Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle?

Borys Łącki

● Testy penetracyjne● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne

Borys Łącki

> 10 lat - testy bezpieczeństwa i edukacjawww.bothunters.pl ~ 8 lat blogowania o cyberprzestępcach

Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)

Houston, we have a problem...

https://zaufanatrzeciastrona.pl/post/a-haslo-zapisujemy-pod-monitorem/

Houston, we have a problem...

https://www.teamsid.com/worst-passwords-2015/

Houston, we have a problem...

“

Witam

W załączniku przesyłam zaszyfrowane dokumenty.

Hasło do pliku .zip: Eish4uze

“

Houston, we have a problem...

PhishLabs_2016_Phishing_Trends_and_Intelligence_Report_Hacking_the_Human

10 lat w bezpieczeństwie

2FA, , AntiDDoS, AntiMalware, ASLR, AV, Backup, Bitlocker, CERT, CIRT, Crypto, DEP, DLP, EFS, EMET, Firewall, HIDS, IDS, IPS, ISO, ISP, PGP, Red/Blue Team, Sandbox, SDLC, SoC, UAC, UTM, VPN, WAF, (...)

??????

10 lat w bezpieczeństwie

Wirusy, a L4

https://pixabay.com/en/malware-virus-hacker-trojan-297722/https://commons.wikimedia.org/wiki/File:Marburg_virus.jpg

70% sukcesu to zasługa ludzi

70% sukcesu to zasługa ludzi

71% of compromised assets involved users and their endpoints

Verizon Data Breach Investigations

91% of targeted attacks involve spear-phishing emails

Trend Micro

According to the “IBM Security Services Cyber Security Intelligence Index,” 95% of information security incidents

involve human error.

APT / Phishing / Social engineering

USB ~ 30%

PHISHING ~ 60%

SecurityInside.pl

Edukacja dziś

PAMIĘTAJ!

Dokument polityki haseł określa, że systemowe hasło dostępowe musi

zawierać minimum 8 znaków, w tym małe i wielkie litery, cyfry oraz znaki

specjalne.

https://www.youtube.com/watch?v=nUX1PZsmW-g

“(...) mamy

kłódeczkę, szyfrowane połączenie

(…)“

Edukacja dziś

● Formalny język, usypiająca treść● Slajdy● Długie opisy● Przykłady dalekie od rzeczywistych

Co jest (tak naprawdę!) najważniejsze?

KOMUNIKACJAhttp://youtechassociates.com/wp-content/uploads/2016/01/comm.jpg

Pięć najważniejszych błędów

1) Częstotliwość

2) Brak motywacji

3) Brak narzędzi

4) Brak zaangażowania

5) Forma

1) Częstotliwość

● raz na rok● 10 razy dziennie

● systematycznie● swobodny dostęp do wiedzy

2) Brak motywacji

● Bo trzeba● Bo taka jest polityka

● potrzeba dobrego uzasadnienia, zachęty● dlaczego mamy tak (a nie inaczej)

postępować?● co (ja) zyskam?● przykłady związane z rodziną

3) Narzędzia

4) Zaangażowanie

● Trening (ćwiczenia praktyczne)● Odznaki (punkty, rywalizacja)● Gry (zabawa)

5) Forma

● nudny formalny język,● długi tekst

● Emocje!● Filmik● Gra, łamigłówka● Quiz● Bajka, opowiadanie● Plakat

Obraz wart jest tysiąca słów

Obraz wart jest tysiąca słów

Obraz wart jest tysiąca słów

O sile czyli skuteczności hasła decydują:

● jego długość (każdy dodatkowy znak, zwiększa jego użyteczność kilkukrotnie)● jego losowość (niezgodność ze słownikiem lub znanymi powszechnie

wyrażeniami)● rodzaj użytych znaków (litery, cyfry, znaki specjalne)

Do tego trzeba dodać starania o tajność hasła.

VS.

http://www.goodpassword.info/sila_hasla.php

Wyróżniająca się treść

Hasła są jak majtki – należy je zmieniać często, nie zostawiać na

widoku i nie pożyczać obcym.GIODO

http://www.giodo.gov.pl/259/id_art/7321/j/pl

Czy to działa?

30.9 %

58.3 %

https://adrifelt.github.io/sslinterstitial-chi.pdf

Czy to działa?

PhishMe_EnterprisePhishingSusceptibilityReport_2015_Final

Czy to działa?

Które z poniższych elementów uważasz za najmocniejsze strony kursu SecurityInside?● kilkuminutowe filmy animowane● filmy● przystępna forma przekazywania wiedzy● (...)

Darmowy quiz z przykładamihttps://quiz.securityinside.pl/?sf6

Czy to działa?

Ponad 7 400 rozwiązanych testów w 5 miesięcy

Połowa uczestników pomyliła się przynajmniej raz w rozpoznaniu złej wiadomości - czyli mogła zainfekować

komputer firmowy.

Czy to działa?

SecurityInside.pl - wyniki testów

Czy to działa?

Ciekawe ćwiczenia == Dyskusja pracowników

Czy to działa?

Podsumowanie

pracownik jest zmuszany do przestrzegania zasad

chce postępować bezpiecznie - wie jak i wie dlaczego warto

pracownik otrzymuje dużo danych

tylko najważniejsza wiedza, zaszczepienie dobrych nawyków

slajdy, tekst filmy, gry, emocje

Zmiany w komunikacji

Promocja

https://securityinside.pl

Kod rabatowy: semafor2016XS8 – 20%ważny do 31 marca 2016

Inicjatywa Kultury Bezpieczeństwa

https://plus.google.com/communities/100714662889493779497

https://www.facebook.com/Inicjatywa-Kultury-Bezpieczeństwa-1478638835779103

Szukasz wiedzy na temat bezpieczeństwa w cyberprzestrzeni? Dołącz do Inicjatywy

budowania Kultury Bezpieczeństwa i współdziel się wiedzą i doświadczeniem.