Zaměstnavatel v kyberprostoru

Zaměstnavatel v kyberprostoru Ing. Mgr. Michaela Stonová, Ph.D. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze

Kybernalita ZS 2011/12, Přednáška 10 https://edux.fit.cvut.cz/courses/MI-KYB/start

Evropský sociální fond Praha & EU: Investujeme do Vaší budoucnosti

Ing. Mgr. Michaela Stonová, Ph.D.

Zaměstnavatel v kyberprostoru

Přednáška 10/13, 2011

České vysoké učení technické v Praze

MI-KYB Kybernalita – přednáška 10/13

Zaměstnanec   plat, mzda,   zajímavá práce,   osvícený nadřízený,   příjemné a bezpečné pracovní prostřední,   flexibilní pracovní doba,   home office,   benefity,   právo na soukromí a osobní prostor. Zaměstnavatel   vykonaná práce,   „levnost“,   výkonnost,   pracovitost,   flexibilita,   oddanost,   spolehlivost,   mlčenlivost (konkurenční doložka). Zaměstnavatel v kyberprostoru

https://edux.fit.cvut.cz/courses/MI-KYB/startt



Základní práva a povinnosti – zaměstnanec vs. zaměstnavatel Právními předpisy povolená oblast

Zaměstnanec

Zaměstnavatel

Zaměst nanec

Zaměstnavatel

Zaměstnanec


Zaměst navatel




Právní předpisy   Listina základních práv a svobod (usnesení č. 2/1993 Sb.),   Ústava (ústavní zákon č. 1/1993 Sb.),   zákoník práce (zákon č. 262/2006 Sb.),   autorský zákon (zákon č. 121/2000 Sb.),   zákon o elektronických komunikacích (zákon č. 127/2005 Sb.),   zákon o elektronickém podpisu (zákon č. 227/2000 Sb.),   zákon o informačních systémech veřejné správy (zákon č. 365/2002 Sb.),   zákon o ochraně osobních údajů (zákon č. 101/2000 Sb.),   zákon o ochraně utajovaných informací (zákon č. 412/2005 Sb.),   zákon o soudech a soudcích (zákon č. 6/2002 Sb.),   občanský soudní řád (zákon č. 99/1963 Sb.),   zákon o rozhodčím řízení (zákon č. 216/1994 Sb.),   správní řád (zákon č. 500/2004 Sb.),   správní řád soudní (zákon č. 150/2002 Sb.),   zákon o veřejném ochránci práv (zákon č. 349/1999 Sb.).





Externí vs. interní hrozby

20 % rizik


80 % rizik




Externí hrozby





Tradiční ochrana dat   firewall,   antivirový program.

Povoleno je vše, co jsme nedokázali zakázat! Zaměstnavatel v kyberprostoru




Dogma   člověk ≠ ip,   aplikace ≠ port,





Nedostatky klasické ochrany dat   polovina síťového provozu   protokoly pro routing, správu sítě – z 97 % nejnižší míra rizika,   rizikové protokoly:   http,   https. Většinu rizika (92 %) představuje   sdílení souborů,   proxy servery,   sdílení mediálního obsahu,   messaging, VOIP,   SSL tunely.   82 % webových aplikací obsahuje chybu, kterou je možno zneužít.   75 % všech internetových útoků se zaměřuje na aplikace.





Moderní ochrana dat   firewall,   antivirový program,   anti-malware program,   spam filtr,   IDS (Intrusion Detection Systems),   IPS (Intrusion Prevention Systems),   NBA (Network Behavior Analysis),   kontrola aplikací,   URL filtrace,   šifrování,   DLP (Data Loss Prevention),   SIEM.





IDS (Intrusion Detection System) – systém odhalení průniku   software nebo hardware užívaný k odhalení pokusů o proniknutí do sítě nebo systému a k upozornění na ně.   složen ze:   senzorů, které generují bezpečnostní události,   terminálu k monitoringu událostí a varování a ke kontrole senzorů,   centrálního systému, který zaznamenává události senzorů do databáze.   užívá systém pravidel ke generování varování v reakci na zjištěné bezpečnostní případy. IPS (Intrusion Prevention System) – systém prevence průniku   SW nabo HW zajišťující preventivní ochranu před známými i neznámými typy útoků ve vnitřní síti,   preventivně chrání vnitřní síť kombikovanými útoky, spyware, malware, botnety, DoS/DDoS útoky, VoIP hrozbami atd.,   kombinuje několik stupňů detekce narušení od rozpoznání útoků na základě signatur přes pravidla chování, anomálií provozu a „Zero Day Atacků“. Zaměstnavatel v kyberprostoru




NBA (Network Behavior Analysis)   analýza chování sítě,   detekce anomálií,   analýza síťových toků (NetFlow, sFlow, jFlow),   DPI – 7L,   obvykle pasivní monitorování,   detekce zero-day útoků.   Gartner vs. NBA   neexistuje bezpečnost bez monitoringu,   90 % organizací nemá implementován systém monitorování datových toků,   mnoho společnostípřesvědčeno, že stačí budovat perimetr a monitoring je zbytečný,   monitoring síťových komunikací a network behavioral analysis zařazen do TOP10 nejdůležitějších technologií roku 2010.





SIEM (Security Information Event Management)   SEM (Security Event Management)   real-time monitoring, korelace událostí, alerting.   SIM (Security Information Management),   dlouhodobé uložení logů, jejich analýza, alerting a reporting.   2005 SIEM = SEM + SIM   agregace a správa dat,   log management,   korelace a dektce hrozeb,   alerting a reporting,   dashboard.





Interní hrozby





Interní hrozby   Původci   zaměstnanci,   subdodavatelé,   hosté,   vzdálení uživatelé.   Způsoby   špatná ochrana koncových stanic,   neznalost, neopatrnost,   úmyslný zásah.   Důvody a Metody   absence bezpečnostních procesů, politik a nástrojů,   snaha šetřit finanční prostředky,   nedostatečné nebo žádné vzdělání uživatelé (správci sítě),   chybějící AUP (Acceptable Use Policies).





Dopady   ztráta dat,   „shutdown“ služeb,   nedůvěra -> Ztráta -> obchodních partnerů,   nedůvěra -> Ztráta -> zákazníků,   poškození značky,   soudní spory (civilní),   alternativní řešení sporů,   soudní spory (správní),   vyšetřování orgány činnými v trestním řízení,   soudní spory (trestní),   „shutdown“ společnosti,   „shutdown“ (SW/HW) lidských zdrojů (vedení, odpovědní pracovníci, jednotlivci).





Statistika interních hrozeb   80 % všech incidentů má interní původ,   20 % denně stráví zaměstnanci na internetu,   52 % zaměstanců připustilo, že by si odneslo po odchodu ze společnosti firemní data,   58 % společností přiznalo, že stalo obětí úniku dat,   48 % ztrát dat způsobeno nedbalostí.

  Kontrola připojení výměnných médií   23 % společností aktivně kontroluje,   70 % o nebezpečí ví, ale nic nedělá,   7 % nepovažuje toto ohrožení za reálné.





Nejpopulárnější metody pro únik dat   E-mail,   Instant Messaging,   Web mail,   USB zařízení,   Papír.





Odstrašující příklady





2009 T-Mobile UK Nejpopulárnější metody pro únik dat   zaměstnanci pobočky postupně vynášeli:   jména,   adresy,   telefonní čísla,   konkrétní faktury,   další informace o svých klientech,   informace prodáváli konkurenčním společnostem,   odhad škod – miliony liber,   velká ztráta důvěry zákazníka.





2009 – Robert Moffat IBM   Robert Moffat – vysoce postavený představiel americké společnosti IBM,   Zatčen a obviněn za vynášení interních dokumentů o výdajích a ziscích IBM a SUN.   za miliony dolarů data prodával konzultantům z New Castle Funds,   byl vždy hodnocen jako úspěšný a loajální manažer.





2010 – Rene Rebollo Countrywide Financial   Rene Rebolo po dobu několika měsíců vynášel denně 40 000 souborů,   únik dat o 2,2 mil. klientů,   škoda $ 20 000 000,   $ 600 000 Countrywide zaplatila na sankcích, finančních vyrovnáních a dalších nákladech spojených s únikem dat.





Listopad 2011 – Ministerstvo školství mládeže a tělovýchovy   MŠMT na svých webových stránkách zveřejnilo osobní údaje o romských studentech, kteří studují na středních či vyšších odborných školách a jsou finančně podporováni v rámci dotačního programu,   osobní údaje o 893 studentech – včetně jmen, adres a dat narození byly volně dostupné,   po zveřejnění informace v České televizi ministerstvo odkaz stáhlo,   podáno trestní oznámení na neznámého pachatele,   Úřad pro ochranu osobních údajů (ÚOOÚ) začal věc prošetřovat.





Odstrašující příklady





ČR – odstrašující příklady společnosti   2008 listopad Dopravní podnik města Prahy – 40 výpovědí, 42 000 pracovních hodin / 3 měsíce,   2009 únor Magistrát města Ostavy – 7 výpovědí, 145ti zaměstancům sníženy platy,   2009 březen Škoda Auto – 80 výpovědí, 950 napomenutí,   2009 červenec – Magistrát města Karviné – 3 výpovědí, 30ti zaměstancům sníženy platy,   2009 září Krajský úřad Jihlava – 2 výpovědi, 56ti zaměstancům sníženy platy.





ČR – odstrašující příklady konkrétní zaměstnanci   46 % pracovní doby hrál zaměstnanec Solitaire,   80 % pracovní doby si pracovnice městského úřadu trénovala strategické myšlení hraním Age of Empires,   106 % (počítala si i přesčasy) pracovní doby strávila administrativní pracovnice státní instituce chatováním,   pouze 4 % pracovní doby prokazatelně odpracoval webmaster velké společnosti v průběhu 1 měsíce,   45 % pracovní doby měl člověk, který má v popisu práce celý den pracovat s PC, vypnutý počítač.





Zákon vs. Monitoring





Důvody pro monitoring zaměstanců   bezpečnostní (odhalování úniku a průniku škodlivých dat),   ekonomické (produktivita, motivace zaměstnanců, pracovní kázeň).   V ČR   250 000 000 hodin ročně tráví zaměstnanci nepracovními činnostmi,   ztráta 75 000 000 000 Kč ročně (2 % HDP).





§ 301 povinnosti zaměstnaců – zákon č. 262/2006 Sb., zákonéku práce Vedoucí zaměstanci jsou dále povinni a)  pracovat řádně podle svých sil, znalostí a schopností, plnit pokyny nadřízených, vydané v souladu s právními předpisy a spolupracovat s ostatními zaměstnanci, b)  využívat pracovní dobu a výrobní prostředky k vykonávání svěřených prací, plnit kvalitně a včas pracovní úkoly, c)  dodržovat právní předpisy vztahující se k práci jimi vykonávané; dodržovat ostatní předpisy vztahující se k práci jimi vykonávané, pokud s nimi byli řádně seznámeni, d)  řádně hospodařit s prostředky svěřenými jim zaměstnavatelem a střežit a ochraňovat majetek zaměstnavatele před poškozením, ztrátou, zničením a zneužitím a nejednat v rozporu s oprávněnými zájmy zaměstnavatele.





§ 302 povinnosti vedoucích – zákon č. 262/2006 Sb., zákonéku práce Vedoucí zaměstnanci jsou povinni a)  řídit a kontrolovat práci podřízených zaměstnanců a hodnotit jejich pracovní výkonnost a pracovní výsledky, b)  co nejlépe organizovat práci, c)  vytvářet příznivé pracovní podmínky a zajišťovat bezpečnost a ochranu zdraví při práci, d)  zabezpečovat odměňování zaměstnanců podle tohoto zákona, e)  vytvářet podmínky pro zvyšování odborné úrovně zaměstnanců, f)  zabezpečovat dodržování právních a vnitřních předpisů, g)  zabezpečovat přijetí opatření k ochraně majetku zaměstnavatele.





§ 316 povinnosti vedoucích – zákon č. 262/2006 Sb., zákonéku práce (1)  Zaměstnanci nesmějí bez souhlasu zaměstnavatele užívat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele včetně výpočetní techniky ani jeho telekomunikační zařízení. Dodržování zákazu podle věty první je zaměstnavatel oprávněn přiměřeným způsobem kontrolovat. (2)  Zaměstnavatel nesmí bez závažného důvodu spočívajícího ve zvláštní povaze činnosti zaměstnavatele narušovat soukromí zaměstnance na pracovištích a ve společných prostorách zaměstnavatele tím, že podrobuje zaměstnance otevřenému nebo skrytému sledování, odposlechu a záznamu jeho telefonických hovorů, kontrole elektronické pošty nebo kontrole listovních zásilek adresovaných zaměstnanci. (3)  Jestliže je u zaměstnavatele dán závažný důvod spočívající ve zvláštní povaze činnosti zaměstnavatele, který odůvodňuje zavedení kontrolních mechanismů podle odstavce 2, je zaměstnavatel povinen přímo informovat zaměstnance o rozsahu kontroly a o způsobech jejího provádění. (4)  Zaměstnavatel nesmí vyžadovat od zaměstnance informace, které bezprostředně nesouvisejí s výkonem práce a s pracovněprávním vztahem uvedeným v § 3 větě druhé. Nesmí vyžadovat informace zejména o a)  těhotenství, b)  rodinných a majetkových poměrech, c)  sexuální orientaci, d)  původu, e)  členství v odborové organizaci, f)  členství v politických stranách nebo hnutích, g)  příslušnosti k církvi nebo náboženské společnosti, h)  trestněprávní bezúhonnosti; to, s výjimkou písmene c), d), e), f) a g), neplatí, jestliže je pro to dán věcný důvod spočívající v povaze práce, která má být vykonávána, a je-li tento požadavek přiměřený, nebo v případech, kdy to stanoví tento zákon nebo zvláštní právní předpis. Tyto informace nesmí zaměstnavatel získávat ani prostřednictvím třetích osob.





Řešení a doporučení





Komplexní ochrana   objektová bezpečnost,   požární čidla,   protipovodňová opatření,   fyzická bezpečnost,   personální bezpečnost,   interní zaměstnanci,   externí pracovníci,   administrativní bezpečnost,   komunikační bezpečnost,   informační bezpečnost,   ekonomická bezpečnost.





Řešení   vytvoření kontrolních procesů a bezpečnostních politik,   kontrola jejich dodržování,   NDA (Non-disclosure agreements), konkurenční doložky,   informování zaměstnanců o monitoringu,   nasazení monitorovacího SW a nástrojů pro sledování a prevenci ztráty dat,   implementace AUP (Acceptable Use Policies).





Doporučení   nespoléhat se pouze na SW,   vzdělávat uživatele,   připravit si plán pro případ úniku dat,   jasně definovat rozdělení povinností, pravomoci, působnosti odpovědnosti,   prověřovat zaměstnace s přístupem k vysoce citlivým datům.



a


MI-KYB Kybernalita–přednáška 10/13

Děkuji za pozornost. Zaměstnavatel v kyberprostoru


Zaměstnavatel v kyberprostoru

Recommend Documents