“ози сайт използва бисквитки (cookies). јко желаете можете да научите повече тук. –азбрах
IDG  •  PC World  •  Computerworld  •  CIO  •  CFO  •  Networkworld  •  ƒискусии  •   ариерна зона  •  —ъбити€
COMPUTERWORLD | —игурност
08 мар
2017
 
 

Bynet 2017: »зтичането на лични данни ще носи солени глоби на фирмите

1678 прочитани€, 0 коментара

¬ладимир ¬ладков

ƒоскоро загубата или кражбата на данни от корпоративните »“ системи носеха редица рискове за организаци€та, особено за реномето на компани€та, когато (ако) подобен инцидент, свързан с »“ сигурността, стане известен публично. ѕрез последните 2-3 години сливането на физически€, реални€ св€т с виртуалната област на компютърната мощ, приложени€та и софтуера в една нова, хибридна реалност носи както ползи за бизнеса, така и нови рискове.

ћеир јбaрджел, директор отдел „ иберсигурност“в Bynet »зраел

ѕрочетете още: 74% от компаниите са били обекти на кибер атаки през последните 2 г.

„ƒнес сме свързани през ц€лото време, всичко е „включено“, от вс€ко м€сто и устройство мога да изпрат€ писмо до детето, финансово нареждане до банката, презентаци€ до офиса. ј доскоро част от тези дейности ставаха само зад заключената врата на работното помещение. » се налага всеки ден да се питаме дали дейността, ко€то извършваме, е добре защитена, проверките да са автоматизирани и прозрачни, за да не се спъва бизнесът“, за€ви ћеир јбaрджел, директор отдел „ иберсигурност“в Bynet »зраел, по време на конференци€та за израелски технологии за киберсигурност. “€ бе организирана от Bynet и ≈вропейски софтуерен институт – ÷ентър »зточна ≈вропа в Ћаборатори€та по киберсигурност в —офи€ “ех ѕарк.

Bynet e най-големи€т системен интегратор в »зраел с оборот от над $200 млн. ѕоделението Bynet Security работи с редица партньори, много от които са израелски фирми (общо над 350 днес). „¬секи продукт на пазара е създаден с мисъл за сигурността. ќсновни€т фокус на компаниите е и организациите да са сигурни и защитени, и човешките същества“, каза още јбaрджел.

„ огато говорим за сигурност, цели€т св€т се учи от »зраел, те имат най богат опит. “ова важи и за кибер сигурността.  огато там се прави проект, първо се мисли за защитата на изгражданата система и едва след това започва да се прави“, за€ви ћарио –адуков, регионален мениджър за Ѕългари€ на Bynet.

ћарио –адуков, регионален мениджър за Ѕългари€ на Bynet.

„ѕрез 2017 г. дигиталните плащани€ в »нтернет ще са на стойност $2,7 трилиона, а през 2021 г. техни€т обем ще се удвои до над 5 трилиона долара. “р€бва да бъдат защитени не само тези транзакции, а и структурите, които оперират с т€х, приложени€та, които ги ползват, фирмите, които извършват такива плащани€. ¬ кибер сигурността тр€бва да печелим битки, но войната с „лошите“ никога не свършва, това е непрестанна борба между по-добрите технологии за защита и по-организираните методи на атака към инфраструктурата, ко€то защитаваме“, допълни той. ѕартньорите на Bynet като Radware, Skybox, SASA Software, Safend, CyberBIT, CyberReady, Portnox, Promisec и Check Point демонстрираха и на практика своите системи, об€сн€вайки в детайли техните възможности.

ƒ-р √еорги Ўарков, директор на ESI Center »зточна ≈вропа и ръководител на Ћаборатори€та по киберсигурност, допълни, че това е първото публично събитие в Ћаборатори€та по киберсигурност. „ лиентът не задава изисквани€та за сигурност, работа на професионалистите, които създават софтуерните системи, е да ги направ€т устойчиви на кибер заплахи“, каза той. ѕодобни завишени изисквани€ за устойчивост към развитието на системите за е-управление и прилагане на модела „дизайн за сигурност“ при разработката на нови системи вече са включени в Ќационалната стратеги€ „ иберустойчива Ѕългари€ 2020“, приета от ћинистерски€ съвет през л€тото на 2016 г. „√ол€ма част от изисквани€та са заложени „на харт舓, но тр€бва да се изпълн€ват“, каза д-р Ўарков. “ой добави, че новата европейска директива, ко€то влиза в сила през май 2018 г., въвежда много по-строга регулаци€ за защита на личните данни, както и огромни санкции при нарушаването й.

ƒ-р √еорги Ўарков, директор на ESI Center »зточна ≈вропа и национален координатор по киберсигурност

„ƒокументите на ≈— не само отраз€ват формално тенденциите на цифровото общество, каза д-р Ўарков. - ¬ Ѕългари€ вече работ€т над 50 е-услуги, а чрез новата агенци€ ƒј≈” се над€ваме процесът да стане още по-организиран. ќсвен това 30 услуги към бизнеса са само дигитални, т.е. не съществуват на харти€, а това означава и гол€ма отговорност за бизнес хората, които всеки месец поддържат „дигитални отношен舓 с Ќјѕ, јгенци€ ћитници и други. ќчевидно сигурността по всички тези канали не означава само защита на информаци€та или само на каналите за преноса й.“

„ќт доста време говорим за 14 сло€ (не само за стандартни€ 7-слоен OSI модел), които включват идентичност на хората, машинните езици, операционните системи, организациите, държавата и други. ѕо-важно е, че в тези слоеве са нашите услуги, нашите комуникации, нашата оперативна съвместимост, но там са и заплахите, насочени срещу всички тези слоеве. «а да се вид€т всички тези сценариите в тази лаборатори€ ще създаваме симулационни постановки, които да показват как действат заплахите на практика и какви решени€ за противодействие има“, об€сни д-р Ўарков.

„—поред европейската директива при вс€ко изтичане на лични данни администраторът има само 72 часа, за да докладва проблема на национални€ регулатор, освен ако може да докаже, че изтеклите данни са криптирани, по€сни Ѕруно Ўателие от Safend, компани€ на SuperCom. - јко администраторът не изпълни разпоредбите на директивата, глобата е до 10 млн. евро или 2% от оборота, ко€то от двете санкции е по-гол€ма. ѕри нарушение на разпоредбите на контролни€ орган имуществената санкци€ достига до 20 млн. евро или 4% от оборота на групата (ако организаци€та нарушител е част от по-гол€ма международна група“, добави Ўателие.

’ибридни рискове, хибридна защита

„¬ миналото беше трудно да се събира информаци€, а сега това става за секунди. »нтернет на нещата прави още по-труден живота на »“ професионалистите. «ависим от технологиите през ц€лото време, ц€лата държава и нейните структури се управл€ват от »“ системи. ¬ редица сектори обаче системите са правени преди години и не са „мислени“ за кибер защита, добави јбaрджел. —лабостите в системите могат да се поправ€т, но хората остават най-слабата брънка във веригата на сигурността, всеки служител представл€ва потенциален риск, независимо дали действа с умисъл, бива подведен или сгреши случайно. ј нападателите отдавна не избират случайни мишени, не след€т кой е най-лесно атакуем. “е събират данни, много данни, и могат да чакат с месеци, за да се сдоби€т с необходимите им „права за достъп“. Ќе им се налага да влизат физически в центъра за данни, атакуват човек с подход€щите привилегии, копират паролата му и са „вътре“, об€сни той. »“ сигурността ще се управл€вана от все по-малко хора, с по-автоматизирани средства и оценка на риска от вс€ка операци€. „“р€бва да мислим в национален мащаб, да инвестираме пари и усили€ в управление на риска“, добави той.

 ибер сигурността е достигнала повратна точка

и като сложност, и като честота на атаките - днес те се по н€колко на ден, допълни ≈ран ƒанино, старши специалист по киберсигурност в Radware. ’акерската общност знае, че компаниите слагат все по-ценна информаци€ в мрежата (включително в социалните мрежи ) и € използват. јтаките стават все по-зрели и причин€ват все по-големи щети. ј средствата за атака – по-достъпни. „ћожеш да си поръчаш пакет DDOS атака и за $20, или да си купиш пакет за $999, с който да нападнеш избрани мишени със стотици гигабити трафик в продължение на н€колко дни“, каза той.

ћотиваци€ номер 1 за атаките е получаването на откуп, като това важи особено за ≈вропа, показва годишни€т доклад на компани€та за тенденциите в »“ сигурността за 2016 г. „SSL базираните атаки растат с 10%, като само 25% от фирмите са подготвени за т€х. ѕубличните организации и финансови€т сектор се сблъскват с най-гол€м брой атаки. ¬ същото време респондентите сподел€т, че загубата на данни е по-опасна от нарушената репутаци€ на фирмата, а непрекъсваемостта на бизнеса е с по-висок приоритет за т€х от ръста на приходите. ѕетата отчетлива тенденци€ е създаването на бот мрежи от IoT устройства, които вече атакуват сървърите с поток от 1 Tbps „напълно легални“ за€вки.

≈ран ƒанино, старши специалист по киберсигурност в Radware

Ќад 98% организации признават, че са били атакувани през 2016 г., като 34% от фирмите са нападнати с DDOS атака. 49% в европейските фирми са атакувани от криптовирус или DDOS, което ги превръща в реална гол€ма заплаха и за организациите от отбраната, държавните структури, здравните заведени€, каза ƒанино.

ћащабните атаки се откриват лесно и борбата с т€х се води на „международно ниво“, по близо до източника. Ќо 83% от организациите страдат от атаки под 1 Gbps, а при 82% от т€х интензитетът е дори под 100 Mpps, но това се отраз€ва негативно на потребителското изжив€ване. „ орпоративните клиенти купуват нови сървъри, устройства за разпределение на натоварването и друго оборудване, без реално това да води до повече бизнес услуги и приходи“, об€сни ƒанино.

Radware препоръчва да преминете към автоматизаци€, средства за оперативна автоматизаци€ на процесите. “р€бва да се подготвите за IoT “торнадото“, да опознаете врага- каква му е мотиваци€та, какви техники и инструменти използва, можете дори да наемете хакер. ¬ажно е и да създадете план за реакци€ при спешни случаи (Emergency Response Plan)“, об€сни ≈ран ƒанино от Radware.

≈— регламентът препоръчва криптиране на личните данни

–егламент (≈—) 2016/679 за личните данни на физическите лица , който замен€ ƒиректива 95/46/Eќ (общ регламент относно защитата на данните), влиза в сила на 25 май 2018 г. „÷елта му е да защити фундаменталните права и свободи на хората, да защити техните лични данни, но без да ограничава свободното движение на подобни лични данни в рамките на страните от ≈—", каза Ѕруно Ўателие от Safend.

Ѕруно Ўателие от Safend.

¬ същото време пон€тието „лични данни” е доста широко, тъй като включва вс€ка информаци€, свързана с идентифициране на физическо лице - чрез идентификатори като име, идентификационен номер, данни за местонахождение, онлайн идентификатор или по един или повече признаци. ‘изическите лица могат да бъдат свързани с онлайн идентификатори, предоставени от техните устройства, приложени€, инструменти и протоколи, като адресите по интернет протокол (IP адреси) или идентификаторите, наричани „бисквитки“, или други идентификатори, например RFID етикети. “ѕо този начин може да бъдат оставени следи, които в съчетание по-специално с уникални идентификатори и с друга информаци€, получена от сървърите, може да се използват за създаването на профили на физическите лица и за т€хното идентифициране. ѕри регистраци€та на една е-поща също се събират множество лични данни“, коментира той. ¬секи администратор поддържа регистър на дейностите по обработване на личните данни (има известни изключени€ за фирми с под 250 служители).

—ъщевременно администраторите на тези данни тр€бва да предвид€т технически и организационни мерки за сигурността на обработката, включително псевдонимизаци€ и криптиране на личните данни; както и гарантиране на посто€нна поверителност, ц€лостност, наличност и устойчивост на системите и услугите за обработване. „ѕри пробив в сигурността и изтичане на личните данни, администраторът тр€бва да докладва за проблема на национални€ регулатор (Ќадзорен орган според –егламента) в срок до 72 часа. ќсвен това вс€ко лице, което е претърп€ло материални или нематериални вреди в резултат на нарушението, има право да получи обезщетение. „“ова означава, че служител, който е загубил на летището USB стик с лични данни за служителите, може да поиска компенсаци€ от компани€та. ѕолучава се ѕараграф 22, каза Ўателие. - јко обаче изтеклите данни са криптирани, администраторът може и да не докладва“, допълни той.

Ўателие показа нагледно как би действал нови€т регламент с н€колко измислени примера. „ќтдел в —толична община например съхран€вани лични данни за гражданите и техните адреси, об€сн€ва той. - ќткраднат е лаптоп, който съдържа много детайли за гражданите. јдминистраторът на общината обаче не докладва на Ќадзорни€ орган за проблема, а по-късно лаптопът е намерен от полици€та. —поред регламента, Ќадзорни€т орган глоб€ва —толична община с 5 млн. евро. јко обаче се ползва решението Encryptor, всички лични данни в твърди€ диск са криптирани и не могат да бъдат прочетени. ¬ този случай администраторът не е длъжен да докладва за пробив в сигурността. јко Ќадзорни€т орган поиска от общината доказателство, т€ може да покаже лог за криптирането на диска“, допълни Ўателие.

ѕри друг симулиран случай щатска банка с клонове в ≈— не докладва за загубен USB стик. „Ќа него примерно се съхран€ват IBAN номера на европейски граждани. јдминистраторът на банката в европейски€ клон на банката в »рланди€ докладва на ирландски€ надзорен орган, който нарежда на компани€та да спре цели€ си бизнес в ≈—, да плати глоба 30 млн. евро и по 30 хил. евро на всеки засегнат гражданин. –ешението е криптиране не само твърди€ диск, а на всички външни медии, об€сни Ўателие.

Ќј…-Ќќ¬» Ќј…-„≈“≈Ќ» ѕ–≈ѕќ–Џ„јЌ»
‘ирмите представ€т

—лайдшоу
»Ќ“≈–¬ё
ƒмитри „еревик: ÷ел є1 за местни€ офис на Progress е растежƒмитри „еревик: ÷ел є1 за местни€ офис на Progress е растеж

ѕ–ќ‘»Ћ Progress е водещ доставчик на технологии за разработка и пускане на приложени€.  омпани€та дава възможност на независимите софтуерни вендори да създават и пускат приложени€ за бизнеса, включващи когнитивни възможности, които чрез ...

ѕ–»Ћќ∆≈Ќ»я
јЌ ≈“ј

 акво мислите за FireFox OS?

»нформаци€ за ¬ас