12.9.08

"Hackiranje" informacija

S osobitim zanimanjem pratim svaku pojavu "ranjivosti novog kova". Naročito me zanimaju događaji koji mogu promjeniti naše dosadašnje shvaćanje određene tehnologije. Možda je pretjerano ovaj slučaj tako nazvati, no u sebi nosi veoma važne pouke. Srećom, nije se desio u našoj neposrednoj blizini (iako je kontekst veoma aktualan u današnjoj Hrvatskoj).

Dakle, Google News je 7. rujna 2008. objavio da je United Airlines, jedna od najvećih zrakoplovnih kompanija, pred bankrotom. Vijest se pojavila u nedjelju, a odmah idućeg dana reagiralo je tržište: dionica UAL je pala sa 12 USD na 3 USD. Vijest bi bila dramatična, ali ne i neobična. Ipak, pokazalo se da je informacija o bankrotu kriva, a ono što je zanimljivo je pozadina te vijesti.

Naime Google News funkcionira kao agregator koji indeksira vijesti sa najznačajnijih medijskih portala. Pravi posao obavlja Googlebot koji zapravo pretražuje web servere. Vijest o bankrotu UAL pojavila se na stranicama portala Sun-Sentinel, inače u vlasništvu velikog izdavača koji izdaje i Chicago Tribune. No, problem je u tome što je ovo bila vijest iz 2002. godine. Sun-Sentinel je naslovnici neoprezno objavio link na staru vijest (u rubrici "najpopularniji članci"). Googlebot je prepoznao tu vijest kao novu (analizom pridjeljene url adrese, naravno nije analizirao sadržaj). Ostatak je bio automatizam (koji Google čini onim što i je).

Odmah su se pojavila dva pitanja.

Prvo, kako to da je Google indeksirao taj članak kao novi? Google objašnjava da pridjeljeni url do tada nije bio registriran u njihovim sustavima pohrane, a s jedini datum koji je uz vijest bio dostupan je 7. rujna 2008. Sun-Sentinel, odnosno njihov izdavač Tribune, nisu se tek tako predali, pa je uslijedilo prepucavanje koj se svodi na problem kokoš/jaje (pogledajte reakciju Google-a i odgovor Tribuna).

Kako sada stvari stoje, izgleda ipak da je Tribune bio malo neoprezan oko izgradnje svog CMS sustava i da nose znatan dio krivice.

No drugo pitanje je možda čak i zanimljivije: kako to da se vijest stara šest godina odjednom pojavila na naslovnici Sun-Sentinela kao popularna? Ponovo je u pitanju automatizam njihove CMS aplikacije koja je utvrdila pojačanu frekventnost pristupa url adresi o bankrotu UAL (iako staroj šest godina), pa se taj naslov automatski pojavio u istaknutom okviru. No, time se otvorilo pitanje pozdanosti takvog algoritma ocjene popularnosti? Ako je povećani broj klikova jedini kriterij za kategoriziranje određen vijesti kao najpopularnije, onda zaista nije nikakva problem postići ovakav efekt. To se može napraviti na brutalan način (i s primitivnom botnet infrastrukturom), a još jednostavnije je koristiti digitalna društvena okupljališta i Web 2.0 tehnologiju (npr. Digg).

Drugim rječima, na djelu smo vidjeli slučajnu ili poticanu manipulaciju informacijom, korištenjem web aplikacija. Iako se možda radi samo o tehničkoj greški uzrokovanom nedovoljno provjerenim automatizmom, u ovome vidim i mogućnosti zlonamjernih aktivnosti koje se kreću između manipulacije i hackiranja istine.

4.9.08

Izbor okvira za primjenu Smjernica HNB-a

Nedavno sam odgovarao na pitanje o tome koji je radni okvir prihvatljiviji za primjenu Smjernica HNB-a: ISO 27001/27002 ili COBIT. Čitatelji ovih stranica znaju kako ja često citiram COBIT, no fali li uopće nešto normi ISO 27001/27002, koja je, usput rečeno, puno popularnija i poznatija u našim krajevima?

ISO 27002 je jednostavan dokument, njegove su preporuke zrdravorazumske a mnogi koji ga uzimaju u ruke s namjerom primjene, već nakon desetak stranica s olakšanjem zaključuju kako su gotovo sve odredbe primjenjene ili lako primjenjive u njihovoj okolini. Pored toga, smjernice HNB-a i po volumenu i po detaljnosti veoma podsjećaju na dokument ISO 27002. Bilo bi nepravedno i netočno reći da će neka banka pogriješiti ako normu ISO 27001/27002 iskoristiti za postupak usklađivanja sa zahtjevima HNB-a.

Ipak, treba spomenuti i glavne nedostatke takve strategije.

Prije svega, izborom ISO 27002 kao radnog okvira daje se pogrešna poruka da su Smjernice HNB-a tehničko pitanje, u nadležnosti informatičke službe. ISO 27002, doduše, i u uvodnom dijelu i u dijelu s pregledom kontrolnih mjera predviđa tijesnu vezu s managementom, no ove odredbe, iz više razloga, imaju samo formalnu ali ne i suštinsku snagu. To, naravano, ne bi trebalo biti tako, no treba dosta snage u primjeni norme ISO 27001/27002 kako bi se management pretvorilo u kvalitetne i strpljive sugovornike.

Smjernice HNB-a dodjeljuju izuzetno važnu ulogu procesu upravljanja informacijskim rizicima. Ovaj dio, sagledan s odredbama o odgovornosti uprava banaka i potrebi revizije informacijskih sustava, smatram najznačajnijim faktorom primjene Smjernica HNB-a. Upravo iz ovog razloga, COBIT može biti od velike pomoći. COBIT ne samo da opisuje kontrolne mjere i praksu koje se odnose na upravljanje rizicima i obveze managementa, već je sve donedavno njegova glavna primjena bila baš u postupku revizije. Pred toga, COBIT danas pruža i djelotvorne instrumente za mjerenje uspješnosti primjene i pridržavanja svih procesa predviđenih smjernicama HNB-a. Time je uspostavljena povratna veza između operativne i strateške razine odlučivanja.

Na kraju, mislim da je jedna od prednosti COBIT-a i ta što u sebi ne uključuje i ne podrazumijeva službenu certifikaciju. Dosadašnji model isigurnosnih certifikacija pružaju tek minimalna jamstva da je objekt certifikacije zaista i siguran.

Naravno, primjena COBIT-a je veći zalogaj koji ne vole svi žvakati. Pored toga, razmišljanje da su regulatorni zahtjevi, u ovom slučaju HNB-a, ovdje radi vas a ne radi regulatora, u današnjim je vremenima možda ipak preidealističko. No, trud bi vam se mogao isplatiti, a što se tiče ideala - treba iskoristiti svaku priliku za njihovo potvrđivanje.