CIO
2.6K views | +0 today
Follow
Your new post is loading...
Your new post is loading...
Scooped by Pál Kerékfy
Scoop.it!

Lopjunk szellemi tulajdont?

There is a critical disconnect between the cyber security behaviour that top executives recommend and the way they behave themselves, while many firms do not know where their data lives and moves, a report reveals.

More than seven in 10 CEOs admit they have taken valuable intellectual property (IP) from a former employer.

78% of CEOs polled agree that ideas, in the form of IP, are still the most precious asset in the enterprise.

93% of CEOs say they keep a copy of their work on a personal device, outside the relative safety of company servers.

63% of CEOs polled admitted to clicking on a link they should not have or did not intend to.

The majority of business leaders (77%) believe their IT department would view this behavior as a security risk, but they do it anyway.

The findings also underline the need for a realistic data security strategy that not only addresses human behavior, but also takes both prevention and recovery into account.

73% of security and IT leaders saying they believe that some company data exists only on endpoints and 70% admitting that losing all corporate data held on endpoint devices would be business-destroying or seriously disruptive.

Pál Kerékfy's insight:

Vizet prédikál és bort iszik a legtöbb üzleti vezető, amikor a rá bízott értékes információról van szó. Szereti a saját kezében tudni, és szereti magával vinni, amikor vált – bár tudja, hogy így a cég legértékesebb vagyonát viszi magával.

De amíg a helyén marad, addig is lazán figyelmen kívül hagyja az éppen általa jóváhagyott szabályokat, és kockáztatja a cége sorsát.

A biztonsági és informatikai vezetők is látják a problémákat és a kockázatot…

A felmérést végző cég (Code24) szerint nem elég a jónak látszó szabályzat, az emberi viselkedést is figyelembe kell venni!

A felmérés (amiben 1000 informatikai és biztonsági vezető és 600 üzleti vezető vett részt)  itt szerezhető meg: https://on.code42.com/go/content-data-exposure-report-g/

#CEO #CIO #CISO #CSO #hypocrisy #UK #USA #Germany #Code24 #policy

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Criminals in the cloud: How malware-as-a-service is becoming the tool of choice for crooks | ZDNet

Criminals in the cloud: How malware-as-a-service is becoming the tool of choice for crooks | ZDNet | CIO | Scoop.it

"Developers create tools that they sell or rent to customers through online black markets, complete with sales, money-back guarantees, and reputation systems to provide customers with assurances that they won't get ripped off."

Pál Kerékfy's insight:

Már a tavalyi ITBN konferencián is hallottam, hogy a zsaroló vírusokhoz kiváló szolgáltatások is járnak. Úgy látszik, ez most az új és feltörekvő szolgáltatás: Malware-as-a-Service. Vajon meddig jutnak a magas színvonalú szolgáltatások kiépítésében?

A Citadel esetében 4,5-5 évig jutottak. Ennyire értékelte az amerikai a bíróság a két fejlesztő teljesítményét (levonva a “kedvezményeket”).

http://www.scoop.it/t/cio-by-pal-kerekfy/p/4082281581/2017/08/03/citadel-malware-developer-jailed

#malware #cloud #blackweb #Trustwave

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Singapore's cut-off from the internet is not so crazy

Singapore's cut-off from the internet is not so crazy | CIO | Scoop.it

Singapore is taking 100,000 government computers offline. Is this wise or foolish?

It won't be the end of the world for Singaporeans and their government. Fifteen years ago few government computers were connected to the internet anyway, and people got by. It will be inconvenient and there will be an awkward transition period, and then it'll be business as usual.

 

“The Government's move marks a return to the past – the 1990s – when Internet access was available only on dedicated terminals.”

Pál Kerékfy's insight:

Izgalmas hír! Nem is annyira új, de hozzám csak most jutott el, hogy a szingapúri közigazgatás lekapcsolja magát a világhálóról.

 

A hivatalokban csak olyan gépeken lehet dolgozni, amik egyáltalán nem kapcsolódnak az internetre. Ez minden bizonnyal csökkenti a támadások lehetőségét.

 

A világ egyik (vagy talán a) leginkább elektronikus és digitális országa váratlan döntést hozott. Arra jutottak, hogy a kockázatok csökkentése megéri a nehézségeket és a bonyodalmakat.

 

Próbáljuk elképzelni a közigazgatási munkát, aminek során az internetes világban élő emberekkel és cégekkel kell folyamatosan kommunikálni, internet nélkül. Végülis nem lehetetlen, de …

 

#Singapore #cyber #security #internet #IDG @IDG.Enterprise

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Bringing the Power of Watson and Cognitive Computing to the Security Operations Center (SOC)

Bringing the Power of Watson and Cognitive Computing to the Security Operations Center (SOC) | CIO | Scoop.it

Today, the average enterprise security operations center (SOC) is crushed under the burden of an estimated 200,000 pieces of security event data per day, according to IBM research. However, only a tiny percentage of those events require immediate action.

Pál Kerékfy's insight:

Ez valódi probléma, és részleges magyarázata lehet annak, hogy a nagyvállalatoknál hosszú hónapokig, akár egy évnél is tovább tart egy-egy betörés észlelése. Mindenki tudja, hogy ez így teljesen elfogadhatatlan és javítani kell a helyzeten. A biztonsági szoftverek különböző szintű és minőségű elemzése képességet ígérnek, de az események fényében ezek nem tűnnek teljes megoldásnak.

 

Nos, az IBM itt is beveti a Watsont, ami már sok területen ért el sikereket. (Néhány példa: https://palkerekfy.wordpress.com/2016/03/10/watson-segit/ )

 

Mit várnak Watsontól? Gyorsan, egy szempillantás alatt elemezze információk tömkelegét, és találja meg az összefüggéseket a különböző rendszerekben észlelt és nehezen összekapcsolható események között. Ha sikerül ezeket a kapcsolatokat felfedezni, akkor azonnal kiderül, hogy önmagukban ártalmatlannak tűnő események együttesen támadásra utalnak.

Ha valóban lesznek eredmények ezen a területen, az nagyszerű lesz! Kell ide valami új, mert a becslések szerint már egymillió felett van az IT biztonság területéről hiányzó szakemberek száma.

#IBM #Watson #cybersecurity #SOC #intrusion

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Radiation detection devices open to cyber attack, researcher finds

A security researcher has discovered numerous security flaws in multiple devices that are used to detect radiation in critical facilities.
Pál Kerékfy's insight:

Ez igazán nagyszerű! Unatkozó tinédzserek kelthetnek pánikot, vagy (ami esélyesebb) terrorszervezetek csempészhetnek sugárzó anyagot észrevétlenül. Ez utóbbi akár meg is történhetett néhány esetben – nem tudhatunk róla, amíg el nem dicsekszenek vele.

#IoT #cyber #cybersecurity #infrastucture @IOActive @Computerweekly

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Citadel malware developer jailed

Citadel malware developer jailed | CIO | Scoop.it

A Russian man believed to be one of the developers of the Citadel malware used to steal millions by infecting around 11 million computers around the world. 

Vartanyan, whose online handle was Kolypto, is believed to have helped develop, improve and maintain the Citadel malware while living in Ukraine between August 2012 and January 2013, and while living in Norway from April to June 2014.

Pál Kerékfy's insight:

5 évet kapott csak, mert figyelembe vették, hogy Norvégiában már leült kettőt, és együttműködött a hatóságokkal.

Maga a támadás a szokásos rutint követte: valódi banki üzenetnek látszó email, benne vírus, az begyűjti a leütött billentyűket, és innen már könnyű :-)

2015-ben már kapott valaki négy és fél évet ugyanebben az ügyben.

Ha jól értem, mindketten “csak” a fejlesztésben, terjesztésben és üzemeltetésben dolgoztak. Szolgáltatásként nyújtották szoftvert. Egyedi kéréseket is teljesítettek, és rendszeres frissítéseket is nyújtottak. A legdrágább verzió 2500 dollárba került.

A “felhasználók” összesen kb. 500 millió dollárt szedtek össze a Citadel használatával.

#Citadel #malware #banking #fraud

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

A Clever New Tool Shuts Down Ransomware Before It's Too Late

A Clever New Tool Shuts Down Ransomware Before It's Too Late | CIO | Scoop.it
By sniffing out ransomware in real-time, ShieldFS might be the cure to the internet's latest security scourge.
Pál Kerékfy's insight:

Igen, a szoftver viselkedésének elemzése sok támadást megfékezhet! Persze, majd jönnek a kifinomultabb támadások, ezért sose ülhetünk nyugodtan, amióta ilyen bonyolulttá tettük az informatikát.

Figyelem: Azért, mert jönnek az újabb, trükkösebb támadások, a régebbiek ellen is kell védekezni! Az idei év nagy sikerű támadásai mögött jobbára olyan lyukak voltak, amiket sok éve be lehetett volna már foltozni!

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

TalkTalk hit by record £400,000 fine over data breach

TalkTalk has been hit with a record £400,000 fine for the cyber attack last year that exposed personal details of more than 150,000 customers.

The record fine acts as a warning to others that cyber security is not an IT issue, it is a boardroom issue. Companies must be diligent and vigilant. They must do this not only because they have a duty under law, but because they have a duty to their customers.

Pál Kerékfy's insight:

Nos, itt egy példa arra, hogy sok pénzbe kerül, ha az évtizede ismert hibával nem foglalkozunk, pedig viszonylag könnyen és olcsó javítható. Helyette lehet a százmilliós büntetést fizetni...

Ez nem az első ilyen eset volt a TalkTalk esetében, ez is oka a hatalmas büntetésnek. http://www.computerweekly.com/news/4500256046/TalkTalk-warns-customers-about-personal-data-breach

#ComputerWeekly #cybersecurity #security #SQL #patching #TalkTalk

@computerweekly

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Cyber Security, User Interface, and You - Deloitte CIO - WSJ

Cyber Security, User Interface, and You - Deloitte CIO - WSJ | CIO | Scoop.it

Most people don’t want to think about breaches, identity theft, or hackers. As UC San Diego physician-scientist Ajit Varki argues in his 2013 book Denial, avoiding the negative is a natural human tendency. The risks we encounter every time we log on are very real, but our users don’t want to be reminded of that. Taking a cue from other professions, can we consider our customers’ convenience and even their delight while keeping their information safe? How can we sugarcoat the security pill to sweeten the user experience?

Pál Kerékfy's insight:

Érdekes ötletek az információbiztonság egészen más alapokra helyezésével kapcsolatban - más területekről hozott példákkal szemléltetve.

#security

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Automakers commit to combatting connected car cybercrime | ViaMichelin

Automakers commit to combatting connected car cybercrime | ViaMichelin | CIO | Scoop.it

The European automotive community has already been taking various secure steps in this regard to ensure ‘firewalls' exist between different connected functions but now the association is coming together behind the same six shared principles:

  1. Cultivating a cybersecurity culture;
  2. Adopting a cybersecurity life cycle for vehicle development;
  3. Assessing security functions through testing phases;
  4. Managing a security update policy;
  5. Providing incident response and recovery; and
  6. Improving information sharing amongst industry actors.
Pál Kerékfy's insight:

Észrevették végre, hogy az autó egy bonyolult informatikai eszköz, és ennek megfelelően kell bánni a szoftverével! A hat pontjukban semmi érdekes nem lenne, ha az informatikáról lenne szó. Ott már mindenki tudja, hogy így kell dolgozni. Persze, nem mindenki akar így dolgozni, és azok közül, akik akarnak, sem mindenkinek sikerül.

Itt egy korábbi cikk, amiben egy elég csúnya lyukról van szó:

http://www.scoop.it/t/cio-by-pal-kerekfy/p/4083417272/2017/08/23/researchers-find-potentially-lethal-car-hack-with-no-quick-fix

#automaker #ACEA #hacking #cybersecurity #security #incident #connectedcar

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Deloitte hit by cyber-attack revealing clients’ secret emails

Deloitte hit by cyber-attack revealing clients’ secret emails | CIO | Scoop.it
Exclusive: hackers may have accessed usernames, passwords and personal details of top accountancy firm’s blue-chip clients

 

We remain deeply committed to ensuring that our cybersecurity defences are best in class, to investing heavily in protecting confidential information and to continually reviewing and enhancing cybersecurity.

 

The hacker compromised the firm’s global email server through an “administrator’s account” that, in theory, gave them privileged, unrestricted “access to all areas”.

 

The account required only a single password and did not have “two-step“ verification, sources said.

 

Emails to and from Deloitte’s 244,000 staff were stored in the Azure cloud service, which was provided by Microsoft.

 

Deloitte discovered the hack in March this year, but it is believed the attackers may have had access to its systems since October or November 2016.

Pál Kerékfy's insight:

A hozzá nem értő kérdései:

  • Vajon mennyit segített a támadónak a külső felhő használata?
  • Minek kell még történnie ahhoz, hogy a nagy cégek is használjanak két faktoros azonosítást (ami az ingyenes rendszerekben már régen elérhető)?
  • Vajon nem lenne célszerű az ilyen hatalommal rendelkező fiókok bejelentkezését naplózni és rutinszerűen elemezni? Az efféle riasztások az ingyenes rendszerekben már régen elérhetők. 

#Deloitte #cyber #security #hacker

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

ProjectSauron APT

ProjectSauron APT | CIO | Scoop.it

ProjectSauron partially solves some of the ‘weaknesses’ of previous APT campaigns that were relatively easy to spot thanks to shared specifics or Indicators of Compromise. This new campaign makes it even harder to detect an active breach: threat actors used unique infrastructure for each target.

Technical details show how attackers learned from other extremely advanced actors in order to avoid repeating their mistakes. For example, all artifacts are customized per given target, reducing their value as indicators of compromise for any other victim.

Pál Kerékfy's insight:

Most került csak a szemem elé ez az egy évvel ezelőtti írás. Talán másnak is van benne új. Mi az izgalmas benne? 5 évig ment (és talán még most is megy) ez a támadássorozat. Miért ilyen sikeres? Sok tudás és tanulás van beleépítve! Azt gondolom, hogy ez még nem mesterséges intelligencia felhasználásával készült, de a következő hasonlót talán már robot csinálja...

További részletek: https://securelist.com/faq-the-projectsauron-apt/75533/

 

#Kaspersky #ProjectSauron @kaspersky #cybersecurity #APT

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

The Curious Case of Mia Ash - COBALT GYPSY Threat Intelligence

The Iranian COBALT GYPSY threat group uses social media to build trust with targets.
Pál Kerékfy's insight:

Ez egy igazán érdekes példája a hozzáértő és türelmes építkezésnek. Hosszú hónapokat töltött valaki a támadáshoz szükséges online személyiség felépítésével. Minden rendben lévőnek látszott, csak nagyon alapos elemzéssel, kutatással lehetett felfedezni a turpisságot.

Azt gondolom, hogy én is könnyen belesétáltam volna a csapdába. Azt már nem gondolom, hogy végig is mentem volna az úton, mert látok két olyan pontot is a leírásban, ahol megálltam volna.

 

A jelek szerint nem mindenki ennyire gyanakvó. Az egyik átvert ember egy nagy tanácsadó cég informatikai biztonsági vezetője.

 

Sok munka van ebben a támadásban, és - a jelek szerint - nem is világos még, hogy meddig jutott, hány nagy céget ért el, és mi is történt. Lassan minden kiderül majd, ahogy szokott.

 

Az eddigi tanulság az, hogy még óvatos embereket is át lehet verni, ha jól és sokat dolgozunk rajta. Mi lesz, amikor ezt is a mesterségesen intelligens gép csinálja majd?

 

#Dell #SecureWorks @secureworks  #cybersecurity #scam

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

A BKK-botránnyal Magyarország digitális jövőjét kockáztatjuk | Forbes.hu

A BKK-botránnyal Magyarország digitális jövőjét kockáztatjuk | Forbes.hu | CIO | Scoop.it
Nem volt etikus a hekker, de a BKK sem bújhat el a törvény betűje mögé, mondja Frész Ferenc.
Pál Kerékfy's insight:

Már nagyon vártam, hogy alapos és érthető, mindent tömören összefoglaló elemzést olvashassak. Konkrétan ennek az írásnak a szerzőjétől reméltem. 

Mindenkinek javaslom a figyelmes elolvasását! Egyáltalán nem nehéz olvasmány, nem kell különösebb szakértelem a megértéséhez.

#BKK #T-Systems #cyber #securíty #hacking #ethical @frészferenc @forbesmagyarorszag

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

IBM Unveils Blockchain-Powered System to Tackle Data Breach

IBM Unveils Blockchain-Powered System to Tackle Data Breach | CIO | Scoop.it
With the alarming rate at which cybersecurity attacks continue to increase, IBM unveils blockchain-powered system to tackle data breach and cyberattacks.

 

The vast majority of stolen or leaked data today is in the open and easy to use because encryption has been very difficult and expensive to do at scale. We created a data protection engine for the cloud era to have a significant and immediate impact on global data security.

Pál Kerékfy's insight:

Ami az egyiknek probléma (GDPR és FFIEC), az a másiknak lehetőség. Az IBM már egy ideje felült a blockchain vonatára (míg mások szerint az egész egy humbug). Most hihetetlen sebességű titkosító megoldással álltak elő, hogy a számítási kapacitás ne legyen indok az érzékeny adatok titkosításának elmulasztására.

 

Meglátjuk...

 

#IBM #cybersecurity #blockchain #encryption #IBMZ

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

CIO doesn't play chief digital officer role at GE - TotalCIO

“CIOs have focused on maintaining, improving and sometimes replacing IT infrastructure and legacy systems.”

“CDOs, on the other hand, are about breaking legacy paradigms and using new technology in new ways.”

The domain of the chief digital officer role is commercial products, said General Electric's IT chief, while the CIO keeps things running smoothly.

Pál Kerékfy's insight:

 

A CIO-nál marad a felelősség az adatokért, az informatikai bizonságért és a költséghatékonyságért.

A CDO feladata a digitális termékek megtervezése és a marketingje.

Ez egy a sok lehetséges szemléletmód közül, és nem teljes az egyetértés a tanácsadók között, hogy helyes-e.  Erősen vitatott téma, pl., a költségekért való felelősség, ami lehet az üzleti vezetés asztala is.

#GE #CIO #CDO #digital #cyber

more...
No comment yet.
Scooped by Pál Kerékfy
Scoop.it!

Cyber-attacks to the left, ransomware to the right - we need to spend money on what? - Jonathan Care

Cyber-attacks to the left, ransomware to the right - we need to spend money on what? - Jonathan Care | CIO | Scoop.it
With the news that a new outbreak of malware is sweeping the globe, it turns out that many organisations are not prepared for the determined and resourced attackers that we have been warning about for some time. “Tuesday’s attacks used a different form of ransomware similar to a virus known as Petrwrap or Petya, according …
Pál Kerékfy's insight:
Ritkán jut arra időm és energiám, hogy sokat olvassak egy-egy újabb informatikai támadásról ("vírusról"), de amikor sikerül, mindig megdöbbentek, hogy mennyire óvatlanok még a nagyvállalatok is. Milliókat és száz milliókat költenek védekezésre (jelentős részét biztos indokoltan és okosan), de közben semmibe (vagy majdnem semmibe) se kerülő lépéseket nem tesznek meg. Olyan lépések ezek, amikről már évtizede tud mindenki, aki egy kicsit is foglalkozik a témával. Igazi szakértőktől ritkán hallani róluk, az auditokon simán át lehet menni nélkülük. Miért lehet ez? Talán éppen az olcsóság és az egyszerűség az ok... Meg, persze, az is, hogy nem minden ellen védenek. Tényleg nem minden ellen, de sok-sok sikeres támadáshoz kellett eddig (és fog még kelleni) az, hogy ezeket az egyszerű lépéseket NE tegyék meg a cégek és a felhasználók. 
 
Jó régen volt, amikor informatikai igazgatóként rákényszerítettem a kollégáimat ezekre az egyszerű, semmibe se kerülő védelmi intézkedésekre. Nem örültek neki, sőt előfordult, hogy meg is szegték a szabályokat, mert nem vették elég komolyan, de a meggyőző jó szó és a főnöki homlokráncolás együtt általában hatott. 
 
Miért írok most ilyen régi dolgokról? A legfrissebb izé (Petya vagy hasonló), ami lerohanta Európa jó részét nem tud terjedni és kárt okozni, ha a felhasználó nem adminisztrátori jogokkal dolgozik a gépen. Miért is dolgozna adminként? Mire kell az? Mikor kell az? A normális ügymenetben szinte soha... Mégis miért nem figyelnek erre az emberek? Tudatlanság, oda nem figyelés, könnyelműség - ezek az okai. Ezek az okai otthon. Munkahelyen mi az oka? Ugyanezek, de nem az "egyszerű" felhasználó, hanem az informatikai osztály, a biztonsági felelős, a vezető részéről. Ha már évtizede tudjuk, ha már milliárdok mentek veszendőbe, miért nem tesszük meg az elemi lépéseket?!? 
 
Aki szakember véleményére is kíváncsi, olvassa el a cikket is! Sokkal többről szól, mint ez az egy támadás, és annak is ez az egy aspektusa...
 
#PETYA #ransomware #cybersecurity #Gartner  
more...
No comment yet.