Većina ljudi u ne-poslovnim okruženjima koristi osobna računala kao administrator što često može uzrokovati zaraze računalnim virusima i trojancima jer omogućava nevoljno pokretanje malicioznih izvršnih datoteka. U praksi, ljudi se čude kako je moguće da usprkos firewallu, antivirusnoj zaštiti i antispyware programu dolazi do uništenja podataka na računalu.

Šest godina prisutan utility DropMyRights najbolji je alat za prevenciju ove neželjene pojave, ukoliko se računalo već koristi pod korisničkim računom administratora, osobito za rad na Internetu.

Autor alata je Microsoftov inženjer Michael Howard a teoretska razmatranja istog mogu se naći ovdje, dok se ovdje alat može skinuti za korištenje na lokalnom računalu. Program je posve besplatan.

Osim uobicajenog, vidljivog adresnog prostora Interneta kojemu korisnici svakodnevno pristupaju, postoji i drugi, “tamni” Internet, koji je više desetaka puta veći od javno dostupnog Interneta… više o tome u članku The Guardiana.

U ovom dokumentu izložena je detaljna analiza o najopasnijim pojmovima pri pretraživanju na Internetu, koji mogu voditi do siteova koji služe za distribuciju virusa, trojanaca, spywarea, računalnih prijevara itd.

Most Dangerous Search Term Uk

Zanimljivo izvješće McAfee-ja o najopasnijim domenama na Internetu.

Najopasnija domena je ona kamerunska (.cm), zbog sličnosti s komercijalnom domenom (.com). Zatim slijede kineska (.cn), Samoa (.ws), filipinska (.ph) i bivša domena Sovjetskog Saveza (.su). Zanimljivo je da je 2008. godine najopasnija bila honkonška domena (.hk), no nakon akcija vlasti tijekom godine sada je pala “tek” na 34-to mjesto.

Hrvatska se napokon po nečemu pozitivnom našla na vrhu ljestvice, što je vjerojatno priznanje radu hrvatskog Carneta. Naime, najsigurnija svjetska domena je japanska (.jp), slijedi je irska domena (.ie), hrvatska (.hr), luksemburška (.lu) i Vanuatu (.vu).

Najsigurnija “nedržavna” domena je .gov.

Mapping Mal Web

Banka.hr - Informacijska sigurnost: Stotinjak prijavljenih incidenata godišnje

Posted using ShareThis

“Štednja na krivom mjestu?

Svega 1-3% IT budžeta hrvatskih tvrtki ulaže se u informacijsku sigurnost

Preko polovice ispitanika najviše pozornosti posvećuje zaštiti od interne prevare, dakle manipulacije podacima od strane vlastitih zaposlenika.

Inicijative za smanjenje troškova u svezi informacijske tehnologije u proteklih su godinu dana najviše utjecale na odluke o razvoju IT odjela u hrvatskim tvrtkama. Uprave u našim tvrtkama ne posvećuju dovoljno pozornosti privatnosti podataka, iako u dosta velikom postotku zajednički s IT menadžerima donose odluke o IT projektima. Svega 1 do 3 posto budžeta namijenjenog IT odjelima u hrvatskim tvrtkama troši se na pitanja informacijske sigurnosti, pokazuje istraživanje konzultantsko-revizorske tvrtke Deloitte Uravnoteženost poslovnih i IT odjela.

Kao i u Hrvatskoj, i u ostatku Europe smanjenje troškova je postalo čimbenik koji najviše utječe na odluke u vezi informacijskih tehnologija. Međutim, s tim u vezi postoje primjetne razlike među regijama u svijetu, što je vjerojatno odraz različitog utjecaja ekonomske krize. Tako na odluke u vezi IT-a na području Sjeverne i Južne Amerike najviše utječu fluktuiranja u cijeni tehnologije, dok u azijskoj regiji pojava novih tehnologija igra značajniju ulogu no drugdje.

“Istraživanje je ukazalo na učestalu praksu tvrtki da odluke u vezi IT-a ne donose sustavno. Čak tri od pet ispitanika na globalnoj razini ističe da se na sastancima uprave nikad ne raspravlja o odlukama vezanim za IT. U Hrvatskoj je situacija nešto bolja, pa polovica ispitanika ističe da uprava odlučuje o razvoju IT odjela zajedno s IT menadžerima,” ističe Ivica Perica, menadžer u Odjelu za upravljanje rizicima u Deloitteu.

Međutim, kad je riječ o informacijskoj sigurnosti, preko polovice ispitanika najviše pozornosti posvećuje zaštiti od interne prevare, dakle manipulacije podacima od strane vlastitih zaposlenika. Najskeptičniji po tom pitanju su ispitanici iz Europe, no primjetan je nedostatak svijesti o stvarnom broju povreda sigurnosti i ozbiljnosti te prijetnje. Budžeti alocirani za IT sigurnost i dalje zaostaju za stvarnim razmjerima prijetnji koje postaju sve kompleksnije, baš kao što se usložnjavaju i regulatorni zahtjevi. Oko 45 posto ispitanika u Hrvatskoj prihvaća outsourcing (eksternalizaciju) IT usluga, dok je u svijetu taj trend prošireniji, budući da se outsourcingom koristi 60 posto tvrtki.

U ovogodišnjem Deloitteovom istraživanju sudjelovalo je preko 1800 ispitanika iz 28 zemalja diljem svijeta. Ovo je prva godina da su istraživanjem obuhvaćene i hrvatske tvrtke, s udjelom od 4,4 posto u sveukupnom broju kompanija. U istraživanju su sudjelovale tvrtke iz financijskog sektora, proizvodnje, robe široke potrošnje, tehnologije, farmaceutike, javnog sektora, transporta, telekomunikacija, energetike, automobilske industrije, nekretnina i drugih sektora.”

(preuzeto s: Internet Monitor, 15.10.2009.)

Komentar: izbacimo iz analize bankarski i financijski sektor te nekoliko tvrtki koje se bave visokom tehonologijom i naslov bi lako mogao biti “Čak 1-3 promila IT budžeta hrvatskih tvrtki ulaže se u informacijsku sigurnost”.

U dijelu hrvatskih medija prije nekoliko tjedana na senzacionalistički način je prenesena informacija o tome kako je u HEP-u internim dopisom zabranjeno odavanje osobnih informacija o zaposlenicima (u ovom kontekstu, vjerojatno se to odnosi na plaće rukovoditelja).

Zanimljivo je kako se u biti radi o klasičnoj zamjeni teza. Čak i one tvrtke koje nemaju striktne procedure upravljanja informacijskom sigurnošću primjenju po “automatizmu” procedure ili politike tajnosti osobnih podataka zaposlenika, njihovih plaća itd. Zapravo bi bilo bolje postaviti pitanje - što je točno činio u HEP-u do sada onaj koji je bio zadužen za osiguranje sigurnosti takvih podataka?

Ili možda mediji smatraju kako bi korporacije trebale držati sve svoje podatke na nekakvom front-endu, dostupnom javnosti?

Ovaj mini-slučaj definitivno govori o tome kakvo je stanje informacijske sigurnosti i sigurnosti osobnih podataka u Hrvatskoj danas.

U članku “Zašto ISO 27001 (možda) nije dovoljan” osvrnuli smo se na činjenicu kako razvoj sustava koji prate kvalitetu ISMS-a (možda!) ne prati dovoljno brzo tehnološki razvoj. Naravno, sustavi upravljanja kvalitetom temelje se na fleksibilnosti i tako su “univerzalni” i “uvijek primjenjivi” - dovoljno je reći kako Annex A ne predstavlja definitivni skup kontrola, nego svaka organizacija može dodati kontrole koje nisu u njemu predviđene.

Ostavimo za sada po strani ISO sustave i prokomentirajmo npr. SaaS (Software as a Service) koncept koji već nekoliko godina pružaju mnoge softverske kuće u Hrvatskoj i svijetu koje proizvode specijalizirane softvere. Cijela priča izgleda dobro -  softver radi na gotovo svim računalima koja imaju Internet browser tako da nisu potrebna ulaganja u novu opremu, cijena komunikacijskih linkova danas je toliko pala da predstavlja za manje i srednje firme gotovo zanemariv trošak u odnosu na sve ostale troškove poslovanja a što je najvažnije, SaaS koncept omogućuje tretiranje računalnog softvera kao usluge, čime se smanjuje potreba za većom količinom novčanih sredstava kojima bi se kupio softver kao stalna imovina, osobito ako je broj računala veći. Upravljanje licencama je isto jednostavno, tako da u slučaju smanjenja ili povećanja poslovne aktivnosti, ovisno o ugovoru, dovoljno je deklarirati povećanu ili smanjenu količinu licenci u sljedećem razdoblju. Naravno, u praksi se pokazalo kako su CIO-i vrlo nezadovoljni implementirani SaaS sustavima o čemu se više može pročitati u ovom članku.

Koncentrirajmo se na trenutak na sigurnost takvih sustava. Mnoge tvrtke u Hrvatskoj koriste SaaS softver za svoje interno računovodstvo, ali i za core business, odnosno CRM i B2B/B2C sustave bez da je ijedna sekunda promišljanja potrošena na pitanja kao što su - gdje su zapravo ti podaci, tko su tvrtke koje pružaju SaaS softver, koja im je reputacija, da li su ugovorom definirane obaveze proizvođača po pitanju kontinuiteta poslovanja, postoje li sustavi oporavka od katastrofe… još gora je situacija kod onih pružatelja aplikativnih rješenja, a takvih je većina, koji svoje aplikacije “hostaju” na stranim serverima, najčešće koristeći najjeftinije solucije kako bi smanjili vlastite troškove poslovanja, a koji niti da hoće, ne mogu odgovoriti niti na jedno od postavljenih pitanja.

Na pitanje da li bi povjerili strancu na ulici svoj novčanik, većina onih koji su implementirali takve sustave odgovorili bi niječno, no sudbinu dobrog dijela svog poslovanja povjerili su nepoznatim tvrtkama o kojima ne znaju ništa, koristeći distribuirane sustave obrade podataka o kojima znaju još manje.

Prema tome, svi koji koriste SaaS tehnologiju,trebali bi minimalno koristiti tehniku “dobrog gospodara” i smjernice koje daje Gartner za sigurnost cloud computing sustava ili sustava distribuirane, dislocirane i eksternalizirane obrade podataka.

1. Adresiranje rizika pristupa podacima - potrebno je znati koje osobe, funkcije ili instance imaju fizički pristup podacima, pošto su svi podaci u informacijskom oblaku na kraju krajeva ipak negdje fizički sadržani. U okviru toga treba biti siguran kako se pravila fizičkog pristupa podacima u tim tvrtkama uvijek i neizostavno poštuju
2. Potrebno je znati gdje se točno fizički nalaze smješteni podaci odnosno aplikacije, o kojoj se fizičkoj lokaciji odnosno državi radi, te da li se pružatelj usluga serverskog hostinga doista pridržava dogovorenih normi po pitanju sigurnosti podataka (nadam se kako je jasno da sve ovo treba definirati ugovorom a i nezavisnim auditom ako se to smatra potrebnim!)
3. Potrebno je točno definirati strategije izrade rezervnih kopija, raspoloživnosti podataka te strategije kontinuiteta poslovanja u čitavom lancu, od hostinga, preko proizvođača softvera do samog korisnika
4. Za slučaj izlaska iz posla bilo koje od uključenih stranaka (pružatelj hostinga, proizvođač softvera, pružatelji telekomunikacijskih interkonekcija), potrebno je ugovorno definirati strategije i postupke kontinuiteta korištenja podataka i usluga, odnosno uvjete prekida pružanja usluga
5. Potrebno je internim dokumentom definirati potrebne razine usluga kroz interne i vanjske SLA ugovore o čemu će ovisiti i investicije - nije isto da li je potrebna raspoloživost 95, 99 ili 99,99 % vremena.

Tek nakon što se primijeni ova metodologija uz standardnu ISO 27001 “lingvistiku”, te nakon što se izradi detaljna analiza rizika uz mjere umanjivanja, uklanjanja ili transfera rizika, moguće je napraviti standardnu “buy or lease”, a u ovom slučaju “own or cloud-away” analizu koja će u večini slučajeva ipak potvrditi razočaranje anketiranih CIO-ova po pitanju isplativosti cloud computinga koji se “isplaćuje na rate” i “nečija je tuđa briga”.

Dovoljno je teško štititi sigurnost informacijskih sustava koji se nalaze u “kući”, odnosno unutar ureda ili štićenih sustava - zadatak postaje noćna mora kada se toj zadaći doda zaštita distribuiranih informacijskih sustava, bilo da se radi o dijelovima koji su eksternalizirani (”outsourceani”) ili o uređajima namijenjenim za daljinsku i odvojenu obradu podataka poput telefona, prijenosnih računala ili dlanovnika. Sve donedavno ta zadaća nije bila osobito problematična jer sastavni dio mobilnih uređaja nije bio i komunikacijski kanal između korporativne (ili organizacijske) središnjice nego je bilo potrebno samo štititi uređaj i podatke na njemu što se postizalo na nekoliko načina. No, sada je sastavni dio čitavog informacijskog sustava i komunikacijski kanal a problematika sigurnosti mobilnih uređaja namijenjenih distribuiranoj obradi podataka i osobnoj komunikaciji toliko je kompleksna da je često predmet zasebnih korporativnih politika informacijske sigurnosti.

Ovdje se nalazi jedan zanimljiv primjer - praktična procedura za upravljanje onim dijelom ISMS-a koji se odnosi na udaljeno računalstvo, a koja se primjenjuje u američkim državnim agencijama i tijelima.

Jedan stariji tekst prenesen s Poslovni.hr.

“Trećina kompanija u sektoru tehnologije, medija i telekomunikacija (TMT) na globalnoj razini značajno je smanjila svoja ulaganja u informacijsku sigurnost, a čak 60 posto tek “hvata korak” s rastućim prijetnjama po sigurnost, ističe treće globalno istraživanje o sigurnosti u TMT tvrtkama konzultantsko-revizorske tvrtka Deloitte.

S druge strane, čak 41 posto tvrtki u proteklih je godinu dana doživjelo interno kršenje informacijske sigurnosti. Ovogodišnji rezultati pokazuju da razina IT sigurnosti u svijetu značajno zaostaje za prošlogodišnjom, navodi se u Deloittovom priopćenju. Samo mali dio (6 posto) ispitanika obuhvaćenih istraživanjem posvećuje oko 7 posto ukupnog budžeta za IT sigurnost. Riječ je o značajnom smanjenju u odnosu na prošlu godinu, kad je takav postotak izdvajalo čak 36 posto kompanija.

Istraživanje ističe da pad ulaganja u sigurnost usporava prihvaćanje novih sigurnosnih tehnologija. Tvrtke se danas radije koncentriraju na optimiziranje već postojećih rješenja nego da investiraju u najsuvremeniju tehnologiju od

koje će imati koristi tek tijekom očekivanog ekonomskog oporavka.

Deloitte je, usporedo s globalnim, proveo i analizu IT sigurnosti u hrvatskom TMT sektoru. “Jedan od problema hrvatskog TMT sektora jest u tome što ne postoji struktura i organizacija upravljanja IT sigurnošću. Većina tvrtki nije uspostavila funkciju voditelja sigurnosti. Osobe zadužene za informacijsku sigurnost još uvijek često odgovaraju voditelju IT odjela, dok je u svijetu trend da takvi stručnjaci odgovaraju direktno upravi tvrtke. Informacijska i fizička sigurnost nisu prošle kroz proces konvergencije, odnosno ne postoji centralizirano upravljanje sigurnošću koje bi objedinjavalo ova dva procesa. U Hrvatskom TMT sektoru, također za razliku od svjetskih trendova, upravljanje sigurnošću još je uvijek uglavnom decentralizirano”, ističe Hrvoje Somun, viši menadžer u Odjelu za upravljanje rizicima u Deloitteu.

Iako društvene mreže na internetu i blogovi mogu biti korisni alati, oni povećavaju opasnost po internu sigurnost kompanija, nadalje se navodi u priopćenju. Čak 80 posto ispitanika smatra da je njihova tvrtka podložnija narušavanju informacijske sigurnosti zbog korištenja Weba 2.0, ali i tehnologija kao što su pretexting i phishing. Nadalje, generacijske razlike znatno utječu i na percepciju privatnosti. Mlađe generacije rado razmjenjuju razne vrste informacija, čime mogu nehotično odati osjetljive informacije o vlastitoj tvrtki. Zbog toga se danas svega 28 posto ispitanika smatra “vrlo sigurnim” u vezi internih prijetnji po informacijsku sigurnost, za razliku od prošlogodišnjih 51 posto, pokazalo je istraživanje. Tvrtke u TMT sektoru suočene su i s porastom regulatornih zahtjeva u vezi informacijske sigurnosti, čije nepoštivanje može tvrtku skupo stajati. Međutim, 67 posto ispitanika smatra da su regulatorni sigurnosni zahtjevi tek “donekle učinkoviti” te da i dalje nedostaje podrška višeg menadžmenta u njihovu provođenju. (pd)

“

Analiza financijskih pokazatelja vodećih hrvatskih tvrtki  na području fizičke, logičke i integralne sigurnosti - ako se tako može reći s obzirom na izrazito malo tržište, cjelokupnost sektora i ukupni prihod čitavog sektora - pokazuje kako je ostvareni prihod u 2008 godini bio 20 do 60 % veći nego 2007 godine, pri čemu su manje tvrtke uglavnom zahvaljujući pozicioniranju ostvarile veće stope rasta.

Međutim, s obzirom na rečeno u članku i subjektivni osjećaj pri promatranju tržišta, zasigurno će biti zanimljivo sljedeće godine u ovo doba analizirati iste pokazatelje.

Ovdje možete vidjeti dvije datoteke koje na vrlo jednostavan i pristupačan način objašnjavaju metodološki pristup analize i upravljanja rizikom u ICT projektima. Iako mnogi konzultanti predstavljaju problematiku vrlo kompleksnom, ona to u svojoj suštini nije. No, činjenica je da je prava umjetnost u složenim sustavima adekvatno popisati nomenklaturu svih rizika i naći osobu u organizaciji koja želi prihvatiti taj rizik, prenijeti ga na treću stranku ili financirati (sponzorirati) uklanjanje rizika, uključujući i one situacije kada te iste osobe naručuju studiju analize rizika (sama Uprava!). Nadalje, upravljanje rizikom nije inherentno kvantitativna metoda, no rezultat bi trebao biti kvantitativno iskaziv. Samo iskustvo implementatora i dobra baza statističkih podataka pondera i težinskih faktora omogućit će i adekvatne numeričke rezultate ove aktivnosti.

Naposlijetku, u skladu s poznatom izrekom kako u svakoj opasnosti leži nova prilika, rizici osim negativnih mogu imati i pozitivne ishode. Stoga se u metodologiji upravljanja rizikom promatraju ne samo aspekti nastupa događaja koji mogu imati negativan utjecaj na izvođenje projekta i postizanje cilja već i oni koji predstavljaju novu priliku ili neočekivano poboljšanje ili lakše/brže/kvalitetnije/jeftinije dostizanje zadanog cilja.

Risk management for ICT project management

PROJECT RISK MANAGEMENT

Tor je mreža virtualnih tunela koja omogućuje visok stupanj zaštite osobnih podataka u komunikacijskom kanalu, a onima koji se bave razvojem omogućuje razvoj novih alata s ugrađenim sigurnosnim mjerama.

Evo i kratkog shematskog objašnjenja kako Tor radi.

Sky News objavio je jučer zanimljivu reportažu o tome što se dogodilo u servisima računalne opreme u koje su odnijeli računala na popravak. Serviseri su pregledavali podatke, skidali lozinke, bankovne podatke i korisnička imena, pokušavali ih koristiti, te čak instalirati keylogger programe koji bilježe aktivnosti na računalima i šalju ih njima u formi logova (dnevnika) te pristupali ugradjenoj Web kameri. Gotovo u svim posjećenim servisima situacija je bila ista osim u jednom.

Komentar ovakve situacije bi bio da su za ovo jednako krivi i serviseri i ljudi koji svoja računala daju u posjed drugima ne vodeći brigu o tome što sadrže. Što očekivati ukoliko netko ostavi svoj novčanik prepun zapisanih lozinki, kreditnih i debitnih kartica te gotovine nasred ceste? Otprilike isto što može očekivati preda li svoje osobno računalo u servis nepoznatoj osobi.

U Europskoj uniji po pitanju zaštite informacija postoje detaljna zakonska podloga i operativni instrumentarij za osiguravanje sukladnosti sa relevantnim zakonima.  Dvije su temeljne direktive koje reguliraju područje zaštite podataka: direktiva 95/46/EC (direktiva o zaštiti podataka) te direktiva 97/66/EC koja se odnosi na zaštitu informacija u telekomunikacijama. Direktive obvezuju države EU da svoje nacionalno zakonodavstvo usklade sa zahtjevima direktiva.

Temeljna pravila kojih se moraju pridržavati svi koji upravljaju privatnim podacima (terminološki radi se o tzv. data controllers - onima koji kontroliraju podatke) su sljedeća:

1. podaci moraju biti procesirani pravično i u sukladnosti sa zakonima
2. podaci se smiju prikupljati isključivo zbog legitimnih razloga i koristiti samo u te svrhe
3. prikupljeni podaci moraju biti relevantni i ne smiju biti pretjerani u odnosu prema namjeni zbog koje se obrađuju
4. podaci moraju biti točni i ukoliko je potrebno, moraju biti osvježavani kako bi bili i dalje relevantni
5. oni koji kontroliraju podatke moraju omogućiti razumnim mjerama onima na koje se ti podaci odnose da obrišu, osvježe ili blokiraju netočne informacije o njima
6. podaci koji identificiraju osobe ne smiju se držati duže nego što je to nužno potrebno
7. svaka država mora organizirati jedno ili više nadzornih tijela koje kontroliraju provođenje direktiva pri čemu je jedna od dužnosti osiguravanje vođenja javnog registra svih koji kontroliraju podatke kako bi on bio pristupačan javnosti
8. svi koji kontroliraju podatke moraju obavijestiti nadzorna tijela o svojim aktivnostima, od čega iznimka mogu biti aktivnosti koje ne predstavljaju rizik ili ako su kontroleri podataka i informacija imenovani od strane nadzornih tijela

Temeljna odredba kojom se svi zakoni u EU povode po pitanju zaštite podataka je:

Integralnu verziju dokumenta koji reguliraju ovu problematiku možete skinuti s ovih stranica s ove poveznice.

U Hrvatskoj je situacija trenutačno takva da su direktive implementirane djelomično, nadzorna tijela su ustanovljena ali u praksi se ne primjećuje da provode legislativu a u trenutku pisanja ovog članka, sredinom 2009 godine, van financijskog i bankarskog sektora naglasak na pitanja zaštite podataka, informacija, informacijskih sustava i osobnih informacija izostaje dok se u svakodnevnoj praksi krše i hrvatska predmetna legislativa i strukovna pravila i pravila zdrave logike, osobito u području neovlaštenog i nepotrebnog prikupljanja privatnih podataka te pohrane i mjera tehničke zaštite spremljenih podataka  i podataka unutar komunikacijskih kanala i informacijskih sustava. Nažalost, situacija je jednako loša i ova se aktivnost očito smatra marginalnom i unutar državne uprave i unutar privatnog sektora, osobito u malim i srednjim poduzećima čija granska aktivnost i tehnološki procesi nisu povezani uz tehnološki kontekst pa se makar temeljna zaštita informacija ne provodi “po inerciji”, zbog samoinicijative uključenih stručnjaka.

Na siteu BCS-a nalazi se odličan i realan članak o ISO 27001 standardu.

Naglasci iz članka su na sljedećem:

1. ISO 27001 nije standard informacijske sigurnosti nego standard upravljanja sustavima (”management standard”)
2. ISO 27001 daje okvir za upravljanje sigurnošću unutar organizacijom ali sam po sebi nije “zlatni standard” za upravljanje istom
3. ISO 27001 baziran je na pristupu procjene rizika a prihvatljive nivoe rizika određuje sama organizacija. ISO 27001 ne propisuje prihvatljivu razinu rizika te će podržati provođenje čak i neracionalne procjene rukovodstva koje objektivno mogu dovesti do nesigurnosti, iako je organizacija certificirana po ISO 27001 sustavu (sic!)
4. Organizacije same odabiru kontrole koje se odnose na njih
5. ISO 27001 sadrži listu kontrola koje su sastavni dio implementacije standarda no ta lista nije definitivna. (komentar: ISO 27001 nije najbolje usklađen s novim razvojima tehnologije te npr. uopće ne adresira probleme sigurnosti kod cloud computinga, primjene slice-inga umjesto čiste kriptografije ili npr. virtualizaciju)
6. Uvođenje sustava ISO 27001 zahtijeva sigurnosnu ekspertizu tehničkog aspekta informacijske sigurnosti
7. Certifikacija ISMS-a po ISO 27001:2005 sustavu ne znači niti garantira informacijsku sigurnost, naprotiv, to samo znači sukladnost sa samim standardom. Prepustimo čitateljima samima da donesu zaključke vezane uz ovu činjenicu.
8. ISO 27001 je posve neefikasan i ne postiže ciljeve ukoliko ne postoji pravilna i nezavisna procjena rizika, posvećenost rukovodstva postizanju ciljeva sigurnosti, jasno vlasništvo nad procesima i informatičkom imovinom i svakodnevno promicanje kulture sigurnosti

Naposlijetku, dodao bih da ipak, usprkos svemu ovome, ISO 27001 je za sada najbolji alat koji stoji na raspolaganju organizacijama koje žele formalizirati svoje upravljanje sustavom informacijske sigurnosti.

Čitav tekst možete u integralnoj verziji pročitati ovdje.

Nova anketa je postavljena na LinkedIn vezano uz praćenje korporativnih ICT sustava i rada korisnika na Internetu na ovom linku

Rezultate ankete možete pratiti ovdje.

Zanimljiv video koji u samo 7 minuta pokazuje osnovne načine na koji prosječni haker ulazi u korporativne mrežne sustave. Usprkos uobičajenom mišljenju kako je za tu ilegalnu aktivnost najvažnije dobro poznavanje tehnologije, i iz ovog video isječka može se zaključiti kako odlučujuću ulogu kod uspješnosti hakiranja igraju metode socijalnog inženjeringa te temeljne logike. Iz ovoga se može lako zaključiti na što bi oni koji su zaduženi za prevenciju upada u računalne sustave trebali posvetiti dužnu pažnju.

Video clip prikazuje hakiranje WEP baziranih bežičnih mreža.

Ukoliko ga ne vidite u svom Internet pregledniku, možete mu pristupiti direktno putem ove poveznice.

Svatko tko se želi baviti informacijskom sigurnošću i obranom od napada na informacijske sustave, nužno bi trebao poznavati osnovne metode napada na bežične mreže. Radi se o disciplini etičkog hakiranja, a postoje i certifikacije iz tog područja.

U svakom slučaju, laicima nikako ne preporučamo transfer povjerljivih informacija preko bežičnih mreža, osobito ne na otvorenom i na mjestima poput hotspotova u trgovačkim centrima, kafićima i cyber cafe-ima. Osobito osjetljive aktivnosti mogle bi biti prijenos osobnih podataka te online kupovina koristeći kreditne kartice.

Hrvatski CERT nudi vrlo zanimljivu uslugu. Ukoliko na email adresu bot-a proslijedite poruku za koju niste sigurni da li je hoax, njihov sustav će tu poruku analizirati i vratiti vam povratnu informaciju.

Hoax je poruka elektroničke pošte neistinitog sadržaja, poslana s ciljem zastrašivanja ili dezinformiranja primatelja. Želja osobe koja je poslala hoax je njegovo prosljeđivanje na što veći broj adresa. Pri tome ih primatelji doista i prosljeđuju Internetom jer su uvjereni da time pomažu drugima.

O tehničkim komponentama koje stoje iza hoax recognizera možete više saznati ovdje.

O vrstama hoaxeva možete više pročitati ovdje.

Sva računalna i mrežna oprema “isijava” elektromagnetske valove odgovarajućih frekvencija tijekom svog rada. Tempest je strukovni naziv koji se odnosi na metode proučavanja i analize takvih nenamjernih (slučajnih) zračenja (CE - Compromising Emanations) kako bi se rekonstruirao rad na računalima, računalnim sustavima ili promet na računalnim mrežama. Terminologija i tehnika potiču iz miljea tajnih službi koje su među prvima uvidjele strateški značaj informacijske sigurnosti u provođenju odgovarajućih nacionalnih politika. Tempest oprema vrlo je raznovrsna a u praksi se najčešće koristi za rekonstruiranje korištenja stolnih računala, prijenosnih računala, mobilnih telefona te daljinsko praćenje ispisa na računalnim zaslonima i štampačima, odnosno za praćenje prometa na žičanim računalnim mrežama. Cijena takve opreme kreće se od 5.000 do 250.000 američkih dolara za posve opremljene sustave, ovisno o dometu, karakteristikama i sposobnostima podržanih akcija.

Uz Tempest tehnike naslanjaju se i metodologije zaštite računalnih sustava i mreža od ovog tipa prisluškivanja te međunarodno priznate certifikacije računalnih sustava ovisno o njihovoj “čistoći” po pitanju neželjenog odašiljanja. Jasno je kako se zbog značajnog troška anti-Tempest sustavima štite samo vitalni sustavi, najčešće Vladini, odnosno komercijalni i korporativni sustavi. Anti-Tempest sustavi često se kombiniraju s pasivnim i aktivnim sustavima zaštite od prisluškivanja u tzv. “sigurnim sobama”.

Kao i većina tehnologija zaštite informacija i temeljni koncepti informacijske sigurnosti, Tempest tehnologija svoje začetke ima u doba Drugog svjetskog rata.

Anti-Tempest zaštita svodi se na tri mjere:

• fizičko odvajanje - sprečavanje nedozvoljenog pristupa u blizini izvora kod kojeg je amplitudno zračenje jače od pozadinskog šuma
• elektromagnetsko odvajanje - primjenom prigušivanja i filtera kako bi se nenamjerne emisije smanjile
• minimizacija nivoa emitiranog signala - dizajnom i korištenjem opreme pri najmanjoj mogućoj snazi kako bi se smanjila snaga nenamjernog emitiranja elektromagnetsko zračenja

Sljedeći kratki film prikazuje rudimentarnu mogućnost daljinske analize unosa s tipkovnice osobnog računala.

Mediji su prepuni izvješća o konferencijama koje se bave informacijskom i integralnom sigurnošću, sve je više tvrtki koje se bave certifikacijom sustava upravljanja informacijskom sigurnošću i konzultanata koji potpomažu uvođenje tehničkih rješenja sustava informacijske zaštite.

Priča se o tome kako je informacijska sigurnost condition sine qua non modernog poslovanja a posebno se kao svijetao primjer ističe financijski sektor, unutar kojega je zahvaljujući formalnim i zakonskim zahtjevima regulatora ta tematika osobito striktno regulirana.

Međutim, kada se siđe u “rovove” i pogleda kakvo je stanje na terenu, posve je moguće da direktno s ceste uđete u backoffice na katu poslovne zgrade jedne od po aktivi najvećih hrvatske banaka bez ikakve provjere - iako u prizemlju postoji prijamni dio s prostorom za smještaj zaštitara, koji stoji prazan “zbog štednje i recesije”.

Nakon toga, može se dogoditi da vam osobni bankar isplati novac logiran na računalni sustav s korisničkim imenom i lozinkom svog kolege, “pošto je smjena upravo sada, kolega kasni par minuta, a on ne bi smio isplatiti novac pod svojim imenom iza 13.30h”.

U drugoj banci koja za razliku od ove prve ima uveden germansko-anglosaksonski sustav  ”stand up” poslovanja gdje službenik dočekuje klijenta stojeći, uredski prostor organiziran je tako da u prizemlju jednostavno nema prostora za zaštitara, nego je on smješten na prvi kat, gdje se nalazi backoffice, te uopće nema pregled ulaza, niti mogućnost blokade međuprostora. Vjerojatni razlog je opet famozna ušteda, kojoj je bankovni sektor jako sklon ukoliko se ne radi o apsolutnoj nužnosti koju pod prijetnjom kazne propisuje regulator.

Nakon toga moguće je da odete u mjenjačnicu desetak kilometara dalje gdje će vas službenica, pošto radite transakciju koja uključuje nešto veću količinu novca, odmah prijateljski pozvati u štićeni dio prostora, gdje sjedi i ona, te ćete unutra i dovršiti transakciju - pošto je zbog štednje i skučenosti dio s fizičkom zaštitom izveden neadekvatno i službenica nema mogućnost zaključati vrata električnim putem iza klijenta koji je ušao u prostor.

Naravno, mjenjačnica se diči naljepnicom jedne od najvećih hrvatskih tvrtki koje pružaju uslugu fizičko-tehničke zaštite i ima standardni alarm sa žutom rotacijom iznad ulaznih vrata, čak je i uredno stavljena naljepnica noćnog nadzora - no nitko se nije potrudio reći službenici da ne poziva klijente u prostor gdje se nalazi i ona sama i sef!

U nastavku priče, službenica će izvaditi pohabanu bilježnicu i u nju kemijskom olovkom zapisati vaše ime i prezime, adresu, broj telefona te broj osobne iskaznice i JMBG, čime će u biti nesvjesno prikupljati podatke svojih klijenata bez ikakve formalne privole. Naravno, to se čini ručnim putem, jer u programu za mjenjačnicu nije predviđena takva funkcionalnost, a i da je, osobnim podacima klijenata trebalo bi upravljati na sustavan način, od strane za to obučene i ovlaštene osobe, u skladu sa zakonskim propisima te međusobnim ugovorom sklopljenim između klijenta i mjenjačnice.

Sve navedeno može se dogoditi - i dogodilo se jučer - u roku od sat vremena.

Kao što se može zaključiti, informacijska i opća sigurnost procesi su koji samo dijelom ovise o velikim ulaganjima, investicijama i certificiranju, iako se upravo certificiranje često promiče kao rješenje za sve probleme informacijske sigurnosti unutar organizacije. Prava je istina kako certifikacijska revizija traje nekoliko dana a poslovni se proces često odvija i 365 dana u godini i obavljaju ga mahom ljudi, sa svim svojim subjektivnim karakteristikama koje donose u taj isti poslovni proces.

Kao što se vidi na površnom primjeru “naše” (među najvećima) banke, certifikacija nije dovoljna, baš kao što i u malom sustavu poput mjenjačnice, često nastaju proceduralne i organizacijske pogreške koje kompromitiraju integralnu sigurnost sustava.

Za ovo su djelomično krivi i tehnički konzultanti  i certifikacijski konzultanti koji često uljepšavaju istinu kako se ne bi zamjerili klijentu, umjesto da profesionalno odrade svoj dio posla i ukažu na nedostatke usvojenih modela i obrazaca ponašanja, pa čak i po cijenu privremenog neslaganja s klijentom. Svaki profesionalni klijent u tom slučaju neće konzultantu zamjeriti iskrenost i istinu, nego će shvatiti da ima istinskog partnera uz sebe - a svaki profesionalac trebao bi biti u poziciji birati i klijenta za kojega će raditi te odbiti posao ako se kosi s pravilima i kodeksom pripadajuće struke.

Donosimo u integralnoj verziji dokument “Pregled sigurnosnih incidenata u 2008. godini“, izrađen u suradnji CARNet CERT-a i LS&S-a.

Sadržaj:

1. UVOD

2. WEB PRIJETNJE

2.1. VRSTE NAPADA

2.2. PRIMJERI NAPADA

3. NAPADI PUTEM PORUKA ELEKTRONIČKE POŠTE

4. ZLOĆUDNI PROGRAMI

5. SPAM

6. MOBILNI TELEFONI

7. CURENJE PODATAKA

8. MEĐUDRŽAVNI CYBER KRIMINAL

9. BOTNET MREŽE

10. ZAKLJUČAK

11. REFERENCE

Dva temeljna preduvjeta moraju biti ispunjena kako bi se moglo uspješno rukovoditi, odnosno upravljati velikim količinama podataka uskladištenim u sustavima masovnog skladištenja:

1. prisutnost sustava klasifikacije podataka (Data Classification ili DC)
2. rukovođenje životnim vijekom informacija (Information Lifecycle Management ili ILC)

U našim uvjetima se podaci klasificiraju isključivo ako to nalažu zakonske odredbe, što znači da se u privatnom sektoru klasifikacija primjenjuje isključivo ukoliko vlasnik podataka ima svijest o potrebi te funkcije. Van sektora koji je i inače senzibiliziran na sigurnost informacija - financijskog, osiguravateljnog i tehnološkog - a osobito kod poslovnih subjekata srednje veličine, vrlo je mala svijest o potrebi klasifikacije podataka ili se ona provodi ad hoc, prema nečijem osobnom nahođenju ili, što je još gore, “u hodu”, odnosno kontekstualno.

Što se tiče upravljanja životnim vijekom podataka, u Republici Hrvatskoj se donekle poštuju principi ovog procesa kada se radi o arhiviranju podataka, odnosno o računovodstvenim podacima koji moraju biti dostupni određeni vremenski rok, u skladu s principima čuvanja računovodstvenih isprava, no sustavno rukovođenje tom funkcijom u praksi je izrazito rijetko.

Moglo bi se ustvrditi kako se bez implementacije sustavnog DC i ILM, sustav informacijske sigurnosti nalazi na klimavim nogama, osobito u onom dijelu koji se tice “Availability” dijela C-I-A trijade. Često se ova dva principa u našoj praksi u potpunosti zanemaruju, proglašavajući tehničke mjere pohrane podataka ili operativne mjere proglašavanja podataka “neoperativnima” dovoljnima.

Naravno da je daleko lakše uvesti ove principe u organizacije koje upravljaju manjom količinom podataka jer je tada i proces normalizacije jednostavniji, no s druge strane, zbog svoje veličine i osjetljivosti, velike organizacije bi još više trebale obratiti pažnju na način na koji skladište podatke, odnosno “rješavaju” ih se po isteku njihovog životnog vijeka.

Članak od Farajun, Eran, “The Key to Information Lifecycle Management is Cost-Effective Backup” objavljen u Computer Technology Review od 1.1.2006. godine jasno objašnjava koji su temeljni ciljevi procesa ILM te koja je razlika između obične tehnologije pohrane podataka i ILM tehnologija.

Definicija računalnog hakera ovisi o stajalištu s kojega se polazi. S pozitivnog gledišta može se reći kako je haker osoba koja je programerski stručnjak i koja je sposobna riješiti kompleksne računalne probleme. No, u kolokvijalnom jeziku, izraz haker se obično koristi za osobu koja ilegalno dolazi do povjerljivih informacija sadržanih u računalnim sustavima, te ih ponekad briše ili mijenja.

Bivši hakeri često nakon što “odsluže svoj dug društvu” postaju profesori iz područja informacijske sigurnosti ili otvaraju vlastite konzultantske tvrtke koje se bave uslugama iz istog područja.

Evo jednog zanimljivog članka koji govori o pet medijski eksponiranih hakera i njihovim sudbinama po završetku hakerske “karijere”.

Doduše, jedna strukovna poslovica kaže kako je najbolji haker onaj za kojega nitko ne zna i kojega nikada nisu uhvatili…

Nažalost, situacija nije daleko od ovoga u mnogim hrvatskim tvrtkama…

Još jedan neobjavljeni članak pisan za inozemnu publikaciju. Bavi se problematikom potrebne edukacije, kompenzacije i načina regrutiranja funkcije CSO - Chief Security Officer, u hrvatskom korporativnom svijetu poznato kao direktor osiguranja ili direktor sigurnosti (direktor za sigurnost), odnosno, rukovoditelj sigurnosti ili rukovoditelj sigurnosne funkcije.

Education, compensation and CSO establishing criteria

“CSO position is (or at least, should be!) a position of senior leader. Just like in all other such cases, there are significant expectations towards potential candidates in regard to education and experience. High levels of education and certification are expected and highly valued across organizations and they present an element that could enhance candidate’s overall positioning, including informaln one. Usually, CSOs have a degree in law, finance, business administration, security management, IT systems management or criminal forensics. However, every organization has its own roots, customs and development, so CSO profile should reflect all those requests. Important certifications that might improve CSO’s chances are usually in the field of forensics or ICT systems security: ISO 27001:2005 Lead Auditor, CISSP/CISM or EC-Council ethical hacking.

All outlined elements present a significant problem during CSO recruitment. It is possible to hear the same old story all over the world when CSO recruitment becomes the topic: there are no suitable candidates while those that seem to be suitable, overshoot role assigned compensation scale. There are many aspiring candidates and very few those with proven record of practical experience. Furthermore, sometimes CSOs tend to mirror their previous experience. Those who used to deal primarily with physical security try to strongly emphasize physical security procedures, those that were in charge of information security try to tighten logical security. It is a very rare occasion to find candidates in charge of integral security who have the big picture in their minds and curriculum vitae, and even less candidates are available at the labor market through usual channels.

The fact that human resource departments very often do no possess specific skills needed to recruit successful CSOs further aggravates the situation. CSOs are usually not entries in various headhunter candidate databases wither. Additionally, compensation scheme is always an issue. Unless CSO is adequately treated, it is possible to hire somebody who will use his/her position as a comfortable transition to more lucrative job and who will not achieve any security goals or improve security climate within the organization. Some companies attempt to create „hybrid CSOs“ by merging physical security and information security or contract security, public relations and information security, while skipping other important CSO functions and delegating them to business functions without clear top-level coordination. Let’s say it openly: successful CSO story is a story of senior management position and satisfied manager challenged by complex tasks that encompass every part of the business process.

Despite this fact, there are so many titles for the person in charge of integral security as there are large corporations, and almost in all of them, responsibilities and expectations on both sides differ. Very often a person supervising tasks connected with security is a manager, while the same person in another organization is executive director or simply CSO in third organization. Usually, where the perceived levels of overall risks are higher, the compensation scale is also moved to a higher level. However, the organizations are proverbially slow in recognition of CSOs scope of work and consequentially, they are not always able to determine suitable job descriptions or salary scale. Worst of all, CSO is sometimes treated as „additional cost“ when the CSO position is a new opening and security culture is undernourished.

So, this overall situation is not easy, neither for the organizations under pressure to increase their profit margins by ensuring uninterrupted business flow, nor for the potential CSO candidates.

Classic dilemma that the organizations are facing is also inside development vs. external recruitment. Existing candidates are readily available, direct cost of employment is lower, the person already has certain level of visibility within the organization and if such a person is already treated as an expert in his/her field and well respected, he/she could be more easily accepted at his/her new position. However, promoting own resources brings risk of inadequate/lacking knowledge, additional costs of education and certification, and creates a gaping hole in position from where the new CSO comes thus creating problem for the sourcing department.

Introduction of new candidates certainly brings new blood to the company, along with knowledge, certifications and added value, but direct cost of the employment is higher, operationalization time of the new position could be longer because of time needed for selection, recruitment and employment process and new person is usually under stress due to workplace change, so it takes some time to get accomodated to the new organization until the new CSO starts blasting „full speed ahead“. Finally, one of the biggest problems new CSO can face is disruptive behaviour of his/her prospective collaborators that should support him/her, but only see a whistleblower hired to control their work constantly looking for job that was done poorly or that was not done at all and should have been long time ago by respective process owners.

Finding a suitable CSO candidate is not easy job for the organization or very pleasant transition for the candidates. Application of correct framework is crucial in order to achieve the end result: hiring right person for the right job and improving the security climate. However, even the best candidate in the best possible organization will fail unless he/she is given the appropriate level of responsibility and power, right salary, unless the top level of the organization is dedicated towards achievemt of goals of security excellence and if CSO is underpaid compared to his peers. A high level of consensus and trust between CSO and top management is needed to step up to the next level of corporate security – if there is no such consensus, everything else is a hybrid function, partial internal reassignment of resources (human, material, organization or financial) and finally – potentially a lack of time with no real added value.”

Prije pola godine jedan od vodećih svjetskih časopisa za tematiku integralne sigurnosti (CSO) naručio je od mene nekoliko članaka. Nažalost, kako neprofesionalnost nije očito boljka samo hrvatskih prostora nego i nekih nama zapadnih, do konkretnesuradnje i objave nikada nije došlo, iako je inicijalno suradnja predstavljena kao gotova stvar. Stoga koristim prigodu objaviti prvi od dva napisana članaka koji se na ležeran način bavi tematikom pozicije korporativnog menadžera za sigurnost - CSO (Chief Security Officer).

Članak je napisan na engleskom jeziku, što većini zainteresiranih ipak ne bi trebalo predstavljati problem.

CSO’s first day

“Finally, you did it. After months of talking to headhunters and their associates, after being interviewed over the phone and personally, after credentials and background checks and grueling negotiations, they decided to hire you. You are still not sure what was the breaking point that made them decide between all those candidates that have applied for the position and choose you – all of them are well educated, have technical and legal background, information security certifications, some of them worked for oil&energy companies covering physical security function for years in not exactly very hospitable parts of the planet. Some of them worked for the military, they were security contractors and spent some serious action time working for the special forces… or at least this is what your internal sources tell you.

So, the day has come and you are ready to start your first working day. Anxiety driven, you find your barely negotiated parking space in a crowded section dedicated to the leading hierarchy of the company, you manage to convince the lady at the reception that you are the New Guy that will be reporting directly to the Board of directors. She tells you that your new office is at the ninth floor, just one floor under CEO’s panorama office and relays to you the message that your notebook, palmtop and email access RSA token will be delivered before lunch time (with regret note for the delay signed by the assets manager personally). You enter your new office, slightly smaller than anticipated and with shared secretary – a small disappointment.

What now, you think? What is the first thing I should do?

With head full of abbreviations, certifications, knowledge gathered in the past ten years working in IT department, General services department, HR department, numerous afternoons and nights spent working on MBA case studies and mentoring sessions, you are ready to charge head-on right into… disaster!

Stop for a second. Do nothing.

Exactly, as simple as that. DO NOTHING!

Do not try to change the company on the first day. Do not try to find out why disaster recovery plan was updated in 1993 and recovery of Novell networks is still mentioned inside. Do not try to confront people currently in charge of business continuity plan that was last tested nine years ago. Do not ask around who is the responsible of the secretary that just left unsuccessful copy of expense report of the Procurement manager next to the copy machine, not caring about the shredder’s existence.

This company has been here for years and the extrapolated experience shows that most likely it could be here after you too. If you try to plunge straight into the problems of the organization that was set up… well… not exactly in optimal way, you risk being excluded from the processes, put aside on their margins and very soon the rumors will start that somebody greased a few palms to get you hired „for the job that would be done anyway by those in charge of it“.

Of course that you are a highly professional person and you might be right, but you cannot change old ways overnight. Let’s face it, most organizations are not that good when it comes to integral security. The concepts used are often used haphazardly, randomly, as they were approved by the Board, or depending on their inclination to approve funds. If you think that you are the person that can change this just by being hired, you might be on the way… out!

Instead of charging into action and releasing the explosion of all that accumulated knowledge and previous experience, try to be a good secret agent. Find out as much as possible about the organization. Identify internal sponsors: who are people of high rank and authority that might adequately recognize your efforts down the road? Try to understand more about people and what makes them tick. Try to gather as much data as possible about the snapshot of current security situation, creating internal check-lists, but not sharing them with other people. Especially avoid canteen-lunch-time-talk and sharing your sincere opinion with the first friendly person that comes along. Newcomers are newcomers, and it will take some time before people accept you and stop considering you to be somebody that will reveal the holes in their daily areas of responsibility.

Especially be aware about the (wrong)doings of the Procurement and Legal departments. They should cooperate in order to ensure the contract security, but in reality, they are often lacking in this area.

Your best friend while evaluating the current integral security framework might be the CEO’s personal assistant. Usually, this is the place where you can find more useful information than you can find using access to your data warehouse report extraction system. Somehow, the information manage to find their way to those people, regardless of importance, distance and time. They almost defy the laws of physics. However, they can be your best friends, if you approach them wisely.

We are all being pushed daily to produce results, and not just any results, but detailed, quick and tangible results, so much that we sometimes forget the importance of thorough analysis and clear situation overview. Your line of work, regardless of the fact do you have a dedicated department that takes care of integral security under your supervision, or you are a single shooter who has to coordinate other heads of departments to achieve the goals, heavily depends on your relations to the Board of Directors, but also all employees across the organizational matrix. Do not waste precious time at the beginning of your employment by making enemies. This is the time when you can strategically strengthen your position by creating important business connections and acquaintances that can later serve as a good social network to really understand underlying processes and how to channel them in order to improve organization’s security situation. If from the very beginning you start to point out to deficiencies and start naming names and faults, the existing system could have enough internal strength to squeeze you out and marginalize you. In that case, there will be no achieved goals of integral security and no more dedicated parking space.

And this is the last thing that you would like, isn’t it?”

Phishing je kriminalna aktivnost koja predstavlja pokušaj dobave osjetljivih informacija poput korisničkih imena, lozinki te informacija o kreditnim karticama uz korištenje metoda socijalnog inženjeringa i pretvaranja da se radi o legitimnim upitima vezanim uz institucije kojima se inače vjeruje, poput banaka, osiguravajućih društava, socijalnih mreža i online servisa. Najčešće se radi o mrežama poput Youtube, MySpace, Facebook, servisima za kupoprodaju poput eBaya, bankama, servisima za online plaćanje poput PayPala ili Moneybookersa te pružateljima podatkovnih i ostalih Internet usluga kao što su Google, Yahoo ili Hotmail.

Medij za provođenje phishing upita su tradicionalno elektronička pošta ili instant messaging, pri čemu se korisnika ponekad preusmjerava na Web stranice koje su sačinjene kako bi izgledale identično izvorniku.

Na ovom linku možete naći svježe podatke o phishing statistikama.

Video prikazuje jednostavno objašnjenje najčešće korištenih phishing tehnika, koje inače čine u kontinuitetu najveći postotak online računalnih prijevara.

Iako su teoretski i praktični temelji upravljanja informacijskom sigurnošću postavljeni još tijekom Drugog svjetskog rata, pogreške koje se danas događaju u korporativnom upravljanju informacijskom sigurnošću gotovo da se mogu unificirano prepoznati i zatim sistematizirati u mnogim poslovnim subjektima. Generalno, ako govorimo o Republici Hrvatskoj, upravljanje informacijskom sigurnošću najbolje je organizirano u onim sektorima koji su pod direktnim utjecajem regulatora (HNB, Hanfa) ili predmetne regulative, dok je najlošije organizirano ukoliko ne postoji eksterna regulacija, nego je proces informacijske zaštite prepušten voluntarizmu Uprave. No, nemojmo misliti kako su te pogreške nešto inherentno “hrvatsko” - u svijetu se svakodnevno događaju sigurnosni propusti i problemi u korporacijama i organizacijama koje imaju ogroman promet i značaj u svojim branšama. Jednostavno, upravljanje informacijskom sigurnošću proces je koji ima značajnu stohastičku komponentu jer ovisi o angažmanu čovjeka koji počesto ima subjektivnu kvalitativnu karakteristiku, a takvi su sustavi inherentno visoko nestabilni.

Uočit ćete da se informacijskoj sigurnosti veća pažnja poklanja u onim privrednim granama u kojima su profitne marže izrazito visoke a vašoj mašti prepuštam razmišljanje zašto je to tako i da li je jedini uzrok činjenica da izdašnije reinvestiranje dobiti u sigurnost takvim organizacijama omogućuje postizanje viših stupnjeva organizacijske sigurnosti.

Recimo to jasno - apsolutno sigurni informacijski sustavi nisu postojali, ne postoje i nikada neće postojati. No, moguće je izraditi sustav koji u sebi ima ugrađene sve teorijske sastavnice informacijske sigurnosti, koji informacijsku sigurnost promatra kao proces a ne projekt koji ima svoj kraj te koji je sposoban učiti iz vlastitih propusta. Upravljanje sigurnošću informacijskog sustava naslanja se na upravljanje rizicima po taj isti sustav - samim time, ako se neke rizike po sustav mora prihvatiti, zato što je vjerojatnost njihove pojave mala i/ili trošak uklanjanja prevelik - rukovodstvo organizacije mora biti svjesno da je i sigurnost tako postavljenog sustava nužno korelirana s prihvaćenim rizicima i odabranim metodama za njihovo smanjenje.

Izložimo deset najčešćih pogrešaka koje se događaju pri upravljanju informacijskom sigurnošću u velikim korporacijama, s komentarom situacije u Republici Hrvatskoj.

1. Upravljanje informacijskom sigurnošću povjereno je “bilo kome samo da u organigramu postoji ta funkcija”. Još je gore ako je se upravljanje korporativnom informacijskom sigurnošću povjeri odgovornome za informacijsko-telekomunikacijski sustav, jer je u tom slučaju ta osoba u poziciji vršiti kao CISO reviziju vlastitog posla kao CIO, što se ne bi trebalo dozvoliti i što nije u sukladnosti sa standardima koji se odnose na sustav upravljanja informacijskom sigurnošću
2. Neke uprave nemaju apsolutno nikakav interes za postizanjem ciljeva informacijske sigurnosti, što minimalo otežava njihovo provođenje a u krajnjoj liniji dovodi do onoga nezamislivog, a to je da upravljanje informacijskom sigurnošću u korporaciji uopće ne postoji - u Hrvatskoj danas postoji poveći broj velikih organizacija i dioničkih društava koje uopće nemaju sustav upravljanja informacijskom sigurnošću. Posljedica takvog stava diseminira se hijerarhijski i na niže razine upravljanje, te samim time nema suradnje organizacijskih cjelina korporacije u postizanju ciljeva informacijske sigurnosti. Osnovni razlog ovakvog stava je u biti neobrazovanost i nesenzibiliziranost uprava za moderne poslovne funkcije ili tehnološka različitost temeljnog procesa korporacije u odnosu na informacijsku znanost. Iz tog razloga, MBA poslovni studiji trebali bi biti temeljni poslijediplomski edukacijski arsenal svim vršnim rukovoditeljima koji nemaju formalno obrazovanje iz ekonomije, metoda upravljanja, financija i informatike.
3. Informacijska sigurnost percipira se isključivo kao trošak. Još je gore kada se čitava informatika i telekomunikacije doživljavaju troškom koji ne dodaje vrijednost temeljnoj proizvodnoj djelatnosti poduzeća. Ovome nimalo ne doprinose oni stručnjaci za informacijsku sigurnost koji ne znaju jasno artikulirati svoje proizvode kada ih pokušavaju plasirati unutar poduzeća i organizacija.
4. Certifikacija po nekom od standarda koji se odnosi na informacijsku sigurnost. Iako je certificiranje vrhunsku dokaz da je neka organizacija praktično implementirala sustav upravljanja informacijskom sigurnošću, ukoliko uprava nije iskreno obvezala sebe politikom i svakodnevnom praksom za postizanjem ciljeva izloženih u politici informacijske sigurnosti, certifikacija će predstavljati paralelni sustav koji nema veze sa situacijskim stanjem u organizaciji i samim time, bit će percipirana kao trošak, čime u potpunosti ispunjava sve uvjete za “samoispunjavajuće proročanstvo”.
5. Izostanak suradnje između instance odgovorne za provođenje informacijske sigurnosti i ostalih odjela ili organizacijskih cjelina ili troškovnih centara unutar poduzeća, najčešće zbog psiholoških otpora i percepcije funkcije CISO kao interne policije
6. Neprovođenje sustava edukacije zaposlenika, od prvog dana zapošljavanje nadalje, u praktičnom provođenju informacijske sigurnosti. U mnogim poduzećima jedini dodir zaposlenika s informacijskom sigurnošću - prije nego počine neki propust, namjerno ili zbog neznanja - nemušta je i godinama prepisivana stavka u ugovoru o radu koja se odnosi na odavanje poslovne tajne. Druga česta pogreška je stav kako je jedan razgovor ili interno predavanje dovoljno - sustav upravljanja informacijskom sigurnošću konstantno se mijenja i stoga postoji stalna potreba za ponovljenim obrazovanjem i internim tečajevima. Uz ovo se usko vežu i temeljna pravila i politike korištenja korporativnog informacijskog i telekomunikacijskog sustava
7. Uprave često ne shvaćaju kako je upravljanje informacijskom sigurnošću samo mali kotačić u upravljanju integralnom korporativnom sigurnošću. Naravno, rijetka su poduzeća u kojima je jedno uspješno postavljeno ukoliko drugo ne postoji, ili je neadekvatno postavljeno.
8. Nažalost, prema dostupnim informacijama i razgovorima s voditeljima odjela informatike, CIO-ima i osobama odgovornim za informatiku i/ili informacijsku sigurnost, većina nefinancijskog i neinženjerskog sektora u Hrvatskoj, uključujući dobar dio državnih institucija, svoju aktivnost ne odvija u skladu s ciljevima oporavka od katastrofe i modernog upravljanja kontinuitetom poslovanja (Business Continuity and Disaster Planning). Uprave su neobrazovane po pitanju temeljne metodologije poslovnog kontinuiteta, smatraju da je to nepotreban trošak i oslanjaju se na statistički uzorak iz prošlosti koji govori o izostanku takvih događaja. Vezano uz ovo ide neadekvatna politika upravljanja rizicima po imovinu poduzeća - materijalnu i nematerijalnu. Tragično je što je situacija upravo obrnuta - naglasak na oporavak od katastrofe i temeljne odrednice upravljanja kontinuitetom poslovanja mogu se efikasno postaviti i bez velikih ulaganja, dok se preraspodjelom resursa unutar poduzeća mogu u značajnom opsegu postići njihovi ciljevi bez dodatnih ulaganja.
9. Pri definiranju zadataka i dužnosti funkcije zadužene za upravljanje informacijskom sigurnošću ne postoji referentna lista traženih kompetencija jer je ta funkcija srazmjerno nova u našem realitetu. Nije jasno koje obrazovanje bi trebala imati ta osoba, koje certifikacije, kakvo je traženo iskustvo, koji su očekivani kompenzacijski paketi i prema kojim kriterijima se odlučuje da li se kadar za upravljanje informacijskom sigurnošću regrutira unutar organizacije ili se angažiraju vanjski konzultanti, iako oba principa imaju svoje mane i prednosti. Štoviše, kod formiranja nove poslovne funkcije, ne pazi se na to da bi informacijska sigurnost trebala biti visoko u korporativnoj stratifikaciji, već se vrlo često “gura” nisko, odakle niti po položaju niti po utjecaju, ne može previše utjecati na poslovne procese. To informacijsku sigurnost gura na margine poslovnih procesa u korporativnom okruženju.
10. Vrlo često pažnja se poklanja isključivo tehničkom kontekstu. Tako se informacijska sigurnost poistovjećuje s mjerama tehničke zaštite informacijskih i telekomunikacijskih procesa unutar korporacija, koje po automatizmu uvode voditelji informatičkih odjela jer predstavljaju zdravorazumske mjere i svojevresni “best practice”, Informacijska sigurnost daleko je kompleksniji proces koji obuhvaća gotovo sve druge poslovne procese i mnoge ostale funkcije van strogog tehničkog konteksta.