Doświadczenie praktyczne we wdrażaniu projektów DLP 1 PION SIECI I SYSTEMÓW BEZPIECZEŃSTWA Autor: Piotr Szczepanek Data: 11-05-2014 Doświadczenie praktyczne we wdrażaniu projektów DLP 1

COMP S.A. O potencjale i przewagach konkurencyjnych COMP S.A. świadczą m.in.: Stabilna pozycja rynkowa i finansowa, GPW; Lider rynku sieciowego, bezpieczeństwa i fiskalnego; Źródło: Raport Computerworld „TOP 200”, 2012 r. Prowadzone prace badawczo – rozwojowe; 2 BEZPIECZNE ROZWIĄZANIA IT

COMP S.A. – cd… O potencjale i przewagach konkurencyjnych COMP S.A. świadczą m.in.: Produkcja własnych urządzeń kryptograficznych (CompCrypt); Certyfikat ISO 9001:2000; Koncesje MSWiA Doświadczona kadra inżynierska, certyfikowana przez największych producentów informatycznych Centrum Serwisowe, ponad 8000 napraw i interwencji serwisowych miesięcznie Ogólnopolska sieć serwisowa, gwarantująca 4 godzinny czas interwencji Centrum Edukacyjne, z doświadczeniem przeszkolenia ponad 170 000 osób Autorskie technologie systemów bezpieczeństwa w wykorzystaniem Infrastruktury Klucza Publicznego BEZPIECZNE ROZWIĄZANIA IT

COMP S.A. BEZPIECZNE ROZWIĄZANIA IT

COMP S.A. – Nagrody i osiągnięcia Teleinfo TOP500 – Raport Polskiego Rynku Teleinformatycznego. Rankig: Największe firmy świadczące usługi budowy sieci IT – COMP 1 miejsce Największe firmy świadczące usługi wirtualizacji IT – COMP 1 miejsce Największe firmy świadczące instalacyjne usługi IT – COMP 5 miejsce Najwięksi dostawcy rozwiązań i usług IT dla handlu i usług – COMP 5 miejsce Ranking producentów sprzętu IT w Polsce – COMP 5 miejsce Największe firmy świadczące integracyjne usługi IT – COMP 6 miejsce Największe firmy świadczące serwisowe usługi IT – COMP 8 miejsce Najwięksi dostawcy rozwiązań i usług IT dla przemysłu – COMP 8 miejsce Największe firmy świadczące usługi IT w Polsce – COMP 11 miejsce Największe grupy firm działające na polskim rynku – COMP 12 miejsce Największe firmy świadczące wdrożeniowe usługi IT – COMP 13 miejsce Największe firmy świadczące usługi outsourcingu IT – COMP 13 miejsce

BEZPIECZEŃSTWO W SIECI – zostań Ekspertem w 5 min ŚCIĄGA EXPERTA BEZPIECZEŃSTWA IT: WIRUS/ANTYWIRUS: Wirus = Program czyniący szkody na urządzeniach (komputer, wirówka)/Program odnajdujący i usuwający programy typu Wirus SPAM/ANTYSPAM Przesyłki – najczęściej Email lub SMS, których nie chcemy, są uciążliwe np. reklamy w Email. FIREWALL vs. IPS Urządzenie sieciowe, które jest barierą pomiędzy urządzeniami w Naszej sieci komputerowej a obcymi np. W Internecie. Firewall = filtr, który przepuszcza TYLKO dozwolone kanały z Internetu do nas IPS = nasłuchuje wszystkie kanały prowadzące z Internetu do nas i szuka w nich Szkodliwej Transmisji DLP Za chwilę …. MALWARE j ATP (Advanced Persistent Threat) Wykrywanie ataków w środowisku testowym. US Air Force 2006”… skomplikowane długotrwałe ataki cybernetyczne na specyzowane cele”. LUDZIE a NIE MALWARE, np. STUXNET, SNAKE, CARETO,

BEZPIECZEŃSTWO W SIECI – zostań Ekspertem w ….. ŚCIĄGA EXPERTA BEZPIECZEŃSTWA IT: Robaki (ang. worm) – złośliwe oprogramowanie podobne do wirusów……… Wabbit – program rezydentny nie powielający się przez sieć……. Trojan – nie rozmnaża się jak wirus, ale jego działanie jest równie szkodliwe. ………… Backdoor – przejmuje kontrolę nad zainfekowanym komputerem, umożliwiając ……………… Programy szpiegujące (ang. spyware) – oprogramowanie zbierające informacje o osobie fizycznej lub prawnej bez …... stealware/parasiteware – służące do okradania kont internetowych, adware – oprogramowanie wyświetlające reklamy, Hijacker Browser Helper Object – dodatki do przeglądarek, wykonujące operacje bez wiedzy użytkownika. Exploit – kod umożliwiający bezpośrednie włamanie do komputera ofiary, do dokonania ………………….. Rootkit – jedno z najniebezpieczniejszych narzędzi hackerskich……………………….. Keylogger – Odczytuje i zapisuje wszystkie naciśnięcia klawiszy użytkownika………………………………. Dialery – programy łączące się z siecią przez inny numer dostępowy niż ……………………….. fałszywe alarmy dotyczące rzekomo nowych i groźnych ……………………………………… Źródło: http://pl.wikipedia.org/wiki/Z%C5%82o%C5%9Bliwe_oprogramowanie

DLP – O CZYM BĘDZIE MOWA? ŚWIAT/INTERNET FIRMA/URZĄD DLP JEST NOWĄ TECHNOLOGIA WIKIPEDIA: Ochrona przed wyciekami informacji (ang. DLP - Data Leak/Leakage/Loss Protection/Prevention) - ogólna nazwa technologii informatycznych służących do ochrony organizacji przez utratą kontroli nad informacją niejawną. Co chronimy: wszelkie dane i informacje klasyfikując je po treści W szczególności dane składowane: Na nośnikach danych jak dyski twarde, taśmy, pamięci przenośne np. USB, wydruki W systemach plików – np. serwery sieciowe, macierze itp. W bazach danych – Oracle, Sybase, DB2 itp. Przetwarzane i mogące „wydostać się” z komputera gdzie są przetwarzane Statystycznie: najczęściej chronimy informacje o klientach, treści dokumentów (Umowy), filtrujemy pocztę elektroniczna Gdzie chronimy dane: Network Base – skanery (sensory) sieciowe Host Base/EndPoint – oprogramowanie na serwera lub częściej na stacjach roboczych gdzie dane (najczęściej dokumenty) są przetwarzane Dlaczego dane „wyciekają”: Braki w wyszkoleniu pracowników Braki technologiczne – brak narzędzi do ochrony danych Nieodpowiednia Polityka Bezpieczeństwa Błędy w przypisaniu uprawnień ŚWIAT/INTERNET F-wall, IPS DLP FIRMA/URZĄD

DLP – Z poziomu zarządzających CxO 1/4 Medialne Wirusy, Robaki, Malware, Spam, Phising Niemedialne Zgubiony Laptop, Dysk, Pracownik Sprzedaje Dane, Głupota i Brak Wiedzy Analitycy klasyfikują „wyciek danych” jako zagrożenie PODSTAWOWE postawione wyżej niż wirusy, trojany, robaki itp.. eng. C-Level managers (CTO, CSO, CIO, CEO, etc.) CTO – Zarządzający Techniczny CSO – Zarządzający od Bezpieczeństwa CIO – Zarządzający od Informatyki CEO – Zarządzający Wykonawczy Czy umiemy wyliczyć koszty utraty danych? … przykład: „… Jak podał miesięcznik „Parkiet” najmniej na zdobycie jednego klienta wydał ING OFE – niecałe czterysta złotych, najwięcej towarzystwo emerytalne AIG – ponad cztery tysiące. …” „… Za znalezienie specjalisty niższego szczebla lub/i z mniejszym doświadczeniem, który ma zarabiać 2,5 tyś. zł, pracodawca musi zapłacić 5 tyś. zł. Jeśli korzysta z usług mniejszej firmy, w małym mieście, może być to kwota około 4 tyś. zł. Za kierownika sklepu, którego pensja wynosi 5 tyś. zł, trzeba będzie zapłacić co najmniej 10 tyś. zł. Z kolei za menedżera wyższego szczebla (stanowisko dyrektorskie), który zarabia 20 tyś. zł miesięcznie, trzeba będzie uiścić sumę od 40 do 60 tyś. zł. …” „…Pomimo obowiązującej niemal we wszystkich dużych firmach polityki bezpieczeństwa danych, 61 proc. ich pracowników nadal naraża pracodawców na utratę kluczowych dokumentów - wynika z badań przeprowadzonych przez światową firmę odzyskującą utracone dane. - źródło: Gazeta.PL” „… The Financial Services Authority (FSA) has fined three HSBC firms over £3 million for not having adequate systems and controls in place…. In April 2007, HSBC Actuaries lost an unencrypted floppy disk in the post, containing the personal information of 1,917 pension scheme members, including addresses, dates of birth and national insurance numbers…. in February 2008 HSBC Life lost an unencrypted CD containing the details of 180,000 policy holders in the post” PER KLIENT !!!

!!! BEZCENNE !!! DLP – Z poziomu zarządzających CxO 2/4 Koszt „karty kredytowej” $100 Karta Ubezpieczeniowa A jeśli to są moje dane? $30 Prawo jazdy $5 Konto PayPal z Login i Hasło $50–$100 Świadectwo $2–$10 Numer Karty Kredytowej $500–$1,000 Trojan do przejęcia informacji o kontach !!! BEZCENNE !!! $200–$300 ?+ PIN

DLP – Z poziomu zarządzających CxO 3/4 Czy jesteśmy zobowiązani do ochrony przed utratą danych? … przykład: Świat: SOX (The Sarbanes-Oxley Act), HIPAA (Health Insurance Portability and Accountability Act), FISMA (Federal Information Security Management Act), PCI DSS (Payment Card Industry Data Security Standard), FERC CIP (Federal Energy Regulatory Commission - Critical Infrastructure Protection), Basel II (Basel II Capital Accord), GLBA (Gramm-Leach-Bliley Financial Services Modernization Act), OSHA (Occupational Safety and Health Administration), ISO27002 /17799/13335 (Best practice Recommendations on Information Security Management) Polska: Ustawa o Ochronie Danych Osobowych, z dnia 27 sierpnia 1997 roku (Dz.U. 1997 Nr 133 poz. 883) Ustawa o Ochronie Informacji Niejawnych, z dnia 22 stycznia 1999 roku (Dz.U.1999.11.95, Dz.U.2005.196.1631, Dz.U.2006.104.708, Dz.U.2006.104.711, Dz.U.2006.149.1078, Dz.U.2006.218.1592, Dz.U.2006.220.1600, Dz.U.2007.25.162, Dz.U.2008.171.1056, Dz.U.2009.178.1375) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 30 października 2006 r. w sprawie szczegółowego sposobu postępowania z dokumentami elektronicznymi (Dz. U. z 2006 r., nr 206, poz. 1518) – zawiera wymagania dla systemu teleinformatycznego, który realizuje tzw. elektroniczny obieg dokumentów. Ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r., nr 144, poz. 1204). Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (ustawa o ochronie informacji niejawnych). Rozporządzenie Rady Ministrów z dnia 7 sierpnia 2002 r. w sprawie określenia warunków technicznych i organizacyjnych dla kwalifikowanych podmiotów świadczących usługi certyfikacyjne, polityk certyfikacji dla kwalifikowanych certyfikatów wydawanych przez te podmioty oraz warunków technicznych dla bezpiecznych urządzeń służących do składania i weryfikacji podpisu elektronicznego (Dz. U. z 2002 r., nr 128, poz. 1094) – zawiera wymagania dla podmiotów, w tym co do systemów teleinformatycznych. +48-22-5703800 net@comp.com.pl

DLP – Z poziomu zarządzających CxO 4/4 Rozporządzenie MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 27 listopada 2006 r. w sprawie sporządzania i doręczania pism w formie dokumentów elektronicznych (Dz. U. z 2006 r., nr 227, poz. 1664). Ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2005 r., nr 64, poz. 565). Rozporządzenie Rady Ministrów z dnia 27 września 2005 r. w sprawie sposobu, zakresu i trybu udostępniania danych zgromadzonych w rejestrze publicznym (Dz. U. z 2005 r., nr 205, poz. 1692). Rozporządzenie Rady Ministrów z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (Dz. U. z 2005 r., nr 212, poz. 1766). Rozporządzenie Rady Ministrów z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla rejestrów publicznych i wymiany informacji w formie elektronicznej (Dz. U. z 2005 r., nr 214, poz. 1781). Rozporządzenie Prezesa Rady Ministrów z dnia 29 września 2005 r. w sprawie warunków organizacyjno-technicznych doręczania dokumentów elektronicznych podmiotom publicznym (Dz. U. z 2005 r., nr 200, poz. 1651). Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 27 listopada 2006 r. w sprawie sporządzania i doręczania pism w formie dokumentów elektronicznych (Dz. U. z 2006 r., nr 227, poz. 1664). Rozporządzenie Ministra Nauki i Informatyzacji z dnia 19 października 2005 r. w sprawie testów akceptacyjnych oraz badania oprogramowania interfejsowego i weryfikacji tego badania (Dz. U. z 2005 r., nr 217, poz. 1836). Zwracam też uwagę, że poprawne (zarówno „politycznie”, jak i formalnie) byłoby stosowanie się do dokumentów UE odnoszących się do programu IDABC – rządy krajów, które ubiegają się o dofinansowanie z UE projektów na e-government (jak Polska) nie powinny tego pomijać. Kodeks Dobrych Praktyk w Zakresie Bezpiecznego Korzystania z Telefonów Komórkowych z dnia 31 stycznia 2008 przyjęty przez operatorów mobilnych w Polsce Ponadto wchodzą w rachubę w przypadku informacji niejawnych UE lub NATO odpowiednie dokumenty Komisji Europejskiej i SECAN’u NATO. +48-22-5703800 net@comp.com.pl

Motywacje i wyzwania przy wdrażaniu DLP Incydenty związane z wyciekiem danych o których WIEMY (post-factum), że miały miejsce spowodowało zainteresowanie klientów technologiami DLP obecnymi na rynku. Większość ludzi pracujących dla naszych klientów NIE zdaje sobie sprawy, że informacja i dane nad którymi pracują stanowią istotne dobro, które w sposób bezpośredni wpływa na osiągany przez firmę zysk (np. dane o swoich klientach, kontraktach, własności intelektualnej). Przygotowywane przez Dział Bezpieczeństwa procedury postępowania przy przetwarzaniu danych wrażliwych NIE są z reguły przestrzegane.

Jak realizować projekt DLP - Droga do sukcesu Używanie partnerów, którzy mogą grać rolę niezależnych ekspertów mających doświadczenie we wdrażaniu różnych technologii bezpieczeństwa nie tylko DLP. Poświecić czas na stworzenie dokumentu PoC albo w fazie ewaluacji produktu albo we wczesnych jego etapach (zyskamy czas na rozwiązanie problemów, które NA PEWNO ujawnią się w danej w konkretnej implementacji). Starać się zawsze widzieć biznesowe korzyści z wdrażania rozwiązań DLP – poprawia to motywację i otwiera wiele zamkniętych drzwi.

Kim są klienci systemów DLP Najszybsza reakcja!!! Firmy rynku finansowego operujące na danych osobowych lub pozyskujące klientów masowych: Ubezpieczenia, Bankowość, Marketing, Handel Elektroniczny Instytucje przetwarzające informacje kwalifikowaną i dane osobowe: Agencje rządowe, Urzędy Firmy Telekomunikacyjne: Operatorzy tradycyjni i komórkowi Istotne aspekty wdrożenia – na przykładzie rzeczywistych wdrożeń

7 problemów przy wdrożeniach DLP 1/2 Trudność inwentaryzacji danych , jakie maja być chronione: W 90% przypadków firma przygotowuje inwentaryzację dokumentów po raz pierwszy wraz z wdrożeniem sytemu DLP W 50% przypadków firma określa i odkrywa po raz pierwszy kto w firmie jest odpowiedzialny za dane wrażliwe Problemy z inwentaryzacją danych w bazach SQL – problem organizacji i prawidłowości danych w bazach Systemy DLP ukazują sposób organizacji danych w bazach w firmie Problemy z „End-Point Protection” Należy na każdym PC doinstalować klienta End-Point (interferencja z inny, oprogramowaniem). Należy przeszkolić użytkowników ze „sposobu” reakcji na komunikaty DLP i uświadomić ISTNIENIE Polityki Ochrony Informacji w firmie. Należy przygotować własne komunikaty dla użytkowników.

7 problemów przy wdrożeniach DLP 1/2 Ochrona przed wyciekiem danych przez kanały szyfrowane – np.. SSL/HTTPS, S/MIME, PGP Należy zaimplementować Encryption Gateway ale pamiętajmy o ochronie prywatności! Aspekt formatu danych Lista wspieranych i rozumianych formatów danych jest szeroka ale skończona Interpretacja alarmów, poszukiwania odpowiedniego poziomu progów w reakcji na zdarzenia określone w polityce DLP Procedury organizacyjne obsługi incydentów!

Wnioski? Czy wobec tego można zaniechać wdrożenia systemu DLP? TAK - ale godzisz się z utratą danych, które są Twoim majątkiem i kapitałem. Czy warto wdrażać system DLP? Zdecydowanie TAK! każdy incydent przekłada się w wymierną stratę finansową lub prestiżu. Wyceń ile kosztuję Cię pozyskanie jednego klienta? Możesz „podarować” KONKURENCJI tysiące swoich klientów w jednej przesyłce EMAIL która prawdopodobnie kosztuje ZERO PLN!

Co zyskujemy – rzeczywisty przykład Efekt Generalski: 1-szy incydent wymagający interwencji na poziomie oficera bezpieczeństwa firmy TYLKO! na bazie polityki WZORCA (jeszcze bez znakowania dokumentów i rekordów z bazy danych) po 5-ciu godzinach od wdrożenia Efekt Psychologiczny: Użytkownik chroniony systemem DLP 3-krotnie się zastanowi zanim podejmie działania zagrażające wyciekowi istotnych danych Efekt Formalny: Wdrożenie systemu DLP nie tylko chroni dane w sposób technologiczny ale też buduje, porządkuje i zarządza polityką bezpieczeństwa ochrony danych w firmie Efekt Finansowy: Dane są wielokrotnie cenniejsze niż koszt wdrożenia systemu Symulacja potencjalnych strat finansowych na skutek utraty danych Poznajemy skalę problemu, wiemy które dane wyciekłyby gdyby nie został wdrożony system DLP!!!

DLP – Przykład rozwiązania firmy WebSense Manager Konsola administratora systemu (WebUI) DSS Management Server Centralny punkt systemu DLP Baza polityk i baza zdarzeń Analiza i znakowanie PreciseID DSS Server (opcjonalny i powielany) Serwer wspomagający DSS Manager w procesach analizy i znakowania DSS Protector Ochrona na poziomie sieci – sonda DLP EndPoint Client Ochrona DLP na stacjach roboczych Network Firewall Server Server Protector Server Manager Server Layer 3 Switch EndPoint PC / Workstation EndPoint PC / Workstation EndPoint Laptop

Dane wewnątrz chronionego pliku Niestrukturalny (Textowy) Fingerprining Manipulacja formatu Dane wewnątrz chronionego pliku Manipulacja typu pliku Data Flooding Copy & Paste Ukryte dane Manipulacja struktury 21

DZIĘKUJĘ net@comp.com.pl +48-602-413-613 www.comp.com.pl BEZPIECZNE ROZWIĄZANIA IT