Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
KYBERNETICKÁ A INFORMAČNÍ BEZPEČNOST
Statutární město Kladno
Ing. Ivan Hanušzáří – říjen 2018
2
AGENDA
❖ Úvodní test❖ Proč se zabývat bezpečností informací❖ Aktuální hrozby pro informace❖ Škodlivý software (malware)❖ Sociální inženýrství❖ Mobilní bezpečnost❖ Obecné bezpečnostní zásady❖ Sociální sítě❖ Požadavky interních předpisů Města
❖ Bezpečnostní pravidla pro uživatele informačních systémů
❖ GDPR - Pravidla pro ochranu osobních údajů
❖ Shrnutí❖ Závěrečný test
3
ČASOVÝ ROZVRH
Od – do Min. Náplň
08.00 – 08.45 45 Blok 1
08.45 – 08.50 5 Přestávka
08.50 – 09.35 45 Blok 2
09.35 – 09.40 5 Přestávka
09.40 – 10.25 45 Blok 3
10.25 – 10.35 10 Přestávka
10.35 – 11.20 45 Blok 4
11.20 – 11.25 5 Přestávka
11.25 – 12.10 45 Blok 5
12.10 – 12.15 5 Přestávka
12.15 – 13.00 45 Blok 6, vč. Závěru a diskuse
4
4
ZÁKLADNÍ POJMY
❖ Důvěrnost
❖ Zajištění, že informace jsou přístupné (sděleny) pouze těm, kteří jsou k tomu oprávněni.
❖ Integrita
❖ Zajištění správnosti a úplnosti informací, tj. že informaci během jejího zpracování nikdo neoprávněně nepozměnil.
❖ Dostupnost
❖ Zajištění, že informace je pro oprávněné uživatele přístupná v okamžiku potřeby a na požadovaném místě.
❖ Autentizace
❖ Prokázání identity uživatele (např. heslem, tj. něco „znám“).
❖ Dvoufaktorová autentizace
❖ Prokázání identity uživatele pomocí „předmětu“ (čipová karta) a hesla/PINu (něco „mám“ a něco „znám“)
5
MÍSTA A FORMY VÝSKYTU INFORMACÍ
6
MÍSTA A FORMY VÝSKYTU INFORMACÍ
7
NEJVĚTŠÍ „RIZIKOVÝ FAKTOR“
Zaměstnanec
až 80% všech incidentů působí vlastní
zaměstnanci
8
❖ Neúmyslné nedodržování zásad, pravidel
❖ uživatelé nevědí o jejich existenci
❖ zásady neznají
❖ nepamatují si je
❖ Uživatelé zásady znají, ale:
❖ Nevěří, že jsou osobně vystaveni rizikům.
❖ Nevěří, že budou za jejich nedodržování vedeni k zodpovědnosti.
❖ Chování požadované bezpečnostními mechanismy je v rozporu se „společenskými normami“ („nemám důvod nedůvěřovat kolegovi“).
❖ Chování požadované bezpečnostními mechanismy je v rozporu s image uživatele („pouze burani a paranoidní lidé dodržují bezpečnostní pravidla“).
PŘÍČINY OHROŽENÍ INFORMACÍ – LIDSKÝ FAKTOR
9
❖ Používání firemního ICT/Internetu pro osobní účelyZákon č. 262/2006 Sb., zákoník práce, § 316:
“Zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení.”
PROČ?1. Ztráta produktivity na 1 zaměstnance
❖ cca 1,5 hod denně
❖ cca 5.300,- Kč/měs.
Zdroj: http://www.sodatsw.cz/nejcastejsi-nesvar-je-brouzdani-po-internetu
2. Zanesení škodlivého SW (malware) na výpočetní techniku
3. Snížení přenosové kapacity vnitřních sítí
TROCHA LEGISLATIVY
10
❖ Zákon č. 40/2009 Sb., trestní zákoník
definuje několik trestných činů ve vztahu k informacím a informačním
systémům:
❖ §230 Neoprávněný přístup k počítačovému systému a nosiči informací
❖ §231 Opatření a přechovávání přístupového zařízení a hesla k
počítačovému systému
❖ §232 Poškození záznamu v počítačovém systému a na nosiči informací
a zásah do vybavení počítače z nedbalosti.
Až 5 let
TROCHA LEGISLATIVY
11
DALŠÍ PŘÍČINY OHROŽENÍ INFORMACÍ
❖ Překotný vývoj technologií
❖ „počítač“ je ve „všem“
❖ nastupuje Internet věcí (IoT)
❖ výrobci podceňují bezpečnost
❖ nedostatek času na testování (nových verzí, výrobků)
❖ Rozvoj škodlivého software
❖ tvorba se komercionalizuje
❖ vývojové sady (kity) „pro děti“
❖ Zaostávání výrobců bezpečnostních technologií
❖ kyberzločinci jsou „z principu“ o krok napřed
12
ÚTOKY Z NEDÁVNÉ DOBY …
13
ÚTOKY Z NEDÁVNÉ DOBY …
14
ÚTOKY Z NEDÁVNÉ DOBY – „RANSOMWARE“
Policejní virus dál straší Čechy Už od minulého roku se internetem šíří takzvaný policejní virus,
prostřednictvím kterého se počítačoví piráti snaží v lidech vzbudit strach
z trestního stíhání. Tento trojský kůň infikovaný stroj zcela zablokuje a za
jeho odemčení požaduje výkupné v řádech tisíců korun.
Policejní virus se šíří internetem už od loňského roku. FOTO: Novinky
pondělí 4. listopadu 2013, 12:27
15
ÚTOKY Z NEDÁVNÉ DOBY – „PHISHING“
Výtah z publikací NCKB - Bezpečnostní incidenty leden 2015
http://www.govcert.cz/cs/informacni-servis/bulletiny/
16
ÚTOKY Z NEDÁVNÉ DOBY – „PHISHING“
17
ÚTOKY POSLEDNÍ DOBY – „PHISHING“
18
JAK POZNÁM PODVODNÝ MAIL (PHISHING)
Zdroj: https://www.csirt.cz/page/2789/zakladni-rady-pro-uzivatele
19
ÚTOKY Z NEDÁVNÉ DOBY – „PHISHING“
20
NETYPICKÝ ÚTOK
❖ Stuxnet
❖ napadl průmyslové řídicí systémy (SCADA), nepřipojené do
Internetu!
❖ Napadení pomocí USB flashdisku
❖ cílem zřejmě Íránská jaderná zařízení (elektrárna, zařízení
na obohacování uranu)
❖ Stuxnet údajně vyvinuli v laboratořích Národní agentury pro
bezpečnost (NSA) američtí experti ve spolupráci s Izraelem
21
DALŠÍ HROZBY – QR KÓDY
❖ Co je QR kód
❖ Quick Response code – obdoba čárového kódu
❖ Použití
❖ Zakódování adresy webu, na kterém se nachází popis produktu nebo služby.
❖ Čím jsou nebezpečné
❖ Není zřejmé, co kód obsahuje. Může to být odkaz na stránku se škodlivým obsahem.
❖ Původní legální QR kód může být nahrazen QR kódem útočníka.
22
DALŠÍ HROZBY – „MUŽ UPROSTŘED“
❖ „Muž uprostřed“ (Man In the Middle, MITM)
❖ odposlouchá nebo mění komunikaci mezi
odesílatelem a příjemcem
❖ může přesměrovat komunikaci na podvodnou
stránku
❖ ohrožuje hlavně bezdrátová spojení (WiFi)
Zdroj: Kyberkriminalita, Petr Klučka, Bakalářská práce
23
DALŠÍ HROZBY – „MUŽ V PROHLÍŽEČI“
❖ „Muž v prohlížeči“ (Man in the Browser, MITB), alias Bankovní trojan (trojský kůň)
❖ Cíl: zneužít transakci on line bankovnictví
❖ Obchází i bezpečnou (2 faktorovou) autentizaci, tj. přihlášení
❖ Jménem a heslem +
❖ jednorázovým kódem
❖ i potvrzovací (autorizační) SMS může být „upravená“
❖ pokud používáte na vše jedno zařízení (smartphone), nebo máte více zařízení ale synchronizovaných
❖ MITB se stále vyvíjí, často není detekován AV programy
24
TROCHA TERMINOLOGIE
❖ Škodlivý SW (malware) (Zdroj: http://cs.wikipedia.org)
❖ vir ❖ pro množení se vkládá do jiných
spustitelných souborů či dokumentů.❖ červ
❖ je schopen automatického rozesílání kopií sebe sama na jiné počítače.
❖ trojské koně❖ skrytá část programu nebo aplikace se škodlivou funkcí.
Může to být i samostatný program, který se tváří užitečně –hra, spořič obrazovky, jednoduchý nástroj.
❖ Někdy se vydává za program k odstraňování malware (dokonce může takto fungovat a např. odstraňovat konkurenční malware).
25
TROCHA TERMINOLOGIE
❖ příklady funkcí malware
(Zdroj: http://cs.wikipedia.org/)
❖ Keylogger – sledování (záznam) znaků zadávanýchz klávesnice, některé umí snímat celé obrazovky
❖ SW
❖ HW
❖ Spyware – sleduje chování uživatele počítače posílá o tom zprávy svému autorovi
❖ Spam server – rozesílání nevyžádané elektronické pošty (e-mail) z napadeného počítače
❖ Blokování software pro zabezpečení PC (antivir, Firewall)
❖ Účast na DDoS útoku (botnet)
❖ „botnet“ mohou tvořit i IoT zařízení
26
TROCHA STATISTIKY
Podle posledního celosvětového průzkumu prováděného společností Check Point po celý rok 2015 prostřednictvím 25.000 sond v průměrné organizaci:
(Zdroj: Check point – 2016 security report)
Každých 5 (24) vteřin nějaký počítač navštíví infikovanou webovou stránku
Každé 4 (34) vteřiny je stažen nějaký neznámý škodlivý software
Každou 53 vteřin (1 minutu) nějaký "bot" ("zombie PC") komunikuje se svým řídicím centrem
Každých 81 vteřin (6 minut) je stažen známý škodlivý software
Každých 32 (36) minut jsou z organizace odesílána citlivá data
Poznámka: modře jsou hodnoty za rok 2014
27
TROCHA STATISTIKY
vlastní statistiky Města (informace od p. Jorga, OŘBR)
každý měsíc je zavirován jeden počítač
min. 30% je způsobeno účty s privilegovaným přístupem (někdo
pracoval s administrátorskými právy)
většinou se jedná o lidskou zvědavost (platy zaměstnanců, slevy,...)
připojování neznámých (a „nakažených“) USB zařízení (flashdisků,
externích disků,..)
28
TROCHA STATISTIKY
vlastní statistiky Města (informace od p. Jorga, OŘBR)
každý měsíc je zavirován jeden počítač
min. 30% je způsobeno účty s privilegovaným přístupem (někdo
pracoval s administrátorskými právy)
většinou se jedná o lidskou zvědavost (platy zaměstnanců, slevy,...)
připojování neznámých (a „nakažených“) USB zařízení (flashdisků,
externích disků,..)
29
TROCHA STATISTIKY
Průzkum od Symantec (Internet security threat report, 2016 )
uvádí celosvětové statistiky.
30
PROČ SE TO VŠECHNO DĚJE?
❖ Motivace kybernetických útočníků1. Peníze – zisky vyšší než z drog
2. Špionáž
❖ průmyslová, vojenská,…
3. Politické cíle - koordinované kybernetické útoky na webové stránky (vládní, soukromé)
❖ Estonsko, Litva, Gruzie,
❖ Google (e-mailové účty čínských disidentů?)
4. Individuální zájmy
❖ nejznámější hacker Kevin Mitnick
5. Skupinové zájmy
❖ hacktivisti (Anonymous), …
31
JAK SE TO DĚJE?
32
CO S TÍM?
❖ být přiměřeně paranoidní („nikomu a ničemu nevěř“) při používání mailu, Internetu, …
❖ 2x měř, 1x řež (zamyslet se, než na něco kliknu, otevřu, spustím, opravdu to potřebuji?,…)
❖ pravidelně zálohovat
❖ zásada minimálních privilegií (s admin. právy pracuji jen v nejnutnějším případě)
❖ měnit přednastavená hesla u různých zařízení (router,..), systémů, aplikací
❖ A dále …?
33
CO S TÍM – „TECHNICKÁ“ OCHRANA PŘED MALWAREM“
Aktualizovat (OS, aplikace)
Antivirový program, antispyware
34
SOCIÁLNÍ INŽENÝRSTVÍ
❖ Sociální inženýrství je:
způsob manipulace s lidmi za účelem provedení určité
akce nebo získání určité informace. Zdroj: http://cs.wikipedia.org/
❖ „není třeba prolamovat hesla“
❖ „oběť“ je sama sdělí
❖ často si není vědoma, že se stala obětí podvodu
35
SOCIÁLNÍ INŽENÝRSTVÍ – JAK TO, ŽE TO FUNGUJE?
❖ Stres
❖ důležitost daného úkonu
❖ časová tíseň,…
❖ Respektování autorit
❖ přeje si to šéf
❖ už to chtěl mít dávno hotové
❖ Důvěra
❖ Strach
❖ o místo
❖ o prémie
❖ Ochota napomáhat
36
SOCIÁLNÍ INŽENÝRSTVÍ – NEJČASTĚJŠÍ TECHNIKY
❖ Nastražení infikovaných médií
❖ např. CD s lákavým obsahem
❖ Prohledávání odpadků
❖ Výjimečně i osobní návštěva
❖ (video – ESSET)
❖ Zdroj: https://www.youtube.com/watch?v=ktfDjnDIeo8
37
SOCIÁLNÍ INŽENÝRSTVÍ – OBRANA
❖ dobrá bezpečnostní politika/směrnice
❖ dodržování pravidel
❖ používat „hlavu“
❖ „důvěřuj, ale prověřuj“
❖ nepodléhat nátlaku
❖ dostatečné bezp. povědomí (školení)
38
MOBILNÍ BEZPEČNOST
❖ zmizely hranice (mezi státy, LAN x Internet)
❖ data jsou všude s námi
❖ notebooky, tablety, smartphony, flashky,…
❖ chytré hodinky, „Google Glass“
❖ cloud computing (iCloud, Google Apps, OneDrive,...)
❖ data: osobní (i citlivá), služební vč. mailů
❖ rizika
❖ ztráta/odcizení zařízení s daty
❖ odcizení dat ze zařízení (malware)
❖ mobilní malware: viry, bankovní trojany, ransomware,...
❖ zneužití telefonu (posílání prémiových SMS)
39
MOBILNÍ BEZPEČNOST
Zdroj: 2017 MOBILE THREAT LANDSCAPE, February 26 2018, Trend Micro
❖ Nárůst ransomware v roce 2017: o 417% (oproti 2016)
40
MOBILNÍ BEZPEČNOST
❖ jak chránit data „na cestě“
❖ opatrnost
❖ nenechávat bez dozoru (v autě, veřejné prostory,..)
❖ šifrovat data (na disku, flashky,..),VeraCrypt
❖ čtěte licenční podmínky, většina mobilních aplikací:
❖ vyžaduje internetové připojení
❖ čte ID a stav telefonu
❖ zjišťuje GPS polohu
❖ některé mohou samy odesílat prémiové SMS
❖ správa mobilních zařízení
❖ vyhledání ztraceného zařízení, vzdálené smazání dat
❖ pozor na nezabezpečené veřejné sítě
❖ internetové kavárny, veřejně přístupné wi-fi sítě
41
MOBILNÍ BEZPEČNOST
❖ jak chránit data „na cestě“ – pokračování
❖ posílání důvěrných informací mailem❖ šifrování v MS Outlooku (interně jednoduché, mimo
síť Města složité - nutný systém výměny klíčů, certifikáty,..)
❖ zazipovat (7zip, WinZip) s heslem (doporučený postup):
❖ zadat silné heslo
❖ heslo poslat např. SMS (rozhodně ne mailem) a informovat adresáta o odeslání ZIPu s heslem (AV SW může zablokovat)
❖ POZOR: i samotný název souboru může leccos prozradit
42
MOBILNÍ BEZPEČNOST
❖ jak chránit data „na cestě“ – pokračování
❖ bezpečné vzdálené připojení
❖ vzdálené připojení do vnitřní sítě přes VPN (Virtual Private
Network)
❖ nepoužívat automatické přihlašování k WiFi sítím (riziko
MITM)
❖ používat připojení pomocí HTTPS (POZOR, někdy je HTTPS
jen pro přihlášení)
43
MOBILNÍ BEZPEČNOST
❖ jak zabezpečit domácí WiFi síť
❖ nejjednodušší zabezpečení sítě - zablokovat vysílání
SSID (zdánlivé skrytí)
❖ používat šifrování WPA2/WPA3 – nejkvalitnější
zabezpečení (šifra AES)
44
OBECNÉ ZÁSADY PRO OCHRANU INFORMACÍ
❖ Zásada prázdného stolu
45
OBECNÉ ZÁSADY PRO OCHRANU INFORMACÍ
❖ Zásada prázdné obrazovky
46
ZACHÁZENÍ S HESLY
❖ za cca 80% úniků dat mohou zneužitá hesla
❖ Obrana:
❖ používat kvalitní (silná) hesla
❖ nezapisovat, je povolena aplikace
❖ neukládat hesla lokálně (pro další přihlášení)
❖ pozor na odpozorování
❖ pro každou aplikaci/systém mít jiné heslo
❖ důsledně odlišovat firemní a soukromé aplikace
❖ pravidelně obměňovat
http://www.slunecnice.cz/sw/keepass-password-safe/
47
TVORBA A UŽÍVÁNÍ HESEL
• Tvorba „silného“ hesla:
o min. 8 znaků
o VELKÁ+malá písmena +min. 1 nealfabetický znak, např. číslice nebo jiný
symbol (.,_?!:)
o dobře zapamatovatelné
o nesmí být snadno uhodnutelné
❖ NE: obecně užívaná slova (česká ani v jiné řeči), geografické názvy, obecně
užívané zkratky
vlastní jméno, přezdívky
jméno potomka, partnera
datum narození, rodné číslo, číslo pojistky
jméno osobnosti, kapely, fotbalového týmu, domácího mazlíčka
48
PŘÍKLADY SILNÉHO HESLA
Následující hesla slouží pouze jako metodická pomůcka,
zásadně je nepoužívejte jako svoje vlastní hesla!
❖ Zkomoleniny a složeniny
❖ 4Beatleas
❖ .ceCylka
❖ duna1Pivo
❖ Tvorba akronymu (passphrase) za použití textu básně,
písně, rčení
❖ Vařila myšička kašičku, na zeleném rendlíčku: Vmk,nzr1
49
PŘÍKLADY NEJHORŠÍCH HESEL
Spashdata každoročně zveřejňuje žebříček nejhorších hesel.(https://s13639.pcdn.co/wp-content/uploads/2017/12/Top-100-Worst-Passwords-of-2017a.pdf)
50
KONTROLA UNIKLÝCH HESEL
❖ Pastebin (https://pastebin.com/)
❖ anonymně publikují rozsáhlé úniky dat prostém textu
❖ má fulltextový vyhledávač
❖ vedle e-mailové adresy lze najít i dešifrované heslo
❖ Haveibeenpwned (https://haveibeenpwned.com/)
❖ vyhledání přihlašovacího jména v uniklých seznamech
❖ funkce notifikace v případě, že vaše přihlašovací údaje se
nově objeví mezi uniklými daty
51
SOCIÁLNÍ SÍTĚAktivní uživatelé v milionech v roce 2017
52
SOCIÁLNÍ SÍTĚ
❖ rizika:
❖ šíření malware (i prostřednictvím aplikací třetích stran)
❖ posílání SPAMu, phishingu
❖ krádeže identity
❖ zneužití zveřejněných informací
❖ ztráta jakékoliv kontroly nad zveřejněnými informacemi
❖ riziko při používání stejných hesel
❖ pozor na zveřejňování svých plánovaných aktivit (dovolená)
❖ pozor na službu zjišťování polohy
❖ Facebook umí rozpoznávat obličeje
❖ Facebook zakládá „stínové účty“ o každém uživateli internetu
53
DALŠÍ RADY
❖ Kde se dají najít další rady
❖ e-bezpečí (http://www.e-bezpeci.cz/index.php/home)
❖ Kyberšikana, Sexting, Rizika sociálních sítí,…
❖ Bezpečný internet (http://www.bezpecnyinternet.cz/)
54
BEZPEČNOSTNÍ POLITIKA
Politika systému řízení bezpečnosti
informací
Statutárního města Kladna
Účinnost od: 17.7.2018
55
CO JE (BEZPEČNOSTNÍ) POLITIKA
❖ Obecný význam slova politika:
❖ správa věcí veřejných
❖ Bezpečnostní politika
❖ státu
❖ úřadu/organizace
❖ celková, finanční,... informační
❖ Bezpečnostní (informační) politika:
❖ souhrn bezpečnostních zásad (pravidel), které definují způsob zabezpečení informací úřadu/organizace
❖ Systém řízení bezpečnosti informací (SŘBI)
❖ dokumentovaný systém, ve kterém jsou chráněna definovaná informační aktiva, jsou řízena rizika a zavedená opatření jsou kontrolována.
56
POLITIKA SŘBI
❖ Přílohy Politiky❖ č. 1 - Pojmy a zkratky
❖ č. 2 - Klasifikace a ochrana informací
❖ č. 3 - Bezpečnostní pravidla pro uživatele informačních systémů
❖ č. 4 - Desatero bezpečnosti informačních systémů
❖ č. 5 - Zvládání kybernetických bezpečnostních incidentů
❖ č. 6 - Strategie řízení kontinuity činností
❖ č. 7 - Metodika pro identifikaci a hodnocení aktiv a rizik
❖ Bezpečnostní pravidla a Desatero❖ rozpracovávají a upřesňují povinnosti, odpovědnosti a
pravomoci uživatelů
57
KLASIFIKACE INFORMACÍ
❖ Klasifikace – roztřídění informací podle důležitosti, zde
podle „důvěrnosti“
58
KLASIFIKACE INFORMACÍ
59
KLASIFIKACE INFORMACÍ
60
PRAVIDLA OCHRANY/ZACHÁZENÍ
61
PRAVIDLA OCHRANY/ZACHÁZENÍ
62
BEZPEČNOSTNÍ PRAVIDLA
❖ Odpovědnosti a povinnosti uživatelů - obecné
❖ používat pouze schválená zařízení, která mu byla svěřena
❖ používání jiných zařízení a jejich připojování je zakázané
❖ využívat pouze pro výkon svých pracovních povinností
❖ uživatel je odpovědný za veškeré akce prováděné z jeho účtu a
nesmí umožnit práci pod svým účtem jiné osobě.
❖ uživatel nesmí zpracovávat a uchovávat informace Města na
nepovolených zařízeních:
❖ soukromé počítače, soukromé tablety a telefony, veřejné servery,
soukromá externí úložiště apod.
❖ uživatel nesmí měnit HW ani SW konfiguraci zařízení, ani jeho
nastavení.
63
BEZPEČNOSTNÍ PRAVIDLA
❖ Uživatelé mobilních zařízení s OS Windows jsou povinni
❖ připojit zařízení nejdéle po 1 měsíci do sítě Města, spustit restart
a vyčkat provedení všech automatických servisních úkonů.
❖ bezpečně používat zařízení na veřejných místech
❖ ochrana před ztrátou/odcizením, ochrana před odpozorováním
informací, nepřipojovat do veřejných WiFi sítí,...
❖ pro vzdálený přístup do informačního systému Města používat
pouze schválené komunikační technologie (VPN) a prostředky
❖ ztrátu nebo krádež neprodleně nahlásit
64
BEZPEČNOSTNÍ PRAVIDLA
❖ Uživatelé chytrých telefonů a tabletů jsou povinni❖ umožnit zařazení telefonu a tabletu do centrální správy mobilních
zařízení
❖ neměnit nastavení telefonu a tabletu
❖ chránit zařízení
❖ před ztrátou/odcizením, používat heslo/PIN, automatické zamykání, automatické smazání dat (po 10 pokusech)
❖ nepůjčovat zařízení jiným osobám, ani rodinným příslušníkům
❖ používat pouze oficiální zdroje aplikací
❖ pokud není datové úložiště v mobilním zařízení šifrováno, neuchovávat v něm Neveřejné informace („Interní informace“, „Chráněné informace“ atd.)
❖ vypnout nebo zablokovat vlastnosti a aplikace, pokud nejsou aktuálně používány (např. Bluetooth, wi-fi, určování polohy,...)
❖ ztrátu nebo krádež neprodleně nahlásit
65
BEZPEČNOSTNÍ PRAVIDLA
❖ Řízení přístupů
❖ účelem je předcházet neoprávněnému přístupu, modifikaci,
prozrazení nebo krádeži informací a výpočetních prostředků
❖ mohou být přidělena pouze taková oprávnění, která jsou nutná k
vykonávání pracovních povinností, tzv. zásada „need to know“
❖ platí zásada: „co není výslovně povoleno, je zakázáno
66
BEZPEČNOSTNÍ PRAVIDLA
❖ Přihlašování, používání hesel, uživatelské účty❖ Uživatelé jsou v rámci informačního systému Města povinni
❖ hlásit se pouze pomocí svého uživatelského účtu a hesla
❖ chránit svá hesla/PIN
❖ chránit „autentizační předměty“, např. čipové karty
❖ na výzvu systému měnit hesla
❖ neopakovat žádné z 5 posledních použitých hesel
❖ platnost hesla je nastavena na 12 měsíců
❖ změnit bez prodlení dočasná hesla při prvním přihlášení
❖ nikdy neukládat hesla do automatizovaného přihlašovacího procesu (např. do internetového prohlížeče, maker nebo funkčních kláves)
❖ Uživatelský účet
❖ je zrušen nebo blokován, není-li používán déle než 3 měsíce
❖ je zablokován po 10 neúspěšných pokusech o přihlášení (odblokování řešit přes HelpDesk)
67
BEZPEČNOSTNÍ PRAVIDLA
❖ Bezpečná obsluha zařízení❖ dodržovat Zásadu prázdného stolu
❖ pro tisky na síťových tiskárnách ve společných prostorech využívat pouze režim důvěrného tisku
❖ dodržovat Zásadu prázdné obrazovky
❖ automatické uzamčení po 30 minutové nečinnosti
❖ Ochrana proti škodlivým programům❖ Je zakázáno
❖ používat nechválený SW
❖ připojovat soukromá zařízení (USB disky, mobilní telefony,...)
❖ měnit nastavení „AV“ programů, operačních systémů apod.
❖ navštěvovat neznámé webové stránky
❖ stahovat soubory neznámého původu
68
BEZPEČNOSTNÍ PRAVIDLA❖ Zálohování a ukládání informací
❖ povinnost uchovávat všechna důležitá data na síťových úložištích (diskových polích a discích serverů (obnovu garantuje OVTI)
❖ za data uložená na lokálních discích koncových stanic a notebooků odpovídá uživatel, jejich obnovu OVTI negarantuje
❖ při ukládání dat (záloh) na média (DVD, flash disky, apod.) se při manipulaci s nimi řídit požadavky „Klasifikace a ochrana informací“
❖ Předávání/výměna informací❖ používat pouze schválené služby a prostředky
❖ je zakázáno používat (pro výměnu „neveřejných“ informací v „otevřené podobě“, tj. pokud nejsou chráněny např. šifrováním)❖ veřejně dostupné systémy jako ICQ, Skype ,Miranda, Yahoo, ...
❖ soukromé e-mailové schránky a freemailové služby (Seznam, Gmail,...)
❖ webové diskusní skupiny/servery, veřejné blogy
❖ cloudová úložiště a služby (DropBox, Google Drive, OneDrive,...)
❖ sociální sítě (Facebook, Twitter, LinkedIn,...)
❖ externí elektronická uložiště (např. Úschovna, LeteckáPošta, atd.)
69
BEZPEČNOSTNÍ PRAVIDLA❖ Užívání elektronické pošty
❖ povinnost❖ vyplňovat položky "předmět" (subject)
❖ dodržovat kulturu a etiku e-mailové korespondence
❖ je doporučeno ve zprávě informovat o tom, že odesíláte e-mail s přílohou
❖ Je zakázáno❖ otevírat nevyžádané, neznámé a potenciálně nebezpečné maily a jejich
přílohy,klikat na odkazy v takovýchto mailech; tyto maily bez otevření ihned mazat
❖ z výpočetní techniky v majetku Města používat soukromé e-mailové schránky
❖ zneužívat elektronickou poštu pro zasílání nevyžádaných zpráv
❖ přesměrovávat služební elektronickou poštu na soukromé e-mailové schránky nebo freemailové služby
❖ zasílat e-mailové zprávy, které obsahují pomluvy, poplašné zprávy, hanlivé a vulgární výrazy nebo jinak urážejí či snižují lidskou důstojnost
❖ přihlašovat svou e-mailovou adresu do elektronických konferencí, pokud toto přímo nesouvisí s jejich pracovní náplní
70
BEZPEČNOSTNÍ PRAVIDLA
❖ Užívání Internetu (ze svěřené techniky provádíte jménem Města)❖ pracovní stanice se smí připojovat k Internetu pouze prostřednictvím
sítě Města
❖ je zakázáno předávat „neveřejné“ informace prostřednictvím Internetu v otevřené (čitelné) podobě, viz Předávání/výměna informací
❖ Internet nesmí být využit k protiprávnímu jednání (pomluvy, poplašné zprávy, rasismus,...)
❖ Monitorování provozu a činností❖ monitoruje se zejména
❖ navštívené webové stránky
❖ využití programového vybavení
❖ uložení multimédií a her
❖ průběh zpracování mailů poštovními servery
❖ objem uživatelem přenášených dat
71
BEZPEČNOSTNÍ PRAVIDLA
❖ Narušení bezpečnosti ❖ zavirování zařízení
❖ ztráta/krádež výpočetní techniky vč. mobilů, médií s daty (vč. písemností), apod.
❖ únik dat, jejich poškození/zničení, neoprávněná modifikace,...
❖ neoprávněný přístup k datům, k výpočetní technice, do sítě, do vyhrazených prostorů
❖ ztráta/krádež čipové karty, kompromitace hesla/PINu
❖ nedostupnost nebo nezvyklé chování aplikací nebo komunikačních služeb (např. samovolný pohyb kurzoru myši)
❖ porušení/nedodržování bezpečnostních pravidel (testování zranitelností, hádání hesel, instalace vlastního zařízení WiFi,...)
❖ odesílání spamu, phishingových zpráv (i bez vědomí uživatele)
❖ narušení/poškození bezpečnostních opatření/zařízení
72
BEZPEČNOSTNÍ PRAVIDLA
❖ Hlášení (kybernetických) bezpečnostních incidentů (KBI)
❖ Bezpečnostní událost❖ událost/situace, která by mohla znamenat narušení bezpečnosti
informací, informačních systémů
❖ Bezpečnostní incident❖ (zjevné) narušení bezpečnosti informací v důsledku bezpečnostní
události
❖ Povinnosti uživatelů❖ předcházet vzniku bezpečnostních incidentů❖ bezodkladně oznámit jakýkoli bezpečnostní incident nebo podezření
na něj (tzn. Událost) nebo zranitelné místo nebo chybu v IS Města❖ na HelpDesk
❖ mimo pracovní dobu Manažerovi kybernetické bezpečnosti
❖ veškeré kontakty jsou uvedeny v Bezpečnostní pravidla pro uživatele informačních systémů
73
„DESATERO“❖ Svěřené prostředky výpočetní techniky používejte pouze k pracovním účelům
❖ Používejte silná hesla
❖ pro každý systém jiné heslo
❖ můžete použít aplikaci – manažer hesel (KeePass)
❖ Nikomu nesdělujte své přihlašovací údaje
❖ Zamykejte obrazovku počítače
❖ Přemýšlejte, než otevřete přílohu e-mailu nebo kliknete na odkaz
❖ Nepoužívejte neznámá datová média
❖ Používejte pouze schválený SW a HW
❖ Nestahujte filmy, hudbu nebo software
❖ Hlaste bezpečnostní incidenty
❖ Pokud nevíte nebo váháte, raději se obraťte na HelpDesk
74
GDPR
General Data Protection Regulation
Obecný úvod
75
GDPR
❖ GDPR – General Data Protection Regulation
❖ Nařízení evropského parlamentu a rady (EU) 2016/679
❖ obecné nařízení o ochraně osobních údajů
❖ přímo účinné (od 25.5.2018), není nutno jej zpracovat do
národní legislativy
❖ zákon č. 101/2000 Sb., o ochraně OÚ je nahrazen GDPR a
k němu přibude český adaptační zákon
❖ jednotné pro celou EU
❖ jednotný dozor v rámci EU
76
NĚCO POJMŮ
❖ osobní údaj - jakákoliv informace o „konkrétní“ fyzické osobě (tzv. „subjekt údajů“)
❖ zvláštní kategorie OU – rasový/etnický původ, politické názory, náboženské vyznání, členství v odborech, genetické a biometrické údaje, zdravotní stav, atd. (původně citlivé údaje)
❖ správce - fyzická nebo právnická osoba (FO/PO), orgán veřejné moci, agentura apod., která určuje účely a prostředky zpracování OÚ; může být zároveň i zpracovatelem
❖ zpracovatel - FO/PO, která zpracovává OÚ pro (jménem) správce
❖ dozorový úřad – nezávislý OVM pověřený monitorováním uplatňování GDPR, ~ nynější ÚOOÚ
❖ profilování - automatizované hodnocení některých osobních aspektů (pracovní výkon, ekonomická situace, zdravotní stav, preference, zájmy, spolehlivost, chování, lokalizace vč. pohybu)
77
NĚCO POJMŮ
❖ Zpracovatel v podmínkách Města
❖ samotné Město
❖ dodavatelé nebo partneři (např. advokátní kanceláře nebo
poskytovatelé služeb)
❖ s každým Zpracovatelem musí být uzavřená smlouva, ve
které musí být upraveno, že daná právnická osoba je
Zpracovatelem, a jsou jasně nastavená pravidla ochrany OÚ
včetně sankcí za porušení smluvních ujednání
❖ Město v nejbližší době se svými partnery bude uzavírat tzv.
zpracovatelské smlouvy
78
POVĚŘENEC
❖ Pověřenec pro ochranu OU (DPO)
❖ dohlíží na dodržování GDPR, radí, spolupracuje s ÚOOU
❖ zaměstnanec nebo externista (může být společný pro více společností)
❖ jmenuje ho správce a/nebo zpracovatel
❖ v případech:
❖ a) zpracování provádí orgán veřejné moci či veřejný subjekt
❖ b) hlavní činnosti (správce nebo zpracovatele) představují:
❖ rozsáhlé pravidelné a systematické monitorování subjektů údajů,
❖ rozsáhlé zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů
❖ v podmínkách Města: Petr Jorg, MBA, OŘBR
79
ZÁSADY ZPRACOVÁNÍ OÚ
❖ zákonnost, korektnost a transparentnost
❖ omezení účelem
❖ minimalizace údajů
❖ přesnost (a aktuálnost)
❖ omezení (doby) uložení
❖ integrita a důvěrnost (a dostupnost)
❖ odpovědnost
80
ZÁKONNOST ZPRACOVÁNÍ❖ nutný právní základ
❖ právní povinnost
❖ plnění či uzavření smlouvy
❖ oprávněný zájem (ochrana majetku, přímý marketing)
❖ veřejný zájem
❖ životně důležitý zájem (subjektu)
❖ souhlas
❖ v podmínkách Města
❖ zpracování plyne zejména z právní povinnosti, plnění smlouvy nebo oprávněného zájmu, tzn. není třeba souhlasu a nesmí být vyžadován
❖ zpracování na základě souhlasu je až „poslední možnost“ (typický příklad: fotky úředníků na webu)
❖ nezaměňovat souhlas za informace pro subjekt údajů, že se jeho OÚ zpracovávají, jaké to jsou, proč a jak dlouho
81
ZPRACOVÁNÍ ZVLÁŠTNÍCH KATEGORIÍ
❖ Další podmínky pro zpracování zvl. kategorií:
❖ povinnosti dle českého práva (zákoník práce, oblast soc. zabezpečení, účetnictví, apod.)
❖ významný veřejný zájem
❖ pracovně lékařské posudky
❖ výslovný souhlas
❖ životně důležité zájmy (subjektu)
❖ subjektem zjevně zveřejněné údaje
❖ výkon nebo obhajoba právních nároků
82
SOUHLAS
❖ Musí být (prokazuje správce)
❖ svobodný
❖ konkrétní
❖ informovaný
❖ jednoznačný
❖ GDPR zakazuje přístup „ber, nebo nech být“
❖ udělení jednoznačnou kladnou akcí (neplatí „mlčení je souhlas“)
❖ udělit souhlas je možnost, nikoli povinnost
❖ jasně odlišitelný od ostatních prohlášení (smlouvy,...)
❖ právo kdykoliv odvolat (stejně snadné jako souhlas)
83
PRÁVA SUBJEKTŮ
❖ na přístup a informace
❖ potvrzení od správce, zda jsou jeho OU zpracovávány a pokud ano, má nárok na tyto informace:
❖ účel, kategorie, příjemci, doba zpracování (uložení), ...
❖ kopie zpracovávaných OU (od správce)
❖ informace/reakce od správce do 1 měsíce (bezplatně)
❖ na opravu a výmaz („být zapomenut“)
❖ pominutí účelu, odvolání souhlasu, protiprávní zpracování, námitka
❖ vznést námitku
❖ z důvodu konkrétní situace subjektu proti zpracování vč. profilování
84
PRÁVA SUBJEKTŮ
❖ na omezení zpracování
❖ nepřesné údaje, do vyřešení námitky, žádost o zastavení zpracování
❖ na přenositelnost údajů
❖ pokud údaje poskytl subjekt a zpracování je založeno na souhlasu nebo smlouvě
❖ právo předat své údaje jinému správci
❖ přímo jedním správcem druhému správci
85
GDPR
Aplikace GDPRv podmínkách Města
86
Vnitřní směrnicePravidla pro ochranu osobních údajů
❖ Stav: připravuje se, je ve fázi finalizace
❖ Rozdělená do částí
❖ Povinnosti pro všechny zaměstnance Města
❖ Povinnosti pro vedoucí věcně příslušných útvarů
❖ Povinnosti pro Zaměstnance odpovědného za řízení
ochrany osobních údajů, vedoucího OVTI a Pověřence
❖ každá část zahrnuje vysvětlení pojmů a povinností
❖ Zaměstnanec odpovědný za řízení ochrany OÚ dosud není
určen
87
Povinnosti pro všechny zaměstnance
❖ Požadavek mlčenlivosti
❖ platí i po ukončení pracovního poměru
❖ vztahuje se i na způsob realizace bezpečnostních opatření na ochranu OÚ
❖ Nepředávat/nezpřístupňovat OÚ neoprávněným osobám
❖ Ukládat OÚ pouze na povolená média, nepořizovat neoprávněné kopie
❖ Neposílat OÚ mailem mimo síť Města v otevřené podobě (chránit šifrováním - 7zip)
❖ Hlásit porušení zabezpečení OÚ (dočasně: jako jinou bezp. událost a také p. Jorgovi)
❖ Žádost o uplatnění práv se postupuje Zaměstnanci odpovědnému za ochranu OÚ – totožnost se musí vždy ověřit
❖ Řídit se důsledně pravidly Pravidla pro uživatele informačních systémů
88
ZÁKLADNÍ AXIOM BEZPEČNOSTI
100% bezpečnost neexistuje !
89
Děkuji za pozornost
T-SOFT a.s.
U Zásobní zahrady 2552/1a
130 00 Praha 3 – Žižkov
tel.: +420 261 710 561 – 562
fax: +420 261 710 563