RiskAudit i revizija informacijskih sustava

Revizija informacijskih sustava je česta tema ovih zapisa. O IT reviziji se može govoriti prilično uopćeno, a takav je, veoma često, i način percepcije revizije informacijskih sustava u našim tvrtkama. No, IT revizija postaje realnost i obaveza. Upravo iz tog razloga je Borea obnovila i redefinirala poslovnu uslugu RiskAudit. Ova se usluga u svojoj prvoj fazi primjene odnosila na opću procjenu sigurnosti informacijskog sustava. Uključivala je i tehničke i organizacijske sigurnosne mjere, model primjene podrazumijevao je sporadične provjere na incijativu IT odjela, a rijetko uprave ili interne revizije. No, s obzirom da i kod nas dolaze vremena kada će se o reviziji informacijskog sustava početi razmišljati na sustavan način (vrijedni izuzeci već razmišljaju na takav način), Borea je prilagodila model provedbe poslovne usluge RiskAudit zahtjevima interne revizije. Glavni cilj je pružiti pomoć tvrtkama koje nemaju vlastite timove revizora informacijskih sustava ili takvi timovi nisu dovoljno ekipirani. RiskAudit se može izvoditi prema "outsourcing" modelu – dakle kao potpuni proces revizije informacijskog sustav – ili prema "co-sourcing" modelu – pružanje parcijalne pomoći postojećim timovima za IT reviziju.

Nedavno sam odgovarao na pitanje u čemu je razlika između "security assessment-a" (RiskAudit prema prethodnoj definiciji) i "IT Audit-a" (RiskAudit prema obnovljenoj definiciji). To je i česta tema specijaliziranih foruma koji okupljaju stručnjake za informacijsku sigurnost i reviziju. Pobornik sam stava da se suštinski, a velikim dijelom i izvedbeno, radi o istim stvarima. I "assessment" i "audit" moraju biti provedeni jednako kompetentno, detaljno i točno. Oba se procesa mogu defnirati u kontinuitetu. Osnovna je razlika u tome što IT Audit mora biti formalno utemeljen i izveden u kontekstu interne ili eksterne revizije, sukladno tako postavljenim ciljevima. "Security Assessment" ima različit formalni okvir. Njegovi naručitelji će biti i informatički odjeli i odjeli za informacijsku sigurnost, a naglasak će biti ili na testiranju sigurnosnih mjera (na razini projekta, aplikacije, pojedinačnih komponenti sustava...), ili na operativnom praćenju kvalitete ukupnih sigurnosnih mjera. Vjerujem da ćemo uskoro biti svjedoci konvergencije ovih modela, a naša se usluga nastavlja razvijati u tom pravcu.

Societe Generale: 45 dana poslije

Kakva je veza između intervjua virtualnog premijera Jutarnjem listu i senzacionalnog gubitka u francuskoj banci Societe Generale? U oba je slučaja manipulacija elektroničkom poštom odigrala određenu ulogu. U slučaju Jutarnjeg lista, elektronička pošta bila je ključni element zapleta, dok je u slučaju francuske banke elektronička pošta bila jedan od elemenata koje je koristio Jerome Kerviel u prikrivanju svojih transakcija. Naime, negdje pred kraj cijele avanture, Kerviel se "pokrio" e-mailom navodno pristiglim iz Deutsche Bank, a koji je do daljnjega trebao potvrditi uspješnost Kervielovih transakcija. No, Societe Generale je ipak provjerio autentičnost maila i pokazalo se da Deutsche Bank nema pojma o ovim porukama. To je, ujedno, bio i detonator koji je pokrenuo cijeli slučaj. Ova epizoda potvrđuje jednostavnost krivotvorenja elektroničke pošte i poučava da je, ako se e-mail želi koristiti kao mehanizam u kritičnim poslovnim transakcijama, potrebno koristiti takve sustave koji jamče očuvanje autentičnosti poruke i onemogućuju naknadni opoziv transakscija.

Prije dva tjedna objavljen je preliminarni izvještaj o slučaju Societe Generale. Izvještaj je izradila neovisna komisija, a posebno upada u oči činjenica da je tijekom 2006. i 2007. bilo 75 upozorenja o djelovanju Kerviela upućenih od njegovih kolega i izvedenih iz analiza poslovnih rizika. Nadležne osobe nisu reagirale na pravi način. Ostaje pitanje jesu li propustile primjetiti značaj indikatora koji pojedinačno možda nisu bili preupadljivi, no sagledani u ukupnom kontekstu morali su zvoniti na uzbunu? Ili su nadležne osobe bile opijene tadašnjim uspjesima Kerviela te su bili spremne previdjeti indikatore? Upravo je ova druga teza i glavno uporište Kervielove obrane koji tvrdi da ga je management mogao spriječiti da je to htio.

Izvještaj je potvrdio da je manipulacija s korisničkim pravima i autentikacijom korisnika bilo glavno Kervielovo uporište među općim kontrolnim mjerama informacijskog sustava. Kerviel je imao ovlasti za rad na informacijskom sustavu koje su prekoračile ovlasti potrebne na njegovom radnom mjestu, koristio je ovlasti drugih osoba, pristupni sustav nije evidentirao informacije o ključnim događajima (ili takve informacije nisu bile provjeravane). Na koncu, krivotvorio je i sadržaj elektroničke pošte. Ovi nedostaci su kombinirani s manjkavostima aplikativnih kontrola i kumulativni efekt bio je razoran.

U kontekstu ovih stranica htio bih ukazati na tri ključne pouke koje svi moraju izvući iz slučaja Societe Generale.

Prvo, posvetite kontroli pristupnih prava puno više pažnje nego što vam se u određenom trenutku čini da je potrebno. Izbjegnite situaciju u kojoj će prevladati subjektivni osjećaj kako nema potrebe za jačim kontrolnim mjerama jer, eto, kod vas nije bilo do sada nikakvih slučajeva zloupotrebe. Ova pouka osobito vrijedi za članove uprave koji moraju dobro poznavati sve rizike i hrabro "sponzorirati" takve projekte. Rukovodstvo IT službe ili informacijske sigurnosti treba koristiti jezik i argumente koji razumije uprava, i prezentirati takve rizike na pravi način.

Drugo, obratite pažnju na sve indikatore koji govore o "insiderskim" napadima. Takvi indikatori nisu glasni poput onih koje izazivaju vanjski napadi, zahtjevaju puno više pažnje i bolju pripremu, a naročito poznavanje konteksta poslovnog procesa. "Insiderski" napadi se, uglavnom, ne otkrivaju iz poruka IDS sustava već strpljivom, ponekad dosadnom, analizom mnoštva rutinskih događaja.

Treće, kontinuirana revizija/provjera aplikativnih i općih kontrolnih mjera, a naročito onih koje su vezani za pristupni podsustav i procese upravljanja korisničkim pravima, mora postati prioritetna obveza. Dinamika takvih provjera prerasla je godišnji ritam revizije, te mora biti znatno češća.

Reafirmacija "risk-managementa"

"IT risk-management" ili upravljanje informacijskim rizicima sagledava se ponajprije kao aktivnost koja se odvija unutar operativne razine informacijskog sustava, kao prvenstveno tehnička disciplina, s minimalnom (tek neophodnom) interakcijom s upravljačkim procesima. Iako je risk-management ugrađen u temelje informacijske sigurnosti, naročito u procese upravljanja informacijskom sigurnošću, postoji latentna prijetnja deformacije ili čak minorizacije njegovog značenja. No trendovi koje donosi "Enterpise Risk Management" i zahtjevi ugrađeni u Basel II potiču reafirmaciju discipline upravljanja informacijskim rizicima, stavljajući je u kontekst upravljačkih procesa i povezujući je s upravljačkim procesima organizacije. No, ovaj put je ta veza postaje suštinska.

Usporedimo tradicionalnu poziciju upravljanja informacijskim rizicima. Nositelji procesa bili su predstavnici informatičkih službi. Glavni cilj bio je propisati kontrolne mjere (za što je dovoljno i pametno prepisivanje "best practice" dokumenata), ali uz adekvatne prioritete (upravo zbog toga "best practice" treba pojačati s poslovnim pogledom na potencijalne posljedice, tj. upravljati rizicma). Ipak, "risk management" je infomatičarima uglavnom izgledao trivijalano, a prakticirao se prije svega u kontekstu upravljanja kontinuitetom poslovanja. Njegova prava primjena u drugim segmentima informacijske sigurnosti uglavnom je izostajala (bez obzira na "best practice" dokumente ili profesionalne norme koje su inzistirale na "risk managementu").

"Risk management" je, dakle, gotovo banaliziran i trivijaliziran. No, tržišna regulacija i "Corporate Governance" incijative pojačavaju odgovornost rukovodstva, a time ponovo oživljavaju značaja "IT risk-managementa". Naime, upravljanje rizicima je važan instrument korporativnog upravljanja, a upravljanje informacijskim rizicima integrira se u taj instrument. Kao što sam već pisao na ovim stranicama, kod nas se ova incijativa pojavljuje kroz Smjernice HNB-a, a Odlukom HNB-a iz 2007., upravljanje rizikom informacijskog sustava mora biti uspostavljeno kao složen proces koji će obuhvaćati njegovu procjenu ali i njegovo kontinuirano praćenje. Ovo poglavlje Odluke mora biti provedeno do kraja ove godine.

Kako će banke odgovoriti na ovaj zahtjev? Prije svega, smatramo da se na ovaj zahtjev ne smije gledati površno, a banke ne bi trebale pristupiti samo sa ciljem jednokratnog i formalnog ispunjavanja obveze. Glavni problem predstavlja čijenice da mnoge banke nisu sasvim sigurne kome treba delegirati odgovornost za provedbu ovog zahtjeva. Gledajući terminološki, postojeće bankarske službe za upravljanje rizicima nameću se kao prvi kandidati. No, ove se službe se bave prije svega kreditnim rizicima, dok su operativni rizici (gdje treba ubroji i informacijske rizike) po svom karakteru i metodama upravljanja nešto drugo. Osim toga, kod informacijskih rizika dolazi do izražaja njihova horizontalna disperziranost među različitim organizacijskim procesima banke što sa sobom vuče potrebu "političke" spretnosti u provedbi procesa. Služba informacijske sigurnosti puno je bliža stručnom aspektu upravljanja rizicima, no pitanje je li u našim bankama uspjela dobiti na "političkoj" težini. (Napomena: pojam "politički" se, naravno, odnosi na organizacijske odnose unutar banke, a ne na parlamentarne odnose).

Nakon prvog koraka, određivanja nositelja procesa, slijedi njegova realizacija. Postoji nekoliko mogućih pristupa, no smatram da prije toga treba postaviti cjeloviti okvir provedbe Smjernica HNB-a (o čemu sam nedavno pisao). Na taj način će se modelirati mnogi važni elementi potrebni za uspostavu upravljanja rizikom informacijskim sustavima. Naročito bi trebalo inzistirati na uspostavi procesa provjere kontrolnih mjera koje bi trebale proizaći iz upravljanja rizicima ("compliance"). Sama aktivnost procjene rizika, koja bi inača izgledala kao tehnički zahtjevan zadatak, svesti će se na razumnije proporcije i postati prihvatljiviji zalogaj. Upravljanje informacijskim rizicima će, unatoč probavljivijim proporcijama, dobiti na svojoj težini i strateškom značaju.

Školski primjer socijalnog inžinjeringa

Još uvijek se nije stišala polemika vezana za slučaj intervjua virtualnog Sanadera u Jutarnjem listu. Nemam namjeru opredijeliti se oko toga je li posrijedi pomno planirana namještaljka ili profesionalni previd, no s obzirom da je izvedba samog scenarija povezana s primjenom informacijskih tehnologija (tj. elektroničke pošte) uz sve elemente socijalnog inžinjeringa, iznosim svoj pogled na taj slučaj.

Dakle, ostavimo po strani teorije zavjera i konkretna imena. Analizirajmo slučaj prema slijedećem modelu u kojem postoje dvije glavne komponente: s jedne strane imamo medije, koje ćemo za potrebe analize reducirati na Novine, a s druge strane imamo Javnost - korisnika sadržaja kojeg generiraju Novine. Odnos Javnosti i Novina postoji nekoliko stoljeća i podrazumijeva se da Novine nastupaju kao objektivni posrednik događaja, a da Javnost vjeruje novinama. Taj odnos je baziran na principu povjerenja Javnosti i odgovornom ponašanju Novina (elektronički mediji, uključujući i Internet, veoma će teško dosegnuti razinu povjerenje koja je tradicionalno označavala odnos Javnosti i Novina). Opisati ću ovaj odnos na još apstraktnijoj razini: Novine možemo predstaviti kao informacijski sustav a Javnost je korisnik ovog informacijskog sustava. Štoviše, Javnost je "vlasnik" podataka koje generira informacijski sustav Novine. Pri tome smatram da je princip javnog interesa za podatke koji se opisuju u Novinama jači od eventualnog tržišnog karaktera Novina i interesa njihovih vlasnika. Naravno, Novine mogu imati i određene sadržaje koji nisu u funkciji informiranja javnosti i za koje je vlasništvo definirano na drugi način, no u ovom slučaju nas ne zanima takav aspekt. Dakle, slučaj virtualnog premijera možemo protumačiti kao testiranje informacijskog sustava Novina. Vlasnik podataka - Javnost - odlučio je provjeriti postoje li manjkavosti informacijskog sustava Novine, a predmet provjere je način prikupljanja informacija.

Scenarij testiranja slijedi. Javnosti je poznata je praksa da Novine rade intervjue korištenjem elektroničke pošte. Elektronička pošta je poznata kao jedan od najmanje sigurnih načina komunikacije, kako zbog mogućnosti lažne identifikacije korisnika tako i zbog mogućnosti modifikacije sadržaja. Dobra praksa informacijske sigurnosti preporuča korisnicima da e-mail ne koriste za izmjenu povjerljivih informacija ili sadržaja. Javnost je napravila jednu vrstu penetracijskog testa (dobro, ne baš klasični tehnički penetracijski test, nego onaj u kojem se provjerava mogućnost socijalnog inžinjeringa) kako bi provjerila hoće li Novine objaviti informaciju iz neautentičnog izvora. Test je pomno pripremljen, a naglasak je bio na modifikaciji izvora poruke, a ne na falsificiranju sadržaja (da je kojim slučajem ponuđen senzacionalistički ili neuvjerljiv sadržaj, Novine bi, vjerujem, provjerile njihovu vjerodostojnost čime test ne bi uspio). Rezultat smo vidjeli. Novine su povjerovale elektroničkom mailu i objavili nevjerodostojnu informaciju (to što je svima zvučila uvjerljivo, druga je priča). Informacijski sustav Novine mora, dakle, proraditi na vlastitim sigurnosnim mjerama.

Je li javnost imala pravo na takav test? Ako prihvatimo da je Javnost "vlasnik" podataka koje Novine objavljuju, onda ima pravo na takav test. Pored toga, moramo znati da Novine često objavljuju pogrešne informacije, da Javnost nema mogućnosti ispravka takvih informacija na proporcionalan način, te da Javnost često ima i direktne materijalne posljedice zbog objave pogrešnih informacija.

Ovo je, naravno, jedan pozitivan pogled na cijeli slučaj bez namjere glorifikacije pokretača ovog scenarija i bez namjere omalovažavanja novinara koji je nasjeo ovim scenariju. Moje simpatije za ovaj slučaj biti će znatno umanjene ako se pokaže da je cijeli scenarij rezultat nečije zavjere - konkurencije, tajnih službi, zlobnih kolega, ili možda, vlasnika restorana kojeg je Davor Butković negativno ocjenio.

Jedinstveni porezni broj i zaštita osobnih podataka

Prema najavama iz Ministarstva financija, svaki će hrvatski građanin (i tvrtka) ove godine dobiti jedinstveni porezni broj, čime će porezni sustav dobiti neophodan mehanizam za kontrolu prihoda građana. O jedinstvenom poreznom broju jučer je pisao i Vjesnik. U članku se se, međutim, iznosi jedna teza koja se povlači u javnosti još od diskusije koja je pratila ukidanje jedinstvenog matičnog broja građana. Autor članka kaže da "... za razliku od JMBG-a, on ne bi smio otkrivati osobne podatke". To je nadamo se točno. Novi jedinstevni porezni broj ne bi trebao svojim sadržajem ni na koji način ukazivati na određeni osobni aspekt njegovog nositelja. No, iz članka (a i ranije iz diskusije o ukidanju JMBG-a) mogao bi se steći zaključak da je sporni sadržaj samog broja jedini sigurnosni problem koji taj broj prati. To naravno nije točno i trebalo bi svakako uzeti u obzir prije izrade konačnih zakonskih prijedloga.

Jednistveni porezni broj, makar neće sadržavati godinu ili mjesto rođenja svog nositelja, biti će ključ za pristup u veoma delikatne privatne podatke građana. Stoga bi neotkrivanje sadržaja takvog broja trebao biti jaki zahtjev kod izrade zakonskih prijedloga, a građani bi trebali biti upozoreni na njegovo čuvanje, tj. neotkrivanje. U ovom trenutku nemam ni najmanje informacija kako će izgledati zakonska regulativa, no ako se bude htjelo poreznim brojem pratiti imovinsko stanje poreznih obveznika ili pak povezati npr. podatke Središnje depozitarne agencije (kako navodi Vjesnikov novinar) onda se može očekivati da će sadržaj broja biti dostupan institucijama izvan infarstrukture državne uprave (hoće li prodavači automobila bilježiti porezne brojeve svojih kupaca kako bi obavijestili poreznu upravu o transakciji?). Ako se tu uključe i banke ili druge financijske institucije, onda ćemo vrlo brzo doći do toga da će svaka transakcija koju obavimo biti označena našim poreznim brojem. Zloupotreba tog broja biti će samo korak daleko.

Rješenja za ovaj problem postoje i nadamo se da će Vlada prilikom izrade zakona, ali i njegovih provedbenih propisa konzultirati stručnjake. Korištenje poreznog broja trebalo bi ograničiti samo na neophodne slučajeve, a transakcije u kojima će se koristiti porezni broj trebale bi uzeti u obzir neke od tehničkih rješenja koji omogućuju njegovu enkripciju i čuvanje povjerljivosti. No, građani bi morali već u ovoj fazi biti svjesni da porezni broj nije javni podatak, bez obzira na to da sam po sebi ne sadrži osobne podatke.