Je internetbanking bezpečný?

V nedávném příspěvku jsme srovnávali smartbanking a internetbanking, ve kterém z pohledu bezpečnosti vyšel hůře internetbanking.

Hlavní důvod byl ten, že malware stažený při surfování zcela ovládne prohlížeč internetu, a dále pak, že je počítač často používán více osobami, které surfují pod privilegovanými účty, používají děravý SW a antivirus škodlivý kód nedetekuje.

Štítky: ,
celý článek

Je smartbanking bezpečný?

V nedávném příspěvku jsme srovnávali smartbanking a internetbanking, ve kterém z pohledu bezpečnosti vyšel lépe smartbanking.

Hlavní důvod byl ten, že malware stažený při surfování zcela ovládne prohlížeč internetu, zatímco na smartphonu si malware musí uživatel sám nainstalovat, nejčastěji jako trojského koně spolu s nějakou aplikací, ovšem ten nemůže ovládnout jinou aplikaci, neboť běží v sandboxu.

Štítky: ,
celý článek

Bezpečnost webových aplikací a vícevrstvá architektura

Cílem tohoto příspěvku je navrhnout taková bezpečnostní opatření, která minimalizují riziko průniku do systému a možné narušení důvěrnosti, integrity a dostupnosti.

Je zřejmé, že budeme usilovat o tzv. security in depth přístup, protože jedině tak lze zajistit, že i v okamžiku, kdy jedno bezpečností opatření selže, tak další opatření v řadě úspěšnému průniku zabrání. Vzhledem k tomu, že útok může být veden jak z venku, tak i zevnitř organizace, musíme navrhnout taková opatření, která budou skutečně účinná.

Štítky:
celý článek

DLP: K únikům informací bude docházet stále častěji

K únikům a krádežím informací dochází dnes a denně a to po celém světě. Úniky a krádeže dat se však netýkají jen velkých korporací, ale často i menších firem.

Přibližně 80% úniků informací je způsobeno z nedbalosti, zbývajících 20% pak je provedeno úmyslně. Z těch úmyslných je pak více jak 90% způsobeno samotnými zaměstnanci, a méně než 10% je realizováno na zakázku. Skutečný počet úniků informací však samozřejmě není znám, protože organizace, kterým data unikla, se snaží tuto skutečnost ututlat a na veřejnost se dostanou jen případy, které tvoří onu pověstnou špičku ledovce.

Štítky:
celý článek

Data Leak Awards

Dne 17. 4. 2013 byly v prostorách pražského divadla Karlín slavnostně vyhlášeny výsledky soutěže Data Leak Awards, a uděleny anticeny organizacím v České republice i v zahraničí, kterých se únik informací týkal.

Hlavním důvodem pořádání této soutěže, která by měla probíhat každý rok, je snaha upozornit na nejčastější příčiny, které k úniku citlivých informací vedou a jak těmto incidentům předcházet.

Štítky:
celý článek

Antimalware řešení, které odhalí i nový malware

Je zřejmé, že tradiční ochrana před škodlivým kódem není moc spolehlivá a ani včasná aktualizace veškerého SW, který se na vašem počítači nachází, nestačí.

Antimalware založený jen na signaturách, blacklikstech nebo prostě definicích vzorků škodlivých kódů, proti kterým se kontrola provádí, spoléhají na to, že aktualizace se k uživateli daného produktu dostane dřív, než samotný škodlivý kód. Problém je, že tomu tak být nemusí.

Štítky:
celý článek

Jak se kradou citlivé informace: VulVA model

Následující model zachycuje, jakým způsobem dochází ke krádeži informací, a jakou roli v tom hrají nezabezpečené počítače.

Při návrhu modelu jsme vycházeli z předpokladu, že vždy musí existovat nějaká zranitelnost (VULnerability), oběť (Victim) a samozřejmě útočník (Attacker). Proto jsme tento model nazvali VulVA.

Štítky:
celý článek

Strategie informační bezpečnosti

Strategie informační bezpečnosti (Information Security Strategy, zkr. ISS) by měla vycházet z business strategie a regulatorních požadavků.

Při návrhu optimální strategie informační bezpečnosti byste měli vzít v úvahu vnější i vnitřní prostředí, ve kterém se core business společnosti odehrává, protože zde vznikají rizika, kterým musí společnost, pokud chce být na trhu dlouhodobě úspěšná, čelit. Cílem strategie informační bezpečnosti je pak zcela logicky minimalizace těchto rizik, a to na úroveň, která je pro vedení společnosti akceptovatelná, respektive která odpovídá jeho postoji k riziku tzv. risk appetite.

Štítky:
celý článek

Cloud computing: Je lepší soukromý nebo veřejný cloud?

V jakém cloudu provozovat aplikace a sdílet data dostupná přes internet pro zaměstnance i externí spolupracovníky, v soukromém nebo veřejném?

Nepochybuji o tom, že vašemu rozhodnutí o tom, v jakém režimu budete danou službu provozovat, bude předcházet analýza rizik. Je zřejmé, že budete muset zvážit, kde je riziko napadení a úniku informací větší, a kde ho lze lépe zvládat.

Štítky:
celý článek

Malware: bankovní malware

Bankovní malware je škodlivý kód, který se na počítač klienta dostává mnoha různými způsoby, a jeho výsledkem je převod částky o určité výši na zcela jiný účet, zpravidla v jiné bance, z kterého je daná částka následně vybrána.

V zásadě existují dva základní způsoby, jak dochází k realizaci těchto neautorizovaných transakcí. Buď jsou prováděny ze zcela jiného počítače, anebo přímo z počítače napadeného klienta, a takových případů přibývá.

Štítky: , , ,
celý článek