Pwc современные угрозы иб
description
Transcript of Pwc современные угрозы иб
Актуальные вопросы информационной безопасности 13 сентября 2012
www.pwc.ru/riskassurance
PwC
Изменение парадигмы
Какие факторы следует учитывать при формировании стратегии информационной безопасности?
2
PwC
Новые технологии
3
Облачные вычисления Виртуализация инфраструктуры
Социальные сервисы Использование мобильных устройств
PwC
Изменения законодательства
4
152-ФЗ
СТО БР ИББС
ФСТЭК
PCI-DSS
161-ФЗ
ФСБ
PwC
Рост числа киберпреступлений
5
Источник: iC3 research
PwC
Технологические риски
Что несут с собой новые технологии?
6
PwC
Облачные вычисления
7
IaaS Инфраструктура как сервис
SaaS Приложение
как сервис
PaaS Платформа как сервис
x aaS
Разделение ресурсов
Сетевой доступ Измеримый
сервис Эластичность
Сервис по запросу
Сервисная модель
Модель развертывания
Ключевые характеристики
Публичное Гибридное Частное Сообщество
PwC
Ключевые преимущества
Снижение капитальных расходов (публичное облако)
Оплата только используемых ресурсов
Эластичность и неограниченность ресурсов
Быстрота развертывания
Обеспечение потребностей бизнеса
8
PwC
Риски безопасности облачных вычислений
• Доверие – прозрачность провайдера и непрерывность сервиса, процедуры контроля и управления рисками, соответствие законодательству?
• Уязвимости в программном обеспечении – особенно когда оно «глубоко» доработано провайдером
• Отсутствие стандартизации интерфейсов - могу ли я легко поменять провайдера?
• Совместное использование ресурсов – вы когда-нибудь использовали shared hosting?
• Инсайдеры - доверять ли сотрудникам провайдера/администраторам облака?
• Необходимость специализированных средств защиты - как защищать виртуальное?
9
PwC
Примеры
10
Апрель 2011
«Как у большинства онлайн-сервисов у нас есть ограниченный перечень сотрудников, которым разрешен доступ к пользовательским данным по причинам, указанным в нашей политике безопасности.»
«Системный администратор удалил виртуальные сервера бывшего работодателя. Оцениваемый размер ущерба составил 300 000 USD» http://www.justice.gov/usao/nj/Press/files/Cornish,%20Jason%20News%20Release.html
PwC
Примеры
11
Июль 2012
PwC
Рекомендации по защите
12
i
Guidelines on
Security and Privacy
in Public Cloud Computing
Wayne Jansen Timothy Grance
Draft Special Publication 800-144
PwC
Оценка защищенности провайдеров
13
https://cloudsecurityalliance.org/research/cai/
Русскоязычная версия http://www.risspa.ru/sites/default/files/CSA-CAI-Question-Set-v1-1_FINAL_v6_RUS_v.2.xls
PwC
Социальные сервисы
• Утечка аутентификационных данных
• Неконтролируемое распространение информации
• Анонимность
• Невозможность удаления «цифровой» личности
• Кража личности/мошенничества
14
PwC
Примеры
15
Июнь 2012
Июнь 2012
Июнь 2012
PwC
Использование мобильных устройств
• Недостаточное количество специализированных средств контроля и защиты информации
• Риски потери устройства
• Кража данных (контакты, геопозиции, SMS/MMS, звонки, фото, документы и др.)
• Новая среда, новые векторы атак
16
PwC
Примеры
17
Источник: http://www.securelist.com/en/blog/208193641/Find_and_Call_Leak_and_Spam
PwC
Рост числа киберпреступлений
18
PwC
Примеры
19
Июль 2011
Апрель 2011
Март 2011
PwC
Примеры
20
http://ru.wikipedia.org/wiki/Duqu
http://ru.wikipedia.org/wiki/Stuxnet
http://ru.wikipedia.org/wiki/Flame_(вирус)
PwC
Расширение зоны ответственности
Какие тенденции наблюдаются в сфере информационной безопасности?
21
PwC
Новые тенденции
22
Контроль утечек
Уровень инфраструктуры
Обнаружение атак
Мониторинг инцидентов
Управление доступом
Криптографическая защита
Межсетевые экраны
Антивирусная защита
• Интеграция в систему управления бизнес-рисками
• Выявление и предотвращение мошенничеств (фрод)
• Безопасность бизнес-приложений
Уровень бизнес-процессов
PwC
Управление бизнес-рисками
Бизнес-стратегия
Управление рисками
Стратегия ИБ
23
PwC
Предотвращение мошенничеств
Сектор Средние потери, % от общей выручки
Финансовые организации 1-2%
Здравоохранение 5-10%
Телекоммуникации 2-5%+
Производство 2-5%
24
Исследование PwC
PwC
Пример
25
Добыча Транспортировка Переработка Хранение Дистрибуция Реализация
Хищение продукции, манипуляции в технологических и информационных системах учета, искажение финансовой отчетности и т. д.
PwC
Безопасность бизнес-приложений
26
Оценка безопасности архитектуры приложений
Контроль качества исходного кода
Анализ защищенности исходного кода
Автоматизированный поиск программных «закладок», выявление критичных участков кода, поиск уязвимостей
PwC
Рекомендации • Актуализация стратегии безопасности, политик и процедур
оценки и управления рисками с учетом специфики используемых сервисов
• Процедура оценки защищенности сервис-провайдеров
• Политики и процедуры защиты мобильных устройств
• Актуализация стратегии непрерывности бизнеса
• Использование специализированных средств защиты (контроль доступа, контроль утечек, мониторинг событий, криптографическая защита, токенизация, удаленное управление мобильными устройствами и др.)
• Повышение квалификации персонала подразделений информационной безопасности и внутреннего аудита
• Повышение осведомленности пользователей
27
Новые риски требуют новых подходов...
Евгений Климов Старший менеджер +7 (925) 006 3053 [email protected]
© 2012 «ПрайсвотерхаусКуперс Раша Б.В.». Все права защищены.
Под "PwC" понимается компания "ПрайсвотерхаусКуперс Раша Б.В." или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть
PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является самостоятельным юридическим лицом и не выступает в качестве агента PwCIL или
любой другой фирмы сети. PwCIL не оказывает услуги клиентам. PwCIL не несет ответственность за действия или бездействие любой фирмы сети, не может
контролировать профессиональные суждения, высказываемые фирмами сети, и не может никаким образом связать их каким-либо обязательством. Ни одна из фирм
сети не несет ответственность за действия или бездействие любой другой фирмы сети, не может контролировать профессиональные суждения другой фирмы и не
может никаким образом связать другую фирму сети или PwCIL каким-либо обязательством.
PwC в России (www.pwc.ru) предоставляет услуги в области аудита и бизнес-консультирования, а также налоговые и юридические услуги компаниям разных отраслей.
В офисах PwC в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Южно-Сахалинске и Владикавказе работают более 2 000 специалистов. Мы
используем свои знания, богатый опыт и творческий подход для разработки практических советов и решений, открывающих новые перспективы для бизнеса.
Глобальная сеть фирм PwC объединяет более 161 000 сотрудников в 154 странах.
Бренд PwC объединяет фирмы, входящие в глобальную сеть фирм PricewaterhouseCoopers International Limited (PwCIL).
"PwC в России" означает фирмы сети PwCIL, осуществляющие деятельность в России.