You are currently browsing the archives for the “ICT sigurnost” category.

Anonimnost na internetu ne postoji

12/08/2010 // Posted in ICT sigurnost  |  No Comments

Izvršni direktor Googlea: Anonimnost na internetu ne postoji!

GOOGLE zna što gledate, što pretražujete, čak i tko su vam prijatelji.

Strani mediji ovdje u čudu podižu obrve i pitaju se koji je stav izvršnog direktora Googlea Erica Schmidta o privatnosti na internetu. Detalje pogledajte u video snimci.

Schmidt je na konferenciji ranije ovoga mjeseca izjavio da je anonimnost na internetu ugrožena. “U svijetu s tolikim prijetnjama je jednostavno preopasno da ne postoji neki način identifikacije”, rekao je.

Anonimnost treba razlikovati od privatnosti

IzvrÅ¡ni direktor Googlea je objasnio da bi vlade zemalja uskoro mogle stati na kraj anonimnosti na internetu. “Trebamo (provjerenu) bazu imena. Vlade će je tražiti”.

“Privatnost je neizmjerno važna i ne treba je mijeÅ¡ati s anonimnošću. Vrlo je važno da Google i svi ostali poÅ¡tuju privatnost drugih na mreži. Ljudi imaju pravo na privatnost, to je prirodno i normalno”, objasnio je svoj stav u jednom kasnijem intervjuu.

MeÄ‘utim, i tu postoje granice, kaže on. “Ako pokuÅ¡avate počiniti užasan zločin, očito da vam za to ne treba biti pružena mogućnost potpune anonimnosti. Nema sustava u naÅ¡em druÅ¡tvu koji bi to dopustio, suci inzistiraju na otkrivanju počinitelja. Potpuna anonimnost bi mogla dovesti do vrlo teÅ¡kih odluka za vlade te naÅ¡e druÅ¡tvo u cjelini i mislim da to takoÄ‘er ne bismo htjeli”, zavrÅ¡io je Schmidt.

(preuzeto u cijelosti s Index.HR)

WPA2 protokol probijen

27/07/2010 // Posted in ICT sigurnost  |  No Comments

Ovih dana u javnosti pojavila se informacija da je WPA2 protokol probijen, odnosno da ima inherentnu pogreÅ¡ku (“flaw”) koja omogućuje onima koji se inicijalno mogu opravdano autenticirati izvoÄ‘enje Man In The Middle napada. To znači da su ovom ranjivošću pogoÄ‘eni prvenstveno korporativni klijenti – s druge strane, upravo oni su u najvećoj opasnosti jer je poznato da najviÅ¡e napada na računalne sustave dolazi upravo “iznutra”.

Man in the middle napad - sudski vještak informatike i telekomunikacija Saša Aksentijević

Tekst o tome prenesen s prenosi se u cijelosti s Darkneta.

WPA2 Vulnerability Discovered – “Hole 196″ – A Flaw In GTK (Group Temporal Key)

Well as it tends to be, when something is scrutinized for long enough and with enough depth flaws will be uncovered. This time the victim is WPA2 – the strongest protection for your Wi-fi network which is standardized.

WEP fell long ago and there’s a myriad of WEP Cracking tools available. In 2008 it was reported flaws had been found in WPA and it was partially cracked.

These factors of course shifted a lot of people to WPA2, which has now been found to have certain flaws.

Perhaps it was only a matter of time. But wireless security researchers say they have uncovered a vulnerability in the WPA2 security protocol, which is the strongest form of Wi-Fi encryption and authentication currently standardized and available.

Malicious insiders can exploit the vulnerability, named “Hole 196″ by the researcher who discovered it at wireless security company AirTight Networks. The moniker refers to the page of the IEEE 802.11 Standard (Revision, 2007) on which the vulnerability is buried. Hole 196 lends itself to man-in-the-middle-style exploits, whereby an internal, authorized Wi-Fi user can decrypt, over the air, the private data of others, inject malicious traffic into the network and compromise other authorized devices using open source software, according to AirTight.

The researcher who discovered Hole 196, Md Sohail Ahmad, AirTight technology manager, intends to demonstrate it at two conferences taking place in Las Vegas next week: Black Hat Arsenal and DEF CON 18.

It’s a pretty interesting attack and leverages a man-in-the-middle style exploit to decrypt data from the wire and inject malicious packets onto the network.

The researched Md Sohail Ahmad is going to demo the exploit at 2 upcoming conferences (Black Hat and DEF CON 18) so I’ll be looking out for the slides and videos on that. We’ll have to wait and see if this is another ‘mostly theoretical‘ attack – or something that can actually be implemented in the wild.

The Advanced Encryption Standard (AES) derivative on which WPA2 is based has not been cracked and no brute force is required to exploit the vulnerability, Ahmad says. Rather, a stipulation in the standard that allows all clients to receive broadcast traffic from an access point (AP) using a common shared key creates the vulnerability when an authorized user uses the common key in reverse and sends spoofed packets encrypted using the shared group key.

Ahmad explains it this way:

WPA2 uses two types of keys: 1) Pairwise Transient Key (PTK), which is unique to each client, for protecting unicast traffic; and 2) Group Temporal Key (GTK) to protect broadcast data sent to multiple clients in a network. PTKs can detect address spoofing and data forgery. “GTKs do not have this property,” according to page 196 of the IEEE 802.11 standard.

These six words comprise the loophole, Ahmad says.

The upside is that the attack is limited to people who can genuinely authenticate to the network first, the downside that means large organizations using WPA2 in trouble – as generally most damage comes from the inside.

It’s also something to think about when connecting to ISP/public Wi-fi hotspots using WPA2 encryption.

I’m sure there will be more news about this soon.

Apple – novi svjetski lider u nesigurnosti softvera!

22/07/2010 // Posted in ICT sigurnost  |  No Comments

Apple the new world leader in software insecurity

By Peter Bright |

Apple has displaced Oracle as the company with the most security vulnerabilities in its software, according to security company Secunia. Over the first half of 2010, Apple had more reported flaws than any other vendor. Microsoft retains its third-place spot. Secunia has tracked security vulnerabilities and issues advisories since 2002, producing periodic reports on the state of software. Together, the top ten vendors account for some 38% of all flaws reported.

Though this does not necessarily mean that Apple’s software is the most insecure in practice—the report takes no consideration of the severity of the flaws—it points at a growing trend in the world of security flaws: the role of third-party software. Many of Apple’s flaws are not in its operating system, Mac OS X, but rather in software like Safari, QuickTime, and iTunes. Vendors like Adobe (with Flash and Adobe Reader) and Oracle (with Java) are similarly responsible for many of the flaws being reported.

To illustrate this point, the report includes cumulative figures for the number of vulnerabilities found on a Windows PC with the 50 most widely-used programs. Five years ago, there were more first-party flaws (in Windows and Microsoft’s other software) than third-party. Since about 2007, the balance shifted towards third-party programs. This year, third-party flaws are predicted to outnumber first-party flaws by two-to-one.

Secunia also makes a case that effectively updating this third-party software is much harder to do; whereas Microsoft’s Windows Update and Microsoft Update systems will provide protection for around 35% of reported vulnerabilities, patching the remainder requires the use of 13 or more updating systems. Some vendors—Apple, Mozilla, and Google, for example—do have decent automatic update systems, but others require manual intervention by the user.

(preuzeto u cijelosti s Internet portala, 22.07.2010.)

7 stvari koje ne bismo trebali raditi na Facebooku

14/07/2010 // Posted in ICT sigurnost  |  No Comments

ÄŒlanak je u cijelosti preuzet s Metro Portal.HR

UPOZORENJE

7 stvari koje ne bismo trebali raditi na Facebooku

Uložite nekoliko minuta i posložite profil koji će jamčiti maksimalnu sigurnost vas i vaše djece

ÄŒasopis “Consumer Reports Magazine” izdao je svojevrsno upozorenje svim korisnicima Facebooka s popisom stvari koje nikako ne bismo smjeli raditi na toj druÅ¡tvenoj mreži:

1. Koristiti lošu lozinku

Izbjegavajte jednostavna imena i pojmove, čak i ako na kraju lozinke koristite brojeve. Umjesto toga, stvorite kombinaciju velikih i malih slova, brojeva i simbola. Dobra lozinka ima najmanje osam znakova. Preporučljivo je koristiti brojeve i simbole u sredini riječi, kao na primjer hO27usEs

2. Ostaviti puni datum rođenja

Datum rođenja može biti važna informacija lopovima da vam isprazne bankovni račun ili prikupe informacije o mogućim PIN-ovima ili lozinkama pošto većina ljudi u njih uključuje brojeve iz vlastitog datuma rođenja. Možete postaviti da vam se prikazuju samo dan i mjesec rođenja ili pak potpuno izostaviti navedenu informaciju s profila.

3. Zanemarivati postavke privatnosti

Za gotovo sve informacije na Facebooku možete kontrolirati što želite dijeliti, a što zadržati za sebe. Uložite nekoliko minuta i podesite postavke privatnosti onako kako vam najbolje odgovaraju.

4. Objaviti imena djece

Ne koristite imena vlastite djece prilikom tegiranja slika te u profilima. Djeca imaju pravo na privatnost i pravo da jednog dana samostalno odluče u kojoj mjeri se žele eksponirati na internetu..

5. Spominjati da niste kod kuće

Status da odlazite na putovanje lopovu je jednak statusu: “Nema me doma, opljačkaj me!”. Doživljaje s putovanja radije podijelite s prijateljima kad ponovno stignete kući.

6. Dopustiti da vas tražilice pronađu

Spriječite nepoznate osobe da pronaÄ‘u vaÅ¡ profil. MeÄ‘u postavkama privatnosti odaberite “Only friends” u odgovarajućoj kućici koja se odnosi na tražilice.

7. Dopustiti djeci da bez nadzora koriste Facebook

Iako Facebook ne smiju koristiti djeca mlaÄ‘a od 13 godina, činjenica je da postoje i mlaÄ‘i korisnici. Postanite njihovi prijatelji te diskretno nadgledajte njihove aktivnosti. Ono Å¡to se djeci čini bezazlenim, može se pretvoriti u potencijalno opasne podatke poput statusa: “Mama se uskoro vraća kući, moram oprati suÄ‘e.”

29/06/2010 // Posted in ICT sigurnost  |  No Comments

Signal mobitela nitko nema pravo blokirati. Kazna je milijun kuna

(preuzeto s Internet stranica Jutarnjeg lista).

Ranko Å uvar/CROPIX
Autor: Tomislav Kukec

Rudarsko-geološki naftni fakultet kupio je uređaj za ometanje signala

ZAGREB – Rudarsko-geoloÅ¡ki naftni fakultet odmah mora prestati koristiti ureÄ‘aj za ometanje radijskih frekvencija, odnosno signala mobitela, jer je Zakonom o elektroničkim komunikacijama za to predviÄ‘ena kazna od 100.000 do čak milijun kuna – zaprijetila je zagrebačkom SveučiliÅ¡tu Hrvatska agencija za poÅ¡tu i elektroničke komunikacije (HAKOM).

Rektoru Aleksi Bjelišu agencija je prije deset dana uputila takav dopis, upozoravajući ga na zakon. Sve je počelo kad je jedan teleoperater prijavio Fakultet, nakon čega je Agencija obavila nadzor.

Tele2 i HT tvrde da nisu prijavili slučaj Agenciji, a VIP se u ponedjeljak nije izjasnio. Agencija je ustanovila da je u predavaonici fakulteta doista postavljen uređaj koji ometa mobitelski signal. Imali su velikih problema s prepisivanjem; studenti su odgovore na ispitima slali SMS-om, pa su tome odlučili doskočiti postavljanjem ilegalnog uređaja.

– Razumijemo motiv za postavljanje ureÄ‘aja, ali Zakon ne dopuÅ¡ta njegovu uporabu. KrÅ¡enje etičkih kodeksa fakulteta rijeÅ¡ite na drukčiji način – rekao je ravnatelj HAKOM-a Dražen Lučić.

Do 2008. u Hrvatskoj nije bilo zabranjeno ometati signal, ali kad je donesena izmjena Zakona o elektroničkim komunikacijama, njegov članak 88. to je pitanje jasno definirao.

U dvije godine postojanja zakonske odredbe Agencija je sada prvi put reagirala, provela nadzor i, relativno blago, samo upozorila prekršitelje.

– Zakon dopuÅ¡ta uporabu takvih ureÄ‘aja jedino u slučajevima kada to zahtijevaju interesi obrane ili nacionalne sigurnosti – rekli su u Agenciji. Glavni razlog za zabranu ometanja signala, istaknuli su u HAKOM-u, je to Å¡to se tako onemogućavaju i pozivi u hitnim slučajevima ili pozivi prema hitnim službama.

Gubitak za operatere

Sličan uređaj 2006. je uveo i Hrvatski sabor, no novinari koji prate rad Sabora kažu da se on ne koristi već oko pola godine. Kada bi ga se ranije uključilo, u saborskoj zgradi i oko nje nitko nije mogao telefonirati. U Saboru nam u ponedjeljak nisu mogli potvrditi ili demantirati te navode. Govorilo se i o postojanju uređaja u zagrebačkoj katedrali, no u Tiskovnom uredu Zagrebačke nadbiskupije poručili su nam samo da “uređaj nije u funkciji”.

Ravnatelj Agencije Dražen Lučić ima saznanja kako su i drugi fakulteti namjeravali instalirati slične uređaje u svojim predavaonicama, pa i njih upozorava da je to protuzakonito. Osim toga, za takav tip uređaja ne postoji odobrenje za uvoz ili puštanje na hrvatsko tržište, što znači da svi oni koji ga posjeduju, to čine ilegalno.

Treće, očito se radi o značajnom gubitku koji u prihodima imaju teleoperateri, s obzirom da su baš oni prijavili Agenciji kako fakultet krši zakon.

Ometanje bez kontrole

Konkretno, radi se o prekršaju iz članka 88. Zakona o elektroničkim komunikacijama, koji propisuje da iznimno HAKOM može izdati odobrenje za korištenje uređaja za ometanje radijskih frekvencija, i to isključivo na zahtjev tijela državne vlasti, sigurnosno-obavještajne agencije ili kada to zahtijevaju interesi obrane i nacionalne sigurnosti. Rektor zagrebačkog Sveučilišta Aleksa Bjeliš rekao je kako je zaprimio dopis HAKOM-a koji se odnosi na korištenje uređaja, te da ga u ponedjeljak proslijedio svim čelnicima fakulteta i akademija u sastavu zagrebačkog Sveučilišta.

Biljana Kovačević-Zelić, dekanica Rudarskog fakulteta, u ponedjeljak nam nije mogla komentirati HAKOM-ovo upozorenje. Kada smo ju zamolili da nam omogući fotografiranje spornog uređaja, a za koji je Agencija nadzorom ustanovila da postoji, rekla nam je kako oni “uostalom ni nemaju takav uređaj”.

Nejasna ekipa s Rudarskog

Dekan Fakulteta elektrotehnike i računarstva Vedran Mornar istaknuo je da im tako nešto ne bi ni palo na pamet.

– Pogotovo zbog toga jer se radi o ureÄ‘aju iz naÅ¡e struke, pa dobro znamo propise. Iskreno, nije mi jasna ekipa s Rudarskog fakulteta koja se upustila u tako neÅ¡to. Problem s tim ureÄ‘ajima je u tome Å¡to oni ne ometaju signal samo u predavaonici, nego i s druge strane zida, odnosno čitav prostor okolo fakulteta, a ometaju i pozive prema hitnim službama, Å¡to može postati veliki problem – kratko nam je rekao Mornar.

S njime se slaže i dekan Fakulteta strojarstva i brodogradnje prof. Izvor Grubišić.

– Nemamo ureÄ‘aj, niti smo ga namjeravali instalirati, jer znamo zakon. Voljeli bismo kada bismo mogli postaviti jedan takav ureÄ‘aj da spriječimo komunikaciju meÄ‘u studentima za vrijeme ispita, ali pojavljuje se problem Å¡to nama u predavaonicama treba bežična mreža, pa ne znam kako bismo blokirali signal mobitela, a vlastitu mrežu ne – rekao je GrubiÅ¡ić.

Agencija za znanost i visoko obrazovanje naglasila je da ih fakultet nije obavijestio o ilegalnom korištenju uređaja.

– Agencija podržava postupak Hrvatske agencije za poÅ¡tu i elektroničke komunikacije, kao i činjenicu da je potrebno poduzeti sve daljnje zakonske radnje vezano za navedeni dogaÄ‘aj – rekli su nam u AZVO-u.

Studenti: Znamo da se na ispitima varalo pomoću mobitela

Desetak studenata Rudarsko-geološko-naftnog fakulteta u ponedjeljak je u prijepodnevnim satima polagalo usmene ispite. Iako nam je većina njih potvrdila da se studenti povremeno koriste mobilnim uređajima tijekom pismenih ispita, pa iz tog razloga čak i podržavaju postavljanje spornog uređaja, nitko nam od njih nije potvrdio da je primijetio ometanje signala i na hodnicima fakulteta.

– Nisam upoznata s postavljanjem tog ureÄ‘aja, ne znam gdje bi mogao biti, a nisam uočila ni niÅ¡ta neobično s mobitelom, na fakultetu ga normalno koristim i imam pun signal. Tijekom ispita ne vadim mobitel iz torbe, tako da ne znam je li bilo problema, a nitko mi se od kolega nije požalio na to – rekla je Jasmina Tolj, 20-godiÅ¡nja studentica druge godine Rudarsko-geoloÅ¡ko-naftnog fakulteta. ( J. Ko.)

Dozvolu za ometanje mogu dobiti tajne službe

Prema Wikipediji, u zapadnom je svijetu ometanje signala za mobitel ilegalno, s iznimkom Italije, gdje se ta praksa primjenjuje u bolnicama, crkvama, kinima, kazalištima. Francuska je, primjerice, 2004. dopustila ometanje signala u kinima i kazalištima, ali se od toga odustalo zbog nemogućnosti poziva hitnim službama, dok su u Irskoj ilegalnost takve prakse potvrdili i sudovi. Neke zemlje, poput Irske ili Novog Zelanda, dopuštaju blokiranje signala u zatvorima, druge, poput Njemačke ili Britanije, takve prijedloge tek razmatraju.

Blokiranje signala dopušteno je u kineskim školama, gdje ga ministarstvo obrazovanja može koristiti kako bi spriječilo prepisivanje. Pakistan blokira signal u bankama, ali i knjižnicama.

Odredba hrvatskog zakona mogla je biti i jasnija jer se ne zabranjuje uporaba uređaja nego se samo definira kome će Agencija izdati pojedinačnu dozvolu. To može dovesti do zabune. Zakon nije korektno napisan, smatraju pravnici s kojima smo kontaktirali, dodajući da je teško definirati pojmove “nacionalna sigurnost” i “interesi obrane”. Sabor bi, primjerice, trebao pokrenuti čitav proces dobivanja odobrenja HAKOM-a prije stavljanja uređaja u upotrebu. U članku 88. Zakona o elektroničkim komunikacijama stoji:

Na temelju podnesenog zahtjeva nadležnog tijela državne vlasti ili nadležne sigurnosno-obavještajne agencije, kada to zahtijevaju interesi obrane ili nacionalne sigurnosti, Agencija će izdati pojedinačnu dozvolu za uporabu uređaja za ometanje radijskih frekvencija javnih elektroničkih komunikacijskih mreža na određenom prostoru ili području. ( N. Šajn, T. Kukec)

Ranjivost GPS sustava

16/06/2010 // Posted in ICT sigurnost  |  No Comments

Zanimljiva prezentacija o ranjivosti sustava temeljenim na GPS tehnologiji.

Gps Vulnerability

Povjerljivost informacija na hrvatski način

02/06/2010 // Posted in ICT sigurnost  |  No Comments

5000 tajnih spisa putuje bez zaštite iz Haaga do Zagreba

– Ne mogu to razumjeti, suočen sam s odbijanjem Vlade RH u pružanju potrebne pomoći obranama pri prijevozu povjerljivih(zaÅ¡tićenih) dokumenata ih Haaga u Zagreb, upozorava u svojoj izjavi za Večernji list Božidar Kovačić.

(preuzeto u cijelosti s portala Večernji.HR, 02.06.2010. godine)

Dok budete čitali ovaj tekst u Večernjaku, kombi pun hrvatskih državnih, vojnih i tajni Tribunala, bez ikakve zaštite i bez statusa posebne, diplomatske pošiljke, vozit će putem od Haaga do Zagreba. Trebao bi stići u srijedu u kasnim poslijepodnevnim satima. Pitanje je hoće li doći nedirnut jer prolazi kroz četiri europske države.

Požurili vratiti materijal

– Ne mogu to razumjeti, suočen sam s odbijanjem Vlade RH (Ministarstva vanjskih poslova) u pružanju potrebne pomoći obranama pri prijevozu povjerljivih (zaÅ¡tićenih) dokumenata ih Haaga u Zagreb, upozorava u svojoj izjavi za Večernji list Božidar Kovačić, odvjetnik u Haagu optuženog generala Slobodana Praljka.

Obrane su, naime, dovršile svoje dokazivanje u procesu “Prlić i ostali” (suđenje šestorici Hrvata iz BiH) pa je Kovačić požurio iz Haaga evakuirati “vrući kesten”, kako on naziva tisuće zaštićenih dokumenata kojima se obrana koristila u suđenju. Obrane Praljka i djelomično Prlića unajmile su kombi i napunile ga s oko 20.000 dokumenata koje treba prevesti na zaštićeno mjesto u Hrvatskoj.

– Procjenjujem da u toj golemoj arhivi ima i najmanje 5000 dokumenata haaškog suda koji imaju status “povjerljivo”, te oko 5000 dokumenata hrvatske države koji su također zaštićeni i mogli su se rabiti samo u ovom haaškom procesu. Dakle, riječ je o državnim i vojnim tajnama RH – kaže Kovačić.

Podsjeća da je 2006. Vlada RH odobrila zahtjev obrane te je istovjetni kombi pun državnih tajni na putu od Zagreba do Haaga dobio pečat i status diplomatske pošiljke. Ti su tajni dokumenti potom četiri godine bili smješteni u posebno osiguranom uredu Praljkove obrane u Haagu.

“Pečat bi bio nezakonit”

Iz MVP-a Večernjaku stiže informacija kako kombi nije mogao dobiti diplomatsku zaštitu kao 2006. jer je u međuvremenu promijenjen pravilnik o diplomatskim pošiljkama pa ovakav “privatni” kombi više ne može dobiti državni pečat i imunitet.

– Bili bismo u izuzetno neugodnoj situaciji da smo nezakonito pečatirali ovu pošiljku i dali joj status koji joj ne možemo osigurati – kažu izvori bliski MVP-u.

Bez obzira na formalnosti, skandalozno je da kombi pun državnih i tajni Suda u Haagu vozi Europom kao “kombi s cipelama i pokućstvom”. Hoće li uopće stići na odredište?

Je li itko pomislio što bi se moglo dogoditi da ova dokumentacija putem završi u rukama neovlaštenih osoba, pita se Kovačić. Dodaje da Tribunal može i njega kazniti dogodi li se dokumentima što nepredviđeno. U uredu pri Ministarstvu pravosuđa za suradnju s Tribunalom kažu da su Kovačićev zahtjev proslijedili u MVP i ne znaju zašto ministarstvo nije odobrilo diplomatsku zaštitu te da je trebao probati tražiti da dokumentaciju preveze “državni” kombi. U MVP-u pak drže da je taj posao bio na Ministarstvu pravosuđa.

Facebook i teorija zavjere

12/05/2010 // Posted in ICT sigurnost  |  No Comments

Konspirativna teorija ili teorija zavjere je pokuÅ¡aj da se objasni krajnji razlog nekog dogaÄ‘aja (obično političkog, socijalnog ili historijskog dogaÄ‘aja) kao tajan i obično zavaravajući plan tajnog udruženja moćnih osoba (često opisanih kao “moćna elita”) te negira da je dogaÄ‘aj rezultat direktne aktivnosti ili pak prirodni dogaÄ‘aj.

Iako u povijesti nerijetko postoje kriminalna djela koja su počinili grupe ljudi (konspiratori) izraz “konspirativna teorija” se obično koristi u akademskim krugovima i u popularnoj kulturi da se opiÅ¡u vrsta folklora sličnim urbanim legendama. Konspirativne teorije imaju odreÄ‘ene ispravne oblike u svojoj naraciji ali su obično iste nastale kroz naivne metodoloÅ¡ke greÅ¡ke. Termin se takoÄ‘er koristi u negativnim konotacijama kad se želi objasniti i odbaciti neispravan, paranoičan i nevjerojatan trač. Većina ljudi koji nazivaju svoje teorije konspiratornim obično odbijaju da se teorija može svrstati u takvu vrstu negativnih konotacija. (izvor: Wikipedia)

Afera “Registar branitelja” je posljedica nefunkcioniranja sustava upravljanja informacijskom sigurnošću u državnim tijelima RH

08/04/2010 // Posted in ICT sigurnost  |  No Comments

Budući da sam uočio kako se u medijima oko slučajeva koji se tiču otkrivanja službene tajne vrlo često pojavljuju netočne, neprecizne ili nesuvisle informacije, dozvolite mi kratki osvrt na cjelokupnu situaciju.

1. Kazneni zakon kao i cjelokupno hrvatsko zakonodavstvo tretira “službenu tajnu” na vrlo “elastičan” način, tako da je posve nejasno da li se službena tajna odnosi isključivo na službene osobe, ili pak službenu tajnu može odati i osoba koja nije trenutačno ili nije bila službena osoba koju bi čuvanje službene tajne obvezivalo. Ovu činjenicu može se laički komentirati na razne načine, no sudovi su u pravilu takoÄ‘er u vrlo velikoj dilemi po pitanju čuvanja službene tajne jer moraju tumačiti zakon koji im ne daje točne smjernice u vezi toga tko je obvezatan čuvati službenu tajnu, te stoga zasigurno njihov posao po ovom pitanju nije jednostavan niti rutinski.

2. ÄŒinjenica iz točke 1. dovodi do pitanja – da li je Registar branitelja kao zbirka podataka označen oznakom službene ili vojne tajne? Ukoliko jeste, a Registru branitelja pristup imaju mnogi (npr. skrbnik Fonda hrvatskih branitelja, ali kažu i – strane države, poÅ¡to navodno neke države koje imaju vizni režim s RH znaju vojnu povijest svakog hrvatskog državljana), da li po svojoj prirodi može biti tajna neÅ¡to Å¡to se ne Å¡titi a nalazi se u raznim oblicima na viÅ¡e lokacija uključujući državna tijela stranih država? Radi li se o nečemu Å¡to se može smatrati jedinstvenom zbirkom podataka?

3. Nastavno, pozivam Vas da proučite Uredbu o mjerama informacijske sigurnosti od 18.04.2008. godine. Prema njoj, obveznici su sva državna tijela, tijela jedinica lokalne i područne (regionalne) samouprave, te pravne osobe s javnim ovlastima, koje u svom djelokrugu koriste klasificirane i neklasificirane podatke, dakle, koje općenito koriste podatke u svom radu! Savjetnik za informacijsku sigurnost trebao bi, u najširem smislu, biti zaposlen ili imenovan praktično u SVAKOJ općini u Republici Hrvatskoj, počevši od one najmanje, te sva državna tijela uključujući ona najviše razine! Iako je Uredba zamišljena vrlo ambiciozno i naslanja se na ISO 27001 standard, bilo bi zanimljivo vidjeti provode li se mjere koje su njom vrlo detaljno određene, postoje li savjetnici/rukovoditelji informacijskom sigurnošću u državnoj upravi i, općenito, da li je moguće, ukoliko se ova Odredba ne provodi, uopće sustavno regulirati informacijsku sigurnost u državnim tijelima RH, ili se pak ona provodi ad hoc, nesustavno, od slučaja do slučaja? Tko su savjetnici za informacijsku sigurnost za hrvatske općine i sva državna tijela? Ukoliko ih nema, zašto se ne poštuju zakonske odredbe, zašto se sustavno ne provode mjere informacijske sigurnosti i tko je za to odgovoran?

4. Prema Zakonu o zaštiti osobnih podataka, svako tijelo koje obrađuje osobne podatke mora Agenciji za zaštitu osobnih podataka podnijeti obavijest o namjeri uspostavljanja zbirke osobnih podataka, te o namjeri obrade, i to prije nego što se s istom započelo. Moguću štetu snosi ona organizacija koja podatke obrađuje u slučaju nesukladnosti a kazne su do 40.000 Kn! Da li su takve obavijesti poslane Agenciji za sve postojeće instance (kopije) Registra branitelja?

5. Sve navedeno dovodi do činjenice koja u medijima uopće nije bila obrađivana, a to je nepobitno stanje stvari da je informacijska sigurnost u državnim tijelima RH na vrlo niskoj razini, u korporativnoj sferi je situacija nešto bolja (osobito kod većih poduzeća te onih koje se bave high-techom) a najbolja u sektoru koji je pod nadzorom HNB-a (financijski sektor). Nadalje, u konkretnom slučaju, ne samo da se nisu primjenjivale osnovne mjere informacijske sigurnosti nad konkretnim podacima, nego nisu bili štićeni niti komunikacijski kanali jer je očito kako su se izrađivale razne parcijalne baze koje su voluntaristički tretirane prema nečijim potrebama. Opet, radi li se uopće kod Registra branitelja o jednoj, jedinstvenoj zbirci podataka?

6. Moje osobno mišljenje je da je policija RH vrlo osposobljena za inicijalnu pretragu računalne opreme a istražni suci također dobro informirani o osnovnoj metodologiji koja prethodi računalnoj forenzici i nužnim tehničkim postupcima. Bez ulaženja u konkretan slučaj, što mi nalaže profesionalna etika, htio bih reći da je vrlo vjerojatno osumnjičenom oduzeta računalna oprema za koju se sumnja da je možda korištena u počinjenju kaznenog (?) djela. Već u toj točki može biti angažiran sudski vještak, ali je više vjerojatno da će inicijalnu pretragu vršiti policijski djelatnici (inspektori). Nakon toga, moguće je da istražni sudac naloži vještaku informatičke struke vještačenje koje se obavezno čini u skladu sa zadatkom vještačenja. U toj točki, vještak izuzima dokazni materijal identificiran po policijskim istražiteljima, zadužuje ga i ako se radi o tvrdim diskovima, vrši njihovo kloniranje i analizu kopija te daje svoje mišljenje. aDSL router se oduzima između ostalog zato što se putem njega mogu dokazati korisničko ime i lozinka koji su korišteni za pristup na Internet, osobito ako je u router a ne bridge modu gdje bi se takvi tragovi mogli naći na poveznici za spajanje na računalu. Vještak mora u roku (obično 30 dana) odgovoriti na zadatak vješačenja, ukoliko se radi o vrlo kompleksnom slučaju, može surađivati i s policijom, i s vanjskim institucijama (npr. fakulteti) ili drugim stručnjacima, no o tome mora obavijestiti suca koji je naložio vještačenje i o svakom koraku se dogovoriti s njim.

7. Pitanje je da li u RH kod nadležnih tijela postoji svijest o tome da je posljednja linija obrane države u danaÅ¡nje doba postao **informacijski suverenitet**, a to najbolje iz prakse zna korporativni sektor kod kojega se može “u nulama” izraziti korist od čuvanja vlastitih informacija.

Jasno je kako je ovo pitanje primarno političko, no sa stajališta struke, radi se vjerojatno o krajnjem nemaru po pitanju temeljnih pravila informacijske sigurnosti koji svoje korijene vuče u biti od prvog dana kada je takva zbirka oformljena, odnosno od dana kada su se na nju počeli (ne!) primjenjivati zakonski propisi koji se odnose na područje informacijske sigurnosti.

05/04/2010 // Posted in ICT sigurnost  |  No Comments

Pet neugodnih istina o upotrebi novih tehnologija

(preuzeto s Lider Press, 05.04.2010. godine)

U vremenu u kojem pojedinca okružuje tehnologija, mnogi ljudi ne vode računa o onim neugodnim istinama i činjenicama vezanima za tehnologije koje koriste, dok još veći broj njih zapravo za njih niti ne zna. Za one, pak, koji ipak brinu o svojoj privatnosti evo izbor pet neugodnih istina o svakodnevnoj tehnologiji i rješenja kako se s njima nositi.

Recimo, privatno surfanje, opcija koju nude svi relevantni pretraživači interneta, poput Firefoxa, Internet Explorera ili Chromeavrlo je pogodna za svakog tko želi spriječiti druge korisnike nekog računala da vide gdje je bio i što je radio, no u širem spektru stvari uopće ne pomaže ostvarivanju anonimnosti na internetu. Svatko tko poželi zabilježiti korisnikovu IP adresu, to može bez problema učiniti neovisno o modu u kojem korisnik pretražuje internet. Dapače, davatelji internetske usluge mogu pratiti i zabilježiti sve što korisnik radi na internetu, a koliko te podatke čuvaju, varira od operatera do operatera. Rješenje: Ako zaista želite surfati anonimno, koristite proxy uslugu (posredničku uslugu) poput Anonymiz-era ili Tora.

Drugi vrlo raširen primjer je internetski gigant Google. Ono što ova kompanija o vama zna ovisi o tome koliko se vi uzdajete u njihove usluge. Informacije koje Google može prikupiti i sačuvati mogu uključivati stranice koje ste posjetili, pretrage koje ste koristili, karte koje ste gledali, vaše kontakte i kalendar, e-mail poruke, povijest chata itd. Vlasti, uz sudski nalog, mogu pristupiti svakome od tih podataka, ali drugi problem predstavlja mogućnost krađe identiteta putem Googlea, kojemu je jedini štit vaše korisničko ime i šifra. Zainteresirani koji to provale, mogu nesmetano koristiti sve ostale Google usluge i vrlo lako preuzeti vaš identitet. Rješenje: Koristite Google Dashboard kako bi vidjeli koje točno informacije dijelite i prilagodite postavke shodno svom strahu od vlade i internetskih zlikovaca. Ojačajte svoju šifru i mijenjajte je svako malo, a u slučaju da vam je hakiran ili ukraden račun, moguće je putem Googleove account recovery usluge vratiti ga. Pored toga, nije loše rizik umanjiti korištenjem nekoliko različitih davatelja ovakvih usluga.

Sljedeća neugodna istina je da sigurnosni softver nije toliko siguran koliko ljudi misle. Stručnjaci kažu kako antivirusni softver i ostali oblici softverske zaštite zapravo ‘uhvate’ samo one manje prijetnje. Sve veći broj grešaka i rupa kod inicijalnog puštanja softvera u optjecaj, u kombinaciji sa sporom reakcijom proizvođača i davatelja usluga, znači da i najbolji i najažuriraniji sigurnosni programi zaostaju za internetskim zlikovcima. Rješenje: Bez sigurnosnog softvera se jednostavno ne može, ali je uputno zato poduzeti dodatne korake za zaštitu, poput čuvanja podataka na šifriranim diskovima i instaliranja VMwarea, ili sličnog softvera koji omogućuje stvaranje virtualnih strojeva i bacanje istih ako postanu inficirani.

Komunikacija putem web kamera postala je u posljednje vrijeme iznimno popularna, ali je i vrlo nesigurna. Slučajeva u kojima se na daljinu pali web kamera bez vlasnikovog znanja ili dopuštenja je bezbroj. Kao i gotovo sve u svijetu informatike, preuzimanje kontrole nad nečijom kamerom prilično je lak posao za nekog tko zna što radi, no, srećom, i riješenje je jednostavno. Rješenje: Ako imate eksternu kameru ištekajte je kad je ne koristite. Ako je pak, ugrađena, što je čest slučaj s laptopima, jednostavno prekrijte leću.

Vjerojatno najvažnija činjenica koju svi informatički osviješteni ljudi trebaju imati u vidu je da ‘internet nikad ne zaboravlja’. Neugodnost na ulici ili općenito u stvarnom životu lako se, i relativno brzo može zabo-raviti, no s internetom je priča nešto drugačija. Stvari koje ste pisali u mailovima, objavljivali na društvenim mrežama ili radili na kameri mogu ostati zauvijek negdje zabilježene i progoniti vas ostatak života. Naime, premještanjem velike količine podataka s tvrdih diskova korisnika na internetski oblak, dakle na servere negdje tamo daleko, korisnik je izgubio mogućnost nadzora nad njima. Rješenje: Vrlo interesantno, nalik špijunskim parodijama. Softver imena Vanish ugrađuje mehanizam za samouništenje u podatke. Iako je softver još u testnoj fazi, moguće je skinuti open-source Firefox plug-in na internetu.

Naravno ovo je tek manji dio istina o tehnologiji, ali zato dovoljno indikativan za svakog tko vodi više računa o svojoj privatnosti u tehnološkom dobu. S druge strane, tolika izloženost tehnologiji znači i da čovjek usprkos mogućim mjerama opreza nikada zapravo ne može biti zaštićen u potpunosti od zloporaba. Ipak, vođenje računa može pomoći smanjivanju neugodnosti i opasnosti. (Vanja Figenwald)
5.4.2010 09:15

Dokumentarac “Povijest hakiranja”

29/03/2010 // Posted in ICT sigurnost  |  No Comments

Administratorska prava i sigurnost računalnih sustava

09/02/2010 // Posted in ICT sigurnost  |  No Comments

Većina ljudi u ne-poslovnim okruženjima koristi osobna računala kao administrator što često može uzrokovati zaraze računalnim virusima i trojancima jer omogućava nevoljno pokretanje malicioznih izvršnih datoteka. U praksi, ljudi se čude kako je moguće da usprkos firewallu, antivirusnoj zaštiti i antispyware programu dolazi do uništenja podataka na računalu.

Šest godina prisutan utility DropMyRights najbolji je alat za prevenciju ove neželjene pojave, ukoliko se računalo već koristi pod korisničkim računom administratora, osobito za rad na Internetu.

Autor alata je Microsoftov inženjer Michael Howard a teoretska razmatranja istog mogu se naći ovdje, dok se ovdje alat može skinuti za korištenje na lokalnom računalu. Program je posve besplatan.

Predrasude o načinu rada hakera…

09/12/2009 // Posted in ICT sigurnost  |  No Comments

Crypto nerd`s immagination - sudski vještak informatike i telekomunikacija Saša Aksentijević

Tamni Internet

08/12/2009 // Posted in ICT sigurnost  |  No Comments

Tamna strana Interneta - sudski vještak informatike i telekomunikacija Saša Aksentijević

Osim uobicajenog, vidljivog adresnog prostora Interneta kojemu korisnici svakodnevno pristupaju, postoji i drugi, “tamni” Internet, koji je viÅ¡e desetaka puta veći od javno dostupnog Interneta… viÅ¡e o tome u članku The Guardiana.

Najopasniji pojmovi na Internetu

05/12/2009 // Posted in ICT sigurnost  |  No Comments

U ovom dokumentu izložena je detaljna analiza o najopasnijim pojmovima pri pretraživanju na Internetu, koji mogu voditi do siteova koji služe za distribuciju virusa, trojanaca, spywarea, računalnih prijevara itd.

Most Dangerous Search Term Uk

Najopasnije domene na Internetu

03/12/2009 // Posted in ICT sigurnost  |  No Comments

Zanimljivo izvješće McAfee-ja o najopasnijim domenama na Internetu.

Najopasnija domena je ona kamerunska (.cm), zbog sličnosti s komercijalnom domenom (.com). Zatim slijede kineska (.cn), Samoa (.ws), filipinska (.ph) i bivÅ¡a domena Sovjetskog Saveza (.su). Zanimljivo je da je 2008. godine najopasnija bila honkonÅ¡ka domena (.hk), no nakon akcija vlasti tijekom godine sada je pala “tek” na 34-to mjesto.

Hrvatska se napokon po nečemu pozitivnom našla na vrhu ljestvice, što je vjerojatno priznanje radu hrvatskog Carneta. Naime, najsigurnija svjetska domena je japanska (.jp), slijedi je irska domena (.ie), hrvatska (.hr), luksemburška (.lu) i Vanuatu (.vu).

Najsigurnija “nedržavna” domena je .gov.

Mapping Mal Web

Banka.hr – Informacijska sigurnost: Stotinjak prijavljenih incidenata godiÅ¡nje

23/11/2009 // Posted in ICT sigurnost  |  No Comments

Banka.hr – Informacijska sigurnost: Stotinjak prijavljenih incidenata godiÅ¡nje

Posted using ShareThis

1-3% IT budžeta hrvatskih tvrtki ulaže se u informacijsku sigurnost

15/10/2009 // Posted in ICT sigurnost  |  No Comments

“Å tednja na krivom mjestu?
Svega 1-3% IT budžeta hrvatskih tvrtki ulaže se u informacijsku sigurnost

Preko polovice ispitanika najviše pozornosti posvećuje zaštiti od interne prevare, dakle manipulacije podacima od strane vlastitih zaposlenika.
Inicijative za smanjenje troškova u svezi informacijske tehnologije u proteklih su godinu dana najviše utjecale na odluke o razvoju IT odjela u hrvatskim tvrtkama. Uprave u našim tvrtkama ne posvećuju dovoljno pozornosti privatnosti podataka, iako u dosta velikom postotku zajednički s IT menadžerima donose odluke o IT projektima. Svega 1 do 3 posto budžeta namijenjenog IT odjelima u hrvatskim tvrtkama troši se na pitanja informacijske sigurnosti, pokazuje istraživanje konzultantsko-revizorske tvrtke Deloitte Uravnoteženost poslovnih i IT odjela.
Kao i u Hrvatskoj, i u ostatku Europe smanjenje troškova je postalo čimbenik koji najviše utječe na odluke u vezi informacijskih tehnologija. Međutim, s tim u vezi postoje primjetne razlike među regijama u svijetu, što je vjerojatno odraz različitog utjecaja ekonomske krize. Tako na odluke u vezi IT-a na području Sjeverne i Južne Amerike najviše utječu fluktuiranja u cijeni tehnologije, dok u azijskoj regiji pojava novih tehnologija igra značajniju ulogu no drugdje.
“Istraživanje je ukazalo na učestalu praksu tvrtki da odluke u vezi IT-a ne donose sustavno. Čak tri od pet ispitanika na globalnoj razini ističe da se na sastancima uprave nikad ne raspravlja o odlukama vezanim za IT. U Hrvatskoj je situacija nešto bolja, pa polovica ispitanika ističe da uprava odlučuje o razvoju IT odjela zajedno s IT menadžerima,” ističe Ivica Perica, menadžer u Odjelu za upravljanje rizicima u Deloitteu.
Međutim, kad je riječ o informacijskoj sigurnosti, preko polovice ispitanika najviše pozornosti posvećuje zaštiti od interne prevare, dakle manipulacije podacima od strane vlastitih zaposlenika. Najskeptičniji po tom pitanju su ispitanici iz Europe, no primjetan je nedostatak svijesti o stvarnom broju povreda sigurnosti i ozbiljnosti te prijetnje. Budžeti alocirani za IT sigurnost i dalje zaostaju za stvarnim razmjerima prijetnji koje postaju sve kompleksnije, baš kao što se usložnjavaju i regulatorni zahtjevi. Oko 45 posto ispitanika u Hrvatskoj prihvaća outsourcing (eksternalizaciju) IT usluga, dok je u svijetu taj trend prošireniji, budući da se outsourcingom koristi 60 posto tvrtki.
U ovogodiÅ¡njem Deloitteovom istraživanju sudjelovalo je preko 1800 ispitanika iz 28 zemalja diljem svijeta. Ovo je prva godina da su istraživanjem obuhvaćene i hrvatske tvrtke, s udjelom od 4,4 posto u sveukupnom broju kompanija. U istraživanju su sudjelovale tvrtke iz financijskog sektora, proizvodnje, robe Å¡iroke potroÅ¡nje, tehnologije, farmaceutike, javnog sektora, transporta, telekomunikacija, energetike, automobilske industrije, nekretnina i drugih sektora.”

(preuzeto s: Internet Monitor, 15.10.2009.)

Komentar: izbacimo iz analize bankarski i financijski sektor te nekoliko tvrtki koje se bave visokom tehonologijom i naslov bi lako mogao biti “ÄŒak 1-3 promila IT budžeta hrvatskih tvrtki ulaže se u informacijsku sigurnost”.

Curenje informacija

26/09/2009 // Posted in ICT sigurnost  |  No Comments

U dijelu hrvatskih medija prije nekoliko tjedana na senzacionalistički način je prenesena informacija o tome kako je u HEP-u internim dopisom zabranjeno odavanje osobnih informacija o zaposlenicima (u ovom kontekstu, vjerojatno se to odnosi na plaće rukovoditelja).

Zanimljivo je kako se u biti radi o klasičnoj zamjeni teza. ÄŒak i one tvrtke koje nemaju striktne procedure upravljanja informacijskom sigurnošću primjenju po “automatizmu” procedure ili politike tajnosti osobnih podataka zaposlenika, njihovih plaća itd. Zapravo bi bilo bolje postaviti pitanje – Å¡to je točno činio u HEP-u do sada onaj koji je bio zadužen za osiguranje sigurnosti takvih podataka?

Ili možda mediji smatraju kako bi korporacije trebale držati sve svoje podatke na nekakvom front-endu, dostupnom javnosti?

Ovaj mini-slučaj definitivno govori o tome kakvo je stanje informacijske sigurnosti i sigurnosti osobnih podataka u Hrvatskoj danas.

Sigurnost cloud computinga s osvrtom na SaaS (Software as a Service)

18/09/2009 // Posted in ICT sigurnost  |  No Comments

U članku “ZaÅ¡to ISO 27001 (možda) nije dovoljan” osvrnuli smo se na činjenicu kako razvoj sustava koji prate kvalitetu ISMS-a (možda!) ne prati dovoljno brzo tehnoloÅ¡ki razvoj. Naravno, sustavi upravljanja kvalitetom temelje se na fleksibilnosti i tako su “univerzalni” i “uvijek primjenjivi” – dovoljno je reći kako Annex A ne predstavlja definitivni skup kontrola, nego svaka organizacija može dodati kontrole koje nisu u njemu predviÄ‘ene.

Ostavimo za sada po strani ISO sustave i prokomentirajmo npr. SaaS (Software as a Service) koncept koji već nekoliko godina pružaju mnoge softverske kuće u Hrvatskoj i svijetu koje proizvode specijalizirane softvere. Cijela priča izgleda dobro –  softver radi na gotovo svim računalima koja imaju Internet browser tako da nisu potrebna ulaganja u novu opremu, cijena komunikacijskih linkova danas je toliko pala da predstavlja za manje i srednje firme gotovo zanemariv troÅ¡ak u odnosu na sve ostale troÅ¡kove poslovanja a Å¡to je najvažnije, SaaS koncept omogućuje tretiranje računalnog softvera kao usluge, čime se smanjuje potreba za većom količinom novčanih sredstava kojima bi se kupio softver kao stalna imovina, osobito ako je broj računala veći. Upravljanje licencama je isto jednostavno, tako da u slučaju smanjenja ili povećanja poslovne aktivnosti, ovisno o ugovoru, dovoljno je deklarirati povećanu ili smanjenu količinu licenci u sljedećem razdoblju. Naravno, u praksi se pokazalo kako su CIO-i vrlo nezadovoljni implementirani SaaS sustavima o čemu se viÅ¡e može pročitati u ovom članku.

Koncentrirajmo se na trenutak na sigurnost takvih sustava. Mnoge tvrtke u Hrvatskoj koriste SaaS softver za svoje interno računovodstvo, ali i za core business, odnosno CRM i B2B/B2C sustave bez da je ijedna sekunda promiÅ¡ljanja potroÅ¡ena na pitanja kao Å¡to su – gdje su zapravo ti podaci, tko su tvrtke koje pružaju SaaS softver, koja im je reputacija, da li su ugovorom definirane obaveze proizvoÄ‘ača po pitanju kontinuiteta poslovanja, postoje li sustavi oporavka od katastrofe… joÅ¡ gora je situacija kod onih pružatelja aplikativnih rjeÅ¡enja, a takvih je većina, koji svoje aplikacije “hostaju” na stranim serverima, najčešće koristeći najjeftinije solucije kako bi smanjili vlastite troÅ¡kove poslovanja, a koji niti da hoće, ne mogu odgovoriti niti na jedno od postavljenih pitanja.

Na pitanje da li bi povjerili strancu na ulici svoj novčanik, većina onih koji su implementirali takve sustave odgovorili bi niječno, no sudbinu dobrog dijela svog poslovanja povjerili su nepoznatim tvrtkama o kojima ne znaju ništa, koristeći distribuirane sustave obrade podataka o kojima znaju još manje.

Prema tome, svi koji koriste SaaS tehnologiju,trebali bi minimalno koristiti tehniku “dobrog gospodara” i smjernice koje daje Gartner za sigurnost cloud computing sustava ili sustava distribuirane, dislocirane i eksternalizirane obrade podataka.

  1. Adresiranje rizika pristupa podacima – potrebno je znati koje osobe, funkcije ili instance imaju fizički pristup podacima, poÅ¡to su svi podaci u informacijskom oblaku na kraju krajeva ipak negdje fizički sadržani. U okviru toga treba biti siguran kako se pravila fizičkog pristupa podacima u tim tvrtkama uvijek i neizostavno poÅ¡tuju
  2. Potrebno je znati gdje se točno fizički nalaze smješteni podaci odnosno aplikacije, o kojoj se fizičkoj lokaciji odnosno državi radi, te da li se pružatelj usluga serverskog hostinga doista pridržava dogovorenih normi po pitanju sigurnosti podataka (nadam se kako je jasno da sve ovo treba definirati ugovorom a i nezavisnim auditom ako se to smatra potrebnim!)
  3. Potrebno je točno definirati strategije izrade rezervnih kopija, raspoloživnosti podataka te strategije kontinuiteta poslovanja u čitavom lancu, od hostinga, preko proizvođača softvera do samog korisnika
  4. Za slučaj izlaska iz posla bilo koje od uključenih stranaka (pružatelj hostinga, proizvođač softvera, pružatelji telekomunikacijskih interkonekcija), potrebno je ugovorno definirati strategije i postupke kontinuiteta korištenja podataka i usluga, odnosno uvjete prekida pružanja usluga
  5. Potrebno je internim dokumentom definirati potrebne razine usluga kroz interne i vanjske SLA ugovore o čemu će ovisiti i investicije – nije isto da li je potrebna raspoloživost 95, 99 ili 99,99 % vremena.

Tek nakon Å¡to se primijeni ova metodologija uz standardnu ISO 27001 “lingvistiku”, te nakon Å¡to se izradi detaljna analiza rizika uz mjere umanjivanja, uklanjanja ili transfera rizika, moguće je napraviti standardnu “buy or lease”, a u ovom slučaju “own or cloud-away” analizu koja će u večini slučajeva ipak potvrditi razočaranje anketiranih CIO-ova po pitanju isplativosti cloud computinga koji se “isplaćuje na rate” i “nečija je tuÄ‘a briga”.