Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa

Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa

[email protected]

Adam Mizerski –ksiądz -architekt


Agenda: klasyka gatunku/audytu wyzwania audytu w sektorze public wyzwania audytu w sektorze finansowym nowe / stare wyzwania w dobie

współczesnych zagrożeń


klasyka gatunku/audytu

Roczny plan audytuPlanowanie audytu w ramach tematów

zaakceptowanych w rocznym planie audytów + audyty zlecone Dobór zespołu audytowego Ustalenie terminu audytu Zapoznanie się z audytowanym obszarem Ustalenie celu, zakresu i typu audytu Ustalenie warunków audytu


klasyka gatunku/audytu

Analiza procesów biznesowych Analiza obszaru audytu Identyfikacja ryzyk i oszacowanie ich poziomu

Przeprowadzenie testów mechanizmów kontrolnych Identyfikacja mechanizmów kontrolnych Testy mechanizmów kontrolnych Ocena adekwatności mechanizmów kontrolnych do zidentyfikowanych ryzyk

Zakończenie audytu Opracowanie raportu oraz nadzór nad realizacją zaleceń


klasyka gatunku/audytu - narzędzia

PN-ISO/IEC 27001:2014-12wersja polska


wyzwania audytu w sektorze publicZgodność z systemem prawnym

§ § §


https

://o

penc

lipar

t.org

/det

ail/1

8269

/cro

w-fl

ying

-dow

n

https

://o

penc

lipar

t.org

/det

ail/1

9251

0/2-

flieg

ende

-kra

ehen

K R I

K r A

K r A


http://www.itsecurity24.info

http://www.itsecurity24.info/







Czytając raport NIK można stwierdzić, że kontrolowane urzędy skoncentrowały się głównie na ochronie danych osobowych, jednak „nie wprzęgły” ochrony danych osobowych w kompleksowy System Zarządzania Bezpieczeństwem Informacji:






NIK objął kontrolą 24 urzędy, a badanie PTI realizowane w postaci ankiety w formie wniosku o udostępnienie informacji publicznej objęło 339 urzędów.




Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań

publicznych


Wytyczne dla kontroli działania systemów teleinformatycznych używanych do realizacji zadań

publicznych


Wytyczne dla audytu działania systemów teleinformatycznych używanych do realizacji zadań

publicznych


4. Obszary kontroliKontrola powinna objąć następujące główne obszary:Wymianę informacji w postaci elektronicznej, w tym

współpracę z innymi systemami/rejestrami informatycznymi i wspomagania świadczenia usług drogą elektroniczną.

Zarządzania bezpieczeństwem informacji w systemach teleinformatycznych.

Zapewnienia dostępności informacji zawartych na stronach internetowych urzędów dla osób niepełnosprawnych.


Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana w szczególności, gdy: nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono jej

obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli); nie zarządza się usługami realizowanymi przez systemy teleinformatyczne

na deklarowanym poziomie dostępności usług i w oparciu o udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki kontroli);

nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań do rejestrów zawierających dane referencyjne w zakresie niezbędnym do realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki

Ilość organizacji bez wdrożonej procedury

Wdrażanie aktywów

Eksploatacja aktywów

Testowanieaktywów

Wycofanie aktywów

Tabela 9. Procedury wdrożone w badanych urzędach

Z badania PTI : http://nauka-polska.pl/dhtml/raporty/praceBadawcze?rtype=opis&objectId=298365&lang=pl

http://nauka-polska.pl/dhtml/raporty/praceBadawcze?rtype=opis&objectId=298365&lang=pl


Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy: nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania

Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki kontroli);

nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§ 20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);

nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz nie są podejmowane działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt 3 rozporządzenia; pkt 2.2 tematyki kontroli);

nie jest przeprowadzany audyt wewnętrzny w zakresie BI co najmniej raz w roku (§ 20 ust. 2 pkt 14 rozporządzenia; pkt 2.9 tematyki kontroli);

nie zarządza się dostępem do systemów teleinformatycznych w sposób zapewniający, że osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji (§ 20 ust. 2 pkt 4 rozporządzenia; pkt 2.4 tematyki kontroli);


Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana w szczególności, gdy: nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji,

ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2 pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);

nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki kontroli);

nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia; pkt 2.12 tematyki kontroli);

nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12 tematyki kontroli).


(…) pozytywną ocenę BI może uzyskać system posiadający mało zabezpieczeń, jeśli taka ich ilość (i jakość) wynika z rzetelnie przeprowadzonej analizy ryzyka (np.: system jednostanowiskowy przetwarzający dane powszechnie dostępne). Jednocześnie ocenę negatywną może uzyskać system posiadający znaczną liczbę zabezpieczeń, w przypadku gdy rodzaj zabezpieczeń (w tym ich ilość i jakość) został zastosowany przypadkowo, bez potwierdzenia poprzez rzetelnie wykonaną analizę ryzyka i powstały w jej wyniku plan postępowania z ryzykiem. W takiej sytuacji jednostka nie zarządza właściwie ryzykiem bezpieczeństwa BI, gdyż system jednostki dla pewnych ryzyk może posiadać nadmierne, niczym nieuzasadnione zabezpieczenia, natomiast dla innych całkowity ich brak.


wyzwania audytu w sektorze finansowymZgodność z systemem prawnym – tak, ale przede

wszystkim:Zarządzanie ryzykiem


wyzwania audytu w sektorze finansowymZgodność z systemem prawnym – tak, ale przede

wszystkim:Zarządzanie ryzykiem

Współczesne bezpieczeństwo opera się na zarządzaniu ryzykiem czyli na adekwatnym doborze zabezpieczeń

do zidentyfikowanych i ocenionych ryzyk uwzględniających ich prawdopodobieństwo i skutek


Czy wasz dział IT

świadczy usługi IT na ustalonym poziomie OLA/SLA ?


Czy wasz dział IT

świadczy usługi IT na ustalonym poziomie OLA/SLA ?

świadomie i udokumentowanie zarządza ryzykiem ?


nowe / stare wyzwania w dobie współczesnych zagrożeń„Shadow IT” – nieautoryzowane IT w organizacji

Cloud Computing outsourcing IT

„łańcuchy podwykonawców”

Ryzyko utraty poufności Ryzyko utraty reputacji Ryzyko utraty dostępności


nowe / stare wyzwania w dobie współczesnych zagrożeńmonitoring IP (shodan.io)

w październiku 2015 r. eksperci odnotowali ogromną liczbę żądań HTTP (do 20 000 żądań na sekundę) pochodzących z kamer telewizji przemysłowej. Badacze zidentyfikowali około 900 kamer na świecie, które tworzyły botnet wykorzystywany do ataków DDoS. http://securelist.pl/analysis/7349,raport_kaspersky_ddos_intelligence_dla_iv_kwartalu_2015_roku.html



nowe / stare wyzwania w dobie współczesnych zagrożeńMalware

Od 8 lat liczba malware wzrasta o 100% 0-day skuteczność AVhttps://www.av-test.org/en/statistics/malware/



nowe / stare wyzwania w dobie współczesnych zagrożeńMalvertising

http://di.com.pl/forbes-poprosil-o-wylaczenie-adblocka-i-zaserwowal-zlosliwa-reklame-54144

http://sekurak.pl/popularne-serwisy-internetowe-infekowaly-wirusami-ransomware/

msn.com, nytimes.com, bbc.com, aol.com, newsweek.com.



nowe / stare wyzwania w dobie współczesnych zagrożeńPhishing - > APT

Jak chronić „najwyższe kierownictwo” ? Jak ocenić szkolenia z zakresu bezpieczeństwa ?



nowe / stare wyzwania w dobie współczesnych zagrożeńBYODInternet of Things ???



nowe / stare wyzwania w dobie współczesnych zagrożeńMaterializacja ryzyka związanego z malware po

stronie klienta w kontekście ryzyka prawnego Banku: Sygn. akt I C 1908/14 -

http://orzeczenia.ms.gov.pl/content/$N/152510000000503_I_C_001908_2014_Uz_2016-02-08_001

Sygn. akt I C 307/15 - http://orzeczenia.ms.gov.pl/content/$N/152510000000503_I_C_000307_2015_Uz_2016-01-15_001








1908/14

Powód logował się na stronę banku ze służbowego laptopa marki A., na którym zainstalowany był legalny system operacyjny oraz oprogramowanie antywirusowe ArcaVir dostarczane przez pracodawcę powoda. Powód czytał komunikaty dotyczące bezpieczeństwa pojawiające się na stronie Banku. (…)

Przed zdarzeniami z dnia 19 listopada 2013 r. powód zainstalował na telefonie program antywirusowy o nazwie „M. antywirus”, do którego instalacji zachęcał komunikat pojawiający się podczas logowania do serwisu internetowego banku. Bank nie wysyłał takich komunikatów do klientów. Podczas wyświetlania się komunikatu w tle widoczna była rzeczywista strona banku, ale komunikat wyświetlany był z innej strony. Komunikat zachęcający do zainstalowania programu antywirusowego nie wymagał wpisania identyfikatora i hasła, wymagał wpisania numeru telefonu klienta, na który przychodził sms-em link aktywacyjny. Oprogramowanie instalowane na telefonie klienta służyło przekierowaniu wszystkich wiadomości kierowanych na telefon klienta na inny numer. W takim przypadku przychodzący z banku sms z kodem transakcyjnym nie jest widoczny dla klienta, jest od razu przekierowywany na inny numer.

Powód nie podawał nikomu loginu i hasła do swojego konta w Banku

Przed zdarzeniami z dnia 19 listopada 2013 r. Bank nie informował powoda o zagrożeniach związanych z komunikatem dotyczącym instalacji rzekomego oprogramowania antywirusowego.


307/15

We wrześniu 2013 r. powódka miała problem z zalogowaniem się drogą elektroniczną do swojego rachunku bankowego w mBanku. Powiedziała swojemu mężowi Z. J., że podczas logowania pojawia się jakaś inna strona.Mąż powódki stwierdził, że na stronie wyglądającej jak strona Banku jest wyświetlany komunikat, że Bank zmienia system zabezpieczeń i w celu uzyskania lepszych zabezpieczeń prosi o podanie numeru telefonu i systemu operacyjnego telefonu. Mąż powódki wpisał numer telefonu i zaznaczył system operacyjny Android. Komunikat nie wymagał podania loginu i hasła. Po chwili w telefonie pojawiła się informacja, że aplikacja (...) została pobrana. W tamtym czasie Bank zmieniał szatę graficzną stron internetowych, był możliwy dostęp do konta ze starej wersji strony i nowej. Powódka korzystała ze starej wersji strony. Po pobraniu aplikacji problem z zalogowaniem się do rachunku bankowego ustąpił.

Komunikat mówiący o potrzebie pobrania dodatkowego oprogramowania zabezpieczającego pojawiał się po wpisaniu adresu prawdziwej strony mBanku i pojawieniu się tej strony. Komunikat zajmował część strony. Był też widoczny symbol zamkniętej kłódki oznaczający bezpieczną stronę. Możliwe było ominięcie tego komunikatu i normalne korzystanie ze strony banku.

W rzeczywistości program (...), który mąż powódki zainstalował na jej telefonie został przesłany przez nieustaloną osobę i jego zadaniem było automatyczne (bez wiedzy właściciela telefonu) przekierowywanie przychodzących wiadomości sms wysyłanych z banku, zawierających jednorazowy kod służący do autoryzacji zlecenia przelewu. Dla właściciela telefonu nie były widoczne smsy z kodami do potwierdzenia transakcji. Przekierowanie dokonywane przez program (...) dotyczyło wszystkich sms-ów przychodzących na dany telefon, nie tylko sms-ów z kodami.

Powódka logowała się do banku z laptopa marki D., na którym zainstalowany był program W. (...). Było na nim zainstalowane oprogramowanie antywirusowe firmy (...), które było aktualizowane. Było to darmowe oprogramowanie dla użytkowników legalnych systemów operacyjnych M.. Telefon powódki miał wgrane oprogramowanie antywirusowe przez operatora – firmę (...). Powódka czytała komunikaty dotyczące bezpieczeństwa pojawiające się na stronie Banku.


Jest RYZYKO

Jest ZABAWA

PN-ISO/IEC 27005:2014-01 - wersja polska

PN-ISO 31000:2012 - wersja polska

COBIT 5 for Risk Polski (Polish)




Administracja publiczna <->

sektor finansowy

A gdzie w tym wszystkim są „MISIE” ?


Pytania ???NIE

DYSKUSJA !!!


Dziękuje za poświęcony czas

[email protected]

Technology

Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa