Upload
logicaltrust-pl
View
367
Download
0
Embed Size (px)
Citation preview
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle?
Borys Łącki
● Testy penetracyjne● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne
Borys Łącki
> 10 lat - testy bezpieczeństwa i edukacjawww.bothunters.pl ~ 8 lat blogowania o cyberprzestępcach
Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)
Houston, we have a problem...
https://zaufanatrzeciastrona.pl/post/a-haslo-zapisujemy-pod-monitorem/
Houston, we have a problem...
https://www.teamsid.com/worst-passwords-2015/
Houston, we have a problem...
“
Witam
W załączniku przesyłam zaszyfrowane dokumenty.
Hasło do pliku .zip: Eish4uze
“
Houston, we have a problem...
PhishLabs_2016_Phishing_Trends_and_Intelligence_Report_Hacking_the_Human
10 lat w bezpieczeństwie
2FA, , AntiDDoS, AntiMalware, ASLR, AV, Backup, Bitlocker, CERT, CIRT, Crypto, DEP, DLP, EFS, EMET, Firewall, HIDS, IDS, IPS, ISO, ISP, PGP, Red/Blue Team, Sandbox, SDLC, SoC, UAC, UTM, VPN, WAF, (...)
??????
10 lat w bezpieczeństwie
Wirusy, a L4
https://pixabay.com/en/malware-virus-hacker-trojan-297722/https://commons.wikimedia.org/wiki/File:Marburg_virus.jpg
70% sukcesu to zasługa ludzi
70% sukcesu to zasługa ludzi
71% of compromised assets involved users and their endpoints
Verizon Data Breach Investigations
91% of targeted attacks involve spear-phishing emails
Trend Micro
According to the “IBM Security Services Cyber Security Intelligence Index,” 95% of information security incidents
involve human error.
APT / Phishing / Social engineering
USB ~ 30%
PHISHING ~ 60%
SecurityInside.pl
Edukacja dziś
PAMIĘTAJ!
Dokument polityki haseł określa, że systemowe hasło dostępowe musi
zawierać minimum 8 znaków, w tym małe i wielkie litery, cyfry oraz znaki
specjalne.
https://www.youtube.com/watch?v=nUX1PZsmW-g
“(...) mamy
kłódeczkę, szyfrowane połączenie
(…)“
Edukacja dziś
● Formalny język, usypiająca treść● Slajdy● Długie opisy● Przykłady dalekie od rzeczywistych
Co jest (tak naprawdę!) najważniejsze?
KOMUNIKACJAhttp://youtechassociates.com/wp-content/uploads/2016/01/comm.jpg
Pięć najważniejszych błędów
1) Częstotliwość
2) Brak motywacji
3) Brak narzędzi
4) Brak zaangażowania
5) Forma
1) Częstotliwość
● raz na rok● 10 razy dziennie
● systematycznie● swobodny dostęp do wiedzy
2) Brak motywacji
● Bo trzeba● Bo taka jest polityka
● potrzeba dobrego uzasadnienia, zachęty● dlaczego mamy tak (a nie inaczej)
postępować?● co (ja) zyskam?● przykłady związane z rodziną
3) Narzędzia
4) Zaangażowanie
● Trening (ćwiczenia praktyczne)● Odznaki (punkty, rywalizacja)● Gry (zabawa)
5) Forma
● nudny formalny język,● długi tekst
● Emocje!● Filmik● Gra, łamigłówka● Quiz● Bajka, opowiadanie● Plakat
Obraz wart jest tysiąca słów
Obraz wart jest tysiąca słów
Obraz wart jest tysiąca słów
O sile czyli skuteczności hasła decydują:
● jego długość (każdy dodatkowy znak, zwiększa jego użyteczność kilkukrotnie)● jego losowość (niezgodność ze słownikiem lub znanymi powszechnie
wyrażeniami)● rodzaj użytych znaków (litery, cyfry, znaki specjalne)
Do tego trzeba dodać starania o tajność hasła.
VS.
http://www.goodpassword.info/sila_hasla.php
Wyróżniająca się treść
Hasła są jak majtki – należy je zmieniać często, nie zostawiać na
widoku i nie pożyczać obcym.GIODO
http://www.giodo.gov.pl/259/id_art/7321/j/pl
Czy to działa?
30.9 %
58.3 %
https://adrifelt.github.io/sslinterstitial-chi.pdf
Czy to działa?
PhishMe_EnterprisePhishingSusceptibilityReport_2015_Final
Czy to działa?
Które z poniższych elementów uważasz za najmocniejsze strony kursu SecurityInside?● kilkuminutowe filmy animowane● filmy● przystępna forma przekazywania wiedzy● (...)
Darmowy quiz z przykładamihttps://quiz.securityinside.pl/?sf6
Czy to działa?
Ponad 7 400 rozwiązanych testów w 5 miesięcy
Połowa uczestników pomyliła się przynajmniej raz w rozpoznaniu złej wiadomości - czyli mogła zainfekować
komputer firmowy.
Czy to działa?
SecurityInside.pl - wyniki testów
Czy to działa?
Ciekawe ćwiczenia == Dyskusja pracowników
Czy to działa?
Podsumowanie
pracownik jest zmuszany do przestrzegania zasad
chce postępować bezpiecznie - wie jak i wie dlaczego warto
pracownik otrzymuje dużo danych
tylko najważniejsza wiedza, zaszczepienie dobrych nawyków
slajdy, tekst filmy, gry, emocje
Zmiany w komunikacji
Promocja
https://securityinside.pl
Kod rabatowy: semafor2016XS8 – 20%ważny do 31 marca 2016
Inicjatywa Kultury Bezpieczeństwa
https://plus.google.com/communities/100714662889493779497
https://www.facebook.com/Inicjatywa-Kultury-Bezpieczeństwa-1478638835779103
Szukasz wiedzy na temat bezpieczeństwa w cyberprzestrzeni? Dołącz do Inicjatywy
budowania Kultury Bezpieczeństwa i współdziel się wiedzą i doświadczeniem.