![Page 1: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/1.jpg)
Ľudský faktor – najslabšíčlánok bezpečnosti (internetové služby)
Autor: Martin Zajíček
DCIT Consulting, http://www.dcit-consulting.sk
![Page 2: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/2.jpg)
2
Obsah prednášky
1. Vnímanie problematiky prostredníctvom výsledkov prieskumov
2. Skutočnosť
3. Prejavy
4. Možnosti minimalizácie dopadov
![Page 3: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/3.jpg)
3
1. Vnímanie problematiky 1
Zdroje:
�PSIB SR ´04, KPMG Slovensko, DSM-data securitymanagement, NBÚ -
� historicky prvý prieskum v SR
�PSIB ČR ´05, Ernst & Young, DSM-data security management, NBÚ -
� historicky už 4. prieskum opakujúci sa každé dva roky (prvý
bol zrealizovaný v roku 1999)
![Page 4: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/4.jpg)
4
1. Vnímanie problematiky 2
Zdroj: PSIB SR '04
Výskyt bezpečnostných incidentov v percentách
3828
24
85
75
60
59
18
42
chyba programovéhovybaveniazlyhanie LAN
zlyhanie WAN
chyba administrátoraalebo obsluhyvýpadok prúdu
počítačový vírus
porucha hardwaru
chyba užívateľa
iné
![Page 5: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/5.jpg)
5
1. Vnímanie problematiky 3
Zdroj: PSIB SR '04
Bezpečnostné incidenty s najvážnejším dopadom
5 67
18
1436
184
42
chyba užívateľa
zlyhanie WAN
chyba programovéhovybavenia
zlyhanie LAN
počítačový vírus
prírodná katastrofa
výpadok prúdu
porucha hardwaru
chyba administrátoraalebo obsluhy
iné
![Page 6: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/6.jpg)
6
1. Vnímanie problematiky 4
Zdroj: PSIB SR '04
Najväčšie hrozby z hľadiska informačnej bezpečnosti
58
3227
20
17
1519
15
51
internet a/alebo elektronickápošta
vlastní užívatelia
vonkajší útočníci
nedostatok financií
neexistujúca/nevhovujúcaBP a/alebo bezpečnostnéštandardynedostatok ľudských zdrojov
nedostatočná podpora zostrany najvyššieho vediena
neadekvátna technickáinfraštruktúra/zastarelétechnológieiné
![Page 7: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/7.jpg)
7
1. Vnímanie problematiky 5
Zdroj: PSIB ČR '05
Výskyt bezpečnostných incidentov za posledných šesť rokov
0
20
40
60
80
100iné
chyba administrátora aleboobsluhy
zlyhanie WAN
zlyhanie LAN
chyba programovéhovybavenia
chyba užívateľa
porucha hardwaru
počítačový vírus
výpadok prúdu
1999
2001
2003
![Page 8: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/8.jpg)
8
1. Vnímanie problematiky 6
Zdroj: PSIB ČR '05
20012003
2005
72
8989
5656
33
44
3236
31
155 13
20
10
20
30
40
50
60
70
80
90
Výskyt bezpečnostných incidentov v súvisloti s využívaním internetu
zničenie/poškodenie obsahuWWW stránok
neautorizovaný prístup dosystému
zneužitie internetu a elektronickejpošta vlastnými zamestnancami
održanie fingovaných/podvodnýchemailov
vírus získaný zo súborovstiahnutých z internet
vírus získaný z prílohy velektronickej pošte
![Page 9: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/9.jpg)
9
1. Vnímanie problematiky 7
Zdroj: PSIB ČR '05
17
62
31
32
89
33 47
89
56
50
7256
0
10
20
30
40
50
60
70
80
90
1999 2001 2003 2005
Percento zamestnancov s prístupom na internet a rast počtu vírusov stiahnutých z internetu
percento zamestnancovs prístupom na Internet
percento spoločností svýskytom vírusu z prílohyemailu
percento spoločností svýskytom vírusustiahnutého z internetu
![Page 10: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/10.jpg)
10
1. Vnímanie problematiky 8
Zdroj: PSIB SR '04
6
22
23
42
63
0 20 40 60 80
percentuálny podiel
zamestnanecká príručka
príloha k pracovnej zmluve
pravidelné školenia
kontrolná činnosť
interne publikované smernice
Formy, ako prispievajú organizácie ku zvyšovaniu bezpečnostného vedomia svojich zamestnancov
![Page 11: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/11.jpg)
11
2. Skutočnosť 1
Kde sa môže problém s ľudským faktorom objaviť
• Dodávatelia IS
• Vlastní užívatelia (správcovia IT, užívatelia)
• Externí užívatelia (klienti)
![Page 12: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/12.jpg)
12
2. Skutočnosť 2
Dodávatelia IS
• tvorba WWW aplikácií, ktoré trpia známymi slabinami
- SQL Injection, Cross site scripting (XSS), URL
tampering, Cross site tracing (XST), Session
hijacking, atď.
• nevhodná implementácia riešenia (default nastavenia
služieb WWW, SQL servera a ďalších)
![Page 13: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/13.jpg)
13
2. Skutočnosť 3
Vlastní užívatelia (správcovia IT, užívatelia), externí užívatelia (klienti)
• správa IT – dôsledky neznalosti problematiky a/alebo
pohodlnosti
• využívanie administrátorských práv pri bežnej práci
• absencia auditovania a jeho kontroly
• absencia reálneho riadenia užívateľských práv
• absencia viacvrstvovej ochrany (víry, spyware a ďalší
malware)
• užívatelia
• žiadna alebo slabá znalosť hrozieb = naivita
![Page 14: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/14.jpg)
14
Príklad - phishing
![Page 15: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/15.jpg)
15
Príklad - phishing
![Page 16: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/16.jpg)
16
Príklad - phising
![Page 17: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/17.jpg)
17
Príklad
![Page 18: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/18.jpg)
18
2. Skutočnosť 4
Možné dopady?
• únik dát
• zneužitie, zneprístupnenie infraštruktúry (SPAM,
„zombie“, trójske kone, červy)
• v prípade zmanipulovaných transakcií reklamačné
konania
• a ďalšie
![Page 19: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/19.jpg)
19
Možnosti minimalizácie-všeobec.
Mať systém riadenia bezpečnosti inform.• zmapovať inf. aktíva, definovať vlastníka dát, vytvoriť
kategórie, postupy a zodpovednosti
Zvyšovať bezpečnostné povedomie interných i externých užívateľovNa technickej úrovni
• GPO, prípadne lokálna aplikácia opatrení
• viacvrstvové ochrany (AV)
• úprava konfigurácie, alternovanie WWW klientov
• ovládanie užívateľských práv
• monitorovanie a spracovávanie logov !!!
![Page 20: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/20.jpg)
20
Možnosti minimalizácie - konkr.1
Dodávatelia IS
• súčasťou implementačného projektu IS má byť
nezávislé preverenie treťou stranou –
audit/preverenie aplikácie, penetračný test
Vlastní užívatelia
• monitorovanie a pravidelné spracovávanie logov !!!
• automatizovaná pravidelná aktualizácia OS i aplikácií
• minimalizovať rozsah užívateľských práv (používanie
skupín Users, Power Users, využitie GP)
![Page 21: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/21.jpg)
21
Možnosti minimalizácie - konkr.2
Vlastní užívatelia - pokračovanie• konfigurácia WWW a email klientov (obmedzenie
povolených príloh, ďalšie parametre použitím Resource kitu k MS Office balíku, obmedzenie ActivXkomponentov) i na centrálnej úrovni (emailový server, proxy server)
• zvážiť používanie alternatívnych WWW a email klientov
• pretestovať pozornosť užívateľov
• pri užívateľoch s mobilnými zariadenia zvážiť použitie osobných firewallov
• venovať sa problematike spyware
![Page 22: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/22.jpg)
22
Možnosti minimalizácie - konkr.3
Vlastní užívatelia - pokračovanie
• venovať sa aj svojim klientom (oboznámenie s
hrozbami, priebežné informovanie o nových
hrozbách, poskytnúť konkrétne doporučenia)
![Page 23: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/23.jpg)
23
Možnosti minimalizácie - konkr.4
Group policy (GP) - podrobnejšie
• GP (skupinové politiky) – definujú užívateľské a
počítačové nastavenia pre celé skupiny užívateľov a
počítačov
• možnosti – inštalácia aplikácií, práca so skriptami
(logon/logoff, start-up, shutdown), nastavenie
systému (plocha, ponuky, IE), politiky zabezpečenia,
atď.
• Kombináciou lokálnej GPO, Site-based GPO,
Domain based GPO a OU-based GPO (org.
jednotky) je možné vytvoriť tzv. efektívnu politiku
![Page 24: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/24.jpg)
24
Možnosti minimalizácie - konkr.5
Group policy (GP) – podrobnejšie (pokrač.)
• efektívna politiku, alebo tiež RSoP (Resultant Set of
Policy)
![Page 25: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/25.jpg)
25
Možnosti minimalizácie - konkr.5
Group policy (GP) – podrobnejšie (pokrač.)
• čo je možné nastaviť/nastaviť:
• nastavenia na úrovni GUI (kozmetika)
• bezpečnostné nastavenia (Account Policy, Local Policies,
EventLog, Services, Registry, File System, IPSEC, PKI)
![Page 26: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/26.jpg)
26
Možnosti minimalizácie - konkr.6
Group policy (GP) – podrobnejšie (pokrač.)
• pri GP je možné nastavovať ACL, právo Apply,
možnosti filtrov (read, write)
![Page 27: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/27.jpg)
27
Možnosti minimalizácie - konkr.6
Group policy (GP) – podrobnejšie (pokrač.)
• pri GP je možné nastavovať prioritu definovaných
politík
![Page 28: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/28.jpg)
28
Možnosti minimalizácie - konkr.6
Group policy (GP) – podrobnejšie (pokrač.)
• táto oblasť má však aj svoje úskalia
• „nenávratnosť“ niektorých nastavení (potrebné
špecifické reverzné politiky a „dekontaminačné“
kontajnery)
• špeciálne v rozsiahlych prostrediach sa môžu
doménové GPO „vymknúť kontrole“
![Page 29: Ľudský faktor –najslabší článok bezpečnosti ... · 3 1. Vnímanie problematiky 1 Zdroje: PSIB SR ´04, KPMG Slovensko, DSM-datasecurity management, NBÚ-historicky prvý](https://reader034.vdocuments.pub/reader034/viewer/2022051923/6010a59d7ac27d3c023f108e/html5/thumbnails/29.jpg)
29
Krátke resume
Existujú možnosti, ako čiastočne eliminovať ľudské činnosti, použitím existujúcich (vstavaných) riešení a ich kombinovaním. Akákoľvek činnosť v tejto oblasti a odklon od „default“ nastavení je pozitívna.
Niektoré z oblastí, ktoré zostali otvorené:
• sociálne inžinierstvo
• interný audit zameraný na IT (odd. auditu alebo
bezp. manažér)