Jesmo li sigurni na internetu Toni Grini Konzultant

Jesmo li sigurni na internetu? Toni Gržinić Konzultant za informacijsku sigurnost

Sadržaj Informacijska sigurnost i obrazovanje 2. Kako obrazovne instituciju u svijetu provode informacijsku sigurnost

whoami Završio sam Fakultet organizacije i informatike u Varaždinu, smjer Informacijski sustavi • Radio

Diverto d. o. o • • • Diverto d. o. o. osnovan je 2007.

Informacijska sigurnost i obrazovanje? • Obrazovna institucija (škola, fakultet) je ”poslovna” organizacija te ima

Povrede Zakona o zaštiti osobnih podataka – iskustva iz AZOP-ove prakse • • •

Entropija sustava (obrazovne institucije)?

Iskustva iz svijeta … London School of Economics and Political Science http: //www. lse.

Od čega se štitimo? Primjena anti-malver alata

Od čega se štitimo? Upravljanje lozinkama dogtime. com

MIRAI malware/botnet Io. T fijasko DDo. S napad jačine 620 Gbps – 1 TBbs

MIRAI geo-distribucija zaraze (@malwaretech)

Od čega se štitimo? Ranjivosti na sustavima ili zašto nitko nije instalirao zadnju zakrpu?

Od čega se štitimo? Curenje podataka haveibeenpwned. com

Od čega se štitimo? Enkripcija “(…) Encryption should be used when you are dealing

Nije sve tako crno … Slobodni (otvoreni) standardi Škola, fakultet, X nema dovoljno resursa

Slides: 17

Download presentation

Jesmo li sigurni na internetu? Toni Gržinić Konzultant za informacijsku sigurnost

Sadržaj Informacijska sigurnost i obrazovanje 2. Kako obrazovne instituciju u svijetu provode informacijsku sigurnost 3. Od čega se obrazovne institucije štite? 4. Nije sve tako crno … otvoreni 1.

whoami Završio sam Fakultet organizacije i informatike u Varaždinu, smjer Informacijski sustavi • Radio sam u Lovelosu, Penti, CARNet CERT i HR-CERT. Od 2011. službeno se bavim informacijskom sigurnošću. • Trenutno radim u Diverto d. o. o. kao Konzultant za informacijsku sigurnost. • U slobodno vrijeme radim na doktoratu, područje istraživanja “Hibridna metoda za detekciju malicioznih programa”. •

Diverto d. o. o • • • Diverto d. o. o. osnovan je 2007. godine s idejom primjene informacijske sigurnosti Sigurnosne usluge po mjeri GRC, Red team, blue team, forenzika Tim se sastoji od stručnjaka s višegodišnjim iskustvom u informacijskoj sigurnosti (dolaze iz međunarodnih i domaćih tvrtki – Cisco, IBM …). Ukoliko vjerujete certifikatima – CISSP, CISA, CISM, CRISC, CEH, GPEN, GXPN, GCFE, GCFA, GIAC, SEPP, MLS, OSCP, OSCE i mnogi drugi http: //www. diverto. hr/

Informacijska sigurnost i obrazovanje? • Obrazovna institucija (škola, fakultet) je ”poslovna” organizacija te ima više ili manje formalizirane poslovne procese • Obrazovne institucije postaju digitalno “zrelije” • Dostupne su na javnom internetu, imaju svoje lokalne i bežične mreže, Windows domene itd… • Meta su napadačima kao i lokalni portal s vijestima • Obrazovne institucije djeluju u okviru pravne regulative i usklađene su propisanim standardnim (pravilima) (AZOO, NCVVO … ). • Primjer, školski imenik je zbirka osobnih podataka (NN 106/2 čl. 2. st. 3. )

Povrede Zakona o zaštiti osobnih podataka – iskustva iz AZOP-ove prakse • • • Neovlašteno čitanje podataka iz e-Matice (učenici unosili podatke u e-Maticu) Komentiranje rezultata NCVVO-og ispitivanja od strane koordinatora Objavljivanje fotografija učenika na web stranici škole bez privole roditelja Kamere koje snimaju ulaz u školu i školske prostorije u svrhu zaštite imovine i osoba (nije dobro definiran opseg projekta i zadužene osobe) … Branka Bet Radelić, Zaštita osobnih podatka u RH, AZOP, 2013. Url: http: //bit. ly/2 f. PBcw 1

Entropija sustava (obrazovne institucije)?

Iskustva iz svijeta … London School of Economics and Political Science http: //www. lse. ac. uk/intranet/LSEServices/IMT/about/policies/home. aspx

Od čega se štitimo? Primjena anti-malver alata

Od čega se štitimo? Upravljanje lozinkama dogtime. com

MIRAI malware/botnet Io. T fijasko DDo. S napad jačine 620 Gbps – 1 TBbs koji je na nekoliko sati srušio važne servise na Internetu (Github, Reddit, Twitter, Sound. Cloud, Spotify, Netflix, Air. Bnb) • Napad na DNS registrar Dyn (listopad, 2016) • Probava slabe lozinke na ruterima, logira se na njih i DDo. Sa svoje mete • Optimistične procjene spominju 1, 5 M strojeva zaraženih Miraiom (Malware. Tech) • • https: //f 5. com/about-us/news/articles/mirai-the-iot-bot-that-took-down-krebs-and-launched-a-tbps-ddos-attack-on-ovh-21937

MIRAI geo-distribucija zaraze (@malwaretech)

Od čega se štitimo? Ranjivosti na sustavima ili zašto nitko nije instalirao zadnju zakrpu?

Od čega se štitimo? Curenje podataka haveibeenpwned. com

Od čega se štitimo? Enkripcija “(…) Encryption should be used when you are dealing with data (including the Data Protection Act’s definition of Sensitive Personal Data) which the LSE would classify as ‘Confidential’. ” (LSE, Encryption guidelines) Enkripcija cijelog računala - Bitlocker (Windows) Enkripcija e-pošte – GPG Enkripcija pojedinih datoteka/mapa - 7 zip+lozinka, Vera. Crypt • Enkripcija privatne komunikacije – OTR, Wire • • • http: //www. lse. ac. uk/intranet/LSEServices/IMT/about/policies/documents/Guidelines-Encryption-Guidelines-v 1. 3. pdf

Nije sve tako crno … Slobodni (otvoreni) standardi Škola, fakultet, X nema dovoljno resursa za … http: //croatianmakers. hr/ http: //hrblog. ivoras. net/2014/Apr-narodne-novine-servirane-na-raspberrypi-u. html http: //downloads. raspberrypi. org/Raspberry_Pi_Education_Manual. pdf

HVALA NA PAŽNJI!