Presentation from one of the remarkable IT Security events in the Baltic States organized by “Data Security Solutions” (www.dss.lv ) Event took place in Riga, on 7th of November, 2013 and was visited by more than 400 participants at event place and more than 300 via online live streaming.
2. VĒSTURE 1982 ....
32 bit, 128-512kB RAM, 4x29Mb HDD, 25kW, raţo
1975-1982.
Hakeris parastais ....
www.theartofsystems.com
Drošības politika ....
Ja kāds kaut ko salauzīs – noķersim un
salauzīsim kājas.
2013.g. 7. novembris
2
3. VĒSTURE .... 2013
• Hakeris (ja vien nestrādā valdībā) – noziedznieks. Ja atklāj
valsts veiktus noziegumus – valsts nodevējs ?
• Drošības politikas (vietām) ir, vai ir drošība ?
• IT drošība ir kļuvusi par labi organizētu biznesu. Tiek pārdotas
konsultācijas, pakalpojumi, iekārtas – (ASV 350 miljardi $ tirgus
[1]). Bailes kā bizness ?
• Starptautiskā organizēta kiber-noziedzība ir kļuvusi par realitāti.
Cik mēs esam spējīgi (griboši un varoši) stāties tai pretī ?
www.theartofsystems.com
2013.g. 7. novembris
3
7. TENDENCES DROŠĪBAS JOMĀ
• 14 miljoni jaunas signatūras kvartālā ...
• 4.6 miljoni mēnesī ...
• 155 t. dienā .... (2008. gadā bija 25t. dienā)
Signatūra nav tikai ieraksts datu bāzē:
• «Jānoķer» ...
• Jāizanalizē ....
• un tikai daļa var tikt veikta automātiski.
www.theartofsystems.com
2013.g. 7. novembris
7
9. TENDENCES DROŠĪBAS JOMĀ
• Ja kāds kontrolē Jūsu mobilā
telefona OS – par cik drošu var
uzskatīt informāciju SIM kartē ?
• Cik droši ir izmantot telefona
numuru, kā autentifikācijas
mehānismu ? SMS no drauga ?
Atrašanās vieta ? Sarunas ? Vai
Jūs noklausās ?
www.theartofsystems.com
2013.g. 7. novembris
9
10. ORGANIZĒTĀ KIBERNOZIEDZĪBA
Ko tas īsti nozīmē?
• Organizēta: klientam paredzamas izmaksas, izpildes garantijas,
saprātīgas cenas un izpildītāju izvēles iespējas. Augsta
izpildītāju specializācija.
• Noziedzība: izmantojot metodes, kuras likuma paklausīgiem
pilsoņiem un organizācijām ir liegtas.
Pētījumu dati:
• «Pay per install» 100-180$ par 1000 instalācijām.
www.theartofsystems.com
2013.g. 7. novembris
10
11. ORGANIZĒTĀ KIBERNOZIEDZĪBA
«Zero day» exploit cenas:
[3] Forbes ţurnāla blogs
Faktori kas ietekmē cenu: platformas popularitāte, drošība
www.theartofsystems.com
2013.g. 7. novembris
11
16. DROŠĪBA UN NAUDA
Tendences, kuras strādā pret mums:
• Pieaugošie kiberdraudi.
• Jaunas likumdošanas prasības.
• Nepieciešamība nodrošināt lielāku produktivitāti.
Valdību iesaistīšanās ?
www.theartofsystems.com
2013.g. 7. novembris
16
17. DROŠĪBA UN VALSTS
• Valsts loma – nodrošināt drošības infrastruktūru, atsevišķos
gadījumos tieši iesaistoties risku samazināšanā / novēršanā.
(katrs pats tik un tā atbildīgs par savu drošību)
• Ko mainījušas Snovdena atklāsmes? [4] [5]
Kopumā – ļoti daudz!
• NSA var iekļūt (gandrīz?) visur!
• NSA apzināti ietekmē standartu, protokolu un komerciālo
produktu izstrādi ar mērķi samazināt to drošību.
• Kiber-robeţu iespējamība.
www.theartofsystems.com
2013.g. 7. novembris
17
18. DROŠĪBA UN VALSTS
Nedaudz «NSA informācijas»:
• Kompānijas, kuras ilgstoši sadarbojas ar NSA (minētas Snowdena
dokumentos – PRISM programma): Microsoft, Google, Yahoo,
Facebook, PalTalk, YouTube, Skype, AOL, Apple.
• Programmu šifrēšanas iespēju vājināšana (Outlook, Skype, Lotus
Notes ....)
• Piekļuve ievērojamai daļai visas pasaules interneta un balss trafikam
pieslēdzoties optisko sakaru kabeļiem un tieši telekomunikāciju
kompānijām.
• Programmas tiek realizētas aktīvi sadarbojoties ar
partnerorganizācijām ārvalstīs.
www.theartofsystems.com
2013.g. 7. novembris
18
19. DROŠĪBA UN VALSTS
Un kas tad notiek pie mums?
• Vai valsts aktīvi aizsargā savus pilsoņus pret «okšķeriem»
ārvalstīs, palīdz viņiem (okšķeriem) vai izliekas neredzam?
• Kā ar pašmāju okšķeriem ?
Kā valdībai pašai sokas ar noslēpumu glabāšanu?
• Mobilo sakaru aizsardzība?
• IT datu un IT komunikāciju aizsardzība?
• Cik efektīvi tipiska valsts iestāde var reaģēt uz šāda tipa
apdraudējumiem?
www.theartofsystems.com
2013.g. 7. novembris
19
20. DROŠĪBA UN VALSTS
Daţas lietas ko mēs sargājam....
• Personas kodu ? Kāpēc ?
• Personas koda kontrolsummu ?
(algoritms viegli atrodams internetā)
• Uzņēmuma reģistrācijas numura kontrolsumma?
(iegūstama atrisinot vienādojumu sistēmu)
www.theartofsystems.com
2013.g. 7. novembris
20
22. KOMPTENCE DROŠĪBAS JOMĀ
Drošība: pieejamība, konfidencialitāte, integritāte
• Kāpēc mēs pamatā runājam pamatā par konfidencialitāti, drusku
par pieejamību un gandrīz nemaz par integritāti ?
• Kur paliek izstrādātāju un ieviesēju kompetence drošības
jautājumos ? Drošas (vismaz saprātīgas) sistēmu izstrādes
metodes?
• Kad mēs sāksim runāt, par to, ka drošas sistēmas valsts sektorā
ir jāizstrādā (nevis jāapgūst budţets līdz termiņam)?
• Varbūt laiks arī skatīt «sistēmu» ārpus IT sistēmas robeţām?
www.theartofsystems.com
2013.g. 7. novembris
22
26. RISKU SAMĒRS
Ja mēs vēl esam šeit ....
• Pārspīlēti draudi (viss nav tik slikti kā izskatās) ?
• Neesam nevienam interesanti (par maz naudas) ?
• NSA mūs sargā ?
• Valodas barjera ?
www.theartofsystems.com
2013.g. 7. novembris
26
27. KO DARĪT ?
Cilvēkam, kam ir noslēpumi:
www.theartofsystems.com
2013.g. 7. novembris
27
28. KO DARĪT ?
Cilvēkam, kam ir noslēpumi kurš vērtē tiesības uz privātumu:
• Izglītot sevi drošības jautājumos;
• Izvēlēties produktus ar labu reputāciju (TOR [6], TrueCrypt [7],
PGP [8]);
• Šifrēt savus datus, Izmantot netriviālas paroles, maksimālā
iespējamā izmēra atslēgu garumus;
• Rūpīgi apsvērt kādus un kur datus publicēt, kādas, kā raţotas
iekārtas kādiem mērķiem izmantot.
www.theartofsystems.com
2013.g. 7. novembris
28
29. KO DARĪT ?
IT drošības speciālistam:
• Izglītot sevi un «uzlauzt» kādu sistēmu ;
• «Izkāpt» nedaudz ārpus komforta zonas, skatīties uz drošību plašāk
nekā tikai IT;
• Mēģināt izveikt reālu risku analīzi, iesaistīt organizācijas vadību un
biznesa cilvēkus;
• Apmācīt darbiniekus – vājākais posms drošībā vēl joprojām ir cilvēks;
• Uzmanīties no brīnum-līdzekļu pārdevējiem un pēc iespējas izmantot
KISS (Keep It Simple Stupid) principu.
• Piedalīties jaunu sistēmu drošas arhitektūras plānošanā
www.theartofsystems.com
2013.g. 7. novembris
29
30. KO DARĪT ?
Vadītājam:
• Izglītot sevi un darbiniekus, saprast, ko viņa uzņēmumam
nozīmē drošība, tai skaitā IT drošība;
• Iekļaut IT riskus kopējā risku analīzē (ne obligāti formāli);
• Ticēt vairāk intuīcijai un veselajam saprātam nevis sertifikātiem.
www.theartofsystems.com
2013.g. 7. novembris
30