yberbezpieczeństwo w komunikacji wyzwania dla branży … · 2016-10-18 · IMMUSEC Sp. z o.o. ul....
Transcript of yberbezpieczeństwo w komunikacji wyzwania dla branży … · 2016-10-18 · IMMUSEC Sp. z o.o. ul....
©2016 IMMUSEC Sp. z o.o.
Cyberbezpieczeństwo w komunikacji – wyzwania dla branży ubezpieczeniowej
Jarosław Mazek
© 2016 IMMUSEC Sp. z o.o.
2 WE MAKE SECURITY SIMPLE
Plan prezentacji
• Wprowadzenie • Komunikacja = transakcja
– Socjotechnika – Phishing – Whaling
• Komunikacja = transport – Connected/smart cars – Pojazdy autonomiczne – Pay as/how you drive
• Ochrona danych
© 2016 IMMUSEC Sp. z o.o.
3 WE MAKE SECURITY SIMPLE
Czynimy bezpieczeństwo prostym
• Ponad 9 lat na rynku
• Specjalizacja działalności: zarządzanie bezpieczeństwem informacji i zarządzanie ryzykiem
Naszą misją jest uczynić bezpieczeństwo prostym dla każdej firmy, bez względu na jej wielkość i branżę.
• Brak specjalizacji branżowej
© 2016 IMMUSEC Sp. z o.o.
4 WE MAKE SECURITY SIMPLE
• Zarządzanie strategiczne informatyką i bezpieczeństwem • Zarządzanie ryzykiem operacyjnym i ciągłością działania • Budowanie systemu nadzoru korporacyjnego i audytu
wewnętrznego
• Audyt procesów zarządzania • Audyt zgodności z wymaganiami • Audyt systemów informatycznych • Audyt bezpieczeństwa • Audyt dostawców zewnętrznych • Wsparcie audytu wewnętrznego
• Monitorowanie bezpieczeństwa • Budowanie świadomości bezpieczeństwa i szkolenie
pracowników • Ochrona danych i aktywów firmy
© 2016 IMMUSEC Sp. z o.o.
5 WE MAKE SECURITY SIMPLE
Świat cyberzagrożeń
94%
70%+
30%+
24%+
• incydentów wynika z braku świadomości użytkowników, złośliwego oprogramowania i zautomatyzowanych mechanizmów ataku (APT) Jakościowa zmiana cyberzagrożeń
• Ilościowy wzrost cyberzagrożeń rok do roku
• wartościowy wzrost skutków cyberzagrożeń rok do roku
• Lawinowy wzrost wykorzystania Internetu i zewnętrznych dostawców oprogramowania jako usługi (SaaS, Cloud) w biznesie (rok do roku)
© 2016 IMMUSEC Sp. z o.o.
6 WE MAKE SECURITY SIMPLE
Komunikacja = transakcja
Internet Agent Call center Płatność
https://thumbs.dreamstime.com/x/computer-online-car-insurance-14775905.jpg; http://www.guaranteed-issue-health-insurance.com/images/health-insurance-sales-leads.jpg; http://www.people-sourceinc.com/images/call-center-agent.jpg
Atak socjotechniczny
© 2016 IMMUSEC Sp. z o.o.
7 WE MAKE SECURITY SIMPLE
Phishing
Źródło zdjęcia: http://il3.picdn.net/shutterstock/videos/4529693/thumb/1.jpg
Phishing - przestępca podszywa się pod firmę lub instytucję, w celu wyłudzenia określonych informacji (np. danych logowania, szczegółów karty kredytowej). Tworzenie fałszywych stron przypominających stronę celu. Atak na człowieka - oparty na socjotechnice. Odznacza się masowością, przypadkowością.
© 2016 IMMUSEC Sp. z o.o.
8 WE MAKE SECURITY SIMPLE
Przykładowe akcje phishingowe
• PGE
• ENERGA
• Play
• Orange
• PKO BP
• mBank
© 2016 IMMUSEC Sp. z o.o.
9 WE MAKE SECURITY SIMPLE
Kolejna rata płatności
Jan Kowalski
11 2345 6543 3456 6554 3456 6554 430,45
Kontynuacja ubezpieczenia PROMOCJA do końca miesiąca. Tylko WYBRANI
© 2016 IMMUSEC Sp. z o.o.
10 WE MAKE SECURITY SIMPLE
Whaling
Płetwal zwyczajny
Atak ukierunkowany na ważną postać w organizacji
Wykorzystanie informacji publicznie znanych oraz pogłębione rozeznanie
Połączenie kanałów cyfrowych i tradycyjnych
© 2016 IMMUSEC Sp. z o.o.
11 WE MAKE SECURITY SIMPLE
Whaling w praktyce
Przykładowy scenariusz ataku
1. Upozorowana wiadomość od prezesa lub dyr. finansowego, wzmocniona rozmową telefoniczną,
2. Pilne, nagłe działanie, 3. Wyciek danych lub
pieniędzy.
Mattel stracił 3 mln USD w 2015
Seagate Technology i Snapchat dane pracowników i współpracowników
Rosnący problem także w Polsce
© 2016 IMMUSEC Sp. z o.o.
12 WE MAKE SECURITY SIMPLE
Jak się bronić?
Budowanie świadomości - Niezbędna wiedza
- Forma przekazania wiedzy
- Czas
Tworzenie kultury ochrony informacji
© 2016 IMMUSEC Sp. z o.o.
13 WE MAKE SECURITY SIMPLE
Komunikacja = transport
http://2.bp.blogspot.com/-jd1AO-CghG4/UH8R0XeNjBI/AAAAAAAANgY/Mur25gR8BFI/s1600/zero_emission_white_background.jpg
© 2016 IMMUSEC Sp. z o.o.
14 WE MAKE SECURITY SIMPLE
Car hacking
Car hacking: Nadchodzące globalne cyberprzestępstwo?
http://www.cnbc.com/2013/10/18/car-hacking-the-next-global-cybercrime.html
© 2016 IMMUSEC Sp. z o.o.
15 WE MAKE SECURITY SIMPLE
Connected/smart cars Połączenia Bluethooth
Połączenia Wi-Fi
OBD akcesoria
Key-less Zainstalowane
karty SIM
Monitoring GPS
eCall
http://www.caranddriver.com/features/can-your-car-be-hacked-feature
150 mln aut 2020
© 2016 IMMUSEC Sp. z o.o.
16 WE MAKE SECURITY SIMPLE
Sensory i komputery
© 2016 IMMUSEC Sp. z o.o.
17 WE MAKE SECURITY SIMPLE
Connected/smart cars
http://www.autoexpress.co.uk/land-rover/range-rover/89183/range-rover-owners-refused-insurance-due-to-theft-risk
Posiadacze samochodów Range Rover odrzucani, z powodu ryzyka kradzieży
Hakerzy samochodu Jeep wracają i udowadniają, że skutki ataku mogą być jeszcze gorsze
© 2016 IMMUSEC Sp. z o.o.
18 WE MAKE SECURITY SIMPLE
Connected/smart cars
http://www.autoblog.com/2015/02/03/bmws-connected-drive-feature-vulnerable-to-hackers/
https://www.wired.com/2016/03/fbi-warns-car-hacking-real-risk/
FBI ostrzega, że zhackowanie samochodów do realne ryzyko
Błąd systemu BMW Conncted Drive powoduje podatność na ataki hackerów
© 2016 IMMUSEC Sp. z o.o.
19 WE MAKE SECURITY SIMPLE
Samochody autonomiczne
Badacze pokazują, że każdy może złamać oprogramowanie autopilota Tesla i spowodować wypadek
http://bgr.com/2016/08/04/tesla-model-s-hack-defcon-conference-2016/
https://www.theguardian.com/technology/2016/jul/01/tesla-driver-killed-autopilot-self-driving-car-harry-potter
Kierowca samochodu Tesla, który zginął używając autopilota oglądał film Harry Potter
© 2016 IMMUSEC Sp. z o.o.
20 WE MAKE SECURITY SIMPLE
Nie tylko samochody
Podatność GPS mogła umożliwić hakerom i terrorystom porywanie statków, dronów, samolotów pasażerskich
http://securityaffairs.co/wordpress/16698/hacking/gps-vulnerability-exploitable-to-control-the-route-of-a-vessel.html
http://technowinki.onet.pl/lotnictwo/fbi-potwierdza-haker-przejal-kontrole-nad-samolotem/t19r1h
© 2016 IMMUSEC Sp. z o.o.
21 WE MAKE SECURITY SIMPLE
Dynamika wzrostu rynku connected cars
Źródło: Raport: Connected cars: worldwide trends, forecasts and strategies 2014–2024 http://www.analysysmason.com/PageFiles/45988/Figure1.png
© 2016 IMMUSEC Sp. z o.o.
22 WE MAKE SECURITY SIMPLE
Samochody autonomiczne
© 2016 IMMUSEC Sp. z o.o.
23 WE MAKE SECURITY SIMPLE
Pay as/how you drive
Monitorowanie zachowania kierowcy • Czujniki i systemy samochodu • Dane GPS • Czujniki telefonu
Ryzyka?
Ujawnienie danych kierowcy: • Profil behawioralny • Dane zawarte w telefonie • Dane samochodu….
• Możliwość oszukania systemu przez kierowcę
www.fordrivers.pl
© 2016 IMMUSEC Sp. z o.o.
24 WE MAKE SECURITY SIMPLE
Morze danych
Dane osobowe
Dane transakcyjne
Geolokalizacja Dane
behawioralne
Dane pojazdu
Dane wideo
Dyrektywa RODO
• System kar, których górna granica to 20 000 000 euro lub 4 % całkowitego rocznego obrotu z poprzedniego roku.
• Wymogi informacyjne w przypadku wycieku informacji
• 1 zł x liczba klientów = ????
© 2016 IMMUSEC Sp. z o.o.
25 WE MAKE SECURITY SIMPLE
Podsumowanie
Transakcja
• Budowanie świadomości
• Tworzenie kultury ochrony informacji
Transport
• Nowe modele szacowanie ryzyka
• Zawód przyszłości
cyber-aktuariusz
Ochrona danych
Komunikacja
© 2016 IMMUSEC Sp. z o.o.
26 WE MAKE SECURITY SIMPLE
Cała organizacja jest certyfikowana ISO/IEC 27001
Klasyfikacja w raporcie TOP200 Computerworld
1sze miejsce w rankingu Book of Lists 2014/2015 Warsaw Business Journal
Dziękuję za uwagę [email protected]
IMMUSEC Sp. z o.o. ul. Sarmacka 12F/1 02-972 Warszawa Tel. +48 22 3797470 Fax. +48 22 3797479 Email: [email protected] Web: www.immusec.com
Bezpieczeństwo informacji jest dla nas priorytetem. Wszystkie nasze procesy ofertowania, realizacji i raportowania objęte są Systemem Zarządzania Bezpieczeństwem Informacji zgodnym z ISO/IEC 27001
IMMUSEC Ltd 71-75 Shelton Street Covent Garden London, WC2H 9JQ Email: [email protected] Web: www.immusec.com