1 13.7.2016
Cílená ochrana citlivých dat s přihlédnutím k požadavkům
GDPR
Petr Zahálka
2 13.7.2016
58% zaměstnanců ukládá citlivá firemní data na SOUKROMÁ ZAŘÍZENÍ
40% zaměstnanců používá citlivá firemní data, která si odnesli při změně zaměstnání
Více než 50% zaměstnanců si posílá obchodní korespondenci na jejich soukromý email a po jeho použití ho již nesmažou
Třetina zaměstnanců používá aplikace na sdílení pro pracovní data
Sources: What’s Yours Is Mine: How Employees are Putting Your Intellectual Property at Risk, Symantec & Ponemon Institute Security Awareness Training: It's Not Just for Compliance, Enterprise Management Associates
Mobile Workforce + BYOD = Riziko
Credit Suisse : Data ukradl VP
2
http://www.t-press.cz/cs/novinky/t-mobile-vyjadreni-k-uniku-dat.html
3 13.7.2016
Zaměstnanci jako „hrozba” pro firmy
64% ztrát dat bylo způsobeno loajálními zaměstnanci
50% zaměstnanců odchází s informacemi
Cena značky některých firem sa odhaduje v miliónech
Ztráta Důvěryhodnosti Reputace Kredibility
Přímá finanční ztráta
3
4 13.7.2016
loajální zaměstnanec Zlomyslný zaměstnanec Nespokojený zaměstnanec
Je to o lidech
Tváře „Prevence ztráty dat“
4
5 13.7.2016
Potřebujeme víc než jen technologické řešení.
Netransparentní řešení
5
Kde jsou citlivé informace?
ZJISTI
Jak jsou používané?
SLEDUJ
Jak je nejlépe chránit před zneužitím?
OCHRAŇ
6 13.7.2016
Akce
Ochrana dat je o lidech
6
Detekce a odpověď
Problém
Jana sa snaží odeslat e-mail s citlivými osobními údaji bez toho aby si to uvědomovala
DLP Odpověď
DLP kontroluje obsah a kontext na shodu a ponechá e-mail na serveru
Server: Monitoruje, notifikuje užívatele, šifruje anebo blokuje
Užívatel: Zobrazí se mu upozornění, zdůvodnění, blokuje se e-mail, odstraní se citlivé informace
Výsledek
Pomůže užívateli porozumět a zdůvodnit transparentně rizika
Blokuje anebo šifruje v určitých případech.
Jana G. Loajální zaměstnanec Asistent HR Manažera
SITUACE: Posílá citlivé údaje přes email personální agentuře.
7 13.7.2016
Igor V. Loajální zaměstnanec Asistent Compliance
SITUACE: Kopíruje citlivé údaje na USB klíč
Akce
7
Problém
Igor kopíruje neveřejnou finanční zprávu na USB klíč
DLP Odpověď
Analýza je vykonaná na jeho počítači na základě politik
Monitoruje , vytvoří záznam a upozorňuje
Automaticky šifruje soubory na USB.
Výsledek
Automaticky zabezpečí citlivé informace
Zvyšuje viditelnost kde sa citlivé informace pohybují.
Změna chování užívatelů
Ochrana dat je o lidech
Detekce a odpověď
8 13.7.2016
Novinky v GDPR
Povinnost oznámit neoprávněný
přístup k osobním údajům
Širší teritoriální a věcný dopad
Vyšší pokuty (až 4% celosvětového obratu celého
podniku)
Pověřenec pro ochranu osobních
údajů
Privacy by design and by default
Vedoucí dozorový úřad jako ‘one-stop-
shop’
Zrušení systému registrací u ÚOOÚ
Povinnost správce provést posouzení vlivu na ochranu osobních údajů
9 13.7.2016
Novinky v GDPR
Posílení práv subjektů údajů
Výslovnost souhlasu pro
všechna zpracování
Širší informační povinnost
Pseudonymizace dat
Nové náležitosti zpracovatelské smlouvy (vč.
řetězení)
Kodexy a certifikáty
Evropský sbor pro ochranu
osobních údajů
Odpovědnost zpracovatele za
způsobenou újmu
10 13.7.2016
Technické zabezpečení dle GDPR
BEZPEČNOST ÚDAJŮ
správce a zpracovatel
přijmou vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající
danému riziku
Čl. 32 GDPR obsahuje demonstrativní výčet
možných opatření
Obnova dostupnosti osobních
údajů a přístupu k nim včas v případě
fyzických či technických
incidentů
Pravidelné testování,
posuzování a hodnoce
ní
Pseudony-mizace a šifrování
Neustálá důvěrnost, integrita,
dostupnost a odolnost systémů a
služeb zpracování
11 13.7.2016
Technická opatření dle GDPR
BEZPEČNOST ÚDAJŮ
• Kodexy schvaluje ÚOOÚ nebo EDPB
• Pomáhají správcům a zpracovatelům prokazovat technické zabezpečení a soulad s právními předpisy
Kodexy chování
• GDPR podporuje ustanovení orgánů, které budou udílet podnikům akreditace
• Certifikáty budou platné vždy po dobu 3 let Certifikace
• Záměrná a standardní ochrana osobních údajů
• Organizace musí implementovat technické a organizační prostředky
• Zahrnuje rovněž zaměstnanecké směrnice
Privacy by design
• Posouzení vlivu na ochranu osobních údajů
• Slouží k identifikaci a minimalizaci rizik při zpracování údajů
• Nahrazuje dřívější registrace národním úřadům
• Možnost předchozích konzultací s dozorovým úřadem
Privacy impact assesment
12 13.7.2016
Co je a co není Data Loss Prevention
• DLP není standardní bezpečnostní nástroj
• Je to Enerprisová aplikace, která vám umožní
vidět konkrétní rizika, dovolí zachytit citlivá data
a tím:
• Zjistit a odstranit špatné procesy
• Vyškolit zaměstance a změnit jejich chování
• Snížit rizika a tím ochránit organizaci
• Umožní ochranu dat měřit
13 13.7.2016
90% of DLP is Incident Response
1
3
Right Automation Resolution, Enforcement, Notification Right Person Route Incidents to Right Responder Right Order High Severity of Incidents First Right Information 5 Second Test Right Action 1 Click Response Right Metrics Prove Results to Execs and Auditors
14 13.7.2016
• 14
Universal Reporting Across All Threats
15 13.7.2016
• 15
Multi-Level Summarization Reporting
In this Report, Accounting has the most Incidents, SSN’s
related
16 13.7.2016
Měřitelnost
17 13.7.2016
Defense-In-Depth: Encryption + Data Loss Prevention
17
Network DLP / Email Gateway Encryption •Automaticky šifruje emaily obsahující citlivá data •Upozorní zaměstnance v reálném čase o šifrování obsahu policies and tools Storage DLP / Shared Storage Encryption •Nalezne kde jsou citlivá data uložena a automaticky je zašifruje •Jednoduše, bez nutné účasti zaměstnance, nebo IT
Endpoint DLP / Endpoint Encryption •Zaměřeno na rizikové uživatele, kde nalezne citlivá data na jejich počítačích •Ochrání a umožní práci tím že šifruje cíleně pouze citlivá data například kopírovaná USB zařízení
18 13.7.2016
Shrnutí
• Ochrana dat musí být cílená
• Potřebuji vědět kde data leží a jak se s nimi pracuje
• Potřebuji pokrýt všechna rizika, všechny vektory úniku
• Lepší je mít jedno řešení, které mi zajistí kompletní ochranu, než mít více oddělených
• Pozor na právní důsledky podrobného monitorování korespondence a činnosti uživatelů
• Pokud potřebujete pomoci s analýzou stávajícího stavu a navrhnout optimální řešení obraťte se na nás!
19 13.7.2016
Seminář na téma „Ochrana osobních údajů v
souladu s GDPR“ 8.11. Avnet
• Obecný úvod do bezpečnosti a ochrany dat • Ochrana dat
• Stávající povinnosti v ochraně osobních údajů …
• Ochrana osobních údajů a bezpečnost dat - srovnání stávající právní úpravy a GDPR • Základní principy zpracování osobních údajů
• Smlouva o zpracování osobních údajů
• Zabezpečení údajů
• Nahlašování Data breaches
• Práva subjektů údajů
• Předávání osobních údajů do zahraničí
• Postih za porušení předpisů na ochranu osobních údajů
• Sektorová regulace cloudu
• Cílená ochrana osobních ůdajů a citlivých dat • Data Loss Prevention princip
• Možnosti
• Úskalí
• Zkušenosti
20 13.7.2016
Děkuji za pozornost
S případnými dotazy se na mně neváhejte obrátit
Ing. Petr Zahálka
Avnet s.r.o.
602354836
21 13.7.2016
Technologie detekce dat a dokumentů
Described Content Matching (DCM)
• Porovnání popsaného obsahu dat, zpráv a vztahů
Exact Data Matching (EDM)
• Přesné porovnání strukturovaných a nestrukturovaných dat
Indexed Document Matching (IDM)
• Detailní porovnání nestrukturovaných dat
Vector Machine Learning (VML)
• Porovnání podobnosti nestrukturovaných dat
Directory Group Matching
• Porovnání identit uživatelů podle databáze, adresáře serveru
• Symantec Data Loss Prevention
21
22 13.7.2016
Vstupní data: Datové identifikátory
• Regulární výraz - speciální řetězec znaků, který představuje určitý vzor (masku) pro textové řetězce
• Rodná čísla, čísla jednací, …
• Čísla kreditních karet - plus jejich verifikace
• Vlastní číselné řady - plus jejich verifikace
• Klíčové slova (klíčové fráze, slovníky)
• Metadata souboru, klasifikace dokumentů
DCM Opisné Data
Opisné Data
Metoda DCM je velmi často používána v
kombinaci s jinými metodami odhalování
citlivých dat, čímž se dosáhne minimalizace
false positive.
23 13.7.2016
Vstupní data: Strukturované data
23
• Strukturovaný seznam
• Jako vstupní formát
• Excel *.xls,
• Textový soubor *.txt,
• Datový soubor *.dat,
• …
• 200 000 řádků, 2GB pro jeden import
• 300 mil záznamu/protect server
EDM Strukturované Data
• Excel *.xls
• Strukturovaný seznam *.txt, *.dat, …
Strukturované Data
Symantec Data Loss Prevention
24 13.7.2016
Vstupní data: Nestrukturované data
24
• Word *.doc
• Adobe *.pdf
• Visio *.vsd
• Power Point *.pst
• AutoCad
• Zdrojový kód
• Finanční reporty, Obchodní smlouvy,…
IDM Nestrukturované Data
Nestrukturované Data
• Word *.doc, Adobe *.pdf
• Visio *.vsd, Power Point *.pst
• AutoCad, Zdrojový kód
• Finanční reporty, Obchodní smlouvy
25 13.7.2016
Detekce obrázku s OCR rozšířením
Email with an invoice
attached as a scan (TIFF file format)
Symantec DLP
OCR plug-in
MODI (Microsoft
Office Document Imaging)
Text extracted from the image
25
• Používá MS Office 2007 OCR
• Screenshots
• Obrázky s citlivými daty
• Skenované dokumenty
26 13.7.2016
Příklad detekce s OCR
26
[Tax ID#] 9512345994
[Keyword] Symantec Poland
[Bank Account#] 90 1440
1390 0000 0000 1361 4229
[Tax ID#] 1080000094
invoice.tiff extracted text
that can trigger incident
27 13.7.2016
Příklad detekce s OCR
27
28 13.7.2016
Kombinace AND/OR a dalších technologií pro
minimalizaci false positive incidentů
• Ke snížení počtu false positive incidentů se doporučuje kombinace pravidel pomocí logických operátorů AND/OR a kombinace různých detekčních technologií.
• Příklad: kombinace technologií EDM a DCM. • EDM - Jména, Příjmení, Seznam obcí a měst
• DCM –Datové identifikátory (RČ)
28
29 13.7.2016
Řešení: DLP + Vector Machine Learning
Symantec Proprietary & Confidential - This information is not a commitment, promise or legal obligation to deliver any material, code or functionality
29
Automatizace hledání klíčových slov, snazší ladění pravidel
Vyšší přesnost detekce, méně falešných poplachů
Nalezení nových dat bez nutnosti předchozí tvorby otisků
Funguje všude: koncový bod, síť i úložiště
• Symantec Data Loss Prevention
Popis Otisky dat Popis Otisky dat
Učení
30 13.7.2016
Jak to funguje: Vector Machine Learning
Přínosy
Jednodušší tvorba přesných pravidel – nic se nemusí popisovat
Vystačí s menším množstvím vzorků než datové otisky
Nižší náklady na správu a vylepšená přesnost
30
• Symantec Data Loss Prevention
31 13.7.2016
Directory Group Matching (DGM)
• Pomocí této metody jsme schopni odhalit přesnou identitu uživatelů dat, odesílatelů a
příjemců emailů a tím dále zpřesnit pravidla pro vyhledávání citlivých dat nebo pro
udělení výjimky.
• Skupiny uživatelů, odesílatelů a příjemců mohou být porovnávány se seznamy
emailových adres, IP adres, IM jmen nebo s LDAP skupinami.
• Příklad: Výjimky - Nebudou se monitorovat zaměstnanci pracující ve společnosti
Deloitte jako příjemci citlivých dat podle určité politiky.
31