ICT NN IOT NN |B2B NN | CB NN | DC NN | RC NN |  CW NN | EW NN |SM NN | ITSEC NN | NETGURU NN KANKRY 256x256 facebook cube 256x256 linkedin cube 256x256 twitter cube 256x256 youtube cube

TOP 5 InfoSec: Předpovědi na rok 2018

Brian A McHenry F5Je opět začátek roku a lidé jako já zkoušejí své štěstí, zdali se jim povede správně předpovědět, jakou bezpečnostní nadílku si pro nás Santa na kybernetickou bezpečnost přichystal na 2018.

Poslední predikce byla vinou Internet Engineering Task Force poněkud jednotvárná, letos by to ale mohlo vypadat trochu jinak.

1. Zabezpečení webových aplikací bude hrát letos prim. V návaznosti na regulaci a astronomické pokuty, které hrozí za úniky uživatelských dat (GDPR), začínají organizace poprvé v rozsáhlém měřítku přijímat nástroje, služby a postupy pro zabezpečení aplikací pomocí Web Aplikačního FW (WAF). Rozmach také v nejbližší době zaznamená koncept RASP (Runtime Application Self-Protection) a automatická detekce botů. Bude růst obliba cloudových WAF coby služby s přidanou hodnotou, které znamenají větší bezpečnost díky outsourcingu včetně SOCu. Důvod je jednoduchý, množství aplikací rychle roste, zranitelnosti zde budou vždy a pouhé ruční patchování není ani praktické ani dostatečně škálovatelné řešení.

2. DDoS útoky budou dále narůstat. V roce 2017 jsme byli prvně svědky doslova internetového zatmění vinou DDoS útoku o síle 1 Tbps. Také se ukázalo, že je na trhu množství IoT zařízení s tak banálními zranitelnostmi, jako jsou výchozí správcovská hesla. Ta se stala snadným cílem řady botnetů jako Mirai, Persirai či Reaper. IoT zařízení jsou krásnou ukázkou, proč pouhé záplatování nestačí a je třeba postupovat proaktivně. Letos se také nejspíše dočkáme prvního více jak 2Tbps DDoS útoku.

3. Masivní úniky dat i stoupající síla DDoS útoků, obojí se bude letos ještě zintenzivňovat. Průniky a DDoS útoky se rychle adaptují a obcházejí poslední bezpečnostní vymoženosti. Organizace tak budou spíše než produkty vyžadovat záruky a garance bezpečnosti. Rodící se produkty cyber pojištění se tak stanou mnohem žádanějšími, než tomu bylo doposud.

F54. Adopce DevOps praktik a automatizace infrastruktury nastartovaná v předchozím roce bude pokračovat i letos. Čekají nás ale trochu nepředvídané důsledky tohoto procesu – výpadky některých služeb právě v důsledku selhání automatizovaných procesů bohatě nahradí leckterý útok. Také se mi líbila slova Teda Dunninga z MapR Technologies and the Apache Software Foundation: „Automatizací si můžete zajistit cestu k menšímu množství práce, ale nemůžete automatizovat nalezení a implementaci řešení provozních potíží.“

5. Pokračovat bude také adopce kontejnerových technologií a s tím spojených technologií pro správu kontejnerů. Obojí doslova vystřelí do oblak ve snaze učinit infrastrukturu snáze „záplatovatelnou“ s cílem zajistit rychlou nápravu. Opravování zranitelností je velmi obtížné kvůli komplexním závislostem mezi hostitelským operačním systémem, platformou aplikačního serveru a kódem aplikace. Kontejnery jsou nejvhodnějším způsobem, jak tyto závislosti oddělit a zpřístupnit opravy jednoduchým způsobem.

Dokud vše nějak funguje, je snadné se nechat od náročných změn odradit, ale stojí za to připomenout, že pokusy o průnik a DDoS útoky, které selhaly, se nikdy nedostanou na titulku časopisů. Nesmíme usnout na vavřínech a nové technologie a postupy je potřeba zavádět kontinuálně, abychom zajistili stále bezpečnější internet každý nový den. Moje novoroční InfoSec rozhodnutí je setkávat se ještě více na malých komunitních konferencích a sdílet zkušenosti a nápady s více vrstevníky. Ať již jde o schůze ISSA či OWASP nebo o nejbližší Security BSides, které nám pomáhají udržet si pozitivní pohled na bezpečnost a zůstat v obraze.

Autorem článku je Brian A McHenry, Senior Security Solutions Architect ve společnosti F5 Networks, jehož hlavní doménou je zabezpečení webových aplikací a bezpečnost sítí. Na daná témata také přednáší na odborných konferencích a pravidelně přispívá do odborných médií. V oblasti security je dále aktivní také na twitteru: @bamchenry

arrow ecs alef

 

Novinky z ČIMIBU pro rok 2018

Cimib a Cevro logoČeský institut manažerů kybernetické bezpečnosti – ČIMIB je profesní sdružení, které si klade za cíl sdružovat odborníky z oblasti informační bezpečnosti. Historie sahá do roku 2007, kdy byl ČIMIB založen.

Od té doby jsme realizovali několik úspěšných konferencí a stali jsme se uznávaným sdružením v oblasti kybernetické bezpečnosti. Členskou základnu tvoří jak jednotlivci, tak i firmy. V loňském roce se ČIMIB výrazně angažoval na celé řadě konferencí jako odborný partner. I v roce 2017 ČIMIB pokračoval v pořádání kulatých stolů na témata související s kybernetickou a informační bezpečností. A jelikož tyto kulaté stoly byly přijaty členy velmi kladně, budeme v tomto roce pořádat další. Určitě se můžete opět těšit na témata z oblasti ICT bezpečnosti a GDPR.

Pokud máte nápady, nebo vás zajímají nějaká témata z výše uvedených oblastí, napište nám a my se pokusíme tyto postřehy a náměty proměnit v debatu na některém z kulatých stolů anebo na naší každoroční konferenci Kybernetická bezpečnost státu (KBS), kterou budeme pořádat v závěru tohoto roku. Pravidelně vás zde v tomto časopise ICT NETWORK NEWS budeme seznamovat s našimi plány a novinkami, které naše sdružení bude mít. Určitě v tomto roce rádi uvítáme nové členy do řad ČIMIBU, takže pokud chcete mít kvalitní přehled o kybernetickém prostoru a jeho bezpečnosti, rádi Vás jako jednotlivce, ale i jako firmy rádi u nás přivítáme. Podmínky členství naleznete na webu www.cimib.cz.

Petr Smolník, tiskový mluvčí a člen rady ČIMIB

Slovo prezidenta ČIMIB Aleše Špidly: „Vážení čtenáři, dovolte mi abych vám jménem svým i jménem rady ČIMIB v roce 2018 popřál mnoho osobních i pracovních úspěchů, pohodu a klid. Jak je výše uvedeno, připravujeme i v tomto roce řadu zajímavých akcí pro své členy a příznivce. Rádi bychom navázali na velmi úspěšnou konferenci KBS 2017, kde přednášeli kolegové z Ukrajiny o vyšetřování útoku Blackenergy na distribuční síť elektrické energie. Plánujeme, že je opět pozveme spolu s odborníky z generálního štábu Ukrajinské armády, kteří na KBS 2017 také přednášeli a jejichž informace z „bojiště“ byly nesmírně zajímavé. Kulaté stoly si získaly zaslouženou pozornost mezi členy a přáteli ČIMIBu tím, že jsou monotématické, a proto v časovém rozsahu cca 2 až 3 hodiny se lze tématům věnovat hlouběji než ve 20minutové prezentaci na konferenci. Témata připravujeme zajímavá, zcela určitě jedno z nich bude ‚GDPR za 5 minut dvanáct‘, kde odborníci z našich řad budou s vámi sdílet své dosavadní zkušenosti s procesem zavádění GDPR do praxe. Nejen GDPR ale hýbe světem kybernetické a informační bezpečnosti, proto už teď připravujeme další témata. O termínech a náplni kulatých stolů budou členové a přátelé ČIMIB včas informováni. Účast členů na kulatých stolech a konferenci KBS 2018 nejsou jediným benefitem členství v ČIMIB, je zde možnost získat slevy z účastnických poplatků na konferencích, kde jsme partnery apod. Proto, ale nejen proto, mi dovolte váz pozvat mezi členy ČIMIB.“

Méně známý příbuzný GDPR. Co přinese nařízení ePrivacy?

O nařízení o ochraně soukromí a elektronických komunikacích, tzv. nařízení ePrivacy, se nemluví zdaleka tolik jako o slavnějším GDPR. Obě nařízení jsou součástí stejného unijního balíčku předpisů v rámci jednotného digitálního trhu, k jehož základním kamenům patří i ochrana osobních údajů a soukromí.
 
eva skornickova
 
Původní plán byl takový, že obě nařízení začnou platit ve stejný den, tedy 25. května 2018. Na rozdíl od již schváleného GDPR se ale ePrivacy stále nachází v legislativním procesu, konkrétně ve fázi trialogu mezi Komisí, Parlamentem a Radou, a na jeho konečné znění se čeká. I proto lze očekávat, že dojde k odkladu jeho účinnosti minimálně na druhou polovinu roku 2018. Co momentálně o ePrivacy víme, co přinese a na koho se bude vztahovat především?
 
ePrivacy jako doplněk GDPR
 
Oba předpisy jsou nařízeními a obsahují přímo aplikovatelná pravidla, která vlády členských států nemohou přizpůsobit či „ohnout“ jakýmkoliv zájmům. Smyslem obou nařízení je zvýšení ochrany osobních údajů fyzických osob před jejich stále hojnější komercializací a riziky s tím spojenými. Ve vztahu ke GDPR je ePrivacy doplňkem ochrany, tedy zvláštním předpisem detailně upravujícím určitou výseč nakládání s osobními údaji, jehož obecná úprava je obsažena právě v GDPR. Obsah nařízení ePrivacy tak bude mít v této výseči elektronických komunikací před GDPR přednost, přesto je třeba při přizpůsobování se nové úpravě myslet na předpisy oba; bude-li totiž váš podnik v působnosti ePrivacy, budou se na vás vztahovat i pravidla GDPR.
 
Smyslem ePrivacy je dohnat dobu rapidně se rozvíjejících komunikačních on-line technologií a přizpůsobit tomu právní řády států EU, které mnoho dnes již naprosto běžných aktivit vůbec neregulují, přestože při nich ve velkém dochází k nakládání s osobními údaji. Zatímco GDPR se věnuje především ochraně fyzických osob, nařízení ePrivacy by mělo cílit na důvěrnost elektronických komunikací jak fyzických osob, tak právnických osob. Hlavní myšlenkou ePrivacy je vytvoření ekvivalentu listovního tajemství i pro oblast nejmodernějších způsobů komunikace.
 
Internetové televize i restaurace a kavárny
 
Stávající směrnice o soukromí a elektronických komunikacích se vztahuje pouze na tradiční telekomunikační operátory. Nařízení ePrivacy okruh povinných subjektů značně rozšiřuje a kromě zmíněné regulace telekomunikací se bude nově vztahovat i na poskytovatele služeb jako VoIP (tedy volání přes internet), na provozovatele aplikací přenášejících audiovizuální obsah pomocí internetu, tzv. OTT služby (over-the-top services), tedy aplikace typu WhatsApp, Viber, Skype či facebookový Messenger, ale i internetové televize typu Netflix. Nařízení se dále dotkne i poskytovatelů veřejných a polosoukromých sítí Wi-Fi či firem produkujících přístroje komunikující v rámci tzv. internetu věcí (viz dále). Máte-li kavárnu s Wi-Fi pro hosty, týká se nařízení ePrivacy i vás.
 
Nařízení by tak mělo odstranit nelogickou situaci, kdy služby SMS či telefonní hovory musí splňovat určité standardy zabezpečení, ale stejné služby poskytované přes internet regulovány vůbec nejsou, ač jsou z pohledu ochrany soukromí stejně rizikové, či dokonce rizikovější.
 
Chráněn není pouze obsah komunikace
 
Kromě ochrany důvěrnosti samotného obsahu komunikovaných zpráv, jehož zneužitím může dojít k odhalení vysoce citlivých informací ať už o zdravotním stavu, obchodním tajemství, či například sexuální orientaci, bude nařízení chránit i tzv. metadata – tedy údaje odvozené ze samotné komunikace, jako jsou volaná čísla, navštívené internetové stránky, poloha, čas a datum komunikace, doba volání a další. I tyto údaje totiž, ač třeba ne tak přímočaře, dokážou přiblížit jedincův osobní život, průběh dne, jeho zájmy či návyky, a mohou tak být dále obchodně využity.
 
Všechny tyto údaje budou považovány za důvěrné a mělo by být zakázáno bez souhlasu všech komunikujících stran jakkoliv zasahovat do jejich přenosu, ať už přímo lidským zásahem, nebo zprostředkovaně počítačovými algoritmy a podobně. Zvláště se pak zakazuje zachycování obsahu těchto elektronických komunikací a metadat o nich; bez souhlasu tak nebude možné monitorovat navštívené internetové stránky, délku jejich návštěvy či data o interakci s ostatními subjekty!
 
Podobně jako GDPR i nařízení ePrivacy klade největší důraz právě na poskytování souhlasů se zpracováním jako na základní nástroj a pojistku ochrany osob a jejich soukromí. Je tak nutné věnovat zvláštní pozornost tomu kdy, v jaké formě a pro jaké aktivity budete muset takový souhlas od koncových uživatelů získat.
 
Konec „cookies“ oznámení
 
Pravděpodobně jste si všimli, že prakticky každá nově navštívená internetová stránka po vás chce souhlas s uchováním tzv. cookies. V některých případech dokonce nemůže návštěvník stránku užívat, dokud tento souhlas „neodklikne“. To by nařízení ePrivacy mělo změnit umožněním komplexního nastavení v rámci internetového vyhledávače, které bude dále závazné pro všechny navštěvované stránky.
 
Zpřísnění čeká podmínky pro nevyžádaná obchodní sdělení pro účely přímého marketingu, která často končí ve spamové schránce. Nyní bude nutné získat souhlas každého uživatele s přijímáním těchto nabídek a souhlas bude možné jednoduchým způsobem kdykoliv odvolat. V případě marketingových telefonátů bude zakázané skrývat číslo volajícího, naopak se bude povinně uvádět předčíslí značící skutečnost, že jde o marketingový hovor, nebo číslo, na kterém bude možné svůj souhlas odvolat, popřípadě uvést.
 
Když si stroje povídají…
 
Nařízení dopadne i na průmyslové podniky či automobilky, které budou nově muset zabezpečit internetová čidla v rámci skokově se rozvíjejícího odvětví tzv. internetu věcí (Internet of Things – IoT), tedy sítě navzájem propojených a komunikujících přístrojů, které si vyměňují nejrůznější data a dále je používají k naplňování potřeb uživatelů.
 
V praxi se s tímto nejčastěji můžeme setkat v rámci chytrých domácností, tedy sítí propojených „inteligentních“ domácích spotřebičů a další elektroniky, které usnadňují péči o domácnost. Lze sem zařadit i moderní automobily se zabudovanými čidly a senzory snímajícími okolí a stav vozidla či navzájem komunikující zdravotní přístroje a implantáty.
 
Dle nařízení se pravidla pro zachování důvěrnosti budou vztahovat právě i na tuto komunikaci mezi stroji, neboť jejím předmětem jsou mnohdy citlivé informace o jejich uživatelích a prostředí, ve kterém žijí.
 
Nezaspali jste s ePrivacy?
 
Zpozornět by měli především ti správci a zpracovatelé, kteří se doposud připravovali především na účinnost GDPR, ale vzhledem k ePrivacy, možná i díky menší mediální pozornosti, zaspali. Jakmile bude známé finální znění nařízení a dojde k jeho schválení, přineseme vám podrobnější informace jak o nových právech a povinnostech, tak především o datu jeho účinnosti. Nelze však očekávat, že by při schvalování došlo k zásadním změnám, a je možné pro základní přípravu vycházet i z dosavadních znění.
 
Mgr. Eva Škorničková
 
 
gdpr