Definicija računalnog hakera ovisi o stajalištu s kojega se polazi. S pozitivnog gledišta može se reći kako je haker osoba koja je programerski stručnjak i koja je sposobna riješiti kompleksne računalne probleme. No, u kolokvijalnom jeziku, izraz haker se obično koristi za osobu koja ilegalno dolazi do povjerljivih informacija sadržanih u računalnim sustavima, te ih ponekad briše ili mijenja.

Bivši hakeri često nakon što “odsluže svoj dug društvu” postaju profesori iz područja informacijske sigurnosti ili otvaraju vlastite konzultantske tvrtke koje se bave uslugama iz istog područja.

Evo jednog zanimljivog članka koji govori o pet medijski eksponiranih hakera i njihovim sudbinama po završetku hakerske “karijere”.

Doduše, jedna strukovna poslovica kaže kako je najbolji haker onaj za kojega nitko ne zna i kojega nikada nisu uhvatili…

Nažalost, situacija nije daleko od ovoga u mnogim hrvatskim tvrtkama…

Još jedan neobjavljeni članak pisan za inozemnu publikaciju. Bavi se problematikom potrebne edukacije, kompenzacije i načina regrutiranja funkcije CSO - Chief Security Officer, u hrvatskom korporativnom svijetu poznato kao direktor osiguranja ili direktor sigurnosti (direktor za sigurnost), odnosno, rukovoditelj sigurnosti ili rukovoditelj sigurnosne funkcije.

Education, compensation and CSO establishing criteria

“CSO position is (or at least, should be!) a position of senior leader. Just like in all other such cases, there are significant expectations towards potential candidates in regard to education and experience. High levels of education and certification are expected and highly valued across organizations and they present an element that could enhance candidate’s overall positioning, including informaln one. Usually, CSOs have a degree in law, finance, business administration, security management, IT systems management or criminal forensics. However, every organization has its own roots, customs and development, so CSO profile should reflect all those requests. Important certifications that might improve CSO’s chances are usually in the field of forensics or ICT systems security: ISO 27001:2005 Lead Auditor, CISSP/CISM or EC-Council ethical hacking.

All outlined elements present a significant problem during CSO recruitment. It is possible to hear the same old story all over the world when CSO recruitment becomes the topic: there are no suitable candidates while those that seem to be suitable, overshoot role assigned compensation scale. There are many aspiring candidates and very few those with proven record of practical experience. Furthermore, sometimes CSOs tend to mirror their previous experience. Those who used to deal primarily with physical security try to strongly emphasize physical security procedures, those that were in charge of information security try to tighten logical security. It is a very rare occasion to find candidates in charge of integral security who have the big picture in their minds and curriculum vitae, and even less candidates are available at the labor market through usual channels.

The fact that human resource departments very often do no possess specific skills needed to recruit successful CSOs further aggravates the situation. CSOs are usually not entries in various headhunter candidate databases wither. Additionally, compensation scheme is always an issue. Unless CSO is adequately treated, it is possible to hire somebody who will use his/her position as a comfortable transition to more lucrative job and who will not achieve any security goals or improve security climate within the organization. Some companies attempt to create „hybrid CSOs“ by merging physical security and information security or contract security, public relations and information security, while skipping other important CSO functions and delegating them to business functions without clear top-level coordination. Let’s say it openly: successful CSO story is a story of senior management position and satisfied manager challenged by complex tasks that encompass every part of the business process.

Despite this fact, there are so many titles for the person in charge of integral security as there are large corporations, and almost in all of them, responsibilities and expectations on both sides differ. Very often a person supervising tasks connected with security is a manager, while the same person in another organization is executive director or simply CSO in third organization. Usually, where the perceived levels of overall risks are higher, the compensation scale is also moved to a higher level. However, the organizations are proverbially slow in recognition of CSOs scope of work and consequentially, they are not always able to determine suitable job descriptions or salary scale. Worst of all, CSO is sometimes treated as „additional cost“ when the CSO position is a new opening and security culture is undernourished.

So, this overall situation is not easy, neither for the organizations under pressure to increase their profit margins by ensuring uninterrupted business flow, nor for the potential CSO candidates.

Classic dilemma that the organizations are facing is also inside development vs. external recruitment. Existing candidates are readily available, direct cost of employment is lower, the person already has certain level of visibility within the organization and if such a person is already treated as an expert in his/her field and well respected, he/she could be more easily accepted at his/her new position. However, promoting own resources brings risk of inadequate/lacking knowledge, additional costs of education and certification, and creates a gaping hole in position from where the new CSO comes thus creating problem for the sourcing department.

Introduction of new candidates certainly brings new blood to the company, along with knowledge, certifications and added value, but direct cost of the employment is higher, operationalization time of the new position could be longer because of time needed for selection, recruitment and employment process and new person is usually under stress due to workplace change, so it takes some time to get accomodated to the new organization until the new CSO starts blasting „full speed ahead“. Finally, one of the biggest problems new CSO can face is disruptive behaviour of his/her prospective collaborators that should support him/her, but only see a whistleblower hired to control their work constantly looking for job that was done poorly or that was not done at all and should have been long time ago by respective process owners.

Finding a suitable CSO candidate is not easy job for the organization or very pleasant transition for the candidates. Application of correct framework is crucial in order to achieve the end result: hiring right person for the right job and improving the security climate. However, even the best candidate in the best possible organization will fail unless he/she is given the appropriate level of responsibility and power, right salary, unless the top level of the organization is dedicated towards achievemt of goals of security excellence and if CSO is underpaid compared to his peers. A high level of consensus and trust between CSO and top management is needed to step up to the next level of corporate security – if there is no such consensus, everything else is a hybrid function, partial internal reassignment of resources (human, material, organization or financial) and finally – potentially a lack of time with no real added value.”

Prije pola godine jedan od vodećih svjetskih časopisa za tematiku integralne sigurnosti (CSO) naručio je od mene nekoliko članaka. Nažalost, kako neprofesionalnost nije očito boljka samo hrvatskih prostora nego i nekih nama zapadnih, do konkretnesuradnje i objave nikada nije došlo, iako je inicijalno suradnja predstavljena kao gotova stvar. Stoga koristim prigodu objaviti prvi od dva napisana članaka koji se na ležeran način bavi tematikom pozicije korporativnog menadžera za sigurnost - CSO (Chief Security Officer).

Članak je napisan na engleskom jeziku, što većini zainteresiranih ipak ne bi trebalo predstavljati problem.

CSO’s first day

“Finally, you did it. After months of talking to headhunters and their associates, after being interviewed over the phone and personally, after credentials and background checks and grueling negotiations, they decided to hire you. You are still not sure what was the breaking point that made them decide between all those candidates that have applied for the position and choose you – all of them are well educated, have technical and legal background, information security certifications, some of them worked for oil&energy companies covering physical security function for years in not exactly very hospitable parts of the planet. Some of them worked for the military, they were security contractors and spent some serious action time working for the special forces… or at least this is what your internal sources tell you.

So, the day has come and you are ready to start your first working day. Anxiety driven, you find your barely negotiated parking space in a crowded section dedicated to the leading hierarchy of the company, you manage to convince the lady at the reception that you are the New Guy that will be reporting directly to the Board of directors. She tells you that your new office is at the ninth floor, just one floor under CEO’s panorama office and relays to you the message that your notebook, palmtop and email access RSA token will be delivered before lunch time (with regret note for the delay signed by the assets manager personally). You enter your new office, slightly smaller than anticipated and with shared secretary – a small disappointment.

What now, you think? What is the first thing I should do?

With head full of abbreviations, certifications, knowledge gathered in the past ten years working in IT department, General services department, HR department, numerous afternoons and nights spent working on MBA case studies and mentoring sessions, you are ready to charge head-on right into… disaster!

Stop for a second. Do nothing.

Exactly, as simple as that. DO NOTHING!

Do not try to change the company on the first day. Do not try to find out why disaster recovery plan was updated in 1993 and recovery of Novell networks is still mentioned inside. Do not try to confront people currently in charge of business continuity plan that was last tested nine years ago. Do not ask around who is the responsible of the secretary that just left unsuccessful copy of expense report of the Procurement manager next to the copy machine, not caring about the shredder’s existence.

This company has been here for years and the extrapolated experience shows that most likely it could be here after you too. If you try to plunge straight into the problems of the organization that was set up… well… not exactly in optimal way, you risk being excluded from the processes, put aside on their margins and very soon the rumors will start that somebody greased a few palms to get you hired „for the job that would be done anyway by those in charge of it“.

Of course that you are a highly professional person and you might be right, but you cannot change old ways overnight. Let’s face it, most organizations are not that good when it comes to integral security. The concepts used are often used haphazardly, randomly, as they were approved by the Board, or depending on their inclination to approve funds. If you think that you are the person that can change this just by being hired, you might be on the way… out!

Instead of charging into action and releasing the explosion of all that accumulated knowledge and previous experience, try to be a good secret agent. Find out as much as possible about the organization. Identify internal sponsors: who are people of high rank and authority that might adequately recognize your efforts down the road? Try to understand more about people and what makes them tick. Try to gather as much data as possible about the snapshot of current security situation, creating internal check-lists, but not sharing them with other people. Especially avoid canteen-lunch-time-talk and sharing your sincere opinion with the first friendly person that comes along. Newcomers are newcomers, and it will take some time before people accept you and stop considering you to be somebody that will reveal the holes in their daily areas of responsibility.

Especially be aware about the (wrong)doings of the Procurement and Legal departments. They should cooperate in order to ensure the contract security, but in reality, they are often lacking in this area.

Your best friend while evaluating the current integral security framework might be the CEO’s personal assistant. Usually, this is the place where you can find more useful information than you can find using access to your data warehouse report extraction system. Somehow, the information manage to find their way to those people, regardless of importance, distance and time. They almost defy the laws of physics. However, they can be your best friends, if you approach them wisely.

We are all being pushed daily to produce results, and not just any results, but detailed, quick and tangible results, so much that we sometimes forget the importance of thorough analysis and clear situation overview. Your line of work, regardless of the fact do you have a dedicated department that takes care of integral security under your supervision, or you are a single shooter who has to coordinate other heads of departments to achieve the goals, heavily depends on your relations to the Board of Directors, but also all employees across the organizational matrix. Do not waste precious time at the beginning of your employment by making enemies. This is the time when you can strategically strengthen your position by creating important business connections and acquaintances that can later serve as a good social network to really understand underlying processes and how to channel them in order to improve organization’s security situation. If from the very beginning you start to point out to deficiencies and start naming names and faults, the existing system could have enough internal strength to squeeze you out and marginalize you. In that case, there will be no achieved goals of integral security and no more dedicated parking space.

And this is the last thing that you would like, isn’t it?”

Phishing je kriminalna aktivnost koja predstavlja pokušaj dobave osjetljivih informacija poput korisničkih imena, lozinki te informacija o kreditnim karticama uz korištenje metoda socijalnog inženjeringa i pretvaranja da se radi o legitimnim upitima vezanim uz institucije kojima se inače vjeruje, poput banaka, osiguravajućih društava, socijalnih mreža i online servisa. Najčešće se radi o mrežama poput Youtube, MySpace, Facebook, servisima za kupoprodaju poput eBaya, bankama, servisima za online plaćanje poput PayPala ili Moneybookersa te pružateljima podatkovnih i ostalih Internet usluga kao što su Google, Yahoo ili Hotmail.

Medij za provođenje phishing upita su tradicionalno elektronička pošta ili instant messaging, pri čemu se korisnika ponekad preusmjerava na Web stranice koje su sačinjene kako bi izgledale identično izvorniku.

Na ovom linku možete naći svježe podatke o phishing statistikama.

Video prikazuje jednostavno objašnjenje najčešće korištenih phishing tehnika, koje inače čine u kontinuitetu najveći postotak online računalnih prijevara.

Iako su teoretski i praktični temelji upravljanja informacijskom sigurnošću postavljeni još tijekom Drugog svjetskog rata, pogreške koje se danas događaju u korporativnom upravljanju informacijskom sigurnošću gotovo da se mogu unificirano prepoznati i zatim sistematizirati u mnogim poslovnim subjektima. Generalno, ako govorimo o Republici Hrvatskoj, upravljanje informacijskom sigurnošću najbolje je organizirano u onim sektorima koji su pod direktnim utjecajem regulatora (HNB, Hanfa) ili predmetne regulative, dok je najlošije organizirano ukoliko ne postoji eksterna regulacija, nego je proces informacijske zaštite prepušten voluntarizmu Uprave. No, nemojmo misliti kako su te pogreške nešto inherentno “hrvatsko” - u svijetu se svakodnevno događaju sigurnosni propusti i problemi u korporacijama i organizacijama koje imaju ogroman promet i značaj u svojim branšama. Jednostavno, upravljanje informacijskom sigurnošću proces je koji ima značajnu stohastičku komponentu jer ovisi o angažmanu čovjeka koji počesto ima subjektivnu kvalitativnu karakteristiku, a takvi su sustavi inherentno visoko nestabilni.

Uočit ćete da se informacijskoj sigurnosti veća pažnja poklanja u onim privrednim granama u kojima su profitne marže izrazito visoke a vašoj mašti prepuštam razmišljanje zašto je to tako i da li je jedini uzrok činjenica da izdašnije reinvestiranje dobiti u sigurnost takvim organizacijama omogućuje postizanje viših stupnjeva organizacijske sigurnosti.

Recimo to jasno - apsolutno sigurni informacijski sustavi nisu postojali, ne postoje i nikada neće postojati. No, moguće je izraditi sustav koji u sebi ima ugrađene sve teorijske sastavnice informacijske sigurnosti, koji informacijsku sigurnost promatra kao proces a ne projekt koji ima svoj kraj te koji je sposoban učiti iz vlastitih propusta. Upravljanje sigurnošću informacijskog sustava naslanja se na upravljanje rizicima po taj isti sustav - samim time, ako se neke rizike po sustav mora prihvatiti, zato što je vjerojatnost njihove pojave mala i/ili trošak uklanjanja prevelik - rukovodstvo organizacije mora biti svjesno da je i sigurnost tako postavljenog sustava nužno korelirana s prihvaćenim rizicima i odabranim metodama za njihovo smanjenje.

Izložimo deset najčešćih pogrešaka koje se događaju pri upravljanju informacijskom sigurnošću u velikim korporacijama, s komentarom situacije u Republici Hrvatskoj.

1. Upravljanje informacijskom sigurnošću povjereno je “bilo kome samo da u organigramu postoji ta funkcija”. Još je gore ako je se upravljanje korporativnom informacijskom sigurnošću povjeri odgovornome za informacijsko-telekomunikacijski sustav, jer je u tom slučaju ta osoba u poziciji vršiti kao CISO reviziju vlastitog posla kao CIO, što se ne bi trebalo dozvoliti i što nije u sukladnosti sa standardima koji se odnose na sustav upravljanja informacijskom sigurnošću
2. Neke uprave nemaju apsolutno nikakav interes za postizanjem ciljeva informacijske sigurnosti, što minimalo otežava njihovo provođenje a u krajnjoj liniji dovodi do onoga nezamislivog, a to je da upravljanje informacijskom sigurnošću u korporaciji uopće ne postoji - u Hrvatskoj danas postoji poveći broj velikih organizacija i dioničkih društava koje uopće nemaju sustav upravljanja informacijskom sigurnošću. Posljedica takvog stava diseminira se hijerarhijski i na niže razine upravljanje, te samim time nema suradnje organizacijskih cjelina korporacije u postizanju ciljeva informacijske sigurnosti. Osnovni razlog ovakvog stava je u biti neobrazovanost i nesenzibiliziranost uprava za moderne poslovne funkcije ili tehnološka različitost temeljnog procesa korporacije u odnosu na informacijsku znanost. Iz tog razloga, MBA poslovni studiji trebali bi biti temeljni poslijediplomski edukacijski arsenal svim vršnim rukovoditeljima koji nemaju formalno obrazovanje iz ekonomije, metoda upravljanja, financija i informatike.
3. Informacijska sigurnost percipira se isključivo kao trošak. Još je gore kada se čitava informatika i telekomunikacije doživljavaju troškom koji ne dodaje vrijednost temeljnoj proizvodnoj djelatnosti poduzeća. Ovome nimalo ne doprinose oni stručnjaci za informacijsku sigurnost koji ne znaju jasno artikulirati svoje proizvode kada ih pokušavaju plasirati unutar poduzeća i organizacija.
4. Certifikacija po nekom od standarda koji se odnosi na informacijsku sigurnost. Iako je certificiranje vrhunsku dokaz da je neka organizacija praktično implementirala sustav upravljanja informacijskom sigurnošću, ukoliko uprava nije iskreno obvezala sebe politikom i svakodnevnom praksom za postizanjem ciljeva izloženih u politici informacijske sigurnosti, certifikacija će predstavljati paralelni sustav koji nema veze sa situacijskim stanjem u organizaciji i samim time, bit će percipirana kao trošak, čime u potpunosti ispunjava sve uvjete za “samoispunjavajuće proročanstvo”.
5. Izostanak suradnje između instance odgovorne za provođenje informacijske sigurnosti i ostalih odjela ili organizacijskih cjelina ili troškovnih centara unutar poduzeća, najčešće zbog psiholoških otpora i percepcije funkcije CISO kao interne policije
6. Neprovođenje sustava edukacije zaposlenika, od prvog dana zapošljavanje nadalje, u praktičnom provođenju informacijske sigurnosti. U mnogim poduzećima jedini dodir zaposlenika s informacijskom sigurnošću - prije nego počine neki propust, namjerno ili zbog neznanja - nemušta je i godinama prepisivana stavka u ugovoru o radu koja se odnosi na odavanje poslovne tajne. Druga česta pogreška je stav kako je jedan razgovor ili interno predavanje dovoljno - sustav upravljanja informacijskom sigurnošću konstantno se mijenja i stoga postoji stalna potreba za ponovljenim obrazovanjem i internim tečajevima. Uz ovo se usko vežu i temeljna pravila i politike korištenja korporativnog informacijskog i telekomunikacijskog sustava
7. Uprave često ne shvaćaju kako je upravljanje informacijskom sigurnošću samo mali kotačić u upravljanju integralnom korporativnom sigurnošću. Naravno, rijetka su poduzeća u kojima je jedno uspješno postavljeno ukoliko drugo ne postoji, ili je neadekvatno postavljeno.
8. Nažalost, prema dostupnim informacijama i razgovorima s voditeljima odjela informatike, CIO-ima i osobama odgovornim za informatiku i/ili informacijsku sigurnost, većina nefinancijskog i neinženjerskog sektora u Hrvatskoj, uključujući dobar dio državnih institucija, svoju aktivnost ne odvija u skladu s ciljevima oporavka od katastrofe i modernog upravljanja kontinuitetom poslovanja (Business Continuity and Disaster Planning). Uprave su neobrazovane po pitanju temeljne metodologije poslovnog kontinuiteta, smatraju da je to nepotreban trošak i oslanjaju se na statistički uzorak iz prošlosti koji govori o izostanku takvih događaja. Vezano uz ovo ide neadekvatna politika upravljanja rizicima po imovinu poduzeća - materijalnu i nematerijalnu. Tragično je što je situacija upravo obrnuta - naglasak na oporavak od katastrofe i temeljne odrednice upravljanja kontinuitetom poslovanja mogu se efikasno postaviti i bez velikih ulaganja, dok se preraspodjelom resursa unutar poduzeća mogu u značajnom opsegu postići njihovi ciljevi bez dodatnih ulaganja.
9. Pri definiranju zadataka i dužnosti funkcije zadužene za upravljanje informacijskom sigurnošću ne postoji referentna lista traženih kompetencija jer je ta funkcija srazmjerno nova u našem realitetu. Nije jasno koje obrazovanje bi trebala imati ta osoba, koje certifikacije, kakvo je traženo iskustvo, koji su očekivani kompenzacijski paketi i prema kojim kriterijima se odlučuje da li se kadar za upravljanje informacijskom sigurnošću regrutira unutar organizacije ili se angažiraju vanjski konzultanti, iako oba principa imaju svoje mane i prednosti. Štoviše, kod formiranja nove poslovne funkcije, ne pazi se na to da bi informacijska sigurnost trebala biti visoko u korporativnoj stratifikaciji, već se vrlo često “gura” nisko, odakle niti po položaju niti po utjecaju, ne može previše utjecati na poslovne procese. To informacijsku sigurnost gura na margine poslovnih procesa u korporativnom okruženju.
10. Vrlo često pažnja se poklanja isključivo tehničkom kontekstu. Tako se informacijska sigurnost poistovjećuje s mjerama tehničke zaštite informacijskih i telekomunikacijskih procesa unutar korporacija, koje po automatizmu uvode voditelji informatičkih odjela jer predstavljaju zdravorazumske mjere i svojevresni “best practice”, Informacijska sigurnost daleko je kompleksniji proces koji obuhvaća gotovo sve druge poslovne procese i mnoge ostale funkcije van strogog tehničkog konteksta.