Panda Adaptive Defense: biztonság, Common Criteria által minősítve

By | Pub | No Comments

Az EDR (Endpoint Detection and Response) végpontvédelmi megoldások közül egyedüliként a Panda Adaptive Defense kapott EAL2+ minősítést a Common Criteria (CC) keretrendszerén belül.

A Common Criteria a biztonsági rendszerek és termékek értékelésére kialakított kritériumrendszer. Létrehozásakor az volt a cél, hogy a létező biztonsági szabványok közötti műszaki és konceptuális különbségeket felszámolják, és egységes elvek alapján tudjanak értékelni. A Common Criteria az Egyesült Államok Nemzetbiztonsági Ügynökségétől (NSA) és szabványügyi intézetétől (NIST) származik, de mára kéttucatnyi ország – köztük Magyarország is – elfogadja a tanúsítványt, amely elfogadott nemzetközi szabvánnyá vált (ISO 15408).

 

Fókuszban a biztonsági cél

Ahhoz, hogy egy termék megkapja a Common Criteria tanúsítványát, egy független értékelő szervezettel tanúsíttatni kell. A tanúsítás folyamán – a besorolási szinttől függően egyre nagyobb szigorúsággal – azt ellenőrzik, hogy a termék specifikációja, tervezése, fejlesztése, majd tesztelése során betartották-e a lefektetett módszertani követelményeket, a folyamatok dokumentáltak, ellenőrzöttek és megismételhetőek voltak-e.

Minden értékelt megoldás, termék esetében igen lényeges az úgynevezett biztonsági cél (security target, ST). Ebben a dokumentumban a gyártó lefekteti, hogy megoldása milyen biztonsági funkciókat kíván ellátni, majd az értékelés csak ezekre a funkciókra terjed ki. Vagyis egy tűzfalat egészen más szempontok szerint vizsgálnak, mint egy autentikációs vagy éppen végpontvédelmi megoldást. Ugyanakkor az is elképzelhető, hogy azonos típusú termékek (például két tűzfal) nem pont ugyanolyan funkciókat jelölnek meg biztonsági célként. A CC-minősítés így egészen pontosan csak a gyártók által általában nyilvánosságra hozott ST-dokumentummal együtt értelmezhető.

A CC minősítés hét szintet különböztet meg, ezek az úgynevezett Evaluation Assurance Levelek (EAL). A legalacsonyabb az EAL1, amely azt állítja, hogy a termék funkcionálisan tesztelt. Az EAL2 szinten azt is igazolják, hogy a termék fejlesztése és tesztelése a biztonsági előírások és a legjobb gyakorlatok betartásával történt. Az EAL2+-ban lévő + jel azt jelzi, hogy a termék túl is teljesítette az adott szinthez megkövetelt minimális követelményeket.

 

Végpontok teljes védelemben

A Common Criteria alkalmas arra, hogy független és szabványos értékelés alapján mutassa be, mennyire megbízható biztonsági szempontból egy informatikai vagy információbiztonsági termék.

Éppen ezért számos országban előírás, hogy a közszféra csak olyan szoftvereket használhat, amelyet független, például CC tanúsítással is rendelkezik. Sok esetben a biztonságra érzékeny nagyfelhasználók, mint a Panda Security legnagyobb ügyfelei (bankok, távközlési társaságok) is megkövetelik a CC-tanúsítás meglétét.

A Panda Adaptive Defense 360 olyan végpontvédelmi megoldás, amely integrálja a megelőzést, detektálást, karanténozást és tisztítást, nyomelemző (forensic) analitikai eszközökkel, mindezt egy kis helyet foglaló agentben, felhőalapú infrastruktúrában. Egyetlen termékben egyesíti a végpontvédelmet (Endpoint Protection, EPP), valamint végponti detektálást és reagálást (Endpoint Detection & Response, EDR), miközben több száz paraméter alapján figyeli a végponti tevékenységeket.

Sőt, a többi megoldástól eltérően, két menedzselt szolgáltatást, a 100 százalékos hitelesítési és a Threat Hunting (fenyegetések felderítése és kivizsgálása) szolgáltatást foglalja magába. Ezek a szolgáltatások kiküszöbölik a rosszindulatú programok által okozott incidensek kockázatát, és felfedezik a hackerek által indított kártevőmentes támadásokat, legyen az külső vagy belső. E sajátosságnak köszönhető, hogy ez az egyetlen, a Common Criteria által tanúsított, EDR védelmi megoldás.

IT-biztonság nem csak a nagyoknak jár

By | Pub | No Comments

Mindenkit érint az IT-biztonság. Vagy azért, mert volt már áldozat (még ha esetleg nem is tud róla), vagy ezután éri valamilyen támadás, incidens. Védekezni tehát muszáj, de a konkrét módszerekkel kapcsolatban sok még a kérdőjel, különösen a kisebb vállalkozások körében.

Az információbiztonsággal kapcsolatos egyik nagy kérdés éppen az, hogy mennyit is kellene költeni információbiztonságra. Egzakt választ nem lehet adni, mert mindig lehetne a ténylegesnél több pénzt fordítani a védelemre, és hiába veszi meg a legmodernebb eszközöket, mire üzembe helyezi őket, azok már nem is a legmodernebbek. „Ezért inkább azt tanácsoljuk: annyit költsenek, hogy az IT-biztonsági kollégák nyugodtan alhassanak” – érzékeltette a helyzet képlékeny voltát Papp László, a Gartner hazai képviseletének vezetője a júniusi ITB Clubon tartott előadásában.

 

Gondok mindkét oldalon

Sem az IT-biztonsági ipar szereplői, sem a felhasználók nincsenek könnyű helyzetben – tette hozzá Gölcz Dénes, a Panda Security Hungary ügyvezető igazgatója. A védelmi rendszerek gyártóinak szembe kell nézni, hogy egyre több az olyan támadás (nulladik napi vagy file nélküli), amit a hagyományos eszközökkel nem lehet kiszűrni, és ezek gyorsabban indulnak el, mint ahogy a cégek reagálni tudnának rá. A sérülékenységek száma sem csökken: becslések szerint 100 ezer(!) szoftver tartalmazhat még fel nem tárt – ezért aztán sikeresen kihasználható – hibát. Komoly probléma a szakemberhiány, és nemcsak Magyarországon, hanem a világon mindenütt, mert a képzés messze nem tud lépést tartani az igényekkel. Ehhez járul még az is, hogy a védendő rendszerek is mind komplexebbek, a vállalatok pedig egyre nagyobb mértékben függnek az informatikától.

 

Gölcz Dénes, Panda Security Hungary

 

Még inkább gondokkal küzdenek a felhasználók. Információhiányban szenvednek, a régi, megszokott védekezési technológiákat és módszereket alkalmazzák. Sokan még mindig a vírusirtónál ragadtak le, miközben a hagyományos végpontvédelem alapelvei nem sokat változtak az elmúlt 20-30 évben. Számos vállalat rugalmatlanul áll hozzá az információbiztonsághoz, lassan reagálnak az új kihívásokra, sokára hozzák meg a szükséges döntéseket – ehhez persze hozzájárul a már említett információhiány, illetve a rájuk is jellemző szakemberhiány.

Komoly hiányosságok mutatkoznak a biztonsággal kapcsolatos szervezeti és belső szabályozási kérdésekben. Gölcz Dénes szerint a GDPR egyik pozitív hozadéka lehet, hogy a cégek többé nem vehetik annyira komolytalanul az IT-biztonságot, mint tették eddig, és igenis el kell fogadni, hogy a számviteli, jogi és egyéb megfelelőségi kötelezettségek mellett megjelennek az IT-biztonsági kötelezettségek is. És a kicsik sem tehetik meg, hogy figyelmen kívül hagyják a biztonságot – számtalan példa volt arra, hogy a nagyvállalati rendszerekbe az alvállalkozóján keresztül törtek be. Végül pedig az informatika szerepe és használati módja is erősen megváltozott. Keverednek a céges és magánhasználatú eszközök, a céges és magánadatok, terjed az otthoni munkavégzés – egyre kevésbé egyértelmű, hogy hol és mit kell megvédeni.

A Gartner szerint…
• 2022-re az üzleti kockázatok értékelésében a kiberbiztonsági minősítés ugyanolyan fontos szempont lesz, mint a hitelminősítés.• 2021-re legalább egy olyan vállalat lesz, amely nyilvánosan elismeri, hogy 1 milliárd dollár bevételkiesést okozott neki valamilyen kártékony program támadása.

• 2020-ra az M&A folyamatok 60 százalékában a kiberbiztonság vizsgálata kritikus elem lesz.

• 2020-ban a nemzeti hatóságoknak Nagy Britanniában és az USA-ban lesz központi nyilvántartása a biztonsági sérülésekről és információs kiszivárgásokról.

 

Válogatott módszerekkel

Ilyen helyzetben nagyon nem mindegy, hogy a szerteágazó IT-védelmi megoldások közül mire költ a vállalat. A Gartner ötféle módszert különböztet meg a védekezésben, annak helyétől és időbeliségétől függően. Védekezni lehet a végpontokon, a terhelésnél és a hálózatban, mindezeket pedig meg lehet tenni valós vagy közel valós időben, illetve utólag elemezve. A valós idejű védekezési módok között van a hálózati forgalom elemzése, a forgalomfelügyelet, illetve a végpontviselkedés elemzése, a „post mortem” körébe pedig a hálózat és a végpontok felülvizsgálata tartozik. (Azért van csak öt módszer, mert a forgalmat csak valós időben lehet figyelni.)

 

Papp László, Gartner

 

A probléma abban áll, hogy mind az öt módszert gyakorlatilag lehetetlen alkalmazni, mert az óriási erőforrásokat emésztene fel. A IT-biztonsági stratégiának a cég meglévő infrastruktúrájára és alkalmazás-portfóliójára alapozva ki kell választania, hogy hol akarja a vállalat kiépíteni a védelmi vonalait, az öt módszer közül milyen konfigurációban választ legfeljebb kettőt-hármat. Megoldás lehet például a valós idejű forgalomfelügyelet és a végpontok vagy a hálózat utólagos felülvizsgálata, esetleg csak a hálózat védelme – említett néhány lehetséges példát Papp László. A jövőre való felkészülés azonban nem állhat a pusta védekezésből, a jelen biztonsági problémáinak megoldásából. Az előrelátó szervezeteknek van néhány közös jellemzőjük. A Gartner a kutatásai alapján ezek közé sorolja, hogy az üzleti, stratégiai döntések előkészítésében az IT-biztonsági szempontok is megjelennek, mert a döntéshozók rájöttek, hogy a biztonságnak jelentős hatása van az üzleti célok elérésére, a vállalat megítélésére. Egy másik, hogy a cég jó előre felkészül a jogi és szabályozási környezetnek a tevékenységét alapvetően befolyásoló változásaira. Jó példa erre a GDPR, amely két éves átmeneti időszak után lépett életbe, a vállalkozások döntő többsége mégis csak az utolsó hónapokban kezdett kapkodni, hogy megfeleljen az előírásoknak. A proaktív cégek a felhőszolgáltatásokat és a mesterséges intelligenciát is felhasználják az információbiztonság növelésére. Végül pedig a biztonsági megoldások kiválasztásánál tekintettel van a geopolitikai szempontokra (milyen nemzetiségű és mennyire monopolhelyzetben lévő cégtől vásárol eszközöket, szolgáltatásokat, milyen régiókkal áll üzleti kapcsolatban).

 

Pénzgyár
A globális kiberbűnözésből egy év alatt származó bevétel eléri az 1500 milliárd dollárt – idézte egy amerikai kutató megállapítását Gölcz Dénes. Ennek túlnyomó részét (860 milliárd dollárt) a tiltott, illegális online piacok termelik meg, másik 500 milliárdra pedig a szellemi tulajdon ellopásából tesznek szert a bűnözők. De az ellopott adatok kereskedelméből is befolyik évente 160 milliárd dollár – márpedig ellopható és értékesíthető adatok minden magánszemélynél is kisvállalkozásnál vannak. Ezekhez képest aprópénznek tűnik az az 1 milliárd dollár, amit a zsarolóvírusok termelnek meg. Ugyancsak kisebb összeg, viszont veszélyes tendenciát jelez, hogy a szolgáltatásként kínált kiberbűnözői eszköztár (crimeware-as-a-service) forgalma is elérte az 1,6 milliárd dollárt.Egy-egy globális vállalatnál az okozott kár nagysága már több száz millió dollárt is elérheti. Magyarországról nincsenek pontos számok, de a Panda Security gyakorlatilag minden szegmensben és cégméretben találkozott áldozatokkal, és a károk itthon is jelentősek lehetnek – ha egy támadás miatt egy online áruház a karácsony előtti szezonban három-négy napig nem tudja kiszolgálni vevőit, az egész évi nyereségének búcsút inthet.

 

Kisebbségben a tudatosság

Az ITB Club résztvevői között egyetértés volt abban, hogy Magyarországon (de Papp László szerint külföldön is) elenyésző kisebbségben vannak azok a vállalatok, amelyek valamennyire is tudatosan kezelik az információbiztonságot, a fent említett előrelátás pedig nagyon kevés cégre jellemző. Tapasztalatai alapján Gölcz Dénes is úgy látja, hogy a kkv-k rendszerint csak akkor ébrednek tudatára saját fenyegetettségüknek (és kezdik komolyabban venni a védekezést), amikor már megtörtént a baj. A tavalyi nagy zsarolóvírus-hullám arra legalább jó volt, hogy ráirányítsa a figyelmet az ilyen típusú fenyegetettségekre és az adatvesztések veszélyére, és ennek köszönhetően már mind többen tesznek lépéseket a fokozottabb biztonság felé.

Több tanáccsal is szolgáltak a magyar kkv-knak a klub résztvevői. Egyrészt be kellene látniuk, hogy az IT-biztonság alapvetően már nemcsak az informatika, hanem a vállalat egész üzletmenetének biztonságáról szól, mondta Papp László. Ha egy kibertámadás miatt akár csak egy-két napra leáll egy gyártóüzem, az óriási közvetlen (termeléskiesés) és közvetett (partnerbizalom) tud okozni. Szoftverfejlesztőknél és -szolgáltatóknál pedig kimondottal piacvesztéshez vezethet egy-egy komolyabb incidens. Különösen oda kell figyelni a ma rohamtempóban terjedő IoT-technológiákra és -eszközökre, ezeket ugyanis biztonsági szempontból senki nem minősíti; emiatt gyakran egészen banális biztonsági rések maradnak bennük. Növelni kell a dolgozók biztonságtudatosságát is, amelyhez sokféle háttéranyag áll rendelkezésre. Az NJSZT honlapján elérhető és ingyenesen letölthető IT-biztonsági kézikönyvnek például július végén jelenik meg a frissített kiadása, árulta el lapunknak Alföldi István, a szervezet ügyvezető igazgatója.

 

Azt is be kellene látni, hogy az IT-biztonság nem az IT-üzemeltetési csapat feladata, azt külön kell kezelni. Mivel pedig a szakemberhiány aligha oldódik meg a közeljövőben, érdemesebb lehet (különösen a kisebb vállalkozásoknak) a szolgáltatásként (is) igénybe vehető biztonsági megoldások felé fordulni, azt pedig el kell fogadni, hogy a jó szolgáltatást, a hatékony védelmet nem adják olcsón. A jó termék/szolgáltatás kombináció kis infrastruktúrát igényel, könnyen üzemeltethető, nagy hangsúlyt fektet a megelőzésre, leveszi a terheket a felhasználó válláról (például kiszűri a hamis riasztásokat), ugyanazt kínálja a kisebb és nagyobb vállalatoknak, és a hatékonyabb, gyorsabb reagálás érdekében mindinkább alkalmazza a mesterséges intelligencia technológiákat – sorolta az ismérveket Gölcz Dénes.

Felmerülhet persze a kérdés, hogy melyik szolgáltatóban bízhat meg a vállalat. Erre egyelőre nehéz választ adni, biztosan számtalan szolgáltató jelenik meg a piacon, de a rosszabbak, gyengébbek előbb-utóbb kihullanak a piacról. A vállalatok és szolgáltatók független biztonsági minősítésére pedig hamarosan kialakulnak azok a módszerek és szolgáltatások, amelyek a hitelminősítésben már jó ideje jelen vannak, sőt, a szereplők is hasonlók lehetnek (hitelminősítők, Big Four), tette hozzá Papp László.

 

forrás: IT Business

A zsarolóvírusok sikeremég mindig töretlen 

By | Pub | No Comments

Nagyszabású zsarolóvírus támadások az elmúlt hónapokban is történtek. Az egyre kifinomultabb verzióknak köszönhetően – olyanoknak, mint az egyik legutóbbi változat, a Synack – szinte minden országban szedik áldozataikat, és így globális fenyegetéssé váltak. Miért ilyen sikeresek és hogyan lehet őket elkerülni?

A számok önmagukért beszélnek: az okozott kár 2017-ben körülbelül 5 milliárd dollár volt, ami 350%-os növekedést jelent az előző évhez képest, így nem csak a leginkább kifinomult kibertámadásról van szó, hanem a legnagyobb hatásúról is. Ráadásul a zsarolóvírusok sikere még mindig töretlen, és ez mindaddig nagy valószínűséggel folytatódik, amíg az áldozatok továbbra is kifizetik a váltságdíjat.

Napjainkban tehát, ez még mindig egy olyan fenyegetés, amely folyamatosan fejlődik, a hackerek számára rendelkezésre álló számos variációnak és fertőzési technikának köszönhetően. Továbbra is egy jól kifizetődő bűnözési taktikának minősül, amelybe érdemes erőforrást invesztálniuk, hiszen busás jövedelmet biztosít, mindezt alacsony lebukási veszély mellett. Emellé jön még az is, hogy rendkívül nagy számban állnak rendelkezésre a lehetséges célpontok: az egyéni felhasználóktól a nagyvállalatokig rengeteg lehetőség kínálkozik.

Tanácsok zsarolóvírus elkerüléséhez:

Győződjön meg róla, hogy az alkalmazottak felhasználói fiókjai erős jelszóval védettek, és nem rendelkeznek rendszergazdai jogosultságokkal.
Ne nyisson meg e-maileket ismeretlen feladóktól, e-mail címekről, főleg, ha kifejezetten arra utalnak. A legjobb, ha azonnal töröli ezeket, és semmilyen körülmények között ne válaszoljon rájuk!
Ne bízzon a rövidített linkekben vagy mellékletekben, még akkor sem, ha megbízható kapcsolattól származnak!
Rendszeresen készítsen biztonsági másolatokat az adatok elvesztésének elkerülése érdekében!
A lehetséges biztonsági rések felderítése érdekében készítse el, majd hajtsa is végre az auditálási tervet (amelyet egy erre kijelölt belső ellenőrzési csoport, vagy harmadik fél végez), mind a szervezet rendszereire, mind a szabályozásaira vonatkozóan.
Invesztáljon olyan erőforrásokba, amelyek növelik a felhasználók képzettségét és tudatosságát az informatikai biztonság területén, különösen az olyan típusú fenyegetések tekintetében, mint a zsarolóvírus.
A többszintű biztonság fontossága: tekintettel az olyan jelenlegi fenyegetésekre, mint a zsarolóprogramok, az alapvető védelem már nem elegendő. A maximális védelem érdekében rendkívül ajánlott olyan összetett, többplatformos eszközök használata, mint például a Panda Adaptive Defense 360.

Angol nyelvű, bővebb tájékoztató anyagunk a témában innen letölthető:

https://www.pandasecurity.com/mediacenter/src/uploads/2018/07/Whitepaper-rasomwareEN.pdf

Az Európai Parlament megerősített kibervédelem alkalmazására szólít fel Európában

By | Pub | No Comments

Az Európai Parlament megerősített kibervédelem alkalmazására szólít fel Európában 

Az Európai Parlament állásfoglalást fogadott el, amelyben felszólítja a tagállamokat, hogy erősítsék meg védelmüket az állami és nem állami szereplők kibertámadásai ellen. 

Az A8-0189/2018 számú indítvány, melyet 476 igen szavazattal, 151 ellenszavazattal és 36 tartózkodással fogadtak el, a kiberbűnözéssel foglalkozik az Európai Unióban. Megállapítja, hogy az Unió és tagállamai a politikai indíttatású, államilag támogatott kibertámadások, valamint a kiberbűnözés és terrorizmus formájában korábban soha nem tapasztalt fenyegetéssel néznek szembe. 

Ez az oka annak, hogy az indítvány elismeri az intézmények és vállalatok kulcsszerepét a kiberbiztonsági incidensek megelőzésében, felderítésében, feltartóztatásában és a rájuk való reagálásban, valamint az innováció ösztönzésében és az európai kibervédelmi stratégia kifejlesztésében. 

Felszólítja továbbá a kormányzati szervezeteket és az európai üzleti struktúrát, hogy végezze el a számítógépek, az informatikai infrastruktúra, a kommunikáció és a rosszindulatú vagy potenciálisan veszélyes programok rendszerekre telepítésének átfogó felülvizsgálatát azzal a céllal, hogy felszámolják az üzleti biztonsági kockázatokat és általában a kockázatokat, nemzeti és európai szinten. 

Kiberháború 

Bár az állásfoglalás nem kötelező érvényű, minden tagállamot felszólít az intézkedések megtételére, és precedenst teremt a csalás elleni küzdelemre. Egy újfajta hadviselésnek vagyunk tanúi, láthatjuk, hogyan válik a kiberháború a vagyon egyik államból a másikba történő átvitelének talán leggyorsabb módjává. 

„Ha biztonságról van szó, az államok kulcsfontosságú szerepet játszanak a közeljövőben. Nem véletlen, hogy az Egyesült Államokban, Kínában vagy Oroszországban vannak olyan technológiai vállalatok, amelyek digitális tevékenységünk minden rétegét lefedik, mivel ezek alkotják a mai gazdaság gerincét. Ebben a forgatókönyvben Európa lemaradóban van “- jelentette ki José Sancho, a Panda Security elnöke. 

Megbízható megoldások, összhangban az európai jogszabályokkal és a felelős adatkezeléssel 

Egy olyan összefüggésben, ahol a digitális átalakulás egyre több szoftver és adat használatát jelenti, a támadófelület is exponenciálisan megnőtt, és ez szinte ugyanolyan sebességgel kényszerítette mind a köz-, mind a magánintézményeket az általuk kezelt adatokkal való körültekintő bánásmódra és arra, hogy olyan megbízható megoldásokkal és szolgáltatásokkal erősítsék meg rendszereiket, amelyek összhangban vannak az új szabályozással és felelősen bánnak az adatokkal. 

Ebben a megvilágításban lett a Panda Security az EDR rendszerek vezető európai gyártója. Európai technológia, európai részvényesek és európai központok: ezek hitelesítették a Pandát legmagasabb elvárásokkal rendelkező szervezetek mindegyike előtt. 

Mindez a kiberbiztonsági modell látnoki koncepciójával (Gartner Magic Quadrant értékelés, Visionary kategória) egyetemben tette méltóvá a Pandát a Common Criteria EAL2 tanúsítványára, valamint a Nemzeti Kriptológiai Központ „Hitelesített IT-biztonsági termék” minősítésére. A Panda Adaptive Defense az egyetlen EDR eszköz, amely ilyen tanúsítványokkal rendelkezik. 

A Panda Security a vezető európai EDR-gyártó cég, kizárólag európai részvényesekkel, központokkal, technológiával és felhőplatformmal. 

Tanúsítványok az európai közigazgatásban való munkához 

A Panda Adaptive Defense az egyetlen eszköz, amely rendelkezik a „Common Criteria EAL2” tanúsítványával, a Nemzeti Kriptológiai Központ „Hitelesített IT-biztonsági termék” minősítésével és a „High ENS” (Nemzetbiztonsági keretrendszer) besorolással. Így teljes mértékben összhangban van az Európai Parlament által megszavazott ajánlásokkal. 

A Panda Adaptive Defense 360 az egyetlen olyan fejlett kibervédelmi megoldás, amely egyesíti a megelőzés (végpontvédelem), észlelés, blokkolás és reagálás (Endpoint Detection and Response: EDR) képességét, és az összes munkaállomáson és szerveren futó program 100%-os hitelesítési szolgáltatását, mindezt a fenyegetések proaktív keresése (Threat Hunting and Investigation) mellett. 

Ezen megoldások és szolgáltatások kombinációja kiküszöböli a kiberbiztonsági incidensek kockázatát. Védelmet nyújt a kártevőszoftverek, a fájlnélküli támadások, hackerek és külső vagy belső támadók által indított kártevő nélküli támadások és az ismert vagy teljesen ismeretlen nulladik napi támadások ellen. Mindezt felhőszolgáltatással, egy egyedülálló és pillekönnyű felületen keresztül, melynek üzemeltetése nem igényel bonyolult infrastruktúrát.  

Common Criteria biztonsági tanúsítványt kapott a Panda Adaptive Defense

By | Pub | No Comments

 

A Panda fejlett kibervédelmi megoldása, az Adaptive Defense az egyetlen EDR-technológiás (Endpoint Detection and Response) védelmi eszköz, amely EAL2+ minősítésű értékelést kapott a Common Criteria sztenderd szerint – (BOE).

A Common Criteria for Information Technology Security Evaluation (azaz az információtechnológiai biztonsági értékelés közös kritériumrendszere, röviden: CC) egy, az Amerikai Egyesült Államok Nemzetbiztonsági Ügynöksége és Nemzeti Szabványügyi és Technológiai Intézete és 24 másik ország hasonló szervei által felállított kritériumrendszer. Azért dolgozták ki, hogy áthidalja a biztonsági rendszerek és termékek értékelésére vonatkozó jelenlegi szabványok közötti technikai és fogalmi különbségeket. A CC minősítése a kiterjedt tesztelés mellett megköveteli az adott termék tervezésének és fejlesztési metodológiájának mélységi elemzését. A közös kritériumrendszert jelenleg a következő országok fogadják el: Egyesült Államok, Kanada, Ausztrália, Új-Zéland, Ausztria, Csehország, Dánia, Finnország, Franciaország, Németország, Görögország, Magyarország, India, Izrael, Olaszország, Japán, Malajzia, Hollandia, Norvégia, Dél-Korea, Szingapúr, Spanyolország, Svédország, Törökország és az Egyesült Királyság.

A CC a nemzetközi közösség által széles körben elfogadott informatikai biztonság értékelésére vonatkozó kritériumok fejlesztésére irányuló erőfeszítések eredményét jeleníti meg. További információ elérhető a https://www.commoncriteriaportal.org weboldalon.

„Ez a minősítés ismételten bizonyítja a Panda Security és a Panda Adaptive Defense azon képességét, hogy bármilyen szervezetet megvédjen a CC által meghatározott és ellenőrzött maximális biztonsági szabványoknak való megfelelés garanciájával. Ez a tanúsítvány közvetlenül alkalmazható abban a 28 országban, amely tagja a kritériumrendszert világszerte elfogadó államok közösségének az Egyesült Államoktól Európán át Ázsiáig és Óceániáig” – mondta el Iratxe Vázquez, a Panda termékmarketing-menedzsere. A közös kritériumrendszer számos kormányzati szervnél minimális követelmény, ezen tanúsítvány birtokában pedig a Panda Security jó pozícióba került ahhoz, folytassa terjeszkedését a különböző kormányszervek számára nyújtott végpontvédelmi szolgáltatások terén. Mindezt olyan technológiával, amely az EAL2+ szintű tanúsítvány szigorú feltételrendszerének megfelel.

Miért érdemes a CC által tanúsított IT-terméket beszerezni?

A Common Criteria tanúsítványt világszerte, számos szektorban elismerik. Az ilyen minősítéssel ellátott termékek olyan kulcselemekkel rendelkeznek, amelyek révén kiemelkedően biztonságosak, hiszen egy független harmadik fél szigorú és jól meghatározott metódus alapján értékelte őket.

Bizonyos esetekben a CC végfelhasználói igény. Mind az USA államaiban mind Európában kormányzati szabályozások írják elő, hogy a közintézmények beszerzéseik esetében harmadik fél általi minősítést követeljenek meg, amik közül ez az egyik leggyakoribb.

Egyes iparágakban a CC a piacra lépés követelményeként jelenik meg, (IC, elektronikus okmányok) vagy különleges biztonsági biztosítékként követelik meg a tendereken (bankok, mobilszolgáltatók).

Szintjétől függően az értékelési követelmények tartalmazhatják:

  • Termékértékelés: kockázatok, sebezhetőségek enyhítése.
  • A fejlesztői tervezés értékelése: a fejlesztési folyamat megbízhatóságának biztosítására fókuszálva.
  • Fejlesztési központ ellenőrzése: az ellátási lánc integritásának és titkosságának biztosítására fókuszálva.
  • A Common Criteria egy IT-termékbe fektetett bizalom demonstrálására is használható opciót ad, egyfajta piaci fémjel olyan termékeknél, mint a kereskedelmi szoftverek, SaaS, felhőtechnológiás platformok és hardverbiztonsági modulok

Nemzeti szinten jóváhagyott védelem

A spanyol Centro Criptológico Nacional a Panda Adaptive Defense szolgáltatását „minősített IT-biztonsági termék” pecséttel látta el, így csatlakozott azon szervezetek listájához, amelyek a Panda IT-biztonsági rendszerét magas nemzetbiztonsági szintű osztályba sorolták. A „Biztonság a gyakorlatban” kategóriában megszerzett minősítést a központot vezető államtitkár, Félix Sanz Roldán írta alá.

Panda Adaptive Defense-ről

A Panda Adaptive Defense 360 egy olyan végpontvédelmi megoldás, amely egy pillesúlyú kliensben és egy felhőszolgáltatásban egyesíti a megelőzést, detektálást és a reagálást. Egyedülálló termék, amely több száz paraméter alapján figyeli a végpont aktivitását, így egyesítve az EPP (védelmi) és az EDR (detektálás és válasz) képességeket.

Ezenfelül más eszközöktől eltérő módon, két menedzselt szolgáltatást is tartalmaz: a 100 százalékos hitelesítési és a Threat Hunting szolgálatot. E két szolgáltatás kiküszöböli bármilyen típusú rosszindulatú programból származó incidens kockázatát, valamint felderíti a hekkerek által indított kártevő nélküli támadásokat, mégpedig a külső és belső ellenséggel szemben egyaránt.

Ezen kivételes adottságok miatt ez az egyetlen CC által tanúsított EDR-technológiás megoldás.

A Panda Adaptive Defense Protection Agent 8.0-ás verziója az EAL2+ALC_FLR.1 értékelési szintet ért el. Ez az újgenerációs, felhőalapú elemzési képességekkel és kockázatelemzéssel rendelkező szoftver többek között a következő funkciókat tartalmazza, amelyeket egy akkreditált laboratórium (Applus+ Laboratories) tesztelt:

  • Az operációs rendszer feltérképezése, az alkalmazások által végzett összes művelet felügyelete.
  • Az egyes folyamatok által végrehajtott műveletekről készült napló elküldése a korrelációs rendszerbe, elmentve az alkalmazások és moduljaik osztályozásával kapcsolatos válaszokat.
  • A korrelációs rendszer válaszának használata az egyes alkalmazásokon végrehajtandó szükséges intézkedések meghatározásához.
  • Viselkedési szabályokon és az ismert kártevők adatbázisain alapuló döntéshozás az egyes alkalmazásokon végrehajtandó szükséges intézkedésekkel kapcsolatosan.
  • Az eredményes művelet végrehajtása a megfigyelt alkalmazáson: blokkolás, futtatás, megnyitás, a korábbi paraméterekre alapozva.
  • Az exploit-technikák felderítése és megakadályozása.
  • A rosszindulatú webhelyekhez való hozzáférés észlelése és megakadályozása.
  • Cserélhető eszközök felismerése, írásuk és olvasásuk engedélyezése vagy megakadályozása.
  • Az végrehajtott tevékenységgel kapcsolatos értesítések készítése.
  • Rosszindulatú folyamatokkal szembeni önvédelem.

A Panda Security a jtsec céggel működött együtt, amely a piac legelismertebb informatikai biztonsági szabványok szerinti termék- és rendszertanúsításokhoz kapcsolódó tanácsadási szolgáltatásokra szakosodott vállalat. (CC, FIPS 140-2, ISO 27001, ENS, SOC 2 stb.). Az informatikai ágazat és biztonsági laboratóriumok, különböző tanúsítási rendszerek terén széles körű tapasztalattal rendelkező, kiemelkedő szakembereiből álló csapat átfogó konzultációs szolgáltatást nyújt, optimalizálja a tanúsítási folyamatokat és segíti a CPSTIC katalógusba való bekerülést (a spanyol kriptológiai intézet által ajánlott termékek). Tudjon meg többet a Common Criteria vonatkozásában: https://www.jtsec.es/blog-entry/17/panda-adaptive-defense-obtains-the-common-criteria-certification

Fizetett belső ellenségek – mit vessünk be ellenük?

By | Pub | No Comments

Fizetett belső ellenségek – mit vessünk be ellenük?

 

Sok vállalatnál még mindig úgy gondolnak a kibervédelemre, mint profi hackerek elleni védekezésre. A cégvezetők fejében ilyenkor az amerikai sorozatokban látott kiberbűnöző képe jelenik meg, aki minimalista berendezésű, lesötétített lakásban él a macskájával, egyetlen fényforrását 3 számítógépe monitorai adják, állandóan ezek előtt ül sapkában és pizzát eszik. Furcsa ketyerék veszik körül, amiket maga forraszt, ilyenkor kékes füst száll fel a védőszemüveget viselő hekker feje fölött. Egyébként javában kalapálja a billentyűzetet és időnként felkiált: „Bent vagyok!”.

A valóság ennél kiábrándítóbb, hiszen a bosszúszomjas kirúgott alkalmazottak által vezetett belső támadások sokkal jellemzőbbek. A tettesek leggyakrabban megsértett munkavállalók, volt szerződéses partnerek vagy elbocsátott alkalmazottak. A legritkább esetben fizetett ügynökök. A belső ellenség pedig épp azért olyan veszélyes, mert a hagyományos védelmi megoldások nincsenek felkészülve ellene.

A Crowd Reseach adatai szerint a vállalatok 90 százalékát fenyegette már valamilyen belülről indított támadás, 53 százalékukat pedig az elmúlt egy évben is ért ilyen.

Egy ilyen valós fenyegetéstől tartani nem túlzott aggodalom vagy paranoia, hanem a kockázatok világos felismerése.

Változó szabályozás és a büntetés terhe
A terheket tovább fokozza, hogy az Európai Unió új adatvédelmi szabályozása, a GDPR, 2018. május 25-étől lép életbe. A törvényben foglalt kötelezettségek elmulasztása 20 millió euro vagy a vállalat bevételének 4%-át kitevő összeg is lehet.

A szabály szerint az egyik kitétel, hogy minden olyan történést jelenteni kell, amely európai uniós állampolgárok személyes adatait érintheti, és a jelentésnek tartalmaznia kell azt is, hány polgár milyen adatai kerültek illetéktelen kezekbe vagy veszélybe. A vállalatoknak 72 órája van, hogy a hatóságokhoz forduljanak ilyen esetben.

Hogyan csökkenthetők a kockázatok?

Szerencsére rendelkezésre állnak olyan eszközök, amelyek képesek hatékonyan felvenni a harcot a külső és belső ellenséggel szemben is. Amikor a céges védelemről és az adatok biztonságáról döntünk érdemes újgenerációs védelmi technológiát használni, mert a legújabb támadások ellen a hagyományos módszerek már nem hatékonyak.

Létezik 100 százalékos védelem?

Létezik olyan védelem, ami a végponti rendszerfolyamatok 100 százalékát figyeli, ezeket viselkedésük alapján osztályozza, így képes még a károkozás előtt megállítani az adathalász, zsarolóvírus és kártevő nélküli támadásokat. Ez a Panda Security-től Adaptive Defense 360, amely az alkalmazott EDR technológiával és a menedzselt szolgáltatásával a legkorszerűbb védelmet nyújtja a vállalkozásoknak, minden cégméretre.

A Gartner független tanácsadó előrjelzései szerint az EDR technológia nagy jövő előtt áll, 2020-ra a nagyvállallatok közel 80 %-a fogja ezt a megoldást használni. A Panda Security EDR megoldása az Adaptive Defense 360 is egyre több cég adatait védi. A megoldás hatékonyságát bizonyítja, hogy a megfelelő beállítások mellett, eddig egy zsarolóvírus támadás sem ért célba az ezt használó felhasználóknál.

Hogyan követhető mi történik a számítógépeken?

Az Adaptive Defense beépített modulja az Advanced Reporting Tool segíthet ebben, mert létfontosságú adatokat és értékes információkat szolgáltat az IT-biztonsági szakemberek és a cégvezetés számára.

Ez a modul nemcsak folyamatosan figyeli és naplózza, hogy mi történik a végponti rendszereken és a hálózaton, de szükség esetén riasztásokat is küld az illetékeseknek. Mit jelent ez pontosabban? A modul feltérképezi az alkalmazások használatát: melyik felhasználó mikor és mely fájlokhoz fért hozzá, mit nyitott meg, milyen internetforgalmat generáltak a programok.

Így nem marad rejtve sem a tiltott torrentezés, sem ha éppen egy Észak-Koreai szerverre FTP-szerverre csatlakozik valaki és másolja rá az ügyfelek adatait, de az sem, ha éppen belülről nyit kaput a vele összejátszó hackernek. A modul képes rögzíteni, hogy mely portokon keresztül, milyen protokollon, mennyi adatot és hová küldenek a végpontok a hálózaton. Monitorozza nemcsak a letöltéseket – akár a felhasználó indította, akár a háttérben indultak el azok –, de követi azt is, mely országokba küld adatokat a végpont. Így nemcsak rögzíti a történéseket, így segítséget nyújt a végponti incidensek utólagos felderítésében, de támadás esetén riaszt is. Így nemcsak megelőzni segít a bajt, de akkor is segíthet a riportálásban, az események lekövetésében, ha megtörténik a legrosszabb és a bűnözők sikeresen ellopják tőlünk az adatokat,

Már a weboldalak is kriptopénzt bányásztatnak Veled. De mit tud ez ellen tenni az EDR?

By | Pub | No Comments

A kis és közepes cégek működése is egyre jobban függ az informatikai rendszerektől, a legtöbb esetben mégsem használnak  újgenerációs támadások elleni hatékony megoldásokat. A számítógépek fenyegetettsége napról napra növekszik, és egyben a kockázat is, mert egy esetleges leállás komoly anyagi károkat okozhat. Akár többnapi bevétel kiesést is jelenthet.

Hogyan kaphat magasfokú biztonságot akár egy kis vagy közepes vállalkozás?

A hagyományos vírusvédelmi megoldások nem nyújtanak védelmet, hiszen azok szignatúra alapúak. Ezek csak akkor tudnak beavatkozni, ha általuk már ismert vírusról van szó, de nem vizsgálják a programok viselkedését.

A végpontokon már nem csak a vírusvédelemre kell fókuszálni, hanem megkell akadályozni, hogy a felhasználók, vagy rosszindulatú kódok megtudjanak nyitni veszélyes oldalakat. Meg kell vizsgálni, hogy az Office dokumentumok akarnak-e megnyitni DLL-eket, vagy más futtaható file-okat a számítógépünken, mert így lehet kártékony kódokat futtatni, vagy adatot lopni a cégünktől.

Sok webfejlesztő felismerte azt a lehetőséget, hogy a weboldalba ágyazott JAVA kódok futtatásával is lehet Bitmonerot bányászni, s ezzel szerezhetnek mellékes bevételt maguknak, például egy magyarországi webshop weboldalába be van ágyazva ez a lehetőség:

 

A fenti fenyegetettségek védelmére megjelent egy új termékkategória az úgynevezett endpoint detection and response (EDR, végponti felderítés és elhárítás). Ezek abból a széles körben elfogadott alapelvből indulnak ki, hogy a támadásokat megakadályozni szinte lehetetlen, ezért a hangsúlyt a minél gyorsabb felderítésre és reagálásra kell helyezni. Ezt teszi a Panda felhőalapú EDR megoldása, az Adaptive Defense is.

Működtetéséhez csak egy kis ágenst kell telepíteni a végpontokra, és az onnantól fogva folyamatosan figyeli, milyen alkalmazások, makrók, folyamatok indulnak el, illetve tartalmaz URL filtert, mellyel blokkolhatjuk a nem kívánt weboldalakat kategóriák szerint (pl.: malware és felnőtt tartalommal rendelkezőket).

A Panda Adaptive Defense 360 megoldásának használatához nem szükséges mély műszaki tudás, telepítése és konfigurációja egyszerű, továbbá magyar nyelvű support áll rendelkezésre.

További információk a szolgáltatásról

 

Kalmár István
IT Security divizió vezető
(Panor Informatikai Zrt. – Panda kiemelt partner)

Gartner Magic Quadrant: Panda Security, a Látnok

By | Pub | No Comments
 A Látnok kategóriába sorolta a végpontvédelmi platformokat vizsgáló Gartner Magic Quadrant a Panda Security-t. A jelentés a láthatóság teljességét és végrehajtás képességét alapul véve értékelt.

A Gartner szerint a „Látnokok” a legkorszerűbb funkciókat teszik elérhetővé, azokat melyek a leginkább jelentősek lesznek a szolgáltatások következő generációjában, és a vásárlók számára hozzáférést biztosítanak a fokozott biztonsághoz és annak menedzseléshez, ilyenek pl. a felhőalapú kezelés, menedzselt funkciók és szolgáltatások, a fejlett észlelési vagy védelmi képességek és az erőteljes incidens-válasz-munkafolyamatok. A Látnokok, azok, akik befolyásolhatják a technológiai fejlesztések folyamatát a piacon, de még nem bizonyították ennek következetes végrehajtását. Az ügyfelek a Látnokokat a legjobb szolgáltatások miatt választják.

Úgy véljük, a Gartner felismerte termékeink egyedülálló értékteremtő képességét és arra bátorítunk mindenkit, olvassa el a teljes jelentést!

A jelentés szerint az elmúlt 12 hónapban a végpontvédelmi megoldások (EPP) terén folytatódott az EDR-piacról ismert szolgáltatások átemelésének trendje, néhány hagyományosan vegytiszta EDR-szolgáltató bővítette eszközeit olyan védelmi képességekkel, amelyek leginkább az EPP-kben találhatók meg. Ez a két irányból építkező játékstílus a végzetet jelentette azon szolgáltatóknak, akiknek nem volt mivel megkülönböztetniük magukat a többiektől. Akiknek volt, azok mindezt az automatizálással és emberi elemzőkkel támogatott menedzselt szolgáltatással érik el; elsősorban felhőalapú kezelésre és riportálásra összpontosítva. Továbbá az IT operációs oldalának a fejlesztésével, a sebezhetőség elleni védelemre és a riportálásra koncentrálva; és legfőképpen mindenre kiterjedő védelmmel az EPP és az EDR alkalmazási területein, mindezt minden méretű szervezet számára elérhetővé téve.

Az Adaptive Defense a piacon elérhető egyetlen szolgáltatás, amely egyben kínálja egy klasszikus vírusirtó, egy spamszűrő és egy fejlett fenyegetések elleni eszköz teljes védelmét.

 

Ahogyan a Gartner Előrejelzés 2018: Biztonsági Eszközök című kutatási jelentésében áll: 2019-re a nagyvállalatok 45%-a az adatvesztés problémáját felhőbiztonsági eszközökre (CASB) támaszkodva, titkosítást használva és EDRM-technológiákat alkalmazva oldja majd meg.

„A Panda Security számára megtiszteltetés a Látnok elismerés a Gartner végpontvédelmi platformokról szóló Magic Quadrant részéről, mivel arra törekszünk, hogy ügyfeleinket a kártevőktől és kártevő nélküli támadásoktól egyaránt megvédjük és a végpontokon történő minden aktivitásra vonatkozó adatatot ismertté és könnyen feldolgozható adatbázissá tegyünk. Hiszünk abban, hogy ez az elismerés küldetésünk sikerének bizonyítéka, és alig várjuk, hogy új innovatív eszközöket és szolgáltatásokat hozzunk be a fejlett fenyegetések elleni védelem, azonosítás, felderítés és a fenyegetés-elhárítás terén mind a Panda Security mind a partnerei portfoliójába.”

– Juan Santamaria Uriarte vezérigazgató, Panda Security

Olvasd el a végpontvédelmi platformokról szóló 2018-as Magic Quadrant jelentést!

 

A Panda Security felhőalapú eszköze üzleti felhasználók részére

A Panda Adaptive Defense 360 a Panda Security felhőalapú eszköze, amely egyetlen könnyed kliensben kínálja a megelőző jellegű végpontvédelem, felderítés és elhárítás legmagasabb szintjét, drasztikusan csökkentve a mindenfajta kártevővel és kártevő nélküli támadással szembeni veszélyezettséget.

EDR-képességeit a végpontok, felhasználók, fájlok, folyamatok, rendszerleíró adatbázisok, memóriák és hálózatok teljes viselkedésalapú láthatóságának köszönhetően éri el. Mindezen EDR-képességeken felül még két egyedi szolgáltatást nyújt:

  1. A 100%-os Tanúsítási Szolgáltatást, amely az eddigi legmagasabb szintű megelőzést nyújtja, csupán azáltal, hogy kizárólag a Panda által valós időben jóváhagyott alkalmazások futtatását engedélyezi, ezzel megszabadítva az adminisztrátorokat a felelősség terhétől.
  2. A Threat Hunting and Investigation szolgáltatás, amely detektál, feltartóztat és elhárít minden fenyegetést, amely valamilyen módon képes volt átjutni a többi védelmen.

Mindez a Panda Adaptive Defense Felhőplatformon valósul meg, amely zökkenőmentes alkalmazást és kezelést tesz lehetővé minden végponton, a hálózaton belül és azon kívül, egy egyszerű kliens segítségével, miközben lecsökkenti a telepítés és futtatás összes költségét.

A Gartner A végpontvédelem újraértelmezése 2017-2018 című tanulmányában foglaltak szerint „a szervezeteknek különös figyelmet kell fordítaniuk az olyan eszközökre, amelyek menedzselt szolgáltatást nyújtanak (vagy pontosabban fogalmazva ’menedzselt funkciókat’), mint a threat hunting és a fájlok osztályozása –amelyek automatizálással és feldolgozással csökkentik az adminisztratív munkaterhelést, valamint azok, amelyek arra összpontosítanak, hogy beépített kontextusfüggő threat hunting asszisztensek, irányított elhárítóeszközökkel és egyszerűen érthető és használható felhasználói felületek segítségével csökkentsék a tudás és képesség korlátait.”

A Panda Security más EPP-szállítókkal egyetemben átment az AV-Comparatives független tesztjén, amelyen egyenletes 100%-os felderítési eredményt nyújtott 6 hónapon át.

Adaptive Defense

2018, az adatvédelem éve

By | Pub | No Comments

Évtizedeken keresztül az olaj számított a világmindenség legértékesebb árucikkének. Az apadó készletek és a társadalom tőle való függősége miatt ez az erőforrás megszámlálhatatlanul sok konfliktus középpontjában állt.

Mára a történet fordulatot vett, a fekete aranyat leváltotta az egyre inkább keresett digitális arany.

Azt mondják, az adat a huszonegyedik század kőolaja. A képesség, hogy az adatok által tudják, kik vagyunk, hatalmas erőt ad a vállalatoknak üzleti lehetőségeik megteremtéséhez. Az információval való visszaélés lehetősége természetesen aggodalmat gerjeszt a fogyasztók és törvényhozók körében. Ezek az aggodalmak arra késztetik a döntéshozókat, hogy egyre szigorúbb intézkedéseket foganatosítsanak a személyes adatok védelme területén, ez a folyamat pedig az idei évben éri el a csúcsát. 2018 az Adatvédelem Éve lesz.

Harc az adatok védelméért

A magánéletünk forog kockán. Az internet hatására a nyilvános és a személyes közötti határ minden eddiginél porózusabbá vált. Azonban az internethasználók egyre inkább tudatában vannak személyazonosságuk online védelmének fontosságának.

Ezt szem előtt tartva ünnepeljük az adatvédelem nemzetközi napját minden év január 28-án, hogy felhívjuk a figyelmet és propagáljuk az adatok védelmének fontosságát és a követendő adatvédelmi gyakorlatokat. A világnap célja, hogy megtanítsa a felhasználókat online személyazonosságuk védelmének elsődlegességére. Ugyancsak cél a vállalatok ösztönzése olyan technológiai megoldások bevezetésére, amelyek tiszteletben tartják a felhasználói adatvédelmet. A dátum nem véletlen: 1981-ben ezen a napon írták alá az Európa Tanács adatvédelmi konvencióját, amely az egyik úttörő dokumentumnak számít az adatvédelem területén.

Több adat, több felelősség

Jóllehet nagymennyiségű ügyféladat tárolása az üzleti lehetőségek megsokszorozódásával kecsegtet, nagyobb léptékű felelősséggel is jár. Az adatok védelméről szóló szabályozások szigorodása és a kibertámadások növekvő száma az adatvédelmi befektetések növelését teszik szükségessé. Az ügyféladatok és az alkalmazotti adatok kombinációja hatalmas nyomást helyez a biztonságra.

A globális újadat-termelés üteme exponenciálisan növekszik. Az IDC becslései szerint 2025-ben 163 ZB adattal kell számolni, ami a 2016-ban generált adatmennyiség tízszerese. Igen, nos, lássuk csak: ez 163 000 000 000 000 000 000 000 bájtnyi világ körül keringő információt jelent! Ráadásul, ahogy az IDC jelzi, a 2025-ben keletkező adatok 90%-a bizonyos fokú védelmet követel majd meg, de csak fele lesz valóban védett.

GDPR: négy betű, ami meghatározza 2018-at 

Május 25-ét már a világon minden biztonsági szakértő piros színnel karikázta be a naptárában. Ezen a napon az Európai Unió által előírt GDPR-megfelelési adaptációs időszaknak vége. Ez az elsődleges ok, amiért 2018-at az adatvédelem évének hívjuk.

Ehhez a ponthoz érve valószínűtlen, hogy lenne olyan, aki még nem találkozott ezzel a mozaikszóval, de azért vagyunk itt, hogy összefoglaljuk a szabályozás azon alapvető nézőpontjait, amelyek forradalmasítják a személyes adatok védelmét Európában és világszerte.

GDPR (General Data Protection Regulation, magyarul: általános adatvédelmi rendelet) célja az uniós állampolgárok személyes adatainak védelme és a vállalatok, intézmények adattárolási és felhasználási eljárásainak ellenőrzése. Mindez annak a változásnak az eredménye, amely a 80-as évek eleje óta a személyes adatok védelmének területén történt. A technológia gyors fejlődése miatt elévültek a korábbi szabályozástok, mely sürgette a GDPR megszületését. Ezen keretrendszer által kívánja az Európai Bizottság megszüntetni a korábbi (1995-ös adatvédelmi) irányelv kétértelműségeit és egységesíteni az egyes EU-tagországok specifikus jogszabályait.

Az a tény, hogy az EU által jóváhagyott egyedüli szabályozásról van szó, sok kérdést vetett föl a vállalatok körében, ezek közül is kiemelendő, hogy mi történik a nem EU-tagországbeli európai vállalatokkal? Ahogy azt korábbi posztunkban elmagyaráztuk, a GDPR hatálya székhelyre való tekintet nélkül kiterjed minden olyan vállalatra, amely EU-állampolgárok adatait kezeli. Ez a félreértelmezés azt eredményezte, hogy nagyon kevés olyan vállalat van, amely megfelelően felkészült a GDPR-re.

Az elmúlt hónapokban leszámoltunk más, a GDPR-t övező mítoszokkal is. Az egyik leginkább elterjedt az az állítás, amely szerint minden adatot kötelező titkosítani, hogy megfeleljünk a GDPR előírásainak. Egy másik: az a személyes adat, amely már most az adatbázisunkban szerepel, nem képezi a GDPR tárgyát. (Mindkettő hamis.)

A szabályozás oda-vissza ismerete az egyetlen módja annak, hogy megszegése elkerülhető legyen. Hogy egyszerűsítsük ezt a feladatot, kiemeltük az új szabályozás által hozott legfontosabb változásokat és ismertetünk olyan javaslatokat, amivel segítjük a felkészülést. A felkészületlenségből eredő kockázatok igen jelentősek: a bírságok akár 20 millió euróra is rúghatnak, nem beszélve a lehetséges reputációs és az ügyfelek elvesztéséből eredő károkról.

Tehát most nem annak van itt az ideje, hogy a babérjain pihenjen. Csupán négy hónapnyi közelségben attól, hogy a GDPR életbe lépjen, a magánélet és a személyes adatok védelme elsődleges üzleti prioritássá kell váljon. Létrehoztunk egy weboldalt, hogy eligazítsuk Önt a témában.

Ne várjon májusig!

 

GDPR: új zsarolási lehetőségek a kiberbűnözők előtt?

By | Pub | No Comments

 A GDPR korszakhatár az adatvédelemben: májustól a vállalati ügyfelek adatainak megóvása nemcsak etikai kötelesség, hanem törvényi előírás, aminek meg kell felelni. A kiberbűnözők pedig megpróbálnak majd hasznot húzni ebből is. Még magasabb váltságdíjak a túszul ejtett adatokért, választás a megabüntetések és a zsarolás között – a 2018-as esztendő a vállalatok elleni támadások éve lesz. De hogyan lehetne védekezni?

Az Európai Unió új adatvédelmi szabályozása, a GDPR (General Data Protection Regulation) 2018 májusában lép hatályba, az európai polgárok személyes adatait kezelő vállalatokkal szemben támasztott követelmények szigorúbbak lesznek. Ugyanez vonatkozik más szervezetekre és közintézményekre is. Nemrég írtunk az új szabályozás által hozott alapvető változásokról, valamint az azt övező és a médiában terjedőmítoszokról. Ez alkalommal azt elemezzük, hogyan tudnak a kiberbűnözők hasznot húzni az új szabályozásból.

A kiberzsarolás lehetőségei

A Crowd Research Partners kutatása szerint a szervezetek 30 százaléka nincs felkészülve a GDPR-nek való megfelelésre és jelentős változtatásokat kell eszközölnie a biztonsági politikák és technológiák terén. A vállalatoknak figyelembe kell venniük, hogy ez a szabályozás különös figyelmet szentel a cégek belső adatkezelésének, és az az ügyfelek adatainak nagyon alapos kezelését igényli. Ha a biztonsági eseményekről nem értesítik időben a hatóságokat, az súlyos bírságot eredményezhet. A GDPR-re való felkészülés során a szervezeteknek figyelembe kell venni azt is, milyen lehetőséget látnak mindebben a kiberbűnözők.

Hogyan fordíthatják a bűnözők előnyükre az új szabályozást? A legközvetlenebb út: még magasabb váltságdíjak követelése.

A GDPR megköveteli a szervezetektől, hogy alkalmazottaik és ügyfeleik adatait titkosan kezeljék. A személyes azonosításra alkalmas információkkal (PII) kapcsolatos visszaélések állnak az új keretrendszer középpontjában. Ha a kiberbűnözők rájönnek az információk értékére, lefoglalhatják azokat, a vállalatot pedig azzal fenyegethetik, hogy jelentik a biztonsági rést hatóságoknak. Ha zsarolásuk nem vezet eredményre és nem kapnak váltságdíjat, kiszivárogtatják az adatokat, a vállalat pedig kétszeresen is bajba kerül. Egyrészt az adatszivárgás miatt járó büntetés és az áldozatok által követelt kártérítések magukban is jelentősek lehetnek, másrészt a vállalat reputációját komoly kár érheti, főként amennyiben (ahogy az az Uber esetében történt) fény derül arra, hogy megpróbálták eltitkolni az adatok kiszivárgását. Így a vállalatok hajlanak majd a váltságdíj megfizetésére, aminek összege a büntetésnél jóval kisebb lehet: hiszen az több millió eurót is kóstálhat, amit pedig a legtöbb cég nem engedhet meg magának. Az a tény azonban, hogy semmilyen garancia nincs arra, hogy a hekkerek az adatokat visszaszolgáltatják, és nem próbálkoznak újabb zsarolással a jövőben, még mindig visszatarthatja a vállalatokat.

Az elfeledés joga és az értesítési kötelezettség

Az új szabályozás az elfeledés jogával ruházza fel az európai polgárokat. Ez azt jelenti, hogy a fogyasztónak joga van bármikor azt kérni egy vállalattól vagy más szervezettől, hogy törölje adatbázisából a róla tárolt adatokat. Ha nem tesznek eleget ennek a kérésnek, komoly következményekkel nézhetnek szembe. Például egy kiberbűnöző úgy zsarolhat ki pénzeket egy cégtől, hogy olyan információkat tartalmazó adatbázisokhoz szerez hozzáférést, amelyeket már törölni kellett volna.

Habár az értesítési kötelezettség egy biztonsági eseményről 72 órás határidőt ír elő onnantól kezdődően, hogy a vállalat tudomást szerez róla (és nem feltétlenül annak megtörténtétől számítva), a bejelentés időzített bomba lehet a cég számára. Ha kiszivárgott személyes adatok érintettek, a szervezeteknek dönteniük kell, hogy a váltságdíjat vagy a büntetést választják, a döntés halogatása pedig azt eredményezheti, hogy mindkettőt meg kell fizetniük.

A felkészülés, mint védelmi stratégia

Ahogy a kibervédelem trendjeiről készült anyagunkban rámutattunk, a 2018-as esztendő a vállalati támadások éve lesz. Ennek egyik oka maga a GDPR, és ez nem csupán annyit tesz, hogy számszerűen több támadással kell szembenéznünk: a vállalatok azon része, amely a GDPR hatályba lépését megelőzően mindent megtett, hogy az adatszivárgásokat titokban tartsa, most már törvényileg kötelező jelleggel nyilvánosságra kell hozza ezeket.

A legjobb válasz erre a helyzetre a megfelelő előkészületek megtétele és a védelem. Ezért készítettük el Felkészülési útmutató az új általános európai adatvédelmi szabályozáshoz című anyagunkat (angolul letölthető) az átmenet megkönnyítése érdekében, és azért, hogy segítsünk megérteni mindkét lehetőséget, és azokat a fenyegetéseket, amelyeket az új törvény hoz napvilágra. Azok a vállalatok, amelyek az Adaptive Defense védelmére támaszkodnak, előnyben vannak, mivel minden szükséges megelőző eszközzel rendelkeznek ahhoz, hogy megvédjék a céget – nem utolsó sorban az új Data Control modullal.

A GDPR az adatvédelemben egy korszak határát jelöli ki: 2018 májusától a vállalat ügyféladatainak megóvása immár nem csupán etikai kötelesség lesz, hanem törvényi előírás, aminek meg kell felelni.

 

Adatvédelem
Panda Security Hungary – 2018 Minden jog fenntartva