U Francuskoj majke moraju prevoditi za sitniš. U Kini mladi rade danju i noću na usavršavanju video-igrica za velike američke tvrtke. Internet ima svoj pakao: naoružani će kineski zaposlenik pred našim kamerama uzeti za taoca drugu zaposlenicu kako bi dobio svoju plaću. Putujemo na tamnu stranu mreže… (izvor: www.kamo.hr)
Zanimljiv osvrt na temu možete pročitati ovdje.
Na fotokopirnim uređajima se često mogu vidjeti naljepnice proizvođača koje ukazuju na činjenicu kako je “nelegalno” kopirati neke vrste dokumenata. Zanimljivo je kako proizvođači aparata te naljepnice uglavnom stavljaju prema vlastitom nahođenju, bez citiranja zakona i države na koje bi se takva zabrana trebala odnositi, vjerojatno pokušavajući unaprijed odreći se odgovornosti za zlouporabu uređaja koje proizvode (poznat je vic – “Koliko Amerikanaca treba da bi promijenili žarulju?” “Dvanaest – jedan da promijeni žarulju i jedanaest da tuže ovoga koji ju je promijenio.”)
Štoviše, iskustvo je ljudi izvan Hrvatske kako pojedini centri (trgovine) za fotokopiranje ne žele kopirati u boji razne dokumente poput osobnih iskaznica, pasoša (putovnica), odnosno vozačkih dozvola, čak i kada uređaji za fotokopiranje posjeduju opciju za naknadnu obradu dokumenata koja omogućuje umanjivanje ili povećavanje fotokopija ili dodavanje vodenog žiga koji nedvojbeno ukazuje na to kako se radi o fotokopiji.
Uostalom, ne postoji razlog zbog kojega bi bilo nelegalno izrađivati kopije dokumenata, važna je namjera koja iza toga stoji. Ovo bi područje trebalo u svakom slučaju biti detaljnije uređeno zakonima i pozakonskim aktima kako bi se izbjegao voluntarizam u tumačenju.
Činjenica je kako svijet i pogled na sigurnost te u okviru nje informacijsku sigurnost neće biti isti nakon 11-tog rujna 2001 godine te kako je nažalost taj teroristički čin omogućio niz ograničavanja sloboda ljudi i podgrijavanje atmosfere paranoje u kojoj se čak niti ne propituju ograničenja koja je netko svojevoljno uveo ili pretpostavio da bi “tome trebalo biti tako”. Ovo je samo jedan od takvih slučajeva, pri čemu u praksi niz pravih prijetnji osobnoj privatnosti, korporativnoj sigurnosti informacija i sukladnosti sa lokalnim zakonima prolazi posve neopaženo.
Sky News objavio je jučer zanimljivu reportažu o tome što se dogodilo u servisima računalne opreme u koje su odnijeli računala na popravak. Serviseri su pregledavali podatke, skidali lozinke, bankovne podatke i korisnička imena, pokušavali ih koristiti, te čak instalirati keylogger programe koji bilježe aktivnosti na računalima i šalju ih njima u formi logova (dnevnika) te pristupali ugradjenoj Web kameri. Gotovo u svim posjećenim servisima situacija je bila ista osim u jednom.
Komentar ovakve situacije bi bio da su za ovo jednako krivi i serviseri i ljudi koji svoja računala daju u posjed drugima ne vodeći brigu o tome što sadrže. Što očekivati ukoliko netko ostavi svoj novčanik prepun zapisanih lozinki, kreditnih i debitnih kartica te gotovine nasred ceste? Otprilike isto što može očekivati preda li svoje osobno računalo u servis nepoznatoj osobi.
Iako koncept nigerijske poštanske prijevare postoji već desetljećima (prvo je bio razvijen redovnom a zatim i putem elektroničke pošte), vrlo često se može susresti ljude, osobito one koji su nedavno počeli koristiti elektroničku poštu i koji je koriste srazmjerno rijetko, koji su začuđeni kada u poštanski sandučić zaprime email od nepoznate osobe koja traži pomoć u transferu novca i nudi nebulozne svote.
Prije desetak godina nekoliko ljudi iz Hrvatske, točnije, Dalmacije, bili su žrtva ove prijevare te su čak osobno otišli u Nigeriju u pokušaju povrata novca koji su poslali kako bi se “procesirale” obećane transakcije. Neki od njih jedva su izvukli živu glavu.
Tehnike prijevare nisu vezane uz tehnološki kontekst – elektronička pošta koristi se samo kao medij masovne distribucije elektroničkih poruka – nego uz tehnike socijalnog inženjeringa, te psihologiju uvjeravanja. Elektronička pošta tu pomaže samo utoliko što omogućuje masovnu distribuciju poruka a statistički gledano, zakonom velikih brojeva, čim je veći broj poslanih pisama, veća je mogućnost da se naiđe na lakovjernu osobu koja je voljna uložiti, točnije, izgubiti svoj novac.
Evo nekoliko poveznica s više informacija o tom načinu prijevare – poveznica 1 – poveznica 2 – poveznica 3.
U kolumni “Even parity” na portalu Internet monitor, autor Radoslav Dejanović objavio je zanimljiv osvrt na novi zakon o Kaznenom postupku.
Na vodećem hrvatskom financijskom i računovodstvenom portalu, Orkis, upravo je objavljen članak s naslovom “Kaznene odredbe Zakona o zaštiti na radu (ZNR), Kaznenog zakona i posljedice neprovođenja mjera ZNR”.
U članku se daje osvrt na kaznene odredbe Zakona o zaštiti na radu te na činjenicu kako se teže povrede aktivnosti zaštite na radu nalaze i u okviru kaznenih odredbi Kaznenog zakona. Nadalje, obrazlažu se sve potencijalne posljedice neprovođenja mjera zaštite na radu.
Na sjednici hrvatskog Sabora 30.06.2009. godine izglasan je Zakon o izmjenama i dopunama Zakona o kaznenom postupku koji je objavljen u Narodnim novinama od 01.07.2009. kada je i stupio na snagu.
Zakon možete skinuti ovdje, a na sljedećim poveznicama – poveznica 1 – poveznica 2 – nalazi se zanimljiv članak objavljen 04.07.2009. u riječkom Novom listu vezano uz tu tematiku.
“Birokrat je osoba koja otvoreno tvrdi da ništa neće učiniti, a onda se toga tvrdoglavo drži”
Guste Santini, HRT1, 08.07.2009.
U Europskoj uniji po pitanju zaštite informacija postoje detaljna zakonska podloga i operativni instrumentarij za osiguravanje sukladnosti sa relevantnim zakonima. Dvije su temeljne direktive koje reguliraju područje zaštite podataka: direktiva 95/46/EC (direktiva o zaštiti podataka) te direktiva 97/66/EC koja se odnosi na zaštitu informacija u telekomunikacijama. Direktive obvezuju države EU da svoje nacionalno zakonodavstvo usklade sa zahtjevima direktiva.
Temeljna pravila kojih se moraju pridržavati svi koji upravljaju privatnim podacima (terminološki radi se o tzv. data controllers – onima koji kontroliraju podatke) su sljedeća:
Temeljna odredba kojom se svi zakoni u EU povode po pitanju zaštite podataka je:
Everyone has the right to respect for his private and family life, his home and his correspondence – European Convention for the Protection of Human Rights and Fundamental freedoms
Integralnu verziju dokumenta koji reguliraju ovu problematiku možete skinuti s ovih stranica s ove poveznice.
U Hrvatskoj je situacija trenutačno takva da su direktive implementirane djelomično, nadzorna tijela su ustanovljena ali u praksi se ne primjećuje da provode legislativu a u trenutku pisanja ovog članka, sredinom 2009 godine, van financijskog i bankarskog sektora naglasak na pitanja zaštite podataka, informacija, informacijskih sustava i osobnih informacija izostaje dok se u svakodnevnoj praksi krše i hrvatska predmetna legislativa i strukovna pravila i pravila zdrave logike, osobito u području neovlaštenog i nepotrebnog prikupljanja privatnih podataka te pohrane i mjera tehničke zaštite spremljenih podataka i podataka unutar komunikacijskih kanala i informacijskih sustava. Nažalost, situacija je jednako loša i ova se aktivnost očito smatra marginalnom i unutar državne uprave i unutar privatnog sektora, osobito u malim i srednjim poduzećima čija granska aktivnost i tehnološki procesi nisu povezani uz tehnološki kontekst pa se makar temeljna zaštita informacija ne provodi “po inerciji”, zbog samoinicijative uključenih stručnjaka.
Tradicionalna tehnologija koja se koristi kako bi se osigurali podaci je enkripcija – upotreba kompleksnih algoritama za kodiranje informacija koja se ustalila kao industrijski standard koji počiva na činjenici da iako je moguće dekriptirati kriptirane informacije, većina napadača nema pristup znanju, algoritmima ili procesorskoj snazi koja je potrebna za dekriptiranje kodiranih informacija.
Tehnika kriptiranja podataka u raznim oblicima i tehnološkim rješenjima primjenjuje se na podatke sadržane na mrežama, na podatke koji se nalaze u tranzitu unutar komunikacijskih kanala od izvora do primatelja, te na osobnim računalima i “pametnim” telefonima.
Međutim, ukoliko se gleda razvojnost informacijskih sustava, možemo lako posumnjati da li je enkripcija pravi odgovor na pitanje kako osigurati sigurnost podataka. Razlozi su sljedeći:
1. Upravljanje ključevima
Za dekodiranje enkriptiranih datoteka korisnik treba enkripcijski ključ. Upravljanje velikim brojem takvih ključeva može biti problematično – iako postoje rješenja za korporativno upravljanje ključevima (EKM – Enterprise Key Management) koja obećavaju mogućnost upravljanja i promjene ključeva tijekom njihovog životnog ciklusa – ona su više “flaster na otvorenoj rani” cjelokupnog sustava. Pošto je lanac jak koliko je jaka najjača karika, korporativno upravljanje ključevima sigurno je toliko koliko su sigurni integrirani sustavi upravljanja ključevima. Ako je ključ kompromitiran u hijerarhijski nižem sustavu od sigurnog managera ključeva ili neki sistem nije dizajniran da bi adekvatno adresirao određenu prijetnju, čitav sustav upravljanja ključevima postaje nesiguran.
2. Zakonska regulativa
U mnogim državama postoje zakoni koji zahtijevaju od raznih organizacija, poduzeća i državnih tijela da obavijeste pojedince o tome kako postoji sumnja ili saznanje da su njihove osobne informacije kompromitirane od neautoriziranih osoba. U praksi to često rezultira medijskim aferama koje su noćna mora za sve pogođene organizacije. Dobro razumijevanje tehnika enkripcije zasigurno može pomoći u tome da odgovorne osobe budu sigurne kako su podaci zaštićeni, no to ne pomaže javnom mnijenju. Jednom kada su osobni podaci postali ranjivi ili lako dostupni, izgubljeno je povjerenje onih na koje se oni odnose i javnosti općenito. Stoga enkripcija nije dovoljna mjera za adresiranje poslovnih zahtjeva za sigurnost podataka.
3. Računalna moć
Temeljna postavka klasične tehnologije enkripcije, kao što je rečeno, je nesrazmjer između procesorske moći potrebne za enkripciju i dekripciju podataka te odvraćanje onoga tko pokušava kompromitirati podatke kompleksnošću postupka. Međutim, porast procesorske snage je tako eksponencijalan da je posve izvjesno kako ono što je danas sigurno, sutra više neće biti. Iz tog razloga već danas su mnoge organizacije prisiljene sistematski vršiti re-enkripciju kako bi ostale sigurne od potencijalnih hakera. Sustavna je pak enkripcija problematična, skupa, povezana s dodatnih problemima po pitanju sigurnosti sadržanih podataka i zahtijeva puno ljudskog rada, odnosno direktnih intervencija.
Jedna od tehnika kojom se ova problematika može donekle riješiti je tehnika rasapa (disperzije) koja dijeli podatke na dijelove (“tranše”) koje su spremljene na različitim logičkim ili geografskim lokacijama. Svaki djelić sadrži premalo informacija da bi bio koristan sam za sebe ili da bi mogao kompromitirati sadržane podatke, no sve podatke moguće je rekreirati iz inicijalno zadanog broja dislociranih tranši. Nadalje, u slučaju ispada nekog od servera ili lokacija na kojima su sadržani podaci, ne dolazi do njihovog gubitka jer se mogu rekreirati iz preostalih lokacija i sadržanih tranši. Neovisno o napretku procesorske snage, maliciozni hakeri ne mogu na jednostavan način doći do podataka a tehnika disperzije ne zahtijeva značajno vrijeme i rad u postupak re-enkripcije kako bi podaci bili dodatno zaštićeni.
Zanimljivo je da norma ISO 27001:2005 u okviru Aneksa A *ne predviđa* kontrole vezane uz tehniku disperzije niti adresira temeljni koncept “cloud computinga”.