NA GRANICI MOGUEGA Konferencija za korisnike ibenik 6
NA GRANICI MOGUĆEGA Konferencija za korisnike Šibenik 6. - 8. 11. 2019.
#Surfaj. Sigurnije Radionica za podizanje svijesti o kibernetičkoj sigurnosti
• Computer Emergency Response Team • Očuvanje informacijske sigurnosti • . hr domena, hrvatski IP adresni prostor • (osim tijela državne uprave – ZSIS CERT) • Proaktivne i reaktivne mjere • Nacionalna i međunarodna suradnja • Sudjelovanje na projektima • Vrijednosti: odgovornost (sigurnost), proaktivnost i inovativnost • „čuvar nacionalnog online prostora” • Zakon o kibernetičkoj sigurnosti – Bankarstvo, Infrastruktura financijskog tržišta, Digitalne infrastruktura, Poslovne usluge za državna tijela, Davatelji digitalnih usluga
• Sigurnost se u kontekstu IKT-a spominje već 1991. godine • CIA trijada • Povjerljivost • Dostupnost • Cjelovitost • Kibernetička sigurnost je temelj sigurnosti digitalnog društva
Pokazatelji o svijesti, stavovima i ponašanju na Internetu u Hrvatskoj • • • Eurobarometar 2017 -1. 031 ispitanik u HR 59% - EU 70% - svakodnevno pristupa internetu Internet koristimo za društvene mreže, čitanje vijesti i igranje igrica Manje za online kupovinu i Internet bankarstvo 61% smatra da su nedovoljno informirani o kibernetičkom kriminalu Najveća zabrinutost - zlouporaba osobnih podataka tako da više od polovice ispitanih izbjegava otkrivati svoje osobne podatke na internetu • Stav da državna tijela brinu o povjerljivim podacima
Iskustva građana • 30% otkrilo zlonamjerni sadržaj na uređaju • 14% primilo lažnu poruku putem e-pošte ili poziva za dostavu osobnih podataka • 17% pronašlo materijal koji promovira govor mržnje ili vjerski ekstremizam • 13% bilo žrtvom prevare u kupovini putem interneta • 9% kompromitiran profil na društvenim mrežama ili elektronička pošta
Kako se štite? • • 71% smatra dovoljnom zaštitom instalaciju antivirusnog programa 34% razgovara s djecom o rizicima korištenja interneta 36% ništa ne čini kako bi zaštitilo djecu od zlostavljanja na internetu 48% nikada nije promijenilo lozinku Više na: Pokazatelji o svijesti, stavovima i ponašanju na Internetu u Hrvatskoj: https: //www. cert. hr/NCEUrep
Digitalni otisak / trag i kibernetička higijena • Osvještavanje javnosti o sigurnom i odgovornom korištenju interneta • Promišljanje o vlastitoj odgovornosti i načinu raspolaganja osobnim podacima i njihov utjecaj na sigurnost društva u cjelini • Kibernetička higijena: • Ugrađivanje sigurnosnih mjera u vrijednosti društva • Higijena obuhvaća opće i praktične postupke koji osiguravaju dobro zdravlje i čistoću • Digitalni otisak • Trag kojeg korisnik ostavlja u digitalnom svijetu • Gotovo ga je nemoguće izbrisati
• Izazovi: • Internet je oblikovan tako da bude otvoren svima i omogući širok javni pristup te otežava regulaciju prometa državnim ili komercijalnim akterima • Kibernetička sigurnost više nije samo sigurnost informacijskokomunikacijskih sustava, već predstavlja temeljnu sastavnicu sigurnosti cjelokupnog opsega ljudskih djelatnosti u informacijskom društvu • Prosječni korisnik u RH nije dovoljno upoznat s opasnostima kojima je izložen pri korištenju računala i interneta, ne prepoznaje potencijalne prijetnje
Što štitimo? • Primarni cilj kibernetičke sigurnosti je sigurnost i zaštita informacija, uređaja i opreme tvrtke i informacija/podataka • Postavljanje sustava, procesa i pravila • Svijest o tome kako je čovjek dio toga i ima pristup tim sustavima • Kako upravljati lozinkama, osjetljivim informacijama i drugim pitanjima
Zašto štitimo? • Krađa podataka - zlonamjerni program može zaraziti računala i koristiti ih za neovlašteni pristup podacima • Korištenje slabosti sustava omogućava ilegalni i neovlašteni pristup našim sustavima • Oštećenje podataka – neki zlonamjerni sadržaj može šifrirati naše podatke i onemogućiti nam pristup našim datotekama • Povjerljivost naših spremljenih podataka može biti narušena – korisnički podaci mogu biti ukradeni kako bi se stekao neovlašteni pristup informacijama • Zlouporaba ili ometanje infrastrukture – nestanak električne struje u cijeloj zgradi
• Kako štitimo? • Edukacijom • Aktivan pristup edukaciji • Osvještavanjem • Internet je alat, ali ga neki korisnici koriste u zlonamjerne svrhe • Razgovorom • Dijeljenje informacija o incidentima i prijetnjama može pomoći nekoj potencijalnoj žrtvi • Pravilna prijava incidenta nadležnoj službi podiže opću razinu kibernetičke sigurnosti društva • Prilagodbom korisniku • Korisnik uvijek mora biti u središtu • Korisnikov propust je naš propust • Mentor i učitelj, a ne autoritativna figura
DEMO: https: //emkei. cz/ + keepass ZADATAK: https: //haveibeenpwned. com /
Zlonamjerni sadržaj • Hoax - podrazumijeva poruku elektroničke pošte neistinitog sadržaja, poslana s ciljem zastrašivanja ili dezinformiranja primatelja * Statistika obrađenih incidenata: kolovoz – prosinac 2018. / siječanj – rujan 2019.
• CEO fraud - napadač istraži tko je nadležna osoba u ustanovi, šalje mail najčećše u računovodstvo
• Phishing - pokušaj navođenja korisnika na odavanje osjetljivih podataka
Socijalni inženjering • Kako se socijalni inženjering razvijao kroz povijest?
Socijalni inženjering • Kako se socijalni inženjering razvijao kroz povijest?
Ciklus napada Sakupljanje informacija – napadač istražuje – ljudi /organizacija / orkuženje Uspostavljanje veze – izbor metode ili tehnike napada za iskorištavanje ranjivosti Čišćenje – brisanje dokaza napada iz sustava Pristupanje žrtvi i realizacija napada – izvršavanje napada, napadač kontrolira
Socijalni inženjering
6 ključnih principa socijalnog inženjeringa • • • Reciprocitet Predanost i konzistentnost Društvena prihvatljivost Autoritet Interes Nestašica
Ostali oblici socijalnog inženjeringa • • • Vishing Smishing Catphishing Whaling Spear phishing CEO/BEC fraud Water holing Quid pro quo Tailgating
• Gdje je Žiljac? • Naš naivac Željko Jurić Žiljac ima veoma osebujan profil na društvenoj mreži Facebook. Svakodnevno objavljuje mnoštvo informacija ni ne sumnjajući da bi ih netko mogao iskoristiti protiv njega. • Pronađi sljedeće informacije o našem Žiljcu: • Mjesto stanovanja • Datum rođenja • Gdje i što radi • Kako mu se zovu članovi obitelji • Koji su mu interesi • Koji je stupanj obrazovanja završio • Bonus bodovi • Lozinka • Ime udruge kojoj pripada • Adresa vikendice • Osmislite jednu phishing poruku elektroničke pošte na koju bi naš Žiljac sigurno nasjeo • Vrijeme rješavanja: 10 minuta
Zaštita • Opće metode zaštite • Antivirus/antispyware/antimalware • Vatrozid • Automatsko ažuriranje operacijskog sustava i aplikacija • Složene i različite lozinke • Sigurnosne kopije i njihova pohrana • Informiranje o kibernetičkoj sigurnosti • Rukovanje podacima
Zaštita • Educirati o kibernetičkoj sigurnosti • Razlikovati aktivno i pasivno učenje • Pasivno učenje – pasivni prijenos znanja • Aktivno učenje – stvaranje kognitivnih struktura potrebnih za obradu novih situacija na temelju prethodno prikupljenih informacija • Razgovarati o kibernetičkoj sigurnosti • Razgovor i osvještavanje važnosti kibernetičke sigurnosti su temelj za stvaranje sustava vrijednosti koji kibernetičku sigurnost vrednuje kao temelj života u digitalnog društvu • Osvijestiti važnost higijene • Svakodnevne sigurnosne prakse koje korisnik svjesno poduzima, aktivno propitkuje i po potrebi mijenja
Najveći slučajevi curenja podataka u 2018. • British Airways • 380 000 • Timehop • 21 milijuna • Orbitz • 880 000 • Tickterfly • 27 milijuna • Sing. Health • 1, 5 milijuna • Facebook • 29 milijuna • T-Mobile • 2 milijuna • Chegg • 40 milijuna • my. Personality • 4 milijuna • Google. Plus • 52, 5 milijuna • Saks and Lord & Taylor • 5 milijuna • Cambridge Analytica • 87 milijuna • She. In. com • 6, 42 milijuna • My. Heritage • 92 milijuna • Cathay Pacific Airways • 9, 4 milijuna • Quora • 100 milijuna • Careem • 14 milijuna • My. Fitness. Pal • 150 milijuna • Exactis • 340 milijuna • Marriott Starwood hotels • 5 milijuna • Aadhar • 1, 1 milijardi
Najčešće phishing poruke • • • Verifikacija računa Dijeljenje datoteka putem oblaka Dostava paketa Poruke Porezne uprave Lažni računi Kompromitirani računi e-pošte Poruke vezane uz GDPR Sextortion Kriptovalute Političke kampanje Hrana
Još malo brojeva • 67% organizacija bilježi porast u broju pokušaja impersonation napada • 88% organizacija je naišlo na poruke elektroničke pošte s lažiranim poljem pošiljatelja • Lažirane adrese poslovnih partnera • 26% veći broj ransomware incidenata na globalnoj razini • 90% incidenata curenja podataka započelo je phishing napadom • 15% žrtava će ponovno biti metom unutar jedne godine • 1, 5 milijuna phishing stranica se kreira svaki mjesec • 30% phishing poruka se otvori • 3, 86 milijuna USD je prosječni trošak incidenata u kojima dolazi do curenja podataka • 48% zlonamjernih privitaka se predstavljaju kao Microsoft Office datoteke
Zaštita • Kako educirati o sigurnosti? • Komunikacija putem interneta • Utvrđivanje pravog identiteta osobe • Digitalni trag • Povjerenje se mora steći • Korisnički podaci • Virtualni identitet • Objasniti zašto biramo složene lozinke • Povjerljivi podaci • Upoznavanje s vrijednostima podataka • Postupanje s povjerljivim podacima • Promišljeno djelovanje • Opasnosti • Nepromišljeno i neodgovorno ponašanje vodi u opasnost
Zaštita • Hrabar, ali oprezan korisnik • Strah i panika onemogućavaju korisniku da sagleda situaciju i na pravi način reagira • Iako nam se čini kako je strah katkad dobar poticaj, ne smijemo izazivati strah kod korisnika • Pojedini korisnici mogu odlučiti ne služiti se internetom u potpunosti te jednostavno odbiti koristiti ga zbog straha od napada • Neki korisnici bi mogli odlučiti kako je njima teško održavati visoku razinu kibernetičke sigurnosti • Znatiželjan, ali odgovoran korisnik • Internet je prozor u svijet, prečac do novog znanja i vrijedan alat • Korisnik ga mora moći koristiti neograničeno i slobodno • Ali Internet koriste i zlonamjerni korisnici • Korisnik mora moći prepoznati prijetnju te ju prijaviti nadležnoj službi • Korisnik je prva linija obrane i onaj čija pravilna reakcija uvelike podiže sigurnost mreže
4 zlatna pravila i praktični savjeti • Kako obavljati svoje zadatke ispravno i kako doprinijeti sigurnosti i zaštiti organizacije • Zaštita vlastitog identiteta • Korisnička imena i lozinke štite od neovlaštenih pristupa sustavima i osiguravaju pristup samo ovlaštenim osobama • Upravljanje lozinkama • Provjera lozinke na https: //haveibeenpwned. com/ • Oprezno korištenje e-poruka i interneta • Posjećivanje sigurnih web sjedišta • Provjera sigurnosti web sjedišta na https: //www. circl. lu/urlabuse/ • Povjerljivost e-poruka • Objavljivanje sadržaja na društvenim stranicama
Zaštita uređaja • Vaš uređaj nikad ne smije ostati bez vašeg prisustva • Vaš mobilni uređaj mora biti zaštićen PIN-om. • Posebno važno ako koristite vlastiti uređaj u poslovne svrhe • Spajajte svoje uređaje samo na provjerene uređaje za pohranu podataka ili za prijenos podataka • Ista pravila koristite za privatne uređaje kao i za uređaje koristite u poslovne svrhe • Redovito radite sigurnosne kopije poslovno vezanih informacija koristeći mrežne uređaje • Ne nosite uređaje koji sadrže informacije o tvrtki sa sobom ukoliko ih ne trebate • Ukoliko koristite Wi-Fi bežično spajanje spajajte se samo na poznate uređaje i provjerene mreže
• Budite svjesni svoga okruženja • Provjerite je li osoba koja zahtijeva pristup ograničenim informacijama ovlaštena za dobivanje tih informacija • Tiskajte i kopirajte dokumente ili podatke samo kada je to zbilja potrebno • Koristite poveznice kada dijelite dokumente s nekim kolegama • Budite svjesni ljudi koji gledaju preko ramena ili prisluškivaju • Spremajte digitalne informacije na USB stickove samo kada je to potrebno • Ne upravljate i ne koristite se povjerljivim informacijama na javnim računalima • Budite svjesni ljudi koji ulaze u zaštićene adminidstrativne prostore bez određenog povoda ili razloga
Svi upiti: ncert@cert. hr Prijava incidenata: incident@cert. hr www. cert. hr www. naivci. hr https: //www. facebook. com/CERT. hr/ https: //twitter. com/HRCERT
- Slides: 44