Professional Documents
Culture Documents
الحفاظ على سرية وتكاملية وتوافرية املعلومات واصول املعلومات التابعة للشركة ضمن
الفضاء السيبراني من أي تهديد سيبراني عن طريق مجموعة من الوسائل والسياسات
.والتعليمات وأفضل املمارسات بهذا الخصوص
Part 1: BASIC CONCEPTS- CIA
Part 1: BASIC CONCEPTS : CIA
ممتلكات وموارد البنك والتي تحتوي على معلومات او بيانات خاصة بالمؤسسة بغض النظر عن صيغتها وطريقة
تخزينها سواء كانت هذه الممتلكات عبارة عن ممتلكات تقنية ( خوادم معالجة بيانات ،قواعد بيانات ،انظمة معلومات
،وحدات تخزين البيانات ،شبكات )...او غير تقنية ( عقود ،وثائق مطبوعة ،نماذج المؤسسة)...
لضمان الوصول الى بيئة امن معلومات مثالية و مضبوطة من املخاطر التي تهددها ،يتم تطبيق الضوابط
االمنية من خالل ثالث مستويات تكمل بعضها البعض وهي :
1- Administrative Controls
Controls and Protection Levels.
2- Technical Controls
Controls and Protection Levels.
3- Physical Controls
Data classification.
Is the process of sorting and categorizing data into various types, forms or
any other distinct class. Data classification enables the separation
and classification of data according to data set requirements for various
business or personal objectives
Data Breach Examples
Security Breaches
Example
• LinkedIn
Date: June 2021 Impact: 700 million users
LinkedIn saw data associated with 700 million of its users posted on a dark web forum in
June 2021, impacting more than 90% of its user base.
• Facebook
Date: April 2019 Impact: 533 million users
In April 2019, it was revealed that two datasets from Facebook apps had been exposed to
the public internet. The information related to more than 530 million Facebook users and
included phone numbers, account names, and Facebook IDs.
Security breaches leads to
Part1 : Importance of Cyber and Information Security
SEC U RITY
Part 2
Cybersecurity Risks and Controls
Worms
Viruses Adware
Trojans
Ransomware
RANSOMWARE
2
Video : Malware
Part2 : TOP Cyber Threats
2- Phishing :
3- SPAM
4- Denial of Service (Especially DDOS) remained an important threat for
almost all kind of businesses with an online presence
Part2 : TOP Cyber Threats
5- Insider threat insider threat refers to the threat that an insider will use his/her authorized
access, wittingly or unwittingly, to do harm to the security of an organization
6- Identity Theft Identity theft is a cyberthreat in which the attacker aims at obtaining
confidential information that is used to identify a person or even a computer system.
Such confidential information may be identifiable names, addresses, contact data,
credentials, financial data, health data, logs, etc. Subsequently, this information is
abused to impersonate the owner of the identity. Identity theft is a special case of
data breach. It is the result of successful attacks through other cyber-threats that
target identity information.
7- Information leakage
8- Human Errors
Human errors
الحصة االكبر من التهديدات المن املعلومات على املستوى العاملي . تأخذ اخطاء و هفوات املوظفين
و من االمثلة على اخطاء املوظفين اثناء العمل :
قيام موظف بحذف ملفات حساسة عن النظام عن طريق الخطا او عدم ادراكه الهمية هذه البيانات .
السماح الشخاص غير مصرح لهم بالدخول الى بيانات حساسة باستخدام بيانات الدخول الخاصه به وصالحياته
قيام موظف بتنفيذ اجراء معين بطريقه خاطئة و ناتجة عن سوء او ضعف في التدريب
عدم وعي املوظف بتاثيرات املخاطر التي تواجه امن املعلومات و خصوصا تاثيرات البرمجيات الخبيثه عليه
افصاح املوظف و قيامه بتسريب البيانات املالية عن البنك او العمالء من خالل ارسالها الى جهات اخرى.
Part2 : Password Security
Videos : Password
Part2 : Password Security
Strong and Complex Password
Example 1
1- I met Susan Morris at Lincoln High School in 1991
ImSMaLHSi#91
http://password-checker.online-domain-tools.com/
Example 2
Password Size
Passwords
10 If123123
you use
senhaany of these,20change
1234567 welcomethem NOW!!!
qqww1122 password123
39
TreeTop Security - CAT - v2022.08
Password length <-> time to crack
Time for an
attacker to
brute force
passwords.
Are you in
the yellow or
green?
40
TreeTop Security - CAT - v2022.08
Part2 : Email Security
• Don’t open email attachments unless you know what they are.
• Be aware of sure signs of suspicious email.
عدم ترك اية اوراق او نماذج من املمكن ان تحتوي على معلومات حساسة متناثرة في مكان عملك.
قم بحفظ كافة اوراقك واوراق العمل في مكان امن ( ادراج وخزائن مغلقة) وفي حال انتهاء الحاجة لها قم
باستخدام ماكنة تمزيق االوراق إلتالفها.
عليك عند مغادرتك مكتبك او غرفه عملك ان تقوم باغالق االبواب
واقفال النوافذ بشكل محكم لضمان عدمم تسلل املتطفلين ورائك
ومحاولة سرقة بيانات خاصة بالعمل.
عليك الجلوس بطريقه ال يستطيع فيها العمالء والزوار النظر الى
شاشة حاسوبك و في حال اضطرارك لترك العميل لفتره وجيزه قم
بقفل جاز الحاسوب الخاص بك.
Protecting Sensitive Information
Shoulder surfing
ATM skimming
Mobile Security
Mobile Device Tips
Lock your laptop to a fixed piece of furniture using a metal laptop cable if you
leave it unattended.
Implement a password-protected screen lock.
Don't store sensitive information, such as usernames, passwords, social security
numbers, bank account numbers, or credit card numbers on the device.
Keep data backed up on a PC or server in case your mobile device is gone forever.
Store important data separately. There are many forms of storage media, including
floppy disks, zip disks, CDs, DVDs, and removable flash drives (also known as USB
drives or thumb drives). By saving your data on removable media and keeping it in
a different location, you can protect your data even if your laptop is stolen.
Part2 : Social Media Security & Protection
• Share Status.
• Tag Photos.
• Upload Videos.
• Broadcast Location.
• Like Companies.
• Recommend Products
and Services
• Endorse Colleague.
• Search Jobs.
Phishing and Social Engineering
Techniques
فن اختراق العقول وهو عبارة عن مجموعة من التقنيات املستخدمة لجعل الناس
يقومون بعمل ما أو يفضون بمعلومات سرية.
Example:
“Hello! This is Ahmad, From HR department.
I have forgotten my password. Can you help
me ?”
Types of Social
Engineering
Type One : Human-based
Example:
“Hi! This is Laila, CEO assistant. I’m working on
an urgent task and I lost my domain password.
Can I get it please?.
Types of Social
Type OneEngineering
Human-based
Example:
“Hello! This is Khaled, Technical support From X
company. We hade system frailer and we are
checking for lost data. Can you provide me with
your password and ID .”
Types of Social
Engineering
Type One Human-based
4. Eavesdropping
Unauthorized listening of conversations
or reading of messages
Example:
“Interception of any form such as Audio
interception, video interception or
written interception. "
Types of Social
Engineering
Type One Human-based
5. Shoulder Surfing
6. Dumpster Diving
Search for sensitive information at
target organization in : Trash-bins,
printer trash bins, User desk sticky
notes, ATM trash bins.
Example:
“Collect , Phone Bills, Contact
information, ATM receipt, old bills.”
Types of Social
Engineering
Type One Human-based
7. Tailgating
An unauthorized person, wearing fake ID
badge, enters a secure area by closely
following an authorized person through a door
requiring access cards.
Example:
An authorized person may be unaware of
providing an unauthorized person access to a
secured area.
Part 3: Phishing
PHISHING
Phishing
Part 3: Phishing Techniques.
Part 3: Phishing Examples
1- Phishing emails example : Requesting Passwords
2- Phishing emails example : Click suspicious URL
2- Phishing emails example : Click suspicious URL
3- Phishing email example : Download Attachment
Real Scenarios
Unusual or generic greetings
Unusual or generic greetings
Subject lines with unusual
words or phrases, odd
punctuations, or spelling
mistakes
Types of Social Engineering
Type 2 :Computer-based
SMiShing
SMiShing is a type of social engineering that uses cell phone text messages
to persuade victims to provide personal information such as credit/debit
card details, PINs, etc.
Smishing
e.g. ATO text messages to claim a
tax refund
Types of Social Engineering
SMiShing – Example
The incoming text message, which contains a virus, will be a legitimate
looking website address or more commonly, a phone number that connects
to an automated voice response system, which then asks to confirm your
personal details.
Sender:+4499998721
http://bit.co.cx.bank.com
Types of Social Engineering
Smishing
e.g. ATO text messages to claim a
tax refund
Types of Social Engineering
• Type 2 :Computer-based
https://www.facebook.com
www.facebook.com
https://www.facebook.com
https://www.phishingbox.com/phishing-iq-test/quiz.php?reset=1
https://www.opendns.com/phishing-quiz/
USB Drives & More
88
TreeTop Security - CAT - v2022.08
Personal Cybersecurity Tips /Best Practices
https://myaccount.google.com/dashboard?pli
=1
طائرة ميسي والخصوصية
✅خالل الشهر الحالي ،ضج العالم بخبر انتقال العب كرة القدم ميسي من
نادي برشلونة إلى نادي باريس سان جيرمان .مترافقا مع تتبع العالم ألخباره
في تلك اآلونة لحظة بلحظة ،كان اآلالف يعلمون بالضبط موعد انطالق
طائرته من برشلونة وموعد وصولها إلى باريس .رقم الرحلة ونوع الطائرة
وخط سيرانها في الجو ،كل ذلك كان متوفرا عبر مواقع الطيران اإللكترونية
مثل .FlightRadar24كانت مفيدة للصحفيين وعموم المتابعين ،إال أنها أيضا
أثارت أسئلة متعلقة بخصوصية األفراد ،وتحديدا بخصوصية الشخصيات
العامة التي قد يكون الكشف عن مثل هذه البيانات على المأل تهديدا ألمنهم.
✅مواقع تتبع الطائرات مثل FlightRadar24وضحت كل التفاصيل
المرتبطة بطائرة ميسي .طائرة خاصة مسجلة في مالطا ،وتشغلها شركة
اسمها ،VistaJetوكذلك موعد وصولها إلى باريس بالساعة والدقيقة في يوم
١٠آب .٢٠٢١
✅الموقف يختلف حسب منطقة الطيران .ففي الواليات المتحدة األمريكية،
تسمح منظمة الطيران الفيدرالية FAAباستبدال رقم الرحلة برقم مؤقت غير
مربوط مع شركة بعينها ،وبالتالي حماية الخصوصية إلى حد ما .في أوروبا،
الوضع يختلف ،ومثل هذه التعليمات أو التشريعات غير موجودة .هناك أكثر
من ٢٦شركة تتبع جوي في أوروبا تحصل على هذه التفاصيل من قاعدة
بيانات متاحة ،وتنشرها على مواقعها اإللكترونية لعموم المستخدمين .بعض
البلدان األوروبية ال ترى إصدار تعليمات ذات عالقة أولوية على المدى
القريب؛ كونها تؤثر على عدد محدود من الرحالت الجوية.
⛔األسئلة مشروعة ،وتدور حول الحد الفاصل بين متى تكون هذه
المعلومات حقا للجماهير ،ومتى تكون الخصوصية حقا للشخصية المستهدفة؛
وتحديدا إذا كانت هناك مخاوف أمنية على حياة الركاب .الخصوصية الرقمية
مجاالتها متشعبة ،وتفاصيل متوفرة في قواعد بيانات صارت تثير عالمات
استفهام على حياة أشخاص
مطاعم ماكدونالدز والخصوصية
✅مطاعم ماكدونالدز في والية إيلينوي األمريكية مالحقة قضائيا ،ألنها
احتفظت ببيانات الزبائن الحيوية من دون إذنهم .مطاعم ماكدونالدز كانت
تستخدم تلك البيانات في فحص نظام الذكاء االصطناعي الجديد المخصص
لخدمة طلبات المركبات.
✅زبون من والية إيلينوي رفع قضية على مطاعم ماكدونالدز؛ متهما إياها
بجمع وتخزين بياناته الصوتية من غير إذنه ،وبذلك اخترقوا قانون الخصوصية
في الوالية للبيانات الحيوية Biometric Information Privacy Actالذي
يتطلب أخذ إذن المستخدمين قبل جمع بياناتهم الحيوية مثل الصوت والبصمة
وغيرها.
✅القصة بدأت في عام ٢٠١٩عندما استحوذت مطاعم ماكدونالدز على
شركة تقنية ناشئة متخصصة بالذكاء االصطناعي اسمها Apprente.في العام
الذي يليه ،طبقت المطاعم النظام على عشر فروع لالختبار .الفكرة أن نظام
الذكاء االصطناعي سيستغل في طلبات المركبات .يمسح لوحة السيارة،
ويتعرف على الزبون من صوته ،وبالتالي يستطيع تقديم تجربة أفضل للزبون
من حيث تمييز ماذا يحب وماذا يكره وتقليل وقت االنتظار.
✅الزبون المعني زار مطعم ماكدونالدز في الوالية ،وكان من الفروع التي
يفحص فيها النظام .تفاجأ بصوت آلي يجيب على طلباته ،وبعدما استفهم علم
عن نظام الذكاء االصطناعي .اكتشف الحقا أن مطاعم ماكدونالدز كانت تجمع
البيانات الصوتية لعينة من الزبائن لغايات الفحص والتطوير ،والخطأ التي
وقعت فيه ماكدونالدز أنها لم تأخذ إذن الزبون .وما زاد الطين بلة أن موقع
ماكدونالدز اإللكتروني ال يحتوي على سياسة خصوصية تبين مدة االحتفاظ
ببيانات العمالء.
✅هذه القضية ليست المرة األولى لسلسلة المطاعم .في شهر نوفمبر ،٢٠٢٠
رفع ثمانية موظفين سابقين قضية على مطاعم ماكدونالدز ألنها لم تخبرهم ولم
تأخذ إذنهم قبل جمع وتخزين بياناتهم الحيوية.