SlideShare a Scribd company logo

5 tragických pochybeni v Cyber bezpečnosti

Download as ODP, PDF
Jiří Napravnik
Jiří Napravnik

Pět pochybení v oboru IT a IT bezpečnosti. 15-20 let staré omyly, které mají vliv na občany a firmy i dnes. Navíc tyto omyly stály firmy již mnoho miliadr USD.

Business
1 of 30
5 tragických pochybení v  Cyber bezpečnosti  napravnik.jiri@salamandr.cz Je čas změnit základy Cyber bezpečnosti
Obsah ● Náklady na cyber bezpečnost ● Závyslost uživatelů na IT ● Kde se stala chyba ● Pět tragických pochybení ● Rozdílný přístup ● Tři kroky k vyřešení problémů
Náklady na bezpečnost Uživatelé, banky, firmy i úřady vydaly za počítačovou bezpečnost v minulých letech mnoho miliard US dolarů. ● Stále podobné problémy a útoky, se opakují ● Základní problémy nebyly stále vyřešeny ● Proti sofistikovanému útoku zatím není obrana
Závyslost všech uživatelů ● Banky, obchodní společnosti i výrobní firmy jsou závyslé na bezproblémovém fungování IT ● Hackerské útoky neznají hranice ● Sofistikovaný útok může být upraven a pak útočit zpět na svého původního autora
Problémy PC, mobilů a dalších ● PC a počítačové viry ● Za 25 let nebyly vyřešeny problémy s viry v PC ● Skoro 10 let používáme chytré telefony ● Malé krabička, malá obrazovka ● Stejné problémy jako v prostředí PC ● Problémy v PC a v mobilech nejsou vyřešeny a už se objevují problémy v IoT, SCADA a automobilech
Kde se stala chyba ? ● Kritizujeme výrobce potravin za koňské maso, ... ● Kritizujeme Volkswagen za to, že jeho motory čoudí a špatně spalují naftu ● Ostýcháme se kritizovat velké výrobce SW, přestože je programování čistě lidská práce
5 tragických pochybení 1) Software je stále posuzován jako autorské dílo, ale chybí odpovědnost tvůrců za vlastní práci 2) Software prý nejde vytvořit lépe 3) Největší hrozbou pro bezpečnost IT jsou prý nezkušení uživatelé 4) Vytváří se normy, standardy a zákony, ale neřeší a nerevidují se chyby v základech IT 5) 15 let jsou vychováváni noví IT specialisté, kteří se učí jediný správný pohled na počítačovou bezpečnost
Pochybení č. 1 SW je stále posuzován jako autorské dílo, ale chybí odpovědnost tvůrců za vlastní práci ● Tvorba SW je výsledkem pouze lidské práce ● Programování je exaktní obor, kde je možné vše jasně popsat, naprogramovat a otestovat ● SW firmy hledají sw inženýry, analytiky, testery. To je podobné jako u jiných firem, které vyvíjejí a vyrábějí nějaký výrobek, za který jsou odpovědné
Pochybení č. 1 ­ porovnání  SW je stále posuzován jako autorské dílo, ale chybí odpovědnost tvůrců za vlastní práci ● Konstruktéři mostů i motorů musí respektovat různou roztažnost materiálů ● U léků se zkoumají vedlejší účinky, ale od lidského těla neexistuje „manuál“ podle, kterého by se ověřilo co nová látka může ovlivnit
Chyba č. 1   Chybou je, že běžní uživatelé (st. úředníci, CEO, právníci, atd.) zatím stále tolerují názor : SW firmy a programátoři nemusí odpovídat za svojí špatnou práci
Pochybení č. 2 SW prý nejde vytvořit lépe ● Každý výrobek je možné zdokonalit a vyrobit lépe, to je základ pokroku ● Tvorba SW je pouze lidská práce, ale přesto tvůrci tvrdí, že to lépe udělat nejde
Pochybení č. 2 ­ porovnání SW prý nejde vytvořit lépe ● V non-IT oborech jsou zákaznící a kontrolní orgány velmi nároční na kvalitu a bezpečnost ● Non-IT výrobci musí vydávat velké částky na aplikovaný a často i základní výzkum z oblasti fyziky, chemie, atd.
Chyba č. 2  Uživatelé (politici, CEO, novináři, právníci, atd.) tolerují názor, že prý nejde vytvářet operační systémy lépe, bez chyb a zadních vrátek.
Pochybení č. 3 Největší hrozbou pro bezpečnost IT jsou prý nezkušení uživatelé. Tato výmluva se používá již 20 let. ● Pokud se za 20 let nezměnilo chování uživatelů, tak se něco dělalo špatně ● Pokud není možné změnit chování a návyky zákazníků, tak se musí změnit výrobek
Pochybení č. 3 ­ porovnání Automobilky vědí, že řidiči jsou za volentem nepozorní a chybují ● Automobilky nesvádí odpovědnost na nezkušené řidiče, například na řidiče - IT odborníky ● Automobilky poznaly, že chování řidičů nezmění. Takže převzali iniciativu a nové automobily vybavují systémy, které hlídají chování a chyby řidičů
Chyba č. 3  Chybou je, že IT odborníci víc jak 15 let spoléhají na změnu chování uživatelů, místo toho, aby se chopili iniciativy. Podobně jak to dělají výrobci automobilů.
Pochybení č. 4 Vytváří se normy, standardy a zákony, ale neřeší a nerevidují se chyby v základech IT ● Mnoho lidí, firem i úřadů věnuje svoji energii vytváření nových norem ● Stejní lidé, pak zažívají deziluzi po úspěšném sofistikovaném útoku, kterému normy nedokázaly zabránit ● Málo úsilí se věnuje základům tvorby SW
Pochybení č. 4 ● Při porovnání je vidět velký nepoměr mezi počtem norem a pravidel pro uživatele nebo administrátory a počtem pravidel pro tvůrce SW ● Současná situace vytváří falešný dojem, že jsou problémy s viry a hackery řešeny i normami a zákony ● Ve skutečnosti normy a zákony řeší pouze následky, nikoliv příčiny problémů.
Chyba č. 4 Chybou je, že se normami a zákony nezačíná u tvůrců SW podobně, jak to platí například u letadel (ISO 9120) nebo automobilů (ISO 16949) ● Současné normy a zákony řeší následky a nezabývají se skutečnými příčinami, které jsou spojené s počítačovými viry a hackerskými útoky.
Pochybení č. 5 15 let jsou vychováváni noví IT specialisté, kteří se učí jediný správný pohled na počítačovou bezpečnost ● Jednostranná výchova souvisí s chybnými názory ● Autoři SW prý nemohou odpovídat za svoji práci ● SW prý není možné napsat lépe ● Největší hrozbou pro bezpečnost IT jsou prý uživatelé ● Vše je řešeno v normách, vzhláškách a zákonech
Chyba č. 5 Při tvorbě SW naprosto chybí kritický pohled na práci tvůrců programů. Tyto zkreslené názory následně přebírají novináři i politici. Výchova nových IT odborníků v mnoha ohledech připomíná výchovu mladé generace ve Východním bloku před rokem 1989. Tehdy byl lidem také vnucován jediný správný pohled na problém, na život a na svět.
Řešení ● Řešení existuje!! To je hlavní a podstatná informace. ● Tvorba SW je čistě lidská práce, kterou je možné jasně popsat, naprogramovat a otestovat.
Rozdílný přístup ● Program Apollo - za 8 let připravena cesta na Měsíc ● Vyřešeno mnoho nových úkolů ● Z raketové techniky ● Orientace v meziplanetárním prostoru ● Ochrana lidí a elektroniky před zářením ● Mnoho objevů z různých oborů přírodních věd ● Tvorba počítačových programů – za víc jak 15 let nevyřešeno ● Čistě lidská práce ● Exaktní obor ke je možné vše jednoznačně popsat
Odpovědnost výrobců ● Výrobci dětských hraček, potravin nebo domácích spotřebičů jsou odpovědni za své výrobky. ● Automobilka Volkswagen je odpovědná za své čoudící TDI motory
Řešení – krok č. 1 ● Tvorba SW je čistě lidská práce. Chyba v programu je výsledkem špatné práce člověka ● Prosazení stejně kritického pohledu na SW jako na automobily, hračky nebo potraviny
Řešení – krok č. 2 Ověření originality, původu a neporušenosti systémových souborů ● Pro řešení mohou být využita „Tři pravidla Cyber bezpečnosti“ ● Jedná se o podobné řešení jaké platí v letectví, při sledování náhradních dílů od výrobce až po instalaci do letounu
Řešení – krok č. 3 ● Pyramida počítačové bezpečnosti ● Spolehlivé ověřování systémových souborů je nutnost ● Stejně kritický přístup k automobilům i programům je nutnost ale tyto dva kroky nastačí ● Je nutné prosadit pravidelné testování SW podobně jako crash testy automobilů ● Tvůrci SW musí převzít iniciativu podobně jako výrobci automobilů
Shrnutí ● EXISTUJE řešení 20 let trvajících problémů s viry a hackery ● Základ řešení je ve změně uvažovaní uživatelů. Nároky na tvůrce SW by měly být podobné jako nároky na výrobce potravin nebo automobilů ● Technickou stránku opatření je možné prosadit a realizovat téměř ihned
Závěr ● Tvorba SW je čistě lidská práce ● Tvorba SW je exaktní obor, ve kterém je možné vše jasně nadefinovat, naprogramovat a otestovat ● Změna základů pomůže vyřešit naprostou většinu problémů s počítačovými viry a hackerskými útoky
O autorovi Jiří Nápravník (*1968) https://cz.linkedin.com/in/napravniksalamandr ● 1997 – 2002 soudní znalec, počítačová kriminalita ● 2003 pomohl dopadnout prvního vykradače bankovních účtů přes internetbanking ● Popsal a vyzkoušel útok na zaručený elektronický podpis ● Popsal a vyzkoušel útok na čipovou kartu s privátním klíčem ● 2014 definoval Tři pravidla cyber bezpečnosti ● 2015 definoval Pyramidu cyber bezpečnosti

Recommended

Problémy ICT a zkušenosti z jiných oborů
Problémy ICT a zkušenosti z jiných oborůProblémy ICT a zkušenosti z jiných oborů
Problémy ICT a zkušenosti z jiných oborůJiří Napravnik
 
Pyramida cyber bezpečnosti
Pyramida cyber bezpečnostiPyramida cyber bezpečnosti
Pyramida cyber bezpečnostiJiří Napravnik
 
Je čas změnit základy počítačové bezpečnosti
Je čas změnit základy počítačové bezpečnostiJe čas změnit základy počítačové bezpečnosti
Je čas změnit základy počítačové bezpečnostiJiří Napravnik
 
Kyber-bezpečnost včera, dnes a zítra
Kyber-bezpečnost včera, dnes a zítraKyber-bezpečnost včera, dnes a zítra
Kyber-bezpečnost včera, dnes a zítraJiří Napravnik
 
The five fatal flaw in cyber security
The five fatal flaw in cyber securityThe five fatal flaw in cyber security
The five fatal flaw in cyber securityJiří Napravnik
 
It's time to change the basics of Cyber Security
It's time to change the basics of Cyber SecurityIt's time to change the basics of Cyber Security
It's time to change the basics of Cyber SecurityJiří Napravnik
 
7 omylu v IT bezpečnosti
7 omylu v IT bezpečnosti7 omylu v IT bezpečnosti
7 omylu v IT bezpečnostiJiří Napravnik
 
The Future Landscape of IT Industry in the Cloud Computing Era (in Czech, inc...
The Future Landscape of IT Industry in the Cloud Computing Era (in Czech, inc...The Future Landscape of IT Industry in the Cloud Computing Era (in Czech, inc...
The Future Landscape of IT Industry in the Cloud Computing Era (in Czech, inc...Jiri Donat, Ph.D.
 

Recommended

Problémy ICT a zkušenosti z jiných oborů
Problémy ICT a zkušenosti z jiných oborůProblémy ICT a zkušenosti z jiných oborů
Problémy ICT a zkušenosti z jiných oborůJiří Napravnik
 
Pyramida cyber bezpečnosti
Pyramida cyber bezpečnostiPyramida cyber bezpečnosti
Pyramida cyber bezpečnostiJiří Napravnik
 
Je čas změnit základy počítačové bezpečnosti
Je čas změnit základy počítačové bezpečnostiJe čas změnit základy počítačové bezpečnosti
Je čas změnit základy počítačové bezpečnostiJiří Napravnik
 
Kyber-bezpečnost včera, dnes a zítra
Kyber-bezpečnost včera, dnes a zítraKyber-bezpečnost včera, dnes a zítra
Kyber-bezpečnost včera, dnes a zítraJiří Napravnik
 
The five fatal flaw in cyber security
The five fatal flaw in cyber securityThe five fatal flaw in cyber security
The five fatal flaw in cyber securityJiří Napravnik
 
It's time to change the basics of Cyber Security
It's time to change the basics of Cyber SecurityIt's time to change the basics of Cyber Security
It's time to change the basics of Cyber SecurityJiří Napravnik
 
7 omylu v IT bezpečnosti
7 omylu v IT bezpečnosti7 omylu v IT bezpečnosti
7 omylu v IT bezpečnostiJiří Napravnik
 
The Future Landscape of IT Industry in the Cloud Computing Era (in Czech, inc...
The Future Landscape of IT Industry in the Cloud Computing Era (in Czech, inc...The Future Landscape of IT Industry in the Cloud Computing Era (in Czech, inc...
The Future Landscape of IT Industry in the Cloud Computing Era (in Czech, inc...Jiri Donat, Ph.D.
 
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíNew Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
 
Informační bezpečnost
Informační bezpečnostInformační bezpečnost
Informační bezpečnostCEINVE
 
Odpověď na otázky detekce, reakce a vůbec
Odpověď na otázky detekce, reakce a vůbecOdpověď na otázky detekce, reakce a vůbec
Odpověď na otázky detekce, reakce a vůbecMarketingArrowECS_CZ
 
Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)
Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)
Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)eMan s.r.o.
 
Social media monitoring
Social media monitoringSocial media monitoring
Social media monitoringJosef Šlerka
 
Úvod do analýzy - 2 část
Úvod do analýzy - 2 částÚvod do analýzy - 2 část
Úvod do analýzy - 2 částMartin Paták
 
Kefer
KeferKefer
KeferTUESDAY Business Network
 
Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language)
Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language) Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language)
Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language) Jiri Donat, Ph.D.
 
Společenská odpovědnost SW firem
Společenská odpovědnost SW firemSpolečenská odpovědnost SW firem
Společenská odpovědnost SW firemJiří Napravnik
 
Trable programatora
Trable programatoraTrable programatora
Trable programatoraLadislav Martincik
 
Progress Is
Progress IsProgress Is
Progress IsNikol Kokešová
 
Webová analytika (ČZU - Webdesign, 11. 12. 2013)
Webová analytika (ČZU - Webdesign, 11. 12. 2013)Webová analytika (ČZU - Webdesign, 11. 12. 2013)
Webová analytika (ČZU - Webdesign, 11. 12. 2013)Sherpas
 
Moderní principy aplikační bezpečnosti
Moderní principy aplikační bezpečnostiModerní principy aplikační bezpečnosti
Moderní principy aplikační bezpečnostisecurityexpert
 
Jak na onboarding
Jak na onboardingJak na onboarding
Jak na onboardingMichal Acler
 
Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...
Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...
Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...technologyfuture
 
Jak snížit chybovost webových projektů
Jak snížit chybovost webových projektůJak snížit chybovost webových projektů
Jak snížit chybovost webových projektůAITOM Digital s.r.o.
 
25. 2. 2016 produktivita a efektivita v digitálním světě - v1.01
25. 2. 2016 produktivita a efektivita v digitálním světě - v1.0125. 2. 2016 produktivita a efektivita v digitálním světě - v1.01
25. 2. 2016 produktivita a efektivita v digitálním světě - v1.01Jan Janca
 
World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...
World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...
World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...ui42
 
08 jan muller [režim kompatibility]
08 jan muller [režim kompatibility]08 jan muller [režim kompatibility]
08 jan muller [režim kompatibility]TUESDAY Business Network
 
Pořídit hotové řešení nebo si nechat vyrobit vlastní?
Pořídit hotové řešení nebo si nechat vyrobit vlastní? Pořídit hotové řešení nebo si nechat vyrobit vlastní?
Pořídit hotové řešení nebo si nechat vyrobit vlastní? Ondrej Kucera
 
Přístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíPřístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíJiří Napravnik
 
CYBER SECURITY it is time to change the basics
CYBER SECURITY it is time to change the basicsCYBER SECURITY it is time to change the basics
CYBER SECURITY it is time to change the basicsJiří Napravnik
 

More Related Content

Similar to 5 tragických pochybeni v Cyber bezpečnosti

New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíNew Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíPetr Dvorak
 
Informační bezpečnost
Informační bezpečnostInformační bezpečnost
Informační bezpečnostCEINVE
 
Odpověď na otázky detekce, reakce a vůbec
Odpověď na otázky detekce, reakce a vůbecOdpověď na otázky detekce, reakce a vůbec
Odpověď na otázky detekce, reakce a vůbecMarketingArrowECS_CZ
 
Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)
Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)
Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)eMan s.r.o.
 
Social media monitoring
Social media monitoringSocial media monitoring
Social media monitoringJosef Šlerka
 
Úvod do analýzy - 2 část
Úvod do analýzy - 2 částÚvod do analýzy - 2 část
Úvod do analýzy - 2 částMartin Paták
 
Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language)
Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language) Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language)
Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language) Jiri Donat, Ph.D.
 
Společenská odpovědnost SW firem
Společenská odpovědnost SW firemSpolečenská odpovědnost SW firem
Společenská odpovědnost SW firemJiří Napravnik
 
Webová analytika (ČZU - Webdesign, 11. 12. 2013)
Webová analytika (ČZU - Webdesign, 11. 12. 2013)Webová analytika (ČZU - Webdesign, 11. 12. 2013)
Webová analytika (ČZU - Webdesign, 11. 12. 2013)Sherpas
 
Moderní principy aplikační bezpečnosti
Moderní principy aplikační bezpečnostiModerní principy aplikační bezpečnosti
Moderní principy aplikační bezpečnostisecurityexpert
 
Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...
Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...
Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...technologyfuture
 
Jak snížit chybovost webových projektů
Jak snížit chybovost webových projektůJak snížit chybovost webových projektů
Jak snížit chybovost webových projektůAITOM Digital s.r.o.
 
25. 2. 2016 produktivita a efektivita v digitálním světě - v1.01
25. 2. 2016 produktivita a efektivita v digitálním světě - v1.0125. 2. 2016 produktivita a efektivita v digitálním světě - v1.01
25. 2. 2016 produktivita a efektivita v digitálním světě - v1.01Jan Janca
 
World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...
World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...
World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...ui42
 
Pořídit hotové řešení nebo si nechat vyrobit vlastní?
Pořídit hotové řešení nebo si nechat vyrobit vlastní? Pořídit hotové řešení nebo si nechat vyrobit vlastní?
Pořídit hotové řešení nebo si nechat vyrobit vlastní? Ondrej Kucera
 

Similar to 5 tragických pochybeni v Cyber bezpečnosti (20)

New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcíNew Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
New Media Inspiration 2014 - Bezpečnost v kontextu Internetu věcí
 
Informační bezpečnost
Informační bezpečnostInformační bezpečnost
Informační bezpečnost
 
Odpověď na otázky detekce, reakce a vůbec
Odpověď na otázky detekce, reakce a vůbecOdpověď na otázky detekce, reakce a vůbec
Odpověď na otázky detekce, reakce a vůbec
 
Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)
Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)
Specifika vývoje aplikací pro internet věcí (Dmytro Trofymchuk)
 
Social media monitoring
Social media monitoringSocial media monitoring
Social media monitoring
 
Úvod do analýzy - 2 část
Úvod do analýzy - 2 částÚvod do analýzy - 2 část
Úvod do analýzy - 2 část
 
Kefer
KeferKefer
Kefer
 
Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language)
Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language) Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language)
Proč zkrachuje firma Microsoft? / Why Microsoft will fail (in Czech language)
 
Společenská odpovědnost SW firem
Společenská odpovědnost SW firemSpolečenská odpovědnost SW firem
Společenská odpovědnost SW firem
 
Trable programatora
Trable programatoraTrable programatora
Trable programatora
 
Progress Is
Progress IsProgress Is
Progress Is
 
Webová analytika (ČZU - Webdesign, 11. 12. 2013)
Webová analytika (ČZU - Webdesign, 11. 12. 2013)Webová analytika (ČZU - Webdesign, 11. 12. 2013)
Webová analytika (ČZU - Webdesign, 11. 12. 2013)
 
Moderní principy aplikační bezpečnosti
Moderní principy aplikační bezpečnostiModerní principy aplikační bezpečnosti
Moderní principy aplikační bezpečnosti
 
Jak na onboarding
Jak na onboardingJak na onboarding
Jak na onboarding
 
Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...
Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...
Petr Jalůvka - Digitální dvojče: jak jsme na tom Česká republiko na Logistics...
 
Jak snížit chybovost webových projektů
Jak snížit chybovost webových projektůJak snížit chybovost webových projektů
Jak snížit chybovost webových projektů
 
25. 2. 2016 produktivita a efektivita v digitálním světě - v1.01
25. 2. 2016 produktivita a efektivita v digitálním světě - v1.0125. 2. 2016 produktivita a efektivita v digitálním světě - v1.01
25. 2. 2016 produktivita a efektivita v digitálním světě - v1.01
 
World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...
World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...
World Usability Day 2014 Slovakia - Petr Dvořák, Inmite - Použiteľnosť a inte...
 
08 jan muller [režim kompatibility]
08 jan muller [režim kompatibility]08 jan muller [režim kompatibility]
08 jan muller [režim kompatibility]
 
Pořídit hotové řešení nebo si nechat vyrobit vlastní?
Pořídit hotové řešení nebo si nechat vyrobit vlastní? Pořídit hotové řešení nebo si nechat vyrobit vlastní?
Pořídit hotové řešení nebo si nechat vyrobit vlastní?
 

More from Jiří Napravnik

Přístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíPřístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíJiří Napravnik
 
CYBER SECURITY it is time to change the basics
CYBER SECURITY it is time to change the basicsCYBER SECURITY it is time to change the basics
CYBER SECURITY it is time to change the basicsJiří Napravnik
 
Přišel čas změnit základy kyber bezpečnosti
Přišel čas změnit základy kyber bezpečnostiPřišel čas změnit základy kyber bezpečnosti
Přišel čas změnit základy kyber bezpečnostiJiří Napravnik
 
Software companies and Corporate social responsibility (CSR)
Software companies and Corporate social responsibility (CSR) Software companies and Corporate social responsibility (CSR)
Software companies and Corporate social responsibility (CSR) Jiří Napravnik
 
The Three Laws of Cyber Security
The Three Laws of Cyber SecurityThe Three Laws of Cyber Security
The Three Laws of Cyber SecurityJiří Napravnik
 
The Three Laws of Cyber Security
The Three Laws of Cyber SecurityThe Three Laws of Cyber Security
The Three Laws of Cyber SecurityJiří Napravnik
 

More from Jiří Napravnik (7)

Přístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcíPřístupnost a slabiny WWW stránek obcí
Přístupnost a slabiny WWW stránek obcí
 
CYBER SECURITY it is time to change the basics
CYBER SECURITY it is time to change the basicsCYBER SECURITY it is time to change the basics
CYBER SECURITY it is time to change the basics
 
Přišel čas změnit základy kyber bezpečnosti
Přišel čas změnit základy kyber bezpečnostiPřišel čas změnit základy kyber bezpečnosti
Přišel čas změnit základy kyber bezpečnosti
 
Software companies and Corporate social responsibility (CSR)
Software companies and Corporate social responsibility (CSR) Software companies and Corporate social responsibility (CSR)
Software companies and Corporate social responsibility (CSR)
 
Pyramid of Cyber Security
Pyramid of Cyber SecurityPyramid of Cyber Security
Pyramid of Cyber Security
 
The Three Laws of Cyber Security
The Three Laws of Cyber SecurityThe Three Laws of Cyber Security
The Three Laws of Cyber Security
 
The Three Laws of Cyber Security
The Three Laws of Cyber SecurityThe Three Laws of Cyber Security
The Three Laws of Cyber Security
 

5 tragických pochybeni v Cyber bezpečnosti

  • 2. Obsah ● Náklady na cyber bezpečnost ● Závyslost uživatelů na IT ● Kde se stala chyba ● Pět tragických pochybení ● Rozdílný přístup ● Tři kroky k vyřešení problémů
  • 3. Náklady na bezpečnost Uživatelé, banky, firmy i úřady vydaly za počítačovou bezpečnost v minulých letech mnoho miliard US dolarů. ● Stále podobné problémy a útoky, se opakují ● Základní problémy nebyly stále vyřešeny ● Proti sofistikovanému útoku zatím není obrana
  • 4. Závyslost všech uživatelů ● Banky, obchodní společnosti i výrobní firmy jsou závyslé na bezproblémovém fungování IT ● Hackerské útoky neznají hranice ● Sofistikovaný útok může být upraven a pak útočit zpět na svého původního autora
  • 5. Problémy PC, mobilů a dalších ● PC a počítačové viry ● Za 25 let nebyly vyřešeny problémy s viry v PC ● Skoro 10 let používáme chytré telefony ● Malé krabička, malá obrazovka ● Stejné problémy jako v prostředí PC ● Problémy v PC a v mobilech nejsou vyřešeny a už se objevují problémy v IoT, SCADA a automobilech
  • 6. Kde se stala chyba ? ● Kritizujeme výrobce potravin za koňské maso, ... ● Kritizujeme Volkswagen za to, že jeho motory čoudí a špatně spalují naftu ● Ostýcháme se kritizovat velké výrobce SW, přestože je programování čistě lidská práce
  • 7. 5 tragických pochybení 1) Software je stále posuzován jako autorské dílo, ale chybí odpovědnost tvůrců za vlastní práci 2) Software prý nejde vytvořit lépe 3) Největší hrozbou pro bezpečnost IT jsou prý nezkušení uživatelé 4) Vytváří se normy, standardy a zákony, ale neřeší a nerevidují se chyby v základech IT 5) 15 let jsou vychováváni noví IT specialisté, kteří se učí jediný správný pohled na počítačovou bezpečnost
  • 8. Pochybení č. 1 SW je stále posuzován jako autorské dílo, ale chybí odpovědnost tvůrců za vlastní práci ● Tvorba SW je výsledkem pouze lidské práce ● Programování je exaktní obor, kde je možné vše jasně popsat, naprogramovat a otestovat ● SW firmy hledají sw inženýry, analytiky, testery. To je podobné jako u jiných firem, které vyvíjejí a vyrábějí nějaký výrobek, za který jsou odpovědné
  • 9. Pochybení č. 1 ­ porovnání  SW je stále posuzován jako autorské dílo, ale chybí odpovědnost tvůrců za vlastní práci ● Konstruktéři mostů i motorů musí respektovat různou roztažnost materiálů ● U léků se zkoumají vedlejší účinky, ale od lidského těla neexistuje „manuál“ podle, kterého by se ověřilo co nová látka může ovlivnit
  • 10. Chyba č. 1   Chybou je, že běžní uživatelé (st. úředníci, CEO, právníci, atd.) zatím stále tolerují názor : SW firmy a programátoři nemusí odpovídat za svojí špatnou práci
  • 11. Pochybení č. 2 SW prý nejde vytvořit lépe ● Každý výrobek je možné zdokonalit a vyrobit lépe, to je základ pokroku ● Tvorba SW je pouze lidská práce, ale přesto tvůrci tvrdí, že to lépe udělat nejde
  • 12. Pochybení č. 2 ­ porovnání SW prý nejde vytvořit lépe ● V non-IT oborech jsou zákaznící a kontrolní orgány velmi nároční na kvalitu a bezpečnost ● Non-IT výrobci musí vydávat velké částky na aplikovaný a často i základní výzkum z oblasti fyziky, chemie, atd.
  • 13. Chyba č. 2  Uživatelé (politici, CEO, novináři, právníci, atd.) tolerují názor, že prý nejde vytvářet operační systémy lépe, bez chyb a zadních vrátek.
  • 14. Pochybení č. 3 Největší hrozbou pro bezpečnost IT jsou prý nezkušení uživatelé. Tato výmluva se používá již 20 let. ● Pokud se za 20 let nezměnilo chování uživatelů, tak se něco dělalo špatně ● Pokud není možné změnit chování a návyky zákazníků, tak se musí změnit výrobek
  • 15. Pochybení č. 3 ­ porovnání Automobilky vědí, že řidiči jsou za volentem nepozorní a chybují ● Automobilky nesvádí odpovědnost na nezkušené řidiče, například na řidiče - IT odborníky ● Automobilky poznaly, že chování řidičů nezmění. Takže převzali iniciativu a nové automobily vybavují systémy, které hlídají chování a chyby řidičů
  • 16. Chyba č. 3  Chybou je, že IT odborníci víc jak 15 let spoléhají na změnu chování uživatelů, místo toho, aby se chopili iniciativy. Podobně jak to dělají výrobci automobilů.
  • 17. Pochybení č. 4 Vytváří se normy, standardy a zákony, ale neřeší a nerevidují se chyby v základech IT ● Mnoho lidí, firem i úřadů věnuje svoji energii vytváření nových norem ● Stejní lidé, pak zažívají deziluzi po úspěšném sofistikovaném útoku, kterému normy nedokázaly zabránit ● Málo úsilí se věnuje základům tvorby SW
  • 18. Pochybení č. 4 ● Při porovnání je vidět velký nepoměr mezi počtem norem a pravidel pro uživatele nebo administrátory a počtem pravidel pro tvůrce SW ● Současná situace vytváří falešný dojem, že jsou problémy s viry a hackery řešeny i normami a zákony ● Ve skutečnosti normy a zákony řeší pouze následky, nikoliv příčiny problémů.
  • 19. Chyba č. 4 Chybou je, že se normami a zákony nezačíná u tvůrců SW podobně, jak to platí například u letadel (ISO 9120) nebo automobilů (ISO 16949) ● Současné normy a zákony řeší následky a nezabývají se skutečnými příčinami, které jsou spojené s počítačovými viry a hackerskými útoky.
  • 20. Pochybení č. 5 15 let jsou vychováváni noví IT specialisté, kteří se učí jediný správný pohled na počítačovou bezpečnost ● Jednostranná výchova souvisí s chybnými názory ● Autoři SW prý nemohou odpovídat za svoji práci ● SW prý není možné napsat lépe ● Největší hrozbou pro bezpečnost IT jsou prý uživatelé ● Vše je řešeno v normách, vzhláškách a zákonech
  • 21. Chyba č. 5 Při tvorbě SW naprosto chybí kritický pohled na práci tvůrců programů. Tyto zkreslené názory následně přebírají novináři i politici. Výchova nových IT odborníků v mnoha ohledech připomíná výchovu mladé generace ve Východním bloku před rokem 1989. Tehdy byl lidem také vnucován jediný správný pohled na problém, na život a na svět.
  • 22. Řešení ● Řešení existuje!! To je hlavní a podstatná informace. ● Tvorba SW je čistě lidská práce, kterou je možné jasně popsat, naprogramovat a otestovat.
  • 23. Rozdílný přístup ● Program Apollo - za 8 let připravena cesta na Měsíc ● Vyřešeno mnoho nových úkolů ● Z raketové techniky ● Orientace v meziplanetárním prostoru ● Ochrana lidí a elektroniky před zářením ● Mnoho objevů z různých oborů přírodních věd ● Tvorba počítačových programů – za víc jak 15 let nevyřešeno ● Čistě lidská práce ● Exaktní obor ke je možné vše jednoznačně popsat
  • 24. Odpovědnost výrobců ● Výrobci dětských hraček, potravin nebo domácích spotřebičů jsou odpovědni za své výrobky. ● Automobilka Volkswagen je odpovědná za své čoudící TDI motory
  • 25. Řešení – krok č. 1 ● Tvorba SW je čistě lidská práce. Chyba v programu je výsledkem špatné práce člověka ● Prosazení stejně kritického pohledu na SW jako na automobily, hračky nebo potraviny
  • 26. Řešení – krok č. 2 Ověření originality, původu a neporušenosti systémových souborů ● Pro řešení mohou být využita „Tři pravidla Cyber bezpečnosti“ ● Jedná se o podobné řešení jaké platí v letectví, při sledování náhradních dílů od výrobce až po instalaci do letounu
  • 27. Řešení – krok č. 3 ● Pyramida počítačové bezpečnosti ● Spolehlivé ověřování systémových souborů je nutnost ● Stejně kritický přístup k automobilům i programům je nutnost ale tyto dva kroky nastačí ● Je nutné prosadit pravidelné testování SW podobně jako crash testy automobilů ● Tvůrci SW musí převzít iniciativu podobně jako výrobci automobilů
  • 28. Shrnutí ● EXISTUJE řešení 20 let trvajících problémů s viry a hackery ● Základ řešení je ve změně uvažovaní uživatelů. Nároky na tvůrce SW by měly být podobné jako nároky na výrobce potravin nebo automobilů ● Technickou stránku opatření je možné prosadit a realizovat téměř ihned
  • 29. Závěr ● Tvorba SW je čistě lidská práce ● Tvorba SW je exaktní obor, ve kterém je možné vše jasně nadefinovat, naprogramovat a otestovat ● Změna základů pomůže vyřešit naprostou většinu problémů s počítačovými viry a hackerskými útoky
  • 30. O autorovi Jiří Nápravník (*1968) https://cz.linkedin.com/in/napravniksalamandr ● 1997 – 2002 soudní znalec, počítačová kriminalita ● 2003 pomohl dopadnout prvního vykradače bankovních účtů přes internetbanking ● Popsal a vyzkoušel útok na zaručený elektronický podpis ● Popsal a vyzkoušel útok na čipovou kartu s privátním klíčem ● 2014 definoval Tři pravidla cyber bezpečnosti ● 2015 definoval Pyramidu cyber bezpečnosti