Upravljanje informacijskim rizicima

Goli u shopping centru

2012-02-11T21:26:00.001+01:00

"To je isto kao da dođete u samoposlugu, uzmete neke artikle i kažete Ja bih to uzeo, to je moje ljudsko pravo da se hranim" kazao je, prema današnjem Jutarnjem listu, predsjednik Josipović, opravdavajući svoju potporu sporazumu ACTA.

Zadržimo li istu boju metafore, možemo reći: Zamislite da vas svaki put kada izlazite iz shopping centra zaustavlja zaštitarska služba i prisiljava razodjenuti kako bi provjerili jeste li što ukrali.

Uz puno uvažavanje intelektualnog vlasništva i razumijevajući što znači krađa nečijeg truda, mehanizmi primjene sporazuma ACTA, ali i sporazuma SOPA i PIPA koji su pred donošenjem, znače ugrožavanje općih vrijednosti kao što su sloboda komunikacije i prava na privatnost u korist korporativnih interesa.

Može se lako dokazati da industrija zabave nije prilagodila svoj model rada niti je primijenila raspoložive tehničke mjere koje bi njihov proizvod prilagodili novim uvjetima distribucija i korištenja. Dakle, informatički gledajući, imamo digitalno rješenje koje ne odgovara uspješno na rizike kojima je izložen. Vlasnici ovih proizvoda pokušavaju sporazumom ACTA, prebaciti posljedice ovih rizika, potpuno neopravdano, na populaciju koja možda niti ne koristi ove proizvode.

Sigurnosni pokazatelji o računalnom kriminalitetu

2012-01-30T09:00:00.004+01:00

Svaka procjena sigurnosnih rizika u informacijskim sustavima dolazi na sklisko tlo kada se pokušavaju obuhvatiti podaci o računalnim incidentima iz prethodnog razdoblja. Pored podataka vezanih za samu organizaciju u kojoj se procjenjuju rizici, značajni su i statistički podaci o računalnom kriminalu za okruženje u kojem se organizacija nalazi, a osobito podaci o organizacijama sličnog profila.

Jedan članak iz subotnjeg Večernjeg lista uputio me na zanimljivu statistiku koju objavljuje MUP - godišnji izvještaj o temeljnim sigurnosnim pokazateljima za 2011. godinu (ovi su izvještaji dostupni još od 2006. godine). Izvještaj je veoma opsežan, a sadrži statističke pokazatelje za različite oblike kaznenih dijela koje je obrađivao MUP. Pokazatelji su kategorizirani prema odredbama Kaznenog zakona, a računalni kriminal je kategoriziran kao povreda tajnosti, cjelovitosti i dostupnosti računalnih podataka, računalno krivotvorenje i računalna prijevara. Treba napomenuti da je izmjenama Kaznenog zakona iz listopada 2011. računalni kriminal nešto drukčije kategoriziran pa iduće godine možemo očekivati modifikaciju kategorija pokazatelja u ovom izvještaju.

Pokazatelji o računalnom kriminalitetu su obuhvaćeni u grupi pokazatelja kaznenih djela u gospodarskom kriminalitetu. Kaznenih djela povrede tajnosti, cjelovitosti i dostupnosti računalnih podataka je u 2011. godini bilo 40 (u 2010. bilo ih je 9). Nadalje, u prošloj godini je zabilježeno 89 kaznenih djela računalnog krivotvorenje (u 2010. bilo ih je 27). Najbrojnija su djela računalne prijevare, a u 2011. godini bilo ih je 684 (zanimljivo, u 2010. bilo ih je više - 903). Navedena kaznena djela predstavljaju oko 11% svih kaznenih djela gospodarskog kriminaliteta u 2011. godini.

Rekao bih da navedeni postotak nije beznačajan. Nadalje, iako bi se iz pokazatelja moglo zaključiti da je kaznenih djela računalnog kriminaliteta bilo manje u odnosu na 2010. (zbog pada prijavljenih kaznenih djela računalne prijevare) mislim da bi to bio ipak preoptimističan zaključak. Naime, dobro nam je poznato da računalna kriminalna djela često ostaju neotkrivena ili su otkrivena tek nakon duljeg razdoblja. Isto tako, mnogi slučajevi se rješavaju diskretno, bez suvišnog publiciteta. Postoji i jedan drugi pokazatelj, indirektan, koji osporava optimističan zaključak o eventualnom smanjenju kaznenih djela računalnog kriminala: broj klasičnih razbojstava banaka je u 2011. porastao na 37 (od 9 takvih slučajeva u 2010). Naravno, ne radi se o istom profilu počinitelja niti o istom načinu djelovanja, no podatak govori o pojačanoj motivaciji napadača. Također, na istoj stranici, MUP nudi i pregled pokazatelja za razdoblje od 2002. do 2011. i analizirajući pokazatelje za iste kategorije kaznenih djela nedvojbeno se može prepoznati uzlazni trend.

Za nas bi bila posebno zanimljiva detaljna razrada ovih podataka: segment gospodarske djelatnosti u kojima su počinjena kaznena djela računalnog kriminaliteta, omjer "insiderskih" počinitelja u odnosu na vanjske napadače, procjena financijskih gubitaka uzrokovanih ovim kaznenim djelima, načini realizacije, načini otkrivanja, broj računalnih delikata usmjeren na državne institucije... Vjerujem da bi, pored ovih pokazatelja iz nadležnosti MUP-a, istraživanje napravljeno u direktnom kontaktu s gospodrastvom pokazalo podatke i o onim događajama koji nisu prijavljeni odnosno koji su pravovremeno detektirani i otklonjeni, a konačna slika bila bi još nepovoljnija.

Objava sigurnosnih incidenata

2011-11-18T09:20:00.001+01:00

Može li se regulatornim zahtjevima urediti i unaprijediti informacijska sigurnost? Dijelim mišljenje onih koji nisu sasvim uvjereni u uspjeh takvih inicijativa, no stvari nisu crno-bijele (o tome ću nešto više drugom prilikom). Sada bih ukazao na jedan oblik regulatorne obveze čiji su počeci prisutni već nekoliko godina, a smatram je primjerom učinkovitog zakonskog pritiska na informacijsku sigurnost.

Naime, u SAD-u, točnije u saveznoj državi Kaliforniji, od 2003. godine je na snazi zakon koji propisuje obvezu objave svih sigurnosnih incidenata koji su rezultirali povredom osobnih podataka. Obaveza se odnosi na državne institucije, agencije i tvrtke u privatnom sektoru koji pohranjuju ili obrađuju osobne podatke. To znači da je svaka tvrtka koja je bila žrtva cyber napada i krađe osobnih podataka ili koja je uslijed nemara izgubila npr. backup traku s osobnim podacima, dužna obavijestiti oštećene osobe. Zakon je izazvao značajan učinak jer, pored dodatnog truda koje moraju provesti da bi odgovorile na ovu regulativu, organizacije je više pogodilo potencijalno ugrožavanje reputacije zbog obveza javne objave podataka o incidentima. Primjer Kalifornije slijedila je i većina drugih država, no savezni zakon još nije donesen.

Europska unija slijedi ovu inicijativu ponešto sporijim tempom. Za sada je obveza objave podataka incidentima predviđena samo za telekomunikacijske tvrtke (i ovogodišnje izmjene našeg Zakona o elektroničkim komunikacijama uključuju ove odredbe). Ipak, puno veći učinak imati će najavljene izmjene smjernica o zaštiti osobnih podataka, o kojima se govori u europskoj administraciji. Njima se predviđa obveza objave podataka o incidentima do kojih dolaze i u ne-telekomunikacijskim sektorima - što će imati najveći učinak na sektor financijskih usluga. Trenutno, jedino Njemačka ima na snazi zakon koji sadrži takvu obavezu, a slične obaveze možemo očekivati i u našem zakonodavstvu.

Obveza javne objave podataka o ugrožavanju osobnih podataka svakako je dodatna mjera očuvanja privatnosti, bez obzira što američki primjer sa sobom nosi i neke nejasnoće oko implementacije zakona, pa se od države do države razlikuju uvjeti i rokovi objave, donekle se relativizira samo značenje incidenta... Očekujem da slične nepreciznosti ili nejasnoće, koje će biti rezultat utjecaja lobističkih grupa, možemo očekivati i u europskoj regulativi.

Gledajući na ovu regulativu s pozicije osobe koja se bavi informacijskom sigurnošću, smatram da je upravo praćenje i objava incidenata prava mjera uspješnosti programa informacijske sigurnosti u nekoj tvrtki. Dakle, ono što se može prikriti formalnim ispunjavanjem check-lista tijekom različitih revizija ili certifikacija, vrlo brzo će isplivati na površinu. Pravo vrednovanje informacijske sigurnosti proizlazi iz činjenice je li se neki incident dogodio ili nije. Ostaje samo još jedna prepreka koja se treba riješiti: organizacija stvarno mora znati da se incident dogodio, dakle mora aktivno pratiti i poznavati zbivanja na svojoj mreži i sustavima. Mora ovladati incidentom od prvog trenutka njegovog nastanka. Biti pasivan i čekati da te lupe posljedice incidenta biti će ne samo problem za reputaciju, nego će uključivati i zakonske posljedice.

Na kraju, ukazao bih i na jedan novi moment koji dolazi, ponovo, iz američke regulative. Naime, područje javnog interesa koje stoji iza obveze objave sigurnosnih incidenata širi se od zaštite privatnosti prema korporativnom poslovanju: SEC je donio smjernice prema kojima se tvrtke izlistane na burzi obvezuju objaviti podatke o sigurnosnim incidentima koji mogu utjecati na njihovo poslovanje. Takva odredba je proširenje postojeće obveze objave ne-informatičkih incidenata koji bi mogle utjecati na poslovanje neke tvrtke i cijenu dionice. Naravno, nove smjernice otvaraju mnogo pitanja - prije svega oko kriterija prema kojima se određuje materijalan utjecaj pojedinih informatički incidenata, no čini se da je ovo još jedan dokaz da sigurnosni incidenti mogu imati značajan utjecaj na našu svakodnevnicu.

Insideri: T(r)ajna prijetnja vašim podacima

2011-10-13T14:19:00.003+02:00

22.9.2011. sudjelovao sam na petoj konferenciji Sagena Security Day. Na konferenciji sam održao prezentaciju Insideri: T(r)ajna prijetnja vašim podacima. Prezentacija je ovih dana objavljena na stranici konferencije i možete je preuzeti u pdf formatu.

Prezentacija koju sam održao predstavlja sažetak preporuka koje savjetujem u postupku procjene rizika, a odnose se na specifičnu tematiku insidera. Naime, primijetio sam da se mnoge organizacije prioritetno bave događajima koje rezultiraju ugrožavanjem dostupnosti. To je lako objašnjivo: kvarovi opreme, te prekidi ili ispadi infrastrukture su bliži općoj percepciji i lakše ih je opisati. Insideri spadaju u domenu nepoznatoga i nedostaju instrumenti za njihovo dobro opisivanje i procjenu potencijala.

Prezentacija je trajala gotovo 60 minuta i priloženi tekst ne sadrži popratno tumačenje koje sam tom prilikom iznio. Ipak, vjerujem da će vam biti jasne glavne smjernice, a slobodno se javite za sva druga tumačenja.

Tržišni principi cyber-napada

2011-06-19T10:33:00.011+02:00

Eskalacija sigurnosnih incidenata u svijetu zasigurno je razlog da i naši mediji posvećuju sve veću pažnju ovoj tematici. Tako smo u proteklih desetak dana mogli pročitati ili vidjeti priloge o cyber prijetnjama u Večernjem listu (subotnji dodatak Obzor od 11.6.2011. - link nije dostupan), u Vjesniku od 15.6.2011. i u jednom od prošlotjednih dnevnika HRT-a.

Autori su temi pristupili uz puni respekt prema ozbiljnosti ovih prijetnji i ukazujući na visoku izloženost modernog načina poslovanja cyber-napadima. Meni je osobito zanimljiv bio pokušaj određivanja uzroka eskalacije sigurnosnih incidenata.

Vjesnik, tako, citira jednog dužnosnika međunarodne organizacije koji, misleći na cyber-napadače, kaže da su "ti kriminalci od nas pametniji deset ili čak stotinu puta" čime ujedno opravdava znatno zaostajanje žrtava cyber-napada.

Bez imalo namjere za podcjenjivanjem cybernapadača (njihova "kreativna" jezgra zaista posjeduju zavidno znanje), smatram da na uzroke treba gledati iz suprotne vizure - iz vizure sustava (organizacija, tvrtki, institucija) čiji su sustavi izloženi bilo kakvom obliku cyber-prijetnji. Gledajući, dakle, iz pozicije organizacije koja mora graditi svoju obranu zaključujem da poslovni model koji stoji iza zaštitnih i proaktivnih procesa informacijske sigurnosti sadrži niz slabosti u odnosu na poslovni model koji stoji iza modela napadačke (kriminalne) informacijske sigurnosti (odnosno anti-sigurnosti). Glavna slabost se odnosi na nerazmjernu motivaciju osoba na suprotnim stranama.

Cyber napadači su izuzetno motivirani, s jakim financijskim temeljima i u pravilu s izraženim osobnim materijalnim koristima. Kada se to spoji s odgovarajućim vještinama, bojim se da za njih nema nedostižnih ciljeva.

S druge strane, u prosječno ili čak nadprosječno osvještenoj tvrtki ili organizaciji, ne postoji puna motiviranost upravljačkih struktura za davanje sigurnosnih inicijativa. Čak i ako postoji grupa kompetentnih pojedinaca na operativno/taktičkoj razini, vrlo je česta situacija da se njihov entuzijazam i agilnost tope u sudaru s činovničkim mentalitetom i pristupom. Možda ste se i vi sreli sa slučajevima da management daje potporu samo najnužnijim mjerama, propuštajući uzeti ozbiljno novonastupajuće prijetnje i propuštajući prepoznati sve moguće posljedice. Rezultat takve prakse je zaostajanje otpornosti na cyber-napade, naročito u elementima gdje dominira ljudski faktor.

Dakle s jedne strane imamo "cyber-underground" institucije koje dobro znaju što žele i kako će to postići, a s druge strane imamo organizacije koje su njihove predodređene žrtve. Možemo ići i korak dalje i reći da se uspješnost cyber-napadača temelji na principima tržišne ekonomije, a da se zaštitna informacijska sigurnost temelji na "dogovornoj" ekonomiji.

Novi problemi za MMF

2011-06-15T22:24:00.004+02:00

Nakon poznatih događaja s bivšim glavnim direktorom, Međunarodni monetarni fond je upao u nove probleme. Prije nekoliko dana je objavljeno da su postali žrtvom sofisticiranog i po svemu sudeći ozbiljnog cyber napada. Napad nema veze s bivšim direktorom, a tek će se vidjeti (možda) je li ima veze s krađom podataka u tvrtki RSA. Naravno, predstavnici MMF-a su opovrgli ovu teoriju, no znakovito je da su prije tjedan dan najavili svojim zaposlenicima da mijenjaju postojeće SecurID tokene (ovdje treba spomenuti da je tvrtka RSA nedavno savjetovala svojim korisnicima da zamjene ili opozovu svoje SecurID tokene, a što je, izgleda, jedini dobar odgovor na nedavnu krađu protokola ovih autentikacijskih uređaja).

Ipak, veza sa kompromitacijom SecurID tokena je za sada samo u domeni pretpostavki. O napadu na MMF je za sada procurilo jako malo informacija. Kako se čini, MMF je bio žrtva ciljanog phishing napada ("spear-phishing"). Netko od njegovih zaposlenika bio je prevarom naveden na spuštanje posebno iskrojenog malicioznog programa koji je neokrznut prošao pored antivirusnih sustava. Izgleda da je napad bio izuzetno uspješan i da je barem jedno osobno računalo bilo kompromitirano dulje vrijeme (neki tvrde i nekoliko mjeseci). Napadači su za to vrijeme bili u prilici spustiti mnoštvo povjerljivih i veoma osjetljivih informacija i statističkih podataka o državama članicama MMF-a. MMF, naravno, nije objavio ni slova o prirodi ukradenih podataka.

Napad na MMF je prvi javno dostupan primjer da se interes dobro motiviranih napadača, najčešće državno sponzoriranih (ipak, tvrdnju da Kina stoji iza napada na MMF treba za sada uzeti s rezervom), pomiče s high-tech tvrtki i vojne industrije na financijsko tržište, pri čemu se cilja ne na osobne podatke i kreditne kartice, nego na značajne poslovne informacije.

Područje koje se do sada vezivalo za insiderske napade postaje dostupno i vanjskim prijetnjama.

Dva teksta

2011-06-07T22:45:00.003+02:00

Unatrag godinu dana (i koj mjesec više) objavio sam dva teksta u časopisu Banka, o čemu sam vas i obavijestio na ovim stranicama. Evo, tek sada objavljujem pdf verzije ovih članaka.

Tekst "Što je privatno, a što javno" potražite na ovdje, a tekst "Zeus bog računalnih prijevara" ovdje.

Preko RSA do zvijezda!

2011-05-28T15:18:00.009+02:00

Za ovaj napis sam namjeravao izabrati jednu zanimljivu temu koja bi nadoknadila moju inertnost u objavi tekstova u prvih nekoliko mjeseci. Tema je morala na određeni način ilustrirati zbivanja u informacijskoj sigurnosti tijekom ovog razdoblja. Izbor je pao na slučaj kompromitacije američke tvrtke RSA, odnosno na krađu znanja i povjerljivih informacija o funkcioniranju sustava SecurID. Za neupućene, SecurID je tehnologiji koja omogućuje autentikaciju korisnika informacijskih servisa jednokratnim lozinkama koje se generiraju namjenskim uređajima - "tokenima" (veliki broj naših korisnika Internet bankarstva koristi sličnu tehnologiju prilikom prijave na web servere svojih banaka).

Naime, u ožujku ove godine nepoznati napadači (za koje se pretpostavlja da dolaze iz Kine) proveli su sofisticirani Advanced PersistentThreat (APT) kojima se prije puno mjeseci ciljalo na Google i druge značajne američke tvrtke. Napadaći na tvrtku RSA, kako se tvrdi, došli su do povjerljivih podataka tvrtke, uključujući i značajne informacije o funkcioniranju SecurID tehnologije. RSA je, naravno, pokušao umanjiti procjene o nastaloj šteti.

No, prigodno za ovaj tekst kojim želim potvrditi kontinuitet ovog bloga, napad iz ožujka nepsoredno se veže za friške slučajeve iz svibnja.

Prije nego što nastavim priču, vrijedi pogledati kako je tekao napad na RSA.

Napadači su u prvoj fazi napada identificirali neke zaposlenike tvrtke RSA i prema njima usmjerili mail poruke s posebno konstruiranom xls tablicom. Ova tablica je sadržavala unikatni maliciozni kod koji je iskorištavao zero-day ranjivost u programu Adobe Flash (Adobe je tek kasnije objavio popravak za ovu ranjivost). Uspješnom realizacijom prve faze napada, napadači su ovladali napadnutim računalima, instalirali program za udaljenu administraciju te nastavili temeljito pročešljavati dostupna računala. Ciljali su na ponajprije na podatke o korisničkim računima koji bi im omogućili daljnju propagaciju mrežom tvrtke RSA. I ta faza je bila uspješna pa je napad uspješno, sa stajališta napadača, završio prebacivanjem velikih broja datoteka na udaljene servere FTP protokolom.

RSA je priznao da napad može kompromitirati uspješnost SecurID tokena i dao je preporuke svojim korisnicima o dodatnim sigurnosnim mjerama koje preporučuje u ovoj situaciji. Radilo se uglavnom o standardnim proceduralnim preporukama koje se primjenjuju u kontroli pristupa.

Sada se vraćamo u svibanj.

Cijeli bi slučaj RSA možda i pao u zaborav no upravo je objavljena vijest da je došlo do napada na tvrtku Lockheed Martin, jednog od vodećih imena američke vojne industrije. Smatra se da su napadači kompromitirali VPN pristup mreži ove tvrtke na kojem se udaljeni korisniciautenticiraju SecurID tehnologijom. Pogađate, ovaj je napad neposredno omogućen znanjem o funkcioniranju SecurID tehnologije do kojeg su napadači (ili njihove kolege) došli u svibnju.

Kada je ovaj tekst bio pred završetkom, saznalo se da su i druga dva velika proizvođača iz segmenta vojne industrije također napadnuta na sličan način: L-3 Communications i Northrop Grumman. Prema nekim izjavama koje su procurile iz ovih tvrtki, napadi i neposredna reakcija na nakon detekcije napada uzrokovala je izvanredno stanje u ovim tvrtkama.

Za sada nije objavljeno na koji je način kompomitirana SecurID tehnologija (osim što je izvjesno da su neposredno napadnuti sustavi za udaljeni pristup mrežama ovih vodećih imena američke vojne industrije), niti je objavljeno kakve su posljedice ovih napada.

Osim što je bio sjajna ilustracija APT prijetnji, napad na RSA je značajan zbog činjenice da je ovim napadom pribavljeno značajno znanje o funkcioniranju do tada, smatralo se, sigurne tehnologije, što je jamčilo uspjeh kod teških ciljeva koji obično takvu tehnologiju koriste.

U svijetu je 40 milijuna korisnika SecurID tehnologije. Jesu li velika imena vojne industrije jedine žrtve?

Spavači

2011-01-08T20:56:00.005+01:00

Današnji Jutarnji list donosi članak "Za tržišni uspjeh sve je potrebniji privatni detektiv" koji govori o razvoju industrijske špijunaže u Hrvatskoj (usput, u članku se ova aktivnost zove "Business Intelligence" što u informatičkom žargonu znači nešto sasvim drugo). Članak donosi razgovor s vlasnikom zagrebačke detektivske agencije koji govori da sve više poslovnih ljudi traži usluge prikupljanja podataka o konkurentskim tvrtkama. Detektivi ove tvrtke, između ostalog, pronalaze "spavače" među zaposlenicima istraživanih tvrtki koji odaju poslovne tajne konkurenciji. Saznali smo da nemali broj stranih tvrtki traži usluge ove agencije. Također, saznali smo da je prošla godina zabilježila porast zahtjeva za ovim uslugama.

Optimisti će reći da je ovo dobra vijest za ekonomiju u cjelini. Do sada je najveća zaštita od insiderskih prijetnji bila činjenica da naše tvrtke nemaju ništa ponuditi konkurenciji, a, kako sada izgleda, stvari se mijenjaju i konkurentnost naših tvrtki se pojačava. Realisti će, pak, reći da se ipak, možda, radi o banalnijim informacijama koje imaju značaja za konkurenciju, npr. o popisu kupaca ili o cijenama s kojima se izlazi na javni natječaj. Treba također znati da ova djelatnost može uključivati i prikupljanje osobnih podataka, npr. stanja računa ili troškove na karticama partnera u slučaju brakorazvodnih parnica ili pak provjere potencijalnih zaposlenika.

No, ne ulazeći u motivaciju iza indistrijske špijunaže, smatram da članak može poslužiti kao odličan materijal praktičarima procjene informacijskih rizika. Naime, opasnost od insidera u našim tvrtkama se u pravilu podcjenjivala jer, kao, insideri nemaju toliko motiva za svoj rad, najviše što ih zanima su plaće svojih kolega ili računi poznatih klijenata, a to se može lako zaštiti i kontrolirati. Članak nam pokazuje da je aktivno regrutiranja spavača koji inače to ne bi nikad postali naša stvarnost, a jasno je da postoji i mehanizam učinkovite motivacije insidera/spavača.

Naravno, treba biti jasno da današnja industrijska špijunaža prije svega cilja na podatke u digitalnom obliku, na baze podatka, na dokumente smještene na serverima. Ono što je za teoretičare tek istraživanje konkurentskih prednosti, za žrtve to može biti računalni kriminal ili barem opipljiv razloga za otkaz, u svakom slučaju značajna poslovna šteta. Za ljude iz informatičke sigurnosti je ovo svakako znak da moraju dodatno otvoriti oči.Ako vrijedne informacije nisu insiderima odmah dostupne, postoje brojne tehnike kako se može doći do ovih informacija. Ove tehnike ne moraju biti velika mudrost i vanjski "motivatori" će spavače lako obučiti (to se obično naziva "low-tech hacking").

Ovdje prestaje svaka sličnost s WikiLeaksom - ako vam je tako nešto i palo napamet čitajući ovo. Industrijska špijunaža svoje informacije ne pušta na Mrežu, a, za razliku od američke vlade, žrtve indistrijske špijunaže možda nikad neće saznati da su ikada postali žrtve.

Zeus - bog računalnih prijevara

2011-01-07T11:55:00.004+01:00

U siječanjskom broju časopisa Banka izašao je moj članak o botnetu Zeus. Članak opisuje način funkcionaranja i "poslovnu" pozadinu koja stoji iza ovog malicioznog programa, ili, bolje rečeno malicioznog sustava.

Članak potražite ovdje.

Hrvatski Enron - po drugi put

2010-12-11T14:49:00.005+01:00

Kako javlja današnji tisak, na WikiLeaksu je izašla poruka američkog veleposlanika u Zagrebu iz veljače 2010. U toj poruci on prepričava svoj razgovor s državnim odvjetnikom Bajićem, a jedna od tema je bila i Podravka.

Tekst dijela poruke:

(C) Bajic has said privately that Podravka could be Croatia’s Enron, a game-changing case in the GoC’s efforts to tackle corruption, particularly if he can obtain sufficient evidence that Polancec intentionally undersold XXXXXXXXXXXX. Cooperation with Hungarian prosecutors continues to improve. Bajic said he was very impressed with the evidence and analysis the Hungarians provided on the XXXXXXXXXXXX connection.

S zadovoljstvom sam primjetio da je državni odvjetnik opisujući veleposlaniku aferu Spice koristio termin "Hrvatski Enron", a kako sam ja na ovim stranicama opisao istu aferu u listopadu 2009. Još nam ostaje vidjeti hoće li ovaj slučaj rezultuirati istim strukturnim pomacima kao svojedobno i Enron. Moglo bi se pokazati da neki i od velikih međunarodnih igrača nisu baš bili sasvim nevini u ovom slučaju (kao što nisu bili ni kod Enrona).

Inače, gornji citat je primjer filtriranja poruka prije nego što su postale dostupne na internoj mreži američke Vlade a potom i na WikiLeaksu (primjetite XXXXXXX u tekstu, to se možda odnosi na neku osobu ali i na neku institciju/kompaniju - bilo bi zanimljivo saznati o kome se radi). O ovome sam pisao u prethodnom tekstu o WikiLeaksu.

Također, nisam siguran da će link na jednu od replikacija WikiLeaksa koji navodim u uvodu biti živ u trenutku kada budete ovo čitali, no vjerujem da ćete pronaći ovaj "telegram" na drugim stranicama.

WikiLeaks - pogled sa stajališta informacijske sigurnosti

2010-12-09T19:25:00.015+01:00

WikiLeaks nam ovih dana curi iz svih medija, znamo mnoge pikanterije američke diplomacije, zabavljaju nas reakcije lokalnih političara širom svijeta, a doznali smo podosta i o seksualnom životu Juliana Assangea. No, nisam našao previše informacija o jednoj važnoj temi koja će zanimati mnoge od vas: kako se moglo desiti da jedna velika informatička sila kao što je američka administracija napravi takav propust? Je li WikiLeaks uzrokovan banalnom nesmotrenošću informatičara ili pak sofisticiranom akcijom insidera?

Nisam naravno imao priliku upoznati informatičke sustave američke vlade, no iz različitih je izvora moguće rekonstruirati uzroke i tijek najznačajnije krađe podataka do sada.

Kako se desilo da ogromna količina povjerljivih podataka bude izložena i da nitko ne otkrije kontinuiranu krađu ovih podataka? Korijeni ovog slučaja su vezani za događaje 11. rujna 2001. Naime, američka je vlada nakon terorističkih napada bila izložena kritici zbog nefikasnog rada obavještajne zajednice. Navodno, postojale su određene "sirove" informacije koje su ukazivale na moguće napade na ciljeve u Sjedinjenim Državama, no nisu bile dostupne analitičarima koji bi ih mogli protumačiti na pravi način. Da bi u budućnosti spriječili nastanak takvog informativnog vakuma, američka je vlada odlučila povezati brojne državne agencije - osobito Pentagon i State Department, a informacije koje one prikupljaju učiniti međusobno dostupnima.

U godinema koje su slijedile, SIPRnet - državna varijanta Internet mreže, no izolirana od javne mreže i znatno sigurnija, povezala je različite agencije američke vlade, vojske i obavještajne zajednice. Ovaj svojevrstan "crowdsourcing" projekt, bio je motiviran željom da se što bolje iskoristi potencijal informacija koje dostavlja brojna diplomatska, vojna i obavještajna mreža širom svijeta. No, kao i svaki inovativan informatički projekt, tako je i ovaj, pored potencijalnih doprinosa, nosio i rizike. Glavni rizik, u ovom slučaju, vezan je za problem dosljedne kontrole pristupa materijalima koji se nalaze na mreži. Na SIPRnet mreži bili su dostupni materijali klasificirani oznakom SECRET (materijali s oznakom TOP SECRET nalaze se na drugoj, odvojenoj i posebno štićenoj mreži), a pristup materijalima imaju vladini službenici ili pripadnici vojske koji su prošli odgovarajuću provjeru ("clearance"). Svi vi koji ste se susreli s problematikom klasifikacije i kontrole pristupa nestrukturiranim podacima (dokumenti, tekstualne datoteke...) znate da je gotovo nemoguće napraviti striktnu kontrolu prava pristupa na razini dokumena: to u pravilu unosi značajan dodatni napor i nove troškove, ali ograničava dostupnost i iskoristivost dokumenata. Primjena principa "need-to-know" - dakle da pojedinom korisniku bude omogućen pristup samo do onih informacija koje su neophodne za njegov posao, gotovo je nemoguća misija. Široka dostupnost i labava kontrola pristupa bili su, dakle, preduvjet uspjeha projekta američke vlade, a sigurnost podataka temeljila se na povjerenju koje je dodjeljeno korisnicima.

Bilo je, naravno, pitanje vremena kada će podaci procuriti.

Wikileaks je sredinom godine objavio brojne povjerljive dokumente vezane za rat u Iraku i Afganistanu. Dokumente je, prema vlastitom priznanju - pogledajte odličan tekst iz Wired-a, prikupio i proslijedio WikiLeaks-u pripadnik američke vojske, 22-godišnji obavještajni analitičar Bradley Manning. Prije nekoliko tjedana, WikiLeaks je objavio i povjerljive poruke američkih diplomata, smatra se da je i ovu skupinu dokumenata prikupio Manning, iako se on u ovom slučaju nije istrčao s priznanjem a WiliLeaks naravno nije otkrio izvor informacija..

Povjerljivi podaci o ratu u Iraku i Afganistanu i diplomatske poruke su smještene u bazama podataka na različitim serverima SIPRneta. Mannning je imao pristup na oba sustava, a podataka nije nedostajalo. Gotovo da nisu prethodno filtrirani. Istina, treba reći da su dokumenti koji su išli prema vrhu američke vlasti i vojnom vrhu bili klasificirani kao TOP SECRET i nisu bili na ovim sustavima, niti su dostupni putem SIPRnet-a (zato su neki i lagano razočarani što su kroz WikiLeaks procurile tek sitnije ribe). Ipak, Manning je i bez najpovjerljivijih podataka imao dosta materijala, a dokumenti o ratu u Iraku su bili osobito šokantni. Treba primjetiti da većina podataka kojima je mogao pristupiti, Manningu nisu nimalo trebali u svakodnevnom poslu, no to je posljedica nemogućnosti dosljedne primjene principa "need-to-know".

Manning je, prema vlastitoj izjavi, podatke je kopirao na CD-RW diskove, a potom na drugom mjestu prenosio podatke na USB memorije. Treba reći da sigurnosna pravila američke vojske nalažu veoma strogu primjenu mjera fizičke zaštite pa se postavlja pitanje kako je Manning mogao unijeti CD u zaštićeni radni prostor gdje se nalazilo računalo s pristupom SIPRnet-u. Odgovor je jednostavan - Manning je bio na službi u Iraku gdje je i izvukao podatke. Smatra se da se mjere informatičke zaštite na lokacijama izvan stalnih vojnih baza u SAD-u i svijetu ne provode dosljedno i striktno. Tako je, izgleda, bilo i u stožeru u Iraku gdje je radio Manning, koji nije imao problema oko unosa medija u štićeni prostor. Kako i sam kaže, bio je iznenađen niskom razinom mjera informacijske sigurnosti i činjenicom da nitko nije uočio krađu podataka. Smtram velikim propustom i činjenicu da je računalo s kojeg je Manning pristupio SIPRnet-u, a koje je trebalo biti konfigurirano prema veoma strogim i ograničavajućim pravilima, imalo CD pisač.

Iz ovog slučaja možemo prepoznati tri glavna momenta koji se obično ponavljaju u slučajevima insiderskih prijetnji.

Prvo, ne samo da situacija čini lopova nego i okolina može djelovati kao značajan katalizatorski moment za insiderske prijetnje. Osobito u vojsci, gdje stresne situacije u kojima se mogu naći vojnici na službi ili zadacima izvan matične zemlje, djeluju kao poticaj za akcije koje je manifestirao Manning.

Drugo, vi možete kontrolirati pristup resursima informacijskog sustava ali ne možete kontrolirati trošenje povjerenja koje ste dodjeliti svom korisniku.

I treće: mjere fizičke kontrole su često najjača mjera zaštite od insiderskih prijetnji.

Operacionalizacija informacijske sigurnosti

2010-09-25T14:24:00.008+02:00

Odmah na početku ispričavam se za dulji izostanak novih tekstova (kolege me na to redovito upozoravaju - pozdrav Zlatku!). Zapravo, već dulje vrijeme planiram objaviti moj pogled na stanje operativnog aspekta informacijske sigurnosti u našoj okolini, s obzirom da je to tematika s kojom se već godinama susrećem.

Prošlo je nešto preko dva mjeseca od objave otkrivanja trojanca Stuxnet. Brojni napisi objavljeni u ovom razdoblju potvrdili su izuzetnu malicioznost ovog programa, Microsoft je uz dosta petljanja objavio (neke) popravke, a pojavili su se i teorije (koje sam i ja implicitno naznačio u mom napisu) o državnom sponzorstvu ovog trojanca.

Cijela situacija oko trojanca Stuxnet nameće jedno pitanje: koliko su hrvatske državne institucije, javni sektor i privatne tvrtke otporne na ovako profilirane prijetnje (ili Advanced Persistent Threat, kako ih se u zadnje vrijeme naziva)? Bojim se da je odgovor jako tanak.

Kao što sam već više puta primjetio ovdje ali i u drugim prilikama, svijest o informacijskoj sigurnosti je unatrag desetak godina izuzetno evoluirala, što se naravno odrazilo i na stvarno stanje i procese u našim tvrtkama. Dokaz ovome je opće prihvaćnje normi iz obitelji ISO 2700x, jačanje regulatornih zahtjeva naročito onih iza kojih stoji HNB, te praktično uvođenje osnovnih sigurnosnih procesa. Ipak, rekao bih da se stalo na pola puta. Izuzetno smo jaki na razini definicije i propisivanja sigurnosnih zahtjeva, dok operativna provedba procesa još zaostaje. Zapravo, primjena sigurnosnih principa je zadovoljavajuća kada je upitanju očuvanje dostupnosti i kontinuiteta poslovanja, no čini mi se da su druge prijetnje (naročito namjerno djelovanje ljudskog faktora, koji predstavlja suštinu APT prijetnji) još uvijek podcjenjene.

Ova se situacija može jednostavno protumačiti: prekidi dostupnosti uslijed prirodnih ili tehničkih nepogoda mogu se lako objasniti, iskustva o njima su veoma bolna, lako su razumljivi i provedivi unutar postojećeg opsega kompetencija informatičkih službi, a često su vezani i sa jakim interesom dobavljača s obzirom da svaki takav projekt generira dodatnu prodaju hardverskih komponenti.

Djelovanje ljudskog faktora (naročito motiviranog) druga je priča. Obrana se u ovom slučaju temelji isto tako na djelovanju ljudskog faktora. Alati i sigurnosni sustavi nisu na odmet, no sami po sebi neće dati rezultate, pa su nažalost česti primjeri nesmotrenih investicija u opremu bez zadovoljavajućih rezultata.

Obrana od motiviranog ljudskog djelovanja temelji se na dva aspekta obrane. Prvi je usmjeren na procese koji djeluju na računalne (ali i ljudske) ranjivosti i nedostatke, a drugi je usmjeren na praćenje i otkrivanje neposrednog djelovanja i manifestacija prijetnji. Prvi je preventivan, dok drugi mora detektirati i ograničiti djelovanje. Prvi je proaktivan, drugi je korektivan.

Ovi procesi u mnogim organizacijama nisu provedeni na cjelovit način niti možemo govoriti o upravljivosti ovim procesima. Bojim se da bi djelovanje dobro motiviranog i tehnički utemeljenog ljudskog faktora moglo imati pogubne posljedice.

U ovakvoj situaciji, mnoge organizacije zapravo neće nikad ni saznati da su bile žrtve takvih napada.

No postoji i drugi odgovor.

Možda malo tko ima potrebe pokrenuti sofisticirane tehnološke napade protiv državnih institucija (ako zanimljive informacije može dobiti na drugi način) ili možda naše tvrtke zapravo ne posjeduju atraktivan intelektualni kapital ili druge jedinstvene informacije koji bi motivirale konkurenciju (kao u prošlogodišnjem slučaju napada na Google). Pored toga, nepotrebno je napominjati, trećem ključnom elementu, našim osobnim podacima, sami neprekidno i dobrovoljno smanjujemo vrijednost tako da njihova kompromitacija, valjda neće više nikoga ni uzbuđivati.

Trebaju li političari biti Facebooku?

2010-07-27T16:36:00.008+02:00

Jutarnji list je proteklog tjedna objavio članak o nespremnosti naših političara za otvaranje profila na Facebooku i sudjelovanje u društvenim mrežama, istog tjedna kada je i Facebook objavio podatak o 500 miljuna korisnika svog servisa.

Treba li nas zabrinjavati što naših političara nema na socijalnim mrežama?

Ovu temu sam već ranije dotaknuo na ovim stranicama, a glavni motiv mog interesa je stajalište da građani/pojedinci/osobe moraju biti zaštićeni od svih oblika zloupotrebe informacijskog sustava ili manipulacija informacijskim sustavom - bez obzira radi li se o zaštiti privatnosti koju ugrožavaju velike korporacije ili državne institucije ili se radi o očuvanju javnosti i prava na objektivno mišljenje koje ne smije biti ugroženo manipulacijama i inžinjeringom.

Kako se socijalne mreže uklapaju u ova polazišta?

Jedno od osnovnih mehanizama na kojem se temelji korištenje informacijskog sustava je mehanizam povjerenja. Ovim mehanizmom pružatelj i primatelj informacijskih servisa međusobno izmjenjuju simetrična ili asimetrična prava za korištenje servisa, a ova prava temelje na međusobnom povjerenju. U poslovnim sustavima se ovaj mehanizam može lako opisati iako upravljanje povjerenjem nigdje nije jednostavan posao. Kada je u pitanju povjerenje koje mora dodjeliti pojedinac na privatnoj razini, stvari se strašno kompliciraju, a ja ću se osvrnuti samo na dio ove problematike koja se odnosi na socijalne mreže.

Specifičnost socijalnih mreži je u tome što krajnji korisnici servisa ujedno imaju odgovornost dodjele povjerenja. Sama socijalna mreža je tek posrednik u ovom procesu. Dakle sudjelovanjem u socijalnim mrežama pojedinci koriste razne reputacijske alate kako bi odobrili ili opozvali povjerenje, stvarajući ili preuzimajući određeni model komunikacije među korisnicima, bilo da se radi o komunikaciji ravnopravnih članova ili o komunikaciju pojednog člana i grupe svojih sljedbenika. Ovakav model dodjele povjerenja, ali i sami servisi koji se koriste na socijalnim mrežama imaju znatne manjkavosti koje se oslikavaju u nemogućnosti verifikacije identiteta, manipulacije reputacijskim podacima, nekontroliranom preuzimanju sadržaja, a što na koncu vodi vodi do značajnih mogućnosti za manipulaciju informacijama koje se na socijalnim mrežama pružaju. Ne treba zanemariti i direktne prijetnje socijalnih mreža privatnosti sudionika a, što svakako treba zabrinuti odgovorne osobe u poslovnim sustavima ili državnim organizacijama, socijalne mreže su i izraziti kanal curenja informacija.

No, sudjelovanje političara uključuje i još jedan potencijalni problem: miješanje javnosti i svijeta virtualnih grupa. Sve da nas uopće nije briga o prije spomenutim problemima socijalnih mreža, uključivanje političara ne može biti njihova osobna stvar koja se tiče samo njih i uključenih članova socijalnih mreža (kao što mediji voli reći, političari su javne osobe pa moraju biti spremni na pojačan interes javnosti). Ne treba biti previše bistar kako bi se zaključilo da je interes političara za socijalne mreže povezan prije svega s mogućnošću socijalnih mreža za oblikovanje javnog mišljenja i građenje ciljane slike o samom/samoj sebi. Sasvim sam siguran da javnost ne može profitirati od sudjelovanja političara u javnim mrežama. Javnost može dobiti samo još jedan oblik manipulacije javim mišljenjem. Najgore što se na koncu može dogoditi da virtualna javnost zamjeni realnu javnost i da virutalne grupe zamjene javnu raspravu ili političke procese.

Stoga, zahvalan sam svima političarima koji nisu na Facebooku.

Veoma nezgodna ranjivost

2010-07-23T09:18:00.011+02:00

Proteklog tjedna je svijet obišla vijest o pojavi nove ranjivosti u svim verzijama Windows operativnog sustava od XP-a na dalje. Ranjivost je vezana za način kojim Windows obrađuje LNK datoteke. LNK datoteke se najčešće vezuju za ikonice prikazane na ekranu - popularno ih nazivamo shortcut - i u sebi sadržavaju link prema stvarnim objektima operativnog sustava do kojih se dolazi klikom na samu ikonicu. Najčešće se koriste za brz pristup programskom kodu. Do danas smo bili uvjereni da moramo kliknuti na ikonicu kako bi došli do nekog objekta ili pokrenuli program. No, ovog se tjedna pokazalo da to nije i jedini način pokretanja programa. Naime, Windowsi na nedovoljno oprezan - netko bi rekao nekontroliran - način obrađuje podatke ugrađene u LNK datoteke, tj. shortcute i pokazalo se da je dovoljno samo otvoriti mapu gdje se nalazi shortcut pa će program biti pokrenut. To će se desiti u slučaju da je podatak o linku formuliran na poseban način koji Windows krivo tumači. Korumpirani LNK file je samo vektor napada, a pravi napad eskalira ako program koji će se pokrenuti bez znanja i odobrenja korisnika ima maliciozni sadržaj.

Naravno, ovaj bug otvara brojne mogućnosti napadačima. Idealana primjena buga je širenje malicioznog koda putem USB memorijskih uređaja, no jednako tako je moguća disperzija putem mrežnih share objekata pa čak i pristupom putem web preglednika.

O kritičnosti buga govori i visoka ocjena registrirane ranjivosti CVE-2010-2568 prema CVSS sustavu ocjenjivanja ranjivosti.

Microsoft za sada nije objavio programski popravak, već nekoliko tehnika kojima se omogućuje zaobilaženje problema. Najvažnija preporuka je onemogućiti prikaz ikona za shortcut datoteke. Ova operacija se mora provesti izmjenom registry datoteka ili pozivanjem skripte putem Microsoftovih stranica.

Također, korisnici bi se trebali pridržavati standardnih uputa o izbjegavanju otvaranja sadržaja ili medija koji dolaze iz nepoznatih izvora.

Prvi slučaj u kojem je otkriveno iskorištavanje ovog buga vezan je za ugrožavanje industrijskih Siemens SCADA sustava i otkrivanje trojanca Stuxnet. Stuxnet je zapravo i omogućio utvrđivanje samog nedostataka u Windows operativnom sustavu. Trojanac Stuxnet koristi deafultni password za pristup Siemensom SCADA sustavu, čita podatke sa sustava i šalje ih na udaljeni server koji upravlja samim Stuxnet trojancem, smješten u Maleziji. No, analiza samog trojanca je pokazla da je sposoban napraviti i brojne druge akcije.

Slučaj Siemens SCADA i Stuxnet trojanac daju dobar štof teoretičarima zavjera. Naime, utvrđeno je da je Stuxnet bio najviše raširen u iranskoj bazi korisnika Siemens SCADA sustava (za neupućene, SCADA sustavi su industrijski računalni sustavi koji omogućuju kontrolne aktivnosti na širokom spektru industrijske primjene - od kemijske industrije, elektrodistribucije te brojnih drugih, uključujući i nuklearnu tehniku). Siemens je u proteklom razdoblju bio i meta američke kritike jer je navodno olakšavao provedbu iranskog nuklearnog programa o čemu piše i The Wall Street Journal. Naposljetku, Siemens je početkom godine objavio planove o zatvarnju ureda u Iranu.

Stuxnet je očigledno izvrsno napravljan alat industrijske špijunaže. Osim zero-day ranjivosti i izvrsno napisanog programa koji je dugo ostao prikriven postoji i još jedan zapanjujući detalj. Instalacija samog trojanca je bila potpisana legitimnim certifikatim dobro poznate tajvanske tvrtke Realtek Semiconductor. Istraga će svakako morati utvrditi na koji način su napadači došli u posjed samog certifikata.

Prema sadašnjim podacima, Stuxnet je u životu od siječnja ove godine. No, ostaje veliko pitanje je li ovakva ranjivost mogla i prije ostati nezamjećena i postoje li druge zloupotrebe o kojima ne znamo puno.

Bez obzira na specifičnost trojanca Stuxnet, ranjivost LNK datoteka imati će puno veći utjecaj nego što se sad naslućuje. Ovaj zaključak temeljim na nekoliko činjenica.

Prvo, bez obzira koliko brzo će Microsoft objaviti službeni patch, primjena patcheva u praksi znatno zaostaje, a dovoljno je da tek nekoliko računala u mreži nema ažurno stanje patcheva pa da cijela mreža bude ugrožena.

Drugo, nemojte se pouzdavati u efikasnost antivirusnog sustava. Naime, ranjivost se može iskoristiti i za ciljane napade koji imaju nekarakterističan profil programskog koda pa ih antivirusni programi neće odmah detektirati. Takva je situacija tipična za ciljane (targeted) računalne napade.

Treće, ranjivost je idealna za primjenu u scenarijima socijalnog inžinjeringa, koji se u praksi pokazuju kao najefikasniji u slučajevima insiderskih napada, industrijske špijunaže i u drugim oblcima krađe informacija.

LNK ranjivost, a posebno Stuxnet trojanac, su još jedan dokaz da računalna sigurnost bazirana na firewallu i antvirusnom sustavu nije jamac zaštite kada su u pitanju visoki ulozi.

Sudjelovanje na drugoj konferenciji Hrvatskog instituta internih revizora

2010-03-18T14:01:00.002+01:00

Idući tjedan, od 25. do 27.03. 2010. u Opatiji se održava druga konferencija Hrvatskog instituta internih revizora. U petak drugog dana konferencije sudjelovati ću u radu sekcije koja se bavi sigurnošću informacijskih sustava. Tema moje prezentacije su sigurnosni incidenti i uloga internih revizora u uspostavi procesa praćenja sigurnosnih incidenata.

Sigurnosni incidenti su siva zona informacijske sigurnosti. Naše tvrtke u zadnjih nekoliko godina pokazuju porast zanimanja za organizacijski aspekt informacijske sigurnosti, sve više se govori o različitim radnim okvirima (a pomalo se ovi okviri i primjenjuju), interna revizije se sve ozbiljnije suočava s ovom problematikom... Istovremeno, o sigurnosnim incidentima, naročito onima koji se manifestiraju u kategorijama povjerljivosti i cjelovitosti, još uvijek se premalo zna. Glavni razlog ove ignorancije leži u nedostatku i manjkavostima procesa sigurnosnog nadzora nad radom informacijskog sustava. Rezultat: o informacijskim rizicima vlada bolja slika nego što ona (možda) treba biti, nedostaje komponenta povjesnog pogleda na mnoge računalne prijetnje.

Uloga IT revizora je dvojaka. Prvo, IT revizori svakako moraju biti među pokretačma inicijative za uspostavu procesa praćenja sigurnosnih incidenata. Drugo, IT revizori mogu (pa i moraju) i sudjelovati u postupku rješavanja ovih incidenata, naravno u okvirima svojih nadležnosti.

Vidimo se u Opatiji.

Upoznajte URIS na djelu

2010-02-23T21:30:00.021+01:00

Prije, otprilike, pola godine pisao sam o aplikaciji URIS namjenjenoj za procjenu rizika informacijskih sustava. Ova aplikacija se temelji na međunarodno priznatoj metodolagiji MEHARI. Više o razlozima za razvoj aplikacije kao i o potrebi za korištenjem ove aplikacije možete pronaći u gore spomenutom napisu.

Joško Martinac iz poduzeća Adservio, autor razvojno-aplikativnog dijela aplikacije URIS, prije nekoliko dana je napravio šest kraćih snimaka rada ove aplikacije, a možete ih pogledati na ovoj stranici. Ove snimke jako dobro ilustriraju glavne funkcije i vjerujem da će vam znatno približiti mogućnosti i načine primjene. Treba reći da se aplikacija stalno dorađuje, pa će, u trenutku kada budete gledali ove snimke, dopune i nova poboljšanja biti u funkciji (marketinški stručnjaci: ne budite prestrogi prema kvaliteti materijala!).

U nastavku slijedi šest snimaka.

Napomena: snimke će bolje izgledati ako ih pogledate preko dolje navedenih linkova na YouTube (umjesto preglednika ugrađenog u samu stranicu). Ako pak želite još bolju kvalitetu snimka, na kraju stranice ćete naći uputu o preuzimanju originalnih avi datoteka.

Aplikacija URIS - uvodni pregled:

(ovaj snimak možete pogledati i ovdje - YouTube)

Aplikacija URIS - procjena vrijednosti informacijske imovine:

(ovaj snimak možete pogledati i ovdje - YouTube)

Aplikacija URIS - procjena vrijednosti informacijske imovine (nastavak) i procjena visine prijetnji:

(ovaj snimak možete pogledati i ovdje - YouTube)

Aplikacija URIS - ocjena prisutnih kontrolnih mjera:

(ovaj snimak možete pogledati i ovdje - YouTube)

Aplikacija URIS - izračun rizika:

(ovaj snimak možete pogledati i ovdje - YouTube)

Aplikacija URIS - izvještavanje:

(ovaj snimak možete pogledati i ovdje - YouTube)

Ako želite vidjeti ove snimke u još boljoj kvaliteti i ako nemate komunikacijskih ograničenja, možete preuzeti originalne avi datoteke (pažnja: veličine datoteka su od 30 MB do 60 MB) s donjih linkova:

Prvi dio
Drugi dio
Treći dio
Četvrti dio
Peti dio
Šesti dio

Ovo su naravno tek glavne značajke aplikacije. Slobodno nam se javite ukoliko želite saznati više informacija o ovoj aplikaciji, upriličiti prezentaciju aplikacije ili pak želite cjelovito riješiti problematiku uvođenja upravljanja informacijskim rizicima.

IT sigurnost u predsjednikovom uredu

2010-02-17T14:09:00.006+01:00

Kako danas javlja Večernji list, novoizabrani predsjednik Ivo Josipović će u svom uredu koristiti Windows operativni sustav.

U članku se citira nepoznati izvor iz predsjednikovog ureda koji kaže:

"– Windowsi su dobri i zbog određenih sigurnosnih standarda koji se moraju čuvati i tu nema milosti ni za koga pa ni za predsjednika – kaže naš izvor."

Prilično je neozbiljno i nekompetentno koristiti sigurnost kao argument u korist Windows operativnog sustava, a nasuprot Linuxu i drugim programima napisanim na temeljima otvorenog koda. Zapravo, takva samouvjerenost je problematična već sama po sebi i ne jamči nam da će informacije u predsjednikovom uredu biti zaštićene na pravi način.

Manje bi me začudilo da su se kao argumenti izvukli npr. nemogućnost otkazivanja ugovora Microsoftu, nemogućnost migracije u kratkom vremenu ili pak nesklonost predsjednikovih ljudi na učenje (iako je svaki od ovih argumenata jednako klimav). Argument može biti i neka važna aplikacija koja ne ide pod Linuxom, no ne vjerujem da će se netko na Pantovčaku baviti npr. Photoshopom.

Ne zagovaram a priori činjenicu da je Linux sigurniji od Windowsa, no kada netko, a naročito iz državnih tijela, tvrdi suprotno, morao bi imati dobre argumente. A takvih argumenata, kada govorimo o struci informacijske sigurnosti u svijetu, nema. Ako je u pitanju sigurnost, otvoreni kod općenito a i Linux kao operativni sustav posebno imaju niz argumenata na svojoj strani. Osporavatelji najčešće izvlače argument da besplatan kod ne može biti kvalitetno napravljen, previđajući činjenicu da broj čovjek/sati utrošen na razvoj i broj očiju zaposlen na testiranju otvorenog koda premašuju mnoge komercijale proizvode, a njegova arhitektura i izvedba nisu vođene tržišnim diktatom i zacrtanim rokovima realizacije pod svaku cijenu.

Za ilustraciju, uzmimo primjer nedavne napade na Google. Uzrok ovih napada bila je ranjivost u Internet Exploreru o kojoj je Microsoft znao mjesecima, a da nije pripremio popravak. Ovako nešto je nemoguće u otvorenom kodu. Nasuprot Internet Exploreru, statistike govore da se prijavljene ranjivosti u Firefoxu otklanjaju u znatno kraćem roku, što je svakako rezultat činjenice da Firefox pripada otvorenom kodu. Slika je naravno kompleksnija i zahtjeva nešto više prostora, nije baš ni sasvim crno-bijela, no trendovi svakako govore u prilog sigurnosti otvorenog koda.

Omiljeni argument osporavatelja sigurnosti Linuxa je i taj da ovaj operativni sustav nema puno ranjivosti jer je naprosto nezanimljiv istraživačima ranjivosti. Zbog malog broja instalacija (usporedimo li statistiku Linux desktop instalacija nasuprot Windowsima) oni se i ne pokušvaju baviti Linuxom, jer otkrivene ranjivosti ne mogu dobro naplatiti. Čak i da nema arhitekturne prednosti sigurnosnih svojstava Linux operativnog sustava i da je argument na mjestu, treba reći da će povećani broj Linux korisnika donijeti sa sobom i povećani broj razvojnih inicijativa i timova, povećani broj testova, a u konačnici povećanu sigurnost. Drugim riječima, povećanim korištenjem Open Sourcea automatski raste i razvojna podloga, što je potpuno suprotno zatvorenom i komercijalnom softveru.

Članak u "Novom listu"

2010-02-16T13:33:00.007+01:00

Još jedan članak na temu OIB. Novi list je prošli tjedan objavio podatak da računi za siječanj jednog domaćeg pružatelja telekomunikacijskih usluga sadrže OIB samog pretplatnika (u ovom slučaju govorimo o privatnim pretplatnicima). Operater je, ujedno, ovo i obrazložio te obavještava pretplatnika da je njegov OIB dobio od Ministarstva financija.

Smatram da je ovo u potpunom neskladu sa Zakonom o zaštiti osobnih podataka.

Procjena da javni status OIB-a ne ugoržava našu privatnost je, bojim se, račun bez krčmara. Koliko god nam sada to izgledalo bezazleno, podataka označenih OIB-om biti će sve više i više. Što ih bude više, time će i vrijednost OIB-a rasti.

Ovo ima još jednu posljedicu. Naime, oni koji se bave rizicima informacijskog sustava lako će zaključiti da povećana vrijednost OIBA dodatno pojačava povećava rizik zloupotrebe. Naime, bez obzira koliko dobro postavili mjere zaštite OIB-a, njegova vrijednost će jače motivirati napadače na iskorištavanje nedostataka ili zaobilaženje ovih mjera.

Inače, u samom članku je i jedan moj komentar na ovaj slučaj.

Članak u časopisu Banka

2010-02-09T22:08:00.004+01:00

Časopis Banka za veljaču objavljuje moj članak na temu osobnog identifikacijskog broja. Kao što znate, OIB je krenuo u opticaj, no mnoge dileme su ostale neriješene.

Članak potražite ovdje.

Očekuju li nas krađe mobilnih identiteta? (2)

2010-02-05T10:05:00.006+01:00

Jučer sam pisao o najavljenoj promjeni načina prodaje prepaid paketa, kojom će se značajno ugroziti zaštita osobnih podataka u Hrvatskoj. Moram reći da zapravo nisam uvjeren da je kontrola poziva i identifikacija sugovornika bio glavni (a naročito ne jedini) motiv države. Argumenti koje sam naveo u prošlom postu idu tome u prilog: samo zbog činjenica da se trenutno na tržištu nalazi veliki broj neregistriranih prepaid kartica ruši mogućnost da se u slijedećih barem pet do osam godina provede planirana kontrola.

Što je onda motiv?

Odgovor možda leži u prepaid mobilnom Internetu. Ovo je, vjerujem, najlakši način za očuvanje anonimnosti u Internet komunikaciji, a koji svakako pruža puno više potencijala za zloupotrebu od običnih razgovora ili slanja SMS poruka. Za svaki drugi oblik fiksnog ili mobilnog pristupa Internetu, pružatelj usluga može dati vlastima direktne ili indirektne podatke o identitetu korisnika Internet usluge. Iako je prošlo više od godine dana od pojave prepaid Internet usluge na našem tržištu, sada je - sa stajališta države - zapravo krajnji trenutak za uvođenje kontrole. Na ovaj način će se, smatra država, reducirati mogućnost anonimnog korištenja Interneta.

Ipak, ostajem na zaključku iz prethodnog zapisa i mislim da će ova odluka ugroziti privatnost samo dobronamjernih korisnika. Niskotehnološka rješenja (kao što je zapisivanje imena kupaca prepaid paketa) neće djelovati u borbi protiv cyber kriminala.

Očekuju li nas krađe mobilnih identiteta?

2010-02-04T08:30:00.003+01:00

Ovih dana se u medijima govori o vladinoj uredbi prema kojoj će se i prepaid kartice za mobilnu telefoniju prilikom kupnje morati registrirati imenom i prezimenom kupca odnosno korisnika.

O pogubnosti ove odluke za zaštitu privatnosti rečeno je dosta toga. Ja bih samo dodao da će takva odluka u javnosti oslabiti ionako nizak standard svijesti o zaštiti osobnih podataka. Proširuje se sveopća banalizacija privatnosti, a s vremenom će prosječni građanin sve teže razlikovati što je dozvoljeno a što ne.

No, ima jedan drugi detalj na koji želim ukazati. Ova odredba će zapravo potaknuti krađe mobilnih identiteta. Naime, osobe kojima je iz bilo kojeg razloga stalo da prikriju svoj telefonski identitet, sigurno će načina i sredstava da dođu do tuđih prepaid kartica. U početku će to biti trgovina s postojećim prepaid brojevima koji nisu registrirani imenom korisnika (pročitao sam ovih dana da je trenutno u Hrvatskoj 75% brojeva prema prepaid modelu, velik broj će se sigurno naći na ovoj burzi), a izgubljeni i zaboravljeni telefoni skupljati će se kao PVC boce. Nažalost, ova grana sive ekonomije će uskoro potaknuti krađe i otimačine telefona. Naročito će na meti biti djeca i maloljetnici (možda najzastupljeniji segment korisnika ovog tarifnog modela).

U svakom slučaju, oni koji iz tko zna kojih razloga budu htjeli ostati anonimni to će i uspjeti, a svima nama drugima će ostati nelagodan osjećak blizine Velikog brata.

"Open source" u Hrvata

2010-01-28T10:02:00.006+01:00

Prije nekoliko tjedana je u Globusu objavljen članak o (ne)uvođenju "open source" softvera u državne institucije. Iako je ova tema izvan fokusa interesa ovih stranica, ipak ću, kao pobornik ideje "open sourca", odvojiti par redaka.

Naime, sa stajališta manje tvrtke apsolutno sam uvjeren da "open source" može zadovoljiti većinu zahtjeva koja se postavlja pred korištenje informacijskog sustava. U mojoj tvrtki koristimo specijalizirane sigurnosne sustave otvorenog koda ali i Linux kao osnovni operativni sustav na radnim stanicama i serverima, kao i različite serverske aplikacije koje nam olakšavaju rad. Glavna ograničenja vidimo u činjenici da se neki specijalizirani programski alati za sada mogu izvoditi isključivo na zatvorenim platformama (iako, postoje rješenja koja ruše i ove granice).

Naravno, poziv za uvođenje otvorenog koda treba rezultirati pametnom analizom kroz koju će se dokazati (ili možda opovrgnuti) "enterprise" potencijal ovih programa. Upravo bi ovakav projekt mogao biti kandidat za primjenu IT Governance principa i promišljeno uvođenje u produkciju (što, uglavnom, izostaje prilikom uvođenja "zatvorenog koda" jer se, eto, podrazumijeva njegova prikladnost). Pada mi napamet COBIT i poglavlje "Acquire and Implement"

Apsolutno sam suglasan sa financijskim aspektom cijele priče, o kojoj članak govori. Ne samo da bi se smanjili troškovi državne administracije, nego bi i novac koji je ipak neophodan za pogon informacijskog sustava u velikoj mjeri ostao u granicama države.

Postoji i još jedan aspekt o kojem članak ne govori. Primjenom otvorenog koda mogao bi se pokrenuti potencijal naših informatičkih stručnjaka u pravcu kreiranja novih informatičkih proizvoda (naravno, na principu otvorenog koda). Naš bi se informatički sektor, tako, mogao transformirati iz "reproduktivnog" u "stvaralački", što je neophodno za agresivniji izvozni pristup. Protivnici ove ideje imaju određena temeljna osporavanja: prema njima, otvoreni kod ne može biti gorivo održivog poslovnog modela, s obzirom da nije motiviran profitom a znanje ne tretira kao robu. Poznata je i epizoda u kojoj je Darl McBride, direktor tvrtke SCO koja je prije par godina pokušala reketariti "open source", uvjeravao američki Kongres kako "Open Source" predstavlja stratešku prijetnju američkom gospodarstvu i kapitalizmu u cjelini. Srećom, postoje brojni primjeri koji potvrđuju mogućnost pozitivnog poslovnog modela, a svima nama preostaje utvrditi što bi moglo najbolje funkcionirati u našoj okolini.

Uzrok napada na Google bio je poznat mjesecima

2010-01-25T16:17:00.008+01:00

Izraelska tvrtka BugSec je još u kolovozu prošle godine obavijestila Microsoft o nedostatku u Internet Exploreru. Ovom upozorenju, očito je, Microsoft nije dodjelio visoki prioritet. Popravak nije objavljen na vrijeme, tek naknadne preporuke o zaobilaženju problematičnih funkcija u Internet Exploreru. Rezultat ove krive procjene osjetili su u prosincu Google i još tridesetak američkih tvrtki: upravo je ovaj nedostatak bio polazište napada kineskih hackera na ove tvrtke.

Ovakav razvoj događaja s prijavljenom pogreškom otvara nekoliko tema.

Prvo, pokazuje se da pritisak na stručnjake koji se bave računalnim ranjivostiima da ne objavljuju javno svoja otkrića, nije rezultirao adekvatnom predanošću od strane softverskih tvrtki. Nasuprot ovome, s pravom se može prihvatiti teza da bi neograničena objava svih nedostataka zapravo potaknula proizvođače na ažurnu izradu popravaka. Microsoft je popravak za uočeni napad objavio tek prije nekoliko dana. Ako uzmemo u obzir da će trebati tjedni i tjedni dok se ovaj popravak primjeni na zadovoljavajućem broju računala, lako možemo procjeniti da će znatan broj računala ostati ranjiv i do devet mjeseci (ovo tek površno spominjem, no radi se o kompleksnom problemu o kojem ću govoriti u slijedećim tjednima).

Drugo, znanje i informacije (pa bile one i softverski nedostaci) je nemoguće ograničiti i kontrolirati. Nedostatak u Internet Exploreru je bio jednako dostupan svim istraživačima, bez granica. Osim toga, underground sektor informatičke industrije promjenio je pristup, slično i napadačima. Naime, nekoliko sam puta spomenuo prošle godine da napadače ne motivira više pet minuta slave, već direktna korist od realiziranih napada. Isto tako se ni istraživači računarnih ranjivost neće rukovoditi općim dobrom, već će uočene nedostatke znati (a zapravo već znaju) dobro unovčiti.

Na koncu, dolazimo do suštine risk management procesa. Softverske kuće moraju primjereno procjeniti prijavljene ili uočene nedostatke, zapravo primjeniti principe upravljanja rizicima i u ovakvim slučajevima. Proizvođači moraju biti svjesni da je znanje napadača ("Threat" komponenta risk managementa) potpuno doraslo onima sa svijetle strane informacijskih tehnologija, što proizvođače obvezuje na održavanje visoke ocjene sposobnosti potencijalnih napadača. Drugim rječima, rizik od ovakvih napada ne smije biti nerazumljivo nizak pa da se na popravak čeka pet mjeseci.

Napadi na Google - očekivano iznenađenje

2010-01-16T22:37:00.005+01:00

Ovotjedna objava napada kineskih hackera na Google i tridesetak drugih američkih kompanija izazvala je brojne i glasne reakcije, no vjerujem da stručnjaci za računalnu sigurnost nisu previše iznenađeni tehničkim aspektom ovog ofenzive (ja sam o tome pisao tijekom ljeta prošle godine). Tijekom 2009. mogla su se pročitati brojna upozorenja o transformaciji klasičnih računalnih prijetnji i tehnika napada koju ove prijetnje koriste, uz najave trenda koji se upravo manifestirao. Frontalni i pompozni napadi kojima je cilj stvaranje publiciteta su odavno zastarjeli. Nastupilo je razdoblje diskretnih i ciljanih napada, usmjerenih na poznatu žrtvu. Cilj napadače nije steći pet minuta slave što je brže moguće, već strpljivim djelovanjem doći do svojih ciljeva, ma kakvi oni bili - od podataka iz kartičnog poslovanja pa do povjerljivih poslovnih tajni. Slava, pri tome, uopće nije bitna.

Suština ove taktike je slijedeća: sofisticiranim tehnikama prodire se u mrežu žrtve, a odmah potom se korišteni alati odbacuju poput padobrana, te se napadač ukopova u dostupnu nišu, zadržavajući prikrivenu i stalnu vezu sa nalogodavcima. Napadač se u drugoj fazi može ponašati donekle ležernije i na raspolaganju mu je dovoljno vremena da otkrije i iskoristi brojne nedostatke unutarnje mreže. Postavljeni cilj je na dohvat ruke. Pored toga, treba znati da klasični obrambeni mehanizmi - firewall i antivirusna zaštita - nisu nimalo djelotvorni kod ovih napada.

Činjenica da je slučaj Google razvikan i razvučen po svim medijima ne poriče moju tezu da slava nije motiv ovih napada. Ovaj slučaj je razvikan prije svega zato što je Google to htio, iz vlastitih razloga kojima se bave vanjskopolitički novinari.

Vjerujem da ste već doznali da su napadači u slučaju Google zloupotrebili zero-day ranjivost u Internet Exploreru (a ne nedostatak Acrobat Reader-a, kako se u prvi mah pomislilo). Nije mi poznato zbog čega Google koristi IE pored vlastitog preglednika za kojeg tvrde de je sigurnosno besprijekoran. Objašnjenje da su kompromitirana računala služila testiranju nisu najuvjerljivija...

Kineski su napadači nekom od tehnika socijalnog inžinjeringa naveli žrtvu da posjeti web stranicu sa malicioznim kodom, odmah potom je računalo žrtve bilo zaraženo, a instalirani program je uspostavio siguran i kriptiran kanal, prema komandnom centru iz kojeg je primao naredbe. Nije poznato što je točno napadač radio nakon toga, tvrdnje o krađi podataka o mail računima kineskih disidenata treba tek potrditi.

Na tehničkoj razini nema iznenađenja, no na socijalnoj ili političkoj razini ovi će slučajevi uzrokovati nekoliko značajnih pomaka.

Ovaj napad dokazuje da su ciljani napadi postali realnost ne samo kod ekstremno atraktivnih i vrijednih ciljeva - npr. prema američkim vladnim institucijama - nego i u poslovnom svijetu. To, nažalost znači, da se tehnike napada približavaju komodizaciji, a samo je pitanje vremna kada će kompetencije armije kineskih hackera - možda bi "armija" trebalo pisati s velikim A, postati dostupna i običnim smrtncima - mislim na one sa crne strane.

Stoga bi svi praktičari upravljanja rizicima morali prilagoditi standardne procjene koje se odnose na visinu prijetnji malicioznog ljudskog faktora. Ove prijetnje postaju sve realnije, a motiviranost i znanje su svakako značajne kompetente prijetnji koje dolaze, ne samo iz okruženja kineske armije hackera, nego i iz iz drugih sličnih laboratorija.

Naravno, pretpostavljam da ste komponentu utjecaja računalnih ranjivosti već ranije povećali.

Na kraju, kako se obraniti od ovih prijetnji. Pored mjera koje sam naveo u tekstu o slučaju Heartland, mislim da će još jedna mjera naći svoje opravdanje (iako, priznajem, do sada nisam striktno inzistirao na ovoj mjeri). Naime, do sada se očekivalo da su isključivo perimetarske adrese izložene vanjskim napadačima, pa se testovima nastojalo simulirati maksimalnu kompetenciju i sposobnost ovih napadača. Interni testovi su bili rijetki i, rekao bih, površni (obično se računalo na relativnu dobronamjernost i umjerenu tehničku kompetenciju internih korisnika). Ovo će se definitivno morati promjeniti. Testiranje sigurnosti interne mreže morati će uzeti u obzir i negativni potencijal napadača ubačenih iz vanjskog okruženja.

QualysGuard InfoDay 2009. u Zagrebu

2009-12-01T14:55:00.005+01:00

Na stranicama Boree smo najavili drugu korisničku konferenciju QualysGuard InfoDay 2009. Za one koji nisu sasvim upoznati, QualysGuard je sigurnosna usluga bazirana na SaaS modelu. Pomoću ovog servisa moguće je uspostaviti efikasan i koristan proces upravljanja računalnim ranjivostima.

Među stručnjacima su česte, a po mojem mišljenju i opravdane, diskusije o sigurnosnim temeljima SaaS modela računalnih usluga. QualysGuard se ipak razlikuje od uobičajenog poimanja SaaS modela usluga. Qualys, kao tvrtka koje se zapravo bavi informacijskom sigurnošću, svoje je servis ojačala s brojnim sigurnosnim mjerama pa svakako predstavlja izuzetak u sve popularnijem SaaS trendu. Osim specifičnosti same usluge koja, nasuprot recimo CRM SaaS uslugama, ne teži pružanju što je moguće više fuknkcionalnosti nauštrb sigurnosnih zahtjeva, QualysGuard uključuje i korištenje specijaliziranog appliance uređaja. Na taj način, znatno se lakše može kontrolirati puni raspon SaaS usluge - od klijentske okoline do centralne aplikacije.

Više o ovom možete ćuti idući tjedan. Sudjelovanje je slobodno, više podataka o konferenciji i o prijavi pronađite na slijedećoj stranici:

http://www.borea.hr/vijesti.asp?newsID=117

60 Minutes, još jednom

2009-11-16T08:58:00.003+01:00

Nakon objave prošlog teksta dobio sam nekoliko upita o pristupu samom dokumentarcu "60 Minutes". Ovdje objavljujem video u dva dijela (spušteno s YouTube).

Veoma poučan dokumentarac

2009-11-09T13:10:00.003+01:00

Sinoć je na CBS-u prikazan redoviti tjedni magazin "60 Minutes", a bavio se osjetljivošću tehnološke infrastrukture Sjedinjenih država i podložnošću pojedinih dijelova ove infrastrukture hackerskim napadima, naročito u "cyberwar" kontekstu.

Kao zanimljiva ilustracija, iznesen je i podatak o dva velika ispada elektro-opskrbnog sustava Brazila u 2005. i 2007. godini. Ovaj kasniji je potrajao dva dana i zahvatio je nekoliko milijuna stanovnika (istini za volju, brazilska je vlada prije par dana, a povodom emitiranja ove emisije, objavila da nije bilo nikakvih hackerskih napada u ovim slučajevima, no što mislite tko ima bolje informacije?). Svakako preporučujem ovu epizodu svima koji donose odluke o mjerama sigurnosti informacijskog sustava, na svim razinama i u bilo kakvim slučajevima. Potražite je na stranici http://www.cbs.com/primetime/60_minutes/ - naslov je Sabotaging the System.

Osvrnuti ću se na teze iznesene u emisiji. Američki kongresnici su utvrdili da su informatičke komponente njihovog elektroopskrbog sustava izuzetno ranjive na hackerske napade, a potencijalne posljedice su izuzetno velike. Zapravo, takvi su se slučajevi već i događali u nedavnoj prošlosti. U emisiji se govori i o slučaju, nedavno jako spominjanom, infiltracije stranih hackera na sustave vladinih organizacija, uključujući i one ministarstva obrane. Tom prilikom je iz ovih sustava iscurilo 1 TB podataka.

Kako bi se Hrvatska snašla u "Cyberwaru"? Ili je možda bolje ovo pitanje preformulirati: "Kako se Hrvatska snalazi u "Cyberwaru"?

Hrvatski Enron

2009-10-25T07:27:00.007+01:00

Je li slučaj Podravska hrvatski Enron (zanemariti ću, za potrebe ovog napisa, politički kontekst ove afere)?

Sličnosti su brojne. U oba je slučaja protagonist akcije bio management ovih tvrtki. U oba slučaja možemo govoriti o izvedbi sofisticiranog poslovno-financijskog scenarija, čiji je autor u slučaju Podravke za sada nepoznat. Istina, u slučaju Enrona vidjeli smo netočno uljepšavanje poslovnih rezultata na temelju kojeg je management ostvario nezasluženu korist. U slučaju Podravke imamo pokušaj preuzimanja tvrtke, kao i činjenicu da su se u stvarnosti provele konkretne financijske transakcije među različitim subjektima, a ne tek knjigovodsveno friziranje. No, pohlepa je pokretač u oba slučaja. Na koncu, i u slučaju Enrona bilo je govora o političkim pokroviteljima cijele operacije.

No, ako je generalna usporedba s Enronom održiva, možemo li, vezano na temu ovog bloga, govoriti o posljedicama slučaja Podravka na informacijske tehnologije (na koju su Enron i SOX koji je slijedio iza Enrona, itekako utjecali)?

Na prvi pogled, teško da možemo govoriti o vezi slučaja Podravke i informacijskih tehnologija. U operaciji Spice je informacijska tehnologija bila tek poslovni okvir, a politika se pokazala bitnijim faktorom. Ova je procjena osobito važna ako pokušamo identifcirati ulogu koju je revizija trebala odigrati u sprječavanju cijele operacije.

No, treba reći je revizija poslovnih podataka veoma lako mogli utvrditi indikatore problematičnih financijskih transakcija. S druge strane, moglo bi se pretpostaviti da revizija nije mogla utvrditi točno stanje jer su rezultati unutar informacijskog sustava bili modificirani ili prikriveni, no, realno gledajući, ne vjerujem da se to desilo. Naprosto, ublaženim riječima, od revizije nitko nije tražio informaciju o sumnjivim transakcijama.

Drugim riječima, cijeli je slučaj mogao biti preduhitren izvještajima revizora, no očigledno nije bilo (političke) volje za takvim izvještajima.

Stoga, bez obzira na prisutnost političkog konteksta cijele afere, jedna od pouka morala bi ići u smjeru jačanja uloge revizije, pri čemu treba posebno značenje dati i reviziji informacijskih sustava (da se spriječe i moguće sofisticirane modifikacije poslovnih podataka). Svatko tko je imalo upućeniji u ulogu revizije u poslovanju naših tvrtki može posvjedočiti da revizija općenito, a posebno i IT revizija, ima status nužnog zla a ne korektivnog mehanizma upravljanja poslovnim procesom.

Zapravo, umjesto usporedbe s Enronom, možda bi slučaj Podravka bilo bolje nazvati nazvati Riječkom bankom ne-financijskog sektora. No, hoće li netko biti spreman pokrenuti mjere koje je svojedobno, nakon slučaja Riječke banke, pokrenula HNB?

Slučajevi Heartland i Hannaford, nastavak

2009-08-18T15:52:00.006+02:00

Slučajevi Heartaland i Hannaford o kojema sam pisao na ovim stranicama, dobili su sudski nastavak, Jučer je objavljena vijest o podizanju optužnice protiv američkog državljanina Alberta Gozalesa. Gonzalesa se ovom prilikom sumnjiči da je jedan od hackera koji je upao u poslovni sustav tvrtki Heratland i Hannaford (ali i nekih drugih). Kažem ovom prilikom zato jer Gonzales već čeka suđenje za druge nedavne slučajeve krađe podataka - TJX, OfficeMax, Barnes & Noble... Gonzalesa se, po zadnjoj optužnici, tereti za krađu podataka o ukupno 130 milijuna kreditnih i debitnih kartica. Osim Gonzalesa, optužene su i dvije nepoznate osobe, po svemu sudeći iz Rusije, no pitanje je jesu li oni i jedini izvršitelji.

Ima i drugih zanimljivih detalja o optuženima (npr. Gonzales je bio dugogodišnji pouzdanik američke tajne službe), no mi ćemo analizirati način na koji je izvršena krađa.

Gonzales i društvo su brižljivo birali žrtve, krenuli su od popisa Fortune 500 tvrtki. Žrtve su, potom, proučili izbliza - obišli su njihove dućane kako bi upoznali opremu za procesiranje transakcija, detaljno su proanalizirali sustave za procesiranje plaćanja Internetom. Nije nemoguću da su se koristili i drugim metodama (socijalni inžinjering) kako bi se domogli vrijednih informacija o žrtvama.

Gonzales je potom pisao maliciozne programe posebno dizajnirane za računala žrtava. Cilj ovih programa bio je omogućiti neometan pristup Gonzalesa i društva računalima žrtava. Ovo su bili tzv. backdoor programi. Kako su uspjeli ove programe instalirati na računala žrtava? To iz dostupne dokumentacije nije sasvim razjašnjeno, no postoji nekoliko metoda, od zloupotrebe nezaštićene wireless mreže (što se i dogodilo u TJX), zloupotrebom SQL Injection nedostataka ili navođenja zaposlenika tvrtke na izvođenje malicioznog koda koji bi bio smješten na pripremljenim serverima (ne treba zanemariti ni tehnike socijalnog inžinjeringa). Vrlo je moguće da su napadači kombinirali različite tehnike, prilagođavali su okolnostima i profilu žrtvi. U svakom slučaju, puno je teži zadatak bio spriječiti otkrivanje malicoznih programa kada jednom budu smješteni na interni dio mreže. Za to se pobrinuo Gonzales: brižljivo je dizajnirao i testirao maliciozne programe, tako da ih nije bilo moguće otkriti sa 20 različitih antivirusnih programa (zasigurno se radi o svim najznačajnijim antivirusnim programima dostupnim na tržištu). U tom trenutku su napadači stekli prilično komfornu poziciju: mogli su neometano pristupati internoj mreži i pregledavati sve interesantne točke. Naravno, to je bila odskočnica za pristup do samih podataka koje su po istom kanalu slali nazad na vlastite servere. Način pristupa do podataka razlikovao se od slučaja do slučaja: kod jedne od žrtvi su naprosto snifali promet na mreži i otkrivali nekriptirane brojeve kartica, kod drugih su pristupali bazi podataka (po svemu sudeću SQL Injection napadima koji mogu biti i veoma sofisticirani)...

Sve što se desilo nakon toga, saznati ćete iz medija.

Iz ovih slučajeva mogu se naučiti mnoge stvari, npr:

Zaštitne mjere koje se baziraju samo na firewallu i antivirusnim programima su nedovoljne. Pisao sam već o tome kako antivirusni programi ne jamče otkrivanje svih malicioznih programa (u međuvremenu su se pojavili i drugi izvještaji koji potvrđuju ovo mišljenje).
Kada se jednom vanjski napadač smjesti na internoj mreži, njegova aktivnost može biti gotovo nezamjetna, a za samog napadača izuzetno sadržajna i plodonosna. Uzorak ponašanja vanjskih napadača se približio uzorku ponašanja internih napadača.
Interne ranjivosti postaju jednako kritične kao ranjivosti perimetarskih servera. Administratori sustava ne bi smjeli imati puno kredita za površnu konfiguraciju ili zakašnjelo patchiranje internih sustava.
Ranjivosti radnih stanica se često smatraju manje prioritetnima od ranjivosti servera. To definitivno više nije tako. Upravo radne stanice mogu biti najbolja poluga vanjskim napadačima.
Stalni nadzor događanja i prometa na mreži postaje neophodan. Takav nadzor pruža dodatno jamstvo u situaciji kada se više ne može bezgranično vjerovati firewall-ima i antivirusnoj zaštiti.

URIS - aplikacija za upravljanje IT rizicima

2009-07-12T21:10:00.003+02:00

Na početku, dugujem ispriku zbog duljeg izbivanja s ovih stranica. Redovite poslovne aktivnosti i projekti su glavni razlozi izostanka. Glavninu vremena u svibnju i lipnju usmjerio sam na završetak rada na prvoj verziji aplikacije za upravljanje informacijskim rizicima. Aplikacija je razvijena u suradnji s kolegom Joškom Martincem iz tvrtke Adservio. Joško je napravio kompletan programerski posao (izvrsno, dodajem), a ja sam preuzeo brigu oko primjene korištene metodologije i prilagođavanja aplikacije procesu upravljanja informacijskim rizicima. Aplikaciju smo nazvali URIS. Važno je odmah naglasiti da aplikacija koristi javno dostupnu metodologiju upravljanja rizicima MEHARI. MEHARI postoji preko desetak godina, razvijena je u okviru francuske stručne udruge CLUSIF, te je obnovljena 2007. Dokumentacija o samoj metodologiji je dostupna na adresi https://www.clusif.asso.fr/en/production/mehari/mehari.asp. Osobito je zanimljivo da je metodologija objavljena pod GPL licencom. MEHARI je jako dobro opisan u raspoloživoj dokumentaciji (tekstovi i Excel tabele), no svaka ozbiljna primjena iziskuje aplikativnu nadogradnju.

Zbog čega uopće aplikacija za upravljanje IT rizicima? Jedan razlog svakako leži u činjenici da je imalo složeniju metodologiju nemoguće efikasno provesti kroz Excel tablice, a što se pogrešno smatra sasvim zadovoljavajućim tehničkim okvirom za vođenje projekata upravljanja IT rizicima. Drugi, važniji, razlog vezan je na ovaj prvi: iz prakse sam primjetio da korištenje nedovoljno robustnih metodologija neizbježno vodi u trivijalizaciju procesa upravljanja rizicima, što rezultira gubljenjen strateškog značaja kojeg bi upravljanje IT rizicima moralo imati. Korištenje kompleksnih metodologija (MEHARI je, svakako, veoma kompleksna i kompletna metodologija) vodi i boljem prihvaćanju od strane managementa i prisiljava sudionike na savjestan pristup projektu.

MEHARI je baziran na kvalitativnom pristupu koji, zahvaljujući složenom postupku donošenja ocjena, evoluira u polu-kvantitativni (pseudo-kvantitativni?) pristup, čime metodologija svakako dobiva na značaju. Osobito važnim smatram činjenicu da naša aplikacija koristi javno dostupnu i prihvaćenu metodologiju (iako sam bio na preko pola puta u razvoju vlastite metodologije).

Posao na aplikaciji obuhvaćao je, osim automatizacije postupka, nekoliko dodatnih komponenti. Tako je prijevod izvornog teksta svakako pomogao na uvođenju taksonomije pojmova za upravljanje informacijskim rizicima, još uvijek neujednačene u našem okruženju. Nadalje, aplikacija sadrži i različite izvještajne komponente, mogućnost upravljanja postupcima upravljanja rizicima u kontinuiranom razdoblju, kategorizaciju mjera i događaja prema COBIT-u i Basel II specifikacijama... Različiti noviteti su planirani i za slijedeće verzije.

Kome je namjenjena aplikacija? Osobit interes pokazuju svi oni koji iz različitih razloga moraju ispuniti regulatorne zahtjeve u pogledu upravljnaja IT rizicima, a to su prije svega banke (prema Odluci i Smjernicama HNB-a). Iako su mnoge banke postavile temelje procesa upravljanja rizicima, ovakva aplikacija i, prije svega, korištena metodologija omogućuju jednostavniju provedbu procesa upravljanja rizicima. Pored toga, neovisna i međunarodno raširena metodologija pruža dodatno jamstvo o zrelosti postupka upravljanja rizicima.

Neki od čitatelja ovih stranica su već upoznati s ovom aplikacijom, a svima zainteresiranima ću rado pružiti informacije o aplikaciji i korištenoj metodologiji.

Revizija u razdoblju pohlepe

2009-04-29T19:24:00.006+02:00

Jedna od tema koje rado opisujem na ovim stranicama su slučajevi insajderskog računalnog kriminala. Pri tome obrađujem publicirane i, uglavnom, inozemne slučajeve (što naravno uopće ne znači da i mi nemamo konje za trku).

Najfriškiji i veoma ilustrativan primjer vezan je za posrnulu indijsku outsourcing tvrtku Satyam. Za neupućene, Satyam je jedan od najvećih primjera korporativne prijevare u posljednje vrijeme. Na naslovnice su izbili početkom godine, kada je utvrđeno da su u duljem razdoblju iskazivali napuhane poslovne rezultate. Klupko se počelo razmotavati nakon prošlogodišnjih sumnjivih poslovnih poteza kojima su izazvali dioničare.

Neću ulaziti u financijske detalje same prijevare, više o možete naći na ovoj stranici. Za nas priča počinje izvještajem o analizi ovog slučaja koji je objavljen početkom ovog tjedna. Kako javlja InformationWeek, Satyam je generirao oko 7.500 lažnih faktura klijentima čime je poslovne rezultate pokazao znatno boljim nego što su bili (i što je naravno utjecalo na cijenu dionica ove tvrtke). Za ove stranice je osobito zanimljiv način generiranja ovih faktura: Satyam (ponavljam još jednom - IT outsourcing firma sa 40.000 zaposlenih, a razvoj aplikacija im je jedna od središnjih kompetencija) nedozvoljeno je modificirao vlastite poslovne aplikacije i omogućio kreiranje lažnih faktura ali tako da njihovo postojanje ne izazove sumnju i tako da budu izdvojene od realnih transakcija (pogađate zašto: lažne fakture nisu nikad bile naplaćene). Na taj način je prikazan prihod od 946 milijuna USD.

Ovaj slučaj je dobar primjer kojim revizori uvijek mogu opravdati svoje inzisitranje na reviziji postupka upravljanja aplikativnim promjenama, što se često smatra dosadnim inzistiranjem na formalnim detaljima. Naime, veoma je teško provesti striktnu kontrolu procesa upravljanja promjenama. Mjere mogu biti presložene za manje i srednje organizacije (izolacija razvojne, testne i produkcijske okoline; zaštita programskih biblioteka; stroga definicija i dodjela korisničkih prava; odvajanje pristupnih privilegija; formalna procedura...), što i za velike organizacije često predstavlja ograničenje.

No, ovaj slučaj pokazuje i nedostatke same revizije provedene u Satyamu.

Prvi nedostatak se odnosi na reviziju procesa upravljanja promjenama u Satyamu. Ne znam koliko je detaljno napravljena revizija ovog procesa, no kada se ovakva prijevara dogovori na najvišoj razini i kada je u scenarij uključeno više ljudi s odgovarajućim pravima (a očigledno je da je u Satyamu bio takav slučaj), onda redovita revizija općih kontrola IS-a teško može dati rezultate.

Druga revizorska greška se zapravo pokazala ključnom: revizor je propustio, a svakako je morao, utvrditi da 7.500 faktura nije pokriveno prihodom na računu u banci.

Granica između financijske revizije i revizije informacijskih sustava je, govoreći rječnikom politike, veoma meka. Poznavanje i jedne i druge strane medalje je neohodno za uspjeh revizije.

No, ipak treba reći da je prijevara u Satyamu ponajprije bila omogućena pohlepom i prividnim dobrim rezultatima koji su, uostalom kao i u drugim segmentima ali u istim vremenima, zasigurno spriječili dioničare da na vrijeme pogledaju istinu.

"Uknown Uknowns"

2009-04-21T19:17:00.006+02:00

Prošli sam tjedan pisao o izvještaju tvrtke Verizon. Jedan od najzanimljivijih odlomaka tog izvještaja nosi naslov "Uknown Uknowns". O čemu se radi?

Istražitelji računalnih incidenata su još prije nekoliko godina uočili zajednički uzorak u mnogim slučajevima: incidenti su omogućeni ili barem olakšani prisutnošću nekih resursa informacijske infrastrukture koji su u pravilu trebali biti poznati odgovornim osobama, ali koji za koje nitko nije znao. Tako su na mreži postojala računala za koje nitko nije znalo, osjetljivi podaci su se nalazili neočekivanim lokacijama, resursi su komunicirali neuobičajenim mrežnim konekcijama ili servisima, a nepoznati korisnički računi su bili redovita pojava. Ove su činjenice opisane kao "Uknown Uknowns", a uzrokovane su kako slučajnošći i nesmotrenošću tako i tendencioznim i zlonamjernim djelovanjem. Zajedničko im je da svojim prisustvom u velikoj mjeri olakšavaju sigurnosne prijetnje.

Možda uzorak iz Verizonovog istraživanja i nije do kraja reprezentativan da bi se izvukli definitivni zaključci, no i u ovom slučaju opžemo govoriti o dobroj ilustraciji prakse koja je sasvim sigurno stvarnost u mnogim okolinama. Uostalom, na brojnim sam se primjerima i sam osvjedočio u točnost ovih tvrdnji.

Kako se obraniti od nepoznatog?

Napore treba usmjeriti u dva pravca. S jedne strane, potrebno je redovito provjeravati podudaraju li se konfiguracijske postavke kritičnih informacijskih resursa s propisanim standardnim specifikacijama. S druge strane, potrebno je kontinuirano pratiti sve događaje i na vrijeme reagirati na neovlaštene promjene u konfiguraciji sustava.

Ovo je puno lakše napisati nego provesti. Provjera konfiguracijskih parametara podrazumijeva, na primjer kod Windows Server platforme, kontrolu nekoliko stotina konfiguracijskih parametara, pr čemu se ovi parametri prilično razlikuju po raznovrsnosti i kompleksnosti. Nadalje, praćenje događaja zahtjeva značajne resurse i koncetraciju stručnosti. Naravno, ni jedan od ovih zahtjeva ne može se uspješno provoditi bez specijaliziranih alata.

Svijest o informacijskoj sigurnosti doživjela je značajne poticaje u našem su okruženju tijekom nekoliko posljednih godina. No, sada nam predstoji slijedeća stepenica: iz dokumenata, pravilnika i certifikata potrebno je evoluirati u dobro upravljiv sustav čija će se sigurnosna uspješnost moći točno izmjeriti u svakom trenutku, a odstupanja prepoznati u realnom vremenu.

Do onda, biti ćete u prilici upoznati "Uknown Uknowns".

Sezona izvještaja

2009-04-17T09:14:00.004+02:00

Čini se da je ovaj dio godine razdoblje objave različitih izvještaja i rezultatata istraživanja tržišta o stanju sigurnosti informacijskih sustava. Ove izvještaje, naravno, treba uzimati s dozom opreza (ipak, iza njih stoje i PR uredi), no neki od ovih dokumenata svakako predstavljaju zanimljivo štivo pa ih svima preporučujem.

Što nam je friško na raspolaganju?

Ovogodišnji "Data Breach Investigations Report" tvrtke Verizon je svakako najzanimljiviji tekst ove vrste koji se pojavio u zadnje vrijeme. Temeljen je na sigurnosnim incidentima u čijoj su istrazi sudjelovali stručnjaci Verizona tijekom 2008. godine. Obrađuje, dakle, 90 konkretnih slučajeva i nudi veoma zanimljive i poticajne zaključke. Iako zbog izbora uzorka (ograničen je na slučajeve gdje su sudjelovali Verizonovi istražitelji) ne bi trebalo izvlačiti generalne zaključke, mislim da nećemo pogriješiti ako izvještaj sagledamo i na takav način.

Vjerujem da će svatko od vas pročitati izvještaj na svoj način, no slijedeći podaci mi izgledaju osobito zanimljivo:

Čak 91% incidenata na neki je način povezano s organiziranim kriminalom
Većina je incidenata rezultat djelovanja više od jednog uzroka, pri čemu su tehničke (a zapravo ljudske) pogreške te djelovanje hackera zastupljeni u oko dvije trećine slučajeva, a maliciozni programi u nešti više od trećine slučajeva
Čak dvije trećine incidenata je otkriveno na temelju informacija koje su stigle izvan same pogođene organizacije (dakle od trećih strana, klijenata, partnera...), a ispod 10% incidenata je otkriveno metodama koje bi trebale biti temelj proaktivnog i preventivnog djelovanja (analiza log zapisa i redovita revizija)
Nešto više od četvrtine incidenata je raspodjeljeno između "malih/srednjih" tvrtki (od 11 do 100 zaposlenih) i "velikih" tvrtki (od 1001 do 10000 zaposlenih) - dakle, ne vrijedi pravilo da su sigurnosni incidenti rezervirani za velike tvrtke

Drugi zanimljiv dokument na koji vas upućujem je redoviti izvještaj tvrtke Symantec - Internet Security Threat Report Volume XIV, a odnosi se na podatke iz 2008. godine. Ovaj izvještaj se temelji na različitoj metodologiji od izvještaja tvrtke Verizon, pa su podaci i zaključci usmjereni u drugom pravcu, no svakako možemo reći da se oba izvještaja upotpunjuju.

Symantec je napravio svoj izvještaj na temelju podataka koji je prikupio u razgranatoj mreži senzora smještenih širom svijeta i iz povratnih informacija koje je prikupio iz svojih sigurnosnih programa ili servisa. Symantecov se izvještaj bavi prijetnjam i ranjivostima, ne i registriranim (i istraženim) konkretnim incidentima, pa su rezultati osobito zanimljivi za one koji žele detaljnije analizirati uzroke sigurnosnih rizika.

Na stotinjak stranica naći ćete mnoštvo podataka, a ovdje iznosim samo neke

Symantec je evidentirao 5491 novu ranjiovost u 2008. od kojih se 2% smatra visoko kritičnim
80% ranjivosti smtra se lako iskoristivim (u 2007. bilo ih je 74%)
63% ranjivosti bilo je vezano za web aplikacije
U 2008. bilo je 265% više opisa novih malicioznih programa ("signatures") u odnosu na 2007.
Trojanci čine 68% od Top 50 malicioznih programa u 2008. godini
Spam je porastao za 192% u odnosu na proteklu godinu

Ugodno čitanje!

Obnova kontinuiteta

2009-03-31T12:09:00.007+02:00

Prije svega, dugujem ispriku stalnim čitateljima ovih stranica. Prošlo je puno vremena od zadnjeg teksta na ovim stranicama. Nisam, naravno, izgubio polet, već sam bio prilično zaokupljen na nekoliko projekata, pa su ove stranice, nekako, završile u drugom planu. Uskoro će biti nešto više riječi o ovim projektima, a posebno ću opisati rad na razvoju aplikacije za upravljanje informacijskim rizicima. Osim na projektima, sudjelovao sam i u nekoliko događaja i javnih skupova. Krajem veljače sam na redovitim mjesečnim sastancima hrvatskog ogranka ISACA-e predstavio metodu za upravljanje rizicima - MEHARI, a u najfriškijem sjećanju je i prošlotjedno sudjelovanje na prvoj konferenciji internih revizora u Opatiji, u organizaciji Hrvatskog instituta internih revizora. HIIR je, pored hrvatskog ogranka ISACA-e, jedina stručna organizacija koja se, među ostalim, bavi i revizijom informacijskih sustava.

Glavnu riječ u planiranju, organizaciji, a naročito vođenju stručnog programa konferencije u Opatiji imali su sami revizori. Organizacijski dio nije nimalo podbacio, a stručni dio bio je osobito zanimljiv, naročito onaj koji se odnosio se na reviziju informacijskih sustava.

Borea je održala jednu veoma zanimljivu i dobro posjećenu radionicu o korištenju CAATT alata IDEA. Radionica se bazirala na stvarnom primjeru iz poslovne prakse i u, preko 120 minuta, predstavili smo glavne analitičke mogućnosti softvera IDEA.

Također, održao sam i prezentaciju koja se odnosila na jedno od najpodcjenjenijih područja informacijske sigurnosti - upravljanje log zapisima. Ova tematika podjednako je zanimljiva i stručnjacima za sigurnost kao i revizorima informacijskih sustava. Revizorima je zanimljiva iz dva razloga. Prvo, revizija svakog imalo osjetljivijeg informacijskog sustava mora uključivati i reviziju procesa upravljanja log zapisima. Drugi razlog leži u činjenici da log zapisi sadrže brojne informacije o radu i korištenju informacijskog sustava. Ove informacije se moraju svakako sagledati u situacijama kada se izvodi detaljna analiza pojedinih sigurnosnih mjera odnosno kada se testira provedba predviđenih postavki.

Konferencija u Opatiji pokazala je veliko zanimanje za problematiku revizije informacijskih sustava, što nimalo ne čudi s obzirom na sve prisutnije regulatorne zahtjeve. Raduje što su sudionici konferencije bili spremni podijeliti svoja razmišljanja u ovom dijelu struke koje se, u našem okruženju, tek treba etablirati.

Heartland: najveća krađa podataka do sada?

2009-01-29T14:44:00.005+01:00

Siječanj je, izgleda, rezerviran za rekorde u računalnom kriminalu. Ove godine imamo Heartland Payment System, šestog po veličini američkog procesora kartičnih transakcija. Konačni izvještaji nisu još dostupni, no pretpostavlja se da je incident otkriven krajem 2008. opsegom premašio krađu podataka u TJX-u iz 2007. Nije još poznat ni karakter ukradenih podataka (Heartland, naravno, nastoji ublažiti javni efekt), kao ni tehnika izvedbe. Ipak, pretpostavlja se da je maliciozni program, smješten u kritičnom dijelu sustava, bilježio obrađivane transkacije (Heartland obrađuje oko 100 milijuna transakcija mjesečno). Treba reći da je Heartland obrađivao transkacije koje su realizirane u nizu manjih dućana i restorana širom Sjedinjenih država (Internet transkacije jedva da su i bile zastupljene)

Na tehničke okolnosti ću se vratiti kada budu poznati rezultati istrage, no želim ukazati na činjenicu da je Heartland nekoliko mjeseci prije incidenta certificiran kao sukladan sa zahtjevima PCI DSS standrada (to je bo slučaj i u prošlogodišnjem incidentu kod tvrtke Hannaford). Još jedna potvrda da biti sukladan ne znači i biti siguran.

Vjerujem da će ovaj incident (i slični koje sigurno možemo očekivati) pokrenuti neke promjene u primjeni PCI DSS standarda. Mora se posvetiti veća pažnja ne samo činjenici radi li se operativan nadzor sigurnosti informacijskog sustava, nego i kako se taj nadzor provodi. PCI DSS certifikacija je samo snimak stanja u određenom trenutku (onda kada QSA boravi u tvrtki). Logovi, sistemski događaji, konfiguracijski podaci, ranjivosti - to moraju biti glavni, ali ne i jedini, indikatori kvalitetete sigurnosnih mjera.

Podsjetio bih da je incident iz 2005. kod tvrtke CardSytem Solutions (također, procesor kartičnih transakcija) rezultirao, pored krađe 40 milijuna podataka, i prestankom rada ove tvrtke. Očekuje li ista sudbina i Heartland?

Tek dva od tri računala otporna na Downadup

2009-01-18T17:14:00.010+01:00

Downoadup/Conficker, o kojemu je izvjestio čak i CNN, me je podsjetio na dobra stara vremena kada su se maliciozni programi nazivali virusima. Postoje dvije poveznice između ovog programa i virusa iz davnih vremena.

Prvo, Downadup/Conficker se manifestira na bučan i masovan način (koji su moderni maliciozni programi gotovo napustili). Prema nekim procjenama, do današnjeg dana je zahvatio oko 9 milijuna računala (preko 6 milijuna novozaraženih računala u zadnjih nekoliko dana, a broj će se svakako povećati već sutra). Kao da su autori ovog programa bili motivirani i retro porivom za pet minuta slave, što su uz ovakvu dinamiku širenja i postigli.

Drugo, Downadup/Conficker iskorištava jednu ranjivost u Windows operativnom sustavu koja je poznata već dulje vrijeme (od listopada 2008.) i za koju postoji popravak (patch) ali koji, iz nekog razloga, na mnogim računalima nije primjenjen. Ovaj moment se ponavlja iz godine u godinu. Ako računalne ranjivosti baš i moramo silom prilika prihvatiti kao nužnost današnje softverske industrije, korisnici i dalje pokazuju jako malo volje da svojim ponašanjem ublaže negativne učinke takve realnosti. Ponovo moramo naglasiti potrebu za dosljednim upravljanjem računalnim ranjivostima.

Jedan detalj me dodatno iznenadio. Tvrtka Qualys je objavila u 2003. jedno istraživanje (“The Law of Vulnerabilities”) prema kojemu se u roku od 30 dana od dana objave programskog popravka, tek na 50% računala ovaj popravak zaista i primjeni. Ako pogledamo i slijedećih 30 dana, na kraju tog razdoblja popravak nedostaje na oko 30% računala. Kako se čini, Downadup/Conficker je potvrdio ovu zakonitost. Naime, tvrtka Qualys provodi provjeru ranjivosti na temelju SaaS servisu, pa redovito vodi statističke analize o zastupljenosti pojedinih računalnih ranjivosti u poslovnom okruženju koje SaaS servis QualysGuard poslužuje. Ova je analiza pokazala da početkom siječnja (dakle, dva mjeseca od pojave popravka MS08-067 koji spriječava pojavu programa Downadup/Conficker) tek dva od tri računala sadrži spomenuti popravak. Ovi podaci su još ozbiljniji ako uzmemo u obzir da Qualys-ove analize obuhvaćaju korisnike njihovih SaaS usluga, a to su prije svega korporativni korisnici (tek u malom postotku su obuhvaćeni kućni korisnici). Dodatno nas mora zabrinuti činjenica da se pristup nije promjenio od 2003. godine.

Dobra vijest je da Downadup/Conficker, iako napisan izuzetno inovativno i temeljito, kako se čini ne sadrži osobito maliciozan učinak (barem ne verzija koja je poznata u trenutku pisanja ovog teksta). No, kad uzmete u obzir da je značajka modernog malicioznog koda ipak znatno veća opskurnost i tišina djelovanja te veća doza nedobronamjernosti, mislim da je potrebno još jednom ponoviti staru lekciju o održavanju dobrog stanja računalnih sustava.

Različiti aspekti zaštite privatnosti

2008-12-19T21:30:00.003+01:00

Ovih dana sam odgovarao na pitanje o povezanosti mojeg zadnjeg napisa sa temama ovog bloga. Taj napis, naime, treba čitati kao dio problematike zaštite privatnosti. Zaštita privatnosti se najčešće sagledava kroz prizmu čuvanja i neotkrivanja osobnih podataka. No, zaštita privatnosti ima (barem) još dva aspekta vezana za informacijske tehnologije, koje bi, po mojem mišljenju, trebalo detaljno sagledati.

Prvi aspekt se odnosi na sve dominantniju informatizaciju javne uprave, koja nas, istini za volju, tek očekuje u pravom zamahu. Naime, može se očekivati da će različiti informatički servis - najčešće u nadležnosti državnih tijela - imati sve značajniji utjecaj. Takvi će servisi evoluirati od informativnog karaktera prema pružanju različitih kritičnih servisa i obavljanju važnih transakcija. Čuvanje osobnih podataka neće više biti jedini zahtjev koje će ove aplikacije morati ispuniti. Točnost, vjerodostojnost i neporecivost imati će kritično značenje. Posebno će se to odnositi na sustave i aplikacije koje će imati funkciju arbitra u pojedinim društvenim transakcijama. Zamislite, na primjer, funkciju digitalnog javnog bilježnika: neodgovorna realizacija takvog i sličnih sustava postati će izvor manipulacija i korupcije. Možemo s pravom postaviti pitanje kako će pojedinci (građani, osobe) biti zaštićeni u takvim sustavima? Kako će javni servis dokazaviti svoju vjerodostojnost? Hoće li pojedinci moći osporavati transakcije obavljene ovim servisima? Smatram da ova problematika mora pridobiti posebnu pozornost i postati važno područje zaštite osobnih prava u digitalnom svijetu.

Drugi aspekt zaštite privatnosti zapravo i ne predstavlja suštinsku novost. Naime, već su se i tradicionalni elektronički mediji pokazali veoma iskoristivim u svrhu manipulacije javnošću. Novi mediji, vezani prije svega za Internet, imaju još i veći potencijal za takve manipulacije. S obzirom da su upravo pojedinci (građani,osobe) ponajviše izloženi manipulacijama na svim područjima (od ekonomije do politike), smatram da ograničenje aktivnosti koje pokazuju tendenciju manipulacijama i zaštita pojedinaca od manipulacija također moraju postati važno područje zaštite osobnih prava u digitalnom svijetu.

Upravo je ovaj drugi aspekt bio poveznica s prethodnim napisom s ovih stranica. Smatram da su prave aktivnosti tek pred nama, a slobodno mi sugerirajte i druge aspekte zaštite osobnih sloboda u digitalnom svijetu.

Realna i virtualna javnost

2008-12-10T12:12:00.005+01:00

Približava se kraj godine i običaj je raditi završne izvještaje o događajima iz protekle godine. Nedavni prosvjed organizirane pomoću Facebooka prilika su za povlačenje zanimljivih usporedbi s lažnim intervjuom premijera Sanadera Jutarnjem listu, a o kojemu sam pisao u veljači. U čemu je srodnost ovih događaja i koje to ima veze s temom ovih stranica?

I jedan i drugi slučaj su vezani za manipulaciju identitetima i za bezrezervno (i ponekad neopravdano) povjerenje korisnika u vjerodostojnost informacijskog sustava.

O prvom slučaju ste upoznati, no koje su značajke ovog drugog, tj. organizacije prosvjeda i pokušaja okupljanja sudionika ovih prosvjeda početkom prosinca u većim Hrvatskim gradovima?

Naime, ne mogu se oteti dojmu da je konačni učinak prosvjeda bio razočaravajući za redovite pratitelje i kroničare društvenih zbivanja: od početne euforije pojačane nespretnom intervencijom policije pa do osporavanja i ograđivanja potaknutih profilom i kompetencijom organizatora. Takvo je nezadovoljstvo prije svega motivirano izvedbom i razultatima samog događaja, a manje sadržajem koji je ponuđen događajem. Sudionici smatraju da su "nasjeli" pozivima organizatora, da su nesmotreno pristali biti publika i dati svojevrsni legitimitet osobama koje to nisu zasluživale, te da je konačni učinak događaja manji od očekivanog.

Ne želim, naravno, uopće ulaziti u temu prosvjeda i motive prosvjednika. Zaintrigirale su me dvije, međusobno povezane, činjenice. Prvo, lakoća kojom su organizatori postigli pozornost javnosti; drugo, činjenica da su prosvjedi okupili podosta sudionika za koje možemo sa sigurnošću reći da nisu uključeni u Faceobook zajednicu.

Rekao bih da je pozornost javnosti (koja je i rezultirala okupljanjem šarolikog profila prosvjednika) rezultat neprovjerenog odobravanja medija bez obzira što kompetencije organizatora nisu provjerene. Drugim rječima, organizatori su se, iskorištavajuće neke druge trendove u medijskom prostoru, uspjeli dobro prodati tradicionalnim medijima (kao što se prodao autor lažnog premijervog intervjua). Razočarenja i osporavanja došla su prekasno.

Za razliku od intervjua lažnog premijera koji je mogao biti spriječen uz veću opreznost novinara ili urednika, ovdje smo na djelu imali masovnu reakciju koja teško da je mogla biti izbjegnuta, no ukazuje nam na problem potencijalnih manipulacija većih razmjera. Naime, poslovni model koji stoji iza Facebooka fokusiran je na direktni marketing članovima zajednice. Mogući su naravno i obratni smjerovi, tj, da članovi zajednice djeluju prema okolini, no pouzdanost i vjerodostojnost takvih aktivnosti nije podržana poslovnim modelom Facebooka, barem ne bez "bugova", pa će rezultati biti uglavnom konfuzni i nerelevantni. Ipak, ima i uspješnih primjera, npr. prosvjed srednjoškolaca održan ovog ljeta, no u tom su slučaju ideja i poruka bili artikulirani mimo Facebooka, a koji je iskoršten prije svega kao mobilizacijski mehanizam unutar uske interesne skupine.

Stoga, smatram da se društveni život ne može oslanjati na anonimnim i neprovjerljivim korisničkim identitetima, čija se relevantnost postiže, ne suštinskim sadržajem, već količinom "klikova". Mali je korak do masovnog socijalnog inženjeringa.

Vjerujem da će i ovaj događajh pokazati da je potrebno jasno raspoznavati virtualne od realnih zajednica. Također, nadam se da "Javnost" može postojati isključivo kao realna zajednica s provjerenim i provjerljivim metodama djelovanja. Nisam, naravno, protivnik virtualne javnosti no smatram da, kao i u slučaju arhitekture virtualnih operativnih sustava, ova vrsta javnosti mora ostati unutar vlastitog konteksta.

Može li nam pomoći Veliki brat?

2008-11-15T12:12:00.007+01:00

Nadao sam se da ću odoljeti iskušanju pisana na temu korištenja video nadzora na gradskim ulicama, no afirmativan tekst u prošlonedjeljnom dječjem dodatku Jutarnjeg lista o ovoj temi bio je presudan.

S nedavnim nemilim događajima na zagrebačkim ulicama (od mafijaških ubojstava pa do maloljetničkog nasilja) obnovila se incijativa za postavljanje nadzornih kamera u našem gradu (različiti novinski napisi govore o 500 kamera koje bi bile postavljene na posjećene gradske točke i važnija raskrašća). Je li to 9/11 na hrvatski način?

Čini se da promotori ove ideje nisu pročitali analizu BBC-a o sličnom projektu, no u većem razmjeru, na britanskim ulicama. Tamo se tvrdi da su, unatoč investiciji od nekoliko milijardi funti, postignuti razočaravajući rezultati: samo 3% uličnih pljački u Londonu je razriješeno pomoću nadzornih kameri.

Naravno, kamere ne bi bile potpuno beskorisne. Na mjestima na kojima su postavljene imale bi pozitivan učinak, barem što se tiče sitnog kriminala ili možda bacanja otpadaka na pod ili pisanja grafita. No, kako kažu neke studije, već stotinjak metara dalje učinak kamera postaje minoran. S vremenom, kriminal se seli na nenadzirana mjesta.

Suština problema leži u tome što je za praćenje kamera neophodan kontinuirani angažman ljudi od krvi i mesa, a njihov broj raste što je više kamera. No, tu nije kraj, pravi angažman se zaokružuje intervencijom predstavnika zakona na ulicama, a, uz veliki broj kamera, to podrazumijeva i veliki broj interventnog osoblja, uključujući i rješavanje mnoštva pogrešnih dojava. Pored toga, potrebno je prepoznavati netipična ponašanja i anomalije koje ukazuju na mogući incident. Drugim riječima, kamere postaju s vremenom neefikasne.

Primjer nedavnog ubojstva u Zagrebu: postavljanje motocikla pored Pukanićevo auto i prešetavanje osobe s motorističkom kacigom kroz dvorište, nije, izgleda, izazvalo nikavu sumnju osoblja koje je pratilo rad kamera.

Tako dolazimo do situacije da će primjena nadzornih kamera biti puno učinkovitija u slučajevima u kojima se na zahtjeva interventna preciznost i zakonska vjerodostojnost postupaka (dakle, ne u borbi protiv kriminala), pa smatram opravdanim brigu da će se tako dodatno ugroziti naša privatnost.

Pored ugrožavanja privatnosti, treba ukazati na još jedan fenomen blizak tematici ovih stranica - lakoća i brzina kojom je prihvaćeno mišljenje da tehnologija može razriješiti suštinske društvene probleme (što je u polazištu pogrešno), a da nisu detaljno analizirani potencijalni rizici.

Svakako me smeta i ravnodušnost javnosti ili čak odobravanje ove inicijative - izgleda da je višegodišnje emitiranje Big Brothera ispunilo svoju svrhu i javnost je postala spremna prihvatiti neprihvatljivo (što je slijedeće: poligraf za kućnu upotrebu?). Još jedna potvrda ove tvrdnje iz naših medija. Prije mjesec dana (u jeku nemilih događaja na zagrebačkim ulicama) u središnjem dnevniku nacionalne televizije najavljen je zakon kojim se predviđa uzimanje DNK uzorka svih osuđenika. U prilogu se, vjerujem zbog neznanja novinara, ushićeno najavljuje plan da će se u skoroj budućnosti DNK uzorci uzimati i djeci nakon rođenja. Takva je praksa, naravno, izuzetno opasna sa stajališta zaštite privatnosti. Vjerujem da se tako nešto ne planira, no novinari moraju s puno više odgovornosti baratati temama zaštite privatnosti jer će u suprotnom prosječni čitatelj/gledatelj početi ovakve ideje prihvaćati kao normalne.

Sigurnosni programi otkrivaju tek do 3% malicioznih programa?

2008-10-15T12:55:00.006+02:00

Prije dva dana su objavljeni rezultati istraživanja renomirane tvrtke Secunia o efikasnosti prepoznavanja malicioznih programa od strane specializiranih sigurnosnih programa. Istraživanje je obuhvatilo 12 najprisutnijih paketa - najlakše bi ih bilo nazvati "anti-virusni" no njihova je namjena zaštita od svih oblika prijetnji koje pojednci i "kućni korisnici" mogu očekivati na Internetu.

Test je obavljen u laboratorijskim uvjetima, a cilj je bio utvrditi kako testirani programi odgovaraju na pojavu 144 datoteka koje su sadržavale maliciozni kod i kako reagiraju u doticaju s ukupno 156 web stranica koje su sadržavale malicozni sadržaj. Test je napravljen na prosječno "patchiranoj" XP konfiguraciji. Detalji testa se mogu pronaći na ovoj stranici.

Rezultati su porazni. Analizirani programi otkrili su manje od 3% malicoznih programa. Prosjek je "pokvario" Symantec Norton Internet Security 2009, koji je otkrio 21% takvih programa. Takav rezultat Symanteca je, u usporedbi s ostalim, svakako za pohvalu, no niti ovaj rezultat ne možemo proglasiti zadovoljavajućim.

Ono što zabrinjava je činjenica da svaki od testiranih programa kroz oglase jamči "100%" zaštite na Internetu, no test je pokazao nešto drugo.

Test na najbolji način dokazuje tezu da je tehnologija izrade malicioznog koda znatno uznapredovala od klasične percepcije računalnih virusa. Vektori iskorištavanja su sve raznolikiji, ranjivosti imaju svojstvo dugotrajnog zadržavanja, a motivacija napadača je evoluirala iz hobističkog dokazivanja sposobnosti u organizirani kriminal.

Iako je test obuhvatio tzv. "retail" pakete koji se prije svega koriste za kućnu ili pojedinačnu zaštitu, poslovni korisnici nemaju razloga za miran san. Svojstva antivirusnih jezgri su jednako problematična, pa poslovnim korisnicma preostaje preventiva kao glavno rješenje: otkrivanje i otklanjanje ranjivosti, dosljedno pridržavanje politike antivirusne zaštite i kontinuirano praćenje događaja na sustavu kao indikator neprihvatljivih događaja.

"Hackiranje" informacija

2008-09-12T09:59:00.006+02:00

S osobitim zanimanjem pratim svaku pojavu "ranjivosti novog kova". Naročito me zanimaju događaji koji mogu promjeniti naše dosadašnje shvaćanje određene tehnologije. Možda je pretjerano ovaj slučaj tako nazvati, no u sebi nosi veoma važne pouke. Srećom, nije se desio u našoj neposrednoj blizini (iako je kontekst veoma aktualan u današnjoj Hrvatskoj).

Dakle, Google News je 7. rujna 2008. objavio da je United Airlines, jedna od najvećih zrakoplovnih kompanija, pred bankrotom. Vijest se pojavila u nedjelju, a odmah idućeg dana reagiralo je tržište: dionica UAL je pala sa 12 USD na 3 USD. Vijest bi bila dramatična, ali ne i neobična. Ipak, pokazalo se da je informacija o bankrotu kriva, a ono što je zanimljivo je pozadina te vijesti.

Naime Google News funkcionira kao agregator koji indeksira vijesti sa najznačajnijih medijskih portala. Pravi posao obavlja Googlebot koji zapravo pretražuje web servere. Vijest o bankrotu UAL pojavila se na stranicama portala Sun-Sentinel, inače u vlasništvu velikog izdavača koji izdaje i Chicago Tribune. No, problem je u tome što je ovo bila vijest iz 2002. godine. Sun-Sentinel je naslovnici neoprezno objavio link na staru vijest (u rubrici "najpopularniji članci"). Googlebot je prepoznao tu vijest kao novu (analizom pridjeljene url adrese, naravno nije analizirao sadržaj). Ostatak je bio automatizam (koji Google čini onim što i je).

Odmah su se pojavila dva pitanja.

Prvo, kako to da je Google indeksirao taj članak kao novi? Google objašnjava da pridjeljeni url do tada nije bio registriran u njihovim sustavima pohrane, a s jedini datum koji je uz vijest bio dostupan je 7. rujna 2008. Sun-Sentinel, odnosno njihov izdavač Tribune, nisu se tek tako predali, pa je uslijedilo prepucavanje koj se svodi na problem kokoš/jaje (pogledajte reakciju Google-a i odgovor Tribuna).

Kako sada stvari stoje, izgleda ipak da je Tribune bio malo neoprezan oko izgradnje svog CMS sustava i da nose znatan dio krivice.

No drugo pitanje je možda čak i zanimljivije: kako to da se vijest stara šest godina odjednom pojavila na naslovnici Sun-Sentinela kao popularna? Ponovo je u pitanju automatizam njihove CMS aplikacije koja je utvrdila pojačanu frekventnost pristupa url adresi o bankrotu UAL (iako staroj šest godina), pa se taj naslov automatski pojavio u istaknutom okviru. No, time se otvorilo pitanje pozdanosti takvog algoritma ocjene popularnosti? Ako je povećani broj klikova jedini kriterij za kategoriziranje određen vijesti kao najpopularnije, onda zaista nije nikakva problem postići ovakav efekt. To se može napraviti na brutalan način (i s primitivnom botnet infrastrukturom), a još jednostavnije je koristiti digitalna društvena okupljališta i Web 2.0 tehnologiju (npr. Digg).

Drugim rječima, na djelu smo vidjeli slučajnu ili poticanu manipulaciju informacijom, korištenjem web aplikacija. Iako se možda radi samo o tehničkoj greški uzrokovanom nedovoljno provjerenim automatizmom, u ovome vidim i mogućnosti zlonamjernih aktivnosti koje se kreću između manipulacije i hackiranja istine.

Izbor okvira za primjenu Smjernica HNB-a

2008-09-04T21:21:00.005+02:00

Nedavno sam odgovarao na pitanje o tome koji je radni okvir prihvatljiviji za primjenu Smjernica HNB-a: ISO 27001/27002 ili COBIT. Čitatelji ovih stranica znaju kako ja često citiram COBIT, no fali li uopće nešto normi ISO 27001/27002, koja je, usput rečeno, puno popularnija i poznatija u našim krajevima?

ISO 27002 je jednostavan dokument, njegove su preporuke zrdravorazumske a mnogi koji ga uzimaju u ruke s namjerom primjene, već nakon desetak stranica s olakšanjem zaključuju kako su gotovo sve odredbe primjenjene ili lako primjenjive u njihovoj okolini. Pored toga, smjernice HNB-a i po volumenu i po detaljnosti veoma podsjećaju na dokument ISO 27002. Bilo bi nepravedno i netočno reći da će neka banka pogriješiti ako normu ISO 27001/27002 iskoristiti za postupak usklađivanja sa zahtjevima HNB-a.

Ipak, treba spomenuti i glavne nedostatke takve strategije.

Prije svega, izborom ISO 27002 kao radnog okvira daje se pogrešna poruka da su Smjernice HNB-a tehničko pitanje, u nadležnosti informatičke službe. ISO 27002, doduše, i u uvodnom dijelu i u dijelu s pregledom kontrolnih mjera predviđa tijesnu vezu s managementom, no ove odredbe, iz više razloga, imaju samo formalnu ali ne i suštinsku snagu. To, naravano, ne bi trebalo biti tako, no treba dosta snage u primjeni norme ISO 27001/27002 kako bi se management pretvorilo u kvalitetne i strpljive sugovornike.

Smjernice HNB-a dodjeljuju izuzetno važnu ulogu procesu upravljanja informacijskim rizicima. Ovaj dio, sagledan s odredbama o odgovornosti uprava banaka i potrebi revizije informacijskih sustava, smatram najznačajnijim faktorom primjene Smjernica HNB-a. Upravo iz ovog razloga, COBIT može biti od velike pomoći. COBIT ne samo da opisuje kontrolne mjere i praksu koje se odnose na upravljanje rizicima i obveze managementa, već je sve donedavno njegova glavna primjena bila baš u postupku revizije. Pred toga, COBIT danas pruža i djelotvorne instrumente za mjerenje uspješnosti primjene i pridržavanja svih procesa predviđenih smjernicama HNB-a. Time je uspostavljena povratna veza između operativne i strateške razine odlučivanja.

Na kraju, mislim da je jedna od prednosti COBIT-a i ta što u sebi ne uključuje i ne podrazumijeva službenu certifikaciju. Dosadašnji model isigurnosnih certifikacija pružaju tek minimalna jamstva da je objekt certifikacije zaista i siguran.

Naravno, primjena COBIT-a je veći zalogaj koji ne vole svi žvakati. Pored toga, razmišljanje da su regulatorni zahtjevi, u ovom slučaju HNB-a, ovdje radi vas a ne radi regulatora, u današnjim je vremenima možda ipak preidealističko. No, trud bi vam se mogao isplatiti, a što se tiče ideala - treba iskoristiti svaku priliku za njihovo potvrđivanje.

Talačka kriza u računalnoj mreži

2008-07-18T13:55:00.004+02:00

Vijest je objavljena i u našim novinama: Terry Childs, nezadovoljni mrežni administrator u gradskoj upravi San Francisca, odbio je nadležnima objaviti lozinke koje koristi za administraciju multimilijunske računalne mreže. Ova mreža poslužuje informatičku infrastrukturu gradske vlasti i njome se prenose ili su pohranjeni najkritičniji polsovni podaci.

Slučaj ima, po svemu sudeći, pozadinu u organizacijskim previranjima i nezadovoljstvu zaposlenika, no Childs je to demonstrirao na veoma drastičan način. Revizija, provedena u lipnju, utvrdila je nepravilnosti vezane za njegov rad što je kod njega izazavalo manijakalnu reakciju i motiviralo ga na izmjenu lozinki na svim mrežnim uređajima (switch i router uređaji) čime je onemogućio pristup ovim resursima za druge administratore. S obzirom da je odbio otkriti lozinke, završio je u pritvoru i očekuje suđenje. Za sada sve funkionira kako treba, no preostali administratori još nisu uspjeli vratiti kontrolu nad mrežnom infrastrukturom.

Ovaj slučaj, kao i mnogi drugi "insiderski" slučajevi, daleko je od tehničke sofisticiranosti i ne iskorištava "napredne" ranjivosti, no efekt može biti izuzetno poguban za gradsku vlast. Nalazimo i neke druge sličnosti s poznatim "insiderskim" slučajevima.

Prije svega, nedostajale su minimalne kontrolne mjere koje bi regulirale korištenje privilegiranih korisničkih prava. Vrlo je moguće da nisu dostupne ni arhivske kopije iz kojih bi se obnovio prethodni sadržaj. Na kraju, pojavili su se podaci o tome da je Childs prije dvadesetak godina bio osuđivan zbog krađe, a što je bilo poznato gradskoj vlasti prilikom zapošljavanja.

Ovaj slučaj ponovo naglašava korištenje administratorskih korisničkih prava i široke privilegije koje administratori mogu nekontrolirano koristiti. Koristim priliku kako bih vas uputio na nedavno istraživanje koje govori da svaki treći administrator koristi privilegirana prava kako bi njuškao po podacima koji pripadaju drugim zaposlenicima, bilo da sazna privatne ili poslovno-povjerljive podatke.

Iako će se Childs, kako izgleda, teško obraniti od optužbi, slučaj jasno pokazuje i na odgovornost managementa. Naime, postoje brojne obrambene mjere - od onih proceduralnih pa do sofisticiranih tehničkih, kojima se informatička infrastruktura brani od ovakvih napada. Izgleda da ni jedna od njih nije primjenjivana.

Krađa identiteta na vratima

2008-06-30T09:19:00.008+02:00

"Krađa identiteta" nas obično asocira na nepouzdanost Interneta, neopreznost u otvaranju i odgovaranju na mail poruke i potencijalne probleme s kreditnim karticama. Ako ste primarno okrenuti Internet zajednici možda ne znate da je "krađa identiteta" davno definiran scenarij prijevare, utemeljen u netehnološkom kontekstu. Zaparavo, i danas je veoma čest. Naše novine redovito donose primjere krađe identiteta koje su zasnovane na takvim klasičnim scenarijima. Unatrag nekoliko mjeseci, Jutarnji list je pisao o više takvih primjera. Krajem svibnja opisan je slučaj krađe podataka o identitetu invalida domovinskog rata kredita, nakon čega su neovlašteno podignuti krediti Splitu i okolici. Mjesec dana kasnije, opisan je slučaj hrvatskog državljanina koji živi u SAD-u, a postao je žrtva prijevare, te zamalo ostao bez kuće na Krku (netko je, na temelju ukradinih podataka o njegovom identitetu, sastavio kupoprodajni ugovor). Kakve veze imaju spomenuti primjeri s temom ovih stranica?

Nesumnjivo, radi se o klasičnom kriminalu koji pripada crnoj kronici. No, u njima možemo prepoznati određene veze s informacijskom sigurnošću. Povezanost klasične krađe identiteta s informatikom dodatno će argumentirati i prošlogodišnji primjer prijevare u osječkoj podružnici RBA.

Naime, da bi krađa identiteta bila uspješna, napadač mora na što je moguće bolji način utjeloviti identitet žrtve. Nasuprot pred-digititalnom razdoblju kada su podaci bili reducirani teško dostupni i ograničeni, danas se takvi podaci lakše pronalaze. Ponekad samo u poslovnom okruženju s ograničenim pristupom, no veoma često u javno dostupnim izvorima i uz suglasnost potencijalnih žrtava (Google može puno toga otkriti, no tu su i sve brojni oblici "socijalnih" sadržaja).

Stoga nas ne treba čuditi ako ovih primjera bude sve više. Možda smo premala zajednica da bi masovna krađa identiteta zloupotrebom elektroničke pošte ("phishing") bila ekonomična za napadače, no klasične prijevare i usmjerena krađa identiteta nailazi na plodno tlo (osobni identifikacijski broj će dodatno olakšati pomoć napadačima). Procjena informacijskih rizika u poslovnim sustavima, a naročito u procesima državne uprave mora ozbiljno uzeti u obzir ove prijetnje, te na vrijeme izabrati odgovarajuće zaštitne mjere. Procjenjujem da neće uvijek ići lako, s obzirom da je strategija obrane uglavnom usmjerena prema informatičkoj infrastrukturi, a veoma rijetko prema podacima (što je u slučaju krađe identiteta neophodno)

Druga poveznica s ovim stranicama leži u činjenici da je u svim citiranim slučajevima došlo do propusta u provjeri i verifikaciji identiteta žrtava. U ovim primjerima to, naravno, nema veze s informacijskim tehnologijama: isprave su krivotvorene na klasičan način, bilježnici su površno provjeravali ugovore, dolazilo je do propusta sudskih službenika - pretpostavljam da će istražna tijela imati dovoljno posla. No, iz ovih slučajeva pouku treba izvući državna uprava: jedna od funkcija tijela u pravnoj državi je i pružanje servisa kroz koji se potvrđuje vjerodostojnost transkacija, podataka o predmetima ovih transkacija, a naročito identitet osoba koje sudjeluju u transkacijama. Zamahom digitalne državne uprave, servisi potvrde vjerodostojnosti postati će kritični. Dizajn i implementacija servisa mora biti izuzetna, a operativna provedba treba onemogućiti sve zloupotrebe. Pored toga, već sada bi trebalo dati jasne odgovore tko će biti odgovoran za slične slučajeve u sustavu digitalne državne uprave, a naročio tko će pokrivati financijske štete u ovim slučajevima?

Verizon: Izvještaj o sigurnosnim incidentima

2008-06-24T06:45:00.010+02:00

Poslovne obveze i Euro 2008 bile su razlog što su se prorijedili napisi na ovim stranicama, no, obećajem, vraćam se uobičajenom tempu.

Nedavno se pojavio jedan veoma zanimljiv tekst tvrtke Verizon - značajnog globalnog pružatelja telekomunikacijskih usluga, o računalnim sigurnosnim incidentima. Naime, prošlogodišnjom akvizicijom tvrtke Cybetrust, Verizon je postao i jedan od vodećih pružatelja sigurnosnih usluga. Njihovi su timovi vodili forenzičku istragu u više od 500 slučajeva tijekom protekle četiri godine. Dokument na koji vas upućujem donosi sintetičku analizu ovih slučajeva i na tridesetak stranica pruža zanimljive zaključke.

Jedan od osnovnih zaključaka izazvao je ponajviše komentara u web prostoru. Verizon iznosi podatak da je 73% incidenata izazvano vanjskim prijetnjama, 18% slučajeva je rezultat unutarnjih prijetnji a 39% slučajeva je rezultat djelovanja poslovnih partnera (neka vas ne zbuni činjenica da zbroj ovih znamenaka prelazi 100%, Verizon tvrdi da je veliki broj incidenata uzrokovan djelovanjem iz više od jednog izvora). Neki autori u web i blog prostoru su iskoristili ovaj podatak kao argument koji bi trebao potvrditi kako je strah od insiderskih prijetnji pretjeran. Naravno, vanjske prijetnje su postale sve prisutnije i sofisticiranije, a zbog sve neposrednije povezanosti i, praktički, neprekinutog korištenja Interneta servisa, učestalost vanjskih prijetnji, bez sumnje, dominira. No, ne bi trebalo izvlačiti pogrešne zaključke o prestanku insiderskih prijetnji i to iz nekoliko razloga.

Kategorizacija izvora prijetnji kako je definira Verizon pomalo je dvojbena. Naime, u stručnoj javnosti je prihvaćena definicija insidera kao svih osoba koji pristupaju informacijskom sustavu neke organizacije s određenom i formalno dodjeljenom razinom privilegija. Formalni odnos (zaposlenje) ne bi trebao biti kriterij, pa tako pojam insideri obuhvaća i privremene zaposlenike, konzultante, servisno osoblje pa i vanjske partnere. Prema tome, prije spomenuti postoci poprimaju druge omjere.

No, treba reći da ni Verizon ne ohrabruje zaključke o manjoj prisutnosti insiderskih prijetnji. U dokumentu je istaknuto da su njihovi timovi nastupali kod složenih slučajeva, dok se neki jednostavniji slučajevi - krađa laptopa, fizički incidenti - rješavaju izvan forenzičkih aktivnosti. Tome, svakako treba pribrojiti sve druge jednostavne, a svakako učestale, insiderske incidenate koji nisu ušli u ovu statistiku.

Sama analiza dodatno potvrđuje realne rizike od insiderskih prijetnji. Jedan od nalaza govori o prosječnom kapacitetu ugroženih podataka (specificiran je kao broj kompromitiranih slogova) ovisno o izvoru prijetnje. Eksterne prijetnje su rezultirale s prosječno 30.000 kompormitiranih slogova, prijetnje partnera s prosječno 187.500 ugroženih slogova, a prijetnje "insidera" s prosječno 375.000 ugroženih slogova.

Umjesto zaključka o manjoj kritičnosti insiderskih prijetnji, pravi bi zaključak trebao sugerirati potrebu za cjelovitim pogledom na prijetnje, ranjivosti i potencijalne gubitke (dakle, za "risk managementom"). Pri tome, treba odbaciti i generaliziranja koja idu u drugu stranu, te prenaglašavaju insiderske prijetnje bez opipljivih argumenata.

Preostali dio teksta jako je zanimljiv. Umjesto prepričavanja, istaknuti ću samo nekoliko zanimljivih zaključaka:

Glavni vektor djelovanja prijetnji su greške žrtve - pri čemu su propusti u definciji i konfiguraciju prisutni u 79% grešaka. Drugi i tek nešto niže plasirani vektor je hackerska aktivnost napadača (39% slučajeva se odnosi na hackiranje aplikacija, a preostali slučajevi su distribuirani na razne oblike ranjivosti operativnog sustava)
Čak 52% slučajeva zahtjevalo je nisku razinu ekspertize napadača, a visoka ekspertiza je primjenjena samo u 17% slučajeva. Ovaj podatak svakako treba otvoriti oči svima.
Samo 15% napada je bilo direktno fokusirano i usmjereno na izabrane žrtve, preostali napadi su bili ipak rezultat slučaja te direktne ili indirektne prigode koja se ukazala napadaču
Meni je posebno zanimljiv podataka da je čak 70% incidenata otkriveno nakon dojave treće strane. Interna ili eksterna revizija utvrdila je 5% slučajeva, a praćenje i analiza logova utvrdila je 4% slučajeva.

Svaka tržišna analiza sadrži potencijalne nepreciznosti, često su prisutni brojni faktori koju mogu utjecati na konačni zaključak, a treba uzeti u obzir takve analize imaju najčešće i svojeg - direktno zainteresiranog - sponzora. No ipak, ovaj dokument ima dovoljno argumenata za čitanje.

Kako je "porezni broj" postao "osobni identifikacijski broj"?

2008-04-30T06:58:00.010+02:00

Porezni broj bio je tema ovih stranica u veljači, a trenutno zasjedanje Sabora, na kojem se po hitnom postupku usvaja Zakon o osobnom identifikacijskom broju broju, prava je prilika za dopunu tog zapisa.

Što se novo dogodilo u međuvremenu? Zakon je pred usvajanjem, a jedna od najvećih novosti je da se, umjesto termina "Porezni broj", koristi termin "Osobni identifikacijski broj". Ne radi se samo o terminološkoj novosti. Zakonom se predviđa korištenje osobnog identifikacijskog broja ne samo za prijavu i obradu poreza, nego u praktički bilo kojem segmentu djelovanja državnih tijela - od državne uprave, jedinica lokalne samopurave, svih pravnih osoba koje se financiraju državnim proračunom pa do pravnih osoba kojima su povjerene javne ovlasti. Neću ulaziti u ocjenu hoće li se popraviti djelovanje državne uprave te hoće li porezi biti prikupljeni na pravedniji i učinkovitiji način (što je naravno važna tema, no vjerujem da će biti obrađena na drugim mjestima). Mene zanima što takva formulacija znači za zaštitu privatnosti?

Imam nekoliko zamjerki na prijedlog Zakona o osobnom identifikacijskom broju, a sve proizlaze iz istog osnovnog uzroka: prijedlog Zakona posebno ne ističe, a čini mi se da niti ne uvažava, činjenicu da osobni identifikacijski broj ima sve karakteristike osobnog podatka. Zakonom se ne razlikuje definicija i primjena tog broja između fizičkih i pravnih osoba (osim tek u tehničkim detaljima oko dodjele samog broja). To mogu shvatiti sa stajališta državne uprave, no takav pristup može biti poguban za zaštitu privatnosti. Moramo shvatiti da će sveobuhvatnom primjenom ovog broja biti označen veliki broj podataka o životu svake osobe, kao i različite osobne aktivnosti ili transakcije. Jedinstveni broj olakšava kopanje i pretraživanje takvih podataka, a nekako sumnjam da će takva pretraživanja uvijek biti motivirana legitimnim i legalnim razlozima.

Naravno, ne iznosim glas protiv suštine takvog Zakona, već želim upozoriti da Zakon mora posebno istaknuti da, kada se osobnim identifikacijskim brojem označavaju podaci vezani za fizičke osobe, taj broj mora biti klasificiran kao osobni podatak (kako bi se prema njemu mogle primjeniti sve odredbe Zakona o zaštiti osobnih podataka). Usput, ovaj zakon pokazuje apsurd birokratske fraze "pravne osobe" - pravni entiteti ne mogu biti osobe. Na taj način se, također, gubi oštrina značaja zaštite osobnih podataka i zaštite privatnosti.

Široko i, kako se čini, neograničeno korištenje osobnog identifikacijskog broja imati će za posljedicu da će identifikacijski brojevi pojednih osoba biti opće poznata informacija (ili barem informacija do koje je veoma lako doći). Dakle, ne samo da će postojati veliki broj, ponekad i veoma delikatnih informacija označenih osobnim brojem, nego će taj broj biti dostupan praktički bilo kome. Postoji samo mali korak do njegove zloupotrebe.

Stoga mislim da bi Zakon ipak trebao biti restriktivan u pogledu upotrebe broja i propisati uvjete za korištenje osobnog identifikacijskog broja. Provedbeni bi akti potom trebali opisati slučajeve u kojima se ovaj broj koristi (tko, kada, u koje svrhe?).

Posebno bi trebalo posvetiti pažnju okolnostima u kojima organizacije koje nisu navedene u članku 5. kao korisnici osobnoga identifikacijskog broja koriste ovaj broj. Smiju li takve organizacije uopće koristiti taj broj? Zakon ih ne spominje, no nekako mi se čini da je zakonodavac predvidio da i oni budu uključeni uproces korištenja ovog broja. Stoga mislim da bi taj aspekt trebao biti dodatno uređen.

Nadalje, korištenje i obrada osobnog identifikacijskog broja trebala bi biti striktno regulirani mjerama informacijske sigurnosti. Zakonodavac je to možda i ostavio za provedbene pravilnike, no ukoliko propusti na ovom mjestu klasificirati ovaj broj kao osobni podatak, sumnjam da će provedbeni akti biti dostatni.

Osobni identifikacijski broja mora biti zaštićen na isti način kao i brojevi kreditnih kartica. Ne smiju se pohranjivati kod korisnika ovog broja, njihov sadržaj mora biti šifriran, a izmjena strogo kontrolirana. To ne bi trebalo paralizirati primjenu osobnog identifikacijskog broja, postoje različita informatička rješenja pomoću kojih će se omogućiti provedba zakona, a da se ne povećaju rizici od njegove zloupotrebe.

Također mislim da bi dobra mjera protiv zloupotrebe trebala biti i mogućnost svake osobe da provjeri način korištenja njegovog/njenog osobnog broja (naročito u slučajevima pretraživanja različitih baza podataka). To je izvedivo informatičkim rješenjima, ali nedostaje podloga u prijedlogu Zakona.

Zakon, na kraju, donosi i kaznene odredbe (članak 17.). Predviđena je kazna za obveznike koji ne koriste osobni identifikacijski broj na propisani način. Također postoji kazna za korisnike ali samo za slučajeve kada identifikacijske brojeve ne koriste u svakodnevnom radu. Zakonodavac nije predvidio kazne korisnicima za zloupotrebe osobnog identifikacijskog broja (mislim da zakonodavca ne opravdava činjenica da ne vidi mogućnosti zloupotrebe).

Naravno, inzistiranje na ovakvim zahtjevima tražiti će dodatna ulaganja, no vjerujem da će se u 110 milijuna kuna (koliko je predviđeno za provedbu ovog Zakona) naći nešto i za zaštitu privatnosti.

"Vulnerability Management" za neznalice

2008-04-23T11:57:00.005+02:00

Prije desetak dana uputio sam vas na zanimljiv dokument o upravljanju ranjivostima koji se može pronaći na stranicama SANS-a. Prekjučer je Qualys objavio vijest o izlasku još jedne publikacije sa sličnom tematikom. Wiley, jedan od vodećih svjetskih izdavača, i tvrtka Qualys objavili su veoma zanimljivu e-knjigu “Vulnerability Management for Dummies”. Knjiga na zanimljiv način opisuje sve faze uspostave programa upravljanja ranjivostima. Čitatelj će dobiti veoma plastičnu ilustraciju o preobrazbi tehničke aktivnosti ograničenog dometa u kritičan poslovni proces. Knjiga je besplatna i može se preuzeti na ovoj stranici.

Ponavljamo seminar o insajderskim prijetnjama

2008-04-15T14:30:00.006+02:00

Primjeri iz naše bliže i dalje okoline neprestano potvrđuju da su insajderi i dalje najveće prijetnje informacijskoj sigurnosti. Za sve koji žele saznati nešto više o motivima, načinu djelovanja i mogućnostima detekcije insajderskih prijetnji, ponavljamo prošlogodišnji seminar. Naravno, osvježen. Seminar će se održati 3. i 4. lipnja 2008. u Zagrebu. Brošuru i prijavnicu možete pronaći na ovoj stranici.

Proces upravljanja računalnim ranjivostima

2008-04-12T17:41:00.007+02:00

Svim korisnicima servisa QualysGuard (a i onima koji će to postati) preporučujem da pročitaju zanimljiv tekst na stranicama organizacije SANS. U tekstu se iznosi praktično iskustvo u izgradnji programa upravljanja ranjivostima, iz vizure korisnika servisa QualysGuard. Usput, svakako razgledajte Reading Room sekciju na stranicama organizacije SANS, ako do sada već niste to učinili. Na tom ćete mjestu naći niz zanimljivih tekstova o implementaciji mjera informacijske sigurnosti.

U čemu je razlika između procjene ranjivosti ("Vulnerability Assessment) i upravljanja ranjivostima ("Vulnerability Management")? Procjena ranjivosti je tehnička aktivnost koja se obično provodi ne prečesto, ponekad i neredovito. Obuhvaća provjeru prisutnosti eventualnih tehničkih nedostataka i ranjivosti na mrežnim resursima, a ponajprije se provodi na perimetarskom dijelu informacijskog sustava. Ako se provodi kako treba, procjena ranjivosti će u jednom trenutku dosegnuti kritičnu točku: broj resursa koje treba provjeriti naglo raste, učestalost provjere zauzima nerijetko i tjednu dinamiku, u provjeru se uključuju i druga mjesta u organizacijskoj hijerarhiji (ne samo mrežni tehničari već i voditelji sigurnosti, revizori, rukovoditelji, administratori nemrežnih sustava...), provjera se počinje provoditi i na internim resursima... Procjena ranjivosti kao tehnička aktivnost prelazi u proces i nastaje upravljanje ranjivostima. Izvještaji o utvrđenim ranjivostima prelaze u detaljan "workflow" koji uključuje i osobe nadležne za implementaciju popravaka, vlasnike resursa, a ponekad i revizore. Upravljanje ranjivostima reflektira se i na "compliance" proces (pogledajte i ovaj tekst).

Dokument na koji vas upućujem govori upravo o ovim elementima. Primjetiti ćete da postoje terminološke razlike između spomenutog dokumentu i ovog teksta, no suštinski pokriveni su svi bitni aspekti upravljanja ranjivostima.

Treba reći i da je tvrtka Qualys je pionir a danas i jedan od lidera poslovnog modela "Software-as-a-Service" (SaaS). Rekao bih da je upravo informacijska sigurnost idealan kandidat za primjenu ovog modela (naravno uz uvijet njegove dobre tehnička izvedbe). Naime, informacijska se sigurnost ne ubraja u "core" interese managementa i tvrtke za sada ulažu samo neophodne resurse. S druge strane, otkrivanje i upravljanje ranjivostima zahtjeva kontinuiranu predanost na različitim tehničkim i organizacijskim razinama, a dostignuća samog procesa nisu uvijek vidljiva. Dakle, mali je korak do zanemarivanja ovog procesa. Model izvedbe servisa QualysGuard u potpunosti rasterećuje organizaciju od rutinskih aktivnosti, jamči ažurnost i preciznost.

Još jedan slučaj krađe podataka

2008-04-02T08:55:00.009+02:00

Prije desetak dana se pojavio još jedan slučaj krađe podataka o kreditnim karticama. Hannaford Bros. - američki maloprodajni lanac s gotovo 300 dućana - obavijestio je o gubitku (krađi) preko 4 milijuna brojeva keditnih kartica. Vijest zapravo i nije vijest. Trgovački lanac TJX je početkom 2007. izgubio podatke o 45 milijuna kartica, a krađe povjerljivih podataka s notebooka i arhivskih traka postale su uobičajene. No, razlog zbog kojeg skrećem pažnju na slučaj Hannaford je činjenica da je tvrtka Hannaford Bros. imala certifikat o sukladnosti s Payment Card Industry Data Security Standard (PCI DSS) i to za 2007. i 2008. godinu.

Kako se, onda, mogao dogoditi incident ovih razmjera? Odnosno, pitanje se može postaviti i na slijedeći način: kako je Hannaford mogao dobiti certifikat o sukladnosti? Pokušat ću odgovoriti na drugo pitanje.

Prvo, činjenica da je neki sustav dobio potvrdu o sukladnosti s određenim pravilima ne znači da će se ta pravila poštovati ni 24 sata od davanja potvrde. To vrijedi za sve složene tehnološke sustave, ne samo informatičke. To vrijedi i za vaš osobni auto: prolazak na tehničkom pregledu nije jamstvo o njegovom besprijekornom funkcioniranju. No, certifikat u svakom slučaju doprinosti uvjerenju da je mogućnost ispada sustava dovoljno (prihvatljivo) niska. Ovo razmatranje osobito vrijedi za informacijsku sigurnost. Informacijska je sigurnost složen tehnološki sustav u kojemu je faktor utjecaja netehnoloških elemenata (čitaj: ljudski faktor) izuzetno visok. Tržišni certifikati (kao što je PCI DSS), norme (ISO 27001), formalne provjere (revizije) i neformalne provjere (penetracijski testovi) provjeravaju djelovanje ljudskog faktora u većem ili (češće) manjem dometu, no potvrda o prihvatljivom djelovanju ljudskog faktora vremenski je ograničena na razdoblje trajanja postupka provjere. Sve ostalo je samo određena mogućnost da će potvrda biti valjana i nakon odlaska revizora. Stoga, revizija i službeni certifikati koji proizlaze iz revizije trebaju biti upotpunjeni s kontinuiranim praćenjem rada sustava. Jednokratna se provjera mora transformirati u kontinuirani proces.

Drugi problem nastaje iz formalnog statusa same revizije. Iako je postupak donošenja PCI DSS certifikacije detaljno definiran te postoje strogi kriteriji koje moraju ispunjavati ovlašteni revizori, pojavili su se komentari (i prije slučaja koji ovdje opisujemo) o različitim naporima i različitim razinama striktnosti koje PCI revizori zahtjevaju. Tu se pojavljuje i problem sukoba interesa u kojem se često mogu naći revizori (sjetimo se Enrona, no u drugim poslovnom kontekstu i drugom okruženju). Također, treba uzeti u obzir da svaka revizija u kojemu klijent plaća troškove revizije (a ne tijelo koje reviziju zahtjeva) u sebi sadrži rizike nadekvatne provjere (jer, klijent ima pravo tražiti najjeftiniju reviziju).

Iako često na ovim stranicama pišem o regulaciji informacijske sigurnosti, smatram da formalna certifikacija, bez jasno definiranih i detaljno dorađenih pravila igre, može napraviti lošu uslugu informacijskoj sigurnosti.

Za kraj, vraćam se samom slučaju Hannaford. Rezultati istrage još nisu objavljeni, no pojavile su se procjene da je događaj o kojemu ovdje govorim bio moguć ponajprije djelovanjem "insidera".

RiskAudit i revizija informacijskih sustava

2008-03-19T10:52:00.003+01:00

Revizija informacijskih sustava je česta tema ovih zapisa. O IT reviziji se može govoriti prilično uopćeno, a takav je, veoma često, i način percepcije revizije informacijskih sustava u našim tvrtkama. No, IT revizija postaje realnost i obaveza. Upravo iz tog razloga je Borea obnovila i redefinirala poslovnu uslugu RiskAudit. Ova se usluga u svojoj prvoj fazi primjene odnosila na opću procjenu sigurnosti informacijskog sustava. Uključivala je i tehničke i organizacijske sigurnosne mjere, model primjene podrazumijevao je sporadične provjere na incijativu IT odjela, a rijetko uprave ili interne revizije. No, s obzirom da i kod nas dolaze vremena kada će se o reviziji informacijskog sustava početi razmišljati na sustavan način (vrijedni izuzeci već razmišljaju na takav način), Borea je prilagodila model provedbe poslovne usluge RiskAudit zahtjevima interne revizije. Glavni cilj je pružiti pomoć tvrtkama koje nemaju vlastite timove revizora informacijskih sustava ili takvi timovi nisu dovoljno ekipirani. RiskAudit se može izvoditi prema "outsourcing" modelu – dakle kao potpuni proces revizije informacijskog sustav – ili prema "co-sourcing" modelu – pružanje parcijalne pomoći postojećim timovima za IT reviziju.

Nedavno sam odgovarao na pitanje u čemu je razlika između "security assessment-a" (RiskAudit prema prethodnoj definiciji) i "IT Audit-a" (RiskAudit prema obnovljenoj definiciji). To je i česta tema specijaliziranih foruma koji okupljaju stručnjake za informacijsku sigurnost i reviziju. Pobornik sam stava da se suštinski, a velikim dijelom i izvedbeno, radi o istim stvarima. I "assessment" i "audit" moraju biti provedeni jednako kompetentno, detaljno i točno. Oba se procesa mogu defnirati u kontinuitetu. Osnovna je razlika u tome što IT Audit mora biti formalno utemeljen i izveden u kontekstu interne ili eksterne revizije, sukladno tako postavljenim ciljevima. "Security Assessment" ima različit formalni okvir. Njegovi naručitelji će biti i informatički odjeli i odjeli za informacijsku sigurnost, a naglasak će biti ili na testiranju sigurnosnih mjera (na razini projekta, aplikacije, pojedinačnih komponenti sustava...), ili na operativnom praćenju kvalitete ukupnih sigurnosnih mjera. Vjerujem da ćemo uskoro biti svjedoci konvergencije ovih modela, a naša se usluga nastavlja razvijati u tom pravcu.

Societe Generale: 45 dana poslije

2008-03-07T08:49:00.005+01:00

Kakva je veza između intervjua virtualnog premijera Jutarnjem listu i senzacionalnog gubitka u francuskoj banci Societe Generale? U oba je slučaja manipulacija elektroničkom poštom odigrala određenu ulogu. U slučaju Jutarnjeg lista, elektronička pošta bila je ključni element zapleta, dok je u slučaju francuske banke elektronička pošta bila jedan od elemenata koje je koristio Jerome Kerviel u prikrivanju svojih transakcija. Naime, negdje pred kraj cijele avanture, Kerviel se "pokrio" e-mailom navodno pristiglim iz Deutsche Bank, a koji je do daljnjega trebao potvrditi uspješnost Kervielovih transakcija. No, Societe Generale je ipak provjerio autentičnost maila i pokazalo se da Deutsche Bank nema pojma o ovim porukama. To je, ujedno, bio i detonator koji je pokrenuo cijeli slučaj. Ova epizoda potvrđuje jednostavnost krivotvorenja elektroničke pošte i poučava da je, ako se e-mail želi koristiti kao mehanizam u kritičnim poslovnim transakcijama, potrebno koristiti takve sustave koji jamče očuvanje autentičnosti poruke i onemogućuju naknadni opoziv transakscija.

Prije dva tjedna objavljen je preliminarni izvještaj o slučaju Societe Generale. Izvještaj je izradila neovisna komisija, a posebno upada u oči činjenica da je tijekom 2006. i 2007. bilo 75 upozorenja o djelovanju Kerviela upućenih od njegovih kolega i izvedenih iz analiza poslovnih rizika. Nadležne osobe nisu reagirale na pravi način. Ostaje pitanje jesu li propustile primjetiti značaj indikatora koji pojedinačno možda nisu bili preupadljivi, no sagledani u ukupnom kontekstu morali su zvoniti na uzbunu? Ili su nadležne osobe bile opijene tadašnjim uspjesima Kerviela te su bili spremne previdjeti indikatore? Upravo je ova druga teza i glavno uporište Kervielove obrane koji tvrdi da ga je management mogao spriječiti da je to htio.

Izvještaj je potvrdio da je manipulacija s korisničkim pravima i autentikacijom korisnika bilo glavno Kervielovo uporište među općim kontrolnim mjerama informacijskog sustava. Kerviel je imao ovlasti za rad na informacijskom sustavu koje su prekoračile ovlasti potrebne na njegovom radnom mjestu, koristio je ovlasti drugih osoba, pristupni sustav nije evidentirao informacije o ključnim događajima (ili takve informacije nisu bile provjeravane). Na koncu, krivotvorio je i sadržaj elektroničke pošte. Ovi nedostaci su kombinirani s manjkavostima aplikativnih kontrola i kumulativni efekt bio je razoran.

U kontekstu ovih stranica htio bih ukazati na tri ključne pouke koje svi moraju izvući iz slučaja Societe Generale.

Prvo, posvetite kontroli pristupnih prava puno više pažnje nego što vam se u određenom trenutku čini da je potrebno. Izbjegnite situaciju u kojoj će prevladati subjektivni osjećaj kako nema potrebe za jačim kontrolnim mjerama jer, eto, kod vas nije bilo do sada nikakvih slučajeva zloupotrebe. Ova pouka osobito vrijedi za članove uprave koji moraju dobro poznavati sve rizike i hrabro "sponzorirati" takve projekte. Rukovodstvo IT službe ili informacijske sigurnosti treba koristiti jezik i argumente koji razumije uprava, i prezentirati takve rizike na pravi način.

Drugo, obratite pažnju na sve indikatore koji govore o "insiderskim" napadima. Takvi indikatori nisu glasni poput onih koje izazivaju vanjski napadi, zahtjevaju puno više pažnje i bolju pripremu, a naročito poznavanje konteksta poslovnog procesa. "Insiderski" napadi se, uglavnom, ne otkrivaju iz poruka IDS sustava već strpljivom, ponekad dosadnom, analizom mnoštva rutinskih događaja.

Treće, kontinuirana revizija/provjera aplikativnih i općih kontrolnih mjera, a naročito onih koje su vezani za pristupni podsustav i procese upravljanja korisničkim pravima, mora postati prioritetna obveza. Dinamika takvih provjera prerasla je godišnji ritam revizije, te mora biti znatno češća.

Reafirmacija "risk-managementa"

2008-02-22T14:24:00.004+01:00

"IT risk-management" ili upravljanje informacijskim rizicima sagledava se ponajprije kao aktivnost koja se odvija unutar operativne razine informacijskog sustava, kao prvenstveno tehnička disciplina, s minimalnom (tek neophodnom) interakcijom s upravljačkim procesima. Iako je risk-management ugrađen u temelje informacijske sigurnosti, naročito u procese upravljanja informacijskom sigurnošću, postoji latentna prijetnja deformacije ili čak minorizacije njegovog značenja. No trendovi koje donosi "Enterpise Risk Management" i zahtjevi ugrađeni u Basel II potiču reafirmaciju discipline upravljanja informacijskim rizicima, stavljajući je u kontekst upravljačkih procesa i povezujući je s upravljačkim procesima organizacije. No, ovaj put je ta veza postaje suštinska.

Usporedimo tradicionalnu poziciju upravljanja informacijskim rizicima. Nositelji procesa bili su predstavnici informatičkih službi. Glavni cilj bio je propisati kontrolne mjere (za što je dovoljno i pametno prepisivanje "best practice" dokumenata), ali uz adekvatne prioritete (upravo zbog toga "best practice" treba pojačati s poslovnim pogledom na potencijalne posljedice, tj. upravljati rizicma). Ipak, "risk management" je infomatičarima uglavnom izgledao trivijalano, a prakticirao se prije svega u kontekstu upravljanja kontinuitetom poslovanja. Njegova prava primjena u drugim segmentima informacijske sigurnosti uglavnom je izostajala (bez obzira na "best practice" dokumente ili profesionalne norme koje su inzistirale na "risk managementu").

"Risk management" je, dakle, gotovo banaliziran i trivijaliziran. No, tržišna regulacija i "Corporate Governance" incijative pojačavaju odgovornost rukovodstva, a time ponovo oživljavaju značaja "IT risk-managementa". Naime, upravljanje rizicima je važan instrument korporativnog upravljanja, a upravljanje informacijskim rizicima integrira se u taj instrument. Kao što sam već pisao na ovim stranicama, kod nas se ova incijativa pojavljuje kroz Smjernice HNB-a, a Odlukom HNB-a iz 2007., upravljanje rizikom informacijskog sustava mora biti uspostavljeno kao složen proces koji će obuhvaćati njegovu procjenu ali i njegovo kontinuirano praćenje. Ovo poglavlje Odluke mora biti provedeno do kraja ove godine.

Kako će banke odgovoriti na ovaj zahtjev? Prije svega, smatramo da se na ovaj zahtjev ne smije gledati površno, a banke ne bi trebale pristupiti samo sa ciljem jednokratnog i formalnog ispunjavanja obveze. Glavni problem predstavlja čijenice da mnoge banke nisu sasvim sigurne kome treba delegirati odgovornost za provedbu ovog zahtjeva. Gledajući terminološki, postojeće bankarske službe za upravljanje rizicima nameću se kao prvi kandidati. No, ove se službe se bave prije svega kreditnim rizicima, dok su operativni rizici (gdje treba ubroji i informacijske rizike) po svom karakteru i metodama upravljanja nešto drugo. Osim toga, kod informacijskih rizika dolazi do izražaja njihova horizontalna disperziranost među različitim organizacijskim procesima banke što sa sobom vuče potrebu "političke" spretnosti u provedbi procesa. Služba informacijske sigurnosti puno je bliža stručnom aspektu upravljanja rizicima, no pitanje je li u našim bankama uspjela dobiti na "političkoj" težini. (Napomena: pojam "politički" se, naravno, odnosi na organizacijske odnose unutar banke, a ne na parlamentarne odnose).

Nakon prvog koraka, određivanja nositelja procesa, slijedi njegova realizacija. Postoji nekoliko mogućih pristupa, no smatram da prije toga treba postaviti cjeloviti okvir provedbe Smjernica HNB-a (o čemu sam nedavno pisao). Na taj način će se modelirati mnogi važni elementi potrebni za uspostavu upravljanja rizikom informacijskim sustavima. Naročito bi trebalo inzistirati na uspostavi procesa provjere kontrolnih mjera koje bi trebale proizaći iz upravljanja rizicima ("compliance"). Sama aktivnost procjene rizika, koja bi inača izgledala kao tehnički zahtjevan zadatak, svesti će se na razumnije proporcije i postati prihvatljiviji zalogaj. Upravljanje informacijskim rizicima će, unatoč probavljivijim proporcijama, dobiti na svojoj težini i strateškom značaju.

Školski primjer socijalnog inžinjeringa

2008-02-13T08:59:00.006+01:00

Još uvijek se nije stišala polemika vezana za slučaj intervjua virtualnog Sanadera u Jutarnjem listu. Nemam namjeru opredijeliti se oko toga je li posrijedi pomno planirana namještaljka ili profesionalni previd, no s obzirom da je izvedba samog scenarija povezana s primjenom informacijskih tehnologija (tj. elektroničke pošte) uz sve elemente socijalnog inžinjeringa, iznosim svoj pogled na taj slučaj.

Dakle, ostavimo po strani teorije zavjera i konkretna imena. Analizirajmo slučaj prema slijedećem modelu u kojem postoje dvije glavne komponente: s jedne strane imamo medije, koje ćemo za potrebe analize reducirati na Novine, a s druge strane imamo Javnost - korisnika sadržaja kojeg generiraju Novine. Odnos Javnosti i Novina postoji nekoliko stoljeća i podrazumijeva se da Novine nastupaju kao objektivni posrednik događaja, a da Javnost vjeruje novinama. Taj odnos je baziran na principu povjerenja Javnosti i odgovornom ponašanju Novina (elektronički mediji, uključujući i Internet, veoma će teško dosegnuti razinu povjerenje koja je tradicionalno označavala odnos Javnosti i Novina). Opisati ću ovaj odnos na još apstraktnijoj razini: Novine možemo predstaviti kao informacijski sustav a Javnost je korisnik ovog informacijskog sustava. Štoviše, Javnost je "vlasnik" podataka koje generira informacijski sustav Novine. Pri tome smatram da je princip javnog interesa za podatke koji se opisuju u Novinama jači od eventualnog tržišnog karaktera Novina i interesa njihovih vlasnika. Naravno, Novine mogu imati i određene sadržaje koji nisu u funkciji informiranja javnosti i za koje je vlasništvo definirano na drugi način, no u ovom slučaju nas ne zanima takav aspekt. Dakle, slučaj virtualnog premijera možemo protumačiti kao testiranje informacijskog sustava Novina. Vlasnik podataka - Javnost - odlučio je provjeriti postoje li manjkavosti informacijskog sustava Novine, a predmet provjere je način prikupljanja informacija.

Scenarij testiranja slijedi. Javnosti je poznata je praksa da Novine rade intervjue korištenjem elektroničke pošte. Elektronička pošta je poznata kao jedan od najmanje sigurnih načina komunikacije, kako zbog mogućnosti lažne identifikacije korisnika tako i zbog mogućnosti modifikacije sadržaja. Dobra praksa informacijske sigurnosti preporuča korisnicima da e-mail ne koriste za izmjenu povjerljivih informacija ili sadržaja. Javnost je napravila jednu vrstu penetracijskog testa (dobro, ne baš klasični tehnički penetracijski test, nego onaj u kojem se provjerava mogućnost socijalnog inžinjeringa) kako bi provjerila hoće li Novine objaviti informaciju iz neautentičnog izvora. Test je pomno pripremljen, a naglasak je bio na modifikaciji izvora poruke, a ne na falsificiranju sadržaja (da je kojim slučajem ponuđen senzacionalistički ili neuvjerljiv sadržaj, Novine bi, vjerujem, provjerile njihovu vjerodostojnost čime test ne bi uspio). Rezultat smo vidjeli. Novine su povjerovale elektroničkom mailu i objavili nevjerodostojnu informaciju (to što je svima zvučila uvjerljivo, druga je priča). Informacijski sustav Novine mora, dakle, proraditi na vlastitim sigurnosnim mjerama.

Je li javnost imala pravo na takav test? Ako prihvatimo da je Javnost "vlasnik" podataka koje Novine objavljuju, onda ima pravo na takav test. Pored toga, moramo znati da Novine često objavljuju pogrešne informacije, da Javnost nema mogućnosti ispravka takvih informacija na proporcionalan način, te da Javnost često ima i direktne materijalne posljedice zbog objave pogrešnih informacija.

Ovo je, naravno, jedan pozitivan pogled na cijeli slučaj bez namjere glorifikacije pokretača ovog scenarija i bez namjere omalovažavanja novinara koji je nasjeo ovim scenariju. Moje simpatije za ovaj slučaj biti će znatno umanjene ako se pokaže da je cijeli scenarij rezultat nečije zavjere - konkurencije, tajnih službi, zlobnih kolega, ili možda, vlasnika restorana kojeg je Davor Butković negativno ocjenio.

Jedinstveni porezni broj i zaštita osobnih podataka

2008-02-01T13:56:00.002+01:00

Prema najavama iz Ministarstva financija, svaki će hrvatski građanin (i tvrtka) ove godine dobiti jedinstveni porezni broj, čime će porezni sustav dobiti neophodan mehanizam za kontrolu prihoda građana. O jedinstvenom poreznom broju jučer je pisao i Vjesnik. U članku se se, međutim, iznosi jedna teza koja se povlači u javnosti još od diskusije koja je pratila ukidanje jedinstvenog matičnog broja građana. Autor članka kaže da "... za razliku od JMBG-a, on ne bi smio otkrivati osobne podatke". To je nadamo se točno. Novi jedinstevni porezni broj ne bi trebao svojim sadržajem ni na koji način ukazivati na određeni osobni aspekt njegovog nositelja. No, iz članka (a i ranije iz diskusije o ukidanju JMBG-a) mogao bi se steći zaključak da je sporni sadržaj samog broja jedini sigurnosni problem koji taj broj prati. To naravno nije točno i trebalo bi svakako uzeti u obzir prije izrade konačnih zakonskih prijedloga.

Jednistveni porezni broj, makar neće sadržavati godinu ili mjesto rođenja svog nositelja, biti će ključ za pristup u veoma delikatne privatne podatke građana. Stoga bi neotkrivanje sadržaja takvog broja trebao biti jaki zahtjev kod izrade zakonskih prijedloga, a građani bi trebali biti upozoreni na njegovo čuvanje, tj. neotkrivanje. U ovom trenutku nemam ni najmanje informacija kako će izgledati zakonska regulativa, no ako se bude htjelo poreznim brojem pratiti imovinsko stanje poreznih obveznika ili pak povezati npr. podatke Središnje depozitarne agencije (kako navodi Vjesnikov novinar) onda se može očekivati da će sadržaj broja biti dostupan institucijama izvan infarstrukture državne uprave (hoće li prodavači automobila bilježiti porezne brojeve svojih kupaca kako bi obavijestili poreznu upravu o transakciji?). Ako se tu uključe i banke ili druge financijske institucije, onda ćemo vrlo brzo doći do toga da će svaka transakcija koju obavimo biti označena našim poreznim brojem. Zloupotreba tog broja biti će samo korak daleko.

Rješenja za ovaj problem postoje i nadamo se da će Vlada prilikom izrade zakona, ali i njegovih provedbenih propisa konzultirati stručnjake. Korištenje poreznog broja trebalo bi ograničiti samo na neophodne slučajeve, a transakcije u kojima će se koristiti porezni broj trebale bi uzeti u obzir neke od tehničkih rješenja koji omogućuju njegovu enkripciju i čuvanje povjerljivosti. No, građani bi morali već u ovoj fazi biti svjesni da porezni broj nije javni podatak, bez obzira na to da sam po sebi ne sadrži osobne podatke.

Dobro informirani insider

2008-01-29T10:00:00.001+01:00

Otkrivanje velikog gubitka u Societe Generale i dovođenje tog gubitka u konetkst računalne prijevare, najveći je događaj u informacijskoj sigurnosti u ovoj godini (a s obzirom da je vezan za događaje u 2007. možemo ga naknadno uključiti u inventuru značajnih događaja za 2007.). Societe Generale, druga po veličini francuska banka, otkrila je prije desetak dana gubitke na jednom segmentu poslovanja dionicama u visini od 4.9 milijardi Eura. Gubici su ostvareni tokom 2007. i 2008. godine. Prema prvim izvještajima, krivac za ove gubitke je Jerome Kerviel, zaposlenik odjela banke koje je poslovalo na tržištu dionoica. Banka je 27.01.2007. objavila prvi detaljniji prikaz tijeka prijevare.

Prema tumačenju banke, nekoliko je faktora utjecalo na izvedbu scenarija prijevare.

Prvo, Kerviel je bio dobro informirani insider. Ne samo da je poznavao detalje poslovnog procesa u kojem je sudjelovao, nego je bio veoma upućen u kontrolne aktivnosti kojima se taj proces nadzire. Naime, do 2005. godine Kerviel je proveo pet godina u sektoru koji je bi nadležan za nadzor "tradera" i, bez obzira na sofisticiranost sustava upravljanja rizicima koji je u slučaju Societe Generale često istican kao vrhunski, upoznao je slabe točke tog nadzora.

Svoje znanje je iskoristio 2007. godine, tada već nekoliko godina zaposlen kao "trader" specifičnim instrumentima dioničkog tržišta, a drugi ključan faktor je Kervielovo poznavanje pristupnih ovlasti zaposlenika iz "back-office" odjela svoje službe. Otkrivanje i korištenje ovih ovlasti – nedvojbeno nedozvoljena aktivnost – preduvjet je trećeg faktora scenarija prijevare.

Kerviel je, koristeći tuđe ovlasti, prijavljivao nepostojeće, "pozitivne", transakcije čime je stvorio protutežu svojim neuspješnim poslovima, a sustav praćenja rizika nije takve izvještaje prepoznavao kao krivotvorinu. Time je krug zatvoren. Banka se, očigledno, pouzdala u sustav praćenja rizika koji je, vjerujem, veoma dobro predviđao sve vanjske – tržišne – komponente rizika, no nije predvidio mogućnost da netko iznutra potkopa njegovu stabilnost. Nadalje, dinamika procesa provjere aplikativnih kontrola i unutarnje revizije poslovanja prekasno je odgovorila na nastale događaje.

Čitajući prekjučerašnji izvještaj banke posebno upada u oči jednostavnost kojom se opisuje zloupotreba korisničkih ovlasti. Tek u dijelu jednog odlomka teksta nabraja se, među ostalim, i zloupotreba tuđih pristupnih prava, gotovo kao da se radi o uobičajenoj i razumljivoj praksi. Ovaj slučaj još jednom pokazuje da je kompleksna problematika upravljanja pristupnim pravima jedan od najvažnijih mehanizama kojim se štiti od insiderskih prijetnji. Ja li banka mogla što napraviti? Kerviel je, po svemu sudeći, do tuđih pristupnih prava došao na nedopušten način (sve opcije su moguće: od kopanja po ladicama svojih kolega pa do instalacije keylogger programa ili uređaja). Banka je trebala, prije svega, na vrijeme prepoznati potencijalne posljedice i u spomenuti segment poslovanja ugraditi mehanizme jake autentikacije koji bi jamčili fizičku prisutnost "prave" osobe koja provodi transakcije u "back-office" sustavu. Nadalje, ako je točno da je Kerviel intenzivno boravio u uredu (nakon radnog vremena, preko vikenda i praznika), sustav praćenja događaja je trebao zabilježiti takve indikatore i potaknuti dodatnu pravovremenu istragu. Sve spomenute mjere podrazumijevaju dodatni proračun i dodatne napore kod primjene, no dobra procjena rizika je trebala pokazati na opravdanost takvih mjera.

U ovom se slučaju ističe i činjenica da Kerviel nije ostvario financijsku dobit, što je možda sasvim točno. No, insiderski napadi nisu uvijek motivirani financijskom dobiti (iako najčešće jesu). Potencijalni motiv može biti želja za dokazivanjem, a s obzirom de se transakcije koje je Kerviel obavljao ponegdje nazivaju i klađenjem ("At some point last year, bank executives say, Mr. Kerviel started using futures on the European stock indexes to place huge bets that European markets would continue to rise", Wall Street Journal) ne bi me začudilo da se ovisnost o klađenju identificira kao ključni motiv.

Slučaj Societe Generale nam je na jedan plastičan način ukazao na činjenicu da su informacijske tehnologije srasle s poslovnim procesima. Osim pozitivnih perspektiva i potencijalnih dobitaka, informacijske tehnologije uz sebe vežu i brojne rizike. U ovom će slučaju posljedice svakako osjetiti Societe Generale i njihovi dioničari (morali su obaviti dokapitalizaciju kako bi pokrili gubitke, postali su, kako se čini, ranjivija meta za preuzimanje, a posljedice po reputaciju su očite). No, prema nekim analizama, paničan pokušaj spašavanja onog što se spasiti može utjecao je i na prošlotjedni pad vrijednosti dionica na svjetskim burzama (što je iz Societe Generale demantirano). Ako se potvrdi točnost takvog razvoja događaja, prvi put će se pokazati da informacijski propusti u jednoj kompaniji mogu djelovati na šire okruženje, a ne samo na vlasnike ili dioničare same kompanije. Zbog ovisnosti o klađenju?

COBIT: temelj za provedbu smjernica HNB

2008-01-23T16:16:00.001+01:00

U završnom zapisu iz 2007. godine naveo sam najznačajnije događaje u informacijskoj sigurnosti za Hrvatsku. Jedan od događaja je i objava odluke Hrvatske narodne banke o primjerenom upravljanju informacijskim sustavom iz kolovoza 2007. Ova odluka osnažuje Smjernice HNB-a iz 2006. propisujući pojedinačne rokove realizacije za svako područja upravljanja informacijskim rizicima. Naravno, bankari su ove zahtjeve dočekali na različite načine. S jedne strane, neki su ukazali na dodatno opterećenje - ionako opterećenih - informatičkih službi u bankama. S druge strane, dalekovidniji/optimističniji se nadaju da bi ovi propisi mogli unijeti dodatnog reda u, ponekad, kaotično i improvizirajuće upravljanje informacijskim sustavima.

Tko bi trebao biti nositelj incijative za provedbu smjernica HNB-a? Kandidata ima nekoliko. IT služba se nameće nekako prirodno. No, smjernice prelaze okvire informatičkih odjela. Upravljanje rizikom informacijskog sustava, barem po imenu, ulazi u područje odgovornosti sektora koji se bave rizicima. Upravljanje kontinuitetom poslovanja obuhvaća posebene stručne timove ali dodiruje i poslovanje banaka u cjelini. Nemojte zaboraviti ni internu reviziju koja će ovim smjernicama dobiti nove obveze - reviziju informacijskog sustava.

Da bi provedba smjernica postala zajednički zadatak svih spomenutih strana, banke moraju izabrati zajednički radni okvir utemeljen na opće prihvaćenom standardu.

Čemu se treba okrenuti? Ja sam namjere smjernica HNB-a komentirao u studenom prošle godine na CIO konferenciji u Zagrebu i Ljubljani, te sam istaknuo da se smjernice moraju pročitati kao inovativni poticaj koji će pomoći u provedbi IT Governance incijativa. Zapravo, IT Governance mora biti opći okvir čije bi donošenje i provedba trebalo ako ne prethoditi, onda barem olakšati provedbu samih smjernica. Stoga se kao najbolje rješenje za radni okvir kod provedbe smjernica HNB-a nameće COBIT. COBIT u sebi sadrži mehanizam za izbor i praćenje provedbe kontrolnih mjera. Dakle, biti će od velike pomoći u početnoj fazi provedbe smjernica - upravljanju rizikom informacijskog sustava. Izbor kontrolnih mjera poslužiti će odjelu interne revizije za uspostavu metodologije revizije informacijskog sustava, ali i za provedbu same revizije. Nadalje, COBIT sadrži i mnoge alate pomoću kojih je moguće provesti potrebne mjere. Mislim prije svega na publikacije koje objavljuje ITGI Institute, a posebno su inspirativni IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance i IT Control Objectives for Sarbanes-Oxley. Pogledajte svakako i COBIT Mapping: ISO/IEC 177995:2005 With Cobit 4.0 zato što jako dobro ilustrira komplementarnost dviju općeprihvaćenih normi, te ukazuje područja u kojima je uloga COBIT-a nenadomjestiva (mislim na procese praćenja uspješnosti provedbe i kontinuiranog nadzora sigurnosnih procesa).

(NAPOMENA: Neki od gornjih dokumenata su dostupni samo članovima ISACA-e)

Primjenom COBIT-a postiže se nekoliko doprinosa. Prvo, snizuju se troškovi postupka provedbe. Drugo, ugrađuje se mehanizam za djelotvornu provjeru provedenih mjera, čime se već sada stvaraju preduvjeti za niže troškove budućih redovitih revizija. Treće, uprava će moći u kratkom roku primjeniti neophodne IT Governance procese. Pored toga, treba predvidjeti da će se s vremenom pojaviti i dodatni regulatorni zahtjevi. Primjenom COBITA već u ovoj fazi obavili ste skoro polovicu budućih zadataka.

Ima li "crva" u avionu?

2008-01-07T14:33:00.001+01:00

Kada se govori o računalnoj sigurnosti onda se često koristi slikovita analogija sa zrakoplovima. pa se zna reći npr. "kada bi zrakoplovi bili ranjivi kao računalni sustavi onda bi se zrakoplovne nesreće dešavale svaki dan". Time se, naravno, želi ukazati na površnost realizacije i neadekvatnost testiranja računalnih sustava te na brojnost kritičnih računalnih ranjivosti, nasuprot kojima se ukazuje na inžinjersku preciznost pri konstrukciji zrakoplova. No, kako se čini, ovome bi mogao doći kraj. Časopis Wired objavio je kako je FAA, američka agencija za regulaciju i nadzor civilnog zračnog prometa, utvrdila probleme na najnovijem Boeingu 787 Dreamliner. Spomenuti nedostaci se odnose na mrežni sustav novog zrakoplova koji putnicima omogućuje pristup Internetu. Testiranja su pokazala da postoji fizička povezanost mreže koja je namijenjena putnicima s onom koja se koristi za upravljanje kritičnim komponentama zrakoplovom, uključujući navigaciju i komunikacijski sustav, pa je tako moguć pristup putnika do središnjih komponenti za kontrolu zrakoplova.

Boeingu ostaje dovoljno vremena - do prve komercijalne isporuke novog modela tijekom 2008 - za ispravak ove greške. No, ovaj slučaj ne bi trebalo promatrati kao izdvojeni incident. Računalni potencijali su odavno prešli granice servera ili osobnih računala, te tradicionalnih računalnih mreža. Polako se navikavamo na gotovo neograničene mogućnosti umrežavanja i dostupnost najraznovrsnijih mrežnih servisa. Razvoj novih proizvoda diktirana je tržišnim zahtjevima, a pouzdanost rješenja postaje prva žrtva ove utrke. Stoga, ovaj događaj možemo sagledati i kao najavu za godinu koja je nastupila: programske ranjivost nalaze se na mjestima na kojima ih do sada niste očekivali.

Pogled na 2007. godinu

2007-12-31T10:00:00.001+01:00

Pogled unatrag na godinu koja je na izmaku, izuzetno je neoriginalan način zaključivanja tekuće godine i pripreme za slijedeću. No, s obzirom da ove stranice nisu bile ažurne kako sam planirao prije pokretanja bloga, dozvoljavam si ovu neoriginalnost i na kraju godine objavljujem pogled na informacijsku sigurnost u 2007. u Hrvatskoj.

Ako informacijsku sigurnost sagledavamo kroz sigurnosne incidente, onda svakako moramo biti zadovoljni što je Hrvatska još uvijek izvan matrice tipičnih incidenata koji su u svijetu dominirali ove godine. Dakle, u Hrvatskoj nije bilo slučajeva gubitka ili krađe podataka velikih razmjera koji bi ugrozili privatnost naših građana, a takvih je događaja u međunarodnim razmjerima bilo izuzetno puno (s, ponegdje, katastrofalnim posljedicama - pogledaje pregled deset najvećih u 2007. na ovoj stranici). No, kada kažem da nije bilo takvih slučajeva, onda moram naglasiti da nije bilo zabilježenih slučajeva. Kod nas se još uvijek smatra da su se sigurnosni incidenti dogodili tek kada je netko direktno osjetio posljedice. Nažalost, incidenti u infomacijskoj sigurnosti postoje i onda kada ih direktno ne zamjećujemo, a mnoge zamjećujemo tek sa znatnim vremenskim odmakom i ponekad veoma posredno. Ipak, smatram da doista nije bilo incidenata velikih razmjera, no ponajprije zahvaljujući činjenici da potencijalni dobitak nije dovoljno atraktivan napadačima (zbog manjeg tržišta, što sa sobom podrazumijeva i manji opseg potencijalnih žrtava, npr. kada govorimo o krađi identiteta "phishing" napadima).

Ipak, takav trend neće trajati vječno, a dokaz je i oblik računalnog kriminala koji je dominirao medijima u Hrvatskoj ove godine. Vjerujem da pamtite slučajeve prijevara na bankomatima koje su pogodile nekoliko hrvatskih banaka i mnoge njihove klijente. Rekao bih da je takvih slučajeva bilo više nego u proteklim godinama, a to može argument koji nas upućuje da ekonomija računalnog kriminala opravdava napadačima ulazak i na naše "tržište": rezultati neće možda biti opsegom značajni kao na tržištu od nekoliko desetaka miljuna potencijalnih žrtava, no troškovi realizacije napada su sve niži a mogućnost zadržavanja anonimnosti napadača jednako visoka, pa možemo očekivati da će se takvi incidenti proširiti i na "moderne" oblike računalnog kriminala (ako uopće smijemo zloupotrebe na bankomatima nazvati nemodernim).

Treba spomenuti i drugi slučaj koji je vladao naslovnicama novina. Zaposlenici jedne velike banke isplatili su veliki iznos u "cashu" osobi na temelju falsificiranih podataka o identitetu (tj. falsificirane putovnice). Iako sredstvo pomoću kojeg je napravljena prijevara ne spada u računalni resurs (falsificirana je putovnica a ne digitalni identitet), ovaj je slučaj školski primjer "insiderskog" računalnog kriminala, zato što su, prema novinskim napisima, počinitelji - zaposlenik/zaposlenici banke, došli do ključnih informacija uvidom u bazu podataka (moram istaknuti da sam o cijelom slučaju isključivo upoznat na temelju novisnikih napisa i nije mi poznat nikakav drugi detalj o načinu izvršenja). Po svemu sudeći, radi se o zloupotrebi ili pogrešnoj dodjeli pristupnih prava informacijskom sustavu, možda i o socijalnom inžinjeringu te nepoštovanju propisane procedure. Također, ovaj slučaj nam govori o potencijalnim nedostacima korištenja tradicionalne tehnologije (identifikacija putovnicom) u kombinaciji s informacijskom tehnologijom.

Godina na izmaku je donijela i dvije novosti na području zakonske regulative: Odluku HNB-a o primjerenom upravljanju informacijskim sustavom i Zakon o informacijskoj sigurnosti.

Odluka HNB-a, koju treba čitati u kontekstu ranije objavljenih Smjernica HNB-a za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika (iz 2006.) značajno će utjecati na provedbu mjera informacijske sigurnosti u bankama te pridonosi stvaranju pozitivnih trendova u upravljanju informacijskim rizicima, a kakvi postoje u svijetu već nekoliko godina. Vjerujem da će ubrzo i druga državna tijela ili agencije morati regulirati pitanja informacijske sigurnosti na sličan način (sukladno dostignućima EU).

U srpnju je izglasan i Zakon o informacijskoj sigurnosti. Ovaj zakon bi trebao potaknuti uređenje problematike sigurnosti informacija za tijela državne vlasti. Kad kažem potaknuti, onda ukazujem na činjenicu da se pitanja sigurnosti moraju rješavati brojnim provedbenim aktima (standardi i pravilnici), a koje i sam zakon (koji ima tek nekoliko stranica) predviđa. Stoga, u ovom trenutku ne možemo reći da je zakon imao neki osobiti učinak jer treba pričekati provedbene dokumente. Zakon predviđa donošenje provebenih dokumentata u roku od 6 mjeseci, što bi trebalo značiti do kraja siječnja 2008. Naravno, ne očekujem ove dokumente u predviđenom roku, no iskustvo nam govori da bi donošenje pravilnika kao i realizacija ovog zakona mogla biti veoma dugotrajna i teška. Iskreno se nadam da će me praksa demantirati i u tom ću slučaju svakako priznati pogrešnu procjenu.

Na kraju obećanje za 2008: obećajem da će stranice ovog bloga biti puno ažurnije!

Pozicioniranje odgovornosti za informacijsku sigurnost

2007-10-29T11:54:00.001+01:00

Tema jednog od ranijih napisa bila je odgovornost za provjeru stanja sigurnosti informacijskog sustava. Tom prilikom je rečeno da provjera valjanosti sigurnosnih mjera mora biti u nadležnosti odjela koji upravlja sustavom informacijske sigurnosti i da bi, radi vjerodostojnosti same provjere, takve aktivnosti trebale biti neovisne od drugih strana čiji se rad provjerava (prije svega od odjela informatike). No, u neposrednoj vezi s ovim problemom pojavljuju se najmanje tri pitanja:

1. Kako organizacijski pozicionirati odjel koji upravlja informacijskom sigurnošću?
2. Kakvim ovlastima ovaj odjel mora biti naoružan?
3. Kako će ovaj odjel odrediti uspješnost sigurnosnih mjera?

U odgovoru na prvo pitanje treba reći da je samo manji dio domaćih tvrtki pozicionirao odjel informacijske sigurnosti izvan službe informatike. Radi se uglavnom o bankama (iako ima izuzetaka i u nefinancijskom sektoru), i to ponajviše zato što je prošlogodišnja incijativa HNB-a, između ostalog, jasno istaknula zahtjev o neovisnom položaju "security officer-a". Tvrtke koje su propustile napraviti takvu reorganizaciju postigli su možda zadovoljavajuću kvalitetu sigurnosti informatičkih tehnologija, no suočavaju se s problemom ograničenog utjecaja na sigurnost informacija, a od sigurnosne nepogode dijeli ih možda samo korak.

No, pokretanje neovisnog odjela informacijske sigurnosti i njegovo pozicioniranje izvan IT-a nije, samo po sebi, jamstvo uspješnog rada. Ostaje niz pitanja: je li uprava samo formalno zadovoljila uvjete regulatora ili sigurnosnih normi, a novopokrenuti odjel lišila stvarnih ovlasti... je li zaista osigurala zadovoljavajuću razinu kompetencije, ali i primjeren proračun... je li novopokrenuta služba u pravom smislu neovisna ili je pozicionirana unutar nekih drugih odjela (npr. upravljanja rizicima, odjela opće sigurnosti, interne revizije...) a da pri tome nema dovoljnu neovisnost? Stoga, uprava mora dati jasan odgovor na drugo pitanje, odabrati kompetentne ljude i ovlastiti ih na adekvatan način.

Ali ni to nije sve. Odjel informacijske sigurnosti vidi često dosege svog angažmana isključivo kroz izradu pravilnika, pokretanja radnih procedura i podupirajuće, ponekad samo formalno, sudjelovanje u drugim poslovnim procesa. To je, naravno, nužno za uspjeh programa sigurnosti ali ne i dovoljno. Praćenje i mjerenje uspješnosti sigurnosnih aktivnosti i specifičnih mjera mora biti jedna od glavnih obveza odjela informacijske sigurnosti. Nije dovoljno postići usklađenost sigurnosnog sustava tvrtke s regulatornim zahtjevima ili sigurnosnim normama, baš kao što nije dovoljno investirati, ponekad i značajne iznose, u sigurnosnu tehnologiju. Karika koja nedostaje u ukupnom uspjehu je kontinuirano praćenje i upravljanje svim postignućima koje je proveo ili incirao odjel informacijske sigurnosti.

Naše su tvrtke za sada zagrizle u pitanje pod brojem 1, a neke su to pitanje i uspješno riješile. No, tek se manji tvrtki suočio i s preostalim pitanjima.

Netko će reći "Sve je u redu dok nema posljedica", no nadam se da je management svjestan da je ovo pogrešan odgovor na bilo koje pitanje postavljeno na ovom mjestu.

"Poslovni dnevnik" o insiderskim prijetnjama

2007-10-03T12:58:00.001+02:00

S malim zakašnjenjem upućujem vas na članak "Informatički sustavi na udaru pete kolone" koji je prije desetak dana izašao u Poslovnom dnevniku. Pored nekoliko primjera iz američke prakse, članak donosi i procjenu o potencijalnim štetama koje se mogu očekivati kod insiderskih prijetnji.

Prijetnjama insidera bavio se i seminar koji je Borea održala krajem rujna u Zagrebu, a članak iz Poslovnog dnevnika donosi i kratki intervju o ovoj temi koji sam s vodio s autorom članka.

Curenje informacija i vrijednost dionica

2007-09-13T10:25:00.001+02:00

U Jutarnjem listu od 8.9.2007. objavljen je razgovor s Antom Samodolom, čelnim čovjekom Hrvatske agencije za nadzor financijskih usluga. Hanfa je svojim radom izazvala brojne reakcije, a stvorila je i neke "neprijatelje". Nemam namjeru baviti se ovim dijelom Hanfine aktivnosti već ukazati na jedan od odgovora iz ovog članka.

Na pitanje o "redovitim curenjem informacija o upisu dionica kod javnih ponuda", Samodol potvrđuje takvu praksu, te najavljuje da će se Hanfa svim silama boriti protiv toga. Naime, ovakva informacija može imati snažan poticaj za neopravdani skok cijena dionica.

Ovaj odgovor pokazuje na najbolji način snagu informacija na tržištu dionica i mogućnosti manipulacija cijenama dionica korištenjem informacija. Mogući su i slučajevi kada se određene informacije neće objaviti odnosno biti će poznate samo uskom broju ljudi i to u veoma pogodnom trenutku.

Kao što Samodol tvrdi, "u zakonu je jasno što tko smije objaviti, a što ne smije". No, problem predstavlja činjenica da je manipulaciju informacijama ponekad veoma teško otkriti. Danas se preko 99% informacija koje bi mogle imati utjecaja na poslovanje tvrtki, pa tako i na cijenu dionica, obrađuje ili pohranjuje u digitalnom obliku, odnosno izmjenjuju nekim od oblika elektroničke komunikacije. Mjesta otkrivanja ili prikrivanja takvih informacija veoma su raznolika i često nedodirljiva u potrebnom trenutku. Čak i kad naknadno postane jasno da je došlo do manipulacije, načinjenu štetu teško je pokriti.

Stoga, pored propisivanja što se smije ili ne smije objaviti, zakon i provedbena praksa mora jasnije definirati kako se takve informacije moraju čuvati i obrađivati, te predvidjeti odgovornost rukovodstva i za slučajeve nemarnog odnosa prema važnim podacima. Vjerujemo da će i Hanfa prepoznati taj pravac uređivanja financijskog trižišta.

Zaštita privatnosti na radnom mjestu

2007-09-03T09:50:00.002+02:00

Početkom kolovoza se u Jutranjem listu pojavio članak na temu zaštite privatnosti u slučajevima korištenja elektroničke pošte na radnom mjestu . Članak navodi na zaključak da zaposlenici ne trebaju očekivati pretjeranu zaštitu osobnih podataka u takvim slučajevima i da poslodavac zadržava pravo uvida u takve oblike komunikacije.

Nekoliko tjedana kasnije, u rubrici pisma čitatelja objavljeno je pismo jednog pravnika koji tvrdi da je takav zaključak u suprotnosti s europskom praksom, te da zaposlenici imaju pravo na zaštitu elementarnih oblika privatnosti na radnom mjestu. Čitatelj ipak na kraju sugerira da bi stvarna praksa trebala biti negdje u sredini.

U međuvremenu ova se tema pojavila i u drugim medijima (npr. u jutarnjem programu HTV-a), a vjerujem da su mnogi od vas barem jednom sudjelovali u poduljoj debati na ovu temu u svojim organizacijama.

Naravno istina je negdje u sredini, no pitanje je gdje? Ja osobno smatram da zaštita privatnosti i prava pojedinaca mora imati prioritet i da svaka organizacija (državna tijela, financijske institucije, telekomunikacijske tvrtke, velike korporacije...) mora, ne samo pokazati brigu, nego i takve podatke zaštiti na pravi način.

No, u slučaju zaštite osobnih podataka na radnom mjestu dio odgovornosti moraju preuzeti i zaposlenici.

Naravno, da je apsurdno zabranjivati korištenje elektroničke pošte tijekom radnog vremena (što je moglo i proći prije pet-šet godina), baš kao što normalna organizacija neće zabraniti ni privatne telefonske razgovore. No, treba znati da postoje razlike između telefonskog razgovora i elektroničke pošte.

Telefonski razgovori nose ograničene rizike i to prije svega uslijed prekomjernog korištenja (ograničavanje učinkovitosti na radnom mjestu i dodatni troškovi za poslodavca), a takvi se rizici mogu prepoznati na temelju jednostavnih indikatora (npr. uvidom u izvještaje o troškovima telefonske centrale).

Stvari su složenije kod elektroničke pošte. Pored prekomjernog korištenja, elektronička pošta sadrži i mnoge druge rizike (curenje povjerljivih informacija, distribucija nelegalnih sadržaja, ugrožavanje integriteta drugih osoba...). U svjetskoj (uključujući i europsku) praksu poznati su slučajevi gdje su zaposlenici napravili takve delikte, no odgovornima se držalo organizacije. Upravo zbog tako predviđenih obveza i odgovornosti, organizacije moraju pravilnikom urediti korištenje elektroničke pošte, a uvođenjem tehnika učinkovitog nadzora provjeravati provedbu pravilnika.

Pojam "nadzor" odmah izaziva oprez i nepovjerenje, no treba reći da se nadzor elektroničke komunikacije, pa tako i elektroničke pošte, može (a i mora) provesti bez uvida u ukupni kontekst i sadržaj pisane komunikacije, a sasvim pouzdane indikatore je moguće dobiti na nižim mrežnim razinama: vrsta i količina prometa po intrenim ili vanjskim mrežnim adresama, pokazatelji odstupanja od prosječnih vrijednosti, karakter prometa, prisutnost kritičnih pojmova. Naravno, uvijek se može pregledati i sadržaj komunikacije, no to onda mora biti na temelju čvrstih indikatora i u skladu s propisanom procedurom kako bi se zaštitila privatnost zaposlenika.

U svakom slučaju, zaposlenika se mora upozoriti da organizacija ne snosi odgovornost za zaštitu njegovih (ili njenih) osobnih podataka koje zaposlenik pošalje u privatnoj komunikaciji. Nadalje, zaposlenik mora znati da organizacija može, zbog obveza koje ima prema regulatorima ili drugim tijelima koji propisuju uvjete poslovanja, u određenim, uvjetima provjeriti i sadržaj osobne komunikacije. Uz to, dobronamjerna organizacija će ograničiti i sankcionirati sve zloupotrebe takvog nadzora.

Ne treba zaboraviti da mnoge organizacije prikupljaju znatno vrijednije osobne podatke o svojim zaposlenicima u poslovnim bazama podataka.

Isto tako, svaka osoba mora znati da je puno više osobnih podataka, privatnih elektroničkih poruka i pokazatelja o osobnim navikama surfanja Internetom prikupljeno u arhivama telekomunikacijskih kuća i ISP tvrtki. Osobno smatram da se (opravdana) borba za zaštitu privatnosti u elektroničkoj komunikaciji mora voditi na ovim frontovima.

Deset izjava koje vam zvuče poznato

2007-08-21T18:31:00.001+02:00

U ovom napisu, prvom nakon nešto dulje ljetne pauze, želim vas uputiti na zanimljiv članak koji je nedavno izašao u Computerworldu ("Oh, don't tell me: 10 claims that scare security pros", 10.8.2007.). Ipak, čini mi se da će vam većina od deset točaka zvučati veoma poznati, ali ne zbog toga što ste možda već pročitali citirani članak, već zbog toga što ste ove tvrdnje čuli od svojih kolega, svojih šefova, svojih informatičara... Iz ustiju rukovoditelja, navedene tvrdnje zvuče pomalo bezazleno i tek kao minorni nedostaci s kojim se može živjeti, no iza svake tvrdnje stoje kritični propusti koji mogu kompromitirati ukupnu informacijsku sigurnost organizacije.

Ovom prilikom dodajem i jedanaestu izjavu:

"Do sada nismo imali ni jedan kritičan sigurnosni incident."

Ovakva izjava može se opravdati isključivo ako je organizacija pokrenula sve mjere proaktivnog nadzora rada informacijskog sustava i ako takve aktivnosti zaista i provodi. No, iskustvo govori da ćete sresti više koje organizacija su u stanju samouvjereno izreći ovu jedanaestu tvrdnju nego onih koji će moći na djelu pokazati aktivnosti nadzora i praćenja sustava informacijske sigurnosti.

Čiji je zadatak provjeravati sigurnosne mjere?

2007-06-13T09:38:00.001+02:00

Svaki program upravljanja informacijskom sigurnošću biti će nekompletan (i nedjelotvoran) ako ne uključuje i redovitu provjeru ispravnosti i pridržavanja propisanih mjera. Redovita provjera (naziva se i "auditing", "assessment"...) jedna je od ključnih aktivnosti složenog procesa koji svim zaintereseranim stranama mora pružiti jamstvo o adekvatnosti i učinkovitosti sigurnosnih procesa. Nije jedini - postoje i druge aktivnosti kako kroz horizontalni tako i kroz vertikalni pogled - no svakako je najkompleksniji i s najintenzivnijim doticajima prema komplementarnim aktivnostima.

Provjera sigurnosnih mjera se kod nas najčešće percipira kroz dvije izvedbe.

Jedan oblik susrećemo preko revizija poslovnih sustava, čiji plan realizacije mora obuhvatiti i provjeru rada informacijskih sustava, te daje ocjenu o potencijalnim nedostacima koji mogu utjecati na izvedbu poslovnog sustava. Drugi oblik susrećemo preko tzv. penetracijskih testiranja. Ova izvedba obično nije formalno pozicionirana kao poslovna revizija, a svojim je obuhvatom usmjerena prije svega na tehnički aspekt nekog dijela informacijskog sustava.

I to je, manje-više sve. No, provjera sigurnosnih mjera mora biti definirana sveobuhvatnije. Područja primjene danas su raznolikija od revizijskih aktivnosti i testiranja novih aplikacija. Pojavom regulatornih propisa, definicijom sigurnosnih standarda ili barem isticanjem smjernica o sigurnosnim mjerama, odgovornošću uprava tvrtki za djelotvornost sigurnosnog sustava i nekim drugim pokretačkim momentima, sigurnosna provjera je aktivnost za koji uprave tvrtki moraju biti i te kako zainteresirani.

Provjera sigurnosnih mjera mora krenuti od dobre definicije samih sigurnosnih mjera. One moraju biti dobro strukturirane već u fazi njihovog donošenja, propisivanja i izvedbe, a nakon toga treba se osigurati mehanizam njihove kontinuirane provjere, usporedbe s očekivanim ili prihvatljivim rezultatima, te generirati smislene indikatore koji će ukazivati na odstupanja ili će omogućiti mjerenje učinkovitosti pridržavanja sigurnosnih mjera.

Provjera sigurnosnih mjera mora biti dio nadležnosti i odgovornosti poslovne cjeline koja upravlja informacijskom sigurnošću i pri tome je veoma važno očuvati neovisnost od dijela organizacie koji operativno provodi pojedine sigurnosne mjere (čitaj, dakle, od službe informatike). Nemojte zaboraviti da provjera sigurnosnih mjera mora imati doticaj s procesom provjere i otklanjanja računalnih ranjivosti ("Vulnerability Management"), s testiranjem aplikativnih sustava u razvojnom ciklusu, s internom revizijom, s "compliance" incijativama, s upravljanjem operativnim rizicima, s forenzičkim aktivnostima...

Stoga, provjera sigurnosnih mjera mora postati dobro definiran proces koji neće biti izoliran od drugih cjelina (a naročito ne od službe informatike). Potrebno je očuvati nevisnost, vjerodostojnost i preciznost provjera, obuhvatiti organizacijske, administrativne i tehničke sigurnosne mjere, a indikatori i izvještaji moraju biti dostupni svim poslovnim cjelinama koje, svaka na svoj način, doprinose ukupnom uspjehu programa informacijske sigurnosti.

45% zaposlenika na odlasku otuđuje podatke

2007-05-29T22:47:00.001+02:00

Nedavno su objavljeni rezultati jedne ankete prema kojima čak 45% zaposlenika kopira i odnosi (ili otuđuje) podatke svojih poslodavaca neposredno prije prestanka radnog odnosa. Naravno, svakoj anketi ili tržišnom ispitivanju treba, prije nego što uronite u same rezultate, provjeriti metodologiju, uzorak ispitanika i motive (ovo istraživanje ju naručila tvrtka Liquid Machines). No, i bez dužnog opreza vjerujem da ćete se suglasiti s rezultatima. Odlazak zaposlenika jedan je od najelegantnijih oblika otuđivanja povjerljivih informacija, a ponekad i intelektualnog vlasništva. Zaposlenici na odlasku čak se i ne moraju izlagati osobitim rizicima: odlasci se obično planiraju dulje vrijeme i u završnom razdoblju na starom radnom mjestu biti će mnogo prilika za prikupljanje svih informacija, prije nego što se pojave sumnje kod nadređenih. Osim toga, mnoge vrijedne informacije mogu se prikupljati tijekom cijelog radnog odnosa a, jednostavno rečeno, mogu se i pamtiti (za sada ne postoji tehnologija brisanja podataka iz sivih ćelija). Stoga, ovaj visoki postotak ne čudi, no isto tako ne mora značiti da će sve informacije biti zloupotrebljene: možda novi poslodavci neće biti zaintersirani ili će im donešene informacije već biti poznate ili pak otuđene informacije nemaju specifičnu težinu. Rezultati ove ankete zapravo potvrđuju tezu koju u zadnje vrijeme zastupaju neki stručnjaci a govori o tome da se sigurnosne mjere moraju biti provođene iz središta prema vanjskom okruženju, a ne obrnuto. Drugim riječima, pažnja sigurnosnih timova mora biti fokusirana na podatke a tek onda na perimetar. Tradicionalnim pristupom, primjena sigurnosnih tehnologija u najvećoj se mjeri bavi perimatarskom infrastrukturom i prijetnjama koje dolaze iz vanjskog okruženja.

Visoki postotak na koji nas upućuje objavljeno istraživanje potvrđuje i procjene, stare gotovo cijelo desetljeće, da je približno tri četvrtine računalnih delikata uzrokovano ponašanjem "insidera". Još do nedavno mogla su se pročitati osporavanja takvih procjena, no kvaliteta i vrijednost poslovnih informacija te neprobojnost perimetarskih zaštitinih tehnologija, upućuju dovoljno motivirane strane da prolaz do atraktivnih informacija pronađu zaobilaženjem Interneta - dakle pronalaženjem najslabijih karika u unutarnjoj organizaciji (te iskorištavanjem nelojalnih zaposlenika).

Treba li regulirati informacijsku sigurnost?

2007-05-21T12:22:00.001+02:00

Iako se smatra da je management u poslovnim sustavima danas sasvim svjestan problema informacijske sigurnosti i načina za njihovo rješavanje, u svijetu je zavladala praksa regulacije informacijske sigurnosti zakonima i sličnim tržišnim propisima (SOX, EU Data Protection, Basel II...). No, pojavljuju se pitanja je li takav način regulacije sukladan zakonima tržišta i slobodnoj ekonomiji. Treba li zaista zakonom urediti informacijsku sigurnost ili se može, kao i u nekim drugim slučajevima, ovo pitanje prepustiti samoregulaciji?

Moj odgovor je: regulacija je neophodna. Evo i glavnih razloga.

Informacije koje se kreiraju i obrađuju današnjim poslovnim modelima obuhvaćaju znatno širu vrijednost od one koja ima značenje za upravu i vlasnike pojedinog poduzeća. Nekoliko primjera: sve detaljniji, opsežniji i delikatniji osobni podaci (dakle podaci koji ne samo da pripadaju pojedincima nego su ponekad od naročitog osobnog značaja) a predmet su svakodnevnih poslovnih transakcija u poduzećim i organizacijama svih profila; financijski podaci koji imaju značaj za brojne dioničare (institucionalne i vaninstitucionalne); podaci čija bi zloupotreba ili narušavanje moglo utjecati na bankarski, mirovinski, zdravstveni, energetski (ali i na neki drugi) sustav (a koje možemo okarakterizirati kao sustave od općeg značaja)...

Današnji informacijski rizici mogu na jednostavan i direktan način uzrokovati značajne posljedice ne samo upravi i vlasnicima nego i drugim interesnim grupama uključenim u rad informacijskih sustava. Ako uprave nisu direktno motivirane (čitaj: prisiljene) očuvati, osim vlastitih, i vrijednosti drugih sudionika onda je, nažalost, vrlo izvjesno da to neće napraviti (ili će napraviti veoma površno i nedjelotvorno).

Stoga, neophodno je da država i državna regulatorna tijela propisuju pravila za specifične segmente poslovanja koja se moraju slijediti u primjeni informacijskih tehnologija i kojima će se zaštiti svi sudionici ovih segmenata poslovanja.

No, isto tako je važno da se ova pravila primjenjuju, te da specijalizirana tijela provjeravaju njihovu provedbu (razumije se: uz tržišne posljedice za prekršitelje).

"Top-down" načelo kod upravljanja informacijskim rizicima (3)

2007-05-09T13:53:00.002+02:00

Ovo je treći i završni nastavak zapisa (ovdje pogledajte prvi i drugi nastavak) koji obrazlaže potrebu da se procesu upravljanja informacijskim rizicima, pa onda i informacijskoj sigurnosti, pristupi "odozgo", pogledom managementa. Važno je još jednom naglasiti da smo do visinu rizika mogli utvrditi samo na temelju suradnje rukovodstva (jer samo osobe odgovorne za pojedine poslovne procese mogu točno odrediti moguće posljedice) i informatičkog osoblja (koje je, najčešće, najbolje poznaje informatičku infrastrukturu).

Ovdje dolazimo do treće važne točke u "top-down" konceptu: najviši management mora biti upoznato ne samo s visinom rizika nego i s popisom kontrolnih mjera i mora dati nalog za njihovu primjenu. Samo na taj način će ove mjere dobiti potrebnu težinu a u praksi će se prevladati primjedbe korisnika i rukovodstva organizacijskih cjelina o svoijevoljnom nametanju ovih mjera od strane informatičkog osoblja.

Četvrta važna točka u primjeni "top-down" koncepta odnosi se na proširenja poslovnih procesa s novim tehnološkim sustavima (što se danas najčešće povezuje s otvaranjem novih poslovnih mogućnosti ili s ponudom novog proizvoda). Današnje tržišne inovacije su uglavnom neraskidivo vezane s primjenom novih informacijskih tehnologija i aplikativnih sustava, a svaki nova aplikativni sustav mora proći kroz proces upravljanja rizcima. Nova aplikacija može u sebi sadržavati značajne sigurnosne rizike, no s druge strane i otvarati značajne poslovne mogućnosti. Odluka o prihvaćanju ili izbjegavanju ovih rizika mora biti ostavljena rukovodstvu organizacije s obzirom da se radi o strateškoj poslovnoj odluci.

Peta važna točka "top-down" koncepta je održavanje odnosa unutar organizacije prema kojemu informatičke službe moraju biti svojevrsni davatelji informatičkih usluga a stvarni "vlasnici" podataka, odnosno korisnici s nadležnošću za sve značajne odluke o korištenju i obradi mora imati rukovodstvo pojedinih poslovnih procesa. Na taj način će se postići i kvalitetnija primjena pojedinih komponenti sustava a rukovodstva poslovnih cjelina preuzeti značajni dio odgovornosti.

Šesta točka "top-down" koncepta obuhvaća obvezu stalne provjere rada informacijskog sustava, praćenje stupnja ostvarivanja poslovnih ciljeva organizacije kroz korištenje informacijskog sustava te utvrđivanje svih događaja koji ukazuju na povredu predviđene razine sigurnosti. Rukovodstvo organizacije mora biti izvještavano o rezultatima provjere, ali i niže razine rukovodstva moraju biti upoznate s rezulttaima provjere za dijelove informacijskog sustava iz svoje nadležnosti. To se posebno odnosi na rukovodstvo informatičke službe, koje mora provoditi detaljnije praćenje rada na dnevno-operativnoj razini.

"Top-down" načelo kod upravljanja informacijskim rizicima (2)

2007-05-04T21:23:00.002+02:00

Upravljanje rizicima mora točno identificirati i popisati svu informacijsku imovinu s kojom organizacija raspolaže, a na tako strukturiranom imovinom napraviti procjenu prijetnji i analizu ranjivosti, utvrditi visinu rizika te propisati potrebne sigurnosne mjere.

Inventura informacijske imovine druga je glavna točka "top-down" koncepta i ujedno prvi korak u procesu upravljanja rizicima. Informacijsku imovinu treba sagledati prije svega kao poslovne podatke koji imaju određenu vrijednost za organizaciju i čijom bi povredom došlo do značajnih posljedica za poslovanje. Evidencija tako definirane imovine mora biti usklađena s glavnim poslovnim procesima, a rukovoditelji ovih procesa moraju odgovoriti kakve posljedice očekuju uslijed gubitka povjerljivosti, integriteta ili dostupnosti podataka s kojima se svakodnevno služe.

Sve dok se držimo informacijskog sustava i njegovih glavnih modula, inventura informacijske imovine ići će predvidljivim tokom, iako ne uvijek sasvim glatko. No, moramo pripaziti da ne zanemarimo podatke koji su smješteni izvan baze podataka ili izvan aplikativnih sustava. Jako puno značajnih, ponekad i kritičnih, infomacija generira se kroz Office ili Excel, a smještaju se kojekuda po diskovima osobnih računala (uključujući i sve arhivske kopije, draft verzije dokumena i sve kopije koje se ponekad i nesvjesno generiraju). Elektronička pošta je odavno dobila svojstvo kritična poslovne informacija, a intelektualno vlasništvo je obuhvaćeno i drugim formatima (prezentacijama, grafičkim zapisima, nacrtima...). Konačno, popis informacijske imovine ne smije zanemariti ni papirnate podatke, koliko god se to smatralo nespojivim s karakterom informacijskog sustava.

Potom slijede preostale aktivnosti u procesu upravljanja rizicima, a jedan od završnih rezultata biti procjena visine rizika i definicija potrebnih kontrolnih mjera koje organizacija mora provesti kako bi spriječila eskalaciju prisutnih prijetnji.

"Top-down" načelo kod upravljanja informacijskim rizicima

2007-04-30T08:04:00.002+02:00

Ako pogledamo praksu u većini organizacija, informatičke službe imaju vodeću riječ kada se odlučuje o vrsti, opsegu i težini sigurnosnih mjera. Takva uloga je rezultat tradicionalnih odnosa koji potječu još iz razdoblja kada su se ove službe nazivale "Elektronički računski centar", a njihove su usluge služile uglavnom da se nešto brže izračunaju kamate ili plaće zaposlenih.

No informcijski sustavi danas imaju neusporedivo značajniju ulogu, a rizici kojima je rad informacijskih sustav izložen mogu imati katastrofalne posljedice za poslovanje poduzeća. Ujedno, ostvarivanje poslovnog uspjeha znači i spremnost preuzimanja određenih rizika, pa tako i onih s područja informacijskih tehnologija.

Odluka o tome koje resurse zaštiti i kakvim mjerama to provesti, donosi se kroz proces upravljanja rizicima. Pogrešna odluka može imati značajne posljedice, bilo zbog nedovoljno jake mjere i financijske štete koju je izazvao sigurnosni incident, bilo kao propuštena poslovna prilika koju je nepovratno zauzela konkurencija. Stoga, odlučivanje o sigurnosnim mjerama prestaje biti dio uobičajenih nadležnosti informatičkih službi, već se mora sagledavati kao obaveza rukovodstva. Postojanje "risk-management" postupka je prvi preduvjet provedbu programa sigurnosti prema "top-down" načelu, od pozicije uprave prema pojednim poslovnim procesima.

Dakako, stvari nisu baš crno-bijele i postojeće procese nije moguće preusmjeriti i promjeniti samo naredbom presjednika uprave. Koje su glavne značajke "top-down" pristupa u provedbi informacijske sigurnosti?

Najvažniji je prvi korak: planiranje i provedba upravljanja informacijskim rizicima. Inicijativa za upravljanje rizicima mora biti pokrenta s razine uprave, a uprava (ili jedan njen član) mora biti pokrovitelj ovog procesa. U postupak upravljanja rizicima moraju biti uključeni i drugi članovi rukovodstva i odgovorne osobe pojedinih poslovnih procesa (izvan službe informacijskih tehnologija).

Nastavlja se...

Namjena ovog bloga

2007-04-29T22:23:00.000+02:00

Pred vama se nalazi prvi tekst u blogu info-rizici.blogspot.com, službenom blogu poduzeća Borea. Cilj ovog bloga je približiti čitateljima pristup sigurnosti informacija i informacijskih sustava koji slijedimo u svojem radu. A taj pristup zasnovan je na "top-down" smjeru djelovanja kod planiranja, provedbe i provjere mjera kojima se održava integritet, dostupnost te čuva povjerljivost informacija i informacijskih servisa.

Naime, nekako je uobičajeno da najviše rukovodstvo u poduzećima i organizacijama stoji po strani kada se donose odluke o informacijskoj sigurnosti, smatrajući da se radi isključivo o tehničkom pitanju. No, prema načelima korporativnog upravljanja ali i zakonske regulative (koja je prisutnija u razvijenijim zemljama, no sve bliža i nama) danas više nije moguće opravdati takvu nezainteresiranost. Sve razine rukovodstva, ne samo unutar kruga IT službi, preuzimaju odgovornost za sigurnost informacija iz svog djelokruga, a nebriga najvišeg rukovodstva o provedbi mjera sigurnosti smatra se primjerom nemarnosti koju vlasnici ili dioničari sankcioniraju.

Sigurnost informacijskih sustava postiže se prije svega dobrom definicijom neophodnih organizacijskih procesa i uključivanjem svih zaposlenih u ove procese. Tehnološka rješenja su često neophodan element bez kojeg se procesi ne bi mogli dobro provoditi, ali tehnološka rješenja dolaze na dnevni red tek kada smo definirali procese.

U praksi imamo, najčešće, suprotan smjer: odlučivanje o sigurnosnim mjerama je upravljano tehnološkim rješenjima a ne poslovnim zahtjevima. Rezultat toga je nekonzistentna sigurnost informacija i visoki troškovi primjene ovih rješenja, a često je i nezadovoljstvo rukovodstva konačnim rezultatima.

Ovaj blog će se baviti problematikom primjene "top-down" pristupa kod implemenatcije programa informacijske sigurnosti i upravljanjem rizicima kao osnovnim mehanizmom za takav pristup. Pisati ćemo o jednoj temi o kojoj se u Hrvatskoj rijetko govori, a to je "IT Governance", odnosno u upravljanju informacijskom sustavima unutar konteksta korporativnog upravljanja, glavnim sigurnosnim procesima koji se moraju provoditi i mnogim srodnim temama.

Vaše komentari i prijedlozi su nam osobito važni. Javite nam se na ovim stranicama ili na adresu inforisk@borea.hr