100% Ασφάλεια ΔΕΝ ΥΠΑΡΧΕΙ. ΣΚΟΠΟΣ: Να γνωρίσουμε τους κινδύνους που υπάρχουν. Να καλλιεργήσουμε «ΚΟΥΛΤΟΥΡΑ» ασφάλειας πληροφοριών στις Υπηρεσίες μας. Να μην έχουμε φοβία για αυτά που πιθανολογούμε ότι μπορεί να συμβούν. Προσδιορισμός απαιτήσεων Ασφάλειας (1) Αποτίμηση κινδύνων (risk assessment) Ζημιά που μπορεί να υποστεί ένα οργανισμός Ρεαλιστική εκτίμηση πιθανότητας Αποτίμηση αγαθών (assets) Αποτίμηση απειλών (threads) Αποτίμηση σημείων ευπάθειας (vulnerability) Βαθμός επικινδυνότητας (risk factor) Σχέδιο ασφάλειας (security plan) Προτεινόμενα αντίμετρα (countermeasures) Τεχνικά Διοικητικά Οργανωτικά 1
Προσδιορισμός απαιτήσεων Ασφάλειας (2) Νομικό πλαίσιο και συμβατικές υποχρεώσεις στο κράτος, συνεργάτες, προσωπικό Διαφύλαξη προσωπικών δεδομένων Διαφύλαξη δεδομένων του οργανισμού Δικαιώματα πνευματικής ιδιοκτησίας Σχέδιο επιχειρησιακής συνέχειας (Business Continuity Plan) Προσδιορισμός απαιτήσεων Ασφάλειας (3) Σύνολο αρχών, απαιτήσεων, στόχων του οργανισμού Εκπόνηση πολιτική ασφαλείας Καταμερισμός καθηκόντων σχετικών με την ασφάλεια Εκπαίδευση σε θέματα ασφάλειας Αναφορά συμβάντων Διαχείριση της επιχειρησιακής συνέχειας Ανάγκες μεταφοράς δεδομένων μέσω διαδικτύου Ανάγκες επικοινωνίας ηλεκτρονικού ταχυδρομείου 2
Προσδιορισμός απαιτήσεων Ασφάλειας (4) Ανάγκες υπηρεσιών Αυθεντικοποίηση (authentication) Εξουσιοδότηση (authorization) Ακεραιότητα (integrity) Μη αποποίηση (non repudiation) Εμπιστευτικότητα (confidentiality) Διαθεσιμότητα (availability) Διαδικασίες ελέγχου πληροφοριών (π.χ. πληρωμές) Καθορισμός ευθυνών και ανάληψης κινδύνου σε περίπτωση απάτης Προσδιορισμός απαιτήσεων Ασφάλειας σε outsourcing Ευθύνες των μερών της σύμβασης Τον τρόπο που ικανοποιούνται οι απαιτήσεις τις σχετικής νομοθεσίας Κατανομή αρμοδιοτήτων στα εμπλεκόμενα μέρη Τρόπος ελέγχου πρόσβασης στα δεδομένα του οργανισμού Εμπιστευτικότητα εχεμύθεια Επίπεδο φυσικής ασφάλειας Διαθέσιμες υπηρεσίας και επίπεδο ποιότητας Δικαιώματα ελέγχου και auditing Διαδικασίες χειρισμού και επίλυση προβλημάτων Σχέσεις με τρίτα μέρη και υπεργολάβους 3
Προσδιορισμός Αυθεντικότητας ιστοσελίδας Έλεγχος www.whois.net, www.hostmaster.gr Πρωτόκολλα https, SSL Τηλεφωνικός αριθμό φυσικού καταστήματος-υπηρεσίας (η αναγραφή του είναι υποχρεωτική, στοιχεία επικοινωνίας) Συλλογή προσωπικών δεδομένων Νομοθετικό πλαίσιο (Ν2472/97 και Ν2774/99) Μέσω εντύπων που συμπληρώνει ο επισκέπτης Μέσω cookies Τεχνικές εξόρυξης δεδομένων Προϋποθέσεις Συγκατάθεση του χρήστη Στο πλαίσιο εκπλήρωσης σύμβασης Πληροφορία που βρίσκεται σε δημόσιες προσβάσιμες πηγές Σοβαρή παραβίαση της ιδιωτικής ζωής (Οδηγία 2002/58/ΕΚ) Λογισμικό παρακολούθησης Δικτυακοί «κοριοί» (web bugs) 4
Συλλογή προσωπικών δεδομένων (2) Διαφημιστικά μηνύματα ηλεκτρονικού ταχυδρομείου Μόνο μετά από ρητή συγκατάθεση του παραλήπτη (Ν2774/99) Συγκατάθεση = Μόνο μετά από ενημέρωση (ενημερωμένη συγκατάθεση) Υποχρέωση προστασίας της εμπιστευτικότητας (Ν2472/97, άρθρο 10) www.dpa.gr/secure.htm Μέσα υποκλοπής πληροφορίας: Φωνή (ηχητικά κύματα) Εικόνα (κάμερες) Φως (οπτικές ίνες) Ηλεκτρικό ρεύμα (τηλέφωνο, fax) Ηλεκτρομαγνητικά Κύματα (όλες οι μορφές ραδιοκυμάτων) 5
Υποκλοπή Φωνής - Εικόνας Παγίδευση χώρων εργασίας, αιθουσών συσκέψεων. Υποκλοπή φωνής μέσω του κινητού τηλεφώνου ακόμη και όταν αυτό είναι κλειστό. Υποκλοπή από τηλεφωνικό κέντρο Υποκλοπή PSTN γραμμής Υποκλοπή ISDN γραμμής Υποκλοπή Οπτικής ίνας Τηλεφωνικά κέντρα Ο ΚΑΤΑΣΚΕΥΑΣΤΗΣ (π.χ. ALCATEL, SIEMENS, NORTEL)? Ο ΠΑΡΟΧΟΣ ΤΗΛΕΠ/ΚΩΝ ΥΠΗΡΕΣΙΩΝ (π.χ. ΟΤΕ)? ΟΙΔΙΟΚΤΗΤΗΣτου ΙΤΚ? ΟΣΥΝΤΗΡΗΤΗΣτου ΙΤΚ? Προειδοποιητικά σημάδια: Ξαφνική αλλαγή συνηθειών κλήσεων Παράπονα από το προσωπικό ότι δεν μπορεί να «βγάλει» γραμμή. Αύξηση στις διεθνείς κλήσεις, νούμερα 800, Σ/Κ καιαργίες, λανθασμένων κλήσεων. Περίεργα μηνύματα στις θυρίδες του φωνητικού ταχυδρομείου. Μεγάλη διάρκεια τηλεφωνημάτων. Τηλεφωνήματα σε ροζ υπηρεσίες. Υψηλοί Λογαριασμοί. 6
Μέτρα προστασίας (1) Φυσική ασφάλεια χώρου. Περιοδικός έλεγχος εξαρτημάτων και λογισμικού Ι.Τ.Κ. Έλεγχος γραμμών και καλωδιώσεων. Έλεγχος κατανεμητών. Προστασία του LOG-files ΠΑΡΑΚΟΛΟΥΘΗΣΗ ΑΛΛΑΓΩΝ!!!! Αλλαγή των κωδικών πρόσβασης του Ι.Τ.Κ. τακτικά. Διαγραφή ξεχασμένα user-ids/passwords Προσοχή στα default passwords που βρίσκονται για κάθε τύπο κέντρου στο διαδίκτυο (βλέπε και www.virus.org ). Προσοχή σε ξεχασμένα τμήματα κώδικα στον σκληρό δίσκο που μπορεί να ενεργοποιήσουν επικίνδυνες λειτουργίες Μέτρα προστασίας (2) Εκπαίδευση σε θέματα ασφάλειας. Μπλοκάρισμα των διεθνών γραμμών σε χώρες που δεν χρειάζονται και των ροζ προθεμάτων (0068, 0067, 00245 ). Έλεγχος φωνητικού ταχυδρομείου. Τακτικοί έλεγχοι χρήσης / κατάληψης φορέων (trunks) 7
Οι κίνδυνοι από υπολογιστές ΙΟΙ (viruses, worms) Δούρειοι Ίπποι (Trojan Horses) Cookies Spam mail Λογισμικό Spyware Key Loggers Data Loggers Dialers (X-Internet) Phishing Γνωρίζει τι πληροφορίες υπάρχουν στο PC σου? Ένας απίστευτος αριθμός προσωπικών στοιχείων βρίσκεται αποθηκευμένος στον υπολογιστή μας, όσα μέτρα και αν πάρουμε. E-mail address book, διευθύνσεις στο διαδίκτυο που συνήθως επισκεπτόμαστε. Το όνομά μας και το όνομα της εταιρίας μας. Αριθμοίπιστωτικώνκαρτώνανκάνουναγορέςμέσω διαδικτύου. Κωδικοί που συνήθως χρησιμοποιούμε.. 8
Προστασία Update λειτουργικού ANTIVIRUS SOFTWARE FIREWALL AND FILTERS DYNAMIC PASSWORDS Αποφυγή downloads ΔΟΥΡΙΟΙ ΙΠΠΟΙ Πρόγραμμα ή μέρος κώδικα υπολογιστή κρυμμένο σε άλλο πρόγραμμα το οποίο εκτελεί μία παράνομη ενέργεια. 9
TROJAN HORSE Δούρειος ίππος Κίνδυνοι από Trojan horse: Υποκλοπή ευαίσθητων δεδομένων ή δημιουργία μίας κερκόπορτας (trap door). REMOTE CONTROL πρόσβαση pc από το Internet. COPY, CHANGE, DELETE INFORMATION Υπολοπή αρχείων όπως: ++ PGP ENCRYPTION KEYS ++ SOFTWARE CERTIFICATE INTERNET BANK REMOTE ACCESS TROJANS MAIL TROJANS FTP TROJANS KEYLOGGER TROJANS Μετάδοση TROJAN HORSE με τη χρήση E-MAIL BOMB 10
Τα COOKIES περιέχουν πληροφορίες σχετικά με το WEB SITE που επισκεφθήκαμε και βρίσκονται στο σκληρό μας δίσκο του PC μας σαν.txt FILES Προστασία από Cookies? -No cookies accepted - Σβήσιμο των cookies 11
Οι πιο διαδεδομένες μέθοδοι προσβολής & μόλυνσης Spam mail (αρχεία διαφόρων τύπων). Τελευταία αρχεία jpeg (φωτογραφίες) Προσβολή ακόμη και κατά την απλή πρόσβαση σε ιστοσελίδες (π.χ. Active-X) Key Loggers (ο υποκλοπέας των πληκτρισμών) Υποκλοπή των πληκτρισμών του πληκτρολογίου (passwords, κειμένων). Υποκλοπή ακόμη και κωδικών κρυπτογράφησης (π.χ. PGP). Δύο βασικές μορφές (βασισμένοι σε hardware ή σεsoftware). 12
S/W Data Loggers. Φαντάσου να είχες τη δυνατότητα να παρακολουθείς κάθε υπολογιστή σε όλο τον κόσμο εξ αποστάσεως, οποτεδήποτε θέλεις. Phishing (1) 13
Phishing (2) Phishing (3) 14
Phishing (4) Phishing (5) 15
Phishing (6) Phishing (7) 16
ΑΝΤΙ - ΜΕΤΡΑ FIREWALLS INTRUSION DETECTION SYSTEMS HONEY POTS ΕΦΑΡΜΟΓΗ SECURITY POLICY Πρότυπα ISO 17799 & BS - 7799 ΣΥΜΠΕΡΑΣΜΑΤΑ Η γνώση των μεθόδων υποκλοπών πληροφοριών σαν μέσο προστασίας Απαραίτητη η δημιουργία κουλτούρας ασφάλειας Ένας Οργανισμός εταιρία χωρίς SECURITY POLICY είναι ανοχύρωτο κάστρο 17