Banka.hr - Informacijska sigurnost: Stotinjak prijavljenih incidenata godišnje

Posted using ShareThis

“Štednja na krivom mjestu?

Svega 1-3% IT budžeta hrvatskih tvrtki ulaže se u informacijsku sigurnost

Preko polovice ispitanika najviše pozornosti posvećuje zaštiti od interne prevare, dakle manipulacije podacima od strane vlastitih zaposlenika.

Inicijative za smanjenje troškova u svezi informacijske tehnologije u proteklih su godinu dana najviše utjecale na odluke o razvoju IT odjela u hrvatskim tvrtkama. Uprave u našim tvrtkama ne posvećuju dovoljno pozornosti privatnosti podataka, iako u dosta velikom postotku zajednički s IT menadžerima donose odluke o IT projektima. Svega 1 do 3 posto budžeta namijenjenog IT odjelima u hrvatskim tvrtkama troši se na pitanja informacijske sigurnosti, pokazuje istraživanje konzultantsko-revizorske tvrtke Deloitte Uravnoteženost poslovnih i IT odjela.

Kao i u Hrvatskoj, i u ostatku Europe smanjenje troškova je postalo čimbenik koji najviše utječe na odluke u vezi informacijskih tehnologija. Međutim, s tim u vezi postoje primjetne razlike među regijama u svijetu, što je vjerojatno odraz različitog utjecaja ekonomske krize. Tako na odluke u vezi IT-a na području Sjeverne i Južne Amerike najviše utječu fluktuiranja u cijeni tehnologije, dok u azijskoj regiji pojava novih tehnologija igra značajniju ulogu no drugdje.

“Istraživanje je ukazalo na učestalu praksu tvrtki da odluke u vezi IT-a ne donose sustavno. Čak tri od pet ispitanika na globalnoj razini ističe da se na sastancima uprave nikad ne raspravlja o odlukama vezanim za IT. U Hrvatskoj je situacija nešto bolja, pa polovica ispitanika ističe da uprava odlučuje o razvoju IT odjela zajedno s IT menadžerima,” ističe Ivica Perica, menadžer u Odjelu za upravljanje rizicima u Deloitteu.

Međutim, kad je riječ o informacijskoj sigurnosti, preko polovice ispitanika najviše pozornosti posvećuje zaštiti od interne prevare, dakle manipulacije podacima od strane vlastitih zaposlenika. Najskeptičniji po tom pitanju su ispitanici iz Europe, no primjetan je nedostatak svijesti o stvarnom broju povreda sigurnosti i ozbiljnosti te prijetnje. Budžeti alocirani za IT sigurnost i dalje zaostaju za stvarnim razmjerima prijetnji koje postaju sve kompleksnije, baš kao što se usložnjavaju i regulatorni zahtjevi. Oko 45 posto ispitanika u Hrvatskoj prihvaća outsourcing (eksternalizaciju) IT usluga, dok je u svijetu taj trend prošireniji, budući da se outsourcingom koristi 60 posto tvrtki.

U ovogodišnjem Deloitteovom istraživanju sudjelovalo je preko 1800 ispitanika iz 28 zemalja diljem svijeta. Ovo je prva godina da su istraživanjem obuhvaćene i hrvatske tvrtke, s udjelom od 4,4 posto u sveukupnom broju kompanija. U istraživanju su sudjelovale tvrtke iz financijskog sektora, proizvodnje, robe široke potrošnje, tehnologije, farmaceutike, javnog sektora, transporta, telekomunikacija, energetike, automobilske industrije, nekretnina i drugih sektora.”

(preuzeto s: Internet Monitor, 15.10.2009.)

Komentar: izbacimo iz analize bankarski i financijski sektor te nekoliko tvrtki koje se bave visokom tehonologijom i naslov bi lako mogao biti “Čak 1-3 promila IT budžeta hrvatskih tvrtki ulaže se u informacijsku sigurnost”.

U dijelu hrvatskih medija prije nekoliko tjedana na senzacionalistički način je prenesena informacija o tome kako je u HEP-u internim dopisom zabranjeno odavanje osobnih informacija o zaposlenicima (u ovom kontekstu, vjerojatno se to odnosi na plaće rukovoditelja).

Zanimljivo je kako se u biti radi o klasičnoj zamjeni teza. Čak i one tvrtke koje nemaju striktne procedure upravljanja informacijskom sigurnošću primjenju po “automatizmu” procedure ili politike tajnosti osobnih podataka zaposlenika, njihovih plaća itd. Zapravo bi bilo bolje postaviti pitanje - što je točno činio u HEP-u do sada onaj koji je bio zadužen za osiguranje sigurnosti takvih podataka?

Ili možda mediji smatraju kako bi korporacije trebale držati sve svoje podatke na nekakvom front-endu, dostupnom javnosti?

Ovaj mini-slučaj definitivno govori o tome kakvo je stanje informacijske sigurnosti i sigurnosti osobnih podataka u Hrvatskoj danas.

U članku “Zašto ISO 27001 (možda) nije dovoljan” osvrnuli smo se na činjenicu kako razvoj sustava koji prate kvalitetu ISMS-a (možda!) ne prati dovoljno brzo tehnološki razvoj. Naravno, sustavi upravljanja kvalitetom temelje se na fleksibilnosti i tako su “univerzalni” i “uvijek primjenjivi” - dovoljno je reći kako Annex A ne predstavlja definitivni skup kontrola, nego svaka organizacija može dodati kontrole koje nisu u njemu predviđene.

Ostavimo za sada po strani ISO sustave i prokomentirajmo npr. SaaS (Software as a Service) koncept koji već nekoliko godina pružaju mnoge softverske kuće u Hrvatskoj i svijetu koje proizvode specijalizirane softvere. Cijela priča izgleda dobro -  softver radi na gotovo svim računalima koja imaju Internet browser tako da nisu potrebna ulaganja u novu opremu, cijena komunikacijskih linkova danas je toliko pala da predstavlja za manje i srednje firme gotovo zanemariv trošak u odnosu na sve ostale troškove poslovanja a što je najvažnije, SaaS koncept omogućuje tretiranje računalnog softvera kao usluge, čime se smanjuje potreba za većom količinom novčanih sredstava kojima bi se kupio softver kao stalna imovina, osobito ako je broj računala veći. Upravljanje licencama je isto jednostavno, tako da u slučaju smanjenja ili povećanja poslovne aktivnosti, ovisno o ugovoru, dovoljno je deklarirati povećanu ili smanjenu količinu licenci u sljedećem razdoblju. Naravno, u praksi se pokazalo kako su CIO-i vrlo nezadovoljni implementirani SaaS sustavima o čemu se više može pročitati u ovom članku.

Koncentrirajmo se na trenutak na sigurnost takvih sustava. Mnoge tvrtke u Hrvatskoj koriste SaaS softver za svoje interno računovodstvo, ali i za core business, odnosno CRM i B2B/B2C sustave bez da je ijedna sekunda promišljanja potrošena na pitanja kao što su - gdje su zapravo ti podaci, tko su tvrtke koje pružaju SaaS softver, koja im je reputacija, da li su ugovorom definirane obaveze proizvođača po pitanju kontinuiteta poslovanja, postoje li sustavi oporavka od katastrofe… još gora je situacija kod onih pružatelja aplikativnih rješenja, a takvih je većina, koji svoje aplikacije “hostaju” na stranim serverima, najčešće koristeći najjeftinije solucije kako bi smanjili vlastite troškove poslovanja, a koji niti da hoće, ne mogu odgovoriti niti na jedno od postavljenih pitanja.

Na pitanje da li bi povjerili strancu na ulici svoj novčanik, većina onih koji su implementirali takve sustave odgovorili bi niječno, no sudbinu dobrog dijela svog poslovanja povjerili su nepoznatim tvrtkama o kojima ne znaju ništa, koristeći distribuirane sustave obrade podataka o kojima znaju još manje.

Prema tome, svi koji koriste SaaS tehnologiju,trebali bi minimalno koristiti tehniku “dobrog gospodara” i smjernice koje daje Gartner za sigurnost cloud computing sustava ili sustava distribuirane, dislocirane i eksternalizirane obrade podataka.

1. Adresiranje rizika pristupa podacima - potrebno je znati koje osobe, funkcije ili instance imaju fizički pristup podacima, pošto su svi podaci u informacijskom oblaku na kraju krajeva ipak negdje fizički sadržani. U okviru toga treba biti siguran kako se pravila fizičkog pristupa podacima u tim tvrtkama uvijek i neizostavno poštuju
2. Potrebno je znati gdje se točno fizički nalaze smješteni podaci odnosno aplikacije, o kojoj se fizičkoj lokaciji odnosno državi radi, te da li se pružatelj usluga serverskog hostinga doista pridržava dogovorenih normi po pitanju sigurnosti podataka (nadam se kako je jasno da sve ovo treba definirati ugovorom a i nezavisnim auditom ako se to smatra potrebnim!)
3. Potrebno je točno definirati strategije izrade rezervnih kopija, raspoloživnosti podataka te strategije kontinuiteta poslovanja u čitavom lancu, od hostinga, preko proizvođača softvera do samog korisnika
4. Za slučaj izlaska iz posla bilo koje od uključenih stranaka (pružatelj hostinga, proizvođač softvera, pružatelji telekomunikacijskih interkonekcija), potrebno je ugovorno definirati strategije i postupke kontinuiteta korištenja podataka i usluga, odnosno uvjete prekida pružanja usluga
5. Potrebno je internim dokumentom definirati potrebne razine usluga kroz interne i vanjske SLA ugovore o čemu će ovisiti i investicije - nije isto da li je potrebna raspoloživost 95, 99 ili 99,99 % vremena.

Tek nakon što se primijeni ova metodologija uz standardnu ISO 27001 “lingvistiku”, te nakon što se izradi detaljna analiza rizika uz mjere umanjivanja, uklanjanja ili transfera rizika, moguće je napraviti standardnu “buy or lease”, a u ovom slučaju “own or cloud-away” analizu koja će u večini slučajeva ipak potvrditi razočaranje anketiranih CIO-ova po pitanju isplativosti cloud computinga koji se “isplaćuje na rate” i “nečija je tuđa briga”.

Dovoljno je teško štititi sigurnost informacijskih sustava koji se nalaze u “kući”, odnosno unutar ureda ili štićenih sustava - zadatak postaje noćna mora kada se toj zadaći doda zaštita distribuiranih informacijskih sustava, bilo da se radi o dijelovima koji su eksternalizirani (”outsourceani”) ili o uređajima namijenjenim za daljinsku i odvojenu obradu podataka poput telefona, prijenosnih računala ili dlanovnika. Sve donedavno ta zadaća nije bila osobito problematična jer sastavni dio mobilnih uređaja nije bio i komunikacijski kanal između korporativne (ili organizacijske) središnjice nego je bilo potrebno samo štititi uređaj i podatke na njemu što se postizalo na nekoliko načina. No, sada je sastavni dio čitavog informacijskog sustava i komunikacijski kanal a problematika sigurnosti mobilnih uređaja namijenjenih distribuiranoj obradi podataka i osobnoj komunikaciji toliko je kompleksna da je često predmet zasebnih korporativnih politika informacijske sigurnosti.

Ovdje se nalazi jedan zanimljiv primjer - praktična procedura za upravljanje onim dijelom ISMS-a koji se odnosi na udaljeno računalstvo, a koja se primjenjuje u američkim državnim agencijama i tijelima.

Jedan stariji tekst prenesen s Poslovni.hr.

“Trećina kompanija u sektoru tehnologije, medija i telekomunikacija (TMT) na globalnoj razini značajno je smanjila svoja ulaganja u informacijsku sigurnost, a čak 60 posto tek “hvata korak” s rastućim prijetnjama po sigurnost, ističe treće globalno istraživanje o sigurnosti u TMT tvrtkama konzultantsko-revizorske tvrtka Deloitte.

S druge strane, čak 41 posto tvrtki u proteklih je godinu dana doživjelo interno kršenje informacijske sigurnosti. Ovogodišnji rezultati pokazuju da razina IT sigurnosti u svijetu značajno zaostaje za prošlogodišnjom, navodi se u Deloittovom priopćenju. Samo mali dio (6 posto) ispitanika obuhvaćenih istraživanjem posvećuje oko 7 posto ukupnog budžeta za IT sigurnost. Riječ je o značajnom smanjenju u odnosu na prošlu godinu, kad je takav postotak izdvajalo čak 36 posto kompanija.

Istraživanje ističe da pad ulaganja u sigurnost usporava prihvaćanje novih sigurnosnih tehnologija. Tvrtke se danas radije koncentriraju na optimiziranje već postojećih rješenja nego da investiraju u najsuvremeniju tehnologiju od

koje će imati koristi tek tijekom očekivanog ekonomskog oporavka.

Deloitte je, usporedo s globalnim, proveo i analizu IT sigurnosti u hrvatskom TMT sektoru. “Jedan od problema hrvatskog TMT sektora jest u tome što ne postoji struktura i organizacija upravljanja IT sigurnošću. Većina tvrtki nije uspostavila funkciju voditelja sigurnosti. Osobe zadužene za informacijsku sigurnost još uvijek često odgovaraju voditelju IT odjela, dok je u svijetu trend da takvi stručnjaci odgovaraju direktno upravi tvrtke. Informacijska i fizička sigurnost nisu prošle kroz proces konvergencije, odnosno ne postoji centralizirano upravljanje sigurnošću koje bi objedinjavalo ova dva procesa. U Hrvatskom TMT sektoru, također za razliku od svjetskih trendova, upravljanje sigurnošću još je uvijek uglavnom decentralizirano”, ističe Hrvoje Somun, viši menadžer u Odjelu za upravljanje rizicima u Deloitteu.

Iako društvene mreže na internetu i blogovi mogu biti korisni alati, oni povećavaju opasnost po internu sigurnost kompanija, nadalje se navodi u priopćenju. Čak 80 posto ispitanika smatra da je njihova tvrtka podložnija narušavanju informacijske sigurnosti zbog korištenja Weba 2.0, ali i tehnologija kao što su pretexting i phishing. Nadalje, generacijske razlike znatno utječu i na percepciju privatnosti. Mlađe generacije rado razmjenjuju razne vrste informacija, čime mogu nehotično odati osjetljive informacije o vlastitoj tvrtki. Zbog toga se danas svega 28 posto ispitanika smatra “vrlo sigurnim” u vezi internih prijetnji po informacijsku sigurnost, za razliku od prošlogodišnjih 51 posto, pokazalo je istraživanje. Tvrtke u TMT sektoru suočene su i s porastom regulatornih zahtjeva u vezi informacijske sigurnosti, čije nepoštivanje može tvrtku skupo stajati. Međutim, 67 posto ispitanika smatra da su regulatorni sigurnosni zahtjevi tek “donekle učinkoviti” te da i dalje nedostaje podrška višeg menadžmenta u njihovu provođenju. (pd)

“

Analiza financijskih pokazatelja vodećih hrvatskih tvrtki  na području fizičke, logičke i integralne sigurnosti - ako se tako može reći s obzirom na izrazito malo tržište, cjelokupnost sektora i ukupni prihod čitavog sektora - pokazuje kako je ostvareni prihod u 2008 godini bio 20 do 60 % veći nego 2007 godine, pri čemu su manje tvrtke uglavnom zahvaljujući pozicioniranju ostvarile veće stope rasta.

Međutim, s obzirom na rečeno u članku i subjektivni osjećaj pri promatranju tržišta, zasigurno će biti zanimljivo sljedeće godine u ovo doba analizirati iste pokazatelje.

Ovdje možete vidjeti dvije datoteke koje na vrlo jednostavan i pristupačan način objašnjavaju metodološki pristup analize i upravljanja rizikom u ICT projektima. Iako mnogi konzultanti predstavljaju problematiku vrlo kompleksnom, ona to u svojoj suštini nije. No, činjenica je da je prava umjetnost u složenim sustavima adekvatno popisati nomenklaturu svih rizika i naći osobu u organizaciji koja želi prihvatiti taj rizik, prenijeti ga na treću stranku ili financirati (sponzorirati) uklanjanje rizika, uključujući i one situacije kada te iste osobe naručuju studiju analize rizika (sama Uprava!). Nadalje, upravljanje rizikom nije inherentno kvantitativna metoda, no rezultat bi trebao biti kvantitativno iskaziv. Samo iskustvo implementatora i dobra baza statističkih podataka pondera i težinskih faktora omogućit će i adekvatne numeričke rezultate ove aktivnosti.

Naposlijetku, u skladu s poznatom izrekom kako u svakoj opasnosti leži nova prilika, rizici osim negativnih mogu imati i pozitivne ishode. Stoga se u metodologiji upravljanja rizikom promatraju ne samo aspekti nastupa događaja koji mogu imati negativan utjecaj na izvođenje projekta i postizanje cilja već i oni koji predstavljaju novu priliku ili neočekivano poboljšanje ili lakše/brže/kvalitetnije/jeftinije dostizanje zadanog cilja.

Risk management for ICT project management

PROJECT RISK MANAGEMENT

Tor je mreža virtualnih tunela koja omogućuje visok stupanj zaštite osobnih podataka u komunikacijskom kanalu, a onima koji se bave razvojem omogućuje razvoj novih alata s ugrađenim sigurnosnim mjerama.

Evo i kratkog shematskog objašnjenja kako Tor radi.

Sky News objavio je jučer zanimljivu reportažu o tome što se dogodilo u servisima računalne opreme u koje su odnijeli računala na popravak. Serviseri su pregledavali podatke, skidali lozinke, bankovne podatke i korisnička imena, pokušavali ih koristiti, te čak instalirati keylogger programe koji bilježe aktivnosti na računalima i šalju ih njima u formi logova (dnevnika) te pristupali ugradjenoj Web kameri. Gotovo u svim posjećenim servisima situacija je bila ista osim u jednom.

Komentar ovakve situacije bi bio da su za ovo jednako krivi i serviseri i ljudi koji svoja računala daju u posjed drugima ne vodeći brigu o tome što sadrže. Što očekivati ukoliko netko ostavi svoj novčanik prepun zapisanih lozinki, kreditnih i debitnih kartica te gotovine nasred ceste? Otprilike isto što može očekivati preda li svoje osobno računalo u servis nepoznatoj osobi.

U Europskoj uniji po pitanju zaštite informacija postoje detaljna zakonska podloga i operativni instrumentarij za osiguravanje sukladnosti sa relevantnim zakonima.  Dvije su temeljne direktive koje reguliraju područje zaštite podataka: direktiva 95/46/EC (direktiva o zaštiti podataka) te direktiva 97/66/EC koja se odnosi na zaštitu informacija u telekomunikacijama. Direktive obvezuju države EU da svoje nacionalno zakonodavstvo usklade sa zahtjevima direktiva.

Temeljna pravila kojih se moraju pridržavati svi koji upravljaju privatnim podacima (terminološki radi se o tzv. data controllers - onima koji kontroliraju podatke) su sljedeća:

1. podaci moraju biti procesirani pravično i u sukladnosti sa zakonima
2. podaci se smiju prikupljati isključivo zbog legitimnih razloga i koristiti samo u te svrhe
3. prikupljeni podaci moraju biti relevantni i ne smiju biti pretjerani u odnosu prema namjeni zbog koje se obrađuju
4. podaci moraju biti točni i ukoliko je potrebno, moraju biti osvježavani kako bi bili i dalje relevantni
5. oni koji kontroliraju podatke moraju omogućiti razumnim mjerama onima na koje se ti podaci odnose da obrišu, osvježe ili blokiraju netočne informacije o njima
6. podaci koji identificiraju osobe ne smiju se držati duže nego što je to nužno potrebno
7. svaka država mora organizirati jedno ili više nadzornih tijela koje kontroliraju provođenje direktiva pri čemu je jedna od dužnosti osiguravanje vođenja javnog registra svih koji kontroliraju podatke kako bi on bio pristupačan javnosti
8. svi koji kontroliraju podatke moraju obavijestiti nadzorna tijela o svojim aktivnostima, od čega iznimka mogu biti aktivnosti koje ne predstavljaju rizik ili ako su kontroleri podataka i informacija imenovani od strane nadzornih tijela

Temeljna odredba kojom se svi zakoni u EU povode po pitanju zaštite podataka je:

Integralnu verziju dokumenta koji reguliraju ovu problematiku možete skinuti s ovih stranica s ove poveznice.

U Hrvatskoj je situacija trenutačno takva da su direktive implementirane djelomično, nadzorna tijela su ustanovljena ali u praksi se ne primjećuje da provode legislativu a u trenutku pisanja ovog članka, sredinom 2009 godine, van financijskog i bankarskog sektora naglasak na pitanja zaštite podataka, informacija, informacijskih sustava i osobnih informacija izostaje dok se u svakodnevnoj praksi krše i hrvatska predmetna legislativa i strukovna pravila i pravila zdrave logike, osobito u području neovlaštenog i nepotrebnog prikupljanja privatnih podataka te pohrane i mjera tehničke zaštite spremljenih podataka  i podataka unutar komunikacijskih kanala i informacijskih sustava. Nažalost, situacija je jednako loša i ova se aktivnost očito smatra marginalnom i unutar državne uprave i unutar privatnog sektora, osobito u malim i srednjim poduzećima čija granska aktivnost i tehnološki procesi nisu povezani uz tehnološki kontekst pa se makar temeljna zaštita informacija ne provodi “po inerciji”, zbog samoinicijative uključenih stručnjaka.

Na siteu BCS-a nalazi se odličan i realan članak o ISO 27001 standardu.

Naglasci iz članka su na sljedećem:

1. ISO 27001 nije standard informacijske sigurnosti nego standard upravljanja sustavima (”management standard”)
2. ISO 27001 daje okvir za upravljanje sigurnošću unutar organizacijom ali sam po sebi nije “zlatni standard” za upravljanje istom
3. ISO 27001 baziran je na pristupu procjene rizika a prihvatljive nivoe rizika određuje sama organizacija. ISO 27001 ne propisuje prihvatljivu razinu rizika te će podržati provođenje čak i neracionalne procjene rukovodstva koje objektivno mogu dovesti do nesigurnosti, iako je organizacija certificirana po ISO 27001 sustavu (sic!)
4. Organizacije same odabiru kontrole koje se odnose na njih
5. ISO 27001 sadrži listu kontrola koje su sastavni dio implementacije standarda no ta lista nije definitivna. (komentar: ISO 27001 nije najbolje usklađen s novim razvojima tehnologije te npr. uopće ne adresira probleme sigurnosti kod cloud computinga, primjene slice-inga umjesto čiste kriptografije ili npr. virtualizaciju)
6. Uvođenje sustava ISO 27001 zahtijeva sigurnosnu ekspertizu tehničkog aspekta informacijske sigurnosti
7. Certifikacija ISMS-a po ISO 27001:2005 sustavu ne znači niti garantira informacijsku sigurnost, naprotiv, to samo znači sukladnost sa samim standardom. Prepustimo čitateljima samima da donesu zaključke vezane uz ovu činjenicu.
8. ISO 27001 je posve neefikasan i ne postiže ciljeve ukoliko ne postoji pravilna i nezavisna procjena rizika, posvećenost rukovodstva postizanju ciljeva sigurnosti, jasno vlasništvo nad procesima i informatičkom imovinom i svakodnevno promicanje kulture sigurnosti

Naposlijetku, dodao bih da ipak, usprkos svemu ovome, ISO 27001 je za sada najbolji alat koji stoji na raspolaganju organizacijama koje žele formalizirati svoje upravljanje sustavom informacijske sigurnosti.

Čitav tekst možete u integralnoj verziji pročitati ovdje.

Nova anketa je postavljena na LinkedIn vezano uz praćenje korporativnih ICT sustava i rada korisnika na Internetu na ovom linku

Rezultate ankete možete pratiti ovdje.

Zanimljiv video koji u samo 7 minuta pokazuje osnovne načine na koji prosječni haker ulazi u korporativne mrežne sustave. Usprkos uobičajenom mišljenju kako je za tu ilegalnu aktivnost najvažnije dobro poznavanje tehnologije, i iz ovog video isječka može se zaključiti kako odlučujuću ulogu kod uspješnosti hakiranja igraju metode socijalnog inženjeringa te temeljne logike. Iz ovoga se može lako zaključiti na što bi oni koji su zaduženi za prevenciju upada u računalne sustave trebali posvetiti dužnu pažnju.

Video clip prikazuje hakiranje WEP baziranih bežičnih mreža.

Ukoliko ga ne vidite u svom Internet pregledniku, možete mu pristupiti direktno putem ove poveznice.

Svatko tko se želi baviti informacijskom sigurnošću i obranom od napada na informacijske sustave, nužno bi trebao poznavati osnovne metode napada na bežične mreže. Radi se o disciplini etičkog hakiranja, a postoje i certifikacije iz tog područja.

U svakom slučaju, laicima nikako ne preporučamo transfer povjerljivih informacija preko bežičnih mreža, osobito ne na otvorenom i na mjestima poput hotspotova u trgovačkim centrima, kafićima i cyber cafe-ima. Osobito osjetljive aktivnosti mogle bi biti prijenos osobnih podataka te online kupovina koristeći kreditne kartice.

Hrvatski CERT nudi vrlo zanimljivu uslugu. Ukoliko na email adresu bot-a proslijedite poruku za koju niste sigurni da li je hoax, njihov sustav će tu poruku analizirati i vratiti vam povratnu informaciju.

Hoax je poruka elektroničke pošte neistinitog sadržaja, poslana s ciljem zastrašivanja ili dezinformiranja primatelja. Želja osobe koja je poslala hoax je njegovo prosljeđivanje na što veći broj adresa. Pri tome ih primatelji doista i prosljeđuju Internetom jer su uvjereni da time pomažu drugima.

O tehničkim komponentama koje stoje iza hoax recognizera možete više saznati ovdje.

O vrstama hoaxeva možete više pročitati ovdje.

Sva računalna i mrežna oprema “isijava” elektromagnetske valove odgovarajućih frekvencija tijekom svog rada. Tempest je strukovni naziv koji se odnosi na metode proučavanja i analize takvih nenamjernih (slučajnih) zračenja (CE - Compromising Emanations) kako bi se rekonstruirao rad na računalima, računalnim sustavima ili promet na računalnim mrežama. Terminologija i tehnika potiču iz miljea tajnih službi koje su među prvima uvidjele strateški značaj informacijske sigurnosti u provođenju odgovarajućih nacionalnih politika. Tempest oprema vrlo je raznovrsna a u praksi se najčešće koristi za rekonstruiranje korištenja stolnih računala, prijenosnih računala, mobilnih telefona te daljinsko praćenje ispisa na računalnim zaslonima i štampačima, odnosno za praćenje prometa na žičanim računalnim mrežama. Cijena takve opreme kreće se od 5.000 do 250.000 američkih dolara za posve opremljene sustave, ovisno o dometu, karakteristikama i sposobnostima podržanih akcija.

Uz Tempest tehnike naslanjaju se i metodologije zaštite računalnih sustava i mreža od ovog tipa prisluškivanja te međunarodno priznate certifikacije računalnih sustava ovisno o njihovoj “čistoći” po pitanju neželjenog odašiljanja. Jasno je kako se zbog značajnog troška anti-Tempest sustavima štite samo vitalni sustavi, najčešće Vladini, odnosno komercijalni i korporativni sustavi. Anti-Tempest sustavi često se kombiniraju s pasivnim i aktivnim sustavima zaštite od prisluškivanja u tzv. “sigurnim sobama”.

Kao i većina tehnologija zaštite informacija i temeljni koncepti informacijske sigurnosti, Tempest tehnologija svoje začetke ima u doba Drugog svjetskog rata.

Anti-Tempest zaštita svodi se na tri mjere:

• fizičko odvajanje - sprečavanje nedozvoljenog pristupa u blizini izvora kod kojeg je amplitudno zračenje jače od pozadinskog šuma
• elektromagnetsko odvajanje - primjenom prigušivanja i filtera kako bi se nenamjerne emisije smanjile
• minimizacija nivoa emitiranog signala - dizajnom i korištenjem opreme pri najmanjoj mogućoj snazi kako bi se smanjila snaga nenamjernog emitiranja elektromagnetsko zračenja

Sljedeći kratki film prikazuje rudimentarnu mogućnost daljinske analize unosa s tipkovnice osobnog računala.

Mediji su prepuni izvješća o konferencijama koje se bave informacijskom i integralnom sigurnošću, sve je više tvrtki koje se bave certifikacijom sustava upravljanja informacijskom sigurnošću i konzultanata koji potpomažu uvođenje tehničkih rješenja sustava informacijske zaštite.

Priča se o tome kako je informacijska sigurnost condition sine qua non modernog poslovanja a posebno se kao svijetao primjer ističe financijski sektor, unutar kojega je zahvaljujući formalnim i zakonskim zahtjevima regulatora ta tematika osobito striktno regulirana.

Međutim, kada se siđe u “rovove” i pogleda kakvo je stanje na terenu, posve je moguće da direktno s ceste uđete u backoffice na katu poslovne zgrade jedne od po aktivi najvećih hrvatske banaka bez ikakve provjere - iako u prizemlju postoji prijamni dio s prostorom za smještaj zaštitara, koji stoji prazan “zbog štednje i recesije”.

Nakon toga, može se dogoditi da vam osobni bankar isplati novac logiran na računalni sustav s korisničkim imenom i lozinkom svog kolege, “pošto je smjena upravo sada, kolega kasni par minuta, a on ne bi smio isplatiti novac pod svojim imenom iza 13.30h”.

U drugoj banci koja za razliku od ove prve ima uveden germansko-anglosaksonski sustav  ”stand up” poslovanja gdje službenik dočekuje klijenta stojeći, uredski prostor organiziran je tako da u prizemlju jednostavno nema prostora za zaštitara, nego je on smješten na prvi kat, gdje se nalazi backoffice, te uopće nema pregled ulaza, niti mogućnost blokade međuprostora. Vjerojatni razlog je opet famozna ušteda, kojoj je bankovni sektor jako sklon ukoliko se ne radi o apsolutnoj nužnosti koju pod prijetnjom kazne propisuje regulator.

Nakon toga moguće je da odete u mjenjačnicu desetak kilometara dalje gdje će vas službenica, pošto radite transakciju koja uključuje nešto veću količinu novca, odmah prijateljski pozvati u štićeni dio prostora, gdje sjedi i ona, te ćete unutra i dovršiti transakciju - pošto je zbog štednje i skučenosti dio s fizičkom zaštitom izveden neadekvatno i službenica nema mogućnost zaključati vrata električnim putem iza klijenta koji je ušao u prostor.

Naravno, mjenjačnica se diči naljepnicom jedne od najvećih hrvatskih tvrtki koje pružaju uslugu fizičko-tehničke zaštite i ima standardni alarm sa žutom rotacijom iznad ulaznih vrata, čak je i uredno stavljena naljepnica noćnog nadzora - no nitko se nije potrudio reći službenici da ne poziva klijente u prostor gdje se nalazi i ona sama i sef!

U nastavku priče, službenica će izvaditi pohabanu bilježnicu i u nju kemijskom olovkom zapisati vaše ime i prezime, adresu, broj telefona te broj osobne iskaznice i JMBG, čime će u biti nesvjesno prikupljati podatke svojih klijenata bez ikakve formalne privole. Naravno, to se čini ručnim putem, jer u programu za mjenjačnicu nije predviđena takva funkcionalnost, a i da je, osobnim podacima klijenata trebalo bi upravljati na sustavan način, od strane za to obučene i ovlaštene osobe, u skladu sa zakonskim propisima te međusobnim ugovorom sklopljenim između klijenta i mjenjačnice.

Sve navedeno može se dogoditi - i dogodilo se jučer - u roku od sat vremena.

Kao što se može zaključiti, informacijska i opća sigurnost procesi su koji samo dijelom ovise o velikim ulaganjima, investicijama i certificiranju, iako se upravo certificiranje često promiče kao rješenje za sve probleme informacijske sigurnosti unutar organizacije. Prava je istina kako certifikacijska revizija traje nekoliko dana a poslovni se proces često odvija i 365 dana u godini i obavljaju ga mahom ljudi, sa svim svojim subjektivnim karakteristikama koje donose u taj isti poslovni proces.

Kao što se vidi na površnom primjeru “naše” (među najvećima) banke, certifikacija nije dovoljna, baš kao što i u malom sustavu poput mjenjačnice, često nastaju proceduralne i organizacijske pogreške koje kompromitiraju integralnu sigurnost sustava.

Za ovo su djelomično krivi i tehnički konzultanti  i certifikacijski konzultanti koji često uljepšavaju istinu kako se ne bi zamjerili klijentu, umjesto da profesionalno odrade svoj dio posla i ukažu na nedostatke usvojenih modela i obrazaca ponašanja, pa čak i po cijenu privremenog neslaganja s klijentom. Svaki profesionalni klijent u tom slučaju neće konzultantu zamjeriti iskrenost i istinu, nego će shvatiti da ima istinskog partnera uz sebe - a svaki profesionalac trebao bi biti u poziciji birati i klijenta za kojega će raditi te odbiti posao ako se kosi s pravilima i kodeksom pripadajuće struke.

Donosimo u integralnoj verziji dokument “Pregled sigurnosnih incidenata u 2008. godini“, izrađen u suradnji CARNet CERT-a i LS&S-a.

Sadržaj:

1. UVOD

2. WEB PRIJETNJE

2.1. VRSTE NAPADA

2.2. PRIMJERI NAPADA

3. NAPADI PUTEM PORUKA ELEKTRONIČKE POŠTE

4. ZLOĆUDNI PROGRAMI

5. SPAM

6. MOBILNI TELEFONI

7. CURENJE PODATAKA

8. MEĐUDRŽAVNI CYBER KRIMINAL

9. BOTNET MREŽE

10. ZAKLJUČAK

11. REFERENCE

Dva temeljna preduvjeta moraju biti ispunjena kako bi se moglo uspješno rukovoditi, odnosno upravljati velikim količinama podataka uskladištenim u sustavima masovnog skladištenja:

1. prisutnost sustava klasifikacije podataka (Data Classification ili DC)
2. rukovođenje životnim vijekom informacija (Information Lifecycle Management ili ILC)

U našim uvjetima se podaci klasificiraju isključivo ako to nalažu zakonske odredbe, što znači da se u privatnom sektoru klasifikacija primjenjuje isključivo ukoliko vlasnik podataka ima svijest o potrebi te funkcije. Van sektora koji je i inače senzibiliziran na sigurnost informacija - financijskog, osiguravateljnog i tehnološkog - a osobito kod poslovnih subjekata srednje veličine, vrlo je mala svijest o potrebi klasifikacije podataka ili se ona provodi ad hoc, prema nečijem osobnom nahođenju ili, što je još gore, “u hodu”, odnosno kontekstualno.

Što se tiče upravljanja životnim vijekom podataka, u Republici Hrvatskoj se donekle poštuju principi ovog procesa kada se radi o arhiviranju podataka, odnosno o računovodstvenim podacima koji moraju biti dostupni određeni vremenski rok, u skladu s principima čuvanja računovodstvenih isprava, no sustavno rukovođenje tom funkcijom u praksi je izrazito rijetko.

Moglo bi se ustvrditi kako se bez implementacije sustavnog DC i ILM, sustav informacijske sigurnosti nalazi na klimavim nogama, osobito u onom dijelu koji se tice “Availability” dijela C-I-A trijade. Često se ova dva principa u našoj praksi u potpunosti zanemaruju, proglašavajući tehničke mjere pohrane podataka ili operativne mjere proglašavanja podataka “neoperativnima” dovoljnima.

Naravno da je daleko lakše uvesti ove principe u organizacije koje upravljaju manjom količinom podataka jer je tada i proces normalizacije jednostavniji, no s druge strane, zbog svoje veličine i osjetljivosti, velike organizacije bi još više trebale obratiti pažnju na način na koji skladište podatke, odnosno “rješavaju” ih se po isteku njihovog životnog vijeka.

Članak od Farajun, Eran, “The Key to Information Lifecycle Management is Cost-Effective Backup” objavljen u Computer Technology Review od 1.1.2006. godine jasno objašnjava koji su temeljni ciljevi procesa ILM te koja je razlika između obične tehnologije pohrane podataka i ILM tehnologija.