Obrana před kyberútoky (nejen) v roce 2019

axenta cybersecurity 2019

Známé pravidlo říká, že nejlepší obranou je útok. V kyberprostoru to však neplatí. Tedy neplatí to, pokud nejste státem podporovaná skupina, nebo armáda a neděláte to ze strategických důvodů. My ostatní si musíme vystačit s konvenčními obrannými prostředky a na tzv. hack-back můžeme zapomenout. Navíc by nám to v 99,9% případů ani nepomohlo.

Co nám ale pomoci může, je připravenost. Proto se v této sérii článků podíváme na to, jak se poučit z chyb minulosti a být připraven na (nejen) nové útoky v roce 2019.

Standardní opatření – hesla, firewally, záplaty, vzdělávání

Potřeba bezpečných hesel a využívání správců hesel by již měla být každému jasná. S větším množstvím úniků dat vidíme, že je nutná i multifaktorová autentizace, kde navíc už nestačí SMSka na mobil, který představuje jen další zařízení, které je snadno zneužitelné. V současnosti jsou prostředky vícefaktorové autentizace už mnohem dostupnější i pro běžné uživatele, což umožňuje jejich zařazení do běžných bezpečnostních opatření v organizaci.

Druhým opatřením je firewall, který je dnes již standardem snad v každé společnosti. Bohužel je však častokrát chybně chápán jako něco, co slouží jen jako stěna mezi internetem a naší sítí. Stejně důležité využití firewallu však spočívá v segmentaci sítě.

Přijde nám samozřejmé, že z Wi-Fi sítě, do které se uživatelé připojují mobilem, by asi neměl být povolen přístup do sítě, ve které máme umístěny důležité servery nebo citlivá data. Kolik společností však má odpovídající nastavení na firewallu? Nemluvě o tom, že o důležitosti segmentace jsme se již několikáté přesvědčili v roce 2017 při útocích WannaCry a NotPetya. Nesegmentované sítě při napadení tímto malwarem umožnily jeho rychlé šíření v interních sítích, což mělo za následek obrovské škody.

Neméně důležitým opatřením je záplatování. O tom jsme se také přesvědčili nejen v roce 2017 při WannaCry a NotPetya, ale také v dubnu a srpnu roku 2018, kdy probíhaly globální útoky na weby využívající CMS Drupal (tzv. Drupalgeddon) resp. webový framework Apache Struts. Tyto útoky zneužívaly zranitelnosti, které byly opraveny během pár hodin po jejich zveřejnění. Přesto bylo velké množství webů hacknutých. Důvodem bylo zanedbané záplatování.

Zejména v případě uživatelského softwaru existuje velmi málo výjimek, které mohou omluvit nezáplatovaný software. V případě softwaru používaného v kritické infrastruktuře, v nemocnicích a dalších kritických odvětvích je však situace mnohem složitější. Situaci komplikuje nejen finanční náročnost, ale zejména v případě vysoce specializovaného softwaru nedostupnost záplat, požadavky na zpětnou kompatibilitu, zda vysoké nároky na dostupnost zařízení, které neumožňují důkladné záplatování softwaru daného zařízení.

Dobrou zprávou však je, že i v případě, že není možné software důkladně záplatovat, můžeme z toho plynoucí rizika často snížit vhodnou kombinací ostatních bezpečnostních opatření, které zabrání zneužití přítomných zranitelností.

Nesmíme zapomenout ani na vzdělávání. Na jedné straně s postupným zdokonalováním technik sociálního inženýrství přicházíme na to, že tvrzení o tom, že uživatel je nejslabší článek, nemusí být univerzálně platné. Na straně druhé je spearphishing stále nejrozšířenější metodou útoku pokročilejších útočníků – a navíc i velmi úspěšnou.

Vysokou úspěšnost můžeme kromě rafinovanosti útočníků připsat zejména málo vzdělaným uživatelům. Velké množství veřejně dostupných dat o uživatelů jen pomáhá útočníkům, kteří dokáží s použitím těchto dat dokonale oklamat uživatele, aby si nainstaloval malware nebo z něj dostat přístupové údaje. Vždyť kdo by nekliknul v e-mailu o výpadku vody v posilovně, do které běžně chodí, o čemž informuje na svém veřejném profilu v Instagramu?

Endpoint řešení

Kliknutím ve výše zmíněném e-mailu si uživatel právě nainstaloval do počítače malware, který umožní útočníkovi zaznamenávat stisky kláves, podvrhnout mu falešnou stránku internetbankingu nebo se přes jeho počítač dostat k firemním datům. Právě tomuto by se dalo zabránit pomocí vhodně zvoleného endpoint řešení. Klasické EDR řešení můžeme chápat jednoduše jako antiviry na steroidech. I proto často antivirem splývají přesto, že nabízejí více funkcionality zaměřené na pokročilých útočníků namísto komoditního malwaru.

Dobře zvolený EDR software dokáže na základě behaviorální analýzy a využití AI zablokovat, nebo alespoň detekovat různé druhy malwaru a aktivit útočníka na napadeném počítači a následně počítač „opravit“ do zdravého stavu. To se vztahuje nejen na pokročilých útočníků ale také na zcela běžné spamové e-maily obsahující malware v přílohách, malware pocházející z pochybných webových stránek či nestandardní způsoby nákazy, například malware z USB zařízení.

Ani EDR však nepředstavuje všelék a sám o sobě nedokáže útokům 100% zabránit. Velkým problémem může být i tzv. insider threat. Pod tím si můžeme představit úmyslné poškozování IT infrastruktury nebo krádež citlivých dat, či sabotáž, kterou dobrovolně provádí samotný zaměstnanec. Pokud si k tomu domyslíme aktuální trend přesunu nejen dat ale i infrastruktury do cloudu, vyvstává obecný požadavek na řešení problému správy přístupu.

I o tom, jak řešit správu přístupu, si řekneme v dalším článku z této série.

Zdroj: www.itsec-nn.com

Pověřenci

Nejdůležitější informace a nejčastější dotazy k pověřenci pro ochranu osobních údajů (DPO).

 

Kdo musí jmenovat pověřence pro ochranu osobních údajů? 

Povinnost jmenovat pověřence pro ochranu osobních údajů se netýká všech správců nebo zpracovatelů, ale pouze těch, kteří provádějí zpracování uvedená v čl. 37 odst. 1 GDPR.

!! Nové !! Jaké musí mít pověřenec kvalifikační předpoklady?

Ke kvalifikačním požadavkům na pověřence Úřad upozorňuje, že „nedefinování“ požadované úrovně odborných znalostí pověřence v normativním textu GDPR vyplývá z toho, že nařízení upravuje pouze a právě aspekty ochrany osobních údajů v užším slova smyslu.  Požadavek čl. 37 odst. 5, že pověřenec musí být jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany osobních údajů a své schopnosti plnit úkoly stanovené v článku 39, vyjadřuje, že kvalifikační předpoklady se vztahují rovněž k hlavním činnostem správce,  jejichž součástí je zpracování osobních údajů, nebo k činnosti veřejných subjektů. Tyto činnosti předurčují další kvalifikační požadavky na osobu pověřence. !! Nové !!

!! Nové !! Jaké jsou podmínky na působení externího pověřence?

K externímu postavení pověřence Úřad upozorňuje na pokyn Evropského sboru pro ochranu osobních údajů, s nímž se jako člen, který se na přípravě pokynů spolupodílel, ztotožňuje:

WP243 příloha Často kladené otázky:

Je možné jmenovat externího pověřence pro ochranu osobních údajů (čl. 37 odst. 6)? 

Ano. Podle čl. 37 odst. 6 může být pověřenec pro ochranu osobních údajů pracovníkem správce či zpracovatele (interní pověřenec pro ochranu osobních údajů), nebo může „úkoly plnit na základě smlouvy o poskytování služeb“. To znamená, že pověřenec pro ochranu osobních údajů může být externí, a v tomto případě může být jeho funkce vykonávána na základě smlouvy o poskytování služeb uzavřené s jednotlivcem nebo s organizací. 

Je-li pověřenec pro ochranu osobních údajů externí, vztahují se na něj veškeré požadavky podle článků 37 až 39. Jak je uvedeno v pokynech, je-li funkce pověřence pro ochranu osobních údajů vykonávána externím poskytovatelem služeb, skupina osob pracujících pro tento subjekt může účinně plnit úkoly pověřence pro ochranu osobních údajů jako tým, za který je odpovědný určený hlavní kontakt a „odpovědná osoba“ pro klienta. V tomto případě je nezbytné, aby každý člen externí organizace vykonávající funkce pověřence pro ochranu osobních údajů splňoval veškeré příslušné požadavky GDPR. V zájmu právní jasnosti a dobré organizace pokyny doporučují ve smlouvě o poskytování služeb jasně rozdělit úkoly v rámci externího týmu pověřenců pro ochranu osobních údajů a určit jednu osobu jakožto hlavní kontakt a „odpovědnou“ osobu pro klienta.

Hlavní kontakt a odpovědnou osobu pro každého klienta pak musí správce sdělit Úřadu.!! Nové !!

Jak sdělit kontaktní údaje na pověřence?

Některým správcům a zpracovatelům vznikne účinností obecného nařízení o ochraně osobních údajů povinnost jmenovat pověřence pro ochranu osobních údajů (DPO – Data Protection Officer). V této souvislosti jsou dle článku 37 odst. 7 obecného nařízení povinni jak zveřejnit kontaktní údaje na pověřence, tak je i sdělit dozorovému úřadu, tj. Úřadu pro ochranu osobních údajů.

Forma sdělování kontaktních údajů na pověřence dozorovému úřadu není obecným nařízením blíže konkretizována. Sdělení lze učinit zejména prostřednictvím elektronických kontaktů (e-mail: posta@uoou.cz, datová schránka: qkbaa2n) s uvedením předmětu zprávy „oznámení pověřence“.

Obsahem sdělení je:

• identifikace správce nebo zpracovatele, který sděluje kontaktní údaje na pověřence
• označení pověřence (jméno, příjmení)
• kontaktní údaje na pověřence (e-mail, telefon)

Kontaktní údaje na pověřence sděluje správce či zpracovatel, nikoli daná fyzická osoba, která bude vykonávat funkci pověřence, a to i v případě, kdy funkci pověřence zastává pro více organizací.

Obecné nařízení nespecifikuje ani formu zveřejnění kontaktních údajů správcem nebo zpracovatelem. Nejvhodnější forma zveřejnění je prostřednictvím internetových stránek, případně lze takovéto zveřejnění u některých subjektů doplnit na úřední desce.

Jakým způsobem by měla probíhat konzultace pověřenců a dalších osob, zajišťujících soulad zpracování u správce či zpracovatele s Úřadem pro ochranu osobních údajů?

Řešit problémy každodenní praxe a správně aplikovat jednotlivá ustanovení GDPR je úkolem správců, případně jejich pověřenců.

Ačkoli Úřad nemá v rámci GDPR, jakožto dozorový úřad, stanovenu přímou konzultační roli, vyjma jeho role ve specifickém institutu předchozích konzultací (dle čl. 36 GDPR), poskytuje i nadále konzultace (odpovědi na dotazy) v rámci svých personálních možností. Pro nejefektivnější využívání odborníků Úřadu ke konzultacím doporučujeme pověřencům, resp. správcům či zpracovatelům, dodržovat následující postup:

  • Identifikujte a analyzujte problém

Konkrétní popis situace (základní parametry příslušného zpracování).

  • Vyhledejte a zpracujte vhodná řešení 

K otázkám, které při tom vyvstanou, hledejte vhodná řešení za použití příslušných ustanovení relevantních právních předpisů, tedy často nejen GDPR.

Návrh řešení by měl být stručný a výstižný, nicméně postihující všechny podstatné aspekty původního problému, tj. jak ty, které stály na počátku, tak ty, které byly identifikovány v předchozím kroku.

  • Zašlete relevantní dokumenty/informace

Úřadu zašlete takové dokumenty/informace, které jsou nutné k posouzení kontextu dotazu. Úřad také informuje, že v rámci konzultační činnosti neschvaluje ani neposuzuje návrhy či revize interních předpisů nebo provozní či uživatelské dokumentace informačních systémů používaných ke zpracování osobních údajů.

UPOZORNĚNÍ: I v případě, že dojde ke splnění výše uvedených podmínek, nadále platí, že konzultace není ani závěrem z uplatnění dozorových pravomocí, ani závazným stanoviskem Úřadu.

Odkazy

  • Základní příručka
    Nejdůležitější informace k DPO
  • Jak konzultovat s Úřadem [PDF, 505 kB]
    Doporučení pověřencům pro ochranu osobních údajů a dalším osobám, zajišťující soulad zpracování u správce či zpracovatele.
  • Otázky a odpovědi
    Nejčastější odpovědi Úřadu na dotazy k DPO
  • Pokyny Sboru k pověřencům
    Dokumenty Evropského sboru pro ochranu osobních údajů (dříve Pracovní skupiny WP29), které poskytují výklad významných prvků zaváděných obecným nařízením o ochraně osobních údajů.
  • Pokyny Sboru k pověřencům (často kladené otázky)
    Jedna z příloh Pokynů Sboru má za cíl zodpovědět zjednodušenou a snadno čitelnou formou některé klíčové otázky k tomuto tématu.
Zdroj: www.uoou.cz

Facebook dostal v Itálii pokutu deset milionů eur

Italský úřad pro ochranu spotřebitelů a hospodářské soutěže (AGCM) uložil americké společnosti Facebook pokutu ve výši deseti milionů eur (téměř 260 milionů korun) za to, že mimo jiné neinformoval uživatele „adekvátně a okamžitě” ohledně užívání jejich osobních údajů.

Ilustrační foto

Ilustrační foto

FOTO: Dado Ruvic, Reuters

pátek 7. prosince 2018, 21:11 – Řím

Podle deníku The Guardian se jedná o jeden z nejvyšších finančních trestů, jaký kdy provozovatel stejnojmenné sociální sítě dostal. Italský úřad o kroku informoval v páteční tiskové zprávě.

AGCM uvedl, že kalifornská firma porušila čtyři paragrafy italského řádu pro ochranu spotřebitelů. Facebook prý při vytváření účtu nedostatečně informoval uživatele o skutečné hodnotě jejich dat a o tom, k čemu budou využity. Podle úřadu zdůrazňoval pouze bezplatnou povahu své platformy a zamlčoval výdělečnou složku svých operací, čímž lidi pobízel k rozhodnutí, které by při znalosti všech faktů neučinili.

AGCM také jako „agresivní praktiku” kritizuje sdílení dat se třetími stranami za komerčními účely, které je prováděno „bez předchozího vyjádřeného souhlasu, tudíž způsobem nevědomým a automatickým”. Úřad tím odkazuje i na výchozí nastavení služeb Facebooku, která „připravují předávání uživatelských dat stránkám a aplikacím”. Kromě zaplacení pokuty žádá po firmě zveřejnění „opravného” prohlášení, kterým by veřejnost o problematice podrobně informovala.

Šéf Facebooku Mark Zuckerberg při středečním slyšení v americkém Kongresu.

Šéf Facebooku Mark Zuckerberg

FOTO: Reuters

Facebook v první reakci uvedl, že lidé mají na platformě své osobní informace ve vlastní moci a že po nedávných změnách jsou nastavení týkající se soukromí snáze dohledatelná. „Zkoumáme rozhodnutí AGCM a přejeme si, abychom s ním mohli spolupracovat na rozptýlení obav. Letos jsme učinili naše smluvní podmínky jasnějšími, abychom lidem pomohli pochopit, jak používáme data a jak naše podnikání funguje,” píše se v prohlášení.

The Guardian uvádí, že italské úřady na Facebook kvůli jeho datové politice vytváří výrazný tlak. Už loni AGCM udělil společnosti pokutu tři miliony eur (78 milionů korun), protože prý tlačila uživatele své chatovací služby WhatsApp do sdílení dat se základní facebookovou mobilní aplikací .

Oproti tomu v Británii dostal Facebook za údajné prohřešky v rámci skandálu Cambridge Analytica pokutu jen 500 000 liber (14,5 milionu korun), což je zároveň nejvyšší postih, jaký může britský úřad pro ochranu osobních údajů udělit.

Mnohem vyšší trest, až 1,63 miliardy dolarů (kolem 37 miliard korun), mu hrozí v případu, který vyšetřuje Irská komise pro ochranu dat. Ta zkoumá, zda bezpečnostní chyba v systémech Facebooku, která nedávno umožnila hackerům přístup k téměř 50 milionům uživatelských účtů, nepředstavovala porušení evropské směrnice pro ochranu dat (GDPR).

Oproti ročnímu zisku společnosti je však maximální možná pokuta stále pouhým zlomkem, neboť loni Facebook vydělal téměř 15,9 miliard dolarů (kolem 360 miliard korun.)

Zdroj: www.novinky.cz