�ݺ�ߣ

Wyzwania audytu w dobie nowych
zagrożeń bezpieczeństwa
adam.mizerski@isaca.katowice.pl
Adam Mizerski –ksiądz -architekt

Wyzwania audytu w dobie
nowych zagrożeń bezpieczeństwa
Agenda:
 klasyka gatunku/audytu
 wyzwania audytu w sektorze public
 wyzwania audytu w sektorze finansowym
 nowe / stare wyzwania w dobie
współczesnych zagrożeń

klasyka gatunku/audytu
Roczny plan audytu
Planowanie audytu w ramach tematów
zaakceptowanych w rocznym planie audytów
+ audyty zlecone
 Dobór zespołu audytowego
 Ustalenie terminu audytu
 Zapoznanie się z audytowanym obszarem
 Ustalenie celu, zakresu i typu audytu
 Ustalenie warunków audytu

klasyka gatunku/audytu
Analiza procesów biznesowych
 Analiza obszaru audytu
 Identyfikacja ryzyk i oszacowanie ich poziomu
Przeprowadzenie testów mechanizmów kontrolnych
 Identyfikacja mechanizmów kontrolnych
 Testy mechanizmów kontrolnych
 Ocena adekwatności mechanizmów kontrolnych do
zidentyfikowanych ryzyk
Zakończenie audytu
 Opracowanie raportu oraz nadzór nad realizacją zaleceń

klasyka gatunku/audytu - narzędzia
PN-ISO/IEC 27001:2014-12
wersja polska

wyzwania audytu w sektorze public
Zgodność z systemem prawnym
§ § §

https://openclipart.org/detail/18269/crow-flying-down
https://openclipart.org/detail/192510/2-fliegende-kraehen
K R I
K r A
K r A

http://www.itsecurity24.info

Czytając raport NIK można stwierdzić, że kontrolowane
urzędy skoncentrowały się głównie na ochronie danych
osobowych, jednak „nie wprzęgły” ochrony danych
osobowych w kompleksowy System Zarządzania
Bezpieczeństwem Informacji:
http://www.itsecurity24.info

NIK objął kontrolą 24 urzędy, a badanie
PTI realizowane w postaci ankiety
w formie wniosku o udostępnienie
informacji publicznej objęło 339
urzędów.

Wytyczne dla kontroli działania
systemów teleinformatycznych
używanych do realizacji zadań
publicznych

Wytyczne dla audytu działania
systemów teleinformatycznych
używanych do realizacji zadań
publicznych

4. Obszary kontroli
Kontrola powinna objąć następujące główne obszary:
Wymianę informacji w postaci elektronicznej, w tym
współpracę z innymi systemami/rejestrami
informatycznymi i wspomagania świadczenia usług drogą
elektroniczną.
Zarządzania bezpieczeństwem informacji w systemach
teleinformatycznych.
Zapewnienia dostępności informacji zawartych na
stronach internetowych urzędów dla osób
niepełnosprawnych.

Ocena negatywna w obszarze nr 1 (interoperacyjność) może zostać przyznana
w szczególności, gdy:
 nie udostępniono elektronicznej skrzynki podawczej i nie zapewniono jej
obsługi (art. 16 ust. 1a ustawy o informatyzacji; pkt 1.1 tematyki kontroli);
 nie zarządza się usługami realizowanymi przez systemy teleinformatyczne
na deklarowanym poziomie dostępności usług i w oparciu o
udokumentowane procedury (§ 15 ust. 2 rozporządzenia; pkt 1.3 tematyki
kontroli);
 nie zapewniono aby interoperacyjność na poziomie semantycznym osiągnięta
została przez stosowanie w rejestrach prowadzonych przez podmioty odwołań
do rejestrów zawierających dane referencyjne w zakresie niezbędnym do
realizacji zadań (§ 5 ust. 3 rozporządzenia; pkt 1.4 tematyki
Ilość organizacji bez
wdrożonej
procedury
Wdrażanie
aktywów
Eksploatacja
aktywów
Testowanie
aktywów
Wycofanie
aktywów
Tabela 9. Procedury wdrożone w badanych urzędach
Z badania PTI : http://nauka-polska.pl/dhtml/raporty/praceBadawcze?rtype=opis&objectId=298365&lang=pl

Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana
 nie opracowano, nie ustanowiono i nie wdrożono Systemu Zarządzania
Bezpieczeństwem Informacji (SZBI) (§ 20 ust. 1 rozporządzenia; pkt 2.1.1 tematyki
kontroli);
 nie została opracowana i wdrożona Polityka Bezpieczeństwa Informacji (Polityka BI) (§
20 ust. 1 , ust. 2 pkt 12h rozporządzenia; pkt 2.1.1 tematyki kontroli);
 nie jest przeprowadzana okresowa analiza ryzyka utraty integralności, dostępności
lub poufności informacji oraz nie są podejmowane działania minimalizujące to
ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt 3
rozporządzenia; pkt 2.2 tematyki kontroli);
 nie jest przeprowadzany audyt wewnętrzny w zakresie BI co najmniej raz w roku
(§ 20 ust. 2 pkt 14 rozporządzenia; pkt 2.9 tematyki kontroli);
 nie zarządza się dostępem do systemów teleinformatycznych w sposób zapewniający,
że osoby zaangażowane w proces przetwarzania informacji uczestniczą w tym
procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków
mających na celu zapewnienie bezpieczeństwa informacji (§ 20 ust. 2 pkt 4
rozporządzenia; pkt 2.4 tematyki kontroli);

Ocena negatywna w obszarze nr 2 (bezpieczeństwo informacji) może zostać przyznana
 nie zapewniono szkolenia osób zaangażowanych w proces przetwarzania informacji,
ze szczególnym uwzględnieniem określonych w zarządzeniu zagadnień (§ 20 ust. 2
pkt 6 rozporządzenia; pkt 2.5 tematyki kontroli);
 nie zapewniono aby incydenty naruszenia bezpieczeństwa informacji były
bezzwłocznie zgłaszane w określony i z góry ustalony sposób, umożliwiający szybkie
podjęcie działań korygujących (§ 20 ust. 2 pkt 13 rozporządzenia; pkt 2.8 tematyki
kontroli);
 nie zabezpieczono informacji w sposób uniemożliwiający nieuprawnionemu ich
ujawnienie, modyfikacje, usunięcie lub zniszczenie (§ 20 ust. 2 pkt 9 rozporządzenia;
pkt 2.12 tematyki kontroli);
 nie zapewniono aby w dziennikach systemów zostały odnotowane obligatoryjnie
działania użytkowników lub obiektów systemowych (§ 21 rozporządzenia; pkt 2.12
tematyki kontroli).

(…) pozytywną ocenę BI może uzyskać system posiadający mało
zabezpieczeń, jeśli taka ich ilość (i jakość) wynika z rzetelnie
przeprowadzonej analizy ryzyka (np.: system jednostanowiskowy
przetwarzający dane powszechnie dostępne). Jednocześnie ocenę
negatywną może uzyskać system posiadający znaczną liczbę
zabezpieczeń, w przypadku gdy rodzaj zabezpieczeń (w tym ich ilość
i jakość) został zastosowany przypadkowo, bez potwierdzenia poprzez
rzetelnie wykonaną analizę ryzyka i powstały w jej wyniku plan
postępowania z ryzykiem. W takiej sytuacji jednostka nie zarządza
właściwie ryzykiem bezpieczeństwa BI, gdyż system jednostki dla
pewnych ryzyk może posiadać nadmierne, niczym nieuzasadnione
zabezpieczenia, natomiast dla innych całkowity ich brak.

wyzwania audytu w sektorze finansowym
Zgodność z systemem prawnym – tak, ale przede
wszystkim:
Zarządzanie ryzykiem

wyzwania audytu w sektorze finansowym
Zgodność z systemem prawnym – tak, ale przede
wszystkim:
Zarządzanie ryzykiem
Współczesne bezpieczeństwo opera się na zarządzaniu
ryzykiem czyli na adekwatnym doborze zabezpieczeń
do zidentyfikowanych i ocenionych ryzyk
uwzględniających ich prawdopodobieństwo i skutek

Czy wasz dział IT
świadczy usługi IT na ustalonym poziomie OLA/SLA ?

Czy wasz dział IT
świadczy usługi IT na ustalonym poziomie OLA/SLA ?
świadomie i udokumentowanie zarządza ryzykiem ?

nowe / stare wyzwania w dobie współczesnych zagrożeń
„Shadow IT” – nieautoryzowane IT w organizacji
 Cloud Computing
 outsourcing IT
 „łańcuchy podwykonawców”
 Ryzyko utraty poufności
 Ryzyko utraty reputacji
 Ryzyko utraty dostępności

monitoring IP (shodan.io)
 w październiku 2015 r. eksperci odnotowali ogromną liczbę
żądań HTTP (do 20 000 żądań na sekundę) pochodzących
z kamer telewizji przemysłowej. Badacze zidentyfikowali
około 900 kamer na świecie, które tworzyły botnet
wykorzystywany do ataków DDoS.
http://securelist.pl/analysis/7349,raport_kaspersky_ddos_intelligence
_dla_iv_kwartalu_2015_roku.html

Malware
 Od 8 lat liczba
malware wzrasta
o 100%
 0-day
 skuteczność AV
https://www.av-test.org/en/statistics/malware/

Malvertising
 http://di.com.pl/forbes-poprosil-o-wylaczenie-adblocka-i-
zaserwowal-zlosliwa-reklame-54144
 http://sekurak.pl/popularne-serwisy-internetowe-
infekowaly-wirusami-ransomware/
msn.com, nytimes.com, bbc.com, aol.com, newsweek.com.

Phishing - > APT
 Jak chronić „najwyższe kierownictwo” ?
 Jak ocenić szkolenia z zakresu bezpieczeństwa ?

BYOD
Internet of Things
 ???

Materializacja ryzyka związanego z malware po
stronie klienta w kontekście ryzyka prawnego Banku:
 Sygn. akt I C 1908/14 -
http://orzeczenia.ms.gov.pl/content/$N/15251000000050
3_I_C_001908_2014_Uz_2016-02-08_001
 Sygn. akt I C 307/15 -
http://orzeczenia.ms.gov.pl/content/$N/15251000000050
3_I_C_000307_2015_Uz_2016-01-15_001

1908/14
Powód logował się na stronę banku ze służbowego laptopa marki A., na którym zainstalowany był
legalny system operacyjny oraz oprogramowanie antywirusowe ArcaVir dostarczane przez pracodawcę
powoda. Powód czytał komunikaty dotyczące bezpieczeństwa pojawiające się na stronie Banku. (…)
Przed zdarzeniami z dnia 19 listopada 2013 r. powód zainstalował na telefonie program antywirusowy o
nazwie „M. antywirus”, do którego instalacji zachęcał komunikat pojawiający się podczas logowania do
serwisu internetowego banku. Bank nie wysyłał takich komunikatów do klientów. Podczas wyświetlania
się komunikatu w tle widoczna była rzeczywista strona banku, ale komunikat wyświetlany był z innej
strony. Komunikat zachęcający do zainstalowania programu antywirusowego nie wymagał wpisania
identyfikatora i hasła, wymagał wpisania numeru telefonu klienta, na który przychodził sms-em link
aktywacyjny. Oprogramowanie instalowane na telefonie klienta służyło przekierowaniu wszystkich
wiadomości kierowanych na telefon klienta na inny numer. W takim przypadku przychodzący z banku
sms z kodem transakcyjnym nie jest widoczny dla klienta, jest od razu przekierowywany na inny numer.
Powód nie podawał nikomu loginu i hasła do swojego konta w Banku
Przed zdarzeniami z dnia 19 listopada 2013 r. Bank nie informował powoda o zagrożeniach związanych
z komunikatem dotyczącym instalacji rzekomego oprogramowania antywirusowego.

307/15
We wrześniu 2013 r. powódka miała problem z zalogowaniem się drogą elektroniczną do swojego rachunku bankowego w
mBanku. Powiedziała swojemu mężowi Z. J., że podczas logowania pojawia się jakaś inna strona.
Mąż powódki stwierdził, że na stronie wyglądającej jak strona Banku jest wyświetlany komunikat, że Bank zmienia system
zabezpieczeń i w celu uzyskania lepszych zabezpieczeń prosi o podanie numeru telefonu i systemu operacyjnego telefonu. Mąż
powódki wpisał numer telefonu i zaznaczył system operacyjny Android. Komunikat nie wymagał podania loginu i hasła. Po chwili w
telefonie pojawiła się informacja, że aplikacja (...) została pobrana. W tamtym czasie Bank zmieniał szatę graficzną stron
internetowych, był możliwy dostęp do konta ze starej wersji strony i nowej. Powódka korzystała ze starej wersji strony. Po
pobraniu aplikacji problem z zalogowaniem się do rachunku bankowego ustąpił.
Komunikat mówiący o potrzebie pobrania dodatkowego oprogramowania zabezpieczającego pojawiał się po wpisaniu adresu
prawdziwej strony mBanku i pojawieniu się tej strony. Komunikat zajmował część strony. Był też widoczny symbol zamkniętej
kłódki oznaczający bezpieczną stronę. Możliwe było ominięcie tego komunikatu i normalne korzystanie ze strony banku.
W rzeczywistości program (...), który mąż powódki zainstalował na jej telefonie został przesłany przez nieustaloną osobę i jego
zadaniem było automatyczne (bez wiedzy właściciela telefonu) przekierowywanie przychodzących wiadomości sms wysyłanych z
banku, zawierających jednorazowy kod służący do autoryzacji zlecenia przelewu. Dla właściciela telefonu nie były widoczne smsy z
kodami do potwierdzenia transakcji. Przekierowanie dokonywane przez program (...) dotyczyło wszystkich sms-ów przychodzących
na dany telefon, nie tylko sms-ów z kodami.
Powódka logowała się do banku z laptopa marki D., na którym zainstalowany był program W. (...). Było na nim
zainstalowane oprogramowanie antywirusowe firmy (...), które było aktualizowane. Było to darmowe oprogramowanie dla
użytkowników legalnych systemów operacyjnych M.. Telefon powódki miał wgrane oprogramowanie antywirusowe przez
operatora – firmę (...). Powódka czytała komunikaty dotyczące bezpieczeństwa pojawiające się na stronie Banku.

Jest RYZYKO
Jest ZABAWA
PN-ISO/IEC 27005:2014-01 - wersja polska
PN-ISO 31000:2012 - wersja polska
COBIT 5 for Risk Polski (Polish)

Administracja publiczna
<->
sektor finansowy
A gdzie w tym
wszystkim są
„MISIE” ?

Pytania ???
NIE
DYSKUSJA !!!

Dziękuje za poświęcony czas
isaca.katowice.pl
adam.mizerski@isaca.katowice.pl

Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa

�ݺ�ߣ

Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa

More Related Content

Wyzwania audytu w dobie nowych zagrożeń bezpieczeństwa