©2016 IMMUSEC Sp. z o.o.

Cyberbezpieczeństwo w komunikacji – wyzwania dla branży ubezpieczeniowej

Jarosław Mazek

© 2016 IMMUSEC Sp. z o.o.

2 WE MAKE SECURITY SIMPLE

Plan prezentacji

• Wprowadzenie • Komunikacja = transakcja

– Socjotechnika – Phishing – Whaling

• Komunikacja = transport – Connected/smart cars – Pojazdy autonomiczne – Pay as/how you drive

• Ochrona danych

© 2016 IMMUSEC Sp. z o.o.

3 WE MAKE SECURITY SIMPLE

Czynimy bezpieczeństwo prostym

• Ponad 9 lat na rynku

• Specjalizacja działalności: zarządzanie bezpieczeństwem informacji i zarządzanie ryzykiem

Naszą misją jest uczynić bezpieczeństwo prostym dla każdej firmy, bez względu na jej wielkość i branżę.

• Brak specjalizacji branżowej

© 2016 IMMUSEC Sp. z o.o.

4 WE MAKE SECURITY SIMPLE

• Zarządzanie strategiczne informatyką i bezpieczeństwem • Zarządzanie ryzykiem operacyjnym i ciągłością działania • Budowanie systemu nadzoru korporacyjnego i audytu

wewnętrznego

• Audyt procesów zarządzania • Audyt zgodności z wymaganiami • Audyt systemów informatycznych • Audyt bezpieczeństwa • Audyt dostawców zewnętrznych • Wsparcie audytu wewnętrznego

• Monitorowanie bezpieczeństwa • Budowanie świadomości bezpieczeństwa i szkolenie

pracowników • Ochrona danych i aktywów firmy

© 2016 IMMUSEC Sp. z o.o.

5 WE MAKE SECURITY SIMPLE

Świat cyberzagrożeń

94%

70%+

30%+

24%+

• incydentów wynika z braku świadomości użytkowników, złośliwego oprogramowania i zautomatyzowanych mechanizmów ataku (APT) Jakościowa zmiana cyberzagrożeń

• Ilościowy wzrost cyberzagrożeń rok do roku

• wartościowy wzrost skutków cyberzagrożeń rok do roku

• Lawinowy wzrost wykorzystania Internetu i zewnętrznych dostawców oprogramowania jako usługi (SaaS, Cloud) w biznesie (rok do roku)

© 2016 IMMUSEC Sp. z o.o.

6 WE MAKE SECURITY SIMPLE

Komunikacja = transakcja

Internet Agent Call center Płatność

https://thumbs.dreamstime.com/x/computer-online-car-insurance-14775905.jpg; http://www.guaranteed-issue-health-insurance.com/images/health-insurance-sales-leads.jpg; http://www.people-sourceinc.com/images/call-center-agent.jpg

Atak socjotechniczny

© 2016 IMMUSEC Sp. z o.o.

7 WE MAKE SECURITY SIMPLE

Phishing

Źródło zdjęcia: http://il3.picdn.net/shutterstock/videos/4529693/thumb/1.jpg

Phishing - przestępca podszywa się pod firmę lub instytucję, w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej). Tworzenie fałszywych stron przypominających stronę celu. Atak na człowieka - oparty na socjotechnice. Odznacza się masowością, przypadkowością.

© 2016 IMMUSEC Sp. z o.o.

8 WE MAKE SECURITY SIMPLE

Przykładowe akcje phishingowe

• PGE

• ENERGA

• Play

• Orange

• PKO BP

• mBank

© 2016 IMMUSEC Sp. z o.o.

9 WE MAKE SECURITY SIMPLE

Kolejna rata płatności

Jan Kowalski

11 2345 6543 3456 6554 3456 6554 430,45

Kontynuacja ubezpieczenia PROMOCJA do końca miesiąca. Tylko WYBRANI

© 2016 IMMUSEC Sp. z o.o.

10 WE MAKE SECURITY SIMPLE

Whaling

Płetwal zwyczajny

Atak ukierunkowany na ważną postać w organizacji

Wykorzystanie informacji publicznie znanych oraz pogłębione rozeznanie

Połączenie kanałów cyfrowych i tradycyjnych

© 2016 IMMUSEC Sp. z o.o.

11 WE MAKE SECURITY SIMPLE

Whaling w praktyce

Przykładowy scenariusz ataku

1. Upozorowana wiadomość od prezesa lub dyr. finansowego, wzmocniona rozmową telefoniczną,

2. Pilne, nagłe działanie, 3. Wyciek danych lub

pieniędzy.

Mattel stracił 3 mln USD w 2015

Seagate Technology i Snapchat dane pracowników i współpracowników

Rosnący problem także w Polsce

© 2016 IMMUSEC Sp. z o.o.

12 WE MAKE SECURITY SIMPLE

Jak się bronić?

Budowanie świadomości - Niezbędna wiedza

- Forma przekazania wiedzy

- Czas

Tworzenie kultury ochrony informacji

© 2016 IMMUSEC Sp. z o.o.

13 WE MAKE SECURITY SIMPLE

Komunikacja = transport

http://2.bp.blogspot.com/-jd1AO-CghG4/UH8R0XeNjBI/AAAAAAAANgY/Mur25gR8BFI/s1600/zero_emission_white_background.jpg

© 2016 IMMUSEC Sp. z o.o.

14 WE MAKE SECURITY SIMPLE

Car hacking

Car hacking: Nadchodzące globalne cyberprzestępstwo?

http://www.cnbc.com/2013/10/18/car-hacking-the-next-global-cybercrime.html

© 2016 IMMUSEC Sp. z o.o.

15 WE MAKE SECURITY SIMPLE

Connected/smart cars Połączenia Bluethooth

Połączenia Wi-Fi

OBD akcesoria

Key-less Zainstalowane

karty SIM

Monitoring GPS

eCall

http://www.caranddriver.com/features/can-your-car-be-hacked-feature

150 mln aut 2020

© 2016 IMMUSEC Sp. z o.o.

16 WE MAKE SECURITY SIMPLE

Sensory i komputery

© 2016 IMMUSEC Sp. z o.o.

17 WE MAKE SECURITY SIMPLE

Connected/smart cars

http://www.autoexpress.co.uk/land-rover/range-rover/89183/range-rover-owners-refused-insurance-due-to-theft-risk

Posiadacze samochodów Range Rover odrzucani, z powodu ryzyka kradzieży

Hakerzy samochodu Jeep wracają i udowadniają, że skutki ataku mogą być jeszcze gorsze

© 2016 IMMUSEC Sp. z o.o.

18 WE MAKE SECURITY SIMPLE

Connected/smart cars

http://www.autoblog.com/2015/02/03/bmws-connected-drive-feature-vulnerable-to-hackers/

https://www.wired.com/2016/03/fbi-warns-car-hacking-real-risk/

FBI ostrzega, że zhackowanie samochodów do realne ryzyko

Błąd systemu BMW Conncted Drive powoduje podatność na ataki hackerów

© 2016 IMMUSEC Sp. z o.o.

19 WE MAKE SECURITY SIMPLE

Samochody autonomiczne

Badacze pokazują, że każdy może złamać oprogramowanie autopilota Tesla i spowodować wypadek

http://bgr.com/2016/08/04/tesla-model-s-hack-defcon-conference-2016/

https://www.theguardian.com/technology/2016/jul/01/tesla-driver-killed-autopilot-self-driving-car-harry-potter

Kierowca samochodu Tesla, który zginął używając autopilota oglądał film Harry Potter

© 2016 IMMUSEC Sp. z o.o.

20 WE MAKE SECURITY SIMPLE

Nie tylko samochody

Podatność GPS mogła umożliwić hakerom i terrorystom porywanie statków, dronów, samolotów pasażerskich

http://securityaffairs.co/wordpress/16698/hacking/gps-vulnerability-exploitable-to-control-the-route-of-a-vessel.html

http://technowinki.onet.pl/lotnictwo/fbi-potwierdza-haker-przejal-kontrole-nad-samolotem/t19r1h

© 2016 IMMUSEC Sp. z o.o.

21 WE MAKE SECURITY SIMPLE

Dynamika wzrostu rynku connected cars

Źródło: Raport: Connected cars: worldwide trends, forecasts and strategies 2014–2024 http://www.analysysmason.com/PageFiles/45988/Figure1.png

© 2016 IMMUSEC Sp. z o.o.

22 WE MAKE SECURITY SIMPLE

Samochody autonomiczne

© 2016 IMMUSEC Sp. z o.o.

23 WE MAKE SECURITY SIMPLE

Pay as/how you drive

Monitorowanie zachowania kierowcy • Czujniki i systemy samochodu • Dane GPS • Czujniki telefonu

Ryzyka?

Ujawnienie danych kierowcy: • Profil behawioralny • Dane zawarte w telefonie • Dane samochodu….

• Możliwość oszukania systemu przez kierowcę

www.fordrivers.pl

© 2016 IMMUSEC Sp. z o.o.

24 WE MAKE SECURITY SIMPLE

Morze danych

Dane osobowe

Dane transakcyjne

Geolokalizacja Dane

behawioralne

Dane pojazdu

Dane wideo

Dyrektywa RODO

• System kar, których górna granica to 20 000 000 euro lub 4 % całkowitego rocznego obrotu z poprzedniego roku.

• Wymogi informacyjne w przypadku wycieku informacji

• 1 zł x liczba klientów = ????

© 2016 IMMUSEC Sp. z o.o.

25 WE MAKE SECURITY SIMPLE

Podsumowanie

Transakcja

• Budowanie świadomości

• Tworzenie kultury ochrony informacji

Transport

• Nowe modele szacowanie ryzyka

• Zawód przyszłości

cyber-aktuariusz

Ochrona danych

Komunikacja

© 2016 IMMUSEC Sp. z o.o.

26 WE MAKE SECURITY SIMPLE

Cała organizacja jest certyfikowana ISO/IEC 27001

Klasyfikacja w raporcie TOP200 Computerworld

1sze miejsce w rankingu Book of Lists 2014/2015 Warsaw Business Journal

Dziękuję za uwagę jmazek@immusec.com

IMMUSEC Sp. z o.o. ul. Sarmacka 12F/1 02-972 Warszawa Tel. +48 22 3797470 Fax. +48 22 3797479 Email: biuro@immusec.com Web: www.immusec.com

Bezpieczeństwo informacji jest dla nas priorytetem. Wszystkie nasze procesy ofertowania, realizacji i raportowania objęte są Systemem Zarządzania Bezpieczeństwem Informacji zgodnym z ISO/IEC 27001

IMMUSEC Ltd 71-75 Shelton Street Covent Garden London, WC2H 9JQ Email: office@immusec.com Web: www.immusec.com