Hlavní téma: Bankovnictví, mobilní zařízení a autentizace.
VYŠLO: 17.6.2014
ROZHOVOR S KARLEM SOUKENÍKEM
[článek na str. 6]
Petr Hampl
Finanční a provozní ředitel české pobočky Sberbank hovoří o schvalování investic, metodách výpočtu business case a posuzování výdajů na informační bezpečnost. Komentuje připravovaný zákon o kybernetické bezpečnosti a zamýšlí se nad rolí možného lidského selhání při krádežích cenných dat. Část rozhovoru je věnována cloudu a otázce, zda přenesení citlivých dat k renomovanému poskytovateli se silným bezpečnostním týmem znamená nárůst rizik nebo jejich snížení.
ROZHOVOR S ALLANEM ANTEM
[článek na str. 10]
Petr Hampl
Vicepresident společnosti Gartner představuje model „informační bezpečnosti zaměřené na lidi“ jako protiklad k dosud převládající „informační bezpečnosti zaměřené na pravidla“. Hlavní část rozhovoru je věnována implementacím systémů pro řízení identit (IAM). Alan Ant uvádí hlavní chyby, které pozorování Gartner nejčastěji vedou k selháním takových projektů – důraz na technologii namísto procesů, snaha o příliš důslednou automatizaci a pokusy řešit pomocí IAM soulad s legislativou.
POLITIKA MOBILNÍCH ZAŘÍZENÍ
[článek na str. 12]
Lukáš Bláha, Martin Tobolka
Text v úvodu vymezuje, jaká zařízení by měla být politikou mobilních zařízení pokryta. Dále vysvětluje model hrozeb, který má být základem politiky mobilních zařízení, a definuje minimální povinná opatření. V dalších částech se věnuje nástrojům MDM (mobile device management) a MAM (mobile application management) a vysvětluje rozdíly mezi nimi. Závěrečná část pak shrnuje možnosti kontrolování, jak jsou stanovená pravidla dodržována.
ZÁLOHOVÁNÍ VE SPOLEČNOSTI TELEPLAN
[článek na str. 15]
Josef Novikmec
Případová studie popisuje projekt zálohování obsahu desktopů a laptopů obsahujících data vitální pro chod společnosti – základní technologické volby, testování různých alternativ, výběr dodavatele a produktu, stanovení detailních funkčních požadavků, návrh technického řešení a jeho implementaci. Pozornost je věnována i posuzování návratnosti investice vypočtené na základě porovnání stávajícího a nově nasazeného řešení.
BIOMETRIE OBLIČEJE PRO AUTENTIZACI OSOB
[článek na str. 18]
Tomáš Valer
Článek se zabývá rozdíly mezi dvourozměrnou a nově nastupující trojrozměrnou identifikací obličejů. Vysvětluje technický princip trojrozměrného snímání obličeje, informuje o softwarových i hardwarových prostředcích pro její realizaci a ukazuje některé praktické situace, kde může být modernější metoda s úspěchem využita. Druhá část článku je věnována případové studii – nasazení popisované technologie v moskevské pobočce Sberbank.
AUTENTIZACE: ANI SILNÉ HESLO NESTAČÍ
[článek na str. 22]
PR Eset
„Spoléhat se na dodržování heslové politiky by bylo naivní. Skutečným řešením pro zásadní posílení zabezpečení přístupu k systémům a datům je nasazení dvoufaktorové autentizace,“ konstatuje se v textu, který rozebírá hlavní zásady a možnosti tohoto zabezpečení. Druhá část článku je věnována případové studii – nasazení ESET Secure Authentication v mezinárodní společnosti Allus Global BPO Center.
DOHLED NAD INFORMAČNÍMI SYSTÉMY FINANČNÍCH INSTITUCÍ V PODMÍNKÁCH OUTSOURCINGU
[článek na str. 24]
Martin Fleischmann
Expert ČNB v úvodu zpřesňuje definici pojmu outsourcing a vyvrací některé rozšířené omyly, které jsou s outsourcingem v bankách spojeny. Dále vysvětluje hlediska dohledu nad finančním trhem a uvádí, z jakých norem regulátor vychází. Podrobněji se zabývá přínosy cloudu i jeho riziky, zejména riziky právními, rizikem ztráty kontroly, rizikem omezení auditovatelnosti, rizikem závislosti na dodavateli, rizikem koncentrace a reputačním rizikem.
BEHAVIORÁLNÍ ANALÝZA DATOVÉHO PROVOZU V PRAXI
[článek na str. 28]
Mikuláš Labský, Pavel Minařík
Článek vysvětluje potřebu monitoringu provozu uvnitř LAN/WAN sítí a popisuje technologie, které k tomu nejčastěji využívány. Zvláště se věnuje tzv. behaviorální analýza. Její použití demonstruje na konkrétních případech nasazení ve společnosti ČD – Telematika a v pražské Thomayerově nemocnici.
KOMPROMITACE DAT POMOCÍ SQL INJECTION – ČÁST II.
[článek na str. 32]
Lukáš Antal, Maroš Barabas, Petr Hanáček
Tato část seriálu se zabývá méně standardními možnostmi útoků pomocí SQL injection a jejich dopadem na bezpečnost systémů. Postupně jsou pojednány operace nad souborovým systémem, zápis dat na disk, zneužití javaScriptu a metoda Port Scanning pomocí SQL Injection.
ZMĚNY V NOVÉ VERZI PCI DSS 3.0 – ČÁST II.
[článek na str. 36]
Jakub Morávek
Text se věnuje nové verzi normy, která přináší minimální sadu opatření pro zajištění bezpečnosti dat držitelů platebních karet. Popisuje některé změny (zabývá se zejména monitoringem sítí a bezpečnostními politikami) a shrnuje hlavní dopady na požadavky na posuzované organizace a na průběh auditu. Zabývá se také novými verzemi dokumentů, které přesně definují požadavky na audit, včetně formulářů a vzorů dokumentů.
BEZPEČNOST BEZKONTAKTNÍCH PLATEBNÍCH KARET
[článek na str. 41]
Martin Henzl, Maroš Barabas, Radim Janča, Petr Hanáček
Úvodní část článku vysvětluje, jak probíhá autentizace karty vůči terminálu, ověření identity vlastníka a autorizace transakce, přičemž pozornost je věnována zejména bezkontaktním kartám navrženým s ohledem na standard EMV. Poté se text zabývá slabými místy v ochraně bezkontaktní karty a nejčastějším typům útoků – PrePlay, Relay, Replay u SDA a Man-in-the-middle. Konstatuje, že nejúčinnějším způsobem obrany jsou limity na kartě.
Všechny uvedené články, vyjma rozhovorů, prošly odborným recenzním řízením redakční rady DSM.
Tel: +420 737 215 220
E-mail: