Prema najavama iz Ministarstva financija, svaki će hrvatski građanin (i tvrtka) ove godine dobiti jedinstveni porezni broj, čime će porezni sustav dobiti neophodan mehanizam za kontrolu prihoda građana. O jedinstvenom poreznom broju jučer je pisao i Vjesnik. U članku se se, međutim, iznosi jedna teza koja se povlači u javnosti još od diskusije koja je pratila ukidanje jedinstvenog matičnog broja građana. Autor članka kaže da "... za razliku od JMBG-a, on ne bi smio otkrivati osobne podatke". To je nadamo se točno. Novi jedinstevni porezni broj ne bi trebao svojim sadržajem ni na koji način ukazivati na određeni osobni aspekt njegovog nositelja. No, iz članka (a i ranije iz diskusije o ukidanju JMBG-a) mogao bi se steći zaključak da je sporni sadržaj samog broja jedini sigurnosni problem koji taj broj prati. To naravno nije točno i trebalo bi svakako uzeti u obzir prije izrade konačnih zakonskih prijedloga.
Jednistveni porezni broj, makar neće sadržavati godinu ili mjesto rođenja svog nositelja, biti će ključ za pristup u veoma delikatne privatne podatke građana. Stoga bi neotkrivanje sadržaja takvog broja trebao biti jaki zahtjev kod izrade zakonskih prijedloga, a građani bi trebali biti upozoreni na njegovo čuvanje, tj. neotkrivanje. U ovom trenutku nemam ni najmanje informacija kako će izgledati zakonska regulativa, no ako se bude htjelo poreznim brojem pratiti imovinsko stanje poreznih obveznika ili pak povezati npr. podatke Središnje depozitarne agencije (kako navodi Vjesnikov novinar) onda se može očekivati da će sadržaj broja biti dostupan institucijama izvan infarstrukture državne uprave (hoće li prodavači automobila bilježiti porezne brojeve svojih kupaca kako bi obavijestili poreznu upravu o transakciji?). Ako se tu uključe i banke ili druge financijske institucije, onda ćemo vrlo brzo doći do toga da će svaka transakcija koju obavimo biti označena našim poreznim brojem. Zloupotreba tog broja biti će samo korak daleko.
Rješenja za ovaj problem postoje i nadamo se da će Vlada prilikom izrade zakona, ali i njegovih provedbenih propisa konzultirati stručnjake. Korištenje poreznog broja trebalo bi ograničiti samo na neophodne slučajeve, a transakcije u kojima će se koristiti porezni broj trebale bi uzeti u obzir neke od tehničkih rješenja koji omogućuju njegovu enkripciju i čuvanje povjerljivosti. No, građani bi morali već u ovoj fazi biti svjesni da porezni broj nije javni podatak, bez obzira na to da sam po sebi ne sadrži osobne podatke.
29.1.08
Dobro informirani insider
Otkrivanje velikog gubitka u Societe Generale i dovođenje tog gubitka u konetkst računalne prijevare, najveći je događaj u informacijskoj sigurnosti u ovoj godini (a s obzirom da je vezan za događaje u 2007. možemo ga naknadno uključiti u inventuru značajnih događaja za 2007.). Societe Generale, druga po veličini francuska banka, otkrila je prije desetak dana gubitke na jednom segmentu poslovanja dionicama u visini od 4.9 milijardi Eura. Gubici su ostvareni tokom 2007. i 2008. godine. Prema prvim izvještajima, krivac za ove gubitke je Jerome Kerviel, zaposlenik odjela banke koje je poslovalo na tržištu dionoica. Banka je 27.01.2007. objavila prvi detaljniji prikaz tijeka prijevare.
Prema tumačenju banke, nekoliko je faktora utjecalo na izvedbu scenarija prijevare.
Prvo, Kerviel je bio dobro informirani insider. Ne samo da je poznavao detalje poslovnog procesa u kojem je sudjelovao, nego je bio veoma upućen u kontrolne aktivnosti kojima se taj proces nadzire. Naime, do 2005. godine Kerviel je proveo pet godina u sektoru koji je bi nadležan za nadzor "tradera" i, bez obzira na sofisticiranost sustava upravljanja rizicima koji je u slučaju Societe Generale često istican kao vrhunski, upoznao je slabe točke tog nadzora.
Svoje znanje je iskoristio 2007. godine, tada već nekoliko godina zaposlen kao "trader" specifičnim instrumentima dioničkog tržišta, a drugi ključan faktor je Kervielovo poznavanje pristupnih ovlasti zaposlenika iz "back-office" odjela svoje službe. Otkrivanje i korištenje ovih ovlasti – nedvojbeno nedozvoljena aktivnost – preduvjet je trećeg faktora scenarija prijevare.
Kerviel je, koristeći tuđe ovlasti, prijavljivao nepostojeće, "pozitivne", transakcije čime je stvorio protutežu svojim neuspješnim poslovima, a sustav praćenja rizika nije takve izvještaje prepoznavao kao krivotvorinu. Time je krug zatvoren. Banka se, očigledno, pouzdala u sustav praćenja rizika koji je, vjerujem, veoma dobro predviđao sve vanjske – tržišne – komponente rizika, no nije predvidio mogućnost da netko iznutra potkopa njegovu stabilnost. Nadalje, dinamika procesa provjere aplikativnih kontrola i unutarnje revizije poslovanja prekasno je odgovorila na nastale događaje.
Čitajući prekjučerašnji izvještaj banke posebno upada u oči jednostavnost kojom se opisuje zloupotreba korisničkih ovlasti. Tek u dijelu jednog odlomka teksta nabraja se, među ostalim, i zloupotreba tuđih pristupnih prava, gotovo kao da se radi o uobičajenoj i razumljivoj praksi. Ovaj slučaj još jednom pokazuje da je kompleksna problematika upravljanja pristupnim pravima jedan od najvažnijih mehanizama kojim se štiti od insiderskih prijetnji. Ja li banka mogla što napraviti? Kerviel je, po svemu sudeći, do tuđih pristupnih prava došao na nedopušten način (sve opcije su moguće: od kopanja po ladicama svojih kolega pa do instalacije keylogger programa ili uređaja). Banka je trebala, prije svega, na vrijeme prepoznati potencijalne posljedice i u spomenuti segment poslovanja ugraditi mehanizme jake autentikacije koji bi jamčili fizičku prisutnost "prave" osobe koja provodi transakcije u "back-office" sustavu. Nadalje, ako je točno da je Kerviel intenzivno boravio u uredu (nakon radnog vremena, preko vikenda i praznika), sustav praćenja događaja je trebao zabilježiti takve indikatore i potaknuti dodatnu pravovremenu istragu. Sve spomenute mjere podrazumijevaju dodatni proračun i dodatne napore kod primjene, no dobra procjena rizika je trebala pokazati na opravdanost takvih mjera.
U ovom se slučaju ističe i činjenica da Kerviel nije ostvario financijsku dobit, što je možda sasvim točno. No, insiderski napadi nisu uvijek motivirani financijskom dobiti (iako najčešće jesu). Potencijalni motiv može biti želja za dokazivanjem, a s obzirom de se transakcije koje je Kerviel obavljao ponegdje nazivaju i klađenjem ("At some point last year, bank executives say, Mr. Kerviel started using futures on the European stock indexes to place huge bets that European markets would continue to rise", Wall Street Journal) ne bi me začudilo da se ovisnost o klađenju identificira kao ključni motiv.
Slučaj Societe Generale nam je na jedan plastičan način ukazao na činjenicu da su informacijske tehnologije srasle s poslovnim procesima. Osim pozitivnih perspektiva i potencijalnih dobitaka, informacijske tehnologije uz sebe vežu i brojne rizike. U ovom će slučaju posljedice svakako osjetiti Societe Generale i njihovi dioničari (morali su obaviti dokapitalizaciju kako bi pokrili gubitke, postali su, kako se čini, ranjivija meta za preuzimanje, a posljedice po reputaciju su očite). No, prema nekim analizama, paničan pokušaj spašavanja onog što se spasiti može utjecao je i na prošlotjedni pad vrijednosti dionica na svjetskim burzama (što je iz Societe Generale demantirano). Ako se potvrdi točnost takvog razvoja događaja, prvi put će se pokazati da informacijski propusti u jednoj kompaniji mogu djelovati na šire okruženje, a ne samo na vlasnike ili dioničare same kompanije. Zbog ovisnosti o klađenju?
23.1.08
COBIT: temelj za provedbu smjernica HNB
U završnom zapisu iz 2007. godine naveo sam najznačajnije događaje u informacijskoj sigurnosti za Hrvatsku. Jedan od događaja je i objava odluke Hrvatske narodne banke o primjerenom upravljanju informacijskim sustavom iz kolovoza 2007. Ova odluka osnažuje Smjernice HNB-a iz 2006. propisujući pojedinačne rokove realizacije za svako područja upravljanja informacijskim rizicima. Naravno, bankari su ove zahtjeve dočekali na različite načine. S jedne strane, neki su ukazali na dodatno opterećenje - ionako opterećenih - informatičkih službi u bankama. S druge strane, dalekovidniji/optimističniji se nadaju da bi ovi propisi mogli unijeti dodatnog reda u, ponekad, kaotično i improvizirajuće upravljanje informacijskim sustavima.
Tko bi trebao biti nositelj incijative za provedbu smjernica HNB-a? Kandidata ima nekoliko. IT služba se nameće nekako prirodno. No, smjernice prelaze okvire informatičkih odjela. Upravljanje rizikom informacijskog sustava, barem po imenu, ulazi u područje odgovornosti sektora koji se bave rizicima. Upravljanje kontinuitetom poslovanja obuhvaća posebene stručne timove ali dodiruje i poslovanje banaka u cjelini. Nemojte zaboraviti ni internu reviziju koja će ovim smjernicama dobiti nove obveze - reviziju informacijskog sustava.
Da bi provedba smjernica postala zajednički zadatak svih spomenutih strana, banke moraju izabrati zajednički radni okvir utemeljen na opće prihvaćenom standardu.
Čemu se treba okrenuti? Ja sam namjere smjernica HNB-a komentirao u studenom prošle godine na CIO konferenciji u Zagrebu i Ljubljani, te sam istaknuo da se smjernice moraju pročitati kao inovativni poticaj koji će pomoći u provedbi IT Governance incijativa. Zapravo, IT Governance mora biti opći okvir čije bi donošenje i provedba trebalo ako ne prethoditi, onda barem olakšati provedbu samih smjernica. Stoga se kao najbolje rješenje za radni okvir kod provedbe smjernica HNB-a nameće COBIT. COBIT u sebi sadrži mehanizam za izbor i praćenje provedbe kontrolnih mjera. Dakle, biti će od velike pomoći u početnoj fazi provedbe smjernica - upravljanju rizikom informacijskog sustava. Izbor kontrolnih mjera poslužiti će odjelu interne revizije za uspostavu metodologije revizije informacijskog sustava, ali i za provedbu same revizije. Nadalje, COBIT sadrži i mnoge alate pomoću kojih je moguće provesti potrebne mjere. Mislim prije svega na publikacije koje objavljuje ITGI Institute, a posebno su inspirativni IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance i IT Control Objectives for Sarbanes-Oxley. Pogledajte svakako i COBIT Mapping: ISO/IEC 177995:2005 With Cobit 4.0 zato što jako dobro ilustrira komplementarnost dviju općeprihvaćenih normi, te ukazuje područja u kojima je uloga COBIT-a nenadomjestiva (mislim na procese praćenja uspješnosti provedbe i kontinuiranog nadzora sigurnosnih procesa).
(NAPOMENA: Neki od gornjih dokumenata su dostupni samo članovima ISACA-e)
Primjenom COBIT-a postiže se nekoliko doprinosa. Prvo, snizuju se troškovi postupka provedbe. Drugo, ugrađuje se mehanizam za djelotvornu provjeru provedenih mjera, čime se već sada stvaraju preduvjeti za niže troškove budućih redovitih revizija. Treće, uprava će moći u kratkom roku primjeniti neophodne IT Governance procese. Pored toga, treba predvidjeti da će se s vremenom pojaviti i dodatni regulatorni zahtjevi. Primjenom COBITA već u ovoj fazi obavili ste skoro polovicu budućih zadataka.
Tko bi trebao biti nositelj incijative za provedbu smjernica HNB-a? Kandidata ima nekoliko. IT služba se nameće nekako prirodno. No, smjernice prelaze okvire informatičkih odjela. Upravljanje rizikom informacijskog sustava, barem po imenu, ulazi u područje odgovornosti sektora koji se bave rizicima. Upravljanje kontinuitetom poslovanja obuhvaća posebene stručne timove ali dodiruje i poslovanje banaka u cjelini. Nemojte zaboraviti ni internu reviziju koja će ovim smjernicama dobiti nove obveze - reviziju informacijskog sustava.
Da bi provedba smjernica postala zajednički zadatak svih spomenutih strana, banke moraju izabrati zajednički radni okvir utemeljen na opće prihvaćenom standardu.
Čemu se treba okrenuti? Ja sam namjere smjernica HNB-a komentirao u studenom prošle godine na CIO konferenciji u Zagrebu i Ljubljani, te sam istaknuo da se smjernice moraju pročitati kao inovativni poticaj koji će pomoći u provedbi IT Governance incijativa. Zapravo, IT Governance mora biti opći okvir čije bi donošenje i provedba trebalo ako ne prethoditi, onda barem olakšati provedbu samih smjernica. Stoga se kao najbolje rješenje za radni okvir kod provedbe smjernica HNB-a nameće COBIT. COBIT u sebi sadrži mehanizam za izbor i praćenje provedbe kontrolnih mjera. Dakle, biti će od velike pomoći u početnoj fazi provedbe smjernica - upravljanju rizikom informacijskog sustava. Izbor kontrolnih mjera poslužiti će odjelu interne revizije za uspostavu metodologije revizije informacijskog sustava, ali i za provedbu same revizije. Nadalje, COBIT sadrži i mnoge alate pomoću kojih je moguće provesti potrebne mjere. Mislim prije svega na publikacije koje objavljuje ITGI Institute, a posebno su inspirativni IT Control Objectives for Basel II: The Importance of Governance and Risk Management for Compliance i IT Control Objectives for Sarbanes-Oxley. Pogledajte svakako i COBIT Mapping: ISO/IEC 177995:2005 With Cobit 4.0 zato što jako dobro ilustrira komplementarnost dviju općeprihvaćenih normi, te ukazuje područja u kojima je uloga COBIT-a nenadomjestiva (mislim na procese praćenja uspješnosti provedbe i kontinuiranog nadzora sigurnosnih procesa).
(NAPOMENA: Neki od gornjih dokumenata su dostupni samo članovima ISACA-e)
Primjenom COBIT-a postiže se nekoliko doprinosa. Prvo, snizuju se troškovi postupka provedbe. Drugo, ugrađuje se mehanizam za djelotvornu provjeru provedenih mjera, čime se već sada stvaraju preduvjeti za niže troškove budućih redovitih revizija. Treće, uprava će moći u kratkom roku primjeniti neophodne IT Governance procese. Pored toga, treba predvidjeti da će se s vremenom pojaviti i dodatni regulatorni zahtjevi. Primjenom COBITA već u ovoj fazi obavili ste skoro polovicu budućih zadataka.
7.1.08
Ima li "crva" u avionu?
Kada se govori o računalnoj sigurnosti onda se često koristi slikovita analogija sa zrakoplovima. pa se zna reći npr. "kada bi zrakoplovi bili ranjivi kao računalni sustavi onda bi se zrakoplovne nesreće dešavale svaki dan". Time se, naravno, želi ukazati na površnost realizacije i neadekvatnost testiranja računalnih sustava te na brojnost kritičnih računalnih ranjivosti, nasuprot kojima se ukazuje na inžinjersku preciznost pri konstrukciji zrakoplova. No, kako se čini, ovome bi mogao doći kraj. Časopis Wired objavio je kako je FAA, američka agencija za regulaciju i nadzor civilnog zračnog prometa, utvrdila probleme na najnovijem Boeingu 787 Dreamliner. Spomenuti nedostaci se odnose na mrežni sustav novog zrakoplova koji putnicima omogućuje pristup Internetu. Testiranja su pokazala da postoji fizička povezanost mreže koja je namijenjena putnicima s onom koja se koristi za upravljanje kritičnim komponentama zrakoplovom, uključujući navigaciju i komunikacijski sustav, pa je tako moguć pristup putnika do središnjih komponenti za kontrolu zrakoplova.
Boeingu ostaje dovoljno vremena - do prve komercijalne isporuke novog modela tijekom 2008 - za ispravak ove greške. No, ovaj slučaj ne bi trebalo promatrati kao izdvojeni incident. Računalni potencijali su odavno prešli granice servera ili osobnih računala, te tradicionalnih računalnih mreža. Polako se navikavamo na gotovo neograničene mogućnosti umrežavanja i dostupnost najraznovrsnijih mrežnih servisa. Razvoj novih proizvoda diktirana je tržišnim zahtjevima, a pouzdanost rješenja postaje prva žrtva ove utrke. Stoga, ovaj događaj možemo sagledati i kao najavu za godinu koja je nastupila: programske ranjivost nalaze se na mjestima na kojima ih do sada niste očekivali.
Boeingu ostaje dovoljno vremena - do prve komercijalne isporuke novog modela tijekom 2008 - za ispravak ove greške. No, ovaj slučaj ne bi trebalo promatrati kao izdvojeni incident. Računalni potencijali su odavno prešli granice servera ili osobnih računala, te tradicionalnih računalnih mreža. Polako se navikavamo na gotovo neograničene mogućnosti umrežavanja i dostupnost najraznovrsnijih mrežnih servisa. Razvoj novih proizvoda diktirana je tržišnim zahtjevima, a pouzdanost rješenja postaje prva žrtva ove utrke. Stoga, ovaj događaj možemo sagledati i kao najavu za godinu koja je nastupila: programske ranjivost nalaze se na mjestima na kojima ih do sada niste očekivali.
31.12.07
Pogled na 2007. godinu
Pogled unatrag na godinu koja je na izmaku, izuzetno je neoriginalan način zaključivanja tekuće godine i pripreme za slijedeću. No, s obzirom da ove stranice nisu bile ažurne kako sam planirao prije pokretanja bloga, dozvoljavam si ovu neoriginalnost i na kraju godine objavljujem pogled na informacijsku sigurnost u 2007. u Hrvatskoj.
Ako informacijsku sigurnost sagledavamo kroz sigurnosne incidente, onda svakako moramo biti zadovoljni što je Hrvatska još uvijek izvan matrice tipičnih incidenata koji su u svijetu dominirali ove godine. Dakle, u Hrvatskoj nije bilo slučajeva gubitka ili krađe podataka velikih razmjera koji bi ugrozili privatnost naših građana, a takvih je događaja u međunarodnim razmjerima bilo izuzetno puno (s, ponegdje, katastrofalnim posljedicama - pogledaje pregled deset najvećih u 2007. na ovoj stranici). No, kada kažem da nije bilo takvih slučajeva, onda moram naglasiti da nije bilo zabilježenih slučajeva. Kod nas se još uvijek smatra da su se sigurnosni incidenti dogodili tek kada je netko direktno osjetio posljedice. Nažalost, incidenti u infomacijskoj sigurnosti postoje i onda kada ih direktno ne zamjećujemo, a mnoge zamjećujemo tek sa znatnim vremenskim odmakom i ponekad veoma posredno. Ipak, smatram da doista nije bilo incidenata velikih razmjera, no ponajprije zahvaljujući činjenici da potencijalni dobitak nije dovoljno atraktivan napadačima (zbog manjeg tržišta, što sa sobom podrazumijeva i manji opseg potencijalnih žrtava, npr. kada govorimo o krađi identiteta "phishing" napadima).
Ipak, takav trend neće trajati vječno, a dokaz je i oblik računalnog kriminala koji je dominirao medijima u Hrvatskoj ove godine. Vjerujem da pamtite slučajeve prijevara na bankomatima koje su pogodile nekoliko hrvatskih banaka i mnoge njihove klijente. Rekao bih da je takvih slučajeva bilo više nego u proteklim godinama, a to može argument koji nas upućuje da ekonomija računalnog kriminala opravdava napadačima ulazak i na naše "tržište": rezultati neće možda biti opsegom značajni kao na tržištu od nekoliko desetaka miljuna potencijalnih žrtava, no troškovi realizacije napada su sve niži a mogućnost zadržavanja anonimnosti napadača jednako visoka, pa možemo očekivati da će se takvi incidenti proširiti i na "moderne" oblike računalnog kriminala (ako uopće smijemo zloupotrebe na bankomatima nazvati nemodernim).
Treba spomenuti i drugi slučaj koji je vladao naslovnicama novina. Zaposlenici jedne velike banke isplatili su veliki iznos u "cashu" osobi na temelju falsificiranih podataka o identitetu (tj. falsificirane putovnice). Iako sredstvo pomoću kojeg je napravljena prijevara ne spada u računalni resurs (falsificirana je putovnica a ne digitalni identitet), ovaj je slučaj školski primjer "insiderskog" računalnog kriminala, zato što su, prema novinskim napisima, počinitelji - zaposlenik/zaposlenici banke, došli do ključnih informacija uvidom u bazu podataka (moram istaknuti da sam o cijelom slučaju isključivo upoznat na temelju novisnikih napisa i nije mi poznat nikakav drugi detalj o načinu izvršenja). Po svemu sudeći, radi se o zloupotrebi ili pogrešnoj dodjeli pristupnih prava informacijskom sustavu, možda i o socijalnom inžinjeringu te nepoštovanju propisane procedure. Također, ovaj slučaj nam govori o potencijalnim nedostacima korištenja tradicionalne tehnologije (identifikacija putovnicom) u kombinaciji s informacijskom tehnologijom.
Godina na izmaku je donijela i dvije novosti na području zakonske regulative: Odluku HNB-a o primjerenom upravljanju informacijskim sustavom i Zakon o informacijskoj sigurnosti.
Odluka HNB-a, koju treba čitati u kontekstu ranije objavljenih Smjernica HNB-a za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika (iz 2006.) značajno će utjecati na provedbu mjera informacijske sigurnosti u bankama te pridonosi stvaranju pozitivnih trendova u upravljanju informacijskim rizicima, a kakvi postoje u svijetu već nekoliko godina. Vjerujem da će ubrzo i druga državna tijela ili agencije morati regulirati pitanja informacijske sigurnosti na sličan način (sukladno dostignućima EU).
U srpnju je izglasan i Zakon o informacijskoj sigurnosti. Ovaj zakon bi trebao potaknuti uređenje problematike sigurnosti informacija za tijela državne vlasti. Kad kažem potaknuti, onda ukazujem na činjenicu da se pitanja sigurnosti moraju rješavati brojnim provedbenim aktima (standardi i pravilnici), a koje i sam zakon (koji ima tek nekoliko stranica) predviđa. Stoga, u ovom trenutku ne možemo reći da je zakon imao neki osobiti učinak jer treba pričekati provedbene dokumente. Zakon predviđa donošenje provebenih dokumentata u roku od 6 mjeseci, što bi trebalo značiti do kraja siječnja 2008. Naravno, ne očekujem ove dokumente u predviđenom roku, no iskustvo nam govori da bi donošenje pravilnika kao i realizacija ovog zakona mogla biti veoma dugotrajna i teška. Iskreno se nadam da će me praksa demantirati i u tom ću slučaju svakako priznati pogrešnu procjenu.
Na kraju obećanje za 2008: obećajem da će stranice ovog bloga biti puno ažurnije!
Ako informacijsku sigurnost sagledavamo kroz sigurnosne incidente, onda svakako moramo biti zadovoljni što je Hrvatska još uvijek izvan matrice tipičnih incidenata koji su u svijetu dominirali ove godine. Dakle, u Hrvatskoj nije bilo slučajeva gubitka ili krađe podataka velikih razmjera koji bi ugrozili privatnost naših građana, a takvih je događaja u međunarodnim razmjerima bilo izuzetno puno (s, ponegdje, katastrofalnim posljedicama - pogledaje pregled deset najvećih u 2007. na ovoj stranici). No, kada kažem da nije bilo takvih slučajeva, onda moram naglasiti da nije bilo zabilježenih slučajeva. Kod nas se još uvijek smatra da su se sigurnosni incidenti dogodili tek kada je netko direktno osjetio posljedice. Nažalost, incidenti u infomacijskoj sigurnosti postoje i onda kada ih direktno ne zamjećujemo, a mnoge zamjećujemo tek sa znatnim vremenskim odmakom i ponekad veoma posredno. Ipak, smatram da doista nije bilo incidenata velikih razmjera, no ponajprije zahvaljujući činjenici da potencijalni dobitak nije dovoljno atraktivan napadačima (zbog manjeg tržišta, što sa sobom podrazumijeva i manji opseg potencijalnih žrtava, npr. kada govorimo o krađi identiteta "phishing" napadima).
Ipak, takav trend neće trajati vječno, a dokaz je i oblik računalnog kriminala koji je dominirao medijima u Hrvatskoj ove godine. Vjerujem da pamtite slučajeve prijevara na bankomatima koje su pogodile nekoliko hrvatskih banaka i mnoge njihove klijente. Rekao bih da je takvih slučajeva bilo više nego u proteklim godinama, a to može argument koji nas upućuje da ekonomija računalnog kriminala opravdava napadačima ulazak i na naše "tržište": rezultati neće možda biti opsegom značajni kao na tržištu od nekoliko desetaka miljuna potencijalnih žrtava, no troškovi realizacije napada su sve niži a mogućnost zadržavanja anonimnosti napadača jednako visoka, pa možemo očekivati da će se takvi incidenti proširiti i na "moderne" oblike računalnog kriminala (ako uopće smijemo zloupotrebe na bankomatima nazvati nemodernim).
Treba spomenuti i drugi slučaj koji je vladao naslovnicama novina. Zaposlenici jedne velike banke isplatili su veliki iznos u "cashu" osobi na temelju falsificiranih podataka o identitetu (tj. falsificirane putovnice). Iako sredstvo pomoću kojeg je napravljena prijevara ne spada u računalni resurs (falsificirana je putovnica a ne digitalni identitet), ovaj je slučaj školski primjer "insiderskog" računalnog kriminala, zato što su, prema novinskim napisima, počinitelji - zaposlenik/zaposlenici banke, došli do ključnih informacija uvidom u bazu podataka (moram istaknuti da sam o cijelom slučaju isključivo upoznat na temelju novisnikih napisa i nije mi poznat nikakav drugi detalj o načinu izvršenja). Po svemu sudeći, radi se o zloupotrebi ili pogrešnoj dodjeli pristupnih prava informacijskom sustavu, možda i o socijalnom inžinjeringu te nepoštovanju propisane procedure. Također, ovaj slučaj nam govori o potencijalnim nedostacima korištenja tradicionalne tehnologije (identifikacija putovnicom) u kombinaciji s informacijskom tehnologijom.
Godina na izmaku je donijela i dvije novosti na području zakonske regulative: Odluku HNB-a o primjerenom upravljanju informacijskim sustavom i Zakon o informacijskoj sigurnosti.
Odluka HNB-a, koju treba čitati u kontekstu ranije objavljenih Smjernica HNB-a za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika (iz 2006.) značajno će utjecati na provedbu mjera informacijske sigurnosti u bankama te pridonosi stvaranju pozitivnih trendova u upravljanju informacijskim rizicima, a kakvi postoje u svijetu već nekoliko godina. Vjerujem da će ubrzo i druga državna tijela ili agencije morati regulirati pitanja informacijske sigurnosti na sličan način (sukladno dostignućima EU).
U srpnju je izglasan i Zakon o informacijskoj sigurnosti. Ovaj zakon bi trebao potaknuti uređenje problematike sigurnosti informacija za tijela državne vlasti. Kad kažem potaknuti, onda ukazujem na činjenicu da se pitanja sigurnosti moraju rješavati brojnim provedbenim aktima (standardi i pravilnici), a koje i sam zakon (koji ima tek nekoliko stranica) predviđa. Stoga, u ovom trenutku ne možemo reći da je zakon imao neki osobiti učinak jer treba pričekati provedbene dokumente. Zakon predviđa donošenje provebenih dokumentata u roku od 6 mjeseci, što bi trebalo značiti do kraja siječnja 2008. Naravno, ne očekujem ove dokumente u predviđenom roku, no iskustvo nam govori da bi donošenje pravilnika kao i realizacija ovog zakona mogla biti veoma dugotrajna i teška. Iskreno se nadam da će me praksa demantirati i u tom ću slučaju svakako priznati pogrešnu procjenu.
Na kraju obećanje za 2008: obećajem da će stranice ovog bloga biti puno ažurnije!
Pretplati se na:
Postovi (Atom)