ТАРГЕТОВАНІАТАКИvsІНСАЙДЕРИ

Культура інформаційної безпеки на тлі розвитку інформаційного суспільства

Культура інформаційної безпеки - це обов’язковиймаркер зрілості особистості, конкретного бізнесу тасуспільства у цілому

Історичне розуміння. ІБ – це обмеження доступу доінформації з метою завоювання та/або утриманнялідерства

Світовий погляд. ІБ – це взаємна повага до інтересівучасників спільної справи у відношенні інформації

Українське суспільство знаходиться в історичнійпарадигмі інформаційної безпеки, як системиобмежень

ТАРГЕТОВАНІАТАКИvsІНСАЙДЕРИ

Внутрішні загрози

Інсайдер – співробітник компанії, який навмистно або ненавмистно, внаслідок помилкових дій створив умови для витоку, спотворення або знищення критичної для компанії інформації

Жадоба, заздріть, марнославство. «Демони», які створюють інсайдерів.

Людина піддається злому.

Traditional security protection is insufficient

Таргетовані атаки

Багатостадійність

Соціальна інженерія

Зухвалість та витонченість

Командна робота

Усі системи вразливі. Питання часу та вартості

«Навіть вимкнений компьютер можливозламати» Кевін Митник (Мистецтво обману)

ADVANCED

PERSISTENT

THREAT

Кібервійська та кіберполіція

У світі: в ході слідчих дій інформаціюздобувають дистанційно, шляхомвиявлення «цифрових слідів» таелектронного документування шахрайськихдій («Великий брат стежить…»)

В Україні: інформацію здобувають фізично -конфіскують носії, комп'ютери, сервери та електронні гаджети

Баланс між захистом та здоровим глуздом

Закони балансу

«Допоки грім не гряне, бізнес грошей на інформаційну безпеку не дасть» (почуто в кулуарах конференцій…)

«Якщо вартість злому об’єкту A більше вигоди від злому об’єкту А, то об’єкт не буде зламаний» (аксіома хакера)

Експертна оцінка ризиків та витрат на інформаційну безпеку. Дешево, доступно, періодично

Виключення: не все вимірюється грошима, та не завжди хакери керуються думками щодо матеріальної вигоди

ХМАРИ,

ХАКЕРИтаПІСОЧНИЦІ

«Недитячі» розваги

До 2020 р. на кожного мешканця планети прийдеться по сім пристроїв з доступом в Інтернет

Складність систем захисту іноді перевищує складність автоматизованих систем

Фахівець з ІБ – досвідчений професіонал який безперервно удосконалює свій фах

Сучасні трендиІнноваційні: Впровадження систем розпізнавання та моделювання людської

поведінки на базі даних моніторингових систем та «цифрового сліду» людини (нейронні мережі, біг дата та штучний інтелект)

Комплексна багатофакторна ідентифікація користувача на підставі біометричних даних, цифрового підпису, типової поведінки та інших аутентификаторів

Використання інтелектуальних системи розпізнавання атак, сервісу попереднього аналізу можливих загроз (Sandbox, пісочниці)

Доступні: Постійна робота з персоналом Користування захищеними хмарними сервісами, криптування

даних Використання спеціалізованих професійних центрів управління

кібербезпекою за моделлю SЕСaaS — security as a service

Інформаційна безпека і психологія

Людина – у центрі уваги

• 80% інцидентів відбуваються внаслідок людського фактору

• Сучасні атаки спрямовані насамперед на людину, використовуються соціальна інженерія та методи НЛП

• Соціальні мережі – надбання цифрового суспільства та/або виправдане «зло». Гігієна соцмереж.

Інформаційна безпека і психологія

Психологія• Сучасні кіберзлочинці зламують не системи, а «свідомість»

людини, використовуючи слабкості конкретних індивідуумів або впливають на суспільство – маніпулюють думкою

• Оскільки для розробки сценаріїв зламу використовується психологія (зокрема НЛП методи), симетрично як протидію цьому потрібно використоввувати психологію, як інструмент захисту

• Найбільш простий та доступний приклад застосування психології у сенсі захисту – побудова системи мотивації персоналу

• Ігнорування мотивації співробітників призводить до появи потенційного інсайдеру – співробітника з низьким рівнем відповідальності чи високим рівнем злочинної зацікавленості

Висновок:Тренд, який тільки почав формуватися – це свідоме використанні інструментів психології у сфері інформаційної безпеки, які додаються до комплексу технічних та організаційних заходів

PENETRATION TEST

PENETRATION TEST

Penetration test

Тестування на проникнення – це очевидний та вкрай ефективний спосіб самоконтролю зрілості компанії у питаннях інформаційної безпеки

Професійно, безпечно та конфіденційно. Засади тестування

Етичний чи «білий» хакер. Навчання та сертифікація вже в України на базі НТУУ КПІ

Метод тестування на проникнення – складова стандартів безпеки та електронних платіжних систем

Питання зламу вашої системи – питання часу. Дійте на випередження.

Тоді мийдемодо ВАС…

Тоді мийдемодо ВАС…

Маскі-шоу, ні краплі гумору

Якщо очікуєте гостей, маєте впевненість або підстави зробіть де-кілька кроків:

Поважайте Закони України

Тримайте критичну інформацію у хмарному сховищі

Виходьте з тези, що вилучити можуть усі девайсы, гаджеты и технічні засоби. Плануйте відповідно.

ФОРМАЛІЗМ ЧИ РЯТУВАЛЬНИЙ КРУГ?

ISO/IEC 27001

Приклад корисної бюрократії в питанняхінформаційної безпеки

В Україні впроваджується двома шляхами:формалістично у поганому розумінні (папероварутина, роздратування ТОПів, обтяжуюченавантаження) або ефективно, системно, творчо

Шлях використання стандарту обирає керівник Користь – інвентаризація та систематизація бізнес-

процесів у компанії, розуміння «слабких» місць Тарифна політика органів стандартизації для

України поміркована (дешевше ніж у Європі)•

ІНФОРМАЦІЙНА БЕЗПЕКА та HR

Культура ІБ – діяльність усіх без виняткуспівробітників компанії по забезпеченню поваги доінтересів зацікавлених сторін спільної справи табізнесу у відношенні інформації. Це Інтересивласника, засновників, клієнтів, партнерів,менеджменту та інших

Засадами такої культури є лідерство менеджменту упитаннях ІБ, систематична робота, зворотній звязок,розуміння спільних інтересів, мотивація

Досягається просвітницькою діяльністю тарозвитком співпраці (тренінги, симуляції, командніігри)

ІНФОРМАЦІЙНА БЕЗПЕКА та HR

ІНФОРМАЦІЙНА БЕЗПЕКА та HR