19.12.08

Različiti aspekti zaštite privatnosti

Ovih dana sam odgovarao na pitanje o povezanosti mojeg zadnjeg napisa sa temama ovog bloga. Taj napis, naime, treba čitati kao dio problematike zaštite privatnosti. Zaštita privatnosti se najčešće sagledava kroz prizmu čuvanja i neotkrivanja osobnih podataka. No, zaštita privatnosti ima (barem) još dva aspekta vezana za informacijske tehnologije, koje bi, po mojem mišljenju, trebalo detaljno sagledati.

Prvi aspekt se odnosi na sve dominantniju informatizaciju javne uprave, koja nas, istini za volju, tek očekuje u pravom zamahu. Naime, može se očekivati da će različiti informatički servis - najčešće u nadležnosti državnih tijela - imati sve značajniji utjecaj. Takvi će servisi evoluirati od informativnog karaktera prema pružanju različitih kritičnih servisa i obavljanju važnih transakcija. Čuvanje osobnih podataka neće više biti jedini zahtjev koje će ove aplikacije morati ispuniti. Točnost, vjerodostojnost i neporecivost imati će kritično značenje. Posebno će se to odnositi na sustave i aplikacije koje će imati funkciju arbitra u pojedinim društvenim transakcijama. Zamislite, na primjer, funkciju digitalnog javnog bilježnika: neodgovorna realizacija takvog i sličnih sustava postati će izvor manipulacija i korupcije. Možemo s pravom postaviti pitanje kako će pojedinci (građani, osobe) biti zaštićeni u takvim sustavima? Kako će javni servis dokazaviti svoju vjerodostojnost? Hoće li pojedinci moći osporavati transakcije obavljene ovim servisima? Smatram da ova problematika mora pridobiti posebnu pozornost i postati važno područje zaštite osobnih prava u digitalnom svijetu.

Drugi aspekt zaštite privatnosti zapravo i ne predstavlja suštinsku novost. Naime, već su se i tradicionalni elektronički mediji pokazali veoma iskoristivim u svrhu manipulacije javnošću. Novi mediji, vezani prije svega za Internet, imaju još i veći potencijal za takve manipulacije. S obzirom da su upravo pojedinci (građani,osobe) ponajviše izloženi manipulacijama na svim područjima (od ekonomije do politike), smatram da ograničenje aktivnosti koje pokazuju tendenciju manipulacijama i zaštita pojedinaca od manipulacija također moraju postati važno područje zaštite osobnih prava u digitalnom svijetu.

Upravo je ovaj drugi aspekt bio poveznica s prethodnim napisom s ovih stranica. Smatram da su prave aktivnosti tek pred nama, a slobodno mi sugerirajte i druge aspekte zaštite osobnih sloboda u digitalnom svijetu.

10.12.08

Realna i virtualna javnost

Približava se kraj godine i običaj je raditi završne izvještaje o događajima iz protekle godine. Nedavni prosvjed organizirane pomoću Facebooka prilika su za povlačenje zanimljivih usporedbi s lažnim intervjuom premijera Sanadera Jutarnjem listu, a o kojemu sam pisao u veljači. U čemu je srodnost ovih događaja i koje to ima veze s temom ovih stranica?

I jedan i drugi slučaj su vezani za manipulaciju identitetima i za bezrezervno (i ponekad neopravdano) povjerenje korisnika u vjerodostojnost informacijskog sustava.

O prvom slučaju ste upoznati, no koje su značajke ovog drugog, tj. organizacije prosvjeda i pokušaja okupljanja sudionika ovih prosvjeda početkom prosinca u većim Hrvatskim gradovima?

Naime, ne mogu se oteti dojmu da je konačni učinak prosvjeda bio razočaravajući za redovite pratitelje i kroničare društvenih zbivanja: od početne euforije pojačane nespretnom intervencijom policije pa do osporavanja i ograđivanja potaknutih profilom i kompetencijom organizatora. Takvo je nezadovoljstvo prije svega motivirano izvedbom i razultatima samog događaja, a manje sadržajem koji je ponuđen događajem. Sudionici smatraju da su "nasjeli" pozivima organizatora, da su nesmotreno pristali biti publika i dati svojevrsni legitimitet osobama koje to nisu zasluživale, te da je konačni učinak događaja manji od očekivanog.

Ne želim, naravno, uopće ulaziti u temu prosvjeda i motive prosvjednika. Zaintrigirale su me dvije, međusobno povezane, činjenice. Prvo, lakoća kojom su organizatori postigli pozornost javnosti; drugo, činjenica da su prosvjedi okupili podosta sudionika za koje možemo sa sigurnošću reći da nisu uključeni u Faceobook zajednicu.

Rekao bih da je pozornost javnosti (koja je i rezultirala okupljanjem šarolikog profila prosvjednika) rezultat neprovjerenog odobravanja medija bez obzira što kompetencije organizatora nisu provjerene. Drugim rječima, organizatori su se, iskorištavajuće neke druge trendove u medijskom prostoru, uspjeli dobro prodati tradicionalnim medijima (kao što se prodao autor lažnog premijervog intervjua). Razočarenja i osporavanja došla su prekasno.

Za razliku od intervjua lažnog premijera koji je mogao biti spriječen uz veću opreznost novinara ili urednika, ovdje smo na djelu imali masovnu reakciju koja teško da je mogla biti izbjegnuta, no ukazuje nam na problem potencijalnih manipulacija većih razmjera. Naime, poslovni model koji stoji iza Facebooka fokusiran je na direktni marketing članovima zajednice. Mogući su naravno i obratni smjerovi, tj, da članovi zajednice djeluju prema okolini, no pouzdanost i vjerodostojnost takvih aktivnosti nije podržana poslovnim modelom Facebooka, barem ne bez "bugova", pa će rezultati biti uglavnom konfuzni i nerelevantni. Ipak, ima i uspješnih primjera, npr. prosvjed srednjoškolaca održan ovog ljeta, no u tom su slučaju ideja i poruka bili artikulirani mimo Facebooka, a koji je iskoršten prije svega kao mobilizacijski mehanizam unutar uske interesne skupine.

Stoga, smatram da se društveni život ne može oslanjati na anonimnim i neprovjerljivim korisničkim identitetima, čija se relevantnost postiže, ne suštinskim sadržajem, već količinom "klikova". Mali je korak do masovnog socijalnog inženjeringa.

Vjerujem da će i ovaj događajh pokazati da je potrebno jasno raspoznavati virtualne od realnih zajednica. Također, nadam se da "Javnost" može postojati isključivo kao realna zajednica s provjerenim i provjerljivim metodama djelovanja. Nisam, naravno, protivnik virtualne javnosti no smatram da, kao i u slučaju arhitekture virtualnih operativnih sustava, ova vrsta javnosti mora ostati unutar vlastitog konteksta.

15.11.08

Može li nam pomoći Veliki brat?

Nadao sam se da ću odoljeti iskušanju pisana na temu korištenja video nadzora na gradskim ulicama, no afirmativan tekst u prošlonedjeljnom dječjem dodatku Jutarnjeg lista o ovoj temi bio je presudan.

S nedavnim nemilim događajima na zagrebačkim ulicama (od mafijaških ubojstava pa do maloljetničkog nasilja) obnovila se incijativa za postavljanje nadzornih kamera u našem gradu (različiti novinski napisi govore o 500 kamera koje bi bile postavljene na posjećene gradske točke i važnija raskrašća). Je li to 9/11 na hrvatski način?

Čini se da promotori ove ideje nisu pročitali analizu BBC-a o sličnom projektu, no u većem razmjeru, na britanskim ulicama. Tamo se tvrdi da su, unatoč investiciji od nekoliko milijardi funti, postignuti razočaravajući rezultati: samo 3% uličnih pljački u Londonu je razriješeno pomoću nadzornih kameri.

Naravno, kamere ne bi bile potpuno beskorisne. Na mjestima na kojima su postavljene imale bi pozitivan učinak, barem što se tiče sitnog kriminala ili možda bacanja otpadaka na pod ili pisanja grafita. No, kako kažu neke studije, već stotinjak metara dalje učinak kamera postaje minoran. S vremenom, kriminal se seli na nenadzirana mjesta.

Suština problema leži u tome što je za praćenje kamera neophodan kontinuirani angažman ljudi od krvi i mesa, a njihov broj raste što je više kamera. No, tu nije kraj, pravi angažman se zaokružuje intervencijom predstavnika zakona na ulicama, a, uz veliki broj kamera, to podrazumijeva i veliki broj interventnog osoblja, uključujući i rješavanje mnoštva pogrešnih dojava. Pored toga, potrebno je prepoznavati netipična ponašanja i anomalije koje ukazuju na mogući incident. Drugim riječima, kamere postaju s vremenom neefikasne.

Primjer nedavnog ubojstva u Zagrebu: postavljanje motocikla pored Pukanićevo auto i prešetavanje osobe s motorističkom kacigom kroz dvorište, nije, izgleda, izazvalo nikavu sumnju osoblja koje je pratilo rad kamera.

Tako dolazimo do situacije da će primjena nadzornih kamera biti puno učinkovitija u slučajevima u kojima se na zahtjeva interventna preciznost i zakonska vjerodostojnost postupaka (dakle, ne u borbi protiv kriminala), pa smatram opravdanim brigu da će se tako dodatno ugroziti naša privatnost.

Pored ugrožavanja privatnosti, treba ukazati na još jedan fenomen blizak tematici ovih stranica - lakoća i brzina kojom je prihvaćeno mišljenje da tehnologija može razriješiti suštinske društvene probleme (što je u polazištu pogrešno), a da nisu detaljno analizirani potencijalni rizici.

Svakako me smeta i ravnodušnost javnosti ili čak odobravanje ove inicijative - izgleda da je višegodišnje emitiranje Big Brothera ispunilo svoju svrhu i javnost je postala spremna prihvatiti neprihvatljivo (što je slijedeće: poligraf za kućnu upotrebu?). Još jedna potvrda ove tvrdnje iz naših medija. Prije mjesec dana (u jeku nemilih događaja na zagrebačkim ulicama) u središnjem dnevniku nacionalne televizije najavljen je zakon kojim se predviđa uzimanje DNK uzorka svih osuđenika. U prilogu se, vjerujem zbog neznanja novinara, ushićeno najavljuje plan da će se u skoroj budućnosti DNK uzorci uzimati i djeci nakon rođenja. Takva je praksa, naravno, izuzetno opasna sa stajališta zaštite privatnosti. Vjerujem da se tako nešto ne planira, no novinari moraju s puno više odgovornosti baratati temama zaštite privatnosti jer će u suprotnom prosječni čitatelj/gledatelj početi ovakve ideje prihvaćati kao normalne.

15.10.08

Sigurnosni programi otkrivaju tek do 3% malicioznih programa?

Prije dva dana su objavljeni rezultati istraživanja renomirane tvrtke Secunia o efikasnosti prepoznavanja malicioznih programa od strane specializiranih sigurnosnih programa. Istraživanje je obuhvatilo 12 najprisutnijih paketa - najlakše bi ih bilo nazvati "anti-virusni" no njihova je namjena zaštita od svih oblika prijetnji koje pojednci i "kućni korisnici" mogu očekivati na Internetu.

Test je obavljen u laboratorijskim uvjetima, a cilj je bio utvrditi kako testirani programi odgovaraju na pojavu 144 datoteka koje su sadržavale maliciozni kod i kako reagiraju u doticaju s ukupno 156 web stranica koje su sadržavale malicozni sadržaj. Test je napravljen na prosječno "patchiranoj" XP konfiguraciji. Detalji testa se mogu pronaći na ovoj stranici.

Rezultati su porazni. Analizirani programi otkrili su manje od 3% malicoznih programa. Prosjek je "pokvario" Symantec Norton Internet Security 2009, koji je otkrio 21% takvih programa. Takav rezultat Symanteca je, u usporedbi s ostalim, svakako za pohvalu, no niti ovaj rezultat ne možemo proglasiti zadovoljavajućim.

Ono što zabrinjava je činjenica da svaki od testiranih programa kroz oglase jamči "100%" zaštite na Internetu, no test je pokazao nešto drugo.

Test na najbolji način dokazuje tezu da je tehnologija izrade malicioznog koda znatno uznapredovala od klasične percepcije računalnih virusa. Vektori iskorištavanja su sve raznolikiji, ranjivosti imaju svojstvo dugotrajnog zadržavanja, a motivacija napadača je evoluirala iz hobističkog dokazivanja sposobnosti u organizirani kriminal.

Iako je test obuhvatio tzv. "retail" pakete koji se prije svega koriste za kućnu ili pojedinačnu zaštitu, poslovni korisnici nemaju razloga za miran san. Svojstva antivirusnih jezgri su jednako problematična, pa poslovnim korisnicma preostaje preventiva kao glavno rješenje: otkrivanje i otklanjanje ranjivosti, dosljedno pridržavanje politike antivirusne zaštite i kontinuirano praćenje događaja na sustavu kao indikator neprihvatljivih događaja.

12.9.08

"Hackiranje" informacija

S osobitim zanimanjem pratim svaku pojavu "ranjivosti novog kova". Naročito me zanimaju događaji koji mogu promjeniti naše dosadašnje shvaćanje određene tehnologije. Možda je pretjerano ovaj slučaj tako nazvati, no u sebi nosi veoma važne pouke. Srećom, nije se desio u našoj neposrednoj blizini (iako je kontekst veoma aktualan u današnjoj Hrvatskoj).

Dakle, Google News je 7. rujna 2008. objavio da je United Airlines, jedna od najvećih zrakoplovnih kompanija, pred bankrotom. Vijest se pojavila u nedjelju, a odmah idućeg dana reagiralo je tržište: dionica UAL je pala sa 12 USD na 3 USD. Vijest bi bila dramatična, ali ne i neobična. Ipak, pokazalo se da je informacija o bankrotu kriva, a ono što je zanimljivo je pozadina te vijesti.

Naime Google News funkcionira kao agregator koji indeksira vijesti sa najznačajnijih medijskih portala. Pravi posao obavlja Googlebot koji zapravo pretražuje web servere. Vijest o bankrotu UAL pojavila se na stranicama portala Sun-Sentinel, inače u vlasništvu velikog izdavača koji izdaje i Chicago Tribune. No, problem je u tome što je ovo bila vijest iz 2002. godine. Sun-Sentinel je naslovnici neoprezno objavio link na staru vijest (u rubrici "najpopularniji članci"). Googlebot je prepoznao tu vijest kao novu (analizom pridjeljene url adrese, naravno nije analizirao sadržaj). Ostatak je bio automatizam (koji Google čini onim što i je).

Odmah su se pojavila dva pitanja.

Prvo, kako to da je Google indeksirao taj članak kao novi? Google objašnjava da pridjeljeni url do tada nije bio registriran u njihovim sustavima pohrane, a s jedini datum koji je uz vijest bio dostupan je 7. rujna 2008. Sun-Sentinel, odnosno njihov izdavač Tribune, nisu se tek tako predali, pa je uslijedilo prepucavanje koj se svodi na problem kokoš/jaje (pogledajte reakciju Google-a i odgovor Tribuna).

Kako sada stvari stoje, izgleda ipak da je Tribune bio malo neoprezan oko izgradnje svog CMS sustava i da nose znatan dio krivice.

No drugo pitanje je možda čak i zanimljivije: kako to da se vijest stara šest godina odjednom pojavila na naslovnici Sun-Sentinela kao popularna? Ponovo je u pitanju automatizam njihove CMS aplikacije koja je utvrdila pojačanu frekventnost pristupa url adresi o bankrotu UAL (iako staroj šest godina), pa se taj naslov automatski pojavio u istaknutom okviru. No, time se otvorilo pitanje pozdanosti takvog algoritma ocjene popularnosti? Ako je povećani broj klikova jedini kriterij za kategoriziranje određen vijesti kao najpopularnije, onda zaista nije nikakva problem postići ovakav efekt. To se može napraviti na brutalan način (i s primitivnom botnet infrastrukturom), a još jednostavnije je koristiti digitalna društvena okupljališta i Web 2.0 tehnologiju (npr. Digg).

Drugim rječima, na djelu smo vidjeli slučajnu ili poticanu manipulaciju informacijom, korištenjem web aplikacija. Iako se možda radi samo o tehničkoj greški uzrokovanom nedovoljno provjerenim automatizmom, u ovome vidim i mogućnosti zlonamjernih aktivnosti koje se kreću između manipulacije i hackiranja istine.

4.9.08

Izbor okvira za primjenu Smjernica HNB-a

Nedavno sam odgovarao na pitanje o tome koji je radni okvir prihvatljiviji za primjenu Smjernica HNB-a: ISO 27001/27002 ili COBIT. Čitatelji ovih stranica znaju kako ja često citiram COBIT, no fali li uopće nešto normi ISO 27001/27002, koja je, usput rečeno, puno popularnija i poznatija u našim krajevima?

ISO 27002 je jednostavan dokument, njegove su preporuke zrdravorazumske a mnogi koji ga uzimaju u ruke s namjerom primjene, već nakon desetak stranica s olakšanjem zaključuju kako su gotovo sve odredbe primjenjene ili lako primjenjive u njihovoj okolini. Pored toga, smjernice HNB-a i po volumenu i po detaljnosti veoma podsjećaju na dokument ISO 27002. Bilo bi nepravedno i netočno reći da će neka banka pogriješiti ako normu ISO 27001/27002 iskoristiti za postupak usklađivanja sa zahtjevima HNB-a.

Ipak, treba spomenuti i glavne nedostatke takve strategije.

Prije svega, izborom ISO 27002 kao radnog okvira daje se pogrešna poruka da su Smjernice HNB-a tehničko pitanje, u nadležnosti informatičke službe. ISO 27002, doduše, i u uvodnom dijelu i u dijelu s pregledom kontrolnih mjera predviđa tijesnu vezu s managementom, no ove odredbe, iz više razloga, imaju samo formalnu ali ne i suštinsku snagu. To, naravano, ne bi trebalo biti tako, no treba dosta snage u primjeni norme ISO 27001/27002 kako bi se management pretvorilo u kvalitetne i strpljive sugovornike.

Smjernice HNB-a dodjeljuju izuzetno važnu ulogu procesu upravljanja informacijskim rizicima. Ovaj dio, sagledan s odredbama o odgovornosti uprava banaka i potrebi revizije informacijskih sustava, smatram najznačajnijim faktorom primjene Smjernica HNB-a. Upravo iz ovog razloga, COBIT može biti od velike pomoći. COBIT ne samo da opisuje kontrolne mjere i praksu koje se odnose na upravljanje rizicima i obveze managementa, već je sve donedavno njegova glavna primjena bila baš u postupku revizije. Pred toga, COBIT danas pruža i djelotvorne instrumente za mjerenje uspješnosti primjene i pridržavanja svih procesa predviđenih smjernicama HNB-a. Time je uspostavljena povratna veza između operativne i strateške razine odlučivanja.

Na kraju, mislim da je jedna od prednosti COBIT-a i ta što u sebi ne uključuje i ne podrazumijeva službenu certifikaciju. Dosadašnji model isigurnosnih certifikacija pružaju tek minimalna jamstva da je objekt certifikacije zaista i siguran.

Naravno, primjena COBIT-a je veći zalogaj koji ne vole svi žvakati. Pored toga, razmišljanje da su regulatorni zahtjevi, u ovom slučaju HNB-a, ovdje radi vas a ne radi regulatora, u današnjim je vremenima možda ipak preidealističko. No, trud bi vam se mogao isplatiti, a što se tiče ideala - treba iskoristiti svaku priliku za njihovo potvrđivanje.

18.7.08

Talačka kriza u računalnoj mreži

Vijest je objavljena i u našim novinama: Terry Childs, nezadovoljni mrežni administrator u gradskoj upravi San Francisca, odbio je nadležnima objaviti lozinke koje koristi za administraciju multimilijunske računalne mreže. Ova mreža poslužuje informatičku infrastrukturu gradske vlasti i njome se prenose ili su pohranjeni najkritičniji polsovni podaci.

Slučaj ima, po svemu sudeći, pozadinu u organizacijskim previranjima i nezadovoljstvu zaposlenika, no Childs je to demonstrirao na veoma drastičan način. Revizija, provedena u lipnju, utvrdila je nepravilnosti vezane za njegov rad što je kod njega izazavalo manijakalnu reakciju i motiviralo ga na izmjenu lozinki na svim mrežnim uređajima (switch i router uređaji) čime je onemogućio pristup ovim resursima za druge administratore. S obzirom da je odbio otkriti lozinke, završio je u pritvoru i očekuje suđenje. Za sada sve funkionira kako treba, no preostali administratori još nisu uspjeli vratiti kontrolu nad mrežnom infrastrukturom.

Ovaj slučaj, kao i mnogi drugi "insiderski" slučajevi, daleko je od tehničke sofisticiranosti i ne iskorištava "napredne" ranjivosti, no efekt može biti izuzetno poguban za gradsku vlast. Nalazimo i neke druge sličnosti s poznatim "insiderskim" slučajevima.

Prije svega, nedostajale su minimalne kontrolne mjere koje bi regulirale korištenje privilegiranih korisničkih prava. Vrlo je moguće da nisu dostupne ni arhivske kopije iz kojih bi se obnovio prethodni sadržaj. Na kraju, pojavili su se podaci o tome da je Childs prije dvadesetak godina bio osuđivan zbog krađe, a što je bilo poznato gradskoj vlasti prilikom zapošljavanja.

Ovaj slučaj ponovo naglašava korištenje administratorskih korisničkih prava i široke privilegije koje administratori mogu nekontrolirano koristiti. Koristim priliku kako bih vas uputio na nedavno istraživanje koje govori da svaki treći administrator koristi privilegirana prava kako bi njuškao po podacima koji pripadaju drugim zaposlenicima, bilo da sazna privatne ili poslovno-povjerljive podatke.

Iako će se Childs, kako izgleda, teško obraniti od optužbi, slučaj jasno pokazuje i na odgovornost managementa. Naime, postoje brojne obrambene mjere - od onih proceduralnih pa do sofisticiranih tehničkih, kojima se informatička infrastruktura brani od ovakvih napada. Izgleda da ni jedna od njih nije primjenjivana.

30.6.08

Krađa identiteta na vratima

"Krađa identiteta" nas obično asocira na nepouzdanost Interneta, neopreznost u otvaranju i odgovaranju na mail poruke i potencijalne probleme s kreditnim karticama. Ako ste primarno okrenuti Internet zajednici možda ne znate da je "krađa identiteta" davno definiran scenarij prijevare, utemeljen u netehnološkom kontekstu. Zaparavo, i danas je veoma čest. Naše novine redovito donose primjere krađe identiteta koje su zasnovane na takvim klasičnim scenarijima. Unatrag nekoliko mjeseci, Jutarnji list je pisao o više takvih primjera. Krajem svibnja opisan je slučaj krađe podataka o identitetu invalida domovinskog rata kredita, nakon čega su neovlašteno podignuti krediti Splitu i okolici. Mjesec dana kasnije, opisan je slučaj hrvatskog državljanina koji živi u SAD-u, a postao je žrtva prijevare, te zamalo ostao bez kuće na Krku (netko je, na temelju ukradinih podataka o njegovom identitetu, sastavio kupoprodajni ugovor). Kakve veze imaju spomenuti primjeri s temom ovih stranica?

Nesumnjivo, radi se o klasičnom kriminalu koji pripada crnoj kronici. No, u njima možemo prepoznati određene veze s informacijskom sigurnošću. Povezanost klasične krađe identiteta s informatikom dodatno će argumentirati i prošlogodišnji primjer prijevare u osječkoj podružnici RBA.

Naime, da bi krađa identiteta bila uspješna, napadač mora na što je moguće bolji način utjeloviti identitet žrtve. Nasuprot pred-digititalnom razdoblju kada su podaci bili reducirani teško dostupni i ograničeni, danas se takvi podaci lakše pronalaze. Ponekad samo u poslovnom okruženju s ograničenim pristupom, no veoma često u javno dostupnim izvorima i uz suglasnost potencijalnih žrtava (Google može puno toga otkriti, no tu su i sve brojni oblici "socijalnih" sadržaja).

Stoga nas ne treba čuditi ako ovih primjera bude sve više. Možda smo premala zajednica da bi masovna krađa identiteta zloupotrebom elektroničke pošte ("phishing") bila ekonomična za napadače, no klasične prijevare i usmjerena krađa identiteta nailazi na plodno tlo (osobni identifikacijski broj će dodatno olakšati pomoć napadačima). Procjena informacijskih rizika u poslovnim sustavima, a naročito u procesima državne uprave mora ozbiljno uzeti u obzir ove prijetnje, te na vrijeme izabrati odgovarajuće zaštitne mjere. Procjenjujem da neće uvijek ići lako, s obzirom da je strategija obrane uglavnom usmjerena prema informatičkoj infrastrukturi, a veoma rijetko prema podacima (što je u slučaju krađe identiteta neophodno)

Druga poveznica s ovim stranicama leži u činjenici da je u svim citiranim slučajevima došlo do propusta u provjeri i verifikaciji identiteta žrtava. U ovim primjerima to, naravno, nema veze s informacijskim tehnologijama: isprave su krivotvorene na klasičan način, bilježnici su površno provjeravali ugovore, dolazilo je do propusta sudskih službenika - pretpostavljam da će istražna tijela imati dovoljno posla. No, iz ovih slučajeva pouku treba izvući državna uprava: jedna od funkcija tijela u pravnoj državi je i pružanje servisa kroz koji se potvrđuje vjerodostojnost transkacija, podataka o predmetima ovih transkacija, a naročito identitet osoba koje sudjeluju u transkacijama. Zamahom digitalne državne uprave, servisi potvrde vjerodostojnosti postati će kritični. Dizajn i implementacija servisa mora biti izuzetna, a operativna provedba treba onemogućiti sve zloupotrebe. Pored toga, već sada bi trebalo dati jasne odgovore tko će biti odgovoran za slične slučajeve u sustavu digitalne državne uprave, a naročio tko će pokrivati financijske štete u ovim slučajevima?

24.6.08

Verizon: Izvještaj o sigurnosnim incidentima

Poslovne obveze i Euro 2008 bile su razlog što su se prorijedili napisi na ovim stranicama, no, obećajem, vraćam se uobičajenom tempu.

Nedavno se pojavio jedan veoma zanimljiv tekst tvrtke Verizon - značajnog globalnog pružatelja telekomunikacijskih usluga, o računalnim sigurnosnim incidentima. Naime, prošlogodišnjom akvizicijom tvrtke Cybetrust, Verizon je postao i jedan od vodećih pružatelja sigurnosnih usluga. Njihovi su timovi vodili forenzičku istragu u više od 500 slučajeva tijekom protekle četiri godine. Dokument na koji vas upućujem donosi sintetičku analizu ovih slučajeva i na tridesetak stranica pruža zanimljive zaključke.

Jedan od osnovnih zaključaka izazvao je ponajviše komentara u web prostoru. Verizon iznosi podatak da je 73% incidenata izazvano vanjskim prijetnjama, 18% slučajeva je rezultat unutarnjih prijetnji a 39% slučajeva je rezultat djelovanja poslovnih partnera (neka vas ne zbuni činjenica da zbroj ovih znamenaka prelazi 100%, Verizon tvrdi da je veliki broj incidenata uzrokovan djelovanjem iz više od jednog izvora). Neki autori u web i blog prostoru su iskoristili ovaj podatak kao argument koji bi trebao potvrditi kako je strah od insiderskih prijetnji pretjeran. Naravno, vanjske prijetnje su postale sve prisutnije i sofisticiranije, a zbog sve neposrednije povezanosti i, praktički, neprekinutog korištenja Interneta servisa, učestalost vanjskih prijetnji, bez sumnje, dominira. No, ne bi trebalo izvlačiti pogrešne zaključke o prestanku insiderskih prijetnji i to iz nekoliko razloga.

Kategorizacija izvora prijetnji kako je definira Verizon pomalo je dvojbena. Naime, u stručnoj javnosti je prihvaćena definicija insidera kao svih osoba koji pristupaju informacijskom sustavu neke organizacije s određenom i formalno dodjeljenom razinom privilegija. Formalni odnos (zaposlenje) ne bi trebao biti kriterij, pa tako pojam insideri obuhvaća i privremene zaposlenike, konzultante, servisno osoblje pa i vanjske partnere. Prema tome, prije spomenuti postoci poprimaju druge omjere.

No, treba reći da ni Verizon ne ohrabruje zaključke o manjoj prisutnosti insiderskih prijetnji. U dokumentu je istaknuto da su njihovi timovi nastupali kod složenih slučajeva, dok se neki jednostavniji slučajevi - krađa laptopa, fizički incidenti - rješavaju izvan forenzičkih aktivnosti. Tome, svakako treba pribrojiti sve druge jednostavne, a svakako učestale, insiderske incidenate koji nisu ušli u ovu statistiku.

Sama analiza dodatno potvrđuje realne rizike od insiderskih prijetnji. Jedan od nalaza govori o prosječnom kapacitetu ugroženih podataka (specificiran je kao broj kompromitiranih slogova) ovisno o izvoru prijetnje. Eksterne prijetnje su rezultirale s prosječno 30.000 kompormitiranih slogova, prijetnje partnera s prosječno 187.500 ugroženih slogova, a prijetnje "insidera" s prosječno 375.000 ugroženih slogova.

Umjesto zaključka o manjoj kritičnosti insiderskih prijetnji, pravi bi zaključak trebao sugerirati potrebu za cjelovitim pogledom na prijetnje, ranjivosti i potencijalne gubitke (dakle, za "risk managementom"). Pri tome, treba odbaciti i generaliziranja koja idu u drugu stranu, te prenaglašavaju insiderske prijetnje bez opipljivih argumenata.

Preostali dio teksta jako je zanimljiv. Umjesto prepričavanja, istaknuti ću samo nekoliko zanimljivih zaključaka:
  • Glavni vektor djelovanja prijetnji su greške žrtve - pri čemu su propusti u definciji i konfiguraciju prisutni u 79% grešaka. Drugi i tek nešto niže plasirani vektor je hackerska aktivnost napadača (39% slučajeva se odnosi na hackiranje aplikacija, a preostali slučajevi su distribuirani na razne oblike ranjivosti operativnog sustava)
  • Čak 52% slučajeva zahtjevalo je nisku razinu ekspertize napadača, a visoka ekspertiza je primjenjena samo u 17% slučajeva. Ovaj podatak svakako treba otvoriti oči svima.
  • Samo 15% napada je bilo direktno fokusirano i usmjereno na izabrane žrtve, preostali napadi su bili ipak rezultat slučaja te direktne ili indirektne prigode koja se ukazala napadaču
  • Meni je posebno zanimljiv podataka da je čak 70% incidenata otkriveno nakon dojave treće strane. Interna ili eksterna revizija utvrdila je 5% slučajeva, a praćenje i analiza logova utvrdila je 4% slučajeva.
Svaka tržišna analiza sadrži potencijalne nepreciznosti, često su prisutni brojni faktori koju mogu utjecati na konačni zaključak, a treba uzeti u obzir takve analize imaju najčešće i svojeg - direktno zainteresiranog - sponzora. No ipak, ovaj dokument ima dovoljno argumenata za čitanje.

30.4.08

Kako je "porezni broj" postao "osobni identifikacijski broj"?

Porezni broj bio je tema ovih stranica u veljači, a trenutno zasjedanje Sabora, na kojem se po hitnom postupku usvaja Zakon o osobnom identifikacijskom broju broju, prava je prilika za dopunu tog zapisa.

Što se novo dogodilo u međuvremenu? Zakon je pred usvajanjem, a jedna od najvećih novosti je da se, umjesto termina "Porezni broj", koristi termin "Osobni identifikacijski broj". Ne radi se samo o terminološkoj novosti. Zakonom se predviđa korištenje osobnog identifikacijskog broja ne samo za prijavu i obradu poreza, nego u praktički bilo kojem segmentu djelovanja državnih tijela - od državne uprave, jedinica lokalne samopurave, svih pravnih osoba koje se financiraju državnim proračunom pa do pravnih osoba kojima su povjerene javne ovlasti. Neću ulaziti u ocjenu hoće li se popraviti djelovanje državne uprave te hoće li porezi biti prikupljeni na pravedniji i učinkovitiji način (što je naravno važna tema, no vjerujem da će biti obrađena na drugim mjestima). Mene zanima što takva formulacija znači za zaštitu privatnosti?

Imam nekoliko zamjerki na prijedlog Zakona o osobnom identifikacijskom broju, a sve proizlaze iz istog osnovnog uzroka: prijedlog Zakona posebno ne ističe, a čini mi se da niti ne uvažava, činjenicu da osobni identifikacijski broj ima sve karakteristike osobnog podatka. Zakonom se ne razlikuje definicija i primjena tog broja između fizičkih i pravnih osoba (osim tek u tehničkim detaljima oko dodjele samog broja). To mogu shvatiti sa stajališta državne uprave, no takav pristup može biti poguban za zaštitu privatnosti. Moramo shvatiti da će sveobuhvatnom primjenom ovog broja biti označen veliki broj podataka o životu svake osobe, kao i različite osobne aktivnosti ili transakcije. Jedinstveni broj olakšava kopanje i pretraživanje takvih podataka, a nekako sumnjam da će takva pretraživanja uvijek biti motivirana legitimnim i legalnim razlozima.

Naravno, ne iznosim glas protiv suštine takvog Zakona, već želim upozoriti da Zakon mora posebno istaknuti da, kada se osobnim identifikacijskim brojem označavaju podaci vezani za fizičke osobe, taj broj mora biti klasificiran kao osobni podatak (kako bi se prema njemu mogle primjeniti sve odredbe Zakona o zaštiti osobnih podataka). Usput, ovaj zakon pokazuje apsurd birokratske fraze "pravne osobe" - pravni entiteti ne mogu biti osobe. Na taj način se, također, gubi oštrina značaja zaštite osobnih podataka i zaštite privatnosti.

Široko i, kako se čini, neograničeno korištenje osobnog identifikacijskog broja imati će za posljedicu da će identifikacijski brojevi pojednih osoba biti opće poznata informacija (ili barem informacija do koje je veoma lako doći). Dakle, ne samo da će postojati veliki broj, ponekad i veoma delikatnih informacija označenih osobnim brojem, nego će taj broj biti dostupan praktički bilo kome. Postoji samo mali korak do njegove zloupotrebe.

Stoga mislim da bi Zakon ipak trebao biti restriktivan u pogledu upotrebe broja i propisati uvjete za korištenje osobnog identifikacijskog broja. Provedbeni bi akti potom trebali opisati slučajeve u kojima se ovaj broj koristi (tko, kada, u koje svrhe?).

Posebno bi trebalo posvetiti pažnju okolnostima u kojima organizacije koje nisu navedene u članku 5. kao korisnici osobnoga identifikacijskog broja koriste ovaj broj. Smiju li takve organizacije uopće koristiti taj broj? Zakon ih ne spominje, no nekako mi se čini da je zakonodavac predvidio da i oni budu uključeni uproces korištenja ovog broja. Stoga mislim da bi taj aspekt trebao biti dodatno uređen.

Nadalje, korištenje i obrada osobnog identifikacijskog broja trebala bi biti striktno regulirani mjerama informacijske sigurnosti. Zakonodavac je to možda i ostavio za provedbene pravilnike, no ukoliko propusti na ovom mjestu klasificirati ovaj broj kao osobni podatak, sumnjam da će provedbeni akti biti dostatni.

Osobni identifikacijski broja mora biti zaštićen na isti način kao i brojevi kreditnih kartica. Ne smiju se pohranjivati kod korisnika ovog broja, njihov sadržaj mora biti šifriran, a izmjena strogo kontrolirana. To ne bi trebalo paralizirati primjenu osobnog identifikacijskog broja, postoje različita informatička rješenja pomoću kojih će se omogućiti provedba zakona, a da se ne povećaju rizici od njegove zloupotrebe.

Također mislim da bi dobra mjera protiv zloupotrebe trebala biti i mogućnost svake osobe da provjeri način korištenja njegovog/njenog osobnog broja (naročito u slučajevima pretraživanja različitih baza podataka). To je izvedivo informatičkim rješenjima, ali nedostaje podloga u prijedlogu Zakona.

Zakon, na kraju, donosi i kaznene odredbe (članak 17.). Predviđena je kazna za obveznike koji ne koriste osobni identifikacijski broj na propisani način. Također postoji kazna za korisnike ali samo za slučajeve kada identifikacijske brojeve ne koriste u svakodnevnom radu. Zakonodavac nije predvidio kazne korisnicima za zloupotrebe osobnog identifikacijskog broja (mislim da zakonodavca ne opravdava činjenica da ne vidi mogućnosti zloupotrebe).

Naravno, inzistiranje na ovakvim zahtjevima tražiti će dodatna ulaganja, no vjerujem da će se u 110 milijuna kuna (koliko je predviđeno za provedbu ovog Zakona) naći nešto i za zaštitu privatnosti.

23.4.08

"Vulnerability Management" za neznalice


Prije desetak dana uputio sam vas na zanimljiv dokument o upravljanju ranjivostima koji se može pronaći na stranicama SANS-a. Prekjučer je Qualys objavio vijest o izlasku još jedne publikacije sa sličnom tematikom. Wiley, jedan od vodećih svjetskih izdavača, i tvrtka Qualys objavili su veoma zanimljivu e-knjigu “Vulnerability Management for Dummies”. Knjiga na zanimljiv način opisuje sve faze uspostave programa upravljanja ranjivostima. Čitatelj će dobiti veoma plastičnu ilustraciju o preobrazbi tehničke aktivnosti ograničenog dometa u kritičan poslovni proces. Knjiga je besplatna i može se preuzeti na ovoj stranici.

15.4.08

Ponavljamo seminar o insajderskim prijetnjama

Primjeri iz naše bliže i dalje okoline neprestano potvrđuju da su insajderi i dalje najveće prijetnje informacijskoj sigurnosti. Za sve koji žele saznati nešto više o motivima, načinu djelovanja i mogućnostima detekcije insajderskih prijetnji, ponavljamo prošlogodišnji seminar. Naravno, osvježen. Seminar će se održati 3. i 4. lipnja 2008. u Zagrebu. Brošuru i prijavnicu možete pronaći na ovoj stranici.

12.4.08

Proces upravljanja računalnim ranjivostima

Svim korisnicima servisa QualysGuard (a i onima koji će to postati) preporučujem da pročitaju zanimljiv tekst na stranicama organizacije SANS. U tekstu se iznosi praktično iskustvo u izgradnji programa upravljanja ranjivostima, iz vizure korisnika servisa QualysGuard. Usput, svakako razgledajte Reading Room sekciju na stranicama organizacije SANS, ako do sada već niste to učinili. Na tom ćete mjestu naći niz zanimljivih tekstova o implementaciji mjera informacijske sigurnosti.

U čemu je razlika između procjene ranjivosti ("Vulnerability Assessment) i upravljanja ranjivostima ("Vulnerability Management")? Procjena ranjivosti je tehnička aktivnost koja se obično provodi ne prečesto, ponekad i neredovito. Obuhvaća provjeru prisutnosti eventualnih tehničkih nedostataka i ranjivosti na mrežnim resursima, a ponajprije se provodi na perimetarskom dijelu informacijskog sustava. Ako se provodi kako treba, procjena ranjivosti će u jednom trenutku dosegnuti kritičnu točku: broj resursa koje treba provjeriti naglo raste, učestalost provjere zauzima nerijetko i tjednu dinamiku, u provjeru se uključuju i druga mjesta u organizacijskoj hijerarhiji (ne samo mrežni tehničari već i voditelji sigurnosti, revizori, rukovoditelji, administratori nemrežnih sustava...), provjera se počinje provoditi i na internim resursima... Procjena ranjivosti kao tehnička aktivnost prelazi u proces i nastaje upravljanje ranjivostima. Izvještaji o utvrđenim ranjivostima prelaze u detaljan "workflow" koji uključuje i osobe nadležne za implementaciju popravaka, vlasnike resursa, a ponekad i revizore. Upravljanje ranjivostima reflektira se i na "compliance" proces (pogledajte i ovaj tekst).

Dokument na koji vas upućujem govori upravo o ovim elementima. Primjetiti ćete da postoje terminološke razlike između spomenutog dokumentu i ovog teksta, no suštinski pokriveni su svi bitni aspekti upravljanja ranjivostima.

Treba reći i da je tvrtka Qualys je pionir a danas i jedan od lidera poslovnog modela "Software-as-a-Service" (SaaS). Rekao bih da je upravo informacijska sigurnost idealan kandidat za primjenu ovog modela (naravno uz uvijet njegove dobre tehnička izvedbe). Naime, informacijska se sigurnost ne ubraja u "core" interese managementa i tvrtke za sada ulažu samo neophodne resurse. S druge strane, otkrivanje i upravljanje ranjivostima zahtjeva kontinuiranu predanost na različitim tehničkim i organizacijskim razinama, a dostignuća samog procesa nisu uvijek vidljiva. Dakle, mali je korak do zanemarivanja ovog procesa. Model izvedbe servisa QualysGuard u potpunosti rasterećuje organizaciju od rutinskih aktivnosti, jamči ažurnost i preciznost.

2.4.08

Još jedan slučaj krađe podataka

Prije desetak dana se pojavio još jedan slučaj krađe podataka o kreditnim karticama. Hannaford Bros. - američki maloprodajni lanac s gotovo 300 dućana - obavijestio je o gubitku (krađi) preko 4 milijuna brojeva keditnih kartica. Vijest zapravo i nije vijest. Trgovački lanac TJX je početkom 2007. izgubio podatke o 45 milijuna kartica, a krađe povjerljivih podataka s notebooka i arhivskih traka postale su uobičajene. No, razlog zbog kojeg skrećem pažnju na slučaj Hannaford je činjenica da je tvrtka Hannaford Bros. imala certifikat o sukladnosti s Payment Card Industry Data Security Standard (PCI DSS) i to za 2007. i 2008. godinu.

Kako se, onda, mogao dogoditi incident ovih razmjera? Odnosno, pitanje se može postaviti i na slijedeći način: kako je Hannaford mogao dobiti certifikat o sukladnosti? Pokušat ću odgovoriti na drugo pitanje.

Prvo, činjenica da je neki sustav dobio potvrdu o sukladnosti s određenim pravilima ne znači da će se ta pravila poštovati ni 24 sata od davanja potvrde. To vrijedi za sve složene tehnološke sustave, ne samo informatičke. To vrijedi i za vaš osobni auto: prolazak na tehničkom pregledu nije jamstvo o njegovom besprijekornom funkcioniranju. No, certifikat u svakom slučaju doprinosti uvjerenju da je mogućnost ispada sustava dovoljno (prihvatljivo) niska. Ovo razmatranje osobito vrijedi za informacijsku sigurnost. Informacijska je sigurnost složen tehnološki sustav u kojemu je faktor utjecaja netehnoloških elemenata (čitaj: ljudski faktor) izuzetno visok. Tržišni certifikati (kao što je PCI DSS), norme (ISO 27001), formalne provjere (revizije) i neformalne provjere (penetracijski testovi) provjeravaju djelovanje ljudskog faktora u većem ili (češće) manjem dometu, no potvrda o prihvatljivom djelovanju ljudskog faktora vremenski je ograničena na razdoblje trajanja postupka provjere. Sve ostalo je samo određena mogućnost da će potvrda biti valjana i nakon odlaska revizora. Stoga, revizija i službeni certifikati koji proizlaze iz revizije trebaju biti upotpunjeni s kontinuiranim praćenjem rada sustava. Jednokratna se provjera mora transformirati u kontinuirani proces.

Drugi problem nastaje iz formalnog statusa same revizije. Iako je postupak donošenja PCI DSS certifikacije detaljno definiran te postoje strogi kriteriji koje moraju ispunjavati ovlašteni revizori, pojavili su se komentari (i prije slučaja koji ovdje opisujemo) o različitim naporima i različitim razinama striktnosti koje PCI revizori zahtjevaju. Tu se pojavljuje i problem sukoba interesa u kojem se često mogu naći revizori (sjetimo se Enrona, no u drugim poslovnom kontekstu i drugom okruženju). Također, treba uzeti u obzir da svaka revizija u kojemu klijent plaća troškove revizije (a ne tijelo koje reviziju zahtjeva) u sebi sadrži rizike nadekvatne provjere (jer, klijent ima pravo tražiti najjeftiniju reviziju).

Iako često na ovim stranicama pišem o regulaciji informacijske sigurnosti, smatram da formalna certifikacija, bez jasno definiranih i detaljno dorađenih pravila igre, može napraviti lošu uslugu informacijskoj sigurnosti.

Za kraj, vraćam se samom slučaju Hannaford. Rezultati istrage još nisu objavljeni, no pojavile su se procjene da je događaj o kojemu ovdje govorim bio moguć ponajprije djelovanjem "insidera".

19.3.08

RiskAudit i revizija informacijskih sustava

Revizija informacijskih sustava je česta tema ovih zapisa. O IT reviziji se može govoriti prilično uopćeno, a takav je, veoma često, i način percepcije revizije informacijskih sustava u našim tvrtkama. No, IT revizija postaje realnost i obaveza. Upravo iz tog razloga je Borea obnovila i redefinirala poslovnu uslugu RiskAudit. Ova se usluga u svojoj prvoj fazi primjene odnosila na opću procjenu sigurnosti informacijskog sustava. Uključivala je i tehničke i organizacijske sigurnosne mjere, model primjene podrazumijevao je sporadične provjere na incijativu IT odjela, a rijetko uprave ili interne revizije. No, s obzirom da i kod nas dolaze vremena kada će se o reviziji informacijskog sustava početi razmišljati na sustavan način (vrijedni izuzeci već razmišljaju na takav način), Borea je prilagodila model provedbe poslovne usluge RiskAudit zahtjevima interne revizije. Glavni cilj je pružiti pomoć tvrtkama koje nemaju vlastite timove revizora informacijskih sustava ili takvi timovi nisu dovoljno ekipirani. RiskAudit se može izvoditi prema "outsourcing" modelu – dakle kao potpuni proces revizije informacijskog sustav – ili prema "co-sourcing" modelu – pružanje parcijalne pomoći postojećim timovima za IT reviziju.


Nedavno sam odgovarao na pitanje u čemu je razlika između "security assessment-a" (RiskAudit prema prethodnoj definiciji) i "IT Audit-a" (RiskAudit prema obnovljenoj definiciji). To je i česta tema specijaliziranih foruma koji okupljaju stručnjake za informacijsku sigurnost i reviziju. Pobornik sam stava da se suštinski, a velikim dijelom i izvedbeno, radi o istim stvarima. I "assessment" i "audit" moraju biti provedeni jednako kompetentno, detaljno i točno. Oba se procesa mogu defnirati u kontinuitetu. Osnovna je razlika u tome što IT Audit mora biti formalno utemeljen i izveden u kontekstu interne ili eksterne revizije, sukladno tako postavljenim ciljevima. "Security Assessment" ima različit formalni okvir. Njegovi naručitelji će biti i informatički odjeli i odjeli za informacijsku sigurnost, a naglasak će biti ili na testiranju sigurnosnih mjera (na razini projekta, aplikacije, pojedinačnih komponenti sustava...), ili na operativnom praćenju kvalitete ukupnih sigurnosnih mjera. Vjerujem da ćemo uskoro biti svjedoci konvergencije ovih modela, a naša se usluga nastavlja razvijati u tom pravcu.

7.3.08

Societe Generale: 45 dana poslije

Kakva je veza između intervjua virtualnog premijera Jutarnjem listu i senzacionalnog gubitka u francuskoj banci Societe Generale? U oba je slučaja manipulacija elektroničkom poštom odigrala određenu ulogu. U slučaju Jutarnjeg lista, elektronička pošta bila je ključni element zapleta, dok je u slučaju francuske banke elektronička pošta bila jedan od elemenata koje je koristio Jerome Kerviel u prikrivanju svojih transakcija. Naime, negdje pred kraj cijele avanture, Kerviel se "pokrio" e-mailom navodno pristiglim iz Deutsche Bank, a koji je do daljnjega trebao potvrditi uspješnost Kervielovih transakcija. No, Societe Generale je ipak provjerio autentičnost maila i pokazalo se da Deutsche Bank nema pojma o ovim porukama. To je, ujedno, bio i detonator koji je pokrenuo cijeli slučaj. Ova epizoda potvrđuje jednostavnost krivotvorenja elektroničke pošte i poučava da je, ako se e-mail želi koristiti kao mehanizam u kritičnim poslovnim transakcijama, potrebno koristiti takve sustave koji jamče očuvanje autentičnosti poruke i onemogućuju naknadni opoziv transakscija.

Prije dva tjedna objavljen je preliminarni izvještaj o slučaju Societe Generale. Izvještaj je izradila neovisna komisija, a posebno upada u oči činjenica da je tijekom 2006. i 2007. bilo 75 upozorenja o djelovanju Kerviela upućenih od njegovih kolega i izvedenih iz analiza poslovnih rizika. Nadležne osobe nisu reagirale na pravi način. Ostaje pitanje jesu li propustile primjetiti značaj indikatora koji pojedinačno možda nisu bili preupadljivi, no sagledani u ukupnom kontekstu morali su zvoniti na uzbunu? Ili su nadležne osobe bile opijene tadašnjim uspjesima Kerviela te su bili spremne previdjeti indikatore? Upravo je ova druga teza i glavno uporište Kervielove obrane koji tvrdi da ga je management mogao spriječiti da je to htio.

Izvještaj je potvrdio da je manipulacija s korisničkim pravima i autentikacijom korisnika bilo glavno Kervielovo uporište među općim kontrolnim mjerama informacijskog sustava. Kerviel je imao ovlasti za rad na informacijskom sustavu koje su prekoračile ovlasti potrebne na njegovom radnom mjestu, koristio je ovlasti drugih osoba, pristupni sustav nije evidentirao informacije o ključnim događajima (ili takve informacije nisu bile provjeravane). Na koncu, krivotvorio je i sadržaj elektroničke pošte. Ovi nedostaci su kombinirani s manjkavostima aplikativnih kontrola i kumulativni efekt bio je razoran.

U kontekstu ovih stranica htio bih ukazati na tri ključne pouke koje svi moraju izvući iz slučaja Societe Generale.

Prvo, posvetite kontroli pristupnih prava puno više pažnje nego što vam se u određenom trenutku čini da je potrebno. Izbjegnite situaciju u kojoj će prevladati subjektivni osjećaj kako nema potrebe za jačim kontrolnim mjerama jer, eto, kod vas nije bilo do sada nikakvih slučajeva zloupotrebe. Ova pouka osobito vrijedi za članove uprave koji moraju dobro poznavati sve rizike i hrabro "sponzorirati" takve projekte. Rukovodstvo IT službe ili informacijske sigurnosti treba koristiti jezik i argumente koji razumije uprava, i prezentirati takve rizike na pravi način.

Drugo, obratite pažnju na sve indikatore koji govore o "insiderskim" napadima. Takvi indikatori nisu glasni poput onih koje izazivaju vanjski napadi, zahtjevaju puno više pažnje i bolju pripremu, a naročito poznavanje konteksta poslovnog procesa. "Insiderski" napadi se, uglavnom, ne otkrivaju iz poruka IDS sustava već strpljivom, ponekad dosadnom, analizom mnoštva rutinskih događaja.

Treće, kontinuirana revizija/provjera aplikativnih i općih kontrolnih mjera, a naročito onih koje su vezani za pristupni podsustav i procese upravljanja korisničkim pravima, mora postati prioritetna obveza. Dinamika takvih provjera prerasla je godišnji ritam revizije, te mora biti znatno češća.

22.2.08

Reafirmacija "risk-managementa"

"IT risk-management" ili upravljanje informacijskim rizicima sagledava se ponajprije kao aktivnost koja se odvija unutar operativne razine informacijskog sustava, kao prvenstveno tehnička disciplina, s minimalnom (tek neophodnom) interakcijom s upravljačkim procesima. Iako je risk-management ugrađen u temelje informacijske sigurnosti, naročito u procese upravljanja informacijskom sigurnošću, postoji latentna prijetnja deformacije ili čak minorizacije njegovog značenja. No trendovi koje donosi "Enterpise Risk Management" i zahtjevi ugrađeni u Basel II potiču reafirmaciju discipline upravljanja informacijskim rizicima, stavljajući je u kontekst upravljačkih procesa i povezujući je s upravljačkim procesima organizacije. No, ovaj put je ta veza postaje suštinska.


Usporedimo tradicionalnu poziciju upravljanja informacijskim rizicima. Nositelji procesa bili su predstavnici informatičkih službi. Glavni cilj bio je propisati kontrolne mjere (za što je dovoljno i pametno prepisivanje "best practice" dokumenata), ali uz adekvatne prioritete (upravo zbog toga "best practice" treba pojačati s poslovnim pogledom na potencijalne posljedice, tj. upravljati rizicma). Ipak, "risk management" je infomatičarima uglavnom izgledao trivijalano, a prakticirao se prije svega u kontekstu upravljanja kontinuitetom poslovanja. Njegova prava primjena u drugim segmentima informacijske sigurnosti uglavnom je izostajala (bez obzira na "best practice" dokumente ili profesionalne norme koje su inzistirale na "risk managementu").


"Risk management" je, dakle, gotovo banaliziran i trivijaliziran. No, tržišna regulacija i "Corporate Governance" incijative pojačavaju odgovornost rukovodstva, a time ponovo oživljavaju značaja "IT risk-managementa". Naime, upravljanje rizicima je važan instrument korporativnog upravljanja, a upravljanje informacijskim rizicima integrira se u taj instrument. Kao što sam već pisao na ovim stranicama, kod nas se ova incijativa pojavljuje kroz Smjernice HNB-a, a Odlukom HNB-a iz 2007., upravljanje rizikom informacijskog sustava mora biti uspostavljeno kao složen proces koji će obuhvaćati njegovu procjenu ali i njegovo kontinuirano praćenje. Ovo poglavlje Odluke mora biti provedeno do kraja ove godine.


Kako će banke odgovoriti na ovaj zahtjev? Prije svega, smatramo da se na ovaj zahtjev ne smije gledati površno, a banke ne bi trebale pristupiti samo sa ciljem jednokratnog i formalnog ispunjavanja obveze. Glavni problem predstavlja čijenice da mnoge banke nisu sasvim sigurne kome treba delegirati odgovornost za provedbu ovog zahtjeva. Gledajući terminološki, postojeće bankarske službe za upravljanje rizicima nameću se kao prvi kandidati. No, ove se službe se bave prije svega kreditnim rizicima, dok su operativni rizici (gdje treba ubroji i informacijske rizike) po svom karakteru i metodama upravljanja nešto drugo. Osim toga, kod informacijskih rizika dolazi do izražaja njihova horizontalna disperziranost među različitim organizacijskim procesima banke što sa sobom vuče potrebu "političke" spretnosti u provedbi procesa. Služba informacijske sigurnosti puno je bliža stručnom aspektu upravljanja rizicima, no pitanje je li u našim bankama uspjela dobiti na "političkoj" težini. (Napomena: pojam "politički" se, naravno, odnosi na organizacijske odnose unutar banke, a ne na parlamentarne odnose).


Nakon prvog koraka, određivanja nositelja procesa, slijedi njegova realizacija. Postoji nekoliko mogućih pristupa, no smatram da prije toga treba postaviti cjeloviti okvir provedbe Smjernica HNB-a (o čemu sam nedavno pisao). Na taj način će se modelirati mnogi važni elementi potrebni za uspostavu upravljanja rizikom informacijskim sustavima. Naročito bi trebalo inzistirati na uspostavi procesa provjere kontrolnih mjera koje bi trebale proizaći iz upravljanja rizicima ("compliance"). Sama aktivnost procjene rizika, koja bi inača izgledala kao tehnički zahtjevan zadatak, svesti će se na razumnije proporcije i postati prihvatljiviji zalogaj. Upravljanje informacijskim rizicima će, unatoč probavljivijim proporcijama, dobiti na svojoj težini i strateškom značaju.




13.2.08

Školski primjer socijalnog inžinjeringa

Još uvijek se nije stišala polemika vezana za slučaj intervjua virtualnog Sanadera u Jutarnjem listu. Nemam namjeru opredijeliti se oko toga je li posrijedi pomno planirana namještaljka ili profesionalni previd, no s obzirom da je izvedba samog scenarija povezana s primjenom informacijskih tehnologija (tj. elektroničke pošte) uz sve elemente socijalnog inžinjeringa, iznosim svoj pogled na taj slučaj.

Dakle, ostavimo po strani teorije zavjera i konkretna imena. Analizirajmo slučaj prema slijedećem modelu u kojem postoje dvije glavne komponente: s jedne strane imamo medije, koje ćemo za potrebe analize reducirati na Novine, a s druge strane imamo Javnost - korisnika sadržaja kojeg generiraju Novine. Odnos Javnosti i Novina postoji nekoliko stoljeća i podrazumijeva se da Novine nastupaju kao objektivni posrednik događaja, a da Javnost vjeruje novinama. Taj odnos je baziran na principu povjerenja Javnosti i odgovornom ponašanju Novina (elektronički mediji, uključujući i Internet, veoma će teško dosegnuti razinu povjerenje koja je tradicionalno označavala odnos Javnosti i Novina). Opisati ću ovaj odnos na još apstraktnijoj razini: Novine možemo predstaviti kao informacijski sustav a Javnost je korisnik ovog informacijskog sustava. Štoviše, Javnost je "vlasnik" podataka koje generira informacijski sustav Novine. Pri tome smatram da je princip javnog interesa za podatke koji se opisuju u Novinama jači od eventualnog tržišnog karaktera Novina i interesa njihovih vlasnika. Naravno, Novine mogu imati i određene sadržaje koji nisu u funkciji informiranja javnosti i za koje je vlasništvo definirano na drugi način, no u ovom slučaju nas ne zanima takav aspekt. Dakle, slučaj virtualnog premijera možemo protumačiti kao testiranje informacijskog sustava Novina. Vlasnik podataka - Javnost - odlučio je provjeriti postoje li manjkavosti informacijskog sustava Novine, a predmet provjere je način prikupljanja informacija.

Scenarij testiranja slijedi. Javnosti je poznata je praksa da Novine rade intervjue korištenjem elektroničke pošte. Elektronička pošta je poznata kao jedan od najmanje sigurnih načina komunikacije, kako zbog mogućnosti lažne identifikacije korisnika tako i zbog mogućnosti modifikacije sadržaja. Dobra praksa informacijske sigurnosti preporuča korisnicima da e-mail ne koriste za izmjenu povjerljivih informacija ili sadržaja. Javnost je napravila jednu vrstu penetracijskog testa (dobro, ne baš klasični tehnički penetracijski test, nego onaj u kojem se provjerava mogućnost socijalnog inžinjeringa) kako bi provjerila hoće li Novine objaviti informaciju iz neautentičnog izvora. Test je pomno pripremljen, a naglasak je bio na modifikaciji izvora poruke, a ne na falsificiranju sadržaja (da je kojim slučajem ponuđen senzacionalistički ili neuvjerljiv sadržaj, Novine bi, vjerujem, provjerile njihovu vjerodostojnost čime test ne bi uspio). Rezultat smo vidjeli. Novine su povjerovale elektroničkom mailu i objavili nevjerodostojnu informaciju (to što je svima zvučila uvjerljivo, druga je priča). Informacijski sustav Novine mora, dakle, proraditi na vlastitim sigurnosnim mjerama.

Je li javnost imala pravo na takav test? Ako prihvatimo da je Javnost "vlasnik" podataka koje Novine objavljuju, onda ima pravo na takav test. Pored toga, moramo znati da Novine često objavljuju pogrešne informacije, da Javnost nema mogućnosti ispravka takvih informacija na proporcionalan način, te da Javnost često ima i direktne materijalne posljedice zbog objave pogrešnih informacija.

Ovo je, naravno, jedan pozitivan pogled na cijeli slučaj bez namjere glorifikacije pokretača ovog scenarija i bez namjere omalovažavanja novinara koji je nasjeo ovim scenariju. Moje simpatije za ovaj slučaj biti će znatno umanjene ako se pokaže da je cijeli scenarij rezultat nečije zavjere - konkurencije, tajnih službi, zlobnih kolega, ili možda, vlasnika restorana kojeg je Davor Butković negativno ocjenio.

1.2.08

Jedinstveni porezni broj i zaštita osobnih podataka

Prema najavama iz Ministarstva financija, svaki će hrvatski građanin (i tvrtka) ove godine dobiti jedinstveni porezni broj, čime će porezni sustav dobiti neophodan mehanizam za kontrolu prihoda građana. O jedinstvenom poreznom broju jučer je pisao i Vjesnik. U članku se se, međutim, iznosi jedna teza koja se povlači u javnosti još od diskusije koja je pratila ukidanje jedinstvenog matičnog broja građana. Autor članka kaže da "... za razliku od JMBG-a, on ne bi smio otkrivati osobne podatke". To je nadamo se točno. Novi jedinstevni porezni broj ne bi trebao svojim sadržajem ni na koji način ukazivati na određeni osobni aspekt njegovog nositelja. No, iz članka (a i ranije iz diskusije o ukidanju JMBG-a) mogao bi se steći zaključak da je sporni sadržaj samog broja jedini sigurnosni problem koji taj broj prati. To naravno nije točno i trebalo bi svakako uzeti u obzir prije izrade konačnih zakonskih prijedloga.

Jednistveni porezni broj, makar neće sadržavati godinu ili mjesto rođenja svog nositelja, biti će ključ za pristup u veoma delikatne privatne podatke građana. Stoga bi neotkrivanje sadržaja takvog broja trebao biti jaki zahtjev kod izrade zakonskih prijedloga, a građani bi trebali biti upozoreni na njegovo čuvanje, tj. neotkrivanje. U ovom trenutku nemam ni najmanje informacija kako će izgledati zakonska regulativa, no ako se bude htjelo poreznim brojem pratiti imovinsko stanje poreznih obveznika ili pak povezati npr. podatke Središnje depozitarne agencije (kako navodi Vjesnikov novinar) onda se može očekivati da će sadržaj broja biti dostupan institucijama izvan infarstrukture državne uprave (hoće li prodavači automobila bilježiti porezne brojeve svojih kupaca kako bi obavijestili poreznu upravu o transakciji?). Ako se tu uključe i banke ili druge financijske institucije, onda ćemo vrlo brzo doći do toga da će svaka transakcija koju obavimo biti označena našim poreznim brojem. Zloupotreba tog broja biti će samo korak daleko.

Rješenja za ovaj problem postoje i nadamo se da će Vlada prilikom izrade zakona, ali i njegovih provedbenih propisa konzultirati stručnjake. Korištenje poreznog broja trebalo bi ograničiti samo na neophodne slučajeve, a transakcije u kojima će se koristiti porezni broj trebale bi uzeti u obzir neke od tehničkih rješenja koji omogućuju njegovu enkripciju i čuvanje povjerljivosti. No, građani bi morali već u ovoj fazi biti svjesni da porezni broj nije javni podatak, bez obzira na to da sam po sebi ne sadrži osobne podatke.

29.1.08

Dobro informirani insider

Otkrivanje velikog gubitka u Societe Generale i dovođenje tog gubitka u konetkst računalne prijevare, najveći je događaj u informacijskoj sigurnosti u ovoj godini (a s obzirom da je vezan za događaje u 2007. možemo ga naknadno uključiti u inventuru značajnih događaja za 2007.). Societe Generale, druga po veličini francuska banka, otkrila je prije desetak dana gubitke na jednom segmentu poslovanja dionicama u visini od 4.9 milijardi Eura. Gubici su ostvareni tokom 2007. i 2008. godine. Prema prvim izvještajima, krivac za ove gubitke je Jerome Kerviel, zaposlenik odjela banke koje je poslovalo na tržištu dionoica. Banka je 27.01.2007. objavila prvi detaljniji prikaz tijeka prijevare.


Prema tumačenju banke, nekoliko je faktora utjecalo na izvedbu scenarija prijevare.


Prvo, Kerviel je bio dobro informirani insider. Ne samo da je poznavao detalje poslovnog procesa u kojem je sudjelovao, nego je bio veoma upućen u kontrolne aktivnosti kojima se taj proces nadzire. Naime, do 2005. godine Kerviel je proveo pet godina u sektoru koji je bi nadležan za nadzor "tradera" i, bez obzira na sofisticiranost sustava upravljanja rizicima koji je u slučaju Societe Generale često istican kao vrhunski, upoznao je slabe točke tog nadzora.


Svoje znanje je iskoristio 2007. godine, tada već nekoliko godina zaposlen kao "trader" specifičnim instrumentima dioničkog tržišta, a drugi ključan faktor je Kervielovo poznavanje pristupnih ovlasti zaposlenika iz "back-office" odjela svoje službe. Otkrivanje i korištenje ovih ovlasti – nedvojbeno nedozvoljena aktivnost – preduvjet je trećeg faktora scenarija prijevare.


Kerviel je, koristeći tuđe ovlasti, prijavljivao nepostojeće, "pozitivne", transakcije čime je stvorio protutežu svojim neuspješnim poslovima, a sustav praćenja rizika nije takve izvještaje prepoznavao kao krivotvorinu. Time je krug zatvoren. Banka se, očigledno, pouzdala u sustav praćenja rizika koji je, vjerujem, veoma dobro predviđao sve vanjske – tržišne – komponente rizika, no nije predvidio mogućnost da netko iznutra potkopa njegovu stabilnost. Nadalje, dinamika procesa provjere aplikativnih kontrola i unutarnje revizije poslovanja prekasno je odgovorila na nastale događaje.


Čitajući prekjučerašnji izvještaj banke posebno upada u oči jednostavnost kojom se opisuje zloupotreba korisničkih ovlasti. Tek u dijelu jednog odlomka teksta nabraja se, među ostalim, i zloupotreba tuđih pristupnih prava, gotovo kao da se radi o uobičajenoj i razumljivoj praksi. Ovaj slučaj još jednom pokazuje da je kompleksna problematika upravljanja pristupnim pravima jedan od najvažnijih mehanizama kojim se štiti od insiderskih prijetnji. Ja li banka mogla što napraviti? Kerviel je, po svemu sudeći, do tuđih pristupnih prava došao na nedopušten način (sve opcije su moguće: od kopanja po ladicama svojih kolega pa do instalacije keylogger programa ili uređaja). Banka je trebala, prije svega, na vrijeme prepoznati potencijalne posljedice i u spomenuti segment poslovanja ugraditi mehanizme jake autentikacije koji bi jamčili fizičku prisutnost "prave" osobe koja provodi transakcije u "back-office" sustavu. Nadalje, ako je točno da je Kerviel intenzivno boravio u uredu (nakon radnog vremena, preko vikenda i praznika), sustav praćenja događaja je trebao zabilježiti takve indikatore i potaknuti dodatnu pravovremenu istragu. Sve spomenute mjere podrazumijevaju dodatni proračun i dodatne napore kod primjene, no dobra procjena rizika je trebala pokazati na opravdanost takvih mjera.


U ovom se slučaju ističe i činjenica da Kerviel nije ostvario financijsku dobit, što je možda sasvim točno. No, insiderski napadi nisu uvijek motivirani financijskom dobiti (iako najčešće jesu). Potencijalni motiv može biti želja za dokazivanjem, a s obzirom de se transakcije koje je Kerviel obavljao ponegdje nazivaju i klađenjem ("At some point last year, bank executives say, Mr. Kerviel started using futures on the European stock indexes to place huge bets that European markets would continue to rise", Wall Street Journal) ne bi me začudilo da se ovisnost o klađenju identificira kao ključni motiv.


Slučaj Societe Generale nam je na jedan plastičan način ukazao na činjenicu da su informacijske tehnologije srasle s poslovnim procesima. Osim pozitivnih perspektiva i potencijalnih dobitaka, informacijske tehnologije uz sebe vežu i brojne rizike. U ovom će slučaju posljedice svakako osjetiti Societe Generale i njihovi dioničari (morali su obaviti dokapitalizaciju kako bi pokrili gubitke, postali su, kako se čini, ranjivija meta za preuzimanje, a posljedice po reputaciju su očite). No, prema nekim analizama, paničan pokušaj spašavanja onog što se spasiti može utjecao je i na prošlotjedni pad vrijednosti dionica na svjetskim burzama (što je iz Societe Generale demantirano). Ako se potvrdi točnost takvog razvoja događaja, prvi put će se pokazati da informacijski propusti u jednoj kompaniji mogu djelovati na šire okruženje, a ne samo na vlasnike ili dioničare same kompanije. Zbog ovisnosti o klađenju?

23.1.08

COBIT: temelj za provedbu smjernica HNB

U završnom zapisu iz 2007. godine naveo sam najznačajnije događaje u informacijskoj sigurnosti za Hrvatsku. Jedan od događaja je i objava odluke Hrvatske narodne banke o primjerenom upravljanju informacijskim sustavom iz kolovoza 2007. Ova odluka osnažuje Smjernice HNB-a iz 2006. propisujući pojedinačne rokove realizacije za svako područja upravljanja informacijskim rizicima. Naravno, bankari su ove zahtjeve dočekali na različite načine. S jedne strane, neki su ukazali na dodatno opterećenje - ionako opterećenih - informatičkih službi u bankama. S druge strane, dalekovidniji/optimističniji se nadaju da bi ovi propisi mogli unijeti dodatnog reda u, ponekad, kaotično i improvizirajuće upravljanje informacijskim sustavima.

Tko bi trebao biti nositelj incijative za provedbu smjernica HNB-a? Kandidata ima nekoliko. IT služba se nameće nekako prirodno. No, smjernice prelaze okvire informatičkih odjela. Upravljanje rizikom informacijskog sustava, barem po imenu, ulazi u područje odgovornosti sektora koji se bave rizicima. Upravljanje kontinuitetom poslovanja obuhvaća posebene stručne timove ali dodiruje i poslovanje banaka u cjelini. Nemojte zaboraviti ni internu reviziju koja će ovim smjernicama dobiti nove obveze - reviziju informacijskog sustava.

Da bi provedba smjernica postala zajednički zadatak svih spomenutih strana, banke moraju izabrati zajednički radni okvir utemeljen na opće prihvaćenom standardu.

Čemu se treba okrenuti?
Ja sam namjere smjernica HNB-a komentirao u studenom prošle godine na CIO konferenciji u Zagrebu i Ljubljani, te sam istaknuo da se smjernice moraju pročitati kao inovativni poticaj koji će pomoći u provedbi IT Governance incijativa. Zapravo, IT Governance mora biti opći okvir čije bi donošenje i provedba trebalo ako ne prethoditi, onda barem olakšati provedbu samih smjernica. Stoga se kao najbolje rješenje za radni okvir kod provedbe smjernica HNB-a nameće COBIT. COBIT u sebi sadrži mehanizam za izbor i praćenje provedbe kontrolnih mjera. Dakle, biti će od velike pomoći u početnoj fazi provedbe smjernica - upravljanju rizikom informacijskog sustava. Izbor kontrolnih mjera poslužiti će odjelu interne revizije za uspostavu metodologije revizije informacijskog sustava, ali i za provedbu same revizije. Nadalje, COBIT sadrži i mnoge alate pomoću kojih je
moguće provesti potrebne mjere. Mislim prije svega na publikacije koje objavljuje ITGI Institute, a posebno su inspirativni IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance i IT Control Objectives for Sarbanes-Oxley. Pogledajte svakako i COBIT Mapping: ISO/IEC 177995:2005 With Cobit 4.0 zato što jako dobro ilustrira komplementarnost dviju općeprihvaćenih normi, te ukazuje područja u kojima je uloga COBIT-a nenadomjestiva (mislim na procese praćenja uspješnosti provedbe i kontinuiranog nadzora sigurnosnih procesa).

(NAPOMENA: Neki od gornjih dokumenata su dostupni samo članovima ISACA-e)

Primjenom COBIT-a postiže se nekoliko doprinosa. Prvo, snizuju se troškovi postupka provedbe. Drugo, ugrađuje se mehanizam za djelotvornu provjeru provedenih mjera, čime se već sada stvaraju preduvjeti za niže troškove budućih redovitih revizija. Treće, uprava će moći u kratkom roku primjeniti neophodne IT Governance procese. Pored toga, treba predvidjeti da će se s vremenom pojaviti i dodatni regulatorni zahtjevi. Primjenom COBITA već u ovoj fazi obavili ste skoro polovicu budućih zadataka.

7.1.08

Ima li "crva" u avionu?

Kada se govori o računalnoj sigurnosti onda se često koristi slikovita analogija sa zrakoplovima. pa se zna reći npr. "kada bi zrakoplovi bili ranjivi kao računalni sustavi onda bi se zrakoplovne nesreće dešavale svaki dan". Time se, naravno, želi ukazati na površnost realizacije i neadekvatnost testiranja računalnih sustava te na brojnost kritičnih računalnih ranjivosti, nasuprot kojima se ukazuje na inžinjersku preciznost pri konstrukciji zrakoplova. No, kako se čini, ovome bi mogao doći kraj. Časopis Wired objavio je kako je FAA, američka agencija za regulaciju i nadzor civilnog zračnog prometa, utvrdila probleme na najnovijem Boeingu 787 Dreamliner. Spomenuti nedostaci se odnose na mrežni sustav novog zrakoplova koji putnicima omogućuje pristup Internetu. Testiranja su pokazala da postoji fizička povezanost mreže koja je namijenjena putnicima s onom koja se koristi za upravljanje kritičnim komponentama zrakoplovom, uključujući navigaciju i komunikacijski sustav, pa je tako moguć pristup putnika do središnjih komponenti za kontrolu zrakoplova.

Boeingu ostaje dovoljno vremena - do prve komercijalne isporuke novog modela tijekom 2008 - za ispravak ove greške. No, ovaj slučaj ne bi trebalo promatrati kao izdvojeni incident. Računalni potencijali su odavno prešli granice servera ili osobnih računala, te tradicionalnih računalnih mreža. Polako se navikavamo na gotovo neograničene mogućnosti umrežavanja i dostupnost najraznovrsnijih mrežnih servisa. Razvoj novih proizvoda diktirana je tržišnim zahtjevima, a pouzdanost rješenja postaje prva žrtva ove utrke. Stoga, ovaj događaj možemo sagledati i kao najavu za godinu koja je nastupila: programske ranjivost nalaze se na mjestima na kojima ih do sada niste očekivali.