Czas jest dominującym czynnikiem. 12 składowych błędów ludzkich - pechowa dwunastka. Pętla OODA u podstaw zarządzania ryzkiem technologicznym, a to wszystko w kontekście prawdziwych incydentów, na które warto spojrzeć z innej perspektywy i wyciągnąć wnioski. Tylko kto się odważy zmienić swoje uporządkowane życie w chaos?
15. ISO 27005:
„Ryzyko to zagrożenia wykorzystujące podatności zasobów w celu wytworzenia strat organizacji”
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2017
Ryzyko dla Zasobu
Zagrożenie x Wpływ
WŁAŚCICIEL
ŚRODKI ZARADCZE
PODATNOŚCI
RYZYKA
ZASOBYZAGROŻENIAAGENCI ZAGROŻENIA
WEKTORY ATAKU
wartość
dąży do minimalizacji
redukują
mogą posiadać
mogą być
redukowane przez
wiodą do
które zwiększają
dla
które wykorzystują
którzy chcą nadużyć lub uszkodzić
używają
powodują
wzrost
oparte o grupy
może być swiadomy
nakłada
18. cyber efekt Dunninga-Krugera
pewność siebie vs kompetencja
to, co faktycznie wiesz
uświadomiony brak wiedzy
Masz pewność,
że jesteś bezpieczny*
Myślisz, że już wiesz,
jednak nadal nie jesteś świadom,*
czego jeszcze nie wiesz.
Myślisz,
że jesteś bezpieczny*
Ale nie jesteś świadom,*
czego jeszcze nie wiesz. Uświadamiasz sobie swoją słabość
Dowiadujesz się, czego nie byłeś* świadom*
Audyt zewnętrzny, ocena, próba, ćwiczenie świadomości, cyber incydent
Wiesz co zrobić,
by czuć się bezpiecznie
Teraz wiesz jakiej wiedzy potrzebujesz,
aby ograniczyć przyszły wpływ na Ciebie,
wynikający z tego czego nie wiesz.
*wersja żeńska również obowiązuje
OPRACOWANIEINICJATYWAKULTURYBEZPIECZEŃSTWANAPODSTAWIEŹRÓDEŁINTERNETOWYCH
19. OODA LOOP + NIEPEWNOŚĆ (natura procesu poznawczego)
https://docs.wixstatic.com/ugd/20f020_65b20dec99cb45d0bd1456ed526c09b8.pdf
23. B. Failed traffic inspection caused by expired certificate
A. Ineffective CISO location
https://www.gao.gov/assets/700/694158.pdf
https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
24. Who How Why
Marriott Acquired hacked company
(Starwood)
Lack of communication, norms, lack of team work, lack of knowledge
Equifax Hacking (platform vulnerability) Lack of resources, pressure, lack of team work, lack of awareness
Adult Friend Finder Hacking (Local File Inclusion) Lack of resources, pressure, lack of team work, lack of awareness, stress
Uber AWS credentials on Github Norms, complacency, pressure, lack of resources, lack of team work
Anthem Phishing/malware Lack of assertiveness, stress, pressure, fatigue, complacency, lack of awareness
eBay User credentials Norms, lack of awareness, pressure, fatigue, lack of resources
JP Morgan Chase Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress
Home Depot Malware/trojanAV Lack of resources, pressure, lack of team work, lack of awareness, stress
Yahoo User account hacked Norms, lack of awareness, pressure, fatigue, lack of resources
Target Stores Third party HVAC system Lack of communication, norms, lack of team work, lack of knowledge
OPM Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress
Sony Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress
WYJŚCIE POZA SCHEMAT TECHNOLOGII
25. nawyki
presja
brak współpracy brak
asertywności
brak komunikacji
brak
świadomości
Nowe kontrole:
Stosuj listy kontrolne
Pytaj
Kwestionuj
Potwierdź wątpliwości
Nie próbuj (wiedz co robić)
Bądź na bieżąco
Testuj innych
Zmień perspektywę
Miej plan
Nie akceptuj jeśli się nie zgadzasz
Rób co należy, a nie co łatwiejsze
Skorzystaj z komentarzy
Rób przerwy
Nie łam własnych zasad
Dbaj o siebie
Pechowa 12 błędów ludzkich
26. JEDNA PĘTLA DALEJ…
- gdy chaos daje przewagę i odporność
https://en.wikipedia.org/wiki/John_Boyd_(military_strategist)
27. • Sieć komunikacyjna jest wiarygodna i stabilna
• Brak opóźnień w przekazywaniu informacji
• Przepustowość informacyjna sieci jest nieskończona
• Sieć zapewnia bezpieczeństwo przekazywanym
danym
• Topologia sieci nie ulega nigdy zmianie
• Jest tylko jeden administrator technologii
• Przekaz danych nic nie kosztuje
• Sieć informacyjna jest jednorodna i spójna
Fałszywe założenia dla systemów rozproszonych:
28. INŻYNIERIA CHAOSU
CELOWY INCYDENT JAKO PROBIERZ RZECZYWISTOŚCI
OODA LOOP W PRAKTYCE
ZABURZENIE OODA LOOP ATAKUJĄCEGO
ZWIĘKSZONA ODPORNOŚĆ ŚRODOWISKA NA AWARIE
https://www.gremlin.com/community/tutorials/chaos-engineering-the-history-principles-and-practice/
29. Koniec, końców … to kwestia czasu!
ORIENTACJAOBSERWACJA DECYZJA AKCJA
OO D A OO D A
TYPOWA OFIARA
ATAKUJĄCY
INŻYNIERIA
CHAOSU
O MAŁY WŁOS
+ WNIOSKI
OO DA
OO D A
OO D A OO D A OO D A OO D A OO D A
OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA OO DA
O
CZAS
OO DA OO DA