29.4.09

Revizija u razdoblju pohlepe

Jedna od tema koje rado opisujem na ovim stranicama su slučajevi insajderskog računalnog kriminala. Pri tome obrađujem publicirane i, uglavnom, inozemne slučajeve (što naravno uopće ne znači da i mi nemamo konje za trku).

Najfriškiji i veoma ilustrativan primjer vezan je za posrnulu indijsku outsourcing tvrtku Satyam. Za neupućene, Satyam je jedan od najvećih primjera korporativne prijevare u posljednje vrijeme. Na naslovnice su izbili početkom godine, kada je utvrđeno da su u duljem razdoblju iskazivali napuhane poslovne rezultate. Klupko se počelo razmotavati nakon prošlogodišnjih sumnjivih poslovnih poteza kojima su izazvali dioničare.

Neću ulaziti u financijske detalje same prijevare, više o možete naći na ovoj stranici. Za nas priča počinje izvještajem o analizi ovog slučaja koji je objavljen početkom ovog tjedna. Kako javlja InformationWeek, Satyam je generirao oko 7.500 lažnih faktura klijentima čime je poslovne rezultate pokazao znatno boljim nego što su bili (i što je naravno utjecalo na cijenu dionica ove tvrtke). Za ove stranice je osobito zanimljiv način generiranja ovih faktura: Satyam (ponavljam još jednom - IT outsourcing firma sa 40.000 zaposlenih, a razvoj aplikacija im je jedna od središnjih kompetencija) nedozvoljeno je modificirao vlastite poslovne aplikacije i omogućio kreiranje lažnih faktura ali tako da njihovo postojanje ne izazove sumnju i tako da budu izdvojene od realnih transakcija (pogađate zašto: lažne fakture nisu nikad bile naplaćene). Na taj način je prikazan prihod od 946 milijuna USD.

Ovaj slučaj je dobar primjer kojim revizori uvijek mogu opravdati svoje inzisitranje na reviziji postupka upravljanja aplikativnim promjenama, što se često smatra dosadnim inzistiranjem na formalnim detaljima. Naime, veoma je teško provesti striktnu kontrolu procesa upravljanja promjenama. Mjere mogu biti presložene za manje i srednje organizacije (izolacija razvojne, testne i produkcijske okoline; zaštita programskih biblioteka; stroga definicija i dodjela korisničkih prava; odvajanje pristupnih privilegija; formalna procedura...), što i za velike organizacije često predstavlja ograničenje.

No, ovaj slučaj pokazuje i nedostatke same revizije provedene u Satyamu.

Prvi nedostatak se odnosi na reviziju procesa upravljanja promjenama u Satyamu. Ne znam koliko je detaljno napravljena revizija ovog procesa, no kada se ovakva prijevara dogovori na najvišoj razini i kada je u scenarij uključeno više ljudi s odgovarajućim pravima (a očigledno je da je u Satyamu bio takav slučaj), onda redovita revizija općih kontrola IS-a teško može dati rezultate.

Druga revizorska greška se zapravo pokazala ključnom: revizor je propustio, a svakako je morao, utvrditi da 7.500 faktura nije pokriveno prihodom na računu u banci.

Granica između financijske revizije i revizije informacijskih sustava je, govoreći rječnikom politike, veoma meka. Poznavanje i jedne i druge strane medalje je neohodno za uspjeh revizije.

No, ipak treba reći da je prijevara u Satyamu ponajprije bila omogućena pohlepom i prividnim dobrim rezultatima koji su, uostalom kao i u drugim segmentima ali u istim vremenima, zasigurno spriječili dioničare da na vrijeme pogledaju istinu.

21.4.09

"Uknown Uknowns"

Prošli sam tjedan pisao o izvještaju tvrtke Verizon. Jedan od najzanimljivijih odlomaka tog izvještaja nosi naslov "Uknown Uknowns". O čemu se radi?

Istražitelji računalnih incidenata su još prije nekoliko godina uočili zajednički uzorak u mnogim slučajevima: incidenti su omogućeni ili barem olakšani prisutnošću nekih resursa informacijske infrastrukture koji su u pravilu trebali biti poznati odgovornim osobama, ali koji za koje nitko nije znao. Tako su na mreži postojala računala za koje nitko nije znalo, osjetljivi podaci su se nalazili neočekivanim lokacijama, resursi su komunicirali neuobičajenim mrežnim konekcijama ili servisima, a nepoznati korisnički računi su bili redovita pojava. Ove su činjenice opisane kao "Uknown Uknowns", a uzrokovane su kako slučajnošći i nesmotrenošću tako i tendencioznim i zlonamjernim djelovanjem. Zajedničko im je da svojim prisustvom u velikoj mjeri olakšavaju sigurnosne prijetnje.

Možda uzorak iz Verizonovog istraživanja i nije do kraja reprezentativan da bi se izvukli definitivni zaključci, no i u ovom slučaju opžemo govoriti o dobroj ilustraciji prakse koja je sasvim sigurno stvarnost u mnogim okolinama. Uostalom, na brojnim sam se primjerima i sam osvjedočio u točnost ovih tvrdnji.

Kako se obraniti od nepoznatog?

Napore treba usmjeriti u dva pravca. S jedne strane, potrebno je redovito provjeravati podudaraju li se konfiguracijske postavke kritičnih informacijskih resursa s propisanim standardnim specifikacijama. S druge strane, potrebno je kontinuirano pratiti sve događaje i na vrijeme reagirati na neovlaštene promjene u konfiguraciji sustava.

Ovo je puno lakše napisati nego provesti. Provjera konfiguracijskih parametara podrazumijeva, na primjer kod Windows Server platforme, kontrolu nekoliko stotina konfiguracijskih parametara, pr čemu se ovi parametri prilično razlikuju po raznovrsnosti i kompleksnosti. Nadalje, praćenje događaja zahtjeva značajne resurse i koncetraciju stručnosti. Naravno, ni jedan od ovih zahtjeva ne može se uspješno provoditi bez specijaliziranih alata.

Svijest o informacijskoj sigurnosti doživjela je značajne poticaje u našem su okruženju tijekom nekoliko posljednih godina. No, sada nam predstoji slijedeća stepenica: iz dokumenata, pravilnika i certifikata potrebno je evoluirati u dobro upravljiv sustav čija će se sigurnosna uspješnost moći točno izmjeriti u svakom trenutku, a odstupanja prepoznati u realnom vremenu.

Do onda, biti ćete u prilici upoznati "Uknown Uknowns".

17.4.09

Sezona izvještaja

Čini se da je ovaj dio godine razdoblje objave različitih izvještaja i rezultatata istraživanja tržišta o stanju sigurnosti informacijskih sustava. Ove izvještaje, naravno, treba uzimati s dozom opreza (ipak, iza njih stoje i PR uredi), no neki od ovih dokumenata svakako predstavljaju zanimljivo štivo pa ih svima preporučujem.

Što nam je friško na raspolaganju?

Ovogodišnji "Data Breach Investigations Report" tvrtke Verizon je svakako najzanimljiviji tekst ove vrste koji se pojavio u zadnje vrijeme. Temeljen je na sigurnosnim incidentima u čijoj su istrazi sudjelovali stručnjaci Verizona tijekom 2008. godine. Obrađuje, dakle, 90 konkretnih slučajeva i nudi veoma zanimljive i poticajne zaključke. Iako zbog izbora uzorka (ograničen je na slučajeve gdje su sudjelovali Verizonovi istražitelji) ne bi trebalo izvlačiti generalne zaključke, mislim da nećemo pogriješiti ako izvještaj sagledamo i na takav način.

Vjerujem da će svatko od vas pročitati izvještaj na svoj način, no slijedeći podaci mi izgledaju osobito zanimljivo:
  • Čak 91% incidenata na neki je način povezano s organiziranim kriminalom
  • Većina je incidenata rezultat djelovanja više od jednog uzroka, pri čemu su tehničke (a zapravo ljudske) pogreške te djelovanje hackera zastupljeni u oko dvije trećine slučajeva, a maliciozni programi u nešti više od trećine slučajeva
  • Čak dvije trećine incidenata je otkriveno na temelju informacija koje su stigle izvan same pogođene organizacije (dakle od trećih strana, klijenata, partnera...), a ispod 10% incidenata je otkriveno metodama koje bi trebale biti temelj proaktivnog i preventivnog djelovanja (analiza log zapisa i redovita revizija)
  • Nešto više od četvrtine incidenata je raspodjeljeno između "malih/srednjih" tvrtki (od 11 do 100 zaposlenih) i "velikih" tvrtki (od 1001 do 10000 zaposlenih) - dakle, ne vrijedi pravilo da su sigurnosni incidenti rezervirani za velike tvrtke

Drugi zanimljiv dokument na koji vas upućujem je redoviti izvještaj tvrtke Symantec - Internet Security Threat Report Volume XIV, a odnosi se na podatke iz 2008. godine. Ovaj izvještaj se temelji na različitoj metodologiji od izvještaja tvrtke Verizon, pa su podaci i zaključci usmjereni u drugom pravcu, no svakako možemo reći da se oba izvještaja upotpunjuju.

Symantec je napravio svoj izvještaj na temelju podataka koji je prikupio u razgranatoj mreži senzora smještenih širom svijeta i iz povratnih informacija koje je prikupio iz svojih sigurnosnih programa ili servisa. Symantecov se izvještaj bavi prijetnjam i ranjivostima, ne i registriranim (i istraženim) konkretnim incidentima, pa su rezultati osobito zanimljivi za one koji žele detaljnije analizirati uzroke sigurnosnih rizika.

Na stotinjak stranica naći ćete mnoštvo podataka, a ovdje iznosim samo neke
  • Symantec je evidentirao 5491 novu ranjiovost u 2008. od kojih se 2% smatra visoko kritičnim
  • 80% ranjivosti smtra se lako iskoristivim (u 2007. bilo ih je 74%)
  • 63% ranjivosti bilo je vezano za web aplikacije
  • U 2008. bilo je 265% više opisa novih malicioznih programa ("signatures") u odnosu na 2007.
  • Trojanci čine 68% od Top 50 malicioznih programa u 2008. godini
  • Spam je porastao za 192% u odnosu na proteklu godinu

Ugodno čitanje!