Može li se regulatornim zahtjevima urediti i unaprijediti informacijska sigurnost? Dijelim mišljenje onih koji nisu sasvim uvjereni u uspjeh takvih inicijativa, no stvari nisu crno-bijele (o tome ću nešto više drugom prilikom). Sada bih ukazao na jedan oblik regulatorne obveze čiji su počeci prisutni već nekoliko godina, a smatram je primjerom učinkovitog zakonskog pritiska na informacijsku sigurnost.
Naime, u SAD-u, točnije u saveznoj državi Kaliforniji, od 2003. godine je na snazi zakon koji propisuje obvezu objave svih sigurnosnih incidenata koji su rezultirali povredom osobnih podataka. Obaveza se odnosi na državne institucije, agencije i tvrtke u privatnom sektoru koji pohranjuju ili obrađuju osobne podatke. To znači da je svaka tvrtka koja je bila žrtva cyber napada i krađe osobnih podataka ili koja je uslijed nemara izgubila npr. backup traku s osobnim podacima, dužna obavijestiti oštećene osobe. Zakon je izazvao značajan učinak jer, pored dodatnog truda koje moraju provesti da bi odgovorile na ovu regulativu, organizacije je više pogodilo potencijalno ugrožavanje reputacije zbog obveza javne objave podataka o incidentima. Primjer Kalifornije slijedila je i većina drugih država, no savezni zakon još nije donesen.
Europska unija slijedi ovu inicijativu ponešto sporijim tempom. Za sada je obveza objave podataka incidentima predviđena samo za telekomunikacijske tvrtke (i ovogodišnje izmjene našeg Zakona o elektroničkim komunikacijama uključuju ove odredbe). Ipak, puno veći učinak imati će najavljene izmjene smjernica o zaštiti osobnih podataka, o kojima se govori u europskoj administraciji. Njima se predviđa obveza objave podataka o incidentima do kojih dolaze i u ne-telekomunikacijskim sektorima - što će imati najveći učinak na sektor financijskih usluga. Trenutno, jedino Njemačka ima na snazi zakon koji sadrži takvu obavezu, a slične obaveze možemo očekivati i u našem zakonodavstvu.
Obveza javne objave podataka o ugrožavanju osobnih podataka svakako je dodatna mjera očuvanja privatnosti, bez obzira što američki primjer sa sobom nosi i neke nejasnoće oko implementacije zakona, pa se od države do države razlikuju uvjeti i rokovi objave, donekle se relativizira samo značenje incidenta... Očekujem da slične nepreciznosti ili nejasnoće, koje će biti rezultat utjecaja lobističkih grupa, možemo očekivati i u europskoj regulativi.
Gledajući na ovu regulativu s pozicije osobe koja se bavi informacijskom sigurnošću, smatram da je upravo praćenje i objava incidenata prava mjera uspješnosti programa informacijske sigurnosti u nekoj tvrtki. Dakle, ono što se može prikriti formalnim ispunjavanjem check-lista tijekom različitih revizija ili certifikacija, vrlo brzo će isplivati na površinu. Pravo vrednovanje informacijske sigurnosti proizlazi iz činjenice je li se neki incident dogodio ili nije. Ostaje samo još jedna prepreka koja se treba riješiti: organizacija stvarno mora znati da se incident dogodio, dakle mora aktivno pratiti i poznavati zbivanja na svojoj mreži i sustavima. Mora ovladati incidentom od prvog trenutka njegovog nastanka. Biti pasivan i čekati da te lupe posljedice incidenta biti će ne samo problem za reputaciju, nego će uključivati i zakonske posljedice.
Na kraju, ukazao bih i na jedan novi moment koji dolazi, ponovo, iz američke regulative. Naime, područje javnog interesa koje stoji iza obveze objave sigurnosnih incidenata širi se od zaštite privatnosti prema korporativnom poslovanju: SEC je donio smjernice prema kojima se tvrtke izlistane na burzi obvezuju objaviti podatke o sigurnosnim incidentima koji mogu utjecati na njihovo poslovanje. Takva odredba je proširenje postojeće obveze objave ne-informatičkih incidenata koji bi mogle utjecati na poslovanje neke tvrtke i cijenu dionice. Naravno, nove smjernice otvaraju mnogo pitanja - prije svega oko kriterija prema kojima se određuje materijalan utjecaj pojedinih informatički incidenata, no čini se da je ovo još jedan dokaz da sigurnosni incidenti mogu imati značajan utjecaj na našu svakodnevnicu.
18.11.11
13.10.11
Insideri: T(r)ajna prijetnja vašim podacima
22.9.2011. sudjelovao sam na petoj konferenciji Sagena Security Day. Na konferenciji sam održao prezentaciju Insideri: T(r)ajna prijetnja vašim podacima. Prezentacija je ovih dana objavljena na stranici konferencije i možete je preuzeti u pdf formatu.
Prezentacija koju sam održao predstavlja sažetak preporuka koje savjetujem u postupku procjene rizika, a odnose se na specifičnu tematiku insidera. Naime, primijetio sam da se mnoge organizacije prioritetno bave događajima koje rezultiraju ugrožavanjem dostupnosti. To je lako objašnjivo: kvarovi opreme, te prekidi ili ispadi infrastrukture su bliži općoj percepciji i lakše ih je opisati. Insideri spadaju u domenu nepoznatoga i nedostaju instrumenti za njihovo dobro opisivanje i procjenu potencijala.
Prezentacija je trajala gotovo 60 minuta i priloženi tekst ne sadrži popratno tumačenje koje sam tom prilikom iznio. Ipak, vjerujem da će vam biti jasne glavne smjernice, a slobodno se javite za sva druga tumačenja.
Prezentacija koju sam održao predstavlja sažetak preporuka koje savjetujem u postupku procjene rizika, a odnose se na specifičnu tematiku insidera. Naime, primijetio sam da se mnoge organizacije prioritetno bave događajima koje rezultiraju ugrožavanjem dostupnosti. To je lako objašnjivo: kvarovi opreme, te prekidi ili ispadi infrastrukture su bliži općoj percepciji i lakše ih je opisati. Insideri spadaju u domenu nepoznatoga i nedostaju instrumenti za njihovo dobro opisivanje i procjenu potencijala.
Prezentacija je trajala gotovo 60 minuta i priloženi tekst ne sadrži popratno tumačenje koje sam tom prilikom iznio. Ipak, vjerujem da će vam biti jasne glavne smjernice, a slobodno se javite za sva druga tumačenja.
19.6.11
Tržišni principi cyber-napada
Eskalacija sigurnosnih incidenata u svijetu zasigurno je razlog da i naši mediji posvećuju sve veću pažnju ovoj tematici. Tako smo u proteklih desetak dana mogli pročitati ili vidjeti priloge o cyber prijetnjama u Večernjem listu (subotnji dodatak Obzor od 11.6.2011. - link nije dostupan), u Vjesniku od 15.6.2011. i u jednom od prošlotjednih dnevnika HRT-a.
Autori su temi pristupili uz puni respekt prema ozbiljnosti ovih prijetnji i ukazujući na visoku izloženost modernog načina poslovanja cyber-napadima. Meni je osobito zanimljiv bio pokušaj određivanja uzroka eskalacije sigurnosnih incidenata.
Vjesnik, tako, citira jednog dužnosnika međunarodne organizacije koji, misleći na cyber-napadače, kaže da su "ti kriminalci od nas pametniji deset ili čak stotinu puta" čime ujedno opravdava znatno zaostajanje žrtava cyber-napada.
Bez imalo namjere za podcjenjivanjem cybernapadača (njihova "kreativna" jezgra zaista posjeduju zavidno znanje), smatram da na uzroke treba gledati iz suprotne vizure - iz vizure sustava (organizacija, tvrtki, institucija) čiji su sustavi izloženi bilo kakvom obliku cyber-prijetnji. Gledajući, dakle, iz pozicije organizacije koja mora graditi svoju obranu zaključujem da poslovni model koji stoji iza zaštitnih i proaktivnih procesa informacijske sigurnosti sadrži niz slabosti u odnosu na poslovni model koji stoji iza modela napadačke (kriminalne) informacijske sigurnosti (odnosno anti-sigurnosti). Glavna slabost se odnosi na nerazmjernu motivaciju osoba na suprotnim stranama.
Cyber napadači su izuzetno motivirani, s jakim financijskim temeljima i u pravilu s izraženim osobnim materijalnim koristima. Kada se to spoji s odgovarajućim vještinama, bojim se da za njih nema nedostižnih ciljeva.
S druge strane, u prosječno ili čak nadprosječno osvještenoj tvrtki ili organizaciji, ne postoji puna motiviranost upravljačkih struktura za davanje sigurnosnih inicijativa. Čak i ako postoji grupa kompetentnih pojedinaca na operativno/taktičkoj razini, vrlo je česta situacija da se njihov entuzijazam i agilnost tope u sudaru s činovničkim mentalitetom i pristupom. Možda ste se i vi sreli sa slučajevima da management daje potporu samo najnužnijim mjerama, propuštajući uzeti ozbiljno novonastupajuće prijetnje i propuštajući prepoznati sve moguće posljedice. Rezultat takve prakse je zaostajanje otpornosti na cyber-napade, naročito u elementima gdje dominira ljudski faktor.
Dakle s jedne strane imamo "cyber-underground" institucije koje dobro znaju što žele i kako će to postići, a s druge strane imamo organizacije koje su njihove predodređene žrtve. Možemo ići i korak dalje i reći da se uspješnost cyber-napadača temelji na principima tržišne ekonomije, a da se zaštitna informacijska sigurnost temelji na "dogovornoj" ekonomiji.
Autori su temi pristupili uz puni respekt prema ozbiljnosti ovih prijetnji i ukazujući na visoku izloženost modernog načina poslovanja cyber-napadima. Meni je osobito zanimljiv bio pokušaj određivanja uzroka eskalacije sigurnosnih incidenata.
Vjesnik, tako, citira jednog dužnosnika međunarodne organizacije koji, misleći na cyber-napadače, kaže da su "ti kriminalci od nas pametniji deset ili čak stotinu puta" čime ujedno opravdava znatno zaostajanje žrtava cyber-napada.
Bez imalo namjere za podcjenjivanjem cybernapadača (njihova "kreativna" jezgra zaista posjeduju zavidno znanje), smatram da na uzroke treba gledati iz suprotne vizure - iz vizure sustava (organizacija, tvrtki, institucija) čiji su sustavi izloženi bilo kakvom obliku cyber-prijetnji. Gledajući, dakle, iz pozicije organizacije koja mora graditi svoju obranu zaključujem da poslovni model koji stoji iza zaštitnih i proaktivnih procesa informacijske sigurnosti sadrži niz slabosti u odnosu na poslovni model koji stoji iza modela napadačke (kriminalne) informacijske sigurnosti (odnosno anti-sigurnosti). Glavna slabost se odnosi na nerazmjernu motivaciju osoba na suprotnim stranama.
Cyber napadači su izuzetno motivirani, s jakim financijskim temeljima i u pravilu s izraženim osobnim materijalnim koristima. Kada se to spoji s odgovarajućim vještinama, bojim se da za njih nema nedostižnih ciljeva.
S druge strane, u prosječno ili čak nadprosječno osvještenoj tvrtki ili organizaciji, ne postoji puna motiviranost upravljačkih struktura za davanje sigurnosnih inicijativa. Čak i ako postoji grupa kompetentnih pojedinaca na operativno/taktičkoj razini, vrlo je česta situacija da se njihov entuzijazam i agilnost tope u sudaru s činovničkim mentalitetom i pristupom. Možda ste se i vi sreli sa slučajevima da management daje potporu samo najnužnijim mjerama, propuštajući uzeti ozbiljno novonastupajuće prijetnje i propuštajući prepoznati sve moguće posljedice. Rezultat takve prakse je zaostajanje otpornosti na cyber-napade, naročito u elementima gdje dominira ljudski faktor.
Dakle s jedne strane imamo "cyber-underground" institucije koje dobro znaju što žele i kako će to postići, a s druge strane imamo organizacije koje su njihove predodređene žrtve. Možemo ići i korak dalje i reći da se uspješnost cyber-napadača temelji na principima tržišne ekonomije, a da se zaštitna informacijska sigurnost temelji na "dogovornoj" ekonomiji.
15.6.11
Novi problemi za MMF
Nakon poznatih događaja s bivšim glavnim direktorom, Međunarodni monetarni fond je upao u nove probleme. Prije nekoliko dana je objavljeno da su postali žrtvom sofisticiranog i po svemu sudeći ozbiljnog cyber napada. Napad nema veze s bivšim direktorom, a tek će se vidjeti (možda) je li ima veze s krađom podataka u tvrtki RSA. Naravno, predstavnici MMF-a su opovrgli ovu teoriju, no znakovito je da su prije tjedan dan najavili svojim zaposlenicima da mijenjaju postojeće SecurID tokene (ovdje treba spomenuti da je tvrtka RSA nedavno savjetovala svojim korisnicima da zamjene ili opozovu svoje SecurID tokene, a što je, izgleda, jedini dobar odgovor na nedavnu krađu protokola ovih autentikacijskih uređaja).
Ipak, veza sa kompromitacijom SecurID tokena je za sada samo u domeni pretpostavki. O napadu na MMF je za sada procurilo jako malo informacija. Kako se čini, MMF je bio žrtva ciljanog phishing napada ("spear-phishing"). Netko od njegovih zaposlenika bio je prevarom naveden na spuštanje posebno iskrojenog malicioznog programa koji je neokrznut prošao pored antivirusnih sustava. Izgleda da je napad bio izuzetno uspješan i da je barem jedno osobno računalo bilo kompromitirano dulje vrijeme (neki tvrde i nekoliko mjeseci). Napadači su za to vrijeme bili u prilici spustiti mnoštvo povjerljivih i veoma osjetljivih informacija i statističkih podataka o državama članicama MMF-a. MMF, naravno, nije objavio ni slova o prirodi ukradenih podataka.
Napad na MMF je prvi javno dostupan primjer da se interes dobro motiviranih napadača, najčešće državno sponzoriranih (ipak, tvrdnju da Kina stoji iza napada na MMF treba za sada uzeti s rezervom), pomiče s high-tech tvrtki i vojne industrije na financijsko tržište, pri čemu se cilja ne na osobne podatke i kreditne kartice, nego na značajne poslovne informacije.
Područje koje se do sada vezivalo za insiderske napade postaje dostupno i vanjskim prijetnjama.
Ipak, veza sa kompromitacijom SecurID tokena je za sada samo u domeni pretpostavki. O napadu na MMF je za sada procurilo jako malo informacija. Kako se čini, MMF je bio žrtva ciljanog phishing napada ("spear-phishing"). Netko od njegovih zaposlenika bio je prevarom naveden na spuštanje posebno iskrojenog malicioznog programa koji je neokrznut prošao pored antivirusnih sustava. Izgleda da je napad bio izuzetno uspješan i da je barem jedno osobno računalo bilo kompromitirano dulje vrijeme (neki tvrde i nekoliko mjeseci). Napadači su za to vrijeme bili u prilici spustiti mnoštvo povjerljivih i veoma osjetljivih informacija i statističkih podataka o državama članicama MMF-a. MMF, naravno, nije objavio ni slova o prirodi ukradenih podataka.
Napad na MMF je prvi javno dostupan primjer da se interes dobro motiviranih napadača, najčešće državno sponzoriranih (ipak, tvrdnju da Kina stoji iza napada na MMF treba za sada uzeti s rezervom), pomiče s high-tech tvrtki i vojne industrije na financijsko tržište, pri čemu se cilja ne na osobne podatke i kreditne kartice, nego na značajne poslovne informacije.
Područje koje se do sada vezivalo za insiderske napade postaje dostupno i vanjskim prijetnjama.
Pretplati se na:
Postovi (Atom)