Nešto veći razmak od prethodnog teksta na blogu sam, osim za redovite poslovne aktivnosti, iskoristio i za daljnji razvoj poslovanja moje tvrtke. Jedan od rezultata ove aktivnosti je značajno unaprjeđenje suradnje s tvrtkom Thycotic Software. S ovom tvrtkom surađujem preko godinu dana, no krajem ljeta je Borea stekla status Thycotic Certified Partner.
Thycotic Software je najpoznatiji po svom rješenju Secret Server - sustavu za pohranu i upravljanje zaporkama privilegiranih korisničkih računa. Upotreba privilegiranih korisničkih računa u sebi nosi možda najznačajnije rizike od internog ugrožavanja sigurnosti informacijskog sustava. To su pristupna prava koja koriste administratori mrežnih, poslužiteljskih, database i drugih kritičnih resursa informatičke infrastrukture. Secret Server značajno pojačava sigurnosne mehanizme kod pristupa lozinkama ovih korisničkih računa, a sofisticirani mehanizmi evidentiranja i nadzora značajno olakšavaju praćenje, ali i djeluju preventivno te efikasno odvraćaju osobe koje su u iskušenju kompromitirati dodijeljena im prava.
Thycotic Secret Server igra značajnu ulogu u integraciji sa drugim sustavom kojeg Borea ima u ponudi - sa SaaS rješenjem QualysGuard. Naime, integracijom ovih sustava moguće je zaporke koje se koriste u autenticiranom skenu pohraniti unutar lokalne mreže, a ne u Qualysovom oblaku, što predstavlja značajni poticaj za iskorištavanje svih mogućnosti sustava QualysGuard.
Više o svojstvima sustava Thycotic Secret Server možete pronaći na stranicama ove tvrtke ili na stranicama Boree. Naravno, možete mi se javiti mailom ili telefonom za svaku dodatnu informaciju, ako želite vidjeti ovaj sustav u živom radu ili ako želite i sami isprobati Secret Server.
Prikazani su postovi s oznakom Insajderske prijetnje. Prikaži sve postove
Prikazani su postovi s oznakom Insajderske prijetnje. Prikaži sve postove
13.10.11
Insideri: T(r)ajna prijetnja vašim podacima
22.9.2011. sudjelovao sam na petoj konferenciji Sagena Security Day. Na konferenciji sam održao prezentaciju Insideri: T(r)ajna prijetnja vašim podacima. Prezentacija je ovih dana objavljena na stranici konferencije i možete je preuzeti u pdf formatu.
Prezentacija koju sam održao predstavlja sažetak preporuka koje savjetujem u postupku procjene rizika, a odnose se na specifičnu tematiku insidera. Naime, primijetio sam da se mnoge organizacije prioritetno bave događajima koje rezultiraju ugrožavanjem dostupnosti. To je lako objašnjivo: kvarovi opreme, te prekidi ili ispadi infrastrukture su bliži općoj percepciji i lakše ih je opisati. Insideri spadaju u domenu nepoznatoga i nedostaju instrumenti za njihovo dobro opisivanje i procjenu potencijala.
Prezentacija je trajala gotovo 60 minuta i priloženi tekst ne sadrži popratno tumačenje koje sam tom prilikom iznio. Ipak, vjerujem da će vam biti jasne glavne smjernice, a slobodno se javite za sva druga tumačenja.
Prezentacija koju sam održao predstavlja sažetak preporuka koje savjetujem u postupku procjene rizika, a odnose se na specifičnu tematiku insidera. Naime, primijetio sam da se mnoge organizacije prioritetno bave događajima koje rezultiraju ugrožavanjem dostupnosti. To je lako objašnjivo: kvarovi opreme, te prekidi ili ispadi infrastrukture su bliži općoj percepciji i lakše ih je opisati. Insideri spadaju u domenu nepoznatoga i nedostaju instrumenti za njihovo dobro opisivanje i procjenu potencijala.
Prezentacija je trajala gotovo 60 minuta i priloženi tekst ne sadrži popratno tumačenje koje sam tom prilikom iznio. Ipak, vjerujem da će vam biti jasne glavne smjernice, a slobodno se javite za sva druga tumačenja.
8.1.11
Spavači
Današnji Jutarnji list donosi članak "Za tržišni uspjeh sve je potrebniji privatni detektiv" koji govori o razvoju industrijske špijunaže u Hrvatskoj (usput, u članku se ova aktivnost zove "Business Intelligence" što u informatičkom žargonu znači nešto sasvim drugo). Članak donosi razgovor s vlasnikom zagrebačke detektivske agencije koji govori da sve više poslovnih ljudi traži usluge prikupljanja podataka o konkurentskim tvrtkama. Detektivi ove tvrtke, između ostalog, pronalaze "spavače" među zaposlenicima istraživanih tvrtki koji odaju poslovne tajne konkurenciji. Saznali smo da nemali broj stranih tvrtki traži usluge ove agencije. Također, saznali smo da je prošla godina zabilježila porast zahtjeva za ovim uslugama.
Optimisti će reći da je ovo dobra vijest za ekonomiju u cjelini. Do sada je najveća zaštita od insiderskih prijetnji bila činjenica da naše tvrtke nemaju ništa ponuditi konkurenciji, a, kako sada izgleda, stvari se mijenjaju i konkurentnost naših tvrtki se pojačava. Realisti će, pak, reći da se ipak, možda, radi o banalnijim informacijama koje imaju značaja za konkurenciju, npr. o popisu kupaca ili o cijenama s kojima se izlazi na javni natječaj. Treba također znati da ova djelatnost može uključivati i prikupljanje osobnih podataka, npr. stanja računa ili troškove na karticama partnera u slučaju brakorazvodnih parnica ili pak provjere potencijalnih zaposlenika.
No, ne ulazeći u motivaciju iza indistrijske špijunaže, smatram da članak može poslužiti kao odličan materijal praktičarima procjene informacijskih rizika. Naime, opasnost od insidera u našim tvrtkama se u pravilu podcjenjivala jer, kao, insideri nemaju toliko motiva za svoj rad, najviše što ih zanima su plaće svojih kolega ili računi poznatih klijenata, a to se može lako zaštiti i kontrolirati. Članak nam pokazuje da je aktivno regrutiranja spavača koji inače to ne bi nikad postali naša stvarnost, a jasno je da postoji i mehanizam učinkovite motivacije insidera/spavača.
Naravno, treba biti jasno da današnja industrijska špijunaža prije svega cilja na podatke u digitalnom obliku, na baze podatka, na dokumente smještene na serverima. Ono što je za teoretičare tek istraživanje konkurentskih prednosti, za žrtve to može biti računalni kriminal ili barem opipljiv razloga za otkaz, u svakom slučaju značajna poslovna šteta. Za ljude iz informatičke sigurnosti je ovo svakako znak da moraju dodatno otvoriti oči.Ako vrijedne informacije nisu insiderima odmah dostupne, postoje brojne tehnike kako se može doći do ovih informacija. Ove tehnike ne moraju biti velika mudrost i vanjski "motivatori" će spavače lako obučiti (to se obično naziva "low-tech hacking").
Ovdje prestaje svaka sličnost s WikiLeaksom - ako vam je tako nešto i palo napamet čitajući ovo. Industrijska špijunaža svoje informacije ne pušta na Mrežu, a, za razliku od američke vlade, žrtve indistrijske špijunaže možda nikad neće saznati da su ikada postali žrtve.
Optimisti će reći da je ovo dobra vijest za ekonomiju u cjelini. Do sada je najveća zaštita od insiderskih prijetnji bila činjenica da naše tvrtke nemaju ništa ponuditi konkurenciji, a, kako sada izgleda, stvari se mijenjaju i konkurentnost naših tvrtki se pojačava. Realisti će, pak, reći da se ipak, možda, radi o banalnijim informacijama koje imaju značaja za konkurenciju, npr. o popisu kupaca ili o cijenama s kojima se izlazi na javni natječaj. Treba također znati da ova djelatnost može uključivati i prikupljanje osobnih podataka, npr. stanja računa ili troškove na karticama partnera u slučaju brakorazvodnih parnica ili pak provjere potencijalnih zaposlenika.
No, ne ulazeći u motivaciju iza indistrijske špijunaže, smatram da članak može poslužiti kao odličan materijal praktičarima procjene informacijskih rizika. Naime, opasnost od insidera u našim tvrtkama se u pravilu podcjenjivala jer, kao, insideri nemaju toliko motiva za svoj rad, najviše što ih zanima su plaće svojih kolega ili računi poznatih klijenata, a to se može lako zaštiti i kontrolirati. Članak nam pokazuje da je aktivno regrutiranja spavača koji inače to ne bi nikad postali naša stvarnost, a jasno je da postoji i mehanizam učinkovite motivacije insidera/spavača.
Naravno, treba biti jasno da današnja industrijska špijunaža prije svega cilja na podatke u digitalnom obliku, na baze podatka, na dokumente smještene na serverima. Ono što je za teoretičare tek istraživanje konkurentskih prednosti, za žrtve to može biti računalni kriminal ili barem opipljiv razloga za otkaz, u svakom slučaju značajna poslovna šteta. Za ljude iz informatičke sigurnosti je ovo svakako znak da moraju dodatno otvoriti oči.Ako vrijedne informacije nisu insiderima odmah dostupne, postoje brojne tehnike kako se može doći do ovih informacija. Ove tehnike ne moraju biti velika mudrost i vanjski "motivatori" će spavače lako obučiti (to se obično naziva "low-tech hacking").
Ovdje prestaje svaka sličnost s WikiLeaksom - ako vam je tako nešto i palo napamet čitajući ovo. Industrijska špijunaža svoje informacije ne pušta na Mrežu, a, za razliku od američke vlade, žrtve indistrijske špijunaže možda nikad neće saznati da su ikada postali žrtve.
9.12.10
WikiLeaks - pogled sa stajališta informacijske sigurnosti
WikiLeaks nam ovih dana curi iz svih medija, znamo mnoge pikanterije američke diplomacije, zabavljaju nas reakcije lokalnih političara širom svijeta, a doznali smo podosta i o seksualnom životu Juliana Assangea. No, nisam našao previše informacija o jednoj važnoj temi koja će zanimati mnoge od vas: kako se moglo desiti da jedna velika informatička sila kao što je američka administracija napravi takav propust? Je li WikiLeaks uzrokovan banalnom nesmotrenošću informatičara ili pak sofisticiranom akcijom insidera?
Nisam naravno imao priliku upoznati informatičke sustave američke vlade, no iz različitih je izvora moguće rekonstruirati uzroke i tijek najznačajnije krađe podataka do sada.
Kako se desilo da ogromna količina povjerljivih podataka bude izložena i da nitko ne otkrije kontinuiranu krađu ovih podataka? Korijeni ovog slučaja su vezani za događaje 11. rujna 2001. Naime, američka je vlada nakon terorističkih napada bila izložena kritici zbog nefikasnog rada obavještajne zajednice. Navodno, postojale su određene "sirove" informacije koje su ukazivale na moguće napade na ciljeve u Sjedinjenim Državama, no nisu bile dostupne analitičarima koji bi ih mogli protumačiti na pravi način. Da bi u budućnosti spriječili nastanak takvog informativnog vakuma, američka je vlada odlučila povezati brojne državne agencije - osobito Pentagon i State Department, a informacije koje one prikupljaju učiniti međusobno dostupnima.
U godinema koje su slijedile, SIPRnet - državna varijanta Internet mreže, no izolirana od javne mreže i znatno sigurnija, povezala je različite agencije američke vlade, vojske i obavještajne zajednice. Ovaj svojevrstan "crowdsourcing" projekt, bio je motiviran željom da se što bolje iskoristi potencijal informacija koje dostavlja brojna diplomatska, vojna i obavještajna mreža širom svijeta. No, kao i svaki inovativan informatički projekt, tako je i ovaj, pored potencijalnih doprinosa, nosio i rizike. Glavni rizik, u ovom slučaju, vezan je za problem dosljedne kontrole pristupa materijalima koji se nalaze na mreži. Na SIPRnet mreži bili su dostupni materijali klasificirani oznakom SECRET (materijali s oznakom TOP SECRET nalaze se na drugoj, odvojenoj i posebno štićenoj mreži), a pristup materijalima imaju vladini službenici ili pripadnici vojske koji su prošli odgovarajuću provjeru ("clearance"). Svi vi koji ste se susreli s problematikom klasifikacije i kontrole pristupa nestrukturiranim podacima (dokumenti, tekstualne datoteke...) znate da je gotovo nemoguće napraviti striktnu kontrolu prava pristupa na razini dokumena: to u pravilu unosi značajan dodatni napor i nove troškove, ali ograničava dostupnost i iskoristivost dokumenata. Primjena principa "need-to-know" - dakle da pojedinom korisniku bude omogućen pristup samo do onih informacija koje su neophodne za njegov posao, gotovo je nemoguća misija. Široka dostupnost i labava kontrola pristupa bili su, dakle, preduvjet uspjeha projekta američke vlade, a sigurnost podataka temeljila se na povjerenju koje je dodjeljeno korisnicima.
Bilo je, naravno, pitanje vremena kada će podaci procuriti.
Wikileaks je sredinom godine objavio brojne povjerljive dokumente vezane za rat u Iraku i Afganistanu. Dokumente je, prema vlastitom priznanju - pogledajte odličan tekst iz Wired-a, prikupio i proslijedio WikiLeaks-u pripadnik američke vojske, 22-godišnji obavještajni analitičar Bradley Manning. Prije nekoliko tjedana, WikiLeaks je objavio i povjerljive poruke američkih diplomata, smatra se da je i ovu skupinu dokumenata prikupio Manning, iako se on u ovom slučaju nije istrčao s priznanjem a WiliLeaks naravno nije otkrio izvor informacija..
Povjerljivi podaci o ratu u Iraku i Afganistanu i diplomatske poruke su smještene u bazama podataka na različitim serverima SIPRneta. Mannning je imao pristup na oba sustava, a podataka nije nedostajalo. Gotovo da nisu prethodno filtrirani. Istina, treba reći da su dokumenti koji su išli prema vrhu američke vlasti i vojnom vrhu bili klasificirani kao TOP SECRET i nisu bili na ovim sustavima, niti su dostupni putem SIPRnet-a (zato su neki i lagano razočarani što su kroz WikiLeaks procurile tek sitnije ribe). Ipak, Manning je i bez najpovjerljivijih podataka imao dosta materijala, a dokumenti o ratu u Iraku su bili osobito šokantni. Treba primjetiti da većina podataka kojima je mogao pristupiti, Manningu nisu nimalo trebali u svakodnevnom poslu, no to je posljedica nemogućnosti dosljedne primjene principa "need-to-know".
Manning je, prema vlastitoj izjavi, podatke je kopirao na CD-RW diskove, a potom na drugom mjestu prenosio podatke na USB memorije. Treba reći da sigurnosna pravila američke vojske nalažu veoma strogu primjenu mjera fizičke zaštite pa se postavlja pitanje kako je Manning mogao unijeti CD u zaštićeni radni prostor gdje se nalazilo računalo s pristupom SIPRnet-u. Odgovor je jednostavan - Manning je bio na službi u Iraku gdje je i izvukao podatke. Smatra se da se mjere informatičke zaštite na lokacijama izvan stalnih vojnih baza u SAD-u i svijetu ne provode dosljedno i striktno. Tako je, izgleda, bilo i u stožeru u Iraku gdje je radio Manning, koji nije imao problema oko unosa medija u štićeni prostor. Kako i sam kaže, bio je iznenađen niskom razinom mjera informacijske sigurnosti i činjenicom da nitko nije uočio krađu podataka. Smtram velikim propustom i činjenicu da je računalo s kojeg je Manning pristupio SIPRnet-u, a koje je trebalo biti konfigurirano prema veoma strogim i ograničavajućim pravilima, imalo CD pisač.
Iz ovog slučaja možemo prepoznati tri glavna momenta koji se obično ponavljaju u slučajevima insiderskih prijetnji.
Prvo, ne samo da situacija čini lopova nego i okolina može djelovati kao značajan katalizatorski moment za insiderske prijetnje. Osobito u vojsci, gdje stresne situacije u kojima se mogu naći vojnici na službi ili zadacima izvan matične zemlje, djeluju kao poticaj za akcije koje je manifestirao Manning.
Drugo, vi možete kontrolirati pristup resursima informacijskog sustava ali ne možete kontrolirati trošenje povjerenja koje ste dodjeliti svom korisniku.
I treće: mjere fizičke kontrole su često najjača mjera zaštite od insiderskih prijetnji.
Nisam naravno imao priliku upoznati informatičke sustave američke vlade, no iz različitih je izvora moguće rekonstruirati uzroke i tijek najznačajnije krađe podataka do sada.
Kako se desilo da ogromna količina povjerljivih podataka bude izložena i da nitko ne otkrije kontinuiranu krađu ovih podataka? Korijeni ovog slučaja su vezani za događaje 11. rujna 2001. Naime, američka je vlada nakon terorističkih napada bila izložena kritici zbog nefikasnog rada obavještajne zajednice. Navodno, postojale su određene "sirove" informacije koje su ukazivale na moguće napade na ciljeve u Sjedinjenim Državama, no nisu bile dostupne analitičarima koji bi ih mogli protumačiti na pravi način. Da bi u budućnosti spriječili nastanak takvog informativnog vakuma, američka je vlada odlučila povezati brojne državne agencije - osobito Pentagon i State Department, a informacije koje one prikupljaju učiniti međusobno dostupnima.
U godinema koje su slijedile, SIPRnet - državna varijanta Internet mreže, no izolirana od javne mreže i znatno sigurnija, povezala je različite agencije američke vlade, vojske i obavještajne zajednice. Ovaj svojevrstan "crowdsourcing" projekt, bio je motiviran željom da se što bolje iskoristi potencijal informacija koje dostavlja brojna diplomatska, vojna i obavještajna mreža širom svijeta. No, kao i svaki inovativan informatički projekt, tako je i ovaj, pored potencijalnih doprinosa, nosio i rizike. Glavni rizik, u ovom slučaju, vezan je za problem dosljedne kontrole pristupa materijalima koji se nalaze na mreži. Na SIPRnet mreži bili su dostupni materijali klasificirani oznakom SECRET (materijali s oznakom TOP SECRET nalaze se na drugoj, odvojenoj i posebno štićenoj mreži), a pristup materijalima imaju vladini službenici ili pripadnici vojske koji su prošli odgovarajuću provjeru ("clearance"). Svi vi koji ste se susreli s problematikom klasifikacije i kontrole pristupa nestrukturiranim podacima (dokumenti, tekstualne datoteke...) znate da je gotovo nemoguće napraviti striktnu kontrolu prava pristupa na razini dokumena: to u pravilu unosi značajan dodatni napor i nove troškove, ali ograničava dostupnost i iskoristivost dokumenata. Primjena principa "need-to-know" - dakle da pojedinom korisniku bude omogućen pristup samo do onih informacija koje su neophodne za njegov posao, gotovo je nemoguća misija. Široka dostupnost i labava kontrola pristupa bili su, dakle, preduvjet uspjeha projekta američke vlade, a sigurnost podataka temeljila se na povjerenju koje je dodjeljeno korisnicima.
Bilo je, naravno, pitanje vremena kada će podaci procuriti.
Wikileaks je sredinom godine objavio brojne povjerljive dokumente vezane za rat u Iraku i Afganistanu. Dokumente je, prema vlastitom priznanju - pogledajte odličan tekst iz Wired-a, prikupio i proslijedio WikiLeaks-u pripadnik američke vojske, 22-godišnji obavještajni analitičar Bradley Manning. Prije nekoliko tjedana, WikiLeaks je objavio i povjerljive poruke američkih diplomata, smatra se da je i ovu skupinu dokumenata prikupio Manning, iako se on u ovom slučaju nije istrčao s priznanjem a WiliLeaks naravno nije otkrio izvor informacija..
Povjerljivi podaci o ratu u Iraku i Afganistanu i diplomatske poruke su smještene u bazama podataka na različitim serverima SIPRneta. Mannning je imao pristup na oba sustava, a podataka nije nedostajalo. Gotovo da nisu prethodno filtrirani. Istina, treba reći da su dokumenti koji su išli prema vrhu američke vlasti i vojnom vrhu bili klasificirani kao TOP SECRET i nisu bili na ovim sustavima, niti su dostupni putem SIPRnet-a (zato su neki i lagano razočarani što su kroz WikiLeaks procurile tek sitnije ribe). Ipak, Manning je i bez najpovjerljivijih podataka imao dosta materijala, a dokumenti o ratu u Iraku su bili osobito šokantni. Treba primjetiti da većina podataka kojima je mogao pristupiti, Manningu nisu nimalo trebali u svakodnevnom poslu, no to je posljedica nemogućnosti dosljedne primjene principa "need-to-know".
Manning je, prema vlastitoj izjavi, podatke je kopirao na CD-RW diskove, a potom na drugom mjestu prenosio podatke na USB memorije. Treba reći da sigurnosna pravila američke vojske nalažu veoma strogu primjenu mjera fizičke zaštite pa se postavlja pitanje kako je Manning mogao unijeti CD u zaštićeni radni prostor gdje se nalazilo računalo s pristupom SIPRnet-u. Odgovor je jednostavan - Manning je bio na službi u Iraku gdje je i izvukao podatke. Smatra se da se mjere informatičke zaštite na lokacijama izvan stalnih vojnih baza u SAD-u i svijetu ne provode dosljedno i striktno. Tako je, izgleda, bilo i u stožeru u Iraku gdje je radio Manning, koji nije imao problema oko unosa medija u štićeni prostor. Kako i sam kaže, bio je iznenađen niskom razinom mjera informacijske sigurnosti i činjenicom da nitko nije uočio krađu podataka. Smtram velikim propustom i činjenicu da je računalo s kojeg je Manning pristupio SIPRnet-u, a koje je trebalo biti konfigurirano prema veoma strogim i ograničavajućim pravilima, imalo CD pisač.
Iz ovog slučaja možemo prepoznati tri glavna momenta koji se obično ponavljaju u slučajevima insiderskih prijetnji.
Prvo, ne samo da situacija čini lopova nego i okolina može djelovati kao značajan katalizatorski moment za insiderske prijetnje. Osobito u vojsci, gdje stresne situacije u kojima se mogu naći vojnici na službi ili zadacima izvan matične zemlje, djeluju kao poticaj za akcije koje je manifestirao Manning.
Drugo, vi možete kontrolirati pristup resursima informacijskog sustava ali ne možete kontrolirati trošenje povjerenja koje ste dodjeliti svom korisniku.
I treće: mjere fizičke kontrole su često najjača mjera zaštite od insiderskih prijetnji.
29.4.09
Revizija u razdoblju pohlepe
Jedna od tema koje rado opisujem na ovim stranicama su slučajevi insajderskog računalnog kriminala. Pri tome obrađujem publicirane i, uglavnom, inozemne slučajeve (što naravno uopće ne znači da i mi nemamo konje za trku).
Najfriškiji i veoma ilustrativan primjer vezan je za posrnulu indijsku outsourcing tvrtku Satyam. Za neupućene, Satyam je jedan od najvećih primjera korporativne prijevare u posljednje vrijeme. Na naslovnice su izbili početkom godine, kada je utvrđeno da su u duljem razdoblju iskazivali napuhane poslovne rezultate. Klupko se počelo razmotavati nakon prošlogodišnjih sumnjivih poslovnih poteza kojima su izazvali dioničare.
Neću ulaziti u financijske detalje same prijevare, više o možete naći na ovoj stranici. Za nas priča počinje izvještajem o analizi ovog slučaja koji je objavljen početkom ovog tjedna. Kako javlja InformationWeek, Satyam je generirao oko 7.500 lažnih faktura klijentima čime je poslovne rezultate pokazao znatno boljim nego što su bili (i što je naravno utjecalo na cijenu dionica ove tvrtke). Za ove stranice je osobito zanimljiv način generiranja ovih faktura: Satyam (ponavljam još jednom - IT outsourcing firma sa 40.000 zaposlenih, a razvoj aplikacija im je jedna od središnjih kompetencija) nedozvoljeno je modificirao vlastite poslovne aplikacije i omogućio kreiranje lažnih faktura ali tako da njihovo postojanje ne izazove sumnju i tako da budu izdvojene od realnih transakcija (pogađate zašto: lažne fakture nisu nikad bile naplaćene). Na taj način je prikazan prihod od 946 milijuna USD.
Ovaj slučaj je dobar primjer kojim revizori uvijek mogu opravdati svoje inzisitranje na reviziji postupka upravljanja aplikativnim promjenama, što se često smatra dosadnim inzistiranjem na formalnim detaljima. Naime, veoma je teško provesti striktnu kontrolu procesa upravljanja promjenama. Mjere mogu biti presložene za manje i srednje organizacije (izolacija razvojne, testne i produkcijske okoline; zaštita programskih biblioteka; stroga definicija i dodjela korisničkih prava; odvajanje pristupnih privilegija; formalna procedura...), što i za velike organizacije često predstavlja ograničenje.
No, ovaj slučaj pokazuje i nedostatke same revizije provedene u Satyamu.
Prvi nedostatak se odnosi na reviziju procesa upravljanja promjenama u Satyamu. Ne znam koliko je detaljno napravljena revizija ovog procesa, no kada se ovakva prijevara dogovori na najvišoj razini i kada je u scenarij uključeno više ljudi s odgovarajućim pravima (a očigledno je da je u Satyamu bio takav slučaj), onda redovita revizija općih kontrola IS-a teško može dati rezultate.
Druga revizorska greška se zapravo pokazala ključnom: revizor je propustio, a svakako je morao, utvrditi da 7.500 faktura nije pokriveno prihodom na računu u banci.
Granica između financijske revizije i revizije informacijskih sustava je, govoreći rječnikom politike, veoma meka. Poznavanje i jedne i druge strane medalje je neohodno za uspjeh revizije.
No, ipak treba reći da je prijevara u Satyamu ponajprije bila omogućena pohlepom i prividnim dobrim rezultatima koji su, uostalom kao i u drugim segmentima ali u istim vremenima, zasigurno spriječili dioničare da na vrijeme pogledaju istinu.
Najfriškiji i veoma ilustrativan primjer vezan je za posrnulu indijsku outsourcing tvrtku Satyam. Za neupućene, Satyam je jedan od najvećih primjera korporativne prijevare u posljednje vrijeme. Na naslovnice su izbili početkom godine, kada je utvrđeno da su u duljem razdoblju iskazivali napuhane poslovne rezultate. Klupko se počelo razmotavati nakon prošlogodišnjih sumnjivih poslovnih poteza kojima su izazvali dioničare.
Neću ulaziti u financijske detalje same prijevare, više o možete naći na ovoj stranici. Za nas priča počinje izvještajem o analizi ovog slučaja koji je objavljen početkom ovog tjedna. Kako javlja InformationWeek, Satyam je generirao oko 7.500 lažnih faktura klijentima čime je poslovne rezultate pokazao znatno boljim nego što su bili (i što je naravno utjecalo na cijenu dionica ove tvrtke). Za ove stranice je osobito zanimljiv način generiranja ovih faktura: Satyam (ponavljam još jednom - IT outsourcing firma sa 40.000 zaposlenih, a razvoj aplikacija im je jedna od središnjih kompetencija) nedozvoljeno je modificirao vlastite poslovne aplikacije i omogućio kreiranje lažnih faktura ali tako da njihovo postojanje ne izazove sumnju i tako da budu izdvojene od realnih transakcija (pogađate zašto: lažne fakture nisu nikad bile naplaćene). Na taj način je prikazan prihod od 946 milijuna USD.
Ovaj slučaj je dobar primjer kojim revizori uvijek mogu opravdati svoje inzisitranje na reviziji postupka upravljanja aplikativnim promjenama, što se često smatra dosadnim inzistiranjem na formalnim detaljima. Naime, veoma je teško provesti striktnu kontrolu procesa upravljanja promjenama. Mjere mogu biti presložene za manje i srednje organizacije (izolacija razvojne, testne i produkcijske okoline; zaštita programskih biblioteka; stroga definicija i dodjela korisničkih prava; odvajanje pristupnih privilegija; formalna procedura...), što i za velike organizacije često predstavlja ograničenje.
No, ovaj slučaj pokazuje i nedostatke same revizije provedene u Satyamu.
Prvi nedostatak se odnosi na reviziju procesa upravljanja promjenama u Satyamu. Ne znam koliko je detaljno napravljena revizija ovog procesa, no kada se ovakva prijevara dogovori na najvišoj razini i kada je u scenarij uključeno više ljudi s odgovarajućim pravima (a očigledno je da je u Satyamu bio takav slučaj), onda redovita revizija općih kontrola IS-a teško može dati rezultate.
Druga revizorska greška se zapravo pokazala ključnom: revizor je propustio, a svakako je morao, utvrditi da 7.500 faktura nije pokriveno prihodom na računu u banci.
Granica između financijske revizije i revizije informacijskih sustava je, govoreći rječnikom politike, veoma meka. Poznavanje i jedne i druge strane medalje je neohodno za uspjeh revizije.
No, ipak treba reći da je prijevara u Satyamu ponajprije bila omogućena pohlepom i prividnim dobrim rezultatima koji su, uostalom kao i u drugim segmentima ali u istim vremenima, zasigurno spriječili dioničare da na vrijeme pogledaju istinu.
17.4.09
Sezona izvještaja
Čini se da je ovaj dio godine razdoblje objave različitih izvještaja i rezultatata istraživanja tržišta o stanju sigurnosti informacijskih sustava. Ove izvještaje, naravno, treba uzimati s dozom opreza (ipak, iza njih stoje i PR uredi), no neki od ovih dokumenata svakako predstavljaju zanimljivo štivo pa ih svima preporučujem.
Što nam je friško na raspolaganju?
Ovogodišnji "Data Breach Investigations Report" tvrtke Verizon je svakako najzanimljiviji tekst ove vrste koji se pojavio u zadnje vrijeme. Temeljen je na sigurnosnim incidentima u čijoj su istrazi sudjelovali stručnjaci Verizona tijekom 2008. godine. Obrađuje, dakle, 90 konkretnih slučajeva i nudi veoma zanimljive i poticajne zaključke. Iako zbog izbora uzorka (ograničen je na slučajeve gdje su sudjelovali Verizonovi istražitelji) ne bi trebalo izvlačiti generalne zaključke, mislim da nećemo pogriješiti ako izvještaj sagledamo i na takav način.
Vjerujem da će svatko od vas pročitati izvještaj na svoj način, no slijedeći podaci mi izgledaju osobito zanimljivo:
Drugi zanimljiv dokument na koji vas upućujem je redoviti izvještaj tvrtke Symantec - Internet Security Threat Report Volume XIV, a odnosi se na podatke iz 2008. godine. Ovaj izvještaj se temelji na različitoj metodologiji od izvještaja tvrtke Verizon, pa su podaci i zaključci usmjereni u drugom pravcu, no svakako možemo reći da se oba izvještaja upotpunjuju.
Symantec je napravio svoj izvještaj na temelju podataka koji je prikupio u razgranatoj mreži senzora smještenih širom svijeta i iz povratnih informacija koje je prikupio iz svojih sigurnosnih programa ili servisa. Symantecov se izvještaj bavi prijetnjam i ranjivostima, ne i registriranim (i istraženim) konkretnim incidentima, pa su rezultati osobito zanimljivi za one koji žele detaljnije analizirati uzroke sigurnosnih rizika.
Na stotinjak stranica naći ćete mnoštvo podataka, a ovdje iznosim samo neke
Ugodno čitanje!
Što nam je friško na raspolaganju?
Ovogodišnji "Data Breach Investigations Report" tvrtke Verizon je svakako najzanimljiviji tekst ove vrste koji se pojavio u zadnje vrijeme. Temeljen je na sigurnosnim incidentima u čijoj su istrazi sudjelovali stručnjaci Verizona tijekom 2008. godine. Obrađuje, dakle, 90 konkretnih slučajeva i nudi veoma zanimljive i poticajne zaključke. Iako zbog izbora uzorka (ograničen je na slučajeve gdje su sudjelovali Verizonovi istražitelji) ne bi trebalo izvlačiti generalne zaključke, mislim da nećemo pogriješiti ako izvještaj sagledamo i na takav način.
Vjerujem da će svatko od vas pročitati izvještaj na svoj način, no slijedeći podaci mi izgledaju osobito zanimljivo:
- Čak 91% incidenata na neki je način povezano s organiziranim kriminalom
- Većina je incidenata rezultat djelovanja više od jednog uzroka, pri čemu su tehničke (a zapravo ljudske) pogreške te djelovanje hackera zastupljeni u oko dvije trećine slučajeva, a maliciozni programi u nešti više od trećine slučajeva
- Čak dvije trećine incidenata je otkriveno na temelju informacija koje su stigle izvan same pogođene organizacije (dakle od trećih strana, klijenata, partnera...), a ispod 10% incidenata je otkriveno metodama koje bi trebale biti temelj proaktivnog i preventivnog djelovanja (analiza log zapisa i redovita revizija)
- Nešto više od četvrtine incidenata je raspodjeljeno između "malih/srednjih" tvrtki (od 11 do 100 zaposlenih) i "velikih" tvrtki (od 1001 do 10000 zaposlenih) - dakle, ne vrijedi pravilo da su sigurnosni incidenti rezervirani za velike tvrtke
Drugi zanimljiv dokument na koji vas upućujem je redoviti izvještaj tvrtke Symantec - Internet Security Threat Report Volume XIV, a odnosi se na podatke iz 2008. godine. Ovaj izvještaj se temelji na različitoj metodologiji od izvještaja tvrtke Verizon, pa su podaci i zaključci usmjereni u drugom pravcu, no svakako možemo reći da se oba izvještaja upotpunjuju.
Symantec je napravio svoj izvještaj na temelju podataka koji je prikupio u razgranatoj mreži senzora smještenih širom svijeta i iz povratnih informacija koje je prikupio iz svojih sigurnosnih programa ili servisa. Symantecov se izvještaj bavi prijetnjam i ranjivostima, ne i registriranim (i istraženim) konkretnim incidentima, pa su rezultati osobito zanimljivi za one koji žele detaljnije analizirati uzroke sigurnosnih rizika.
Na stotinjak stranica naći ćete mnoštvo podataka, a ovdje iznosim samo neke
- Symantec je evidentirao 5491 novu ranjiovost u 2008. od kojih se 2% smatra visoko kritičnim
- 80% ranjivosti smtra se lako iskoristivim (u 2007. bilo ih je 74%)
- 63% ranjivosti bilo je vezano za web aplikacije
- U 2008. bilo je 265% više opisa novih malicioznih programa ("signatures") u odnosu na 2007.
- Trojanci čine 68% od Top 50 malicioznih programa u 2008. godini
- Spam je porastao za 192% u odnosu na proteklu godinu
Ugodno čitanje!
18.7.08
Talačka kriza u računalnoj mreži
Vijest je objavljena i u našim novinama: Terry Childs, nezadovoljni mrežni administrator u gradskoj upravi San Francisca, odbio je nadležnima objaviti lozinke koje koristi za administraciju multimilijunske računalne mreže. Ova mreža poslužuje informatičku infrastrukturu gradske vlasti i njome se prenose ili su pohranjeni najkritičniji polsovni podaci.
Slučaj ima, po svemu sudeći, pozadinu u organizacijskim previranjima i nezadovoljstvu zaposlenika, no Childs je to demonstrirao na veoma drastičan način. Revizija, provedena u lipnju, utvrdila je nepravilnosti vezane za njegov rad što je kod njega izazavalo manijakalnu reakciju i motiviralo ga na izmjenu lozinki na svim mrežnim uređajima (switch i router uređaji) čime je onemogućio pristup ovim resursima za druge administratore. S obzirom da je odbio otkriti lozinke, završio je u pritvoru i očekuje suđenje. Za sada sve funkionira kako treba, no preostali administratori još nisu uspjeli vratiti kontrolu nad mrežnom infrastrukturom.
Ovaj slučaj, kao i mnogi drugi "insiderski" slučajevi, daleko je od tehničke sofisticiranosti i ne iskorištava "napredne" ranjivosti, no efekt može biti izuzetno poguban za gradsku vlast. Nalazimo i neke druge sličnosti s poznatim "insiderskim" slučajevima.
Prije svega, nedostajale su minimalne kontrolne mjere koje bi regulirale korištenje privilegiranih korisničkih prava. Vrlo je moguće da nisu dostupne ni arhivske kopije iz kojih bi se obnovio prethodni sadržaj. Na kraju, pojavili su se podaci o tome da je Childs prije dvadesetak godina bio osuđivan zbog krađe, a što je bilo poznato gradskoj vlasti prilikom zapošljavanja.
Ovaj slučaj ponovo naglašava korištenje administratorskih korisničkih prava i široke privilegije koje administratori mogu nekontrolirano koristiti. Koristim priliku kako bih vas uputio na nedavno istraživanje koje govori da svaki treći administrator koristi privilegirana prava kako bi njuškao po podacima koji pripadaju drugim zaposlenicima, bilo da sazna privatne ili poslovno-povjerljive podatke.
Iako će se Childs, kako izgleda, teško obraniti od optužbi, slučaj jasno pokazuje i na odgovornost managementa. Naime, postoje brojne obrambene mjere - od onih proceduralnih pa do sofisticiranih tehničkih, kojima se informatička infrastruktura brani od ovakvih napada. Izgleda da ni jedna od njih nije primjenjivana.
Slučaj ima, po svemu sudeći, pozadinu u organizacijskim previranjima i nezadovoljstvu zaposlenika, no Childs je to demonstrirao na veoma drastičan način. Revizija, provedena u lipnju, utvrdila je nepravilnosti vezane za njegov rad što je kod njega izazavalo manijakalnu reakciju i motiviralo ga na izmjenu lozinki na svim mrežnim uređajima (switch i router uređaji) čime je onemogućio pristup ovim resursima za druge administratore. S obzirom da je odbio otkriti lozinke, završio je u pritvoru i očekuje suđenje. Za sada sve funkionira kako treba, no preostali administratori još nisu uspjeli vratiti kontrolu nad mrežnom infrastrukturom.
Ovaj slučaj, kao i mnogi drugi "insiderski" slučajevi, daleko je od tehničke sofisticiranosti i ne iskorištava "napredne" ranjivosti, no efekt može biti izuzetno poguban za gradsku vlast. Nalazimo i neke druge sličnosti s poznatim "insiderskim" slučajevima.
Prije svega, nedostajale su minimalne kontrolne mjere koje bi regulirale korištenje privilegiranih korisničkih prava. Vrlo je moguće da nisu dostupne ni arhivske kopije iz kojih bi se obnovio prethodni sadržaj. Na kraju, pojavili su se podaci o tome da je Childs prije dvadesetak godina bio osuđivan zbog krađe, a što je bilo poznato gradskoj vlasti prilikom zapošljavanja.
Ovaj slučaj ponovo naglašava korištenje administratorskih korisničkih prava i široke privilegije koje administratori mogu nekontrolirano koristiti. Koristim priliku kako bih vas uputio na nedavno istraživanje koje govori da svaki treći administrator koristi privilegirana prava kako bi njuškao po podacima koji pripadaju drugim zaposlenicima, bilo da sazna privatne ili poslovno-povjerljive podatke.
Iako će se Childs, kako izgleda, teško obraniti od optužbi, slučaj jasno pokazuje i na odgovornost managementa. Naime, postoje brojne obrambene mjere - od onih proceduralnih pa do sofisticiranih tehničkih, kojima se informatička infrastruktura brani od ovakvih napada. Izgleda da ni jedna od njih nije primjenjivana.
24.6.08
Verizon: Izvještaj o sigurnosnim incidentima
Poslovne obveze i Euro 2008 bile su razlog što su se prorijedili napisi na ovim stranicama, no, obećajem, vraćam se uobičajenom tempu.
Nedavno se pojavio jedan veoma zanimljiv tekst tvrtke Verizon - značajnog globalnog pružatelja telekomunikacijskih usluga, o računalnim sigurnosnim incidentima. Naime, prošlogodišnjom akvizicijom tvrtke Cybetrust, Verizon je postao i jedan od vodećih pružatelja sigurnosnih usluga. Njihovi su timovi vodili forenzičku istragu u više od 500 slučajeva tijekom protekle četiri godine. Dokument na koji vas upućujem donosi sintetičku analizu ovih slučajeva i na tridesetak stranica pruža zanimljive zaključke.
Jedan od osnovnih zaključaka izazvao je ponajviše komentara u web prostoru. Verizon iznosi podatak da je 73% incidenata izazvano vanjskim prijetnjama, 18% slučajeva je rezultat unutarnjih prijetnji a 39% slučajeva je rezultat djelovanja poslovnih partnera (neka vas ne zbuni činjenica da zbroj ovih znamenaka prelazi 100%, Verizon tvrdi da je veliki broj incidenata uzrokovan djelovanjem iz više od jednog izvora). Neki autori u web i blog prostoru su iskoristili ovaj podatak kao argument koji bi trebao potvrditi kako je strah od insiderskih prijetnji pretjeran. Naravno, vanjske prijetnje su postale sve prisutnije i sofisticiranije, a zbog sve neposrednije povezanosti i, praktički, neprekinutog korištenja Interneta servisa, učestalost vanjskih prijetnji, bez sumnje, dominira. No, ne bi trebalo izvlačiti pogrešne zaključke o prestanku insiderskih prijetnji i to iz nekoliko razloga.
Kategorizacija izvora prijetnji kako je definira Verizon pomalo je dvojbena. Naime, u stručnoj javnosti je prihvaćena definicija insidera kao svih osoba koji pristupaju informacijskom sustavu neke organizacije s određenom i formalno dodjeljenom razinom privilegija. Formalni odnos (zaposlenje) ne bi trebao biti kriterij, pa tako pojam insideri obuhvaća i privremene zaposlenike, konzultante, servisno osoblje pa i vanjske partnere. Prema tome, prije spomenuti postoci poprimaju druge omjere.
No, treba reći da ni Verizon ne ohrabruje zaključke o manjoj prisutnosti insiderskih prijetnji. U dokumentu je istaknuto da su njihovi timovi nastupali kod složenih slučajeva, dok se neki jednostavniji slučajevi - krađa laptopa, fizički incidenti - rješavaju izvan forenzičkih aktivnosti. Tome, svakako treba pribrojiti sve druge jednostavne, a svakako učestale, insiderske incidenate koji nisu ušli u ovu statistiku.
Sama analiza dodatno potvrđuje realne rizike od insiderskih prijetnji. Jedan od nalaza govori o prosječnom kapacitetu ugroženih podataka (specificiran je kao broj kompromitiranih slogova) ovisno o izvoru prijetnje. Eksterne prijetnje su rezultirale s prosječno 30.000 kompormitiranih slogova, prijetnje partnera s prosječno 187.500 ugroženih slogova, a prijetnje "insidera" s prosječno 375.000 ugroženih slogova.
Umjesto zaključka o manjoj kritičnosti insiderskih prijetnji, pravi bi zaključak trebao sugerirati potrebu za cjelovitim pogledom na prijetnje, ranjivosti i potencijalne gubitke (dakle, za "risk managementom"). Pri tome, treba odbaciti i generaliziranja koja idu u drugu stranu, te prenaglašavaju insiderske prijetnje bez opipljivih argumenata.
Preostali dio teksta jako je zanimljiv. Umjesto prepričavanja, istaknuti ću samo nekoliko zanimljivih zaključaka:
Nedavno se pojavio jedan veoma zanimljiv tekst tvrtke Verizon - značajnog globalnog pružatelja telekomunikacijskih usluga, o računalnim sigurnosnim incidentima. Naime, prošlogodišnjom akvizicijom tvrtke Cybetrust, Verizon je postao i jedan od vodećih pružatelja sigurnosnih usluga. Njihovi su timovi vodili forenzičku istragu u više od 500 slučajeva tijekom protekle četiri godine. Dokument na koji vas upućujem donosi sintetičku analizu ovih slučajeva i na tridesetak stranica pruža zanimljive zaključke.
Jedan od osnovnih zaključaka izazvao je ponajviše komentara u web prostoru. Verizon iznosi podatak da je 73% incidenata izazvano vanjskim prijetnjama, 18% slučajeva je rezultat unutarnjih prijetnji a 39% slučajeva je rezultat djelovanja poslovnih partnera (neka vas ne zbuni činjenica da zbroj ovih znamenaka prelazi 100%, Verizon tvrdi da je veliki broj incidenata uzrokovan djelovanjem iz više od jednog izvora). Neki autori u web i blog prostoru su iskoristili ovaj podatak kao argument koji bi trebao potvrditi kako je strah od insiderskih prijetnji pretjeran. Naravno, vanjske prijetnje su postale sve prisutnije i sofisticiranije, a zbog sve neposrednije povezanosti i, praktički, neprekinutog korištenja Interneta servisa, učestalost vanjskih prijetnji, bez sumnje, dominira. No, ne bi trebalo izvlačiti pogrešne zaključke o prestanku insiderskih prijetnji i to iz nekoliko razloga.
Kategorizacija izvora prijetnji kako je definira Verizon pomalo je dvojbena. Naime, u stručnoj javnosti je prihvaćena definicija insidera kao svih osoba koji pristupaju informacijskom sustavu neke organizacije s određenom i formalno dodjeljenom razinom privilegija. Formalni odnos (zaposlenje) ne bi trebao biti kriterij, pa tako pojam insideri obuhvaća i privremene zaposlenike, konzultante, servisno osoblje pa i vanjske partnere. Prema tome, prije spomenuti postoci poprimaju druge omjere.
No, treba reći da ni Verizon ne ohrabruje zaključke o manjoj prisutnosti insiderskih prijetnji. U dokumentu je istaknuto da su njihovi timovi nastupali kod složenih slučajeva, dok se neki jednostavniji slučajevi - krađa laptopa, fizički incidenti - rješavaju izvan forenzičkih aktivnosti. Tome, svakako treba pribrojiti sve druge jednostavne, a svakako učestale, insiderske incidenate koji nisu ušli u ovu statistiku.
Sama analiza dodatno potvrđuje realne rizike od insiderskih prijetnji. Jedan od nalaza govori o prosječnom kapacitetu ugroženih podataka (specificiran je kao broj kompromitiranih slogova) ovisno o izvoru prijetnje. Eksterne prijetnje su rezultirale s prosječno 30.000 kompormitiranih slogova, prijetnje partnera s prosječno 187.500 ugroženih slogova, a prijetnje "insidera" s prosječno 375.000 ugroženih slogova.
Umjesto zaključka o manjoj kritičnosti insiderskih prijetnji, pravi bi zaključak trebao sugerirati potrebu za cjelovitim pogledom na prijetnje, ranjivosti i potencijalne gubitke (dakle, za "risk managementom"). Pri tome, treba odbaciti i generaliziranja koja idu u drugu stranu, te prenaglašavaju insiderske prijetnje bez opipljivih argumenata.
Preostali dio teksta jako je zanimljiv. Umjesto prepričavanja, istaknuti ću samo nekoliko zanimljivih zaključaka:
- Glavni vektor djelovanja prijetnji su greške žrtve - pri čemu su propusti u definciji i konfiguraciju prisutni u 79% grešaka. Drugi i tek nešto niže plasirani vektor je hackerska aktivnost napadača (39% slučajeva se odnosi na hackiranje aplikacija, a preostali slučajevi su distribuirani na razne oblike ranjivosti operativnog sustava)
- Čak 52% slučajeva zahtjevalo je nisku razinu ekspertize napadača, a visoka ekspertiza je primjenjena samo u 17% slučajeva. Ovaj podatak svakako treba otvoriti oči svima.
- Samo 15% napada je bilo direktno fokusirano i usmjereno na izabrane žrtve, preostali napadi su bili ipak rezultat slučaja te direktne ili indirektne prigode koja se ukazala napadaču
- Meni je posebno zanimljiv podataka da je čak 70% incidenata otkriveno nakon dojave treće strane. Interna ili eksterna revizija utvrdila je 5% slučajeva, a praćenje i analiza logova utvrdila je 4% slučajeva.
15.4.08
Ponavljamo seminar o insajderskim prijetnjama
Primjeri iz naše bliže i dalje okoline neprestano potvrđuju da su insajderi i dalje najveće prijetnje informacijskoj sigurnosti. Za sve koji žele saznati nešto više o motivima, načinu djelovanja i mogućnostima detekcije insajderskih prijetnji, ponavljamo prošlogodišnji seminar. Naravno, osvježen. Seminar će se održati 3. i 4. lipnja 2008. u Zagrebu. Brošuru i prijavnicu možete pronaći na ovoj stranici.
7.3.08
Societe Generale: 45 dana poslije
Kakva je veza između intervjua virtualnog premijera Jutarnjem listu i senzacionalnog gubitka u francuskoj banci Societe Generale? U oba je slučaja manipulacija elektroničkom poštom odigrala određenu ulogu. U slučaju Jutarnjeg lista, elektronička pošta bila je ključni element zapleta, dok je u slučaju francuske banke elektronička pošta bila jedan od elemenata koje je koristio Jerome Kerviel u prikrivanju svojih transakcija. Naime, negdje pred kraj cijele avanture, Kerviel se "pokrio" e-mailom navodno pristiglim iz Deutsche Bank, a koji je do daljnjega trebao potvrditi uspješnost Kervielovih transakcija. No, Societe Generale je ipak provjerio autentičnost maila i pokazalo se da Deutsche Bank nema pojma o ovim porukama. To je, ujedno, bio i detonator koji je pokrenuo cijeli slučaj. Ova epizoda potvrđuje jednostavnost krivotvorenja elektroničke pošte i poučava da je, ako se e-mail želi koristiti kao mehanizam u kritičnim poslovnim transakcijama, potrebno koristiti takve sustave koji jamče očuvanje autentičnosti poruke i onemogućuju naknadni opoziv transakscija.
Prije dva tjedna objavljen je preliminarni izvještaj o slučaju Societe Generale. Izvještaj je izradila neovisna komisija, a posebno upada u oči činjenica da je tijekom 2006. i 2007. bilo 75 upozorenja o djelovanju Kerviela upućenih od njegovih kolega i izvedenih iz analiza poslovnih rizika. Nadležne osobe nisu reagirale na pravi način. Ostaje pitanje jesu li propustile primjetiti značaj indikatora koji pojedinačno možda nisu bili preupadljivi, no sagledani u ukupnom kontekstu morali su zvoniti na uzbunu? Ili su nadležne osobe bile opijene tadašnjim uspjesima Kerviela te su bili spremne previdjeti indikatore? Upravo je ova druga teza i glavno uporište Kervielove obrane koji tvrdi da ga je management mogao spriječiti da je to htio.
Izvještaj je potvrdio da je manipulacija s korisničkim pravima i autentikacijom korisnika bilo glavno Kervielovo uporište među općim kontrolnim mjerama informacijskog sustava. Kerviel je imao ovlasti za rad na informacijskom sustavu koje su prekoračile ovlasti potrebne na njegovom radnom mjestu, koristio je ovlasti drugih osoba, pristupni sustav nije evidentirao informacije o ključnim događajima (ili takve informacije nisu bile provjeravane). Na koncu, krivotvorio je i sadržaj elektroničke pošte. Ovi nedostaci su kombinirani s manjkavostima aplikativnih kontrola i kumulativni efekt bio je razoran.
U kontekstu ovih stranica htio bih ukazati na tri ključne pouke koje svi moraju izvući iz slučaja Societe Generale.
Prvo, posvetite kontroli pristupnih prava puno više pažnje nego što vam se u određenom trenutku čini da je potrebno. Izbjegnite situaciju u kojoj će prevladati subjektivni osjećaj kako nema potrebe za jačim kontrolnim mjerama jer, eto, kod vas nije bilo do sada nikakvih slučajeva zloupotrebe. Ova pouka osobito vrijedi za članove uprave koji moraju dobro poznavati sve rizike i hrabro "sponzorirati" takve projekte. Rukovodstvo IT službe ili informacijske sigurnosti treba koristiti jezik i argumente koji razumije uprava, i prezentirati takve rizike na pravi način.
Drugo, obratite pažnju na sve indikatore koji govore o "insiderskim" napadima. Takvi indikatori nisu glasni poput onih koje izazivaju vanjski napadi, zahtjevaju puno više pažnje i bolju pripremu, a naročito poznavanje konteksta poslovnog procesa. "Insiderski" napadi se, uglavnom, ne otkrivaju iz poruka IDS sustava već strpljivom, ponekad dosadnom, analizom mnoštva rutinskih događaja.
Treće, kontinuirana revizija/provjera aplikativnih i općih kontrolnih mjera, a naročito onih koje su vezani za pristupni podsustav i procese upravljanja korisničkim pravima, mora postati prioritetna obveza. Dinamika takvih provjera prerasla je godišnji ritam revizije, te mora biti znatno češća.
Prije dva tjedna objavljen je preliminarni izvještaj o slučaju Societe Generale. Izvještaj je izradila neovisna komisija, a posebno upada u oči činjenica da je tijekom 2006. i 2007. bilo 75 upozorenja o djelovanju Kerviela upućenih od njegovih kolega i izvedenih iz analiza poslovnih rizika. Nadležne osobe nisu reagirale na pravi način. Ostaje pitanje jesu li propustile primjetiti značaj indikatora koji pojedinačno možda nisu bili preupadljivi, no sagledani u ukupnom kontekstu morali su zvoniti na uzbunu? Ili su nadležne osobe bile opijene tadašnjim uspjesima Kerviela te su bili spremne previdjeti indikatore? Upravo je ova druga teza i glavno uporište Kervielove obrane koji tvrdi da ga je management mogao spriječiti da je to htio.
Izvještaj je potvrdio da je manipulacija s korisničkim pravima i autentikacijom korisnika bilo glavno Kervielovo uporište među općim kontrolnim mjerama informacijskog sustava. Kerviel je imao ovlasti za rad na informacijskom sustavu koje su prekoračile ovlasti potrebne na njegovom radnom mjestu, koristio je ovlasti drugih osoba, pristupni sustav nije evidentirao informacije o ključnim događajima (ili takve informacije nisu bile provjeravane). Na koncu, krivotvorio je i sadržaj elektroničke pošte. Ovi nedostaci su kombinirani s manjkavostima aplikativnih kontrola i kumulativni efekt bio je razoran.
U kontekstu ovih stranica htio bih ukazati na tri ključne pouke koje svi moraju izvući iz slučaja Societe Generale.
Prvo, posvetite kontroli pristupnih prava puno više pažnje nego što vam se u određenom trenutku čini da je potrebno. Izbjegnite situaciju u kojoj će prevladati subjektivni osjećaj kako nema potrebe za jačim kontrolnim mjerama jer, eto, kod vas nije bilo do sada nikakvih slučajeva zloupotrebe. Ova pouka osobito vrijedi za članove uprave koji moraju dobro poznavati sve rizike i hrabro "sponzorirati" takve projekte. Rukovodstvo IT službe ili informacijske sigurnosti treba koristiti jezik i argumente koji razumije uprava, i prezentirati takve rizike na pravi način.
Drugo, obratite pažnju na sve indikatore koji govore o "insiderskim" napadima. Takvi indikatori nisu glasni poput onih koje izazivaju vanjski napadi, zahtjevaju puno više pažnje i bolju pripremu, a naročito poznavanje konteksta poslovnog procesa. "Insiderski" napadi se, uglavnom, ne otkrivaju iz poruka IDS sustava već strpljivom, ponekad dosadnom, analizom mnoštva rutinskih događaja.
Treće, kontinuirana revizija/provjera aplikativnih i općih kontrolnih mjera, a naročito onih koje su vezani za pristupni podsustav i procese upravljanja korisničkim pravima, mora postati prioritetna obveza. Dinamika takvih provjera prerasla je godišnji ritam revizije, te mora biti znatno češća.
29.1.08
Dobro informirani insider
Otkrivanje velikog gubitka u Societe Generale i dovođenje tog gubitka u konetkst računalne prijevare, najveći je događaj u informacijskoj sigurnosti u ovoj godini (a s obzirom da je vezan za događaje u 2007. možemo ga naknadno uključiti u inventuru značajnih događaja za 2007.). Societe Generale, druga po veličini francuska banka, otkrila je prije desetak dana gubitke na jednom segmentu poslovanja dionicama u visini od 4.9 milijardi Eura. Gubici su ostvareni tokom 2007. i 2008. godine. Prema prvim izvještajima, krivac za ove gubitke je Jerome Kerviel, zaposlenik odjela banke koje je poslovalo na tržištu dionoica. Banka je 27.01.2007. objavila prvi detaljniji prikaz tijeka prijevare.
Prema tumačenju banke, nekoliko je faktora utjecalo na izvedbu scenarija prijevare.
Prvo, Kerviel je bio dobro informirani insider. Ne samo da je poznavao detalje poslovnog procesa u kojem je sudjelovao, nego je bio veoma upućen u kontrolne aktivnosti kojima se taj proces nadzire. Naime, do 2005. godine Kerviel je proveo pet godina u sektoru koji je bi nadležan za nadzor "tradera" i, bez obzira na sofisticiranost sustava upravljanja rizicima koji je u slučaju Societe Generale često istican kao vrhunski, upoznao je slabe točke tog nadzora.
Svoje znanje je iskoristio 2007. godine, tada već nekoliko godina zaposlen kao "trader" specifičnim instrumentima dioničkog tržišta, a drugi ključan faktor je Kervielovo poznavanje pristupnih ovlasti zaposlenika iz "back-office" odjela svoje službe. Otkrivanje i korištenje ovih ovlasti – nedvojbeno nedozvoljena aktivnost – preduvjet je trećeg faktora scenarija prijevare.
Kerviel je, koristeći tuđe ovlasti, prijavljivao nepostojeće, "pozitivne", transakcije čime je stvorio protutežu svojim neuspješnim poslovima, a sustav praćenja rizika nije takve izvještaje prepoznavao kao krivotvorinu. Time je krug zatvoren. Banka se, očigledno, pouzdala u sustav praćenja rizika koji je, vjerujem, veoma dobro predviđao sve vanjske – tržišne – komponente rizika, no nije predvidio mogućnost da netko iznutra potkopa njegovu stabilnost. Nadalje, dinamika procesa provjere aplikativnih kontrola i unutarnje revizije poslovanja prekasno je odgovorila na nastale događaje.
Čitajući prekjučerašnji izvještaj banke posebno upada u oči jednostavnost kojom se opisuje zloupotreba korisničkih ovlasti. Tek u dijelu jednog odlomka teksta nabraja se, među ostalim, i zloupotreba tuđih pristupnih prava, gotovo kao da se radi o uobičajenoj i razumljivoj praksi. Ovaj slučaj još jednom pokazuje da je kompleksna problematika upravljanja pristupnim pravima jedan od najvažnijih mehanizama kojim se štiti od insiderskih prijetnji. Ja li banka mogla što napraviti? Kerviel je, po svemu sudeći, do tuđih pristupnih prava došao na nedopušten način (sve opcije su moguće: od kopanja po ladicama svojih kolega pa do instalacije keylogger programa ili uređaja). Banka je trebala, prije svega, na vrijeme prepoznati potencijalne posljedice i u spomenuti segment poslovanja ugraditi mehanizme jake autentikacije koji bi jamčili fizičku prisutnost "prave" osobe koja provodi transakcije u "back-office" sustavu. Nadalje, ako je točno da je Kerviel intenzivno boravio u uredu (nakon radnog vremena, preko vikenda i praznika), sustav praćenja događaja je trebao zabilježiti takve indikatore i potaknuti dodatnu pravovremenu istragu. Sve spomenute mjere podrazumijevaju dodatni proračun i dodatne napore kod primjene, no dobra procjena rizika je trebala pokazati na opravdanost takvih mjera.
U ovom se slučaju ističe i činjenica da Kerviel nije ostvario financijsku dobit, što je možda sasvim točno. No, insiderski napadi nisu uvijek motivirani financijskom dobiti (iako najčešće jesu). Potencijalni motiv može biti želja za dokazivanjem, a s obzirom de se transakcije koje je Kerviel obavljao ponegdje nazivaju i klađenjem ("At some point last year, bank executives say, Mr. Kerviel started using futures on the European stock indexes to place huge bets that European markets would continue to rise", Wall Street Journal) ne bi me začudilo da se ovisnost o klađenju identificira kao ključni motiv.
Slučaj Societe Generale nam je na jedan plastičan način ukazao na činjenicu da su informacijske tehnologije srasle s poslovnim procesima. Osim pozitivnih perspektiva i potencijalnih dobitaka, informacijske tehnologije uz sebe vežu i brojne rizike. U ovom će slučaju posljedice svakako osjetiti Societe Generale i njihovi dioničari (morali su obaviti dokapitalizaciju kako bi pokrili gubitke, postali su, kako se čini, ranjivija meta za preuzimanje, a posljedice po reputaciju su očite). No, prema nekim analizama, paničan pokušaj spašavanja onog što se spasiti može utjecao je i na prošlotjedni pad vrijednosti dionica na svjetskim burzama (što je iz Societe Generale demantirano). Ako se potvrdi točnost takvog razvoja događaja, prvi put će se pokazati da informacijski propusti u jednoj kompaniji mogu djelovati na šire okruženje, a ne samo na vlasnike ili dioničare same kompanije. Zbog ovisnosti o klađenju?
31.12.07
Pogled na 2007. godinu
Pogled unatrag na godinu koja je na izmaku, izuzetno je neoriginalan način zaključivanja tekuće godine i pripreme za slijedeću. No, s obzirom da ove stranice nisu bile ažurne kako sam planirao prije pokretanja bloga, dozvoljavam si ovu neoriginalnost i na kraju godine objavljujem pogled na informacijsku sigurnost u 2007. u Hrvatskoj.
Ako informacijsku sigurnost sagledavamo kroz sigurnosne incidente, onda svakako moramo biti zadovoljni što je Hrvatska još uvijek izvan matrice tipičnih incidenata koji su u svijetu dominirali ove godine. Dakle, u Hrvatskoj nije bilo slučajeva gubitka ili krađe podataka velikih razmjera koji bi ugrozili privatnost naših građana, a takvih je događaja u međunarodnim razmjerima bilo izuzetno puno (s, ponegdje, katastrofalnim posljedicama - pogledaje pregled deset najvećih u 2007. na ovoj stranici). No, kada kažem da nije bilo takvih slučajeva, onda moram naglasiti da nije bilo zabilježenih slučajeva. Kod nas se još uvijek smatra da su se sigurnosni incidenti dogodili tek kada je netko direktno osjetio posljedice. Nažalost, incidenti u infomacijskoj sigurnosti postoje i onda kada ih direktno ne zamjećujemo, a mnoge zamjećujemo tek sa znatnim vremenskim odmakom i ponekad veoma posredno. Ipak, smatram da doista nije bilo incidenata velikih razmjera, no ponajprije zahvaljujući činjenici da potencijalni dobitak nije dovoljno atraktivan napadačima (zbog manjeg tržišta, što sa sobom podrazumijeva i manji opseg potencijalnih žrtava, npr. kada govorimo o krađi identiteta "phishing" napadima).
Ipak, takav trend neće trajati vječno, a dokaz je i oblik računalnog kriminala koji je dominirao medijima u Hrvatskoj ove godine. Vjerujem da pamtite slučajeve prijevara na bankomatima koje su pogodile nekoliko hrvatskih banaka i mnoge njihove klijente. Rekao bih da je takvih slučajeva bilo više nego u proteklim godinama, a to može argument koji nas upućuje da ekonomija računalnog kriminala opravdava napadačima ulazak i na naše "tržište": rezultati neće možda biti opsegom značajni kao na tržištu od nekoliko desetaka miljuna potencijalnih žrtava, no troškovi realizacije napada su sve niži a mogućnost zadržavanja anonimnosti napadača jednako visoka, pa možemo očekivati da će se takvi incidenti proširiti i na "moderne" oblike računalnog kriminala (ako uopće smijemo zloupotrebe na bankomatima nazvati nemodernim).
Treba spomenuti i drugi slučaj koji je vladao naslovnicama novina. Zaposlenici jedne velike banke isplatili su veliki iznos u "cashu" osobi na temelju falsificiranih podataka o identitetu (tj. falsificirane putovnice). Iako sredstvo pomoću kojeg je napravljena prijevara ne spada u računalni resurs (falsificirana je putovnica a ne digitalni identitet), ovaj je slučaj školski primjer "insiderskog" računalnog kriminala, zato što su, prema novinskim napisima, počinitelji - zaposlenik/zaposlenici banke, došli do ključnih informacija uvidom u bazu podataka (moram istaknuti da sam o cijelom slučaju isključivo upoznat na temelju novisnikih napisa i nije mi poznat nikakav drugi detalj o načinu izvršenja). Po svemu sudeći, radi se o zloupotrebi ili pogrešnoj dodjeli pristupnih prava informacijskom sustavu, možda i o socijalnom inžinjeringu te nepoštovanju propisane procedure. Također, ovaj slučaj nam govori o potencijalnim nedostacima korištenja tradicionalne tehnologije (identifikacija putovnicom) u kombinaciji s informacijskom tehnologijom.
Godina na izmaku je donijela i dvije novosti na području zakonske regulative: Odluku HNB-a o primjerenom upravljanju informacijskim sustavom i Zakon o informacijskoj sigurnosti.
Odluka HNB-a, koju treba čitati u kontekstu ranije objavljenih Smjernica HNB-a za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika (iz 2006.) značajno će utjecati na provedbu mjera informacijske sigurnosti u bankama te pridonosi stvaranju pozitivnih trendova u upravljanju informacijskim rizicima, a kakvi postoje u svijetu već nekoliko godina. Vjerujem da će ubrzo i druga državna tijela ili agencije morati regulirati pitanja informacijske sigurnosti na sličan način (sukladno dostignućima EU).
U srpnju je izglasan i Zakon o informacijskoj sigurnosti. Ovaj zakon bi trebao potaknuti uređenje problematike sigurnosti informacija za tijela državne vlasti. Kad kažem potaknuti, onda ukazujem na činjenicu da se pitanja sigurnosti moraju rješavati brojnim provedbenim aktima (standardi i pravilnici), a koje i sam zakon (koji ima tek nekoliko stranica) predviđa. Stoga, u ovom trenutku ne možemo reći da je zakon imao neki osobiti učinak jer treba pričekati provedbene dokumente. Zakon predviđa donošenje provebenih dokumentata u roku od 6 mjeseci, što bi trebalo značiti do kraja siječnja 2008. Naravno, ne očekujem ove dokumente u predviđenom roku, no iskustvo nam govori da bi donošenje pravilnika kao i realizacija ovog zakona mogla biti veoma dugotrajna i teška. Iskreno se nadam da će me praksa demantirati i u tom ću slučaju svakako priznati pogrešnu procjenu.
Na kraju obećanje za 2008: obećajem da će stranice ovog bloga biti puno ažurnije!
Ako informacijsku sigurnost sagledavamo kroz sigurnosne incidente, onda svakako moramo biti zadovoljni što je Hrvatska još uvijek izvan matrice tipičnih incidenata koji su u svijetu dominirali ove godine. Dakle, u Hrvatskoj nije bilo slučajeva gubitka ili krađe podataka velikih razmjera koji bi ugrozili privatnost naših građana, a takvih je događaja u međunarodnim razmjerima bilo izuzetno puno (s, ponegdje, katastrofalnim posljedicama - pogledaje pregled deset najvećih u 2007. na ovoj stranici). No, kada kažem da nije bilo takvih slučajeva, onda moram naglasiti da nije bilo zabilježenih slučajeva. Kod nas se još uvijek smatra da su se sigurnosni incidenti dogodili tek kada je netko direktno osjetio posljedice. Nažalost, incidenti u infomacijskoj sigurnosti postoje i onda kada ih direktno ne zamjećujemo, a mnoge zamjećujemo tek sa znatnim vremenskim odmakom i ponekad veoma posredno. Ipak, smatram da doista nije bilo incidenata velikih razmjera, no ponajprije zahvaljujući činjenici da potencijalni dobitak nije dovoljno atraktivan napadačima (zbog manjeg tržišta, što sa sobom podrazumijeva i manji opseg potencijalnih žrtava, npr. kada govorimo o krađi identiteta "phishing" napadima).
Ipak, takav trend neće trajati vječno, a dokaz je i oblik računalnog kriminala koji je dominirao medijima u Hrvatskoj ove godine. Vjerujem da pamtite slučajeve prijevara na bankomatima koje su pogodile nekoliko hrvatskih banaka i mnoge njihove klijente. Rekao bih da je takvih slučajeva bilo više nego u proteklim godinama, a to može argument koji nas upućuje da ekonomija računalnog kriminala opravdava napadačima ulazak i na naše "tržište": rezultati neće možda biti opsegom značajni kao na tržištu od nekoliko desetaka miljuna potencijalnih žrtava, no troškovi realizacije napada su sve niži a mogućnost zadržavanja anonimnosti napadača jednako visoka, pa možemo očekivati da će se takvi incidenti proširiti i na "moderne" oblike računalnog kriminala (ako uopće smijemo zloupotrebe na bankomatima nazvati nemodernim).
Treba spomenuti i drugi slučaj koji je vladao naslovnicama novina. Zaposlenici jedne velike banke isplatili su veliki iznos u "cashu" osobi na temelju falsificiranih podataka o identitetu (tj. falsificirane putovnice). Iako sredstvo pomoću kojeg je napravljena prijevara ne spada u računalni resurs (falsificirana je putovnica a ne digitalni identitet), ovaj je slučaj školski primjer "insiderskog" računalnog kriminala, zato što su, prema novinskim napisima, počinitelji - zaposlenik/zaposlenici banke, došli do ključnih informacija uvidom u bazu podataka (moram istaknuti da sam o cijelom slučaju isključivo upoznat na temelju novisnikih napisa i nije mi poznat nikakav drugi detalj o načinu izvršenja). Po svemu sudeći, radi se o zloupotrebi ili pogrešnoj dodjeli pristupnih prava informacijskom sustavu, možda i o socijalnom inžinjeringu te nepoštovanju propisane procedure. Također, ovaj slučaj nam govori o potencijalnim nedostacima korištenja tradicionalne tehnologije (identifikacija putovnicom) u kombinaciji s informacijskom tehnologijom.
Godina na izmaku je donijela i dvije novosti na području zakonske regulative: Odluku HNB-a o primjerenom upravljanju informacijskim sustavom i Zakon o informacijskoj sigurnosti.
Odluka HNB-a, koju treba čitati u kontekstu ranije objavljenih Smjernica HNB-a za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika (iz 2006.) značajno će utjecati na provedbu mjera informacijske sigurnosti u bankama te pridonosi stvaranju pozitivnih trendova u upravljanju informacijskim rizicima, a kakvi postoje u svijetu već nekoliko godina. Vjerujem da će ubrzo i druga državna tijela ili agencije morati regulirati pitanja informacijske sigurnosti na sličan način (sukladno dostignućima EU).
U srpnju je izglasan i Zakon o informacijskoj sigurnosti. Ovaj zakon bi trebao potaknuti uređenje problematike sigurnosti informacija za tijela državne vlasti. Kad kažem potaknuti, onda ukazujem na činjenicu da se pitanja sigurnosti moraju rješavati brojnim provedbenim aktima (standardi i pravilnici), a koje i sam zakon (koji ima tek nekoliko stranica) predviđa. Stoga, u ovom trenutku ne možemo reći da je zakon imao neki osobiti učinak jer treba pričekati provedbene dokumente. Zakon predviđa donošenje provebenih dokumentata u roku od 6 mjeseci, što bi trebalo značiti do kraja siječnja 2008. Naravno, ne očekujem ove dokumente u predviđenom roku, no iskustvo nam govori da bi donošenje pravilnika kao i realizacija ovog zakona mogla biti veoma dugotrajna i teška. Iskreno se nadam da će me praksa demantirati i u tom ću slučaju svakako priznati pogrešnu procjenu.
Na kraju obećanje za 2008: obećajem da će stranice ovog bloga biti puno ažurnije!
3.10.07
"Poslovni dnevnik" o insiderskim prijetnjama
S malim zakašnjenjem upućujem vas na članak "Informatički sustavi na udaru pete kolone" koji je prije desetak dana izašao u Poslovnom dnevniku. Pored nekoliko primjera iz američke prakse, članak donosi i procjenu o potencijalnim štetama koje se mogu očekivati kod insiderskih prijetnji.
Prijetnjama insidera bavio se i seminar koji je Borea održala krajem rujna u Zagrebu, a članak iz Poslovnog dnevnika donosi i kratki intervju o ovoj temi koji sam s vodio s autorom članka.
Prijetnjama insidera bavio se i seminar koji je Borea održala krajem rujna u Zagrebu, a članak iz Poslovnog dnevnika donosi i kratki intervju o ovoj temi koji sam s vodio s autorom članka.
13.9.07
Curenje informacija i vrijednost dionica
U Jutarnjem listu od 8.9.2007. objavljen je razgovor s Antom Samodolom, čelnim čovjekom Hrvatske agencije za nadzor financijskih usluga. Hanfa je svojim radom izazvala brojne reakcije, a stvorila je i neke "neprijatelje". Nemam namjeru baviti se ovim dijelom Hanfine aktivnosti već ukazati na jedan od odgovora iz ovog članka.
Na pitanje o "redovitim curenjem informacija o upisu dionica kod javnih ponuda", Samodol potvrđuje takvu praksu, te najavljuje da će se Hanfa svim silama boriti protiv toga. Naime, ovakva informacija može imati snažan poticaj za neopravdani skok cijena dionica.
Ovaj odgovor pokazuje na najbolji način snagu informacija na tržištu dionica i mogućnosti manipulacija cijenama dionica korištenjem informacija. Mogući su i slučajevi kada se određene informacije neće objaviti odnosno biti će poznate samo uskom broju ljudi i to u veoma pogodnom trenutku.
Kao što Samodol tvrdi, "u zakonu je jasno što tko smije objaviti, a što ne smije". No, problem predstavlja činjenica da je manipulaciju informacijama ponekad veoma teško otkriti. Danas se preko 99% informacija koje bi mogle imati utjecaja na poslovanje tvrtki, pa tako i na cijenu dionica, obrađuje ili pohranjuje u digitalnom obliku, odnosno izmjenjuju nekim od oblika elektroničke komunikacije. Mjesta otkrivanja ili prikrivanja takvih informacija veoma su raznolika i često nedodirljiva u potrebnom trenutku. Čak i kad naknadno postane jasno da je došlo do manipulacije, načinjenu štetu teško je pokriti.
Stoga, pored propisivanja što se smije ili ne smije objaviti, zakon i provedbena praksa mora jasnije definirati kako se takve informacije moraju čuvati i obrađivati, te predvidjeti odgovornost rukovodstva i za slučajeve nemarnog odnosa prema važnim podacima. Vjerujemo da će i Hanfa prepoznati taj pravac uređivanja financijskog trižišta.
Na pitanje o "redovitim curenjem informacija o upisu dionica kod javnih ponuda", Samodol potvrđuje takvu praksu, te najavljuje da će se Hanfa svim silama boriti protiv toga. Naime, ovakva informacija može imati snažan poticaj za neopravdani skok cijena dionica.
Ovaj odgovor pokazuje na najbolji način snagu informacija na tržištu dionica i mogućnosti manipulacija cijenama dionica korištenjem informacija. Mogući su i slučajevi kada se određene informacije neće objaviti odnosno biti će poznate samo uskom broju ljudi i to u veoma pogodnom trenutku.
Kao što Samodol tvrdi, "u zakonu je jasno što tko smije objaviti, a što ne smije". No, problem predstavlja činjenica da je manipulaciju informacijama ponekad veoma teško otkriti. Danas se preko 99% informacija koje bi mogle imati utjecaja na poslovanje tvrtki, pa tako i na cijenu dionica, obrađuje ili pohranjuje u digitalnom obliku, odnosno izmjenjuju nekim od oblika elektroničke komunikacije. Mjesta otkrivanja ili prikrivanja takvih informacija veoma su raznolika i često nedodirljiva u potrebnom trenutku. Čak i kad naknadno postane jasno da je došlo do manipulacije, načinjenu štetu teško je pokriti.
Stoga, pored propisivanja što se smije ili ne smije objaviti, zakon i provedbena praksa mora jasnije definirati kako se takve informacije moraju čuvati i obrađivati, te predvidjeti odgovornost rukovodstva i za slučajeve nemarnog odnosa prema važnim podacima. Vjerujemo da će i Hanfa prepoznati taj pravac uređivanja financijskog trižišta.
29.5.07
45% zaposlenika na odlasku otuđuje podatke
Nedavno su objavljeni rezultati jedne ankete prema kojima čak 45% zaposlenika kopira i odnosi (ili otuđuje) podatke svojih poslodavaca neposredno prije prestanka radnog odnosa. Naravno, svakoj anketi ili tržišnom ispitivanju treba, prije nego što uronite u same rezultate, provjeriti metodologiju, uzorak ispitanika i motive (ovo istraživanje ju naručila tvrtka Liquid Machines). No, i bez dužnog opreza vjerujem da ćete se suglasiti s rezultatima. Odlazak zaposlenika jedan je od najelegantnijih oblika otuđivanja povjerljivih informacija, a ponekad i intelektualnog vlasništva. Zaposlenici na odlasku čak se i ne moraju izlagati osobitim rizicima: odlasci se obično planiraju dulje vrijeme i u završnom razdoblju na starom radnom mjestu biti će mnogo prilika za prikupljanje svih informacija, prije nego što se pojave sumnje kod nadređenih. Osim toga, mnoge vrijedne informacije mogu se prikupljati tijekom cijelog radnog odnosa a, jednostavno rečeno, mogu se i pamtiti (za sada ne postoji tehnologija brisanja podataka iz sivih ćelija). Stoga, ovaj visoki postotak ne čudi, no isto tako ne mora značiti da će sve informacije biti zloupotrebljene: možda novi poslodavci neće biti zaintersirani ili će im donešene informacije već biti poznate ili pak otuđene informacije nemaju specifičnu težinu. Rezultati ove ankete zapravo potvrđuju tezu koju u zadnje vrijeme zastupaju neki stručnjaci a govori o tome da se sigurnosne mjere moraju biti provođene iz središta prema vanjskom okruženju, a ne obrnuto. Drugim riječima, pažnja sigurnosnih timova mora biti fokusirana na podatke a tek onda na perimetar. Tradicionalnim pristupom, primjena sigurnosnih tehnologija u najvećoj se mjeri bavi perimatarskom infrastrukturom i prijetnjama koje dolaze iz vanjskog okruženja.
Visoki postotak na koji nas upućuje objavljeno istraživanje potvrđuje i procjene, stare gotovo cijelo desetljeće, da je približno tri četvrtine računalnih delikata uzrokovano ponašanjem "insidera". Još do nedavno mogla su se pročitati osporavanja takvih procjena, no kvaliteta i vrijednost poslovnih informacija te neprobojnost perimetarskih zaštitinih tehnologija, upućuju dovoljno motivirane strane da prolaz do atraktivnih informacija pronađu zaobilaženjem Interneta - dakle pronalaženjem najslabijih karika u unutarnjoj organizaciji (te iskorištavanjem nelojalnih zaposlenika).
Visoki postotak na koji nas upućuje objavljeno istraživanje potvrđuje i procjene, stare gotovo cijelo desetljeće, da je približno tri četvrtine računalnih delikata uzrokovano ponašanjem "insidera". Još do nedavno mogla su se pročitati osporavanja takvih procjena, no kvaliteta i vrijednost poslovnih informacija te neprobojnost perimetarskih zaštitinih tehnologija, upućuju dovoljno motivirane strane da prolaz do atraktivnih informacija pronađu zaobilaženjem Interneta - dakle pronalaženjem najslabijih karika u unutarnjoj organizaciji (te iskorištavanjem nelojalnih zaposlenika).
Pretplati se na:
Postovi (Atom)