že dobrý den jsem za mareš se liší se již okolního řadou kde vlastně mám
po při pozice architekta kybernetické bezpečnosti
vedoucí oddělení komunikace systému a zároveň systémový administrátor takže to nejhorší co zde stát v
rámci kybernetické bezpečnosti
jo že si já sám si to navrhnu implementovat pak si to kontroly
takže nejdříve přistála silnější kontrolní úřad se tam bez vlastně náš úřad má na starosti
auditování staré veškerý státní instrukcí vyšly finance kterého si pro týkají skrz ta tak vlastně
my postupně jakým způsobem auditem
máme pět set zaměstnanců a víc naprostá většina z nich sou kontroloři auditoři který vlastně
kontrolou a zásady pracovna těch kontrolovaných osobák zvážit i se připojuju vzdáleně k nám v
rámci
_e pinkavou máme jeden s je informační systém kterého začne jako významný informační systém a
toho důvodu vlastně na nás platí
kybernetický zákon respektive ty povinnosti které jsou stanoveny vyhláškou ke brněnském
turecké bezpečnosti z tohodle pohledu bych vám brát vlastně na silnicích tady u k a
vlastně řekl jak to u nás je provedeno jakým způsobem _e řešena a případně na
kompas nevzal mám doporučí na ty jednotlivý části u nás už vlastně proběhla vlastně první
audit kybernetické ve stručnosti
a do dne do pane sme dobře dostal jsme pár hvězdiček
takže není
ne jako je hlavní co jako vynášet crystal toho práce s těma uživatel lama je
že se snažíme ty uživatele co nejvíce zkrouhnout nic _e jim neumožnil neboť jsou vlastně
tím nejslabším článkem v rámci toho systému po minulé administrátory
takže bez ohledu kde sou tak je prostě blokujeme říkáme prostě tak lokální síť není
bezpečná snažíme se maximální možnosti to
omezit jako je hlavní víš jako výhoda proč jako by pro nás push jak by
pak implementace to krev kopat zákona bylo jednodušší
love tom že naši uživatele neznají vůbec hesla dokonce jinej ft denním režimu na pozadí
měníme
takže
jedí kdo je zná jestli sou administrátoři jenom ty svoje hesla tam
dvanácti privilegovaný federovaných účtu
jasně mladá nepracujeme
s tím že samozřejmě ty restrikce které nás to _e se snažíme jako vy na
zužovat to svýho hlediska co nejméně
aby na ni je do papeže je tam spousta automatizaci
nakolik no a vlastně až na pozadí se provádí veškeré kontroly které
ověří jakým způsobem jaké síti
jakou vpnku má vybudovat a
jak je s tím s má pracovat
a posledně kvůli část které jakoby byla kmitová nastavené vnuky utečeš rodinu sou ty brněnskou
bezpečnost bylo oddělení vyčlení vlastně
uživatelsky jakoby rozdělí uživatelského prostředí a administrátorskýho prostředí
kdy takže administrátor pro běžnou činnost na
když nejde stop jako všechny ostatní
a proto administrativní činnost má vyhrazený stroj
na který jsou z vlastně nastavení s extra vlastně vlastní pravidla
takže teď bych jako je řekl bych hovořil o tom vlastně máme řešeno
to bezpečnost asi jednotlivých částech lokální bezpečnost co jsou vlastně noutbúky kdy každy vlastně
kontrolor osy takže uživatel matku je to stroj
který vlastně lokálně zabezpečení tím že
je tam použity by to krát šifrování lokální dál
následně v rámci windowsů protože v rámci státní správy
převažujou ty moje microsoftí vy dosovský si je
tak asi mám výměnou činu která vlastně povolí pouze přihlášení přes jednorázově k o přesto
o té _e
čímž jako with už a to se přijela
tak následně je můj je překryta celá plochá a na po všem a pouze ikonky
zástupce který může spustit nemůže jakoliv manipulovat s tou částí a pomocí a půl koru
nám _e zablokování spouští libovolných aplikací
což znamená že spustit o pojď jenom ty sou aplikaci které jsou nám naší certifikační
autoritu podepsány
nebo jsou s konkrétním místním
co čtvrtek má celkem problémy z windows desítka má
kde třeba ten vandrák se install _e do uživatelského profilu
a samozřejmě je to tak jako by velmi
je velmi agresivní to znamená když ho s toho systému vymlátíme tak ty na konce
na to nějakým způsobem dostane a pak nám to hlásí chyba správce zablokoval danou aplikaci
a už to řešeno o tak při čtvrt
no po půl roku
tomletom a ještě poslední část je že pomocí budu poli si na sto ještě oprávnění
na jednotlivých soubory
to znamená jako vy takle jako by to
limitujeme
pozná když už jako vy na této úrovni latinu blocích nějaký svůj sem to nezabezpečení
_e vlastně pak řešíme vlastně připojování do informačního systému protože byla ty de noutbúky slouží
jenom jako tenké pencí klienti
kdy se připojuju k našemu vrtáním desktopu tady po se na hory nově ve row
level asi mají veškerou vlastně provádí veškerou činnost a pracuje se ze školy mi daty
takže ne jinak tímhletím vlastně strojích
bude neboť vpnku typový ke verze dva
případně když je ta síť
relativně restriktivní
a díky nelze vybudovat tak ten okamžik přecházíme na se lepenkou a právě tady narážíme
jako problém s tím jakým způsob se pracuje tak že tam máme o nastaveno automatiku
kdy uživatel klikne na tlačítko vytočit v d a vlastně na pozadí mu zkoušíme vy
zkusíme
jaké vybudovat
když se nepodaří tak jenom uživateli skočíme prosím zady jednorázové vlastně eso
tam vlastně vyplní a na pozadí se provede vlastně vytočení tý letenky
tak tomletom je hodně ještě člověk limitovány tím firewallem který vlastně používá pro tu přístupovou
cestu u nás asi máme řeším postavené word for této furt i vy což jako
vychází v rámci tý soutěži jako je nejlevněji a relativně jako je to použitelné
když už jako vy se připojí přes tuhle tu síť
tak jsem se dostávají do to vrtání desktopu které je stejně niklován
jako ten lokální počítač s tím že tam je ještě jedné tak a jako je
vyjímka a to že mi ten virtuální stroj likvidujeme po týdnu práce
takže v každym týdnu vlastně zítra vlastně veškerý pět set desktopu který máme celý smažeme
a znova je vytváříme
já s tím že pro klesala se samostatně ale výhoda je vtom že my máme
přesně definovaný okno u ty
vlastně ta nákaza se můžeš jestli
a lži uživatele zlato zvyklí že prostě ty windowsy pořady do čistě a ne je
to prostě že najednou set nebo čile s pomalé zpomaluje
takže je to jsou a to zvyklí to snad pátek ukončil práci a
mají vlastně zač anglického pondělí nanovo
samozřejmě profil a tak jak vy to práce s a most
zvlášť
a samozřejmě rámci to interního u systémů všem pokud nějaký komfort že vlastně provádí celá
cache to vlastně každou hodinu provádíme záloh veškerých dát za situaci kdy si něco svazu
svážou
dokážu se relativně
dobře vrátit že ty lidi nemaj ztraceno úplně všechno když občas se vyjímky nejdou
a vlastně snažíme se co nejvíce používat vlastní interní testy kačen autoritu
pro kontrolu vlastně ti přístupu
a v rámci informačního systému ta vlastní vy si čte tu vyhlášku kritické bezpečnosti
tak tam se hodně tlačí na centralizací všeho
takže u nás vlasně je to
versus pro distribuce aktualizaci na ty jednotlivý stroje a laikovi běžíme s tichým vědí že
to je tak mi to primárně používá pro distribuci těch rychle život fixu případně proto
si stahování signatur
until wav a antivir
co se vám udělat ve windows defender a chromem spojena vlastně ta centrální konzole
na a
plus ta cena v rámci tý centralizace se jedná jen ten centrální holt menenžment pokud
jako vy význam informační systém ten základ tak ten okamžik
děj jedno
v tomhletom ohledu jaký _m než ven nasadíte
protože stačí vlastně standardní sis to který máte
a k tomu spojení vlastně elastik stretch taky pana proto jednodušší na vyhledávání rámci tý
netína stru ste schopný nastavit si filtry který posily vlastně upozorní na _e zas nějaký
počet událostí
a z hlediska z zakoupil vlastně je spojujete veškeré podmínky teoreticky rastrové operaci kritické infrastruktury
jste povinni ten to v a si je _e
a
ten byl tam tak vápně řečeno že
situaci kdy budete mít základní nějakou analytiků na tím že vám vyskočí na grafu podezřelý
je vlastně jakým způsobem
provoz ten okamžik je vám to může zastoupit tahleta vlastnil menenžment vona na tom elastice
leč případně ty občanství vlastně nástavby který sou tam myslím že krav a na to
je vlastně pro
nastavování ty metriky
a proto s tu zprávu počítače sme windowsovském světě takže tam primárně používáme to budu
poli si a nastavování to skrze ně
a nebyl s tím vlastně žádný problém
_m s tím potom ještě jakoby co je nutný si při vybudovat
ta k je nutné si vytvořit testovací prostředí a
provozní prostředí nemusí to být úplně jakoby oddělený ale prostě mít nějaký stroj že kde
budete provádět otestování
ten okamžik vám nic nemůže jako vize
s těch povinností nic vytknout máte prostě kde to testujete máte jakým způsobem postupy
a rámci monitoringu sítěmi teď současnosti pořádné spoustu nástrojů jak psisko pranic vás takže pro
on vlastně zprávu těch
u ale pro monitorování jak by sítě splnění jako dostupnosti služby máme tam vlastně v
ocelárně co
orion co je vlastně produkt ale spíš teď já to s můžu všechno nás zabit
tak vlastně to tam kontrola a je to vlastně standardní monitoring sítě co se dá
použít
má jsou čase ještě s konsistence propršené než u microsoftu ale to je takový šílený
moloch že tak a nejde spravovat jednoduše jedním člověkem takže ta no já se snažím
jako z našeho systém prostě trošku výroba
tom
když je půjčili pro trestní vlastně
ní s tím z leva se to vyhlášku a snaží si to splnit
důležitý si
pamatovat že není nutné všechno hnedka okamžitě posuzovat implementovat
je to o tom že zjistíte s jak máte aktiva nějaký svůj sem se rozdělíte
řeknete si je za jídlo z musí chytit provozu kdo jo to za to zodpovědnej
a návaznosti na to si řeknete _m pro letošek mám takovýdle rozpočet pořídím s toho
dlou tyhlety ze je že tohle řešení
a tady to že prostě třeba u mě řízení privilegovaných účtu
nemám letos proto finance to riziko s tím že se něco stane nevi z nižšího
pohledu není vysoké tak to pořízení vlastně má naplánováno na další rok uvedu tohleto dostat
plánu zadání rizik
a nám to prostě uvedeno jaký jsou rizika
po jeho implementaci sníží se bez rizika takový a současné riziko který mám je pro
mě akceptovatelný
ten okamžik mám nějaký pán věci vyřešit dané problémy
a z hlediska toho zákona je to všechno pořádku on tedy říká mu sem to
implementovat ale neříká za jak dlouho
a tímž _e toho plánu a máte někde uvedeno tak ten okamži je to vpohodě
dá pár let to bude sám dobrý
jo to metod jako to je hodně jako dobrých tomletom že
začali se nezblázní a nemusí tolik jakoby hned jako řešit
pustíme tohle naimplementuje to
a sme z obliga a nebudem to používat
no ještě nevymrštil
ale ušlo vzít jednat s jistou že máte na napsaný vtom plán plánu zadání rizik
ten okamžiku však on má by to že už na to se s tím počítat
a middle asi ten výbor kterej říká souhlasí s tím a ona si bere zodpovědnost
za to že se to bude implementovat do to zamane jde to do nekonečna
jo asi psát divně dívala metodou projekt primárně
tady ten zákon vytvořena to že má pomoct
tomu informatice tom protlačit a získat ty finance
do toho asi na ty na ty za na ty prostředky
cenu ten klementa
bohužel
narážím to i u nás vlastně v úřadu
je těžké to port radši protože
většina těch vyšších tom tento ne že _m pokus bere krom jako musí to být
ti
jo a deme na minimum nevšímej používají to jakoby nedá se skrz to protáčet já
chci tohleto aby sme tom je lepší to bohužel od mnoha organizacích to nějak diskuse
nefunguje
jo a většinou se snažej že toho co sou hlavní výtka no kyvu vůči všem
tím jak by kontrolovali osobám bylo že oni tu bezpečnostní dokumentaci
a házeli na vlastně si nechal jako o službu objednat
no a nechali si napsat vlastně bezpečnostní dokumentace
to hodil do šuplíku a vůbec je používal o vůbec nevěděli přitom tell a si
myslí že si dokumentace je živým dokumentem
jo s tím souvisí i na si stanovení a ty jo dobře dodal vlastně když
mužstvo externě tak prostě vám napíšou se sepíšou vlastně spoustu věcí
ale jeho je důležitý se rozjeté aktiva protože
když se rozdrobíme příliš mnoho
tak vlastně pak se s špatně snad pracuje protože musíte u každýho říct
dostupnost služby do je garantem
toho aktiva
kdo je zodpovědný
jo a jaký má rizika zranitelnost zvaná hrozí hrozby zranitelnosti
takle
a jestě mixes toho zblázním u nás prostě máme pár tak je takže sme si
špatně pojmenoval
a vlastně postupně si nějakým způsobem redukuje že z toho jakým způsobem s tím a
ne plen tak to měníme
jo proto je třeba je hloupost poštovní systém
máte jakým poštovní systém nerozešli takže máte ti vytyčení servery
že máte vlastně ten že servery asi jeden metr zóně po třech ten okamžik vniká
problém že se do toho zamotá té a musíte hlídat jako vy když to vás
pivo změníte jak se dopadne to aktivum
lepší stojanech u normálně jako by
jaksi _m prostě by že pracujete v rámci toho informačního prostředí
a pak samozřejmě
snažit se ten provoz ty procesy které máte vlastně portem
provoz jet to co se jak má dělat taky dálnici stý bezpečností to konec vyčlenit
do provozní dokumentace
ten okamžik může to provozní dokumentaci závislosti na změně takový libovolně měnit
a neovlivnila to bezpečnostní dokumentaci
našem případě my máme v rámci řízených politi řečeno
to tam administrátor musí něco udělá
když se mu to nedaří ten na to na vedoucího když vedoucí tam neni dáš
teda druhýho vedoucího ještě ani ten tam není tak na třetího
teď vyšších více máme takže tady na vlastně ředitele
a tak jako vy to základní raky
kdy prostě nějak jakoby neznámý člověk prostě respektive zimě oddělení prostě najednou informatika bouchá
prostě neví na koho se obrátit tak bez no to bezpečnosti dokumentace a podívá se
a nemám se obrátí na tohodle člověka
ten okamžik
začne ten proces
a z hlediska tý implementaci je nejdůležitější se do opravy zaměřit na ten životní cyklus
to uživatele
to znamená mít to co nejvíc automatizované
to znamená
mít veškerý osobní data na jednom místě co se hodí i z hlediska g typy
já protože budete mít osobní údaje na jednom místě a do těch ostatních systémů můžete
říct že jsou to tu provozně důležitá data jakoby provozně jenom co je pro provoz
nutné
a jakoby lépe se to vlastně lítá
a
a to c q co na sonu kdy vlastně teď směřuje všechno je zbavit se
sem
kdy
to asi mapos pozdě
jako výzva vyděsila a
vlastně nic ten cyklus
když odchází to vy čem kontrolu dyž přídou
přitom vlasy kontrola snu pivo tak oni bylo sou si ty bývalí zaměstnanci některý a
podívej se vám do centrální databáze nebo chtěj vidět pohled jaké uživateli znamená ne tom
systému
za podívá se hele jaktože není zablokovaný ten účet když před zamyslete funguje je tady
hrozí k o zneužití tomu účtu
takže jak bysme máme řešeno to centralizace my máme my provozem esa
to pro vás někde psal asi veškerý údaje
za máme tam a _e modul pro vlastně dycky zdroje kde jsou veškerý kompletní údaj
o zaměstnanci
následně tohodle vlastně systému co bych sportovní data do jednotlivých částí
to znamená
vygeneruje se vlastně do identity menežmentu se tady údaje
pro nastavování ubrání tam vědet menežmentu že tam potom když dojde
a pomocí pistolkou to vkládáme nutí další systém kde to je potřeba to na našem
případě je to primárně docházka
vlastně tam je obousměrná komu net komunikace
a vírou je že vlastním šlo smažete na jednom místě nebo neaktivujete to uživatel ten
okamžik se vám to rozdistribuje do tý je to ty zbývající části
takže rámci tý automatizace účtu jitého to
jak sem řeč o zablokování to
účtu vámi váš případě a dečku kdy se nám prostě tom že zablokuje a přesune
sám to samostatné větve kde prostě aby ty byl někde lize stalo protože nejhorší je
tesáky directory uživatele smazat
pak to vlasy na těch činností systém kazety otazníky a jeho světová čísla a už
není nic nevíte
co však vy hrozně nároční ty máš současně si pro té identity menenžment používáme od
microsoftu
vy to java je starší té ten podezřelej determinismem o tobě přejmenoval já znamená zkratku
že pět máme ty příští rok bude mít min
takže asi microsoft identity _m člen
a vyhrožovat si na jednom místě máte vidět můžete si vy dvě čísla
jaká opravní doma
jo to znamená mareš je administrátora ze své pozice žádné list a formát výstupu dílčích
částí systému nápad oprávnění
tady vlastně ukázka hezká ale bohužel omlouvám se já nevím moc dobře kreseb je to
nebaví
a dycky najít ikonky správné takže tady je ukázka že vlastně meze zapo mám jednu
větev která vlastně se stará o distribuci veškerých oprávnění to tak ty vektory na vlastně
tak ty vektory pro nás jako referenční autentizační systém
znamená tady napojili s mostem rádiu servery který provádějí to ověřování
a vlastně patra na radu serverech máme omezení že
musí přistupovat za ne ip adresy z ip rozsahu dva rozešli my si se může
to uživatel připojit jenom z naší sítě nebo i vlastně s nižší sítě
raz tím pracujeme
a vlastně pardon a ale ta jeho si jednosměrná komunikace to zvládne to jenom ze
s a podal nikdy se nedá vlastně
nazpátek houby zle provést nějakou změnu
a máme to vlastně v denním cyklo to zná každý ten o půlnoci
se provádí synchronizace zná jako je kdykoliv tam provede nějakou úpravu
ten okamžik vlastně máme štyryadvacet hodin a to
to do toho vybere ty menežmentu pro
promítal ty na to ta změna je ztracena
a vygeneruje se report že tam tazatele ta nesrovnalost existoval
a pak máme obousměrnou komunikaci což běží přes ten medové bys to tady asi proháněl
synchronizaci v rámci docházky jedná se dycky _e obousměrný procesy kdy je potřeba jedný táta
fyzický zásah a fyzická kontrola toho ten pokoj musíte ručně není tam o řád nákupy
automatizace
je to o tom že neběží to do toho do toho centra do toho centra
a jednotky tedy to ohlídat
a jako vy co když už jako by se ztrátou ten vývar a plníte
tak jako by uši nutný tak jako myslím že nejširší se zbavit hesel
nová vyhláška co se co je dispozici už na internetu řekl vyžaduje aby se co
_m do všech systému provedla implementace dvoufaktorový autentizace
ve starých bylo vlastně omezení jenomže sam si by osmi znaková
teď nový vlastně je řečeno že musí byt třináct respektive sedumnácti znaková a musí se
vlastně každý tři měsíce měně
takže to by bylo jako vy šílený u nás my sme dřív měli čipové karty
sestry se uživatel chce vás vezmu na mě let šekovku a k tomu sypalo to
je vlastně pin pomocí certifikátu se přihlašovali
současnosti _e sme přišli vlastně na mobilní zařízení která ho a
kde vlastně mě host to mobilní zařízení s provozem přes ten den jako u našem
případě mu v ajron a pak vlasně
_e na tom vlastně máme o tebe generátor
jo časové čas vlastně čas vygenerování jednorázových hesel
jste se ten den jako vyžadujeme vlastně heslo to mobilním asi mobilnímu telefonu no to
gesta a na ně vlastně signálu ty o tebe koryta dejme se přihlašuju nej to
vydá jako dvou faktor ale je to bezpečnější nežli
ne že to jedno hrází a je tam ta výhoda
naši uživatel se zip že prostě nesnesla a spíše problém s dodavatelama který prostě berou
že dvou faktory vždycky pevně to že tam je heslo a jednorázový o té péčko
to mi to zase tak jako řečeno a teď jak bys to si směřuje že
ano
primárně kvůli tomu že my máme vlastně vrtání kde stopy a ta distribuce toho ty
čipový karty směrem nahoru byla velmi problematická a kde inte ty noutbúky jsme začli by
limitovaný tím že ty noutbúky a svou tehdá vlastně ty čipovými jednat ve vočích čtečky
čipových karet
ve ne nejsou respektive tam můžeme menší a sme při tvých soutěžích
více limitovány s toho důvodu sme opustili čipové karty a i v rámci idea sou
se snažíme tak nim nevracet a už máme je rozjet na no
s českou poštou aby řešení které vlastně a nevyžaduje vesměs pěkně implementoval nějaký to usb
token i nebo čipové karty
šlo to bude ryze pragmaticky že prostě přihlašování pomocí čipové karty prostě vás zdlouhavé
a prostě nutí systému ne ideálně integrovaný tím že sme křešína o té jako vlastně
používání o té péčka tak nám asi umožňuje se přenášet do všech systémů který vlastně
podporou rádius
lze má můžem se přehážou vůči firewall pas lidé se letenky jsou budování pomocí o
tp
a některé na to vlastně ne to je
našem případě je to vlastně vhodný pro fokusu který vlastně vlastní je suse tak oni
mají ne time you
esmeralda sastry vlastně na to dovoluje tohleto řešení
a na
an ne
proto té péčko a sme žádný je přiznám se že tam mě nenapadá žádné vyšetřování
protože tam je to vlastně o sídlo tady časové co je to časově byl jako
dar es je heslo je časově závislé
já to no tohle do
máme třicet vteřin a přiznám se že ta která se nebo tlustý dokumentace jaký se
tam používají
jo tam a tam to se omlouvám pane
když jako ty hesla když už máte vyřešený a tu najde životní cyklus tím uživatelem
ten okamžitá naprostá většina
těch požadavků který vlastně ten
táhla si ta vyhláška v liberecké ve své činnosti vyžaduje má té z většiny splněno
protože zbývající ty části už jsou hlavně o
s popsání těch procesu jakým způsobem pracujete úsměv organizace
jedná se o sylvy náký větičky to do těch jak by to smluv s dodavateli
o tom jakým způsob si předává té uživatelských vlastně data
a podobně
ram tomhletom ohledu my sme si jako vy cestou nejmenšího odporu ty předpokládáme že když
sme jenom význam informační systém tak nás prostě budou pomalinku tlačit do toho abysme plnil
všechno co teď kritické informační systém
a vypadá to že to je tak jak by dovopravdy směřuje že teď už na
nás trošku tlačit to že musí se musí implementovat
monitorování sítě pohledovou proudu teď sem se pardon
upon von hned flow sondy vlastně aspoň na pár metrech který
vím budou posouvá si budem do dopingu prostě posílat základní data o práci s tím
takže pokud jako by mu šek operace ten jo přidělávat at je to bezpečnostní dokumentaci
protože ta bezpečnost dokumentace musí být živa libovolně se mění mého mi bezpečnosti dokumentaci měníme
každý rok vlastně o malý protože je mi jak se snažím jak ve aby ne
si sedne ty procesy bude jedno jedna věc je to si napíšem a
druhá věc jak to děláme tak někdy to prostě skřípe nadáváme se a
je potřeba sylvestrova to zpráva do správný koleje
co šel se taky to _e u nás vlastně ten ta eskalace psala jsem řekl
administrátor a dál to jde nahoru
to se jako asi vyplatilo je rozdělení garanta rozřeším garanta na toho aktiva na provozního
a metody my máme tolika rozvojového že máme člověka který se stará o to abys
ten systém jak jsem se vyvíjel
co šlo
ten nesmí nějaký dobrý práva tom aby ten systém do nějak by zasáhlo takže je
to dobrý jako rozdělit se to takle myslet tom jak nedospěli
takže administrátor ten se stará o ten provoz
rozvoje a nasazování ale to že si vymýšlí je tam bude daná ikonka nebo ta
novej proces
ten okamžik
_m ten člověk prostě ne nepatří tomu a nemám nesmí tam šahat oznámila metodika ten
se stará o přidělování práv ti uživatel u a administrátor vlastně o zbytek
a vypadá to že kolem nám se takový nejlépe hodí
ty vyzkoušel tak je práci spíš ve to pak jako dotazy tím jednotlivým částem přivez
v tý bezpečnostní politiky jak vyrazit sem jako vinař s já si myslím že jsou
hodný
to zařízení je provozovat komunikací
tam je důležitý se odkázat že
ten strom že ty věci ty kritiku jako jak postupovat v na jaký systém vypínat
zapínat volá si lidé si to prostě mi mimo tu politiku v rámci politik jenom
řeknete u nás je to že
když se něco stane za vím systémem kontaktu daný v administrátora když administrátor není k
dispozici tak zkusím jeho vedoucího
a když jakou ani ten vedoucí tak kdo za tím šéfem a když už jako
ní _e ušpinit ta prostě na to máme na to manažerky gretzky bezpečnosti tady asi
zastřešuje to vlastně co útok veden svou bezpečnost
to má je to o tom kdo komu a co říká
je toho si řešení krizových situací
řízení vlastně přístupu tam jenom hozený že
musí být v každé fázi vlastně každý systém každý uživatel včetně služeb jednoznačně identifikován tom
analytici jaký pravidlo jak to pojmenovávat máme podle příjmení tam je trošku nevýhoda vlastně kdy
se
_hm dívky jeho ženy vlastně vidět dají
tak ten okamžik jak rostou systému zaznamená jo protože ten okamžik je
by to neseděl takže my vytváříme novýho uživatelé
a mýmu vlastně aby dycky seděl přímení a pro už o vlastně pro dodavatele mám
dycky název firmy
a _m lepší není toho admistr jestli byl to dodavatele kterej přistupuje
pro méně
a co sem jako je hrozně líbilo co asi to nejlepší a nyní nevadilo to
v rámci
to zákona a dojdete malý ty jo to vpnku je vlastně formulka že ty složitosti
nesla nepište se tam je to musím méně o jakou minimálně osum záchod tam vlastně
máte stačí tam prostě větička že sou musí splňovat požadavky které jsou stanoveny vyhláškou liberecké
bezpečnosti
a ten okamžik ten vlastně je to politik už máte hotovou a nemusíte nějakým způsobem
toto zasahovat
co se jako vylízaný u nás zas něco co kolegové vlastně vytvořili
byla vlastně způsob
manipulace s tím uživatele že my vlastně jako jsme státnice zejtra máte přesně dané pracovní
pozice a s toho vyplývající přesně dané vlastně možnosti tak ten přistupuje
tak máme veškeré jasně o právní navázány na pracovní pozice a toho uživatelé teprve přiřazuje
jakoby do skupiny tím to na to pracovní pozici takže situaci kdy prostě u nás
nějaký zaměstnanec rozhodne že už nechci dělat tomto oddělení legrace další
tak vlastně v rámci tý automatizace se jenom vlastně v rámci sapu se mu provede
k nějakému datu přehození toho ty pracovní pozice a ten okamžik souznění veškerá oprávnění a
my nemusíme hlídat to kde máš něco nastavený
protože je to svázaný s ty pracovní pozice a změnou ono o něho toho povinný
oprávnění příde
já vím pak si jenom selektivně
v na v závislosti na žádostech jo to papírově
může žádat o nějaký speciální výjimky ale tušil uvedeny zvlášť a lze ochránit
tohle a
s tím bezpečný chování uživatelů
ideálně nejlepší uživatele bezmoci uživatel zvládneš voni se dovolíte nic _e nezkazí jel tamle tam
měl _m teoreticky a
já to znamená u nás je že sme teď jako posledně ta pavla že sme
všechny uživatele vlastně hodně před firewall to nikomu nevěřím _e prostě žijete sme to a
prostě bylo to že pár dnů prostě nefungovala se ale asi
na ve teda tak tam je
jo
nad
a nalejete jak absurdně ale jako z ale nelze to brát doslova ale je to
takže poskytnete pouze ty prostředky které opravdu potřebuje a vlasy nemůžete jako jiného můžete mu
to volnost na někteří lidé by tento menenžment si stěžoval na to že chtěl mít
jinak pardon
ještě línej notebook ne švábi neuživatel
a aby mu říkáme a proč
vlastně vytváříte stejné papíry
já to znám stačí vám jenom word
kde můžete pracovat do tiskárny tom pracoval a voni děkuji jakoby je to taky dobrý
jako poskytnout volnost a jak situaci kdy poskytnete volnost tak tedy existuje riziko že ste
zapomněli jako možnost kterou vlastně nemáte ošetřeno
takže lepší je to uříznout
to za námi sebe se dostat do stavu když je ten ty letenky telete no
stroj je pouze pro nouzové situace kdy to může pracoviště offline
ale oka si jiné situace musí všechno dělat
vzdáleně na tom vrtání desktopu který se snažíme na těch pár metrech nějakým způsobem maximálně
chránit
a ty uživatele příde jenom obraz zná klávesnice myška pracuje může ťukat a to je
všechno
co má tahat flašku takle a najde starý ne flešku stačí a ten okamžik ten
strom může být infikována šup a už to letí
jo to jako bys tomletom ano
jako nám jako ji snažíme se tohleto samozřejmě snažíme se jakým způsobem se tím nějaký
části zpříjemňovat odhad _e teď i skotem o tom že _m tu plochu dovolí mezní
je tři můžou mít věnovat
dál protože sami se hádáme o tom jakou barvu ploty má protože teď máme zelenou
takže ty přecházíme desítky tak jestli bude šedá modrá a tak sme říká je tak
asi _m to necháme se může leda prostě svaté fotečku síti dětiček jo
já si všem
ta se to jako limitu a to sem na nechce tomletom
no
co se týče zálohování a obnovy tam toho se ta politika jednoduchá jenom řeknete co
se záloha je a jak často při a lepší byl případně na koho se obrátit
když potřese něco brát jako je obnovit ale zase platí odkašle se na svůj nějakou
interní dokumenty jakým způsobem se ten postup jakým se zpracovávat
ne jako trošku nejbolestiplnějších tomhletom ohledu je
dlouhodobé ukládání archivace u nás to dostal garant který má na starosti
archivování tak jak je řečeno podle zákona
a bohužel nám řekl veškerá data se budou záloha deset let archivovat drogám že jsme
narazil na problém
co s poštovní martinem
pošta prostě to jako jí měli prostě na co proč záloha deset let
já a narážíme na problém že náš a arky poštovní za těch deset let má
přibližně kolem osmi která
a prostě
místa nikdy není dost
protože dycky jako ta soutěž je na ty diskový úložiště ty si špatně by soutěží
a
ušaté jednou shodili ne za měsíc za známe působnosti let
ta předchozí
to řidiče fyzické bezpečnosti tak tam je dělá jakoby osm set dva jedna iksko to
implementovat je to trošku nároční co se týče informaci a s v našem prostředí pořád
nějaký systém prostě přestanou fungovat video a to funguje a ne nova to přestane
nevíte kde je problém
a sou našem prostředí a tati zmotal implementovali ale už to máme pořízeno a zkoušeli
jsme to
a samozřejmě i dá nějakým způsobem zabezpečit _e odbor informatiky aby tam asi nebo nepovolená
osoba nemohla u nás je výhoda tom že sme zřízena zřízený ústavu máme tam pana
prezidenta work nejvyššího kontrolního úřadu ten okamžik máme dole policisty
ale v rámci plánovaného p nedržel testování už vidíme ty rizika kdy poledne ti lidi
chodí na oběd a sobě dá že ty poči lidi nespočítali a prostě to této
doby se lze vstoupit ve slova a ty policisté si toho nevšiml
takže už se těším na to penetrací testování ačkoli
hash a uvidíme jak jediná lidi práce naše úřady
jedete tech liberecký událostí té o tom že lossy musíte sbírat ze všeho vlastně logy
které to generuje
a u nás ho si že řeč o tom že vlastně vratné máme vlastně postavení
řešení které postavena rozteče víš vypadněme já vlastní s to strašně tam nějaký proprietární část
nějaký generování se s takovými soutěžili
a pro
to detekci máme nastavených
já nevím dvacet třicet filtru který se snaží způsob jakým způsobem detekovat nestandardní věci
a to vlastně z _e v základu tom stačí
nafajluju má nastane jakkoliv prostě jakmile se tam někdo špatně přihlásí tak to příde mé
mejlikem nejhorší že z něčeho já mám problém se tam dělá se na poprvý takže
lickými den pásy mail tak se dycky umažu že ten pořádku
ale pak je to pomáhá třeba když mám automatizovaný scan kterými
vo filtry lossy generuje do formule cen kryt certifikát
tak je vidím že se mi přihlásila provedl nějaký operace takže s kontrolu říkat dobrý
provedla se obnova pak zkusím jestli se vůbec přihlásím do pro devět show čovek jako
zapomíná
pak se čovek dostane do úřadu
že se tam špatně prohodil aspoň to se nestalo pondělí
router a rozhozen já věděl že problémem jsem nevěděl jo error
až tak
a sobě a vyhodnocování událostí jak jsem řekl stačí dopravy nějaký standardní sis to a
sběr na jedno místo
jakým způsobem že ste schopni s tím pracovat a že administrátoři sou poučený to asi
dostačuje aspoň v rámci významnýho informační systém u toho kritického bohužel nevím tam je ten
si jen
a zatím jsem se neměl čas tom jak by to stát
kryptografická
ochrana sto procent že potkáš té se prosím na
tohle nákupy vranické bezpečnosti
tato to má spoustu jako vypsaný různě ty toho se aktualizuje s ohledem na ty
vlastně děje ssl trojka
a ten hlas jednička žila s tím jsou jakoby a dvojka ssl to vlastně jsou
však by nebezpečný a vyřazeny ten okamžik nemusíte politiku měnit to a pohrát si vlastních
systému s tím dá pracujete protože jenom se řídíte politikou a tech pořádku
takže ten graf kus takže
z hlediska toho technické co je pro tak s tím ten pro splnění
jakým přípony který má zákon kladenské bezpečnosti stačí vám standardní takzvaný nextgen firewall kdy vlastně
dokážete pomocí
ruznych agentů jak na active directory případně na těch
desktopu detekovat toho uživatele identifikaci uživatele push na úrovni toho parametru a dokážete na základě
vlastně uživatel lze upravovat vlastně
ty vlastně o právní případě nějakým způsobem
a o limitovat a s tím pak tedy související ssl inspekce tam je vyžadována asi
abyste mohli vlastně sledovat ten pře král
překlad
což trošku zlobí vietovy situaci kdy to a niny port ne štyry tři tak se
trošku s tím a von ty firewall i s tím trošku bojují
jaký dneska tý deska antivirová ochrana antispam vlastně na úrovni mail serveru
identity menenžment abyste mi nějakým způsobem podpora práce s tím že v a ten životní
cyklus vyrobeny
a centrální autentizační zdroj tom a ověřuje toto na jednom místě pomocí těch identifikací s
tím ostatních třeba vím že v rámci jaký školení mi říkali že to výčet sis
k a se co mají tak s tím dokážu celkem jako zázrak ale všechno je
to o tom že se to musíte vyzkoušet proklikat si a
pozná za návaznosti na to jakým způsobem pracovat rámec toho check on to sám vlád
tady hezky ale drahé
který vám dělá že veškerý soubory kontrole
na tomu klientský stanice a rozvod klysma že pro ten problém je se sandboxing _e
jak funguje kdy sandboxing u je hezká že vám to kontrol někde jinde projektant prostředí
ale problém je že první vektor tady vlastně projde asi k vám to zná první
jak by nákaza tam vždycky projde
on vlastně až po sto s kontrole takže v tomletom sto sandboxing je jednak drahej
vydá svém tří milionů minimálně
a neni to má jako je stoprocentně nebo o co vám to je dán
_e
vraťme se k tomu nesplní
lok menenžment
nějaké schůze měl přístup to za ukážete že na jednom místě máte veškerý bloky máte
nastaví na toho právní že to nikdo nemůže smazat a že máte zálohování že když
vám to spadlo tak je data ne s přijdete
litery to nuly
a pak trit v rámci ty fyzický ta osm set dva jedna věc je prostě
máte prostě porty jsou vždycky někde tak prostě v že nestačí to jenomže přenesete kabel
připojte nebo ideální je prostě všimněte tiskárně síťový vezmete síťový tiskárny jsem vidíte mac adresu
připojit a ten okamži
máte s vlastně si ste si tě toho úřadu a můžete se tam život vesele
hrát a tak
zkus _e pracovat
co se týče hodnosti pozemky mi změnám které se jakej plán jo
je s řízení privilegovaných účtu
protože z hlediska toho systému
administrátor jsou vždycky té nejslabší článek
a to se nikdy nezmění prostě se principu musej nějakým způsobem pracovali
de pluju stroje veškerý co má k úřadu z vás nám generické heslo pro administrátora
proto abych to původně nastavil a ní
ne prostě problém je že člověk klíny aspoň a nebo takle prosím tě vidět a
následník že ty uzávorkování problémy dycky naležato nastaví všechno ale toků ten úklid a to
čištění ten vždycky základní problém takže tady řízení prvé vyučuje funguje byla takže je to
centrální trezor s veškerým a hesla má
a
vlastně tam vlastně zprostředkovává je to proxi na která zprostředkovává přístup ti myslím systému
a tak to většinou funguje to na té s asi nepamatujete i ten který přistupuje
taky ne nebo má zájem to svoje k tomu hlavně aby viděl ty další hesla
a kliknutím se postupuje tohleto část ještě nemám bohužel prozkoumal nějak rozumně
a
na příští rok na no a vás to v open
nemůžu říc koupim web s kusem si vybrat to nejlepší řešení dle vy základ to
tak ono za zadávání veřejných zakázek zavezl
net flow který vlastně o nějakou štváči ruky v že prostě chce mi na ty
které k sledovat těch situaci kdy vyšel jak jede dost tak voni aby poslali mi
říká že se něco děje
_m zatim ní na u nás máme prvky který to podporovalo nějak diskuse sme k
tomu neměl zatim smysl krom tady monitoringu že budem vidět ale tady je slabá linka
potřebujete jakým způsobem se rovná
a pak jako je hodně větší problém co jakejch ciráty řešit je
centrální řízení něčím firewallů
protože většinou se řeší tempery metrovej to má ten přístup venku
posílat a ale teď nic
jako neteče jsem standovi to ty sítě tak málo byty jsou tam řešený if firewall
na
vlastně na tý linuxový zařízení a když sou tak sou lokálně jak diskuse nastavený a
nikdo se nepohod _e přesně a
takže vydání prostě to sjednotit v rámci tady u nás vypli běží na wienerovým řešení
tak tupá plánem to hennessy tram dovolí to na jedno místo vlastně že jako je
na centrálně řešit ty základní ty paketový firewall
tak hodný a to se dá se synovec jako ukázku je že teď řešíme decentralizaci
certifikát protože _e dá z vyžaduje to by na hardwerove prvku
to znamená
ty dá s nějaký napsanej tak vlastně
vyžaduje aby stejný každýmu vlastně deltou
měl token nebo ty čechovi karty tak jsme se úspěšně zbavili tak nás vlastně vyžaduje
nazpátek abysme se je vlastně pořídili takže v rámci toho my teď nám dodavatele vyžaduje
_m
po nich jako nějaké řešení
a zatím jako jiná moc ale
že je česká pošta řekla je to že ta
neřeš nesplnitelné
ta otázka kde pro jenom pro osobní certifikát i pro pečeti to bohužel ti nefungují
nebude to bude snad sáro záleží jak se domluví na ministerstvu vnitra
takže v našem případě to že máme teda nikde sou na pin pracuje
a my vlastně si pořídí nemá ale za módu a k němu nastavuje
vlastně internetu miller
tady bude certifikované tady s prostoje kvuli bude pro ty jednotky uživatel simulátor ta
čipovou kartu
a ten okamžik je to všechno ubytování práce s ti
a jelikož sis ho české poště tam zablokoval přístup do toho midlevel že budete ty
plány to může pracuje s tímhle se modulem znamená certifikáty vždycky vygenerována _hm se modulu
a de jenom žádost
přes ten hitler
české poště v ten okamžik česká pošta
nám řekla že by měla akceptovat to že nám dá nejvyšší ten stupeň to vlastně
ty úrovně ty těch certifikát za máte na nekvalifikovaný nejvyšší ten okamžik to projede
já doufám že snad se na to za půl roku podaří
vy soutěžit naimplementovat a pak nasadit
a co se týče politik nákladů které jsme měli celkově s tím
a s těma
spojeny jsou implementací to není zákon a tyhleti vyhlášek já jsem to počítal tak sme
na úrovni asi šesti milionů ve bysme rádi museli pořídit jenom ten hluk menenžment a
to svého pořizovali primárně kvůli tomu že jsme špatní soutěžili centrální firewall že
já to napsal že to musí podporovat o menší jak by za logování ale bohužel
se nedá cokoli soud a málokdo
zlo oni dá listovací vývoj diska mezi déčko vy
a já měl každý pin přepsanej
vražda to doplatili za půl roku sme mi řekl roli ten dres
to znamená pěkně sme vynadal yumu se na podzim dá dva stejnou je hardvér co
a nemusel se vlastně
marku to asi bude centra jel menenžment ten vyšla bych to byla
podle mě ti to znáte to vaše se tři nuly přijde pět a ten set
což vlastně cíleně se za patnáct
to řeším toho té této nás vyšlo na přibližný dva miliony věcem
dva
a pan josef tomletom a vím že tam odletí a brněnským ale plus nabízel stejné
řeší trestný
mně osobně líbilo víc ale lubo už o nepatrně dražší postavil takle pohyboval takže jak
vy to o tebe po pořízení ne jako ňáký nároční a většinou co sem se
díval takovýmto na implementaci je taková
že tam je vlastně rádiu server
tady prostě prování toho ověření u toho netají ku je prostě
do radiusu
hozeny knihovna která je něco dělá že se dívá do typewriter do spisu kolonky deva
na spánek vlastně za krypto vany ten c
to asi všechno co bys asi si chtěl říct
vlastně tomu zákonu vy zákona kybernetické diskuse z toho nás nasadit tak sem se chtěl
zeptat jestli jsou nějaké dotazy které by byl schopen odpovědět
ze zákonné řečeno tři měsíce
to si klasifikujte
jo je to hlásila to znamená zalži jako vy
de o to že když vám přijde dotaz taky daně za to dokázal potom zodpovědět
k nám třeba přišlo že od policie že před dvěma lety jsme na nalezli tohle
bylo z vaší ip adresy ještě šla nějaká závada komunikace
můžete nám říci k tomu více
svobodě nevím
ptal
jako je tam ty tři měsíce my jsme si pořídit sice pera zkoušíme maximum toto
nemá prostě ten rok sme si řekli jo protože jsou tři měsíce a nějaký jiný
zákon se mu mobilní operátory nebo tam nějaký ty data říká půl roku takže podle
mě ideální prostě počasí půl rokem rok entita
ty disky nemusej bejt rychlý zájem jo to množství to na řece která šedesát teda
záleží na mínus ti komunikace primárně si to je nutný se dostavit pro sebe aby
si člověk dokázal nějakou statistiku
a to se vydání dělá za rok no
pracoval po využívání mobilních dat uživatelů do koliks toho ten takže to si dá nějak
během roku
tak se tomu
já se musím přiznat že mě přístup tu typický přístup úředníků s této oblasti trošku
pije krev protože
to je prostě klasicky způsobem vytvořit penězům otto na evidentně se to jako dá udělat
za ne příliš velký peníze a
tak sem se chtěl zeptat jestli jednou by bylo možný jakým způsobem jak už zveřejnit
nějaký
nějaký guide lajn s kterých _e
když se
budeme držet tak vlastně jsme schopni implementovat
ten zákon umím
nějakým rozumným řádu peněz
a vlastně jakoby vybavit lidí který se snažej třeba enum jsou nějaký pozici kdy můžou
vlastně
šít do toho co ty chtěl něco ty úředníci vymýšlejí a stojí to třeba jako
je pořád víc nešel kolik nakonec my se tady s podíváme
taky vybavit nějakou munici jí vlastně jak můžou rozstřílet ty úplný nesmysly který vytváří právě
ty peněz obory tam se naráží jako vy já no problém je prosím baseline _e
protože kdo byl mě vytvářet ideální by bylo kdyby ho vytvořil luky
jo ale problém celkový je tý státní správě víte že odbory vydaný kde jsou
pláž a warovými ty prostě fandové který to prostě dělej ze zábavy že mají myšlenku
to že to zlepšení
ale
je to o tom myšlení já situaci kdy ten podstatě informativní tak prostě jednoduše prostě
přijdeš ever pořiď misie
a bod lidi s těma prostě to my sme to řešej prostě tři čtvrtě roku
sme přemýšlet jak to udělat co se nám hodí co ne a prostě směřoval jsme
to co se nám hodí co potřebuje a to tahle ta myšlenka ječel neni
jo vím že se nám řekl bylo prostě si dotaz pošle nám bezpečnostní dokumentaci místo
podle ní udělám problém je každá organizace specifická a ten kraj tady nejde jednoduše udělat
že prostě jenom prosím postupujte takle
do té o tom prostě že se musej sednout aby to otevřeně pro myšlenka diskuzi
do máte člověka zajděte zeptejte se
dovedy se vezmou do nás hustili prostě ty různý to organizace ty toho dodavatele jak
co máme implementoval a co má bejt perfektní a aby bylo tohoto že my sme
se nesměj dát a prostě bereme no to máte tam _e porodu je pro nás
použitelné a pak je otázka co nejhoršího potřebuju
já když při provoz soutěž veřejnou tak hledám nejhorší řešení které pro mě akceptovatelná
a plus pak vymejšlí nějaký objektivní jiný parametry který má způsobem můžu lépe specifikovat co
bych sis přál
jo ale tomletom bohužel je konexe ste to jenom o tom že sme se tyto
informace z díla
auto by měl správně by vnuky
a _e
já zatímco země bude
je to možná vode mě jako tak jako vošklivýho říc ale
ty znalosti na straně berou resp jednou pivu si mysim že ještě nejsou
jo když já sem se hlupák ta na tom dyž tě hned flow ty sondy
tak se chci zeptat
také proto ne flow nebo vám stačí trefit
já vám nevím
to pardon prefix této sami takže pořád ale heslo rozhlasem plovárny jakým způsobem oni já
to nebyl schopný zodpovědět
to je ten problém no jako nemáte na koho se obrátit na které by vám
řekl správnou odpověď
takže tam ten postavu si myslim že to není možný chan internetové
tak jo bohužel už nemáme čas pro další otázka máte tam sou z hospody z
obr je tam i věřim tomu že když budete mít jakékoliv dotazy tak se honza
bude věnovat i po přednášce
takže děkujeme za přednášku já ho někdo tak