30.12.13

Bliski susreti koji jamče zarazu

Časopis Lider je u studenom objavio članak u čijoj sam izradi sudjelovao. Članak možete preuzeti na ovom mjestu:

Časopis Lider: Bliski susreti koji jamče zarazu

6.12.13

“Vulnerability Assessment” ili “Vulnerability Management” (3. dio)


Prvi i drugi dio teksta pronađite na ovim mjestima.

Treći dio teksta o upravljanju računalnim ranjivostima  predstavlja specifičnu tehniku mrežnog skeniranja koja je danas imaju svi značajni alati ove namjene. To je tehnika skeniranja primjenom privilegiranih pristupnih prava.

Naime, standardni način rada skenera računalnih ranjivosti šalje niz mrežnih upita prema mrežnom resursu kojeg analiziraju. Na ove mrežne upite odgovaraju mrežni servisi čiji mrežni kanal (specifični TCP/UDP protokol) skener koristi, odnosno kojima se provodi testiranje. Može se reći da ovaj način testiranja simulira postupke osobe koja bi istom sekvencom mrežnih poruka provjeravala reakciju suprotne strane te izvela zaključke o nedostacima, no u slučaju skenera postupak je automatiziran, pa samim time efikasniji, cjelovitiji i brži. Vratimo se na manualno testiranje. Ukoliko bi osoba prije pokretanja provjera imala mogućnost pristupa na resurs koji testira, te postigla mogućnost uvida u resurse operativnog sustava koji nadilaze mrežnu razinu, nalazi će biti puno bogatiji i raznolikiji. Upravo se na ovome temelji tehnika skeniranja primjenom privilegiranih pristupnih prava koju sam najavio u uvodnom odlomku.

Skeneri računalnih ranjivosti za ovu namjenu koriste prikladne mehanizme udaljenog pristupa koji su dovoljni za obavljanje zadatka, uz pridržavanje visokih sigurnosnih kriterija. Za pristup Windows resursima se, npr. koristi udaljeni pristup administratorskim računom koji omogućuje pristup do „Administrative share“ lokacijama i registry podacima, a putem ovih točaka pojedinih do, praktički, svih značajnih informacija o operativnom sustavu, instaliranim aplikacijama, konfiguracijskim postavkama. Na Unix/Linux resursima se za ovu namjenu koristi SSH protokol, a skener se prijavljuje s privilegiranim računom (root ili neki drugi račun koji ima mogućnost elevacije pristupnih prava, npr. „sudo“ tehnikom).

Skeneri danas uglavnom ne koriste namjenske agente koje bi trebalo instalirati na ovim resursima, iako se u nekim slučajevima primjenjuju hibridne tehnike i jednostavni agenti. Da bi se proveo autenticirani sken nije dovoljno imati mogućnost udaljenog pristupa, nego skener u tom slučaju mora imati u bazi podataka podatke o ranjivostima za što je moguće više  platformi, što svakako može postati veliki inženjerski zadatak za proizvođače skenera.

QualysGuard, s kojim najviše radim, ima mogućnost privilegiranog pristupa i izvođenja autenticiranog skena na velikom broju platformi – sve Windows platforme, sve značajne verzije Unix/Linux operativnog sustava, baze podataka Oracle i MS SQL Server, Cisco IOS i SNMP.

Razlika između ove dvije tehnike skeniranja prikazana je na sljedećoj slici.





Posebno ću se osvrnuti na dubinski uvid u računalne ranjivosti koji se postiže autenticiranim skenom. Napravio sam sljedeći test: instalirao sam Windows Server 2008 R2 SP1 – samo osnovne pakete, bez i jednog dodatnog programa  (dakle, bez baze podataka, Exchange servera, Office paketa…), ali i bez, inače neophodnog, ažuriranja verzije operativnog sustava s programskim popravcima neposredno nakon instalacije. Nakon toga sam napravio autenticirani i neautenticirani sken ove instance sustavom QualysGuard. Cilj je bio utvrditi razlike u detaljnosti nalaza između ova dva skena. Razlika je ilustrirana u sljedećoj tablici:




Kategorije ranjivosti


5
4
3
2
1
Total
Neautenticirani
1
0
1
3
1
6
Autenticirani
51
65
29
11
1
157


Ranjivosti su kategorizirane u 5 razreda (viša ocjena predstavlja kritičnije ranjivosti). Neautenticirani sken je pronašao samo 6 ranjivosti. Autenticirani sken je pronašao 157 ranjivosti. Ovim testom nisam imao namjeru pokazati eventualne manjkavosti analiziranog operativnog sustava, a ovakav drastičan primjer ćete teško pronaći u ozbiljnom produkcijskom okruženju jer će se i površnom primjenom računalnih popravaka otkloniti brojne inicijalne ranjivosti. Isključiva namjera bila je ilustracija mogućnosti autenticiranog skena.

Autenticirani sken je posebno značajan za radne stanice. Nekako je uobičajeno da programi provjere i upravljanja računalnim ranjivostima zaobilaze radne stanice, a fokus se stavlja na mrežne poslužitelje. To je svakako ispravno gledajući sa stajališta značaja informacijske imovine koja je uglavnom koncentrirana na serverima. No, današnje računalne prijetnje neće ciljati ni perimetarski segment niti direktno mrežne poslužitelje: glavni vektori su usmjereni prema osobama i prema klijentskim računalima, nastojeći iskoristiti računalne ranjivosti na radnim stanicama. Stoga, provjera računalnih ranjivosti na radnim stanicama postaje gotovo jednako važna kao i antivirusna zaštita na istim računalima, naročito ako uzmemo u obzir da antivirusna zaštita nije danas više svemoćna. Autenticirani sken radnih stanica će se pokazati osobito efikasnim u provjeri ranjivosti na tipičnim klijentskim programima – Microsoft Office, web preglednici, Adobe Reader, Adobe Flash Player, Java…

Rezultati autenticiranog skena svakako su dobar materijal za ocjenu stvarne izloženosti sustava napadačima i malicioznim korisnicima, no treba naglasiti da ovakva vrste provjere daju izuzetno bogat materijal tzv. „security intelligence“ sustavima. Analiza ranjivosti prema CVSS parametrima ima smisla prije svega ako su rezultati postignuti autenticiranim skenom. 

Kada budete planirali autenticirani sken budite spremni razbiti gotovo neizbježnu predrasudu: s obzirom da se autenticirani sken provodi korištenjem privilegiranih (administrativnih) korisničkih računa, često se nameće pogrešan zaključak da su to ranjivosti koje mogu iskoristiti samo administratori pa se slijedom tog razmišljanja i uobičajenog povjerenja u administratore zaključuje da nema potrebe raditi takvu analizu. Zaključak je pogrešan jer su administratorski računi najjednostavnije sredstvo za utvrđivanje ranjivosti, a same ranjivosti se mogu sasvim efikasno zloupotrijebiti i u kontekstu drugih, „običnih“ korisnika.

Na koncu, bez obzira što smo u ovom tekstu izuzetno naglasili značaj autenticiranog skena, u provjerama računalnih ranjivosti i dalje primjenjujte neautenticirani sken. Rezultat ovog skena daje dobru informaciju o redovitoj vidljivosti vaših sustava na mreži, a ranjivosti koje se otkriju ovim skenom svakako moraju biti na vrhu liste prioriteta.

15.11.13

Ljudi u crnom

S malim zakašnjenjem prilažem kopiju članka iz časopisa Banka koji sam objavio u kolovozu.
Tema je ponovo kibernetičko ratovanje. Naizgled, nije aktualno u našem okruženju, međutim sve ono što se događa u Europi u proteklih nekoliko mjeseci govori da su ratne tehnike operacije prisutne i u razdoblju prividnog kibernetičkog mira.

Banka_8-13

23.10.13

Thycotic Software u ponudi Boree

Nešto veći razmak od prethodnog teksta na blogu sam, osim za redovite poslovne aktivnosti, iskoristio i za daljnji razvoj poslovanja moje tvrtke. Jedan od rezultata ove aktivnosti je značajno unaprjeđenje suradnje s tvrtkom Thycotic Software. S ovom tvrtkom surađujem preko godinu dana, no krajem ljeta je Borea stekla status Thycotic Certified Partner.

Thycotic Software je najpoznatiji po svom rješenju Secret Server - sustavu za pohranu i upravljanje zaporkama privilegiranih korisničkih računa. Upotreba privilegiranih korisničkih računa u sebi nosi možda najznačajnije rizike od internog ugrožavanja sigurnosti informacijskog sustava. To su pristupna prava koja koriste administratori mrežnih, poslužiteljskih, database i drugih kritičnih resursa informatičke infrastrukture. Secret Server značajno pojačava sigurnosne mehanizme kod pristupa lozinkama ovih korisničkih računa, a sofisticirani mehanizmi evidentiranja i nadzora značajno olakšavaju praćenje, ali i djeluju preventivno te efikasno odvraćaju osobe koje su u iskušenju kompromitirati dodijeljena im prava.

Thycotic Secret Server igra značajnu ulogu u integraciji sa drugim sustavom kojeg Borea ima u ponudi - sa SaaS rješenjem QualysGuard. Naime, integracijom ovih sustava moguće je zaporke koje se koriste u autenticiranom skenu pohraniti unutar lokalne mreže, a ne u Qualysovom oblaku, što predstavlja značajni poticaj za iskorištavanje svih mogućnosti sustava QualysGuard.

Više o svojstvima sustava Thycotic Secret Server možete pronaći na stranicama ove tvrtke ili na stranicama Boree. Naravno, možete mi se javiti mailom ili telefonom za svaku dodatnu informaciju, ako želite vidjeti ovaj sustav u živom radu ili ako želite i sami isprobati Secret Server. 

11.6.13

Nova faza kibernetičkog rata

Jučer je sam na portalu časopisa Banka objavio tekst Nova faza kibernetičkog rata. Povod za ovaj tekst je bila prošlotjedna objava teksta smjernice Bijele kuće o načinima vođenja cyber-war operacija. Sama smjernica je nastala u studenom prošle godine i klasificirana je kao dokument visoke povjerljivost, a objavljena je prošli tjedan u dnevniku The Guardian.

The Guardian je prošlog tjedna postigao dva pogodka američkoj administraciji. (Bilo bi zanimljivo saznati tko je bio u veznoj liniji). Drugi pogodak je naravno objava kontinuirnog uvida američkih tajnih službi u podatke i komunikaciju koju svi mi obavljamo serverima vodećih svjetskih informatičkih tvrtki.

Imaju li vezu ova dva slučaja: nove smjernice za vođenje kibernetičkih ratova i sustav PRISM kojime se analiziraju podaci koji putuju Internetom?  Formalo gledajući, direktna veza ne postoji - barem prema kriteriju vremenskog razdoblja u kojima se pojavljuju, no oba slučaja treba sagledati u kontekstu borbe američke administracijeprotiv neprijatelja različitih boja i sve jače izloženosti osobnih podataka koje postaju kolateralne žrtve u ovoj borbi.

Od svih tekstova o sustavu PRISM, posebno bih istaknuo komentare prema kojima bi ovakvo praćenje, prikupljanje i analiza podataka mogla ugroziti povjerenje u Cloud arhitekturu.  Ne sumnjam da će tehnološke tvrtke pojačati marketinške i PR aktivnosti kako bi ograničili nastalu štetu, no problem je u tome što su potporu sustavu PRISM pružile tvrtke koje nas godinama uvjeravaju u sigurnost svojih Cloud rješenja.

22.5.13

“Vulnerability Assessment” ili “Vulnerability Management” (2. dio)


Prvi dio teksta možete pročitati ovdje

Najjednostavnija mjera otklanjanja računalnih ranjivosti je povremen pregled računalne mreže i resursa priključenih na mrežu a u cilju identifikacije ranjivosti unutar vlastite okoline. Ovaj postupak je poznat pod imenom “Vulnerability Assessment” – procjena ranjivosti. Postupak je relativno jednostavan: mora se koristiti koliko-toliko ugledan i pouzdan alat s odgovarajućom tehnikom detektiranja ranjivosti, npr. mrežnim skeniranjem, a iza čega stoje i značajne istraživačko/razvojne aktivnosti. Osoba zadužena za pregled sustava detektirati će nedostatke i dati nalog za njihovo otklanjanje. Ničeg jednostavnijeg, zar ne? U praksi su stvari ipak drugačije, iz dva razloga.

Prvo, otkrivanje ranjivosti je aktivnost odvojena od procesa primjene popravka, iako međusobne postoje. Drugo, osobe koje skeniraju mrežu i otkrivaju ranjivosti u praksi nemaju autoritet dati nalog za žurnu primjenu popravaka niti pozivati na red zbog neprimjenjivanja popravaka. Osobe koje možda imaju odgovarajući autoritet, ovakve će zahtjeve vrlo brzo premjeriti drugim pogledima na rizike izbljeđujući kritičnost nedostataka i izloženost prijetnjama. Na koncu, postoje i mnogi manje ili više opravdani razlozi za odgađanje popravaka – od njihovog nedostatka, preko ograničenih ljudskih resursa za cjelovitu promjenu pa do imperativa neprekinutog rada servera i aplikacije koji ne dozvoljavaju bilo kakvo iznenađenje. Stoga, kakva god se tehnika i metodologija procjene ranjivosti   koristila, u praksi nam ostaju brojni računalni propusti i ranjivosti. 

Zapravo, glavni cilj u postupku procjene računalnih ranjivosti nije njihovo žurno otklanjanje već njihovo dobro prepoznavanje, vrednovanje i prioritizacija, a što se postiže procesom upravljanja računalnim ranjivostima –  „Vulnerability Management“. 

Ovaj proces obuhvaća gore definiranu procjenu ranjivosti i nadovezuje se na glavni rezultat ovog postupka – identifikaciju ranjivosti unutar informacijskog sustava. Umjesto ultimativnog očekivanja provedbe potrebnih popravaka, na scenu stupa uravnotežen pristup koji se temelji na određivanju prioriteta primjene popravaka uvažavanjem dvaju faktora: kritičnosti/težini otkrivenih programskih propusta i poslovnom značaju resursa na kojemu je utvrđen programski propust. 

Valja istaknuti i specifične elemente ovog procesa:

  • Identifikacija ranjivosti mora uključivati i njegovu verifikaciju, dakle eliminaciju svih lažnih alarma i pogrešnih indikatora. To se postiže korištenjem profesionalnih alata ali i primjenom posebnih tehnika skeniranja koji osiguravaju dubinski uvid i točnost utvrđenih nalaza.
  • Potrebno je sagledati i pojedine značajke utvrđenih ranjivosti – način i stupanj jednostavnosti njihovog iskorištavanja, posljedice do kojih bi moglo doći njihovim iskorištavanjem, razmjere prisutnosti u vašoj okolini. Osobito je važno uzeti u obzir eventualnu dostupnost scenarij iskorištavanja (Exploit), a naročito ako je ovaj scenarij slobodno dostupan i primjenjiv i „laicima“ kakvih ima u svakom poslovnom okruženju.
  • Potrebno je procijeniti i mogućnost primjene popravaka – ne samo kroz dostupnost službenog popravka nego i kroz izostanak eventualnih prepreka za njihovu primjenu, najčešće uvjetovanih produkcijskim uvjetima za odgodu primjene popravaka ili nemogućnošću pouzdanog testiranja novih popravaka.

Većinu navedenih faktora moguće je utvrditi iz informacija o pojedinim ranjivostima, a dobar alat za procjenu ranjivosti mora sadržavati većinu traženih informacija. Takvi sustavi sadrže i kategorizaciju kritičnosti pojedinih ranjivosti, no predlažem uzeti u obzir i sustav ocjenjivanja prema radnom okviru  „Common Vulnerability Scoring System“ (CVSS).  

Po preciznoj valorizaciju svake utvrđene računalne ranjivosti može se pristupiti i sljedećem koraku: dodjeli zadataka nadležnim osobama za njihovo otklanjanje primjenom popravaka ili, alternativno, provedbom odgovarajućih kompenzacijskih mjera. Dodjela zadataka podrazumijeva preciznu definiciju rokova, a rok rješavanja će biti sukladan prije utvrđenoj kritičnosti ranjivosti. Na ovom mjestu važna su i svojstva sustava za upravljanje ranjivostima koje koristite: poželjno je postojanje mehanizma koji će automatski donositi ocjene prema gore navedenim kriterijima te upućivati radne naloge pravoj osobi uz odgovarajuće rokove.
Konačno, preostaje i ona nadzorna faza kroz koju se redovito prati postupak primjene popravaka, o čemu se izvještavaju nadležne osobe, uključujući i najviše rukovodstvo. 

Dakle, proces za upravljanje računalnim ranjivostima davno je prerastao mogućnosti alata za skeniranje mreže, a informatička potpora ovom procesu moguća je samo korištenjem složenih aplikativnih sustava u kojemu će važnu ulogu, pored tehnika otkrivanja ranjivosti, imati i odgovarajuća baza podataka, analitičko/izvještajne mogućnosti i višekorisnički sustav za dodjelu i praćenje naloga za provedbu promjena.

15.5.13

“Vulnerability Assessment” ili “Vulnerability Management” (1.dio)

Jedan od razloga zbog kojih je proces upravljanja informacijskim rizicima u svojevrsnom zastoju, a o čemu sam pisao u prethodnom tekstu, je i otežano donošenje objektivne i precizne ocjene o stanju ranjivosti informacijskog sustava. Takve se ocjene u praksi često donose paušalno (uostalom, kao i ocjene visine prijetnji) čime se i kroz percepciju rezultata procjene rizika provlači snažna nijansa paušalnosti.

Upoznatost s prisutnim računalnim ranjivostima važan je element, ne samo procjene rizika, nego i ukupnog programa sigurnosti informacijskog sustava. Ranjivosti informacijskog sustava mogu se prepoznati unutar proceduralno/organizacijskih mjera ili unutar korištenih tehničkih resursa. U ovom tekstu se bavim upravo tehničkim računalnim ranjivostima.

Tehničke ranjivosti mogu imati tri ishodišta.

Prva kategorija računalnih ranjivosti odnosi se na gotove aplikativne programe koji su izuzetno rasprostranjeni u suvremenoj informatici (sistemski programi i alati, korisnički programi, pomoćni programi…), a koje se instaliraju samo s nekoliko klikova – bez obzira jesu li komercijalnog, besplatnog, „open source“ ili nekog drugog porijekla. U takvim se programima programski propusti ili greške izuzetno česta pojava, a dolaze kako od pogrešnog ili površnog dizajna, tako i uslijed grešaka u programskom kodu. Takvi propusti se otklanjaju programskim popravcima ili novim verzijama programa, a u kritičnim i žurnim situacijama svojevrsnim zaobilaženjem ili čak privremenom obustavom ovih programa.

Druga kategorija računalnih ranjivosti se vezuje na mnoštvo konfiguracijskih postavki kojima određuje način rada gotovo svih operacijskih ili aplikativnih sustava, računala, mrežne opreme i svega onoga što se može nazvati računalni resurs. Ovdje zapravo ne govorimo o lošem dizajnu ili greškama  u izvedbi ovih sustava. Konfiguracijske postavke su legitiman način opisa ovih resursa, a s obzirom da zahtjevi korisnika mogu biti raznoliki, tako su i proizvođači predvidjeli šarolike postavke („za svakog ponešto“). Problem nastaje u onom trenutku kada proizvođači žele odgovoriti na različite apetite korisnika (npr. omogućiti jednostavnost ili funkcionalnost) zadržavanjem rizičnih postavki, što se u pravilu plaća nižom sigurnosti. Tako na primjer, legitimna postavka Windows računala (ili bilo kojeg drugog) omogućiti će vam pristup računalu lozinkom od samo četiri znaka ili čak bez lozinke, iako svaki imalo osvješteniji korisnik dobro zna da to povlači značajan rizik. Dodatni problem nastaje zbog toga što su problematične vrijednosti konfiguracijskih parametara često i polazne („default“) vrijednosti mnogih kritičnih funkcija ili mehanizama.

Treća kategorija računalnih ranjivosti nalazi se unutar web aplikacija. Web aplikacije sam izdvojio iz prve kategorije iz razloga što je proces razvoja a naročito testiranja vezan za same korisnike (što recimo kod razvoja Office programa ili web preglednika nije slučaj – to je u potpuno u nadležnosti autora programa odnosno tvrtki koji objavljuju gotove programske pakete), a samim time i izrade popravaka (iako postoje određeni izuzetci kod kojih su korisnicima ruke uglavnom vezane, npr. korištenje gotovih „content management“ sustava). Web aplikacije su i posebno kritične zato što one zauzimaju izloženu poziciju u javnom prostoru i izuzetno su zahvalne kao poligon brojnim anonimnim napadačima jer za malo truda mogu pružiti značajan dobitak.

Svaka od navedenih kategorija ima svoje specifičnosti, način manifestacije i tehniku iskorištavanje, no zajedničko im je značajna prisutnost u brojnim informacijskim sustavima, bilo na unutarnjem dijelu bilo na perimetarskom dijelu mreže. Napadači, naročito oni koji svoj rad temelje na uspješnom poslovnom modelu „cybercrime“ ekonomije znaju kako brzo i efikasno iskoristiti ove nedostatke. Stoga sigurnosne norme, najbolje prakse i regulatori jednoglasni: računalne ranjivosti se moraju otklanjati u najkraćem mogućem roku.

Nastavlja se...

2.5.13

“Hype Cycle” procesa upravljanja informacijskim rizicima

Je li proces upravljanja informacijskim rizicima ispunio očekivanja koja su pred ovu disciplinu postavljena prije desetak godina, kada je sazrijevala svijest o tome da se odluka o pokretanju sigurnosnih inicijativa mora usklađivati s potencijalnim poslovnim gubicima, pri čemu zadnju riječ ima uprava organizacije? Posebno me zanima odgovor na ovo pitanje u našem domaćem okruženju.

S obzirom da se u vlastitom profesionalnom radu direktno ili indirektno referiram na proces upravljanja informacijskim rizicima (što je u značajnom razdoblju ovog rada popraćeno i tekstovima na ovom blogu), odgovor na ovo pitanje odrediti ću primjenom krivulje poznate kao “Hype Cycle” na prihvaćenost procesa upravljanja informacijskim rizicima u našem okruženju.

“Hype Cycle” je osobito poznat iz analiza tvrtke Gartner i jedan je od najutjecajnijih alata kada se govori o trendovima u informacijskim tehnologijama (dijeli prvo mjesto s poznatim kvadrantom iste tvrtke). Hype Cycle je krivulja kojom se opisuje status određenog područja informacijskih tehnologija na tržištu kroz procjenu prihvaćenosti i zrelosti korištenja ovih tehnologija. Gartner primjenjuje ovu procjenu na gotovo sve trendove u informacijskim tehnologijama, bilo da se radi o obećavajućim tehnologijama u nastanku ili već etabliranim i dokazanim trendovima.

“Hype Cycle” je prikazan na slici  koja se nalazi nekoliko poglavlja niže, a možemo ga protumačiti prema opisu iz nastavka teksta.

Trenutak uvođenja nove tehnologije i generiranja/izazivanja inicijalne potrebe za ovom tehnologijom naziva se “Technology Trigger”. Djelovanjem niza faktora (od poslovnih zahtjeva, medijske promidžbe pa do regulatornog inzistiranja) te uspješnim stvaranjem svijesti o potrebi, očekivanja od novih tehnologija će dosegnuti svoj zvjezdani trenutak (“Peak of Inflated Expectations”). Ubrzo potom, balon očekivanja se ispuhuje i status novih tehnologija pada u suprotnu točku (“Trough of Disillusionment”). Mnoge tehnologije neće dosegnuti ni inicijalni vrhunac, a naročito će se teško izvući i iz suprotne faze. Ipak, odlika stabilnih i opravdanih tehnologija je postupni prelazak u fazu zrele upotrebe. Faza “Slope of Elightenment” označava razdoblje u kojem se naknadno potvrđuju nove inačice neke tehnologije ili u kojem se percepcija tržišta mijenja pozitivno u odnosu na tehnologiju. Na koncu, imamo i fazu "Plateau of Productivity"  u kojoj se u potpunosti etablira upotreba određene tehnologije.

Naravno, proces upravljanja informacijskim rizicima nije tehnologija pa se može donekle osporiti primjena “Hypy Cycle” krivulje u ovom slučaju, no smatram da se ovim modelom može djelotvorno opisati percepcija informacijskih rizika u našem okruženju.

“Hype Cycle” upravljanja informacijskim rizicima (u hrvatskom okruženju i osobito u bankarskom sektoru) prikazan je na sljedećoj slici:





Na našoj krivulji vidimo tri glavne točke, pomoću kojih sam proces upravljana informacijskim rizicima smjestio u određena vremenska razdoblja.

Točka 1. (“Technology Trigger”) seže u 2007. i označava razdoblje u kojem tema informacijskih rizika postaje redovita tema mnogih diskusija o informacijskoj sigurnosti. Nekoliko je momenata bilo zaslužno za takvu promociju - praktične aktivnosti na provedbi procesa primjene normi ISO 27001, te osobito aktivnosti HNB-a na uvođenju mjera informacijske sigurnosti u hrvatskim bankama (prema dokumentima Smjernice za upravljanje informacijskim rizicima u cilju smanjenja operativnih rizika iz 2006. i Odluka o primjerenom upravljanju informacijskim sustavom iz 2007.).

Početni entuzijazama rezultirao je svojevrsnim vrhuncem ove problematike koju vidimo u točki 2. (“Peak of Inflated Expectations”) a smjestili smo je u 2011. godinu. Ova je faza označena ili barem najavljena novom verzijom Odluka HNB-a o primjerenom upravljanju informacijskim sustavom iz 2010. te sve većom agilnošću regulatora, unutarnjih i vanjskih revizora, ali i pojačanom svijesti osoba zaduženih za informacijsku sigurnost u našim bankama.

Ipak, dvije godine kasnije možemo reći da je proces upravljanja informacijskim rizicima dosegao ili ubrzano dosiže suprotnu fazu prikazanu točkom 3. ("Trough of Disillusionment"). Nadam se da mi kolege neće zamjeriti na negativnoj percepciji ove discipline, no moj se zaključak temelji na uočenoj činjenici da upravljanje rizicima informacijskog sustava nije nikad postao dio mainstream aktivnosti poslovnog rukovodstva, već isključivo specifična zadaća stručnih informatičkih službi.

Zanimljiva je uloga i regulatornih akata (mislim prije svega na dokument HNB-a Odluka o primjerenom upravljanju informacijskim sustavom). Dvije verzije ovog dokumenta (iz 2006. i 2010.) imale su najznačajnije promjene upravo u poglavlju koji opisuje upravljanje informacijskim rizicima. Dok je u prvoj verziji upravljanje rizicima bilo opisano na tragu prethodno donesenih Smjernica za upravljanje informacijskim rizicima u cilju smanjenja operativnih rizika iz 2006. a disciplina upravljanja rizicima je definirana sukladno standardnoj profesionalnoj praksi (npr. prema normi ISO 27001), druga verzija Odluke o primjerenom upravljanju informacijskim sustavom iz 2010. integrira upravljanje rizicima informacijskog sustava sa sveobuhvatnim procesom upravljanja rizicima kojima je izloženo bankarsko poslovanje i sa sustavom unutarnjih kontrola (dakle, bliže “Enterpirse Risk Management” okviru). Smatram da je ovaj pomak izuzetno važan i da na pravi način repozicionira upravljanje informacijskim rizicima. Na žalost, praksa za sada ne slijedi ove trendove pa je upravljanje informacijskim rizicima još uvijek proces izdvojen od ukupnog upravljanja rizicima poslovanja. Rezultati procjene informacijskih rizika za sada još uvijek ne koriste jezik managementa za plastični prikaz mogućih rizika, a management ionako ove rezultate ne vidi kao vlastito štivo.

Određenu krivnju za ovakav status ima i tek formalno prihvaćanje “kulture usklađenosti” kojom se kao glavni cilj postavlja prihvaćenost od strane regulatora, a ne napredak stanja sigurnosti i redukcije rizika informacijskih tehnologija.

Postoje i drugi razlozi za takvu percepciju upravljanja informacijskim rizicima, koji pojedinačno možda nemaju kritičan utjecaj, ali njihovo kumulirano djelovanje je veoma vidljivo: nemogućnost i nesposobnost prave procjene vrijednosti informacijske imovine, nemogućnost ili nesposobnost procjene stvarne visine prijetnji kojima je izložena informacijska imovina (naročito onih prijetnji koje sadrže određenu razinu dodijeljenog povjerenja), neprepoznavanje stvarnih događaja ugrožavanja informacijske imovine...

Stručnjaci u čijoj je nadležnosti upravljanje rizicima morali bi svakako približiti opis informacijskih rizika svakodnevnom jeziku managementa, a argumentaciju potkrijepiti stvarnim i dubinskim podacima o stanju informacijskog sustava, te odgovarajućom metrikom.

“Enterprise risk management” koji predstavlja suštinu sveobuhvatnih upravljanja rizicima u bankarskom poslovanju i kojemu se mora prilagoditi upravljanje informacijskim rizicima je posebna tema i zahtijeva puno više mjesta za analizu, a vjerujem i da managementu treba vremena za uhodavanje svih procesa. Ipak, ako se vratimo na “Hype Cycle”, smatram da upravljanje informacijskim rizicima može i mora krenuti prema fazi “Plateau of Productivity".