31.12.07

Pogled na 2007. godinu

Pogled unatrag na godinu koja je na izmaku, izuzetno je neoriginalan način zaključivanja tekuće godine i pripreme za slijedeću. No, s obzirom da ove stranice nisu bile ažurne kako sam planirao prije pokretanja bloga, dozvoljavam si ovu neoriginalnost i na kraju godine objavljujem pogled na informacijsku sigurnost u 2007. u Hrvatskoj.

Ako informacijsku sigurnost sagledavamo kroz sigurnosne incidente, onda svakako moramo biti zadovoljni što je Hrvatska još uvijek izvan matrice tipičnih incidenata koji su u svijetu dominirali ove godine. Dakle, u Hrvatskoj nije bilo slučajeva gubitka ili krađe podataka velikih razmjera koji bi ugrozili privatnost naših građana, a takvih je događaja u međunarodnim razmjerima bilo izuzetno puno (s, ponegdje, katastrofalnim posljedicama - pogledaje pregled deset najvećih u 2007. na ovoj stranici). No, kada kažem da nije bilo takvih slučajeva, onda moram naglasiti da nije bilo zabilježenih slučajeva. Kod nas se još uvijek smatra da su se sigurnosni incidenti dogodili tek kada je netko direktno osjetio posljedice. Nažalost, incidenti u infomacijskoj sigurnosti postoje i onda kada ih direktno ne zamjećujemo, a mnoge zamjećujemo tek sa znatnim vremenskim odmakom i ponekad veoma posredno. Ipak, smatram da doista nije bilo incidenata velikih razmjera, no ponajprije zahvaljujući činjenici da potencijalni dobitak nije dovoljno atraktivan napadačima (zbog manjeg tržišta, što sa sobom podrazumijeva i manji opseg potencijalnih žrtava, npr. kada govorimo o krađi identiteta "phishing" napadima).

Ipak, takav trend neće trajati vječno, a dokaz je i oblik računalnog kriminala koji je dominirao medijima u Hrvatskoj ove godine. Vjerujem da pamtite slučajeve prijevara na bankomatima koje su pogodile nekoliko hrvatskih banaka i mnoge njihove klijente. Rekao bih da je takvih slučajeva bilo više nego u proteklim godinama, a to može argument koji nas upućuje da ekonomija računalnog kriminala opravdava napadačima ulazak i na naše "tržište": rezultati neće možda biti opsegom značajni kao na tržištu od nekoliko desetaka miljuna potencijalnih žrtava, no troškovi realizacije napada su sve niži a mogućnost zadržavanja anonimnosti napadača jednako visoka, pa možemo očekivati da će se takvi incidenti proširiti i na "moderne" oblike računalnog kriminala (ako uopće smijemo zloupotrebe na bankomatima nazvati nemodernim).

Treba spomenuti i drugi slučaj koji je vladao naslovnicama novina. Zaposlenici jedne velike banke isplatili su veliki iznos u "cashu" osobi na temelju falsificiranih podataka o identitetu (tj. falsificirane putovnice). Iako sredstvo pomoću kojeg je napravljena prijevara ne spada u računalni resurs (falsificirana je putovnica a ne digitalni identitet), ovaj je slučaj školski primjer "insiderskog" računalnog kriminala, zato što su, prema novinskim napisima, počinitelji - zaposlenik/zaposlenici banke, došli do ključnih informacija uvidom u bazu podataka (moram istaknuti da sam o cijelom slučaju isključivo upoznat na temelju novisnikih napisa i nije mi poznat nikakav drugi detalj o načinu izvršenja). Po svemu sudeći, radi se o zloupotrebi ili pogrešnoj dodjeli pristupnih prava informacijskom sustavu, možda i o socijalnom inžinjeringu te nepoštovanju propisane procedure. Također, ovaj slučaj nam govori o potencijalnim nedostacima korištenja tradicionalne tehnologije (identifikacija putovnicom) u kombinaciji s informacijskom tehnologijom.

Godina na izmaku je donijela i dvije novosti na području zakonske regulative: Odluku HNB-a o primjerenom upravljanju informacijskim sustavom i Zakon o informacijskoj sigurnosti.

Odluka HNB-a, koju treba čitati u kontekstu ranije objavljenih Smjernica HNB-a za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika (iz 2006.) značajno će utjecati na provedbu mjera informacijske sigurnosti u bankama te pridonosi stvaranju pozitivnih trendova u upravljanju informacijskim rizicima, a kakvi postoje u svijetu već nekoliko godina. Vjerujem da će ubrzo i druga državna tijela ili agencije morati regulirati pitanja informacijske sigurnosti na sličan način (sukladno dostignućima EU).

U srpnju je izglasan i Zakon o informacijskoj sigurnosti. Ovaj zakon bi trebao potaknuti uređenje problematike sigurnosti informacija za tijela državne vlasti. Kad kažem potaknuti, onda ukazujem na činjenicu da se pitanja sigurnosti moraju rješavati brojnim provedbenim aktima (standardi i pravilnici), a koje i sam zakon (koji ima tek nekoliko stranica) predviđa. Stoga, u ovom trenutku ne možemo reći da je zakon imao neki osobiti učinak jer treba pričekati provedbene dokumente. Zakon predviđa donošenje provebenih dokumentata u roku od 6 mjeseci, što bi trebalo značiti do kraja siječnja 2008. Naravno, ne očekujem ove dokumente u predviđenom roku, no iskustvo nam govori da bi donošenje pravilnika kao i realizacija ovog zakona mogla biti veoma dugotrajna i teška. Iskreno se nadam da će me praksa demantirati i u tom ću slučaju svakako priznati pogrešnu procjenu.

Na kraju obećanje za 2008: obećajem da će stranice ovog bloga biti puno ažurnije!