You are currently browsing the archives for March, 2009.

Sudjelovanje na konferenciji CECIIS 2009

31/03/2009 // Posted in ÄŒlanci/konferencije/predavanja  |  No Comments

CECIIS 2009 (Central European Conference on Information and Intelligent Systems) je međunarodna konferencija u organizaciji varaždinskog Fakulteta organizacije i informatike, odnosno Sveučilišta u Zagrebu.

CECIIS 2009 banner

CECIIS 2009

Cilj konferencije je promoviranje veza izmeÄ‘u istraživača koji se bave razvojem i primjenom metoda i tehnika u području razvoja informacijskih i inteligentnih sustava. Radovi koji će biti prihvaćeni od strane dva neovisna recenzenta će biti objavljeni u posebnom izdanju Zbornika informacijskih i organizacijskih znanosti – internacionalne publikacije koju izdaje varaždinski Fakultet organizacije i informatike.

Na ovu konferenciju u koautorstvu bit će prijavljen znanstveni rad pod naslovom “Usage of decision support systems in corporate procurement process”.

Kada rad proÄ‘e prijem na konferenciju i po zavrÅ¡etku iste, bit će kao i inače objavljen u sekciji pod “Radovi“.

Preliminarna vještačenja digitalnih dokaza

29/03/2009 // Posted in VjeÅ¡tak za informatiku  |  No Comments

Početni i preliminarni koraci vještaka pri analizi digitalnih dokaza ponekad se mogu pokazati odlučujućim za dalji tijek vještačenja. Ukoliko se na samom početku počine greške ili previdi, moguće je da vještak informatike neće moći dati adekvatne odgovore na postavljena pitanja, odnosno zadatak i predmet vještačenja, ili će pak ono biti nepotpuno.

Računala, mediji i računalne mreže, odnosno njihovi elementi mogu biti alati kojima je počinjeno neko kazneno djelo, mogu biti rezultat kaznenog djela ili mogu biti u širem smislu izvan izvršenja kaznenog djela, ali istovremeno sadržavati dokaze o njemu. Takvi dokazi mogu biti u fizičkom obliku u formi disketa, optičkih medija,elektroničkih čipova, pa sve do prijenosnih ili stolnih računala, mobilnih telefona i serverskih sustava. S druge strane, dokazi koji se u njima nalaze mogu se vrlo lako promijeniti li uništiti.

Uloga fizičkog medija (transportera) podataka i dokaza u nekom kaznenom djelu može se pobliže objasniti postavljajući sljedeća pitanja i analizirajući odgovore na njih:

1. Da li je računalna oprema korištena za počinjenje kaznenog djela ili proizlazi iz njega?
npr. Da li je računalo ukradeno?

2. Da li je računalni sistem alat kojim je počinjeno djelo?
npr. Da li je računalni sistem aktivno korišten od strane osumnjičene stranke kako bi se počinilo djelo?

3. Da li je računalni sistem samo periferno korišteno u počinjenju djela?
npr. Da li se računalni sistem koristio samo za pohranu podataka od strane osumnjičenka?

4. Da li je računalni sistem aktivno i perfiremno korišten u počinjenu djela?
npr. Da li je računalni prijestupnik koristio računalo kako bi neovlašteno dobio pristup drugim sistemima i istovremeno na njemu pohranjivao podatke o korisničkim imenima, lozinkama i kreditnim karticama?

Kada je postavljanjem ovih fundamentalnih pitanja utvrđena uloga računalnog sustava,  potrebno je odgovoriti na sljedeća pitanja.

1. Postoji li razlog za analizu zatečene računalna oprema?
2. Postoji li razlog za analizu zatečene programske podrške instalirane na opremi?
3. Postoji li razlog za analizu podataka sadržanih na računalnom sustavu?
4. Gdje će se izvršiti ovakva analiza?
5. Ovisno o odgovoru na prethodno pitanje, potrebno je ustanoviti lanac nadzora nad izdvojenim (potencijalnim) dokazima.
6. Kako će vještak odnosno forenzičar vršiti analizu u skladu s ciljevima efikasnosti i pravovremenosti, a s obzirom na opseg izuzetog potencijalnog dokaznog materijala?

Navedena metodologija preliminarne analize potencijalnih digitalnih dokaza koristi se i od strane američkih tajnih službi.

Deset najčešćih pogrešaka u upravljanju kvalitetom informacijskih sustava

27/03/2009 // Posted in ICT governance, Ostalo  |  No Comments

1. UvoÄ‘enje sustava upravljanja kvalitetom ne kako bi se poboljÅ¡alo upravljanje sustavom i interni procesi, nego zato Å¡to je to nečiji “hir”, “običaj”, “proces principala”, “zato Å¡to ga ima konkurencija”, “zato Å¡to je to danas conditio sine qua non poslovanja” ili jednostavno, u hrvatskim uvjetima – zato Å¡to se iz pretpristupnih fondova EU mogu dobiti ciljani novčani poticaji.

2. Nadležni lako zaborave da sustav upravljanja kvalitetom nakon Å¡to je jednom uveden i nakon Å¡to je proÅ¡ao proces certifikacije konstantno treba biti evaluiran i poboljÅ¡avan – radi se o cikličkom a ne statičkom, jednokratnom procesu. Stoga se vrlo lako zaboravi koje su sve obveze odgovornih prema uvedenom sustavu.

3. Sustav upravljanja kvalitetom je posve odvojen sustav od poslovnih procesa i ne podržava ga. Upravljanje kvalitetom tako ima svoj zasebni život koji troÅ¡i resurse poduzeća koji su usmjereni u izradu dokumentacije, revidiranje procedura, te “management review” koji nemaju nikakve veze s konkretnim procesima u poduzeću koji su i dalje stohastički, podreÄ‘eni voluntarizmu pojedinca i hijerarhijskim odnosima.

4. Definiranje ciljeva sustava koji nisu u skladu s temeljnom projektnom metodologijom SMART. Ovo se odnosi na cjelokupnost sustava upravljanja kvalitetom a osobito na ciljeve koji teže poboljšanju sustava, te godišnje ciljeve koji se prate. Svaki cilj morao bi biti specifičan, dakle odgovarati na pitanje što točno bi trebalo poboljšati, morao bi biti mjerljiv, odnosno kvantitativno iskaziv, morao bi biti dostižan, relevantan za informacijski sustav i morao bi imati vremensku odrednicu (zbog poslovnih ciklusa koji se obično poklapaju s kalendarskom godinom, uobičajeno se radi o godini dana, ali u slučaju kompleksnih sustava to može biti i znatno duže). Ciljevi i ocjene koji su subjektivni, nemjerljivi, nerelevantni a na koje se poneked nailazi unutar sustava upravljanja kvalitetom često
su kontraproduktivni.

5. Miješanje uloga internih resursa i vanjskih konzultanata, certifikacijskih kuća i tijela. Zbog ovog razloga u USA je između ostalog i donesen zakon Sarbanes-Oxley čije odredbe onemogućuju da reviziju sustava vrši ista kuća koja ima i savjetodavnu funkciju. U slučaju upravljanja informatikom, još je važnije inzistirati na tome da reviziju kvalitete upravljanja određenom funkcijom ne vrši ona
instanca koja je odgovorna za rukovođenje tom funkcijom, jer je u tom slučaju osoba koja vrši reviziju u sukobu interesa pošto mora ocjenjivati efikasnost vlastitog rada. U hrvatskim uvjetima je ovo temeljni problem jer se zbog neshvaćanja metodološkog pristupa organizaciji informatike, informacijske sigurnosti i odnosa prema sustavima upravljanja kvalitetom često ta funkcija koncentrira u jednoj točki.

6. Angažiranje loših ili neadekvatnih konzultanata za uvođenje sustava upravljanja kvalitetom. Nažalost, čak niti zvučna imena nisu garancija uspješno obavljenog posla. Uvođenje sustava upravljanja kvalitetom tek je početna faza života takvog sustava u nekoj organizaciji, pri čemu se kod funkcije informatike može govoriti o tome kako on nikada nije posve uveden jer je informatika inherentno podložna stalnim promjenama uslijed tehnološkog napretka, znatno više nego neke druge djelatnosti i poslovne funkcije u kojima su tehnološki ciklusi i životni vijekovi procesa duži. Naposlijetku, i u tim tvrtkama rade ljudi koji imaju određene subjektivne karakteristike, i one su pod pritiskom profitnih marži i često zbog toga zapošljavaju ljude koji brzo dobiju certifikat i titulu a da zapravo nakon formalnog obrazovanja nemaju niti dana iskustva radeći u konkretnim poduzećima i u procesima za koje zapravo vrše savjetovanje, pa i certifikaciju.

7. Sustav upravljanja kvalitetom iz niza razloga od strane operativne stratifikacije poduzeća percipiran je kao smetnja, a ne kao nešto što doista prati poslovne procese. Još gora je inačica ovog problema u kojemu sam vrh poduzeća, dakle ona instanca koja bi se doista trebala obvezati za postizanje ciljeva izvrsnosti i ciljeva sustava kvalitete, u potpunosti ignorira njegovo postojanje i ne pomaže funkcijama u poduzeću koje su zadužene za sustav upravljanja kvalitetom. Mnogim rukovoditeljima formalno obrazovanje prestaje u trenutku imenovanja i zato dolazi do pojave da poduzeća i organizacije ulažu u sustav upravljanja kvalitetom iz kojeg ne deriviraju nikakve koristi a da su za to zapravo sami krivi!

8. Cilj korporativnog upravljanja informatikom i sustavom kvalitete u biti je kontinuirani proces stvaranja straške tržišne prednosti koja se reflektira u ekonomskom smislu u izdašnijim profitnim maržama. Počesto se ova činjenica u praksi ispušta iz vida.

9. Pri odlučivanju o uvođenju sustava upravljanja kvalitetom, a u okviru informacijske sigurnosti, sustavom upravljanja informacijskom sigurnošću, koristi se F-U-D strategija (strah-nesigurnost-sumnja), umjesto da konzultanti-ponuđači jasno izlože kvantitativne pokazatelje i rizike neuvođenja te potencijalne prednosti. S druge strane, same organizacije koje razmatraju uvođenje nerado daju sve potrebne podatke konzultantima za izradu kvalitetnih ponuda.

10. Zaboravlja se važnost treninga i edukacije. Sustav upravljanja kvalitetom nužno se odnosi na realne procese a realne procese mogu poboljšati i time posredno postići ciljeve upravljanja kvalitetom isključivo zaposleni specijalisti, vlasnici procesa i interni kadrovi. Konstantno educiranje kadrova je nužno, kako po pitanju konkretnih poslovnih procesa, tako i po pitanju sustava i temeljnih principa upravljanja kvalitetom.

Dilbert o quality-u
Dilbert o upravljanju kvalitetom

Recesija i rezanje troškova

24/03/2009 // Posted in ICT governance  |  No Comments

Dvije godine svjetske burze se nalaze u fazi “tržiÅ¡ta medvjeda”. Poznato je kako burze reagiraju preuranjeno na ono Å¡to će se tek dogoditi u realnom sektoru, no isto tako, predviÄ‘aju budućnost i unaprijed počinju svoj rast u odnosu na realni sektor.

Hrvatska Vlada godinu dana je bila u fazi stupora, bavila se uvezeno-interno-produciranom inflacijom da bi tek dolaskom Nove godine 2009 i osobito, tijekom siječnja i veljače, napokon u javnost doÅ¡le konfuzne “depeÅ¡e” o tome kako se ipak neÅ¡to dogaÄ‘a, kako je hrvatska, izvozom u odnosu na uvoz, slabo pokrivena privreda, ipak pogoÄ‘ena recesijom.

Jedna od premisa koja se često može čuti je kako se “mora Å¡tediti”. ÄŒinjenica je da slaba i mala privreda koja je u odnosu na svjetske razmjere posve beznačajna, definitivno ne može potroÅ¡ačkom ekspanzijom suzbiti kontrakciju ekonomske aktivnosti. No, isto tako, pitanje je koliko će neselektivno rezanje troÅ¡kova – nečiji troÅ¡ak prihod je nekoga drugog – pomoći državi u krizi.

U profesionalnim krugovima, pa i onima vezanim uz ICT tehnologije, mogu se čuti uglavnom ujednačeni komentari o tome kako se u privredno tkivo uvlači nesigurnost i nelikvidnost, razvojni se projekti prekidaju, “preusmjeravaju” (uglavnom smanjenjem troÅ¡kova) ili otkazuju “za ovu godinu”, prekida se novo zapoÅ¡ljavanje, čak se potiho govori o otpuÅ¡tanju “onih na odreÄ‘eno vrijeme”, “onih preko studentskog ugovora” ili onih koji su “low performers”.

Na socijalnim mrežama poput LinkedIn, članovi mnogih grupa postavljaju pitanja poput “Å¡to ćete učiniti u recesiji kako biste prilagodili poslovanje svog IT odjela novoj situaciji”. Sudionici u diskusijama natječu se u poznavanju strategije korporativnog upravljanja informatikom, pronalaze one načine uÅ¡teda koje nisu svima očite na prvi pogled i ističu svoju prilagodljivost.

No, u tim uvjetima, nameće se pitanje – Å¡to su isti ti rukovoditelji radili zadnjih godina ako su *sada*, u trenutku kada dolazi do smanjenja opsega gospodarske aktivnosti, odlučili obratiti pažnju na “rezanje troÅ¡kova”? U slučaju da je neÅ¡to optimizirano ne treba ga dalje optimizirati jer se neizostavno dolazi do spoznaje zakona o opadajućim prinosima, osim u slučaju promjene sustava.

U svakom slučaju, da mi netko izloži plan smanjenja troÅ¡kova, ne bih ocijenio sposobnost te osobe da *sada* smanji troÅ¡kove a osobito ne bih bio impresioniran postocima na PowerPoint prezentaciji, nego bih ga pitao zaÅ¡to se za odreÄ‘enu uslugu godinama plaćalo prevelike iznose, zaÅ¡to u odjelu ima zaposlene ljude koji očito nisu imali Å¡to raditi puno radno vrijeme, zaÅ¡to se prečesto mijenjao hardver koji je dobro vrÅ¡io svoju funkciju…

Ovakvo ponašanje u biti je i dovelo do situacije u kojoj se svjetska privreda danas nalazi, što dovodi do zaključka kako svjetskom ekonomijom u velikoj mjeri ne upravljaju hladni ekonomski zakoni nego ljudska psihologija koja je počesto stohastične naravi.

Odnos informacijske sigurnosti i računalne forenzike

21/03/2009 // Posted in ICT forenzika  |  No Comments

Jedno od često postavljanih pitanja je koja je uopće razlika izmeÄ‘u disciplina informacijske sigurnosti i računalne forenzike. Da li se radi o nekom novom “triku”, potezu kojim se dodatno diferenciraju područje informacijske sigurnosti i upravljanja informatikom ili se stvarno radi o autentičnoj disciplini.

Odgovor na ovo pitanje je vrlo jednostavan. Tamo gdje prestaje efikasnost funkcije informacijske sigurnosti koja je usmjerena primarno proaktivno, počinje područje računalne forenzike i vjeÅ¡tačenja, koji su po svojoj prirodi krajnje reaktivni. Ta se točka se može točno odrediti – radi se o sigurnosnom incidentu.

Evo jednog videa koji jasno objašnjava odnos reaktivnog i proaktivnog te govori o ciljevima i temeljnim sastavnicama informacijske sigurnosti:

Velika je razlika izmeÄ‘u osobina koje se traže za stručnjaka informacijske sigurnosti, osobito onog koji se bavi tehničkim kontekstom, te forenzičara računalnih sustava. Patterson je rekao da “računalni forenzičar mora imati strpljenje fotografa divljih životinja i literarne sposobnosti Marka Twainea” – forenzičar mora imati znanje o tehničkom funkcioniranju vrlo kompleksnih sustava za masovnu obradu podataka, no  istovremeno mora imati sposobnost objaÅ¡njavanja karakteristika tih sustava na sudu koristeći vrlo kratke i laicima lako razumljive definicije.

Zanimljiv video koji konkretno govori o poslu računalnog forenzičara, koji je potekao iz ICT redova:

Što trebaju poslodavci učiniti u slučaju zlouporabe računala ili mreže poduzeća? (2.dio)

18/03/2009 // Posted in ICT forenzika  |  No Comments

Drugi dio članka sa savjetima o tome Å¡to činiti u slučaju zloupotrebe računala ili mreže u poduzeću – no, opći postupak je isti i u slučaju mogućih zloupotreba osobnih računala, prijenosnih računala, palmtop računala, mobilnih telefona i ostale računalne i telekomunikacijske opreme.

Osvrnut ćemo se na to što bi trebalo učiniti kako bi se osigurala lakša analiza opreme forenzičkim istražiteljima ili vještacima  po njihovom angažmanu.

  1. Vrlo rijetko potrebno je djelovati odmah, naime, računalni i komunikacijski sustavi uglavnom zadržavaju “dokaze” na sebi duže vrijeme, tako da ima dovoljno vremena da se na miru napravi akcijski plan. Koga obavijestiti unutar poduzeća? Da li je prekrÅ¡en zakon? Da li je potrebno kontaktirati policiju? Da li je potrebno kontaktirati odvjetnički ured? Da li se može provesti interna istraga?
  2. Potrebno je identificirati moguće izvore dokaze u terminima korištene i moguće kompromitirane računalne opreme u fizičkom smislu i popisati ih
  3. Isto kao pod točkom 2. napraviti s mogućim medijima – diskete, CD/DVD optički mediji, tvrdi diskovi, USB diskovi, vanjske USB memorije, memorijske kartice, digitalne foto kamere
  4. Da li su zlouporabljivana i druga računala, npr. “zajednički” terminali, računala suradnika iz ureda ili poduzeća, mobilni telefoni, palm računala, elektronski organizatori?
  5. Koji servisi i baze podataka su možda kompromitirani i gdje se oni nalaze, da li su interni ili vanjski (distribuirani)?
  6. Identificirati trake i medije na koje je izvršen zadnji funkcionalni backup (pohrana) podataka i *ne vršiti* povrat podataka s njih prije nego što računalni forenzičak izuzme dokaze
  7. Identificirati i spremiti postojeće dnevnike (logove) pristupa koji su pohranjeni na računalima, mrežnoj opremi, serverskim sustavima, telefonskim centralama i faks uređajima. Oni mogu biti od velikog interesa i pomoći forenzičaru, odnosno vještaku
  8. Da li je dio zlouporabe računalnog sustava poduzeća vršen preko računala koje se nalazi van poduzeća, npr. osobno kućno ili prijenosno računalo osobe na koju se sumnja? Na kojoj lokaciji se nalazi to računalo i da li će biti od interesa u istražnim radnjama?

Bitno je sačuvati korištene računalne sustave od promjene.

  1. Ukoliko je računalo isključeno, neka ostane isključeno, pošto se ponovnim uključenjem mogu pobrisati važni tragovi
  2. Ukoliko se radi o mobilnom telefonu, fiksnom bežičnom telefonu ili palmtop uređaju, spojiti ga na izvor električne struje kako se po pražnjenju baterije računalo ne bi ponovo startalo i kako se ne bi uslijed dubinskog pražnjenja izgubili mogući tragovi
  3. Ukoliko je suspektno računalo uključeno, neka ostane uključeno do dolaska računalnog forenzičara i izuzimanja tragova i mogućih dokaza
  4. Računalo treba isključiti (fizičkim uklanjanjem kabela) iz računalne i telefonske mreže, kako bi se spriječio možebitni daljinski pristup računalu i uklanjanje dokaza
  5. Po zajedničkom dogovoru odgovornih, koordinirati sa rukovoditeljem informatičke službe promjenu glavnih lozinki za korištenje sustava te isključivanje mogućnosti korištenja računalnog sustava i sustava elektroničke pošte osobama koje su mogući počinitelji zlouporabe, no samo ako je procijenjeno da je to od interesa za istragu
  6. Sve izuzete dokaze treba spremiti na sigurno mjesto i osigurati ključem, te popisati i pohraniti tijek poduzetih koraka s potpisima odgovornih osoba. Po potrebi, u ovaj proces moguće je uključiti javne bilježnike

Naposlijetku, najbolji savjet bio bi imati uspostavljen preliminarni kontakt s računalnim forenzičarem, odnosno vještakom, osobito u slučaju većih organizacija koje koriste kompleksne računalne sustave, kako bi se osigurao pravovremeni odgovor i reakcija u ovakvim situacijama.

Kriteriji uspostavljanja korporativne funkcije CSO (Chief Security Officer) – članak

16/03/2009 // Posted in ICT sigurnost  |  No Comments

JoÅ¡ jedan neobjavljeni članak pisan za inozemnu publikaciju. Bavi se problematikom potrebne edukacije, kompenzacije i načina regrutiranja funkcije CSO – Chief Security Officer, u hrvatskom korporativnom svijetu poznato kao direktor osiguranja ili direktor sigurnosti (direktor za sigurnost), odnosno, rukovoditelj sigurnosti ili rukovoditelj sigurnosne funkcije.

Education, compensation and CSO establishing criteria

“CSO position is (or at least, should be!) a position of senior leader. Just like in all other such cases, there are significant expectations towards potential candidates in regard to education and experience. High levels of education and certification are expected and highly valued across organizations and they present an element that could enhance candidate’s overall positioning, including informaln one. Usually, CSOs have a degree in law, finance, business administration, security management, IT systems management or criminal forensics. However, every organization has its own roots, customs and development, so CSO profile should reflect all those requests. Important certifications that might improve CSO’s chances are usually in the field of forensics or ICT systems security: ISO 27001:2005 Lead Auditor, CISSP/CISM or EC-Council ethical hacking.

All outlined elements present a significant problem during CSO recruitment. It is possible to hear the same old story all over the world when CSO recruitment becomes the topic: there are no suitable candidates while those that seem to be suitable, overshoot role assigned compensation scale. There are many aspiring candidates and very few those with proven record of practical experience. Furthermore, sometimes CSOs tend to mirror their previous experience. Those who used to deal primarily with physical security try to strongly emphasize physical security procedures, those that were in charge of information security try to tighten logical security. It is a very rare occasion to find candidates in charge of integral security who have the big picture in their minds and curriculum vitae, and even less candidates are available at the labor market through usual channels.

The fact that human resource departments very often do no possess specific skills needed to recruit successful CSOs further aggravates the situation. CSOs are usually not entries in various headhunter candidate databases wither. Additionally, compensation scheme is always an issue. Unless CSO is adequately treated, it is possible to hire somebody who will use his/her position as a comfortable transition to more lucrative job and who will not achieve any security goals or improve security climate within the organization. Some companies attempt to create „hybrid CSOs“ by merging physical security and information security or contract security, public relations and information security, while skipping other important CSO functions and delegating them to business functions without clear top-level coordination. Let’s say it openly: successful CSO story is a story of senior management position and satisfied manager challenged by complex tasks that encompass every part of the business process.

Despite this fact, there are so many titles for the person in charge of integral security as there are large corporations, and almost in all of them, responsibilities and expectations on both sides differ. Very often a person supervising tasks connected with security is a manager, while the same person in another organization is executive director or simply CSO in third organization. Usually, where the perceived levels of overall risks are higher, the compensation scale is also moved to a higher level. However, the organizations are proverbially slow in recognition of CSOs scope of work and consequentially, they are not always able to determine suitable job descriptions or salary scale. Worst of all, CSO is sometimes treated as „additional cost“ when the CSO position is a new opening and security culture is undernourished.

So, this overall situation is not easy, neither for the organizations under pressure to increase their profit margins by ensuring uninterrupted business flow, nor for the potential CSO candidates.

Classic dilemma that the organizations are facing is also inside development vs. external recruitment. Existing candidates are readily available, direct cost of employment is lower, the person already has certain level of visibility within the organization and if such a person is already treated as an expert in his/her field and well respected, he/she could be more easily accepted at his/her new position. However, promoting own resources brings risk of inadequate/lacking knowledge, additional costs of education and certification, and creates a gaping hole in position from where the new CSO comes thus creating problem for the sourcing department.

Introduction of new candidates certainly brings new blood to the company, along with knowledge, certifications and added value, but direct cost of the employment is higher, operationalization time of the new position could be longer because of time needed for selection, recruitment and employment process and new person is usually under stress due to workplace change, so it takes some time to get accomodated to the new organization until the new CSO starts blasting „full speed ahead“. Finally, one of the biggest problems new CSO can face is disruptive behaviour of his/her prospective collaborators that should support him/her, but only see a whistleblower hired to control their work constantly looking for job that was done poorly or that was not done at all and should have been long time ago by respective process owners.

Finding a suitable CSO candidate is not easy job for the organization or very pleasant transition for the candidates. Application of correct framework is crucial in order to achieve the end result: hiring right person for the right job and improving the security climate. However, even the best candidate in the best possible organization will fail unless he/she is given the appropriate level of responsibility and power, right salary, unless the top level of the organization is dedicated towards achievemt of goals of security excellence and if CSO is underpaid compared to his peers. A high level of consensus and trust between CSO and top management is needed to step up to the next level of corporate security – if there is no such consensus, everything else is a hybrid function, partial internal reassignment of resources (human, material, organization or financial) and finally – potentially a lack of time with no real added value.”

Kazneno djelo “dječje pornografije”

14/03/2009 // Posted in VjeÅ¡tak za informatiku  |  No Comments

U nekoliko zadnjih godina u medijima se često pojavljuju izvješća o kaznenim djelima “dječje pornografije”. Termin je napisan u navodnicima poÅ¡to jezik zakonodavca neÅ¡to drugačije definira ta kaznena djela od jezika koriÅ¡tenog u novinskim članacima.

Zakon o izmjenama i dopunama Kaznenog zakona, (NN 71/06) koji se odnosi na Kazneni zakon Republike Hrvatske (NN 110/97) te Zakon o izmjenama i dopunama Kaznenog zakona (NN 129/00) definiraju novi oblik kaznenog djela – dječju pornografiju na računalnom sustavu ili mreži.

Članci i stavci koji se odnose na to kazneno djelo su sljedeći:

ÄŒlanak 197.a

(1) Tko pomoću računalnog sustava ili mreže proizvodi, nudi, distribuira, pribavlja za sebe ili drugoga, ili tko u računalnom sustavu ili na medijima za pohranu računalnih podataka posjeduje pornografske sadržaje koji prikazuju djecu ili maloljetnike u seksualnom eksplicitnom ponašanju ili koji su fokusirani na njihove spolne organe, kaznit će se kaznom zatvora od jedne do deset godina.

(2) Tko djetetu, posredstvom računalnog sustava, mreže ili medija za pohranu računalnih podataka učini pristupačnim slike, audiovizualne sadržaje ili druge predmete pornografskog sadržaja, kaznit će se novčanom kaznom ili kaznom zatvora do tri godine.

(3) Posebne naprave, sredstva, računalni programi ili podaci korišteni ili prilagođeni za počinjenje kaznenog djela iz stavka 1. i 2. ovoga članka oduzet će se.

Međutim, nužno je ukazati kako se članak 197.a veže uz članak 196, koji je u biti izvor kaznenog djela opisanog u članku 197.a:

ÄŒlanak 196.

(1) Tko snimi dijete ili maloljetnu osobu za izradbu slika, audiovizualnog materijala ili drugih predmeta pornografskog sadržaja, ili prodaje, ili raspačava, ili prikazuje takav materijal, ili dijete navede na sudjelovanje u pornografskoj predstavi, kaznit će se kaznom zatvora od jedne do pet godina.

(2) Predmeti i sredstva iz stavka 1. ovoga članka oduzet će se.

Sudovi i sudski vještaci imaju pri izvođenju procesnih radnji i vještačenjima na umu detalje ovih članaka, koji su izrazito striktni u svojim odredbama.

Prvi radni dan menadžera za sigurnost (Chief Security Officer) – članak

12/03/2009 // Posted in ICT sigurnost  |  No Comments

Prije pola godine jedan od vodećih svjetskih časopisa za tematiku integralne sigurnosti (CSO) naručio je od mene nekoliko članaka. Nažalost, kako neprofesionalnost nije očito boljka samo hrvatskih prostora nego i nekih nama zapadnih, do konkretnesuradnje i objave nikada nije doÅ¡lo, iako je inicijalno suradnja predstavljena kao gotova stvar. Stoga koristim prigodu objaviti prvi od dva napisana članaka koji se na ležeran način bavi tematikom pozicije korporativnog menadžera za sigurnost – CSO (Chief Security Officer).

Članak je napisan na engleskom jeziku, što većini zainteresiranih ipak ne bi trebalo predstavljati problem.

CSO’s first day


“Finally, you did it. After months of talking to headhunters and their associates, after being interviewed over the phone and personally, after credentials and background checks and grueling negotiations, they decided to hire you. You are still not sure what was the breaking point that made them decide between all those candidates that have applied for the position and choose you – all of them are well educated, have technical and legal background, information security certifications, some of them worked for oil&energy companies covering physical security function for years in not exactly very hospitable parts of the planet. Some of them worked for the military, they were security contractors and spent some serious action time working for the special forces… or at least this is what your internal sources tell you.

So, the day has come and you are ready to start your first working day. Anxiety driven, you find your barely negotiated parking space in a crowded section dedicated to the leading hierarchy of the company, you manage to convince the lady at the reception that you are the New Guy that will be reporting directly to the Board of directors. She tells you that your new office is at the ninth floor, just one floor under CEO’s panorama office and relays to you the message that your notebook, palmtop and email access RSA token will be delivered before lunch time (with regret note for the delay signed by the assets manager personally). You enter your new office, slightly smaller than anticipated and with shared secretary – a small disappointment.

What now, you think? What is the first thing I should do?

With head full of abbreviations, certifications, knowledge gathered in the past ten years working in IT department, General services department, HR department, numerous afternoons and nights spent working on MBA case studies and mentoring sessions, you are ready to charge head-on right into… disaster!

Stop for a second. Do nothing.

Exactly, as simple as that. DO NOTHING!

Do not try to change the company on the first day. Do not try to find out why disaster recovery plan was updated in 1993 and recovery of Novell networks is still mentioned inside. Do not try to confront people currently in charge of business continuity plan that was last tested nine years ago. Do not ask around who is the responsible of the secretary that just left unsuccessful copy of expense report of the Procurement manager next to the copy machine, not caring about the shredder’s existence.

This company has been here for years and the extrapolated experience shows that most likely it could be here after you too. If you try to plunge straight into the problems of the organization that was set up… well… not exactly in optimal way, you risk being excluded from the processes, put aside on their margins and very soon the rumors will start that somebody greased a few palms to get you hired „for the job that would be done anyway by those in charge of it“.

Of course that you are a highly professional person and you might be right, but you cannot change old ways overnight. Let’s face it, most organizations are not that good when it comes to integral security. The concepts used are often used haphazardly, randomly, as they were approved by the Board, or depending on their inclination to approve funds. If you think that you are the person that can change this just by being hired, you might be on the way… out!

Instead of charging into action and releasing the explosion of all that accumulated knowledge and previous experience, try to be a good secret agent. Find out as much as possible about the organization. Identify internal sponsors: who are people of high rank and authority that might adequately recognize your efforts down the road? Try to understand more about people and what makes them tick. Try to gather as much data as possible about the snapshot of current security situation, creating internal check-lists, but not sharing them with other people. Especially avoid canteen-lunch-time-talk and sharing your sincere opinion with the first friendly person that comes along. Newcomers are newcomers, and it will take some time before people accept you and stop considering you to be somebody that will reveal the holes in their daily areas of responsibility.

Especially be aware about the (wrong)doings of the Procurement and Legal departments. They should cooperate in order to ensure the contract security, but in reality, they are often lacking in this area.

Your best friend while evaluating the current integral security framework might be the CEO’s personal assistant. Usually, this is the place where you can find more useful information than you can find using access to your data warehouse report extraction system. Somehow, the information manage to find their way to those people, regardless of importance, distance and time. They almost defy the laws of physics. However, they can be your best friends, if you approach them wisely.

We are all being pushed daily to produce results, and not just any results, but detailed, quick and tangible results, so much that we sometimes forget the importance of thorough analysis and clear situation overview. Your line of work, regardless of the fact do you have a dedicated department that takes care of integral security under your supervision, or you are a single shooter who has to coordinate other heads of departments to achieve the goals, heavily depends on your relations to the Board of Directors, but also all employees across the organizational matrix. Do not waste precious time at the beginning of your employment by making enemies. This is the time when you can strategically strengthen your position by creating important business connections and acquaintances that can later serve as a good social network to really understand underlying processes and how to channel them in order to improve organization’s security situation. If from the very beginning you start to point out to deficiencies and start naming names and faults, the existing system could have enough internal strength to squeeze you out and marginalize you. In that case, there will be no achieved goals of integral security and no more dedicated parking space.

And this is the last thing that you would like, isn’t it?”

Literatura o korporativnom upravljanju ICT sustavima

10/03/2009 // Posted in ICT governance  |  No Comments

Slika - knjiga o upravljanju korporativnim ICTjem

Jedna od rijetkih sveobuhvatnih knjiga na hrvatskom jeziku koja se bavi problematikom korporativnog upravljanja informatikom je ona autora Željka Paniana i Maria Spremića – Korporativno upravljanje i revizija informacijskih sustava. Knjiga se sastoji od Å¡est poglavlja:

1. KORPORATIVNO UPRAVLJANJE INFORMATIKOM

2. STRATEÅ KO POVEZIVANJE POSLOVANJA I INFORMATIKE

3. UPRAVLJANJE RIZICIMA

4. KONTROLE NEOPHODNE KOD PRIMJENE INFORMACIJSKE TEHNOLOGIJE

5. POSTUPANJE PRILIKOM REVIZIJE INFORMACIJSKOG SUSTAVA

6. OKVIRI I STANDARDI PROVEDBE KONCEPTA KORPORATIVNOG UPRAVLJANJA INFORMATIKOM I REVIZIJE INFORMACIJSKIH SUSTAVA

U knjizi je osobito zanimljiv osvrt na kvantitativne metode za procjenu ulaganja u informacijsku infrastrukturu te neki obrađeni konkretni slučajevi iz prakse.

Phishing

09/03/2009 // Posted in ICT sigurnost  |  No Comments

Phishing je kriminalna aktivnost koja predstavlja pokušaj dobave osjetljivih informacija poput korisničkih imena, lozinki te informacija o kreditnim karticama uz korištenje metoda socijalnog inženjeringa i pretvaranja da se radi o legitimnim upitima vezanim uz institucije kojima se inače vjeruje, poput banaka, osiguravajućih društava, socijalnih mreža i online servisa. Najčešće se radi o mrežama poput Youtube, MySpace, Facebook, servisima za kupoprodaju poput eBaya, bankama, servisima za online plaćanje poput PayPala ili Moneybookersa te pružateljima podatkovnih i ostalih Internet usluga kao što su Google, Yahoo ili Hotmail.

Medij za provođenje phishing upita su tradicionalno elektronička pošta ili instant messaging, pri čemu se korisnika ponekad preusmjerava na Web stranice koje su sačinjene kako bi izgledale identično izvorniku.

Na ovom linku možete naći svježe podatke o phishing statistikama.

Video prikazuje jednostavno objašnjenje najčešće korištenih phishing tehnika, koje inače čine u kontinuitetu najveći postotak online računalnih prijevara.

Dilbert o IT sigurnosti

06/03/2009 // Posted in ICT sigurnost  |  No Comments

Dilbert o IT sigurnosti

Dilbert o IT sigurnosti

Što trebaju poslodavci učiniti u slučaju zlouporabe računala ili mreže poduzeća? (1.dio)

06/03/2009 // Posted in ICT forenzika  |  No Comments

Nekoliko je najčešćih slučajeva u kojima korporativni klijenti naručuju forenzičke analize računalnih sustava a obično se tiču postupanja prema sadašnjim ili bivšim zaposlenicima.

Stoga bih pokušao savjetovati odgovorne koji odlučuju o poduzimanju koraka o tome što učiniti a što ne učiniti ukoliko je došlo do evidentne ili suspektne zlouporabe računalnog sustava ili mreže.

U ovom članku, reći ću što pritom nikako NE BI trebalo učiniti.

  • Pristupiti problematici mirno i bez panike a osobito izbjegavati bilo kakav oblik pisane i telefonske komunikacije. Ukoliko postoji opravdana sumnja u Å¡tetan dogaÄ‘aj ili je već nastupila Å¡teta po hardver ili softver u poduzeću, sumnja li se da je računalni ili komunikacijski sustav koriÅ¡ten na način koji nije sukladan poslovnoj politici ili je čak prekrÅ¡en zakon, potrebno je uz potpunu povjerljivost raspraviti korake s vrhovnim nivoima odlučivanja unutar organizacije, pritom minimizirajući broj uključenih u konkretno postupanje. Vrlo često, osobito u slučajevima kriminalnog karaktera, prijestupe ove vrste čine ljudi kojima se vjeruje, koji su na visokim pozicijama i uključeni su u održavanje sustava.
  • Najvažnije je ne izazvati sumnju kod onih u koje se sumnja, jer to može rezultirati daljim kompromitiranjem računalnog i telekomunikacijskog sustava ili brisanjem podataka.
  • Temeljna greÅ¡ka koju čini dosta rukovoditelja je konfrontiranje sumnjivaca odmah po otkrivanju možebitnog koriÅ¡tenja računala u nedozvoljene svrhe i na nedozvoljeni način, a prije nego Å¡to je forenzičar izuzeo moguće dokaze temeljem kojih će se kasnije postupati u mogućem radnom sporu ili sudskom procesu.
  • Ne izbjegavati kontakt s policijom. Ukoliko je na bilo koji način prekrÅ¡en zakon, po dogovoru s odgovornim osobama organizacije odnosno poduzeća, potrebno je obavijestiti policiju.
  • Ne isključujte iz struje uključena računala koja su možda koriÅ¡tena od strane sumnjivaca i ne gasite ih, osigurajte im sigurno napajanje strujom do kontaktiranja računalnog forenzičara.

  • Ne uključujte isključena računala jer uključivanjem možete pobrisati važne tragove.
  • Naposlijetku, jedna od najvećih Å¡teta može biti počinjena od strane djelatnika internih odjela za upravljanje informatičkim tehnologijama i telekomunikacijama ukoliko se pokuÅ¡a provesti interna istraga. Područje računalne forenzike vrlo je kompleksno i osobe koje imaju visoku razinu obrazovanja u radu s računalima nisu nužno i osobe koje mogu provesti istragu ove vrste. Ukoliko se ne zna točno koji je postupak forenzičke analize, ne posjeduju se adekvatni alati i ne shvaćaju se pravne implikacije dokaza koji se nalaze na računalima i računalnim sustavima, vrlo lako može doći do toga da se ili nehotice korumpiraju i uniÅ¡te dokazi ili da pribavljene informacije u eventualnom sudskom sporu ne budu prihvaćene.

Portal za kvalitetu i sigurnost

03/03/2009 // Posted in Ostalo  |  No Comments

Skrećem pažnju na novi hrvatski portal koji se bavi tematikom kvalitete i sigurnosti, Kvalis.

FBI forenzički laboratorij

03/03/2009 // Posted in ICT forenzika  |  No Comments

Evo kako izgleda i što se radi u jednom od petnaest računalnih forenzičkih laboratorija FBI-a u Albuquerque-u.

Izazovi vještačenja računalnih sustava

03/03/2009 // Posted in VjeÅ¡tak za informatiku  |  No Comments

Nekoliko je temeljnih izazova s kojima se, u tehničkom i socijalnom smislu, susreće vještak pri izradi nalaza i mišljenja.

Prvi je vezan uz proces prikupljanja podataka. VjeÅ¡tak uglavnom radi s podacima i medijima koje su prikupila istražna tijela ukoliko se radi o sudskom vjeÅ¡tačenju, ili s raspoloživim podacima i medijima (računalima, tvrdim diskovima, optičkim medijima) koji su mu predočeni, odnosno do kojih je bilo moguće doći. U većini slučajeva, sudski vjeÅ¡tak u sudskim vjeÅ¡tačenjima vrÅ¡i tzv. “analizu mrtvog materijala”, odnosno postojećih zapisa na diskovima. S druge strane, u vansudskim vjeÅ¡tačenjima i konzultantskim poslovima, analiza je sve češće orijentirana ka postupcima u “živom” okruženju – tipični su primjeri vjeÅ¡tačenja kriptografskim sustava ili vanjskih napada koji ne ostavljaju vidljivi trag.

Sudski vještak mora s iznimnom pažnjom proučiti sve dokaze i svaki njegov nalaz i mišljenje moraju biti dokazivi znanstvenom metodom i moraju slijediti logičke zakonitosti, no moraju biti prezentirani na način da budu jasni laicima koji nisu stručnjaci u području informatike i telekomunikacija.

Sudski vjeÅ¡tak je često u dodiru s odvjetnicima i okrivljenima tijekom vjeÅ¡tačenja i prezentiranja dokaza na sudu, te stoga mora imati razvijene “meke vjeÅ¡tine” i komunikacijske sposobnosti.

Sva vještačenja moraju biti napravljena savjesno te u zadanim rokovima, što može biti problem ukoliko se radi o izrazito kompleksnim vještačenjima u kojima je reproduciranje uvjeta ili analiza raspoloživih materijala dugotrajno. Stoga sudski vještak mora surađivati sa sucem ili klijentom u izradi realističnog vremenskog perioda trajanja vještačenja.

Sudski vještak mora surađivati s predmetnim stručnjacima i jasno ukazivati na potrebe multidisciplinarnog vještačenja, kada je to nužno.

Naposlijetku, lepeza metoda koje se koriste i tehnologija se konstantno širi i zato se sudski vještak informatike i telekomunikacija mora konstantno usavršavati.