Security 2018 – pohled na aktuální zranitelnosti

Richard Jan Voigts , 06. březen 2018 09:35 0 komentářů
Security 2018 – pohled na aktuální zranitelnosti

Konferenci Security ohledně IT bezpečnosti pořádanou firmou AEC by si neměl nechat ujít IT specialista, ale ani byznysman. Společnost AEC, poskytovatel služeb pro bezpečnost dat, softwaru pro ochranu IT a detekci počítačových útoků, je na dané téma odborníkem. Pořádá ji každoročně, a i letos, hned 1. března 2018 byla výborně obsazena řečníky z praxe a měla tradičně vysokou účast posluchačů. Zklamán nemohl být snad nikdo, protože jak v technickém sále, tak v manažerském, byly probírány problematiky, které dnes hýbou společností, jako například GDPR.

GDPR – 85 dní do spuštění

V manažerském sálu patřil první blok GDPR a úvodní přednášku měla Miroslava Matoušová z Úřadu pro ochranu osobních údajů. Hned v úvodu prohlásila, že nastíní, aby vynaložené prostředky nebyly vyhozené oknem. Samotná EU totiž dává jistou míru volnosti jednotlivým členským státům, protože každý z nich má jiné vnitrostátní předpisy. Odlišnosti se budou týkat zejména procesních věcí. Některé povinnosti správců a zpracovatelů byly rozšířeny a prohloubeny a explicitně byla zavedena záměrná a standardní ochrana. Jde o přístup založená na riziku, který nelze zajistit jen pomocí IT. Zásadou je také minimalizovat zpracování osobních údajů – co nedělám, nemusím chránit. Pokud jsou osobní údaje bez dodatečných údajů, nemohou být přiřazeny subjektu.

GDPR a Zákoník práce §316

Jan Tomíšek z právnické kanceláře Rowan Legal navázal na přednášku Miroslavy Matoušové a její vystoupení v některých směrech konkretizoval, zejména jak chránit zaměstnance, ale i zaměstnavatele. Zaměstnanec je totiž jednak subjektem údajů, jednak zdrojem rizik. Zároveň vyvrátil mýtus, že ke všemu je zapotřebí souhlas zaměstnance. Například pro výplatu jeho mzdy je jasné, že zaměstnavatel zpracovává jeho číslo účtu. Dále existuje tzv. oprávněný zájem – provozní potřeby nebo monitoring. Ochrana osobních údajů musí mít podle Tomíška koncepci a cílem musí být rovnováha. Ani jedna strana si nemůže dělat co chce. Novou povinností je mít v organizaci zodpovědnou osobu za hlášení, zpracovatel má odpovědnost za hlášení incidentů správci bez zbytečného odkladu a správce má vždy odpovědnost hlásit incident do 72 hodin.

Dezinformační válka

Ivan Bartoš, předseda Pirátské strany, se věnoval dezinformacím v demokratické společnosti, která nemá na tento způsob ovlivňování veřejného mínění či voleb přesvědčivou odpověď. Odpovědnost je na každém jedinci, a to v ověřování informací, které se k němu dostávají různými kanály (sdělovací prostředky, e-mail, řetězové e-maily, Facebook…). Stačí si dát do vyhledávače dvě související věci a porovnat výsledek. Stát tuto odpovědnost za jednotlivce převzít nemůže. Informace, které nejsou příliš validní (hoax), mívají největší čtenost. Uvedl také svoje dva oblíbené zdroje ponaučení. První je G. Orwell „1984“ – dvě minuty nenávisti, týkající se komunikačních a argumentačních faulů, falešných či chybějících referencí a atraktivity informací. Druhým je James Q. Wilson a George L. Kelling – Broken window theory; když je ve vaší ulici rozbité okno, které nespravíte, pravděpodobně se rozbije i další, a pak bude o strach v ní zaparkovat auto.

Technická část

Technická část konference Security 2018 naopak zabíhala až do hloubky IT, například při živé ukázce hackingu od specialistů AEC. Prvním bylo nakažení malwarem (škodlivým softwarem). Existují různé mechanismy, jak zabránit šíření malwaru za předpokladu, že máme visibilitu, tj. možnost zjištění, že malware v síti je. Druhou ukázkou byl průnik přes web – web defacement, kdy hacker umístí na web jiný obsah.

Třetí ukázkou byla kompromitace domény, kdy se hacker převzal přes lokální stanici se standardními právy uživatele napřed na základě dávkového souboru .bat (batch), který spouští cyklické úlohy, zjistil, že jej lze přepsat a tím se dostal do celé sítě, získal tím hash (hashdump) a pak už ani nemusel znát hesla. Tím se dostal do celé sítě, kterou převzal, game over…

Security 2018 – zranitelnosti IT systémů

Konference Security 2018 dala opět konkrétní pohled na aktuální problémy bezpečnosti, od manažerských, přes společenské až po technické, včetně internetu věcí a zařízení SCADA (Supervisory Control and Data Acquisition), která se týkají výrobních linek i „chytrých“ budov řízených na dálku (topení, osvětlení, žaluzie…). Dnes se už ale i kvůli softwarově řízeným komunikačním pojítkům týká zranitelnost i sítí GSM, do nichž se dá právě tomuto za pomoci více či méně složitých nástrojů dostat a převzít zrovna ten váš telefon a získat z něj vaše osobní data, seznámil Tomáš Rosa z Reiffeisen bank a dodal: „Proto také autentizace přes SMS brzy z bankovnictví zmizí. Banky totiž musejí mít cokoliv co je k autentizaci pod vlastní kontrolou, a SIM karty to rozhodně nejsou.“

Nezávislé přednášky byly doplněny firemními prezentacemi partnerských dodavatelů, které nabídly konkrétní řešení a produkty, a také případovými studiemi zákazníků – ČEZ, Tatra banka, MOL s RSA, Haider Pasha a Symantec, Slovenská sporiteľňa.

Hackerská soutěž o ceny

Konference AEC Security byla doplněna hackerskou soutěží o ceny, kterou sponzorovala společnost CheckPoint.


Komentáře

RSS 

Komentujeme

Do 100 let díky pivu

Pavel Houser , 02. prosinec 2018 16:00
Pavel Houser

Šéf Amazonu věří, že pozitivní vliv na dlouhověkost má alkohol – alespoň v případě firem. Jeff Bezo...

Více

Kalendář

29. 01. Reshoper 2019
29. 03.

30. 03.
Czech On-line Expo 2019
01. 04.

05. 04.
SuSEcon 2019







RSS 

Zprávičky

Kauza Huawei zaměstnává světovou politiku

ČTK , 10. prosinec 2018 09:00

Komisař EU pro digitální trh: čínské technologické firmy jsou nuceny spolupracovat s čínskými tajným...

Více 0 komentářů

Analýza: E-shopy letos na černý pátek omezily triky s cenami

ČTK , 10. prosinec 2018 08:00

Útraty Čechů v týdnu během slevových akcí na tzv. černý pátek dosáhly letos rekordní 4,2 miliardy Kč...

Více 0 komentářů

Před 50 lety tým vědce Engelbarta představil počítačovou myš

ČTK , 09. prosinec 2018 08:00

"Ani nevím, proč tomu říkáme myš. Asi kvůli čouhajícímu kabelu."...

Více 0 komentářů

Starší zprávičky

Státy EU podpořily rychlý přístup úřadů k elektronickým důkazům

ČTK , 08. prosinec 2018 09:00

Kromě samotného obsahu budou moci vyšetřovatelé získat přístup k metadatům....

Více 0 komentářů

K tažení proti Huawei a ZTE se připojí Japonsko

ČTK , 08. prosinec 2018 08:00

Japonsko se chystá vyloučit z vládních nákupů příslušenství dodávané čínskými telekomunikačními firm...

Více 0 komentářů

Bitcoin dál prudce klesá, za den odepsal přes 11 %

ČTK , 07. prosinec 2018 10:14

XRP (ripple) na kryptoměnové burze Coindesk odepsal 10,6 procenta a ether 15,9 procenta....

Více 0 komentářů

Kanadská policie zadržela finanční ředitelku čínské firmy Huawei

ČTK , 07. prosinec 2018 10:00

Britská BT oznámila, že nebude s čínským gigantem spolupracovat na vývoji bezdrátové sítě 5G...

Více 0 komentářů