powód logował się na stronę banku ze służbowego laptopa marki A., na którym zainstalowany był legalny system operacyjny oraz oprogramowanie antywirusowe ArcaVir dostarczane przez pracodawcę powoda. Powód czytał komunikaty dotyczące bezpieczeństwa pojawiające się na stronie Banku. (…)
Przed zdarzeniami z dnia 19 listopada 2013 r. powód zainstalował na telefonie program antywirusowy o nazwie „M. antywirus”, do którego instalacji zachęcał komunikat pojawiający się podczas logowania do serwisu internetowego banku. Bank nie wysyłał takich komunikatów do klientów. Podczas wyświetlania się komunikatu w tle widoczna była rzeczywista strona banku, ale komunikat wyświetlany był z innej strony. Komunikat zachęcający do zainstalowania programu antywirusowego nie wymagał wpisania identyfikatora i hasła, wymagał wpisania numeru telefonu klienta, na który przychodził sms-em link aktywacyjny. Oprogramowanie instalowane na telefonie klienta służyło przekierowaniu wszystkich wiadomości kierowanych na telefon klienta na inny numer. W takim przypadku przychodzący z banku sms z kodem transakcyjnym nie jest widoczny dla klienta, jest od razu przekierowywany na inny numer.
Powód nie podawał nikomu loginu i hasła do swojego konta w Banku
Przed zdarzeniami z dnia 19 listopada 2013 r. Bank nie informował powoda o zagrożeniach związanych z komunikatem dotyczącym instalacji rzekomego oprogramowania antywirusowego.
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
307/15
We wrześniu 2013 r. powódka miała problem z zalogowaniem się drogą elektroniczną do swojego rachunku bankowego w mBanku. Powiedziała swojemu mężowi Z. J., że podczas logowania pojawia się jakaś inna strona.Mąż powódki stwierdził, że na stronie wyglądającej jak strona Banku jest wyświetlany komunikat, że Bank zmienia system zabezpieczeń i w celu uzyskania lepszych zabezpieczeń prosi o podanie numeru telefonu i systemu operacyjnego telefonu. Mąż powódki wpisał numer telefonu i zaznaczył system operacyjny Android. Komunikat nie wymagał podania loginu i hasła. Po chwili w telefonie pojawiła się informacja, że aplikacja (...) została pobrana. W tamtym czasie Bank zmieniał szatę graficzną stron internetowych, był możliwy dostęp do konta ze starej wersji strony i nowej. Powódka korzystała ze starej wersji strony. Po pobraniu aplikacji problem z zalogowaniem się do rachunku bankowego ustąpił.
Komunikat mówiący o potrzebie pobrania dodatkowego oprogramowania zabezpieczającego pojawiał się po wpisaniu adresu prawdziwej strony mBanku i pojawieniu się tej strony. Komunikat zajmował część strony. Był też widoczny symbol zamkniętej kłódki oznaczający bezpieczną stronę. Możliwe było ominięcie tego komunikatu i normalne korzystanie ze strony banku.
W rzeczywistości program (...), który mąż powódki zainstalował na jej telefonie został przesłany przez nieustaloną osobę i jego zadaniem było automatyczne (bez wiedzy właściciela telefonu) przekierowywanie przychodzących wiadomości sms wysyłanych z banku, zawierających jednorazowy kod służący do autoryzacji zlecenia przelewu. Dla właściciela telefonu nie były widoczne smsy z kodami do potwierdzenia transakcji. Przekierowanie dokonywane przez program (...) dotyczyło wszystkich sms-ów przychodzących na dany telefon, nie tylko sms-ów z kodami.
Powódka logowała się do banku z laptopa marki D., na którym zainstalowany był program W. (...). Było na nim zainstalowane oprogramowanie antywirusowe firmy (...), które było aktualizowane. Było to darmowe oprogramowanie dla użytkowników legalnych systemów operacyjnych M.. Telefon powódki miał wgrane oprogramowanie antywirusowe przez operatora – firmę (...). Powódka czytała komunikaty dotyczące bezpieczeństwa pojawiające się na stronie Banku.
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Jest RYZYKO
Jest ZABAWA
PN-ISO/IEC 27005:2014-01 - wersja polska
PN-ISO 31000:2012 - wersja polska
COBIT 5 for Risk Polski (Polish)
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Administracja publiczna <->
sektor finansowy
A gdzie w tym wszystkim są „MISIE” ?
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Pytania ???NIE
DYSKUSJA !!!
Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa
Dziękuje za poświęcony czas