23.2.10

Upoznajte URIS na djelu

Prije, otprilike, pola godine pisao sam o aplikaciji URIS namjenjenoj za procjenu rizika informacijskih sustava. Ova aplikacija se temelji na međunarodno priznatoj metodolagiji MEHARI. Više o razlozima za razvoj aplikacije kao i o potrebi za korištenjem ove aplikacije možete pronaći u gore spomenutom napisu.

Joško Martinac iz poduzeća Adservio, autor razvojno-aplikativnog dijela aplikacije URIS, prije nekoliko dana je napravio šest kraćih snimaka rada ove aplikacije, a možete ih pogledati na ovoj stranici. Ove snimke jako dobro ilustriraju glavne funkcije i vjerujem da će vam znatno približiti mogućnosti i načine primjene. Treba reći da se aplikacija stalno dorađuje, pa će, u trenutku kada budete gledali ove snimke, dopune i nova poboljšanja biti u funkciji (marketinški stručnjaci: ne budite prestrogi prema kvaliteti materijala!).

U nastavku slijedi šest snimaka.

Napomena: snimke će bolje izgledati ako ih pogledate preko dolje navedenih linkova na YouTube (umjesto preglednika ugrađenog u samu stranicu). Ako pak želite još bolju kvalitetu snimka, na kraju stranice ćete naći uputu o preuzimanju originalnih avi datoteka.

Aplikacija URIS - uvodni pregled:



(ovaj snimak možete pogledati i ovdje - YouTube)

Aplikacija URIS - procjena vrijednosti informacijske imovine:



(ovaj snimak možete pogledati i ovdje - YouTube)

Aplikacija URIS - procjena vrijednosti informacijske imovine (nastavak) i procjena visine prijetnji:



(ovaj snimak možete pogledati i ovdje - YouTube)

Aplikacija URIS - ocjena prisutnih kontrolnih mjera:



(ovaj snimak možete pogledati i ovdje - YouTube)

Aplikacija URIS - izračun rizika:



(ovaj snimak možete pogledati i ovdje - YouTube)

Aplikacija URIS - izvještavanje:



(ovaj snimak možete pogledati i ovdje - YouTube)

Ako želite vidjeti ove snimke u još boljoj kvaliteti i ako nemate komunikacijskih ograničenja, možete preuzeti originalne avi datoteke (pažnja: veličine datoteka su od 30 MB do 60 MB) s donjih linkova:

Prvi dio
Drugi dio
Treći dio
Četvrti dio
Peti dio
Šesti dio

Ovo su naravno tek glavne značajke aplikacije. Slobodno nam se javite ukoliko želite saznati više informacija o ovoj aplikaciji, upriličiti prezentaciju aplikacije ili pak želite cjelovito riješiti problematiku uvođenja upravljanja informacijskim rizicima.

17.2.10

IT sigurnost u predsjednikovom uredu

Kako danas javlja Večernji list, novoizabrani predsjednik Ivo Josipović će u svom uredu koristiti Windows operativni sustav.

U članku se citira nepoznati izvor iz predsjednikovog ureda koji kaže:

"– Windowsi su dobri i zbog određenih sigurnosnih standarda koji se moraju čuvati i tu nema milosti ni za koga pa ni za predsjednika – kaže naš izvor."

Prilično je neozbiljno i nekompetentno koristiti sigurnost kao argument u korist Windows operativnog sustava, a nasuprot Linuxu i drugim programima napisanim na temeljima otvorenog koda. Zapravo, takva samouvjerenost je problematična već sama po sebi i ne jamči nam da će informacije u predsjednikovom uredu biti zaštićene na pravi način.

Manje bi me začudilo da su se kao argumenti izvukli npr. nemogućnost otkazivanja ugovora Microsoftu, nemogućnost migracije u kratkom vremenu ili pak nesklonost predsjednikovih ljudi na učenje (iako je svaki od ovih argumenata jednako klimav). Argument može biti i neka važna aplikacija koja ne ide pod Linuxom, no ne vjerujem da će se netko na Pantovčaku baviti npr. Photoshopom.

Ne zagovaram a priori činjenicu da je Linux sigurniji od Windowsa, no kada netko, a naročito iz državnih tijela, tvrdi suprotno, morao bi imati dobre argumente. A takvih argumenata, kada govorimo o struci informacijske sigurnosti u svijetu, nema. Ako je u pitanju sigurnost, otvoreni kod općenito a i Linux kao operativni sustav posebno imaju niz argumenata na svojoj strani. Osporavatelji najčešće izvlače argument da besplatan kod ne može biti kvalitetno napravljen, previđajući činjenicu da broj čovjek/sati utrošen na razvoj i broj očiju zaposlen na testiranju otvorenog koda premašuju mnoge komercijale proizvode, a njegova arhitektura i izvedba nisu vođene tržišnim diktatom i zacrtanim rokovima realizacije pod svaku cijenu.

Za ilustraciju, uzmimo primjer nedavne napade na Google. Uzrok ovih napada bila je ranjivost u Internet Exploreru o kojoj je Microsoft znao mjesecima, a da nije pripremio popravak. Ovako nešto je nemoguće u otvorenom kodu. Nasuprot Internet Exploreru, statistike govore da se prijavljene ranjivosti u Firefoxu otklanjaju u znatno kraćem roku, što je svakako rezultat činjenice da Firefox pripada otvorenom kodu. Slika je naravno kompleksnija i zahtjeva nešto više prostora, nije baš ni sasvim crno-bijela, no trendovi svakako govore u prilog sigurnosti otvorenog koda.

Omiljeni argument osporavatelja sigurnosti Linuxa je i taj da ovaj operativni sustav nema puno ranjivosti jer je naprosto nezanimljiv istraživačima ranjivosti. Zbog malog broja instalacija (usporedimo li statistiku Linux desktop instalacija nasuprot Windowsima) oni se i ne pokušvaju baviti Linuxom, jer otkrivene ranjivosti ne mogu dobro naplatiti. Čak i da nema arhitekturne prednosti sigurnosnih svojstava Linux operativnog sustava i da je argument na mjestu, treba reći da će povećani broj Linux korisnika donijeti sa sobom i povećani broj razvojnih inicijativa i timova, povećani broj testova, a u konačnici povećanu sigurnost. Drugim riječima, povećanim korištenjem Open Sourcea automatski raste i razvojna podloga, što je potpuno suprotno zatvorenom i komercijalnom softveru.

16.2.10

Članak u "Novom listu"

Još jedan članak na temu OIB. Novi list je prošli tjedan objavio podatak da računi za siječanj jednog domaćeg pružatelja telekomunikacijskih usluga sadrže OIB samog pretplatnika (u ovom slučaju govorimo o privatnim pretplatnicima). Operater je, ujedno, ovo i obrazložio te obavještava pretplatnika da je njegov OIB dobio od Ministarstva financija.

Smatram da je ovo u potpunom neskladu sa Zakonom o zaštiti osobnih podataka.

Procjena da javni status OIB-a ne ugoržava našu privatnost je, bojim se, račun bez krčmara. Koliko god nam sada to izgledalo bezazleno, podataka označenih OIB-om biti će sve više i više. Što ih bude više, time će i vrijednost OIB-a rasti.

Ovo ima još jednu posljedicu. Naime, oni koji se bave rizicima informacijskog sustava lako će zaključiti da povećana vrijednost OIBA dodatno pojačava povećava rizik zloupotrebe. Naime, bez obzira koliko dobro postavili mjere zaštite OIB-a, njegova vrijednost će jače motivirati napadače na iskorištavanje nedostataka ili zaobilaženje ovih mjera.

Inače, u samom članku je i jedan moj komentar na ovaj slučaj.

9.2.10

Članak u časopisu Banka

Časopis Banka za veljaču objavljuje moj članak na temu osobnog identifikacijskog broja. Kao što znate, OIB je krenuo u opticaj, no mnoge dileme su ostale neriješene.

Članak potražite ovdje.

5.2.10

Očekuju li nas krađe mobilnih identiteta? (2)

Jučer sam pisao o najavljenoj promjeni načina prodaje prepaid paketa, kojom će se značajno ugroziti zaštita osobnih podataka u Hrvatskoj. Moram reći da zapravo nisam uvjeren da je kontrola poziva i identifikacija sugovornika bio glavni (a naročito ne jedini) motiv države. Argumenti koje sam naveo u prošlom postu idu tome u prilog: samo zbog činjenica da se trenutno na tržištu nalazi veliki broj neregistriranih prepaid kartica ruši mogućnost da se u slijedećih barem pet do osam godina provede planirana kontrola.

Što je onda motiv?

Odgovor možda leži u prepaid mobilnom Internetu. Ovo je, vjerujem, najlakši način za očuvanje anonimnosti u Internet komunikaciji, a koji svakako pruža puno više potencijala za zloupotrebu od običnih razgovora ili slanja SMS poruka. Za svaki drugi oblik fiksnog ili mobilnog pristupa Internetu, pružatelj usluga može dati vlastima direktne ili indirektne podatke o identitetu korisnika Internet usluge. Iako je prošlo više od godine dana od pojave prepaid Internet usluge na našem tržištu, sada je - sa stajališta države - zapravo krajnji trenutak za uvođenje kontrole. Na ovaj način će se, smatra država, reducirati mogućnost anonimnog korištenja Interneta.

Ipak, ostajem na zaključku iz prethodnog zapisa i mislim da će ova odluka ugroziti privatnost samo dobronamjernih korisnika. Niskotehnološka rješenja (kao što je zapisivanje imena kupaca prepaid paketa) neće djelovati u borbi protiv cyber kriminala.

4.2.10

Očekuju li nas krađe mobilnih identiteta?

Ovih dana se u medijima govori o vladinoj uredbi prema kojoj će se i prepaid kartice za mobilnu telefoniju prilikom kupnje morati registrirati imenom i prezimenom kupca odnosno korisnika.

O pogubnosti ove odluke za zaštitu privatnosti rečeno je dosta toga. Ja bih samo dodao da će takva odluka u javnosti oslabiti ionako nizak standard svijesti o zaštiti osobnih podataka. Proširuje se sveopća banalizacija privatnosti, a s vremenom će prosječni građanin sve teže razlikovati što je dozvoljeno a što ne.

No, ima jedan drugi detalj na koji želim ukazati. Ova odredba će zapravo potaknuti krađe mobilnih identiteta. Naime, osobe kojima je iz bilo kojeg razloga stalo da prikriju svoj telefonski identitet, sigurno će načina i sredstava da dođu do tuđih prepaid kartica. U početku će to biti trgovina s postojećim prepaid brojevima koji nisu registrirani imenom korisnika (pročitao sam ovih dana da je trenutno u Hrvatskoj 75% brojeva prema prepaid modelu, velik broj će se sigurno naći na ovoj burzi), a izgubljeni i zaboravljeni telefoni skupljati će se kao PVC boce. Nažalost, ova grana sive ekonomije će uskoro potaknuti krađe i otimačine telefona. Naročito će na meti biti djeca i maloljetnici (možda najzastupljeniji segment korisnika ovog tarifnog modela).

U svakom slučaju, oni koji iz tko zna kojih razloga budu htjeli ostati anonimni to će i uspjeti, a svima nama drugima će ostati nelagodan osjećak blizine Velikog brata.