SlideShare uma empresa Scribd logo
1 de 26
Baixar para ler offline
Cyber Services 2015
Nagymajtényi Gábor
Üzletfejlesztési Igazgató
Cyber Services Zrt.
2
IVSZ Cloud Workshop 20151003
Tartalom
Kik vagyunk - Cyber Services
Felhőjog
Trust-and-control
Szolgáltatás
BYOD
Hazai helyzet
Jövő
Kérdések?
Tartalom
Sérülékenység
3
Áttekintés – Cyber Services
Alapítás éve 2015 A cég alapítói és kiemelt szakértői az informatikai biztonság veteránjai szerteágazó nemzetközi tapasztalattal
Rendelkezésre álló erőforrások
10+ vezető szakértő
20+ szoftver/hardver fejlesztő
20+ szoftver/hardver tesztelő
Képesítések
9 etikus hacker (KCEH)
3 etikus hacker (International CEH)
4 proaktív biztonsági szakértő – Offensive Security Certified Professional (OSCP)
Szolgáltatások
Etikus hackelés Kiber fenyegetettség elemzés
Kibervédelmi gyakorlatok tervezése, levezetése
Többszintű információbiztonság tudatosság növelő képzési rendszerek fejlesztése, oktatás, gamification
Informatikai biztonsági képzések fejlesztése és oktatás
Reputáció menedzsment
Innováció menedzsment, startup
Integráció
Kiemelt referenciák
NATO
UAE Dubai
ZAIN Kuwait
EU Tanács
Jelentős kormányzati szerepvállalás (beleértve a hazai Kibervédelmi Központ – NBF CDMA kialakítását)
4
„Felhőjogi” környezet
●
Jogvita
– ÁSZF és SLA alapján
●
kötbér
●
kártérítési felelősség
●
elévülés
●
Ki a joghatóság?
– NMHH
●
Magyar bíróság
– Európai bíróság
●
Nemzetközi bíróság
●
Mi a jogi környezet?
– ÁSZF ( Általános szolgáltatási Feltételek ) - NMHH
●
Új Ptk. – 2014. március 14.
– EU bíróság döntése – EU-US safe harbor megállapodás “nem valós”
5
Felhőjog : EU - US Safe Harbor IS INVALID!
Court of Justice of the European Union (2015.10.06)
●
Judgment in Case C-362/14: Maximillian Schrems v Data Protection Commissioner
The Court of Justice declares that the Commission’s US Safe Harbour Decision
is invalid
●
Osztrák PhD hallgató, aki 2008 óta Facebookon regisztrált
●
A Facebook a személyes adatait amerikai szerverekre továbbította
●
Mivel 2013-ban Snowden feltárta, hogy az NSA közvetlen hozzáfér az személyes
adataihoz, ezért az ír hatóságoknál feljelentést tett, hogy az EU-US Safe Harbor
megállapodás nem teljesíti a EU adatvédelmi előírásait.
●
Az EU Bíróság most kimondta, hogy a Safe Harbor megállapás érvénytelen
Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal
data and on the free movement of such data (OJ 1995 L 281, p. 31).
Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the
protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (OJ 2000 L 215, p.
7).
The safe harbour scheme includes a series of principles concerning the protection of personal data to which United States undertakings may subscribe
voluntarily.
6
Felhőjog – Adatüzlet, Hol tárolhatom?
A Piac még nem tudja értelmezni a Safe Harbor megállapodás megszüntét
Workaround-ok születnek
7
Felhőjog – Net Neutrality
●
EU döntés: Roaming díj megszűnik EU-ban 2017-re, viszont az ebből eredő költségeit
a Telkó átháríthatja egy bizonyos érték felett. Mit jelent ez?
– Net neutrality megszűnik? Avagy vége az internetnek, vagy új innováció?
●
Sávszél vs Profit a Telkónál
– Voice 85% profit, 15% sávszél
– Data 15% profit, 85% sávszél
●
Deutsche Telekom „sávos” árazás a szolgáltatóknak
– speciális szolgáltatás
– QoS
– Revenue share a Start-Up-oknak az infra használatért
– Nem mindegy, hogy “jobb” szolgáltatást adunk, vagy korlátozzuk a többit?
●
http://www.theregister.co.uk/2015/10/27/european_net_neutrality_amendments_fail/
●
http://www.theregister.co.uk/2015/10/30/deutsche_telekom_starts_tiered_pricing/
●
http://hvg.hu/tudomany/20151102_ketsebesseges_internetezes_telekom_dt
8
Felhőjog – Net Neutrality
„If adopted as currently written, these rules will threaten innovation, free
speech and privacy, and compromise Europe’s ability to lead in the digital
economy.”
Tim Berners-Lee, inventor of the World Wide Web, Founding Director of the World Wide
Web Foundation
●
http://webfoundation.org/2015/10/net-neutrality-in-europe-a-statement-from-sir-tim-berners-lee/
9
On Premise IaaS PaaS SaaS
App App App App App
VM VM VM Szolgáltatás Szolgáltatás
Server Server Server Server Server
Storage Storage Storage Storage Storage
Network Network Network Network Network
On Premise
(host-olt)
Ügyfélnél a
kontroll
Megosztott a
kontroll
Szolgáltatói
kontroll
Trust-and-control
Ügyfél elveszíti a kontrollt
10
Trust-and-control
●
Tier 1 = Nem redundáns kapacitás komponensek (telkó, szerverek).
●
Tier 2 = Tier 1 + Redundáns kapacitás komponensek.
●
Tier 3 = Tier 1 + Tier 2 + Két-betáppal az eszközök és több független telkó vonal.
●
Tier 4 = Tier 1 + Tier 2 + Tier 3 + Minden elem hibatűrő, a szünetmentes és a
hűtőrendszer is, több betáppal.
●
Tier 1: Garantált 99.671% rendelkezésre állás.
●
Tier 2: Garantált 99.741% rendelkezésre állás.
●
Tier 3: Garantált 99.982% rendelkezésre állás.
●
Tier 4: Garantált 99.995% rendelkezésre állás.
A kontroll vesztésért cserébe
CAPEX nélküli, skálázható, olcsó kapacitást kap
11
Trust-and-control
12
Szolgáltatás
Összetettek a szolgáltatások, vegyünk egy e-commerce példát
●
Biztos minden igénybe vett 3rd-party szolgáltatás “Trusted”?
– Authentikáció, authorizáció – külső Oauth2
– Fizetés - Paypal
– Szállítás – DHL
●
Hogyan authorizáljuk a szolgáltatásokat?
●
Milyen szenzitív adatokat osztunk meg?
– Mindig csak a szükséges minimális infót adjuk meg? ( pl DHL: név, szállítási cím,
mobil, és nem adjuk meg az ügyfél egyéb adatait, fizetésnél csak a név és
bankkártya azonosítók szükségesek, a többi üzleti adat nem... )
– Nem kerülnek ki a felhasználói és üzleti adatok a szolgáltatás kontrollja alól?
– Tudjuk-e menedzselni a teljes supply-ra a teljes adatéletciklust? ( archíválás,
törlés, … )
– Van-e megfelelő biztonsági auditor, vannak minősítések? ( SOX, ISO, … )
13
Szolgáltatás
Összetettek a szolgáltatások, vegyünk egy e-commerce példát
●
Biztos minden igénybe vett 3rd-party szolgáltatás “Trusted”?
– Authentikáció, authorizáció – külső Oauth2
– Fizetés - Paypal
– Szállítás – DHL
●
Hogyan authorizáljuk a szolgáltatásokat?
●
Milyen szenzitív adatokat osztunk meg?
– Mindig csak a szükséges minimális infót adjuk meg? ( pl DHL: név, szállítási cím,
mobil, és nem adjuk meg az ügyfél egyéb adatait, fizetésnél csak a név és
bankkártya azonosítók szükségesek, a többi üzleti adat nem... )
– Nem kerülnek ki a felhasználói és üzleti adatok a szolgáltatás kontrollja alól?
– Tudjuk-e menedzselni a teljes supply-ra a teljes adatéletciklust? ( archíválás,
törlés, … )
– Van-e megfelelő biztonsági auditor, vannak minősítések? ( SOX, ISO, … )
14
Szolgáltatás
●
Minden “beszállító” teljesíti-e ?
– az elvárt SLA szintet
– az információ biztonsági elvárásokat?
●
Hogyan tudok erről meggyőződni?
●
Honnan nyújtják fizikailag a szolgáltatást? A számomra előírt elvárások ebben a
tekintetben teljesülnek-e? Tudja-e a szolgáltató garantálni az európai adatkezelést a
teljes adatéletciklusra?
– egészségügyi adatok
– közigazgatási adatok
15
Bring-Your-Own-Device
●
Hol a rendszerhatár? - Mit kontrollálunk, mit nem? )
●
2faktoros authentikáció: az eszközt authentikáljuk a service-hez! ( Radius, Diameter )
●
Google Native Client ( új saját “VM” minden eszközre, blockchain technológiával )
16
Sérülékenység
17
Sérülékenység
18
Sérülékenység
19
Sérülékenység
20
Sérülékenység
21
Sérülékenység
Kibersérülékenységek száma időben nem csökken! :)
●
Mobil eszközök, BYOD
●
Komplex szolgáltatások - Publikus micro service-ek, több támadható API
●
Gyors deployment – continuous deployment (DevOps)
– Tesztelés automatizálása és a code coverage nem jelenti, hogy valóban a teljes
támadási vektortér tesztelt, sőt!
●
SaaS Multi-tenant probléma: mennyire izoláltak a folyamatok, az adatok?
●
PaaS: azonos hardveren tud futni a támadó és a célpont!
●
IaaS: védett-e a belső hálózat, valóban csak a szükséges portok és kommunikáció
lehetséges? A belső kommunikáció védett csatornán, titkosítva, … ?
●
ÖSSZES EDDIG SÉRÜLÉKENYSÉG + MULTITENANT SÉRÜLÉKENYSÉGEK
●
Viszont komoly biztonsági csapatok és eszközök
22
Hazai helyzet
●
Hazai datacenter helyzet
– 25,000 nm a teljes hazai “datacenter” infrastruktúra
– Főleg Tier1 , és azon belül is a “salgó polc”
– Jellemzően 0.5-1kW/m2 energiasűrűség ( ez a tizede a mai világátlagnak )
– Nem redundáns ( csak a cégek saját megoldásai )
●
Spoke-Hub infrastruktúra
– Szerencsénk: Európa pontosan közepe vagyunk, ezért az Isztambul-Berlin optika
itt megy át
– ~1000km-enként kéne egy Hub, ami München után valahol itt kéne legyen, de
nem biztos, hogy itt lesz
●
Biztonságos jogi környezet és energiabiztonság kell := “Biztonságosabb
kikötő”
– Megfelelő kíbervédelmi képesség : nemzeti és szolgáltatói szinten
23
Jövő – együttműködés → elosztottság nő
24
Jövő – IoT, M2M, IoE, AI
1
2
3
4
5
6
7
8
10
9
1. A műholdas kommunikáció leállhat
2. Az épületek áramellátása megszűnhet
3. Az olajkitermelés leállhat
4. A vasúti jelzőrendszer meghibásodhat
5. Vízszennyezés történhet
6. Elektromos energiallátási problémák merülhetnek fel
7. Az üzleti kommunikáció megbénulása
8. Légkondícionáló rendszerek leállhatnak
9. Mobiltelefon hálózati hiba lehetséges
10. Gázellátási problémák jelentkezhetnek
25
Jövő – Felhő problémák
●
IPv6, CoAP/DTLS ( TLS on Datagram )
– nincs endpoint menedzsment szabvány
=> csak PSK ( pre-shared-key ), vagy full PKI megoldás működhet
– DTLS csak csatorna titkosítás, nincs szabványos hiteles üzenet küldés:
aláírás/titkosítás hiányzik
●
IPv6 routing megbízhatatlansága ( itt még elméleti problémák is vannak )
●
IPv6 és Smart Object session kezelés
●
Smart Objects interoperabilitása – bár van IPSO alliance, nem implementálják a
draftokat
●
Big Data privacy implementálása
Köszönöm a figyelmet!
Nagymajtényi Gábor
Üzletfejlesztési Igazgató
Cyber Services Zrt.

Mais conteúdo relacionado

Semelhante a Cyber services 2015_ivsz_cloud_bme_1v0p1

WLAN Biztonság és Megfelelőségi Irányelvek
WLAN Biztonság és Megfelelőségi IrányelvekWLAN Biztonság és Megfelelőségi Irányelvek
WLAN Biztonság és Megfelelőségi IrányelvekZsolt Kecskemeti
 
Gazdag Ferenc_IVSZ_KormanyzatiFelho_v2
Gazdag Ferenc_IVSZ_KormanyzatiFelho_v2Gazdag Ferenc_IVSZ_KormanyzatiFelho_v2
Gazdag Ferenc_IVSZ_KormanyzatiFelho_v2Ferenc GAZDAG
 
Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)Csaba Krasznay
 
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfalYoung Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfalYoung BTS Kommunikációs rendszerek
 
Rhyno smart city_platform_prezentacio_public_1v2
Rhyno smart city_platform_prezentacio_public_1v2Rhyno smart city_platform_prezentacio_public_1v2
Rhyno smart city_platform_prezentacio_public_1v2Gábor Nagymajtényi
 
Sa performance vision_hu
Sa performance vision_huSa performance vision_hu
Sa performance vision_huZoltan Cziraky
 
Gazdag Ferenc_IDC_KormanyzatiFelho
Gazdag Ferenc_IDC_KormanyzatiFelhoGazdag Ferenc_IDC_KormanyzatiFelho
Gazdag Ferenc_IDC_KormanyzatiFelhoFerenc GAZDAG
 
II. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxII. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxSzabolcs Gulyás
 
Tarr Zoltán - IoT szenzoros megoldások a szarvasmarha tartásban
Tarr Zoltán - IoT szenzoros megoldások a szarvasmarha tartásbanTarr Zoltán - IoT szenzoros megoldások a szarvasmarha tartásban
Tarr Zoltán - IoT szenzoros megoldások a szarvasmarha tartásbanAgroinform.com
 
Possibilities of IT security evaluations based on Common Criteria in Hungary ...
Possibilities of IT security evaluations based on Common Criteria in Hungary ...Possibilities of IT security evaluations based on Common Criteria in Hungary ...
Possibilities of IT security evaluations based on Common Criteria in Hungary ...Csaba Krasznay
 
Információbiztonság: IT biztonságtechnikai közbeszerzések
Információbiztonság: IT biztonságtechnikai közbeszerzésekInformációbiztonság: IT biztonságtechnikai közbeszerzések
Információbiztonság: IT biztonságtechnikai közbeszerzésekS&T Consulting Hungary
 
Fábián Zoltán T-Systems portfolio
Fábián Zoltán T-Systems portfolioFábián Zoltán T-Systems portfolio
Fábián Zoltán T-Systems portfolioZoltán FÁBIÁN
 
Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Csaba Krasznay
 
CV Mihályi Szabolcs HUN 161019
CV Mihályi Szabolcs HUN 161019CV Mihályi Szabolcs HUN 161019
CV Mihályi Szabolcs HUN 161019Szabolcs Mihalyi
 
VI. Elmélet - Kitekintés az ERP-n túlra .pptx
VI. Elmélet - Kitekintés az ERP-n túlra .pptxVI. Elmélet - Kitekintés az ERP-n túlra .pptx
VI. Elmélet - Kitekintés az ERP-n túlra .pptxSzabolcs Gulyás
 
Biztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseBiztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseFerenc Kovács
 
Nyílt forráskódú VideoKonferencia mindenkinek! (A GÉANT4 JRA4 T4 és T5 eredmé...
Nyílt forráskódú VideoKonferencia mindenkinek! (A GÉANT4 JRA4 T4 és T5 eredmé...Nyílt forráskódú VideoKonferencia mindenkinek! (A GÉANT4 JRA4 T4 és T5 eredmé...
Nyílt forráskódú VideoKonferencia mindenkinek! (A GÉANT4 JRA4 T4 és T5 eredmé...Mihály Mészáros
 
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)György Balássy
 

Semelhante a Cyber services 2015_ivsz_cloud_bme_1v0p1 (20)

NETaudIT
NETaudITNETaudIT
NETaudIT
 
WLAN Biztonság és Megfelelőségi Irányelvek
WLAN Biztonság és Megfelelőségi IrányelvekWLAN Biztonság és Megfelelőségi Irányelvek
WLAN Biztonság és Megfelelőségi Irányelvek
 
Gazdag Ferenc_IVSZ_KormanyzatiFelho_v2
Gazdag Ferenc_IVSZ_KormanyzatiFelho_v2Gazdag Ferenc_IVSZ_KormanyzatiFelho_v2
Gazdag Ferenc_IVSZ_KormanyzatiFelho_v2
 
Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)Development of a secure e-commerce system based on PKI (in Hungarian)
Development of a secure e-commerce system based on PKI (in Hungarian)
 
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfalYoung Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
Young Enterprise Day 2014 – Palo Alto Networks: az újgenerációs tűzfal
 
Rhyno smart city_platform_prezentacio_public_1v2
Rhyno smart city_platform_prezentacio_public_1v2Rhyno smart city_platform_prezentacio_public_1v2
Rhyno smart city_platform_prezentacio_public_1v2
 
Sa performance vision_hu
Sa performance vision_huSa performance vision_hu
Sa performance vision_hu
 
Gazdag Ferenc_IDC_KormanyzatiFelho
Gazdag Ferenc_IDC_KormanyzatiFelhoGazdag Ferenc_IDC_KormanyzatiFelho
Gazdag Ferenc_IDC_KormanyzatiFelho
 
II. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptxII. Elmélet - ERP rendszerek árazása.pptx
II. Elmélet - ERP rendszerek árazása.pptx
 
Tarr Zoltán - IoT szenzoros megoldások a szarvasmarha tartásban
Tarr Zoltán - IoT szenzoros megoldások a szarvasmarha tartásbanTarr Zoltán - IoT szenzoros megoldások a szarvasmarha tartásban
Tarr Zoltán - IoT szenzoros megoldások a szarvasmarha tartásban
 
Possibilities of IT security evaluations based on Common Criteria in Hungary ...
Possibilities of IT security evaluations based on Common Criteria in Hungary ...Possibilities of IT security evaluations based on Common Criteria in Hungary ...
Possibilities of IT security evaluations based on Common Criteria in Hungary ...
 
Információbiztonság: IT biztonságtechnikai közbeszerzések
Információbiztonság: IT biztonságtechnikai közbeszerzésekInformációbiztonság: IT biztonságtechnikai közbeszerzések
Információbiztonság: IT biztonságtechnikai közbeszerzések
 
Fábián Zoltán T-Systems portfolio
Fábián Zoltán T-Systems portfolioFábián Zoltán T-Systems portfolio
Fábián Zoltán T-Systems portfolio
 
1 Papp Peter
1 Papp Peter1 Papp Peter
1 Papp Peter
 
Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...Security analysis and development opportunities of Hungarian e-government (in...
Security analysis and development opportunities of Hungarian e-government (in...
 
CV Mihályi Szabolcs HUN 161019
CV Mihályi Szabolcs HUN 161019CV Mihályi Szabolcs HUN 161019
CV Mihályi Szabolcs HUN 161019
 
VI. Elmélet - Kitekintés az ERP-n túlra .pptx
VI. Elmélet - Kitekintés az ERP-n túlra .pptxVI. Elmélet - Kitekintés az ERP-n túlra .pptx
VI. Elmélet - Kitekintés az ERP-n túlra .pptx
 
Biztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztéseBiztonságos webalkalmazások fejlesztése
Biztonságos webalkalmazások fejlesztése
 
Nyílt forráskódú VideoKonferencia mindenkinek! (A GÉANT4 JRA4 T4 és T5 eredmé...
Nyílt forráskódú VideoKonferencia mindenkinek! (A GÉANT4 JRA4 T4 és T5 eredmé...Nyílt forráskódú VideoKonferencia mindenkinek! (A GÉANT4 JRA4 T4 és T5 eredmé...
Nyílt forráskódú VideoKonferencia mindenkinek! (A GÉANT4 JRA4 T4 és T5 eredmé...
 
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)
DevDays 2000: Web alapú megoldások felépítése (Kovács Ferenc, Balássy György)
 

Mais de Gábor Nagymajtényi (16)

Élethelyzet alapú közigazgatás v1
Élethelyzet alapú közigazgatás v1Élethelyzet alapú közigazgatás v1
Élethelyzet alapú közigazgatás v1
 
Value Measuring Methodology
Value Measuring MethodologyValue Measuring Methodology
Value Measuring Methodology
 
E-közigazgatás 2020
E-közigazgatás 2020E-közigazgatás 2020
E-közigazgatás 2020
 
Cyber services IoT Security
Cyber services IoT Security Cyber services IoT Security
Cyber services IoT Security
 
Miért üzlet a nyílt forráskód?
Miért üzlet a nyílt forráskód?Miért üzlet a nyílt forráskód?
Miért üzlet a nyílt forráskód?
 
Health korszeru egeszseginformatika 20141127
Health korszeru egeszseginformatika 20141127Health korszeru egeszseginformatika 20141127
Health korszeru egeszseginformatika 20141127
 
Houg 2008 v04 20080408
Houg 2008 v04 20080408Houg 2008 v04 20080408
Houg 2008 v04 20080408
 
Java api
Java apiJava api
Java api
 
Élethelyzet metodológia 0v11
Élethelyzet metodológia 0v11Élethelyzet metodológia 0v11
Élethelyzet metodológia 0v11
 
Alumni Release Process
Alumni Release ProcessAlumni Release Process
Alumni Release Process
 
Wiki Múzeum
Wiki MúzeumWiki Múzeum
Wiki Múzeum
 
Tamop422 - Miért üzlet a nyílt forráskód?
Tamop422 - Miért üzlet a nyílt forráskód?Tamop422 - Miért üzlet a nyílt forráskód?
Tamop422 - Miért üzlet a nyílt forráskód?
 
Elosztott szocialis-halozat 0v3
Elosztott szocialis-halozat 0v3Elosztott szocialis-halozat 0v3
Elosztott szocialis-halozat 0v3
 
Kibervédelem
KibervédelemKibervédelem
Kibervédelem
 
Agriportal
AgriportalAgriportal
Agriportal
 
Jószolgálat prezentáció
Jószolgálat prezentációJószolgálat prezentáció
Jószolgálat prezentáció
 

Cyber services 2015_ivsz_cloud_bme_1v0p1

  • 1. Cyber Services 2015 Nagymajtényi Gábor Üzletfejlesztési Igazgató Cyber Services Zrt.
  • 2. 2 IVSZ Cloud Workshop 20151003 Tartalom Kik vagyunk - Cyber Services Felhőjog Trust-and-control Szolgáltatás BYOD Hazai helyzet Jövő Kérdések? Tartalom Sérülékenység
  • 3. 3 Áttekintés – Cyber Services Alapítás éve 2015 A cég alapítói és kiemelt szakértői az informatikai biztonság veteránjai szerteágazó nemzetközi tapasztalattal Rendelkezésre álló erőforrások 10+ vezető szakértő 20+ szoftver/hardver fejlesztő 20+ szoftver/hardver tesztelő Képesítések 9 etikus hacker (KCEH) 3 etikus hacker (International CEH) 4 proaktív biztonsági szakértő – Offensive Security Certified Professional (OSCP) Szolgáltatások Etikus hackelés Kiber fenyegetettség elemzés Kibervédelmi gyakorlatok tervezése, levezetése Többszintű információbiztonság tudatosság növelő képzési rendszerek fejlesztése, oktatás, gamification Informatikai biztonsági képzések fejlesztése és oktatás Reputáció menedzsment Innováció menedzsment, startup Integráció Kiemelt referenciák NATO UAE Dubai ZAIN Kuwait EU Tanács Jelentős kormányzati szerepvállalás (beleértve a hazai Kibervédelmi Központ – NBF CDMA kialakítását)
  • 4. 4 „Felhőjogi” környezet ● Jogvita – ÁSZF és SLA alapján ● kötbér ● kártérítési felelősség ● elévülés ● Ki a joghatóság? – NMHH ● Magyar bíróság – Európai bíróság ● Nemzetközi bíróság ● Mi a jogi környezet? – ÁSZF ( Általános szolgáltatási Feltételek ) - NMHH ● Új Ptk. – 2014. március 14. – EU bíróság döntése – EU-US safe harbor megállapodás “nem valós”
  • 5. 5 Felhőjog : EU - US Safe Harbor IS INVALID! Court of Justice of the European Union (2015.10.06) ● Judgment in Case C-362/14: Maximillian Schrems v Data Protection Commissioner The Court of Justice declares that the Commission’s US Safe Harbour Decision is invalid ● Osztrák PhD hallgató, aki 2008 óta Facebookon regisztrált ● A Facebook a személyes adatait amerikai szerverekre továbbította ● Mivel 2013-ban Snowden feltárta, hogy az NSA közvetlen hozzáfér az személyes adataihoz, ezért az ír hatóságoknál feljelentést tett, hogy az EU-US Safe Harbor megállapodás nem teljesíti a EU adatvédelmi előírásait. ● Az EU Bíróság most kimondta, hogy a Safe Harbor megállapás érvénytelen Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (OJ 1995 L 281, p. 31). Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce (OJ 2000 L 215, p. 7). The safe harbour scheme includes a series of principles concerning the protection of personal data to which United States undertakings may subscribe voluntarily.
  • 6. 6 Felhőjog – Adatüzlet, Hol tárolhatom? A Piac még nem tudja értelmezni a Safe Harbor megállapodás megszüntét Workaround-ok születnek
  • 7. 7 Felhőjog – Net Neutrality ● EU döntés: Roaming díj megszűnik EU-ban 2017-re, viszont az ebből eredő költségeit a Telkó átháríthatja egy bizonyos érték felett. Mit jelent ez? – Net neutrality megszűnik? Avagy vége az internetnek, vagy új innováció? ● Sávszél vs Profit a Telkónál – Voice 85% profit, 15% sávszél – Data 15% profit, 85% sávszél ● Deutsche Telekom „sávos” árazás a szolgáltatóknak – speciális szolgáltatás – QoS – Revenue share a Start-Up-oknak az infra használatért – Nem mindegy, hogy “jobb” szolgáltatást adunk, vagy korlátozzuk a többit? ● http://www.theregister.co.uk/2015/10/27/european_net_neutrality_amendments_fail/ ● http://www.theregister.co.uk/2015/10/30/deutsche_telekom_starts_tiered_pricing/ ● http://hvg.hu/tudomany/20151102_ketsebesseges_internetezes_telekom_dt
  • 8. 8 Felhőjog – Net Neutrality „If adopted as currently written, these rules will threaten innovation, free speech and privacy, and compromise Europe’s ability to lead in the digital economy.” Tim Berners-Lee, inventor of the World Wide Web, Founding Director of the World Wide Web Foundation ● http://webfoundation.org/2015/10/net-neutrality-in-europe-a-statement-from-sir-tim-berners-lee/
  • 9. 9 On Premise IaaS PaaS SaaS App App App App App VM VM VM Szolgáltatás Szolgáltatás Server Server Server Server Server Storage Storage Storage Storage Storage Network Network Network Network Network On Premise (host-olt) Ügyfélnél a kontroll Megosztott a kontroll Szolgáltatói kontroll Trust-and-control Ügyfél elveszíti a kontrollt
  • 10. 10 Trust-and-control ● Tier 1 = Nem redundáns kapacitás komponensek (telkó, szerverek). ● Tier 2 = Tier 1 + Redundáns kapacitás komponensek. ● Tier 3 = Tier 1 + Tier 2 + Két-betáppal az eszközök és több független telkó vonal. ● Tier 4 = Tier 1 + Tier 2 + Tier 3 + Minden elem hibatűrő, a szünetmentes és a hűtőrendszer is, több betáppal. ● Tier 1: Garantált 99.671% rendelkezésre állás. ● Tier 2: Garantált 99.741% rendelkezésre állás. ● Tier 3: Garantált 99.982% rendelkezésre állás. ● Tier 4: Garantált 99.995% rendelkezésre állás. A kontroll vesztésért cserébe CAPEX nélküli, skálázható, olcsó kapacitást kap
  • 12. 12 Szolgáltatás Összetettek a szolgáltatások, vegyünk egy e-commerce példát ● Biztos minden igénybe vett 3rd-party szolgáltatás “Trusted”? – Authentikáció, authorizáció – külső Oauth2 – Fizetés - Paypal – Szállítás – DHL ● Hogyan authorizáljuk a szolgáltatásokat? ● Milyen szenzitív adatokat osztunk meg? – Mindig csak a szükséges minimális infót adjuk meg? ( pl DHL: név, szállítási cím, mobil, és nem adjuk meg az ügyfél egyéb adatait, fizetésnél csak a név és bankkártya azonosítók szükségesek, a többi üzleti adat nem... ) – Nem kerülnek ki a felhasználói és üzleti adatok a szolgáltatás kontrollja alól? – Tudjuk-e menedzselni a teljes supply-ra a teljes adatéletciklust? ( archíválás, törlés, … ) – Van-e megfelelő biztonsági auditor, vannak minősítések? ( SOX, ISO, … )
  • 13. 13 Szolgáltatás Összetettek a szolgáltatások, vegyünk egy e-commerce példát ● Biztos minden igénybe vett 3rd-party szolgáltatás “Trusted”? – Authentikáció, authorizáció – külső Oauth2 – Fizetés - Paypal – Szállítás – DHL ● Hogyan authorizáljuk a szolgáltatásokat? ● Milyen szenzitív adatokat osztunk meg? – Mindig csak a szükséges minimális infót adjuk meg? ( pl DHL: név, szállítási cím, mobil, és nem adjuk meg az ügyfél egyéb adatait, fizetésnél csak a név és bankkártya azonosítók szükségesek, a többi üzleti adat nem... ) – Nem kerülnek ki a felhasználói és üzleti adatok a szolgáltatás kontrollja alól? – Tudjuk-e menedzselni a teljes supply-ra a teljes adatéletciklust? ( archíválás, törlés, … ) – Van-e megfelelő biztonsági auditor, vannak minősítések? ( SOX, ISO, … )
  • 14. 14 Szolgáltatás ● Minden “beszállító” teljesíti-e ? – az elvárt SLA szintet – az információ biztonsági elvárásokat? ● Hogyan tudok erről meggyőződni? ● Honnan nyújtják fizikailag a szolgáltatást? A számomra előírt elvárások ebben a tekintetben teljesülnek-e? Tudja-e a szolgáltató garantálni az európai adatkezelést a teljes adatéletciklusra? – egészségügyi adatok – közigazgatási adatok
  • 15. 15 Bring-Your-Own-Device ● Hol a rendszerhatár? - Mit kontrollálunk, mit nem? ) ● 2faktoros authentikáció: az eszközt authentikáljuk a service-hez! ( Radius, Diameter ) ● Google Native Client ( új saját “VM” minden eszközre, blockchain technológiával )
  • 21. 21 Sérülékenység Kibersérülékenységek száma időben nem csökken! :) ● Mobil eszközök, BYOD ● Komplex szolgáltatások - Publikus micro service-ek, több támadható API ● Gyors deployment – continuous deployment (DevOps) – Tesztelés automatizálása és a code coverage nem jelenti, hogy valóban a teljes támadási vektortér tesztelt, sőt! ● SaaS Multi-tenant probléma: mennyire izoláltak a folyamatok, az adatok? ● PaaS: azonos hardveren tud futni a támadó és a célpont! ● IaaS: védett-e a belső hálózat, valóban csak a szükséges portok és kommunikáció lehetséges? A belső kommunikáció védett csatornán, titkosítva, … ? ● ÖSSZES EDDIG SÉRÜLÉKENYSÉG + MULTITENANT SÉRÜLÉKENYSÉGEK ● Viszont komoly biztonsági csapatok és eszközök
  • 22. 22 Hazai helyzet ● Hazai datacenter helyzet – 25,000 nm a teljes hazai “datacenter” infrastruktúra – Főleg Tier1 , és azon belül is a “salgó polc” – Jellemzően 0.5-1kW/m2 energiasűrűség ( ez a tizede a mai világátlagnak ) – Nem redundáns ( csak a cégek saját megoldásai ) ● Spoke-Hub infrastruktúra – Szerencsénk: Európa pontosan közepe vagyunk, ezért az Isztambul-Berlin optika itt megy át – ~1000km-enként kéne egy Hub, ami München után valahol itt kéne legyen, de nem biztos, hogy itt lesz ● Biztonságos jogi környezet és energiabiztonság kell := “Biztonságosabb kikötő” – Megfelelő kíbervédelmi képesség : nemzeti és szolgáltatói szinten
  • 23. 23 Jövő – együttműködés → elosztottság nő
  • 24. 24 Jövő – IoT, M2M, IoE, AI 1 2 3 4 5 6 7 8 10 9 1. A műholdas kommunikáció leállhat 2. Az épületek áramellátása megszűnhet 3. Az olajkitermelés leállhat 4. A vasúti jelzőrendszer meghibásodhat 5. Vízszennyezés történhet 6. Elektromos energiallátási problémák merülhetnek fel 7. Az üzleti kommunikáció megbénulása 8. Légkondícionáló rendszerek leállhatnak 9. Mobiltelefon hálózati hiba lehetséges 10. Gázellátási problémák jelentkezhetnek
  • 25. 25 Jövő – Felhő problémák ● IPv6, CoAP/DTLS ( TLS on Datagram ) – nincs endpoint menedzsment szabvány => csak PSK ( pre-shared-key ), vagy full PKI megoldás működhet – DTLS csak csatorna titkosítás, nincs szabványos hiteles üzenet küldés: aláírás/titkosítás hiányzik ● IPv6 routing megbízhatatlansága ( itt még elméleti problémák is vannak ) ● IPv6 és Smart Object session kezelés ● Smart Objects interoperabilitása – bár van IPSO alliance, nem implementálják a draftokat ● Big Data privacy implementálása
  • 26. Köszönöm a figyelmet! Nagymajtényi Gábor Üzletfejlesztési Igazgató Cyber Services Zrt.