Az adatvédelem informatikai támogatása Biró Ferenc, Partner EY Felelős Üzleti Működés Szolgáltatások
Az adatvédelmi incidensek mindennaposak Taobao (2016) A népszerű kínai apróhirdetési oldal 20 millió felhasználóját sikerült kompromittálni egy korábban megszerzett 100 milliós adatlopásból származó adathalmaz segítségével.
Anthem (2015) 80 millió ügyfél és munkavállaló személyes adatait lopták el. A cég több mint 100 millió dollárt költött csupán az ügyfelek értesítésére, míg a teljes kár összegét 8-16 milliárd dollárra becsülik.
eBay (2014) 145 millió felhasználói fiókhoz tartozó személyes adatot loptak el. A vállalatnak 200 millió dollárjába került ez az adatszivárgás.
JPMorgan Chase (2014) 76 millió háztartás és 7 millió kisvállalkozás pénzügyi és személyes adataihoz jutottak illetéktelenek. A támadás egymilliárd dolláros kárt okozott, annak ellenére, hogy a bankcsoport 250 millió dollárt költött kiberbiztonságra.
G20 találkozó Brisbane (2014) Az egyik rendezvényszervező alkalmazottjának figyelmetlensége miatt nyilvánosságra került a G20-on részt vevő országok vezetőinek születési ideje, útlevélszáma és egyéb személyes adataik.
Page 2
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
Új fajta támadási formák Specifikus, célzott malware-ek Az egy adott szolgáltatás típusra, cégcsoportra, vagy akár cégre vagy személyre specializált malware-ek alkalmazása napjainkban már egyáltalán nem elképzelhetetlenül költséges. Vannak olyan bűnözői csoportok, akik kész elemekből az adott célpontra testreszabott kártékony kódokat "fillérekért" állítanak elő.
Ransomware fenyegetettség Várható a zsarolóvírusok olyan fajtájának megjelenése, amely nem csak lekövethetetlen kifizetéseket követel az áldozattól, hanem azonosítók kiadását, például olyan azonosító adatokét, amelyek nem megmásíthatók, ellenben a jövőben is hozzáférést biztosíthatnak bizonyos ügyfél specifikus információkhoz. (Ellenőrző kérdések, családi/születési adatok, egyéb, megszemélyesítésre alkalmas információk.)
"Sokadik Vadnyugat" A kiberfenyegetések a világ bármely tájáról érkezhetnek, a jogi szabályozás ellenben koránt sem egyenszilárdságú a világ minden táján. A gyengébben szabályozott országokban komoly iparággá növi ki magát a szervezett bűnözés ezen formája.
Page 3
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
Újabb kihívások az adatvédelem területén Feltörekvő új csatornák nyíltak meg, melyek biztonságába vetett hit legtöbbször megalapozatlan ► ►
Applikáció biztonsága az eszközre vetítve A Bring Your Own Device
A kibertámadások ötöde a kis- és középvállalatokat célozza, tanulmányok szerint ezen megtámadott vállalatok 60 százaléka az incidens elszenvedése után fél éven belül tönkremegy ► ► ►
►
A kis- és középvállalkozások 87 százalékának nincs internet biztonsági szabályzata Ötödük elismeri, hogy nem tudnák megmondani, ha a hálózatuk támadás áldozatává válna 60 százalékuknak nincs előre definiált eljárásrendje arra az esetre, ha valamely kritikus tulajdonukat (legyen az informatikai eszköz, vagy adat) eltulajdonítják Mindennek ellenére a válaszadók csaknem fele úgy gondolja, nem lenne jelentős hatással az üzletmenetre egy adatvédelmi incidens
Internet of Things (IoT) rohamos terjedése ► ►
Rengeteg gyorsan formálódó ipari szabvány, ahol az interoperábilitás fontosabb minden másnál Az IoT-hullámot meglovagolva nagyon sok ipari kontroll rendszer kezd ezen szabványok alapján működni, vagy ezen eszközökkel is együttműködni, így akár beléptető- vagy fizikai hozzáférést ellenőrző rendszerek is
Page 4
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
Szervezeti és szabályozási nehézségek ►
Kisméretű szervezetek Az országon belüli szervezetek jó részénél az informatikai gárda mérete kisebb a nyugat európai országokban találhatóakhoz képest.
►
A világméretű cégek legjobb gyakorlatai (best practices) közvetlenül nem átültethetőek Ezen nagyvállalatok bizonyos irányelvei, például a felelősségi körök elhatárolása (segregation of duties) átvétele nem megoldható, mivel egy adott szerepkör ebben a méretben nem tölti ki egy ember egész napi munkáját.
►
A szabályozások egy része külföldi nyomásra érkezik A nemzetközi irányelveket értelemszerűen a jóval nagyobb vállalatok igényei alapján készítik, ellenben ezek az irányelvek később EU szinten is elfogadásra kerülnek.
►
A jogszabályi nyomás gyakran ütközik a való élet által nyújtott lehetőségekkel Az előzőek miatt folyamatos feszültség tapasztalható, ami megnehezíti a szabályozások alkalmazását. Emiatt különféle kényszermegoldások születnek (külső adatvédelmi felelősök, stb.).
Page 5
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
Gyors áttekintés A munkáltatót védő biztonsági és menedzsment folyamatok tekintetében egyértelmű kapcsolat van az adatszivárgás és a kihasználható vállalati gyengeségek között: ► ► ► ► ► ►
Nem megfelelő menedzsment gyakorlat és vállalatirányítás Az auditfunkciók nem megfelelő kihasználása Védelmi kontrollok hiánya és gyenge biztonsági kultúra A foglalkoztatást megelőző szűrések hiánya Az üzleti ágazatok közötti nem megfelelő kommunikáció A humán kockázatot érintő tudatosság hiánya vezetői szinteken
Page 6
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
Melyek a kritikus digitális vagyontárgyak? Digitális vagyontárgyak = Adat (fájlokban) + Kontextus (meta-adat formájában) forrás: computerweekly.com/blogs/cwdn/2013/09/what-is-a-digital-asset.html
Kritikus digitális vagyontárgyak:
►
►
Alapvető és kiemelten fontos fájlok, melyek komoly értéket képviselnek a Társaság számára bevétel generáló, üzleti működés vagy a szabályozás miatt.
►
Általában szegmentáltak bizalmas vagy szabályzott adathalmazként
►
►
Bizalmas: szellemi tulajdon, üzleti titok, üzleti stratégia, jogi ügyek, szerződések stb.
►
Szabályzott: hitelkártya információk, személyes egészségügyi adatok, személyazonosításra alkalmas adatok stb.
“Massive incident of data fraud/theft”, azaz az adatok nagymértékű eltulajdonítása egyike a Top 4 technológiai kockázatnak a World Economic Forum által kiadott „The Global Risks Report 2016” szerint.
42% -a a válaszadóknak kulcsfontosságúnak tartja az összes vagyontárgy ismeretét az IT-biztonsági kihívások leküzdésében
56% -a a válaszadóknak kiemelten fontosnak tartja az adatszivárgás, adatvesztés megakadályozását a szervezetében Forrás: 2015 EY Global Information Security Survey
Page 7
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
Kritikus információk védelmére szolgáló EY módszertan ► ►
►
►
►
Az üzleti rugalmasság és folytonosság értékelése A tapasztalatok értékelése és azok megfelelő felhasználása A teljesítmény mutatók áttekintése, illetve azok eredményességének értékelése A kármentesítési és jogi végrehajtási értesítésekben, eljárásokban való közreműködés
►
► ► ►
Helyreállítás
Előkészítés
► ►
Válasz
Védelem
►
►
Felderítés
► ►
►
►
Page 8
Válaszadási ütemterv végrehajtása A bejelentési és eszkalációs protokoll biztosítása A kivizsgáláshoz szükséges bizonyítékok begyűjtése Kárenyhítés, a kitettségi kockázat csökkentése
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
►
► ►
►
►
A kulcsfontosságú érdekeltek, felelősök meghatározása A program értékelése, hatáskörének meghatározása A nagy értékkel bíró eszközök összegyűjtése Korábbi esetek áttekintése A magánéleti, jogi aggályok figyelembe vétele Szabályzatok és eljárások definiálása A tudatosság elősegítése, tréningek kidolgozása A hozzáférési jogosultságok szabályozottságának értékelése A munkatársak szűrésének elősegítése A kulcsfontosságú teljesítmény mutatók meghatározása Válaszadási ütemterv kialakítása A viselkedés elemzésére támaszkodó megelőző megfigyelések A műszaki és nem műszaki adatok befolyásolása A bennfentes tevékenységekkel kapcsolatos munkavállalói bejelentések vizsgálata
A kritikus digitális vagyontárgyak meghatározása, tárolása, értékelése ►
Mi az ami értékes? ►
Információ biztonság ► ►
Besorolás Hozzáférés ►
►
Nyilvántartás ►
►
Kulcs kifejezések (adatvesztés megelőzése)
Kockázatok elvesztés, sérülés esetén ► ►
Page 9
Ellenőrzés / átvilágítás
Reputációs kockázat Pénzügyi kockázat
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
A kritikus digitális vagyontárgyak előfordulási helyének meghatározása ►
Hol fordul elő ilyen adat? ► ► ► ► ►
Page 10
A szervezet tűzfalán belül? Harmadik félnél? Felhőben? Külső adathordozó eszközökön? A személyzet otthoni, saját számítógépén?
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
A kritikus digitális vagyontárgyak védelme
► ► ► ►
Milyen adatok szorulnak védelemre? Milyen eszközök állnak rendelkezésre a szervezeten belül? Illeszkedik a vállalat stratégiájába, és kompatibilis a többi eszközzel? Miként kaphat folyamatos naprakész információkat a társaság a legértékesebb vagyontárgyairól különféle elemzések segítségével?
Page 11
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
EY Reaktív kiberbiztonsági megoldások §
Cyber breach response management Impact assessment, Litigation support, Discovery Advisory
§
Cyber investigation Cybercrime diagnostic, Fact finding, live interviews and evidence collection, Investigative planning and scope setting
§
Cyber forensics Identification, preservation and collection, Transaction analysis and anomaly assessment, Computer forensics and compromise analysis
§
Data recovery and remediation Data recovery, Remediation planning, Unstructured and structured data processing and hosting, Managed document review, Information governance
Page 12
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
EY Proaktív kiberbiztonsági megoldások §
Security Transformation Cyber Program Assessments, Strategic planning, Managed security services
§
Cyber Threat Management Cyber Exercise, SoC (SIEM, DLP, IDS/IPS, Firewall, Security architecture), Penetration testing
§
Information Protection and Privacy Data loss prevention assessments, Privacy assessments (Cloud, IoT), Data protection strategy, Asset management
§
Resilience Technology resilience, Business impact analysis
Page 13
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
Köszönöm a figyelmet
Page 14
2016. Szeptember 13.
Az adatvédelem informatikai támogatása
