8.1.11

Spavači

Današnji Jutarnji list donosi članak "Za tržišni uspjeh sve je potrebniji privatni detektiv" koji govori o razvoju industrijske špijunaže u Hrvatskoj (usput, u članku se ova aktivnost zove "Business Intelligence" što u informatičkom žargonu znači nešto sasvim drugo). Članak donosi razgovor s vlasnikom zagrebačke detektivske agencije koji govori da sve više poslovnih ljudi traži usluge prikupljanja podataka o konkurentskim tvrtkama. Detektivi ove tvrtke, između ostalog, pronalaze "spavače" među zaposlenicima istraživanih tvrtki koji odaju poslovne tajne konkurenciji. Saznali smo da nemali broj stranih tvrtki traži usluge ove agencije. Također, saznali smo da je prošla godina zabilježila porast zahtjeva za ovim uslugama.

Optimisti će reći da je ovo dobra vijest za ekonomiju u cjelini. Do sada je najveća zaštita od insiderskih prijetnji bila činjenica da naše tvrtke nemaju ništa ponuditi konkurenciji, a, kako sada izgleda, stvari se mijenjaju i konkurentnost naših tvrtki se pojačava. Realisti će, pak, reći da se ipak, možda, radi o banalnijim informacijama koje imaju značaja za konkurenciju, npr. o popisu kupaca ili o cijenama s kojima se izlazi na javni natječaj. Treba također znati da ova djelatnost može uključivati i prikupljanje osobnih podataka, npr. stanja računa ili troškove na karticama partnera u slučaju brakorazvodnih parnica ili pak provjere potencijalnih zaposlenika.

No, ne ulazeći u motivaciju iza indistrijske špijunaže, smatram da članak može poslužiti kao odličan materijal praktičarima procjene informacijskih rizika. Naime, opasnost od insidera u našim tvrtkama se u pravilu podcjenjivala jer, kao, insideri nemaju toliko motiva za svoj rad, najviše što ih zanima su plaće svojih kolega ili računi poznatih klijenata, a to se može lako zaštiti i kontrolirati. Članak nam pokazuje da je aktivno regrutiranja spavača koji inače to ne bi nikad postali naša stvarnost, a jasno je da postoji i mehanizam učinkovite motivacije insidera/spavača.

Naravno, treba biti jasno da današnja industrijska špijunaža prije svega cilja na podatke u digitalnom obliku, na baze podatka, na dokumente smještene na serverima. Ono što je za teoretičare tek istraživanje konkurentskih prednosti, za žrtve to može biti računalni kriminal ili barem opipljiv razloga za otkaz, u svakom slučaju značajna poslovna šteta. Za ljude iz informatičke sigurnosti je ovo svakako znak da moraju dodatno otvoriti oči.Ako vrijedne informacije nisu insiderima odmah dostupne, postoje brojne tehnike kako se može doći do ovih informacija. Ove tehnike ne moraju biti velika mudrost i vanjski "motivatori" će spavače lako obučiti (to se obično naziva "low-tech hacking").

Ovdje prestaje svaka sličnost s WikiLeaksom - ako vam je tako nešto i palo napamet čitajući ovo. Industrijska špijunaža svoje informacije ne pušta na Mrežu, a, za razliku od američke vlade, žrtve indistrijske špijunaže možda nikad neće saznati da su ikada postali žrtve.

7.1.11

Zeus - bog računalnih prijevara

U siječanjskom broju časopisa Banka izašao je moj članak o botnetu Zeus. Članak opisuje način funkcionaranja i "poslovnu" pozadinu koja stoji iza ovog malicioznog programa, ili, bolje rečeno malicioznog sustava.

Članak potražite ovdje.