Οι Προκλήσεις της Ασφάλειας Διαδικτύου για τις Επιχειρήσεις & Τα Πρότυπα Προστασίας των Προσωπικών Δεδομένων

Transcript

1 Οι Προκλήσεις της Ασφάλειας Διαδικτύου για τις Επιχειρήσεις & Τα Πρότυπα Προστασίας των Προσωπικών Δεδομένων Δρ. Βασιλική Λιάγκου Τμήμα Πληροφορικής & Τηλεπικοινωνιών, Πανεπιστήμιο Ιωαννίνων

2 Σύνοψη Η αναγκαιότητα της Ασφάλειας Μερικές Διάσημες Επιθέσεις Μερικά Στατιστικά Στοιχεία Τρόποι Άμυνας Τομείς Ασφάλειας Προστασία Προσωπικών Δεδομένων & GDPR

3 Μα, γιατί μιλάμε για την ασφάλεια; Κακόβουλο λογισμικό (botnets, trojans, rootkits),. Παράνομη εισβολή σε συστήματα, (Hacking, cracking ), Μη εξουσιοδοτημένη πρόσβαση σε πληροφορία (read, write) Επιθέσεις Άρνησης Εξυπηρέτησης (DOS, DDOS). Επιθέσεις Πλαστοπροσωπίας (Spoofing / Masquerading), Κλοπή Ταυτότητας (Identity Theft) Υποκλοπές Επικοινωνιών, Πρόσβαση σε προσωπικά δεδομένα Μη ζητηθείσα επικοινωνία (spam), «Ηλ. Ψάρεμα» (Phishing) Ηλεκτρονικό έγκλημα (cyber-crime), παιδική πορνογραφία, Παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας

4 Μα, γιατί μιλάμε για την ασφάλεια; Για την προστασία πολίτιμης πληροφορίας, ενώ εξακολουθεί να επιτρέπει την πρόσβαση σε όσους την χρειάζονται Για τα ευαίσθητα δεδομένα, κρίσιμες εμπορικές πληροφορίες, ιατρικά αρχεία, κ.λπ. Για την πιστοποίηση και τον έλεγχο της πρόσβασης σε πόρους π.χ AFS Εγγύηση διαθεσιμότητας των πόρων (99,999% αξιοπιστία)

5 Ποιος είναι ευάλωτος Τα χρηματοπιστωτικά ιδρύματα και οι τράπεζες Οι πάροχοι υπηρεσιών Διαδικτύου Οι φαρμακευτικές εταιρείες Κυβέρνηση και οργανισμοί άμυνας Εργολάβοι σε διάφορες κυβερνητικές υπηρεσίες Οι επιχειρήσεις Οποιονδήποτε στο δίκτυο

6 Μερικές Διάσημες Επιθέσεις Επιθέσεις Πλαστοπροσωπίας Επιθέσεις Fishing Επιθέσεις Social Engineer Επιθέσεις Facebook Clickjacking Επιθέσεις Tabnabbing

7 Spoofing / Masquerading Επιθέσεις Πλαστοπροσωπίας (Spoofing / Masquerading). Χρήση «πλαστής» ταυτότητας µε σκοπό τη µη ανίχνευση του επιτιθέµενου, ή/και την παράκαµψη των τεχνικών ελέγχου πρόσβασης του συστήµατος.

8 Spoofing / Masquerading

9 Phishing -Kοινωνική μηχανική (social engineering)

10 Social engineering

11 Facebook clickjacking Panda Labs, Quarterly Report, April-June 2010 όταν οι hackers χρησιμοποιούν ψεύτικα κουμπιά και εικονίδια για να ξεγελάσουν τους χρήστες να κάνουν τις ανεπιθύμητες ενέργειες στο Facebook. Για παράδειγμα, οι απατεώνες μπορεί να φορτώσει ένα αόρατο κουμπί στο Facebook και να το τοποθετήσει σε ένα διαφορετικό κουμπί. Στη συνέχεια, όταν κάνετε κλικ στο ορατό κουμπί, να γίνει μια ενέργεια που δεν επιθυμούσατε.

12 Tabnabbing Μια phishing επίθεση, η οποία πείθει τους χρήστες να υποβάλουν τα στοιχεία σύνδεσής τους κωδικούς πρόσβασης και σε δημοφιλείς δικτυακούς τόπους Υπάρχει πλαστογραφία ιστοσελίδων ώστε να πεισθεί ο χρήστης για την γνησιότητα ότι η τοποθεσία είναι γνήσια. Η επίθεση εκμεταλλεύεται την εμπιστοσύνη των χρηστών και η απροσεξία στη λεπτομέρεια σε σχέση με τα tabs και στο γεγονός ότι οι σύγχρονες ιστοσελίδες καθυστερούν να φορτώσουν τα tabs. Tabnabbing λειτουργεί αντίστροφα από περισσότερες επιθέσεις phishing στο ότι δεν ζητούν από τους χρήστες να κάνουν κλικ, αλλά αντ 'αυτού φορτώνει μια ψεύτικη σελίδα σε μία από τις ανοιχτές καρτέλες στον browser σας.

13 Tabnapping

14 Είδη Επιθέσεων

15 To Κόστος των Επιθέσεων

16 Αύξηση του κακόβουλου Λογισμικού

17 Τρόποι άμυνας Έλεγχος προσπέλασης στο σύστημα Έλεγχος προσπέλασης στα δεδομένα Διαχείριση συστήματος και ασφάλειας Σχεδιασμός συστήματος (αξιοποίηση δυνατοτήτων ασφάλειας)

18 Τύποι μέτρων προστασίας Κρυπτογράφηση: Η κύρια μέθοδος προστασίας των δεδομένων κατά τη μετάδοσή τους Μέτρα λογισμικού: χρήση προτύπων, λειτουργικό σύστημα, μέτρα στα προγράμματα (π.χ. pswd στις ΒΔ) Μέτρα υλικού συσκευές κρυπτογράφησης ή βιομετρικής αναγνώρισης χρηστών (ίριδα, δακτυλικά απ., hasp, κάρτες πρόσβασης κ.α.) Φυσικά μέτρα υλικού κλειδαριές, back up, UPS, κλιματισμός, Πολιτικές ασφάλειας. Συχνή αλλαγή συνθηματικών Απαραίτητες σε μεγάλους οργανισμούς

19 Προβλήματα κατά ή για την εισαγωγή ασφάλειας Δεν σχεδιάζεται / περιλαμβάνεται από την αρχή αλλά προστίθεται μετά Κοστίζει, συνήθως, αρκετά. Μεγάλη πολυπλοκότητα (κυρίως στα λογισμικά) Το κύριο πρόβλημα ασφάλειας είναι οι χρήστες

20 1. Έλεγχος Πρόσβασης (Access Control) Έλεγχος Λογικής Πρόσβασης: Αυθεντικοποίηση Οντότητας Passwords, CAPTCHA s, τεχνικές πρόκλησης απάντησης, συστήματα ενιαίας πρόσβασης (single sign-on), Έλεγχος Φυσικής Πρόσβασης Αυθεντικοποίηση Οντότητας Βιομετρία, smartcards, tokens Έλεγχος Φυσικής Πρόσβασης σε υποδομές και αγαθά

21 2. Μοντέλα Εξουσιοδότησης και Ασφάλεια Συστήματος ACLs, Ασφάλεια MLS and information flow Sandboxing & Virtualization Application Security Memory security File system Security Digital Forensics Database Security OS Kernel Security Trusted Computing Hardware Security Tempest and Side Channel Attacks Assurance and Evaluation

22 3. Κακόβουλο Λογισμικό Bots, Botnets Worms & Trojans Rootkits Spam, Phishing & Fraud Intrusion Detection Wireless & Cellular Malware

23 4. Ασφάλεια στο Web Web browser security Web app & web server security Web privacy Web-based malware

24 5. Η Κρυπτογραφία στην Υπηρεσία της Ασφάλειας Κρυπτογραφικές τεχνικές στην Ασφάλεια Επικοινωνιών & Δικτύων Προηγμένες τεχνικές αυθεντικοποίησης οντότητας και δεδομένων Κρυπτογραφικές τεχνολογίες εμπιστευτικότητας και ακεραιότητας Κρυπτογραφικές τεχνικές για την προστασία της ιδιωτικότητας Ασφάλεια και Ιδιωτικότητα σε Κατανεμημένες Εφαρμογές

25 6. Ασφάλεια Δικτύων TCP/IP Security (Application, Transport, IP, MAC layers, ) Personal and Network Firewalls Penetration testing Network Authentication Network intrusion Detection Security in Wireless networks Network security policies

26 7. Ασφάλεια Κατανεμημένων Συστημάτων Security Domains E-commerce transactions E-voting/ e-auctions Distributed Databases Security Distributed applications Security Distributed File Systems Security Web Services (WS) Security Security and Privacy in Pervasive Computing Environments Security and Privacy in Location-based Services (LBS) Security in banking/health sector

27 8. Κοινωνικά και Θεσμικά Ζητήματα της Ασφάλειας User anonymity & Privacy Freedom-of-Speech & Censorship Security and Usability Security Psychology Security Economics Αλλά και: Νομικά και Θεσμικά Ζητήματα Κυβερνο-έγκλημα (Cyber crime) Πνευματικά Δικαιώματα Δεοντολογία & Κυβερνο-ηθική (Cyber-ethics)

28 GDPR Ο Γενικός Κανονισμός για την Προστασία Δεδομένων τέθηκε σε εφαρμογή το Μάιο του 2018 σε όλα τα κράτη μέλη της Ευρωπαϊκής Ένωσης. Ποιους αφορά ο Κανονισμός; Ο Γενικός Κανονισμός για την Προστασία Προσωπικών Δεδομένων εφαρμόζεται σε κάθε επιχείρηση που ελέγχει ή διαχειρίζεται προσωπικά δεδομένα

29 Απλά δεδομένα : στοιχεία αναγνώρισης: ονοματεπώνυμο, ηλικία, κατοικία, επάγγελμα, οικογενειακή κατάσταση φυσικά χαρακτηριστικά εκπαίδευση εργασιακές σχέσεις οικονομική κατάσταση ηλεκτρονικά ίχνη ενδιαφέροντα, συνήθειες δραστηριότητες GDPR-Απλά και Ευαίσθητα Προσωπικά Δεδομένα Ευαίσθητα δεδομένα φυλετική ή εθνοτική προέλευση πολιτικά φρονήματα θρησκευτικές ή φιλοσοφικές πεποιθήσεις συμμετοχή σε συνδικαλιστικές οργανώσεις υγεία και κοινωνική πρόνοια ερωτική ζωή συμμετοχή σε συναφείς με τα ανωτέρω ενώσεις προσώπων

30 GDPR Διαχείριση προσωπικών δεδομένων Συλλογή Καταχώριση Οργάνωση Αποθήκευση Τροποποίηση Εξαγωγή Χρήση Διαβίβαση Διάδοση Συσχέτιση Διασύνδεση Δέσμευση Διαγραφή Καταστροφή

31 Βασικές Ερωτήσεις Τι προσωπικά δεδομένα έχουμε? Γιατί τα συγκεντρώσαμε? Πως τα αποκτήσαμε? Γιατί διατηρούμε τα συγκεκριμένα δεδομένα? Πόσο καιρό θα τα διατηρήσουμε? Πόσο ασφαλή είναι? Τα διαβιβάζουμε σε τρίτους και κάτω από ποια βάση γίνεται η διαβίβαση?

32 Τμήμα ανθρώπινου δυναμικού Κατηγορίες υποκειμένων: υπάλληλοι, πρώην υπάλληλοι, δυνητικά ενδιαφερόμενοι για θέσεις εργασίας Δεδομένα: ονοματεπώνυμο, λοιπά απλά προσωπικά δεδομένα, εθνότητα- ευαίσθητα δεδομένα, άδειες ασθένειας, έντυπα αιτήσεων, αξιολογήσεις, εργατικά ατυχήματα, καταγραφή ήχου ή εικόνας, κάρτες εργασίας

33 Αξιολόγηση και Εντοπισμός κενών σε σχέση με τις κανονιστικές απαιτήσεις των Υφιστάμενων διαδικασιών για την διαχείριση, διατήρηση και επεξεργασία προσωπικών δεδομένων Υφιστάμενων εγγράφων για την διαχείριση, διατήρηση και επεξεργασία προσωπικών δεδομένων Υφιστάμενων συστημάτων για την διαχείριση, διατήρηση και επεξεργασία προσωπικών δεδομένων

34 Σχεδιασμός απαραίτητων μέτρων

35 Documentation Καταγραφή συνολικών διαδικασιών και εγγράφων Αξιολόγηση κινδύνων, επικινδυνότητα, μέτρα προστασίας

36 GDPR & Νέες υποχρεώσεις Ενισχυμένη ασφάλεια και εφαρμογή πολιτικών ασφάλειας π.χ. ψευδωνυμοποίηση και κρυπτογράφηση Διενέργεια εκτίμησης αντικτύπου (impact assessment): εκτίμηση των σχεδιαζόμενων πράξεων, για επεξεργασίες που παρουσιάζουν υψηλό κίνδυνο, σχετίζονται με αξιολόγηση προσωπικών πτυχών και αφορούν δεδομένα μεγάλης κλίμακας Τήρηση αρχείου δραστηριοτήτων: αντικαθιστά την υφιστάμενη γνωστοποίηση Ορισμός Υπεύθυνου Προστασίας Δεδομένων: Αναλαμβάνει το ρόλο του θεματοφύλακα των προσωπικών δεδομένων διαθέτει επιστημονικές γνώσεις Θα μπορεί να προλαμβάνει περιπτώσεις παραβίασης προσωπικών δεδομένων παρακολουθεί γενικά τη συμμόρφωση με τον Κανονισμό και έχει συμβουλευτικό ρόλο

37 GDPR & Νέες υποχρεώσεις Ενισχυμένη ασφάλεια και εφαρμογή πολιτικών ασφάλειας π.χ. ψευδωνυμοποίηση και κρυπτογράφηση Διενέργεια εκτίμησης αντικτύπου (impact assessment): εκτίμηση των σχεδιαζόμενων πράξεων, για επεξεργασίες που παρουσιάζουν υψηλό κίνδυνο, σχετίζονται με αξιολόγηση προσωπικών πτυχών και αφορούν δεδομένα μεγάλης κλίμακας Τήρηση αρχείου δραστηριοτήτων: αντικαθιστά την υφιστάμενη γνωστοποίηση Ορισμός Υπεύθυνου Προστασίας Δεδομένων: Αναλαμβάνει το ρόλο του θεματοφύλακα των προσωπικών δεδομένων διαθέτει επιστημονικές γνώσεις Θα μπορεί να προλαμβάνει περιπτώσεις παραβίασης προσωπικών δεδομένων παρακολουθεί γενικά τη συμμόρφωση με τον Κανονισμό και έχει συμβουλευτικό ρόλο

38 Εφαρμογή αρχής «Privacy by design»: ο αρχικός σχεδιασμός υπηρεσίας ή προϊόντος θα πρέπει να δημιουργεί φιλικές συνθήκες για την προστασία των δεδομένων Εφαρμογή αρχής «Privacy by default»: εφαρμογή κατάλληλων μέτρων που θα διασφαλίζουν ότι εξ ορισμού, υφίστανται επεξεργασία μόνο τα δεδομένα που είναι απαραίτητα για το σκοπό της επεξεργασίας Τήρηση Κωδίκων Δεοντολογίας και εξασφάλιση πιστοποιήσεων, σφραγίδων και σημάτων προστασίας δεδομένων Καθορισμός σαφών πολιτικών και διαδικασιών ασφάλειας σε περίπτωση παραβίασης της ασφάλειας γνωστοποίηση παραβίασης εντός 72 ωρών από τη στιγμή απόκτησης γνώσης του γεγονότος 38

39 Συμπεράσματα «Τρείς βασικοί παράγοντες επιτρέπουν τη διάδοση των κακόβουλων λογισμικών και ιών: η κοινή χρήση, ο προγραμματισμός και οι αλλαγές. Το μόνο που πρέπει να κάνουμε είναι να εξαλείψουμε αυτούς τους τρείς παράγοντες και θα είμαστε απόλυτα απαλλαγμένοι από ιούς και spam». Fred Cohen, Short Course on Computer Viruses, 2nd Edition «Δεν υπάρχει απόλυτη ασφάλεια. Το κατά πόσο ένας εξυπηρετητής δεν έχει εισβολέα εξαρτάται από το χρόνο, τα χρήματα και τον ρίσκο που ο κακόβουλος χρήστης είναι διατεθειμένος να δαπανήσει, σε σύγκριση με το χρόνο, τα χρήματα και την δουλεία που απαιτείται να διαθέσουμε για την υπεράσπιση του» Cheswick et al. 2003