Delete this box and insert your firm logo. Top of the wing should sit on the gridline above

«САНГРАНТ»

Лого клиента

В. Мельничук, директор сервиса ИТ аудита и консалтинга

Информационная НЕбезопасность предприятия

Семинар«Международные стандарты в банковской деятельности»20 февраля 2015

Корпоративные риски

• Несостоятельность поддерживать критические услуги

• Уменьшение рыночных позиций или рыночной стоимости

• Потеря имиджа, репутации, бренда, гудвил (goodwill)

• Потеря активов, интеллектуальной собственности, персонала

• Потеря управления бизнесом• Невыполнение

юридических/регуляторных требований

Классификация происшествий по версии Verizon

ВСЕГО ЛИШЬ ТРИ КЛАССА ИНЦИДЕНТОВ СОСТАВЛЯЮТ…

…от общего количества инцидентов по индустрии

Розничный сектор финансовый сектор технологии

Методы и сценарии атак

• Фишинг• Социальная инженерия• Хак-девайсы• Вирусы\трояны• DoS/DDoS атаки• Protocol attack (UDP Bomb, Land, Mail bombing, Sniffing, IP Hijack,

Dummy ARP, Back Connect/Pipes/Reverse, Software vulnerabilities, Buffer Overflow, Shatter, Nuke, Cross User Attack, etc)

• Web attack (CGI, SQL Injection, HRS (HTTP Resource Splitting), CSS/XSS (Cross-Site Scripting), SiXSS (SQL Injection Cross Site Scripting), Hidden Fields)

• USB Attack (BadUSB)

Фишинг

ВРЕДНЫЕ СОВЕТЫКак попасться «на удочку»?- Кликните по одной из указанных ссылок и в открывшейся привычной веб-странице укажите свой логин и пароль

Социальная инженерия

ВРЕДНЫЕ СОВЕТЫЕсли у входа в офисное помещение незнакомец попросит вас открыть дверь, поскольку свой бейдж он забыл дома – будьте приветливы и помогите ему попасть в «свой» офис.

Хак-девайсы

ВРЕДНЫЕ СОВЕТЫЕсли вам «подарили» некий «ускоритель» клавиатуры, обязательно вставьте его, как показано на картинке.

Dos/DDoS атака

ВРЕДНЫЕ СОВЕТЫКак стать «зомби»?- Установите коммерческое программное обеспечение и воспользуйтесь генератором ключей или «ломалкой» («кряк», «ключеделалка» , «лекарство», «таблетка», «пилюля», «вылеченный» исполняемый файл, «genkey», «fix»)

Трояны, Ransomware

ВРЕДНЫЕ СОВЕТЫЕсли вам пришло письмо от незнакомки с «фотографиями со вчерашней вечеринки», обязательно откройте эти «фотографии»!

Web-атака

Новая угроза.

Security Research Labs: Karsten Nohl, Jakob Lell

Новая угроза - BadUSB

ВРЕДНЫЕ СОВЕТЫЕсли у входа в офис вам дарят бесплатную «флешку» с рекламным роликом компании «Рога и копыта» – обязательно примите подарок и посмотрите этот ролик на рабочем компьютере! Если антивирусная программа мешает смотреть ролик – отключите антивирус, чтобы не мешал.

Менеджеры паролей

Жертвы аттак или внутреннего мошенничества

• JPMorgan Chase• UBS• Société Générale• CitiGroup Inc• RSA (SecurID)• PayPal, VISA, MasterCard• Saudi Adamco• Международное агентство по атомной энергии (МАГАТЭ)• eBay• Google• Cisco• Motorola• IBM• Intel• Home Depot• Associated Press• Facebook• LinkedIn• Одноклассники• Twitter (Дмитрий Медведев)

Реальные случаи взломов – Sony Pictures

Компьютерная сеть одной из крупнейших киностудий мира Sony Pictures Entertainment была взломана 24 ноября 2014 года. Хакеры выложили в открытый доступ персональные данные 47 тыс. бывших и действующих сотрудников компании. Кроме того, в Сети появилась конфиденциальная информация о звездах, работавших с этой киностудией. По состоянию на первую декаду декабря, полностью устранить последствия взлома Sony Pictures так и не удалось.

Есть детальные зарплаты всей компании, список уволенных в 2014 году, включая причины и различные связанные с этим затраты, данные о больничных, пенсионных выплатах и прибыльности фильмов.

Процессы построения информационной защиты

• Поддержка конфиденциальности• Анализ рисков• Построение архитектуры

защиты• Безопасная разработка кода• Реагирование на инциденты• Поддержка процедур ИБ

Классификация активов

• Зачем классифицировать активы?• Кто владеет информационным

активом?• У кого есть права и полномочия?• Кто определяет права и уровни

доступа?• Кто утверждает политики доступа и

изменения в них?• Где хранится документация?

• Как часто обновлять???

Виды информационных активов

• Бумажные документы• Критическое оборудование и системы

• Системы управления сетями и серверами (базы данных, почтовые сервера)

• Системы бухучета и управления предприятием• Системы управления производством• Системы управления логистикой• прочее

• Конфиденциальные данные• Коммерческая тайна (know-how, договорные

обязательства)• Корпоративная интеллектуальная собственность• Персональные и корпоративные данные клиентов• Финансовые средства клиентов• Ключи и доступ к управлению платежными

системами (системы клиент-банк, доступ к удаленным ресурсам)

• Периферийное, серверное и сетевое оборудование

Полномочия доступа

• Физический доступ• Доступ в помещения• Доступ к оборудованию

• Логический доступ• Доступ к оборудованию• Доступ к системам и приложениям• Сетевые ресурсы, платформы,

сервера, базы данных• Правила доступа, роли, полномочия

Ключевые роли и ответственности

• Поддержка высшего руководства• Разработанный комплект политик и процедур• Организация и планирование• Осведомление об опасностях и обучение• Комплаенс (compliance), тестирование и мониторинг• Обработка инцидентов и ответные меры

Международные и отечественные стандарты

Статус по банковской индустрии:• Формальное отношение банков к реализации стандарта• Отсутствие объективной и регулярной оценки рисков• Отсутствие работающих процедур обработки рисков• Статичная нормативная документация• Нежелание вникать и как следствие - экономия на персонале ИБ и делегирование

ответственности на подразделение ИТ

СОУ Н НБУ 65.x СУІБVS

Тренд сертификации ISO 27001

Украина - 12

Польша - 307

Япония - 7084

Принцип “do not need to outrun the shark, just your buddy” – не работает

Угадай героя

Jessica Harper - head of fraud and security for online digital banking of Lloyds Banking Group

- 2,5 млн фунтов стерлингов

Вопросы?