Nakon objave prošlog teksta dobio sam nekoliko upita o pristupu samom dokumentarcu "60 Minutes". Ovdje objavljujem video u dva dijela (spušteno s YouTube).
16.11.09
9.11.09
Veoma poučan dokumentarac
Sinoć je na CBS-u prikazan redoviti tjedni magazin "60 Minutes", a bavio se osjetljivošću tehnološke infrastrukture Sjedinjenih država i podložnošću pojedinih dijelova ove infrastrukture hackerskim napadima, naročito u "cyberwar" kontekstu.
Kao zanimljiva ilustracija, iznesen je i podatak o dva velika ispada elektro-opskrbnog sustava Brazila u 2005. i 2007. godini. Ovaj kasniji je potrajao dva dana i zahvatio je nekoliko milijuna stanovnika (istini za volju, brazilska je vlada prije par dana, a povodom emitiranja ove emisije, objavila da nije bilo nikakvih hackerskih napada u ovim slučajevima, no što mislite tko ima bolje informacije?). Svakako preporučujem ovu epizodu svima koji donose odluke o mjerama sigurnosti informacijskog sustava, na svim razinama i u bilo kakvim slučajevima. Potražite je na stranici http://www.cbs.com/primetime/60_minutes/ - naslov je Sabotaging the System.
Osvrnuti ću se na teze iznesene u emisiji. Američki kongresnici su utvrdili da su informatičke komponente njihovog elektroopskrbog sustava izuzetno ranjive na hackerske napade, a potencijalne posljedice su izuzetno velike. Zapravo, takvi su se slučajevi već i događali u nedavnoj prošlosti. U emisiji se govori i o slučaju, nedavno jako spominjanom, infiltracije stranih hackera na sustave vladinih organizacija, uključujući i one ministarstva obrane. Tom prilikom je iz ovih sustava iscurilo 1 TB podataka.
Kako bi se Hrvatska snašla u "Cyberwaru"? Ili je možda bolje ovo pitanje preformulirati: "Kako se Hrvatska snalazi u "Cyberwaru"?
Kao zanimljiva ilustracija, iznesen je i podatak o dva velika ispada elektro-opskrbnog sustava Brazila u 2005. i 2007. godini. Ovaj kasniji je potrajao dva dana i zahvatio je nekoliko milijuna stanovnika (istini za volju, brazilska je vlada prije par dana, a povodom emitiranja ove emisije, objavila da nije bilo nikakvih hackerskih napada u ovim slučajevima, no što mislite tko ima bolje informacije?). Svakako preporučujem ovu epizodu svima koji donose odluke o mjerama sigurnosti informacijskog sustava, na svim razinama i u bilo kakvim slučajevima. Potražite je na stranici http://www.cbs.com/primetime/60_minutes/ - naslov je Sabotaging the System.
Osvrnuti ću se na teze iznesene u emisiji. Američki kongresnici su utvrdili da su informatičke komponente njihovog elektroopskrbog sustava izuzetno ranjive na hackerske napade, a potencijalne posljedice su izuzetno velike. Zapravo, takvi su se slučajevi već i događali u nedavnoj prošlosti. U emisiji se govori i o slučaju, nedavno jako spominjanom, infiltracije stranih hackera na sustave vladinih organizacija, uključujući i one ministarstva obrane. Tom prilikom je iz ovih sustava iscurilo 1 TB podataka.
Kako bi se Hrvatska snašla u "Cyberwaru"? Ili je možda bolje ovo pitanje preformulirati: "Kako se Hrvatska snalazi u "Cyberwaru"?
25.10.09
Hrvatski Enron
Je li slučaj Podravska hrvatski Enron (zanemariti ću, za potrebe ovog napisa, politički kontekst ove afere)?
Sličnosti su brojne. U oba je slučaja protagonist akcije bio management ovih tvrtki. U oba slučaja možemo govoriti o izvedbi sofisticiranog poslovno-financijskog scenarija, čiji je autor u slučaju Podravke za sada nepoznat. Istina, u slučaju Enrona vidjeli smo netočno uljepšavanje poslovnih rezultata na temelju kojeg je management ostvario nezasluženu korist. U slučaju Podravke imamo pokušaj preuzimanja tvrtke, kao i činjenicu da su se u stvarnosti provele konkretne financijske transakcije među različitim subjektima, a ne tek knjigovodsveno friziranje. No, pohlepa je pokretač u oba slučaja. Na koncu, i u slučaju Enrona bilo je govora o političkim pokroviteljima cijele operacije.
No, ako je generalna usporedba s Enronom održiva, možemo li, vezano na temu ovog bloga, govoriti o posljedicama slučaja Podravka na informacijske tehnologije (na koju su Enron i SOX koji je slijedio iza Enrona, itekako utjecali)?
Na prvi pogled, teško da možemo govoriti o vezi slučaja Podravke i informacijskih tehnologija. U operaciji Spice je informacijska tehnologija bila tek poslovni okvir, a politika se pokazala bitnijim faktorom. Ova je procjena osobito važna ako pokušamo identifcirati ulogu koju je revizija trebala odigrati u sprječavanju cijele operacije.
No, treba reći je revizija poslovnih podataka veoma lako mogli utvrditi indikatore problematičnih financijskih transakcija. S druge strane, moglo bi se pretpostaviti da revizija nije mogla utvrditi točno stanje jer su rezultati unutar informacijskog sustava bili modificirani ili prikriveni, no, realno gledajući, ne vjerujem da se to desilo. Naprosto, ublaženim riječima, od revizije nitko nije tražio informaciju o sumnjivim transakcijama.
Drugim riječima, cijeli je slučaj mogao biti preduhitren izvještajima revizora, no očigledno nije bilo (političke) volje za takvim izvještajima.
Stoga, bez obzira na prisutnost političkog konteksta cijele afere, jedna od pouka morala bi ići u smjeru jačanja uloge revizije, pri čemu treba posebno značenje dati i reviziji informacijskih sustava (da se spriječe i moguće sofisticirane modifikacije poslovnih podataka). Svatko tko je imalo upućeniji u ulogu revizije u poslovanju naših tvrtki može posvjedočiti da revizija općenito, a posebno i IT revizija, ima status nužnog zla a ne korektivnog mehanizma upravljanja poslovnim procesom.
Zapravo, umjesto usporedbe s Enronom, možda bi slučaj Podravka bilo bolje nazvati nazvati Riječkom bankom ne-financijskog sektora. No, hoće li netko biti spreman pokrenuti mjere koje je svojedobno, nakon slučaja Riječke banke, pokrenula HNB?
Sličnosti su brojne. U oba je slučaja protagonist akcije bio management ovih tvrtki. U oba slučaja možemo govoriti o izvedbi sofisticiranog poslovno-financijskog scenarija, čiji je autor u slučaju Podravke za sada nepoznat. Istina, u slučaju Enrona vidjeli smo netočno uljepšavanje poslovnih rezultata na temelju kojeg je management ostvario nezasluženu korist. U slučaju Podravke imamo pokušaj preuzimanja tvrtke, kao i činjenicu da su se u stvarnosti provele konkretne financijske transakcije među različitim subjektima, a ne tek knjigovodsveno friziranje. No, pohlepa je pokretač u oba slučaja. Na koncu, i u slučaju Enrona bilo je govora o političkim pokroviteljima cijele operacije.
No, ako je generalna usporedba s Enronom održiva, možemo li, vezano na temu ovog bloga, govoriti o posljedicama slučaja Podravka na informacijske tehnologije (na koju su Enron i SOX koji je slijedio iza Enrona, itekako utjecali)?
Na prvi pogled, teško da možemo govoriti o vezi slučaja Podravke i informacijskih tehnologija. U operaciji Spice je informacijska tehnologija bila tek poslovni okvir, a politika se pokazala bitnijim faktorom. Ova je procjena osobito važna ako pokušamo identifcirati ulogu koju je revizija trebala odigrati u sprječavanju cijele operacije.
No, treba reći je revizija poslovnih podataka veoma lako mogli utvrditi indikatore problematičnih financijskih transakcija. S druge strane, moglo bi se pretpostaviti da revizija nije mogla utvrditi točno stanje jer su rezultati unutar informacijskog sustava bili modificirani ili prikriveni, no, realno gledajući, ne vjerujem da se to desilo. Naprosto, ublaženim riječima, od revizije nitko nije tražio informaciju o sumnjivim transakcijama.
Drugim riječima, cijeli je slučaj mogao biti preduhitren izvještajima revizora, no očigledno nije bilo (političke) volje za takvim izvještajima.
Stoga, bez obzira na prisutnost političkog konteksta cijele afere, jedna od pouka morala bi ići u smjeru jačanja uloge revizije, pri čemu treba posebno značenje dati i reviziji informacijskih sustava (da se spriječe i moguće sofisticirane modifikacije poslovnih podataka). Svatko tko je imalo upućeniji u ulogu revizije u poslovanju naših tvrtki može posvjedočiti da revizija općenito, a posebno i IT revizija, ima status nužnog zla a ne korektivnog mehanizma upravljanja poslovnim procesom.
Zapravo, umjesto usporedbe s Enronom, možda bi slučaj Podravka bilo bolje nazvati nazvati Riječkom bankom ne-financijskog sektora. No, hoće li netko biti spreman pokrenuti mjere koje je svojedobno, nakon slučaja Riječke banke, pokrenula HNB?
18.8.09
Slučajevi Heartland i Hannaford, nastavak
Slučajevi Heartaland i Hannaford o kojema sam pisao na ovim stranicama, dobili su sudski nastavak, Jučer je objavljena vijest o podizanju optužnice protiv američkog državljanina Alberta Gozalesa. Gonzalesa se ovom prilikom sumnjiči da je jedan od hackera koji je upao u poslovni sustav tvrtki Heratland i Hannaford (ali i nekih drugih). Kažem ovom prilikom zato jer Gonzales već čeka suđenje za druge nedavne slučajeve krađe podataka - TJX, OfficeMax, Barnes & Noble... Gonzalesa se, po zadnjoj optužnici, tereti za krađu podataka o ukupno 130 milijuna kreditnih i debitnih kartica. Osim Gonzalesa, optužene su i dvije nepoznate osobe, po svemu sudeći iz Rusije, no pitanje je jesu li oni i jedini izvršitelji.
Ima i drugih zanimljivih detalja o optuženima (npr. Gonzales je bio dugogodišnji pouzdanik američke tajne službe), no mi ćemo analizirati način na koji je izvršena krađa.
Gonzales i društvo su brižljivo birali žrtve, krenuli su od popisa Fortune 500 tvrtki. Žrtve su, potom, proučili izbliza - obišli su njihove dućane kako bi upoznali opremu za procesiranje transakcija, detaljno su proanalizirali sustave za procesiranje plaćanja Internetom. Nije nemoguću da su se koristili i drugim metodama (socijalni inžinjering) kako bi se domogli vrijednih informacija o žrtvama.
Gonzales je potom pisao maliciozne programe posebno dizajnirane za računala žrtava. Cilj ovih programa bio je omogućiti neometan pristup Gonzalesa i društva računalima žrtava. Ovo su bili tzv. backdoor programi. Kako su uspjeli ove programe instalirati na računala žrtava? To iz dostupne dokumentacije nije sasvim razjašnjeno, no postoji nekoliko metoda, od zloupotrebe nezaštićene wireless mreže (što se i dogodilo u TJX), zloupotrebom SQL Injection nedostataka ili navođenja zaposlenika tvrtke na izvođenje malicioznog koda koji bi bio smješten na pripremljenim serverima (ne treba zanemariti ni tehnike socijalnog inžinjeringa). Vrlo je moguće da su napadači kombinirali različite tehnike, prilagođavali su okolnostima i profilu žrtvi. U svakom slučaju, puno je teži zadatak bio spriječiti otkrivanje malicoznih programa kada jednom budu smješteni na interni dio mreže. Za to se pobrinuo Gonzales: brižljivo je dizajnirao i testirao maliciozne programe, tako da ih nije bilo moguće otkriti sa 20 različitih antivirusnih programa (zasigurno se radi o svim najznačajnijim antivirusnim programima dostupnim na tržištu). U tom trenutku su napadači stekli prilično komfornu poziciju: mogli su neometano pristupati internoj mreži i pregledavati sve interesantne točke. Naravno, to je bila odskočnica za pristup do samih podataka koje su po istom kanalu slali nazad na vlastite servere. Način pristupa do podataka razlikovao se od slučaja do slučaja: kod jedne od žrtvi su naprosto snifali promet na mreži i otkrivali nekriptirane brojeve kartica, kod drugih su pristupali bazi podataka (po svemu sudeću SQL Injection napadima koji mogu biti i veoma sofisticirani)...
Sve što se desilo nakon toga, saznati ćete iz medija.
Iz ovih slučajeva mogu se naučiti mnoge stvari, npr:
Ima i drugih zanimljivih detalja o optuženima (npr. Gonzales je bio dugogodišnji pouzdanik američke tajne službe), no mi ćemo analizirati način na koji je izvršena krađa.
Gonzales i društvo su brižljivo birali žrtve, krenuli su od popisa Fortune 500 tvrtki. Žrtve su, potom, proučili izbliza - obišli su njihove dućane kako bi upoznali opremu za procesiranje transakcija, detaljno su proanalizirali sustave za procesiranje plaćanja Internetom. Nije nemoguću da su se koristili i drugim metodama (socijalni inžinjering) kako bi se domogli vrijednih informacija o žrtvama.
Gonzales je potom pisao maliciozne programe posebno dizajnirane za računala žrtava. Cilj ovih programa bio je omogućiti neometan pristup Gonzalesa i društva računalima žrtava. Ovo su bili tzv. backdoor programi. Kako su uspjeli ove programe instalirati na računala žrtava? To iz dostupne dokumentacije nije sasvim razjašnjeno, no postoji nekoliko metoda, od zloupotrebe nezaštićene wireless mreže (što se i dogodilo u TJX), zloupotrebom SQL Injection nedostataka ili navođenja zaposlenika tvrtke na izvođenje malicioznog koda koji bi bio smješten na pripremljenim serverima (ne treba zanemariti ni tehnike socijalnog inžinjeringa). Vrlo je moguće da su napadači kombinirali različite tehnike, prilagođavali su okolnostima i profilu žrtvi. U svakom slučaju, puno je teži zadatak bio spriječiti otkrivanje malicoznih programa kada jednom budu smješteni na interni dio mreže. Za to se pobrinuo Gonzales: brižljivo je dizajnirao i testirao maliciozne programe, tako da ih nije bilo moguće otkriti sa 20 različitih antivirusnih programa (zasigurno se radi o svim najznačajnijim antivirusnim programima dostupnim na tržištu). U tom trenutku su napadači stekli prilično komfornu poziciju: mogli su neometano pristupati internoj mreži i pregledavati sve interesantne točke. Naravno, to je bila odskočnica za pristup do samih podataka koje su po istom kanalu slali nazad na vlastite servere. Način pristupa do podataka razlikovao se od slučaja do slučaja: kod jedne od žrtvi su naprosto snifali promet na mreži i otkrivali nekriptirane brojeve kartica, kod drugih su pristupali bazi podataka (po svemu sudeću SQL Injection napadima koji mogu biti i veoma sofisticirani)...
Sve što se desilo nakon toga, saznati ćete iz medija.
Iz ovih slučajeva mogu se naučiti mnoge stvari, npr:
- Zaštitne mjere koje se baziraju samo na firewallu i antivirusnim programima su nedovoljne. Pisao sam već o tome kako antivirusni programi ne jamče otkrivanje svih malicioznih programa (u međuvremenu su se pojavili i drugi izvještaji koji potvrđuju ovo mišljenje).
- Kada se jednom vanjski napadač smjesti na internoj mreži, njegova aktivnost može biti gotovo nezamjetna, a za samog napadača izuzetno sadržajna i plodonosna. Uzorak ponašanja vanjskih napadača se približio uzorku ponašanja internih napadača.
- Interne ranjivosti postaju jednako kritične kao ranjivosti perimetarskih servera. Administratori sustava ne bi smjeli imati puno kredita za površnu konfiguraciju ili zakašnjelo patchiranje internih sustava.
- Ranjivosti radnih stanica se često smatraju manje prioritetnima od ranjivosti servera. To definitivno više nije tako. Upravo radne stanice mogu biti najbolja poluga vanjskim napadačima.
- Stalni nadzor događanja i prometa na mreži postaje neophodan. Takav nadzor pruža dodatno jamstvo u situaciji kada se više ne može bezgranično vjerovati firewall-ima i antivirusnoj zaštiti.
12.7.09
URIS - aplikacija za upravljanje IT rizicima
Na početku, dugujem ispriku zbog duljeg izbivanja s ovih stranica. Redovite poslovne aktivnosti i projekti su glavni razlozi izostanka. Glavninu vremena u svibnju i lipnju usmjerio sam na završetak rada na prvoj verziji aplikacije za upravljanje informacijskim rizicima. Aplikacija je razvijena u suradnji s kolegom Joškom Martincem iz tvrtke Adservio. Joško je napravio kompletan programerski posao (izvrsno, dodajem), a ja sam preuzeo brigu oko primjene korištene metodologije i prilagođavanja aplikacije procesu upravljanja informacijskim rizicima. Aplikaciju smo nazvali URIS. Važno je odmah naglasiti da aplikacija koristi javno dostupnu metodologiju upravljanja rizicima MEHARI. MEHARI postoji preko desetak godina, razvijena je u okviru francuske stručne udruge CLUSIF, te je obnovljena 2007. Dokumentacija o samoj metodologiji je dostupna na adresi https://www.clusif.asso.fr/en/production/mehari/mehari.asp. Osobito je zanimljivo da je metodologija objavljena pod GPL licencom. MEHARI je jako dobro opisan u raspoloživoj dokumentaciji (tekstovi i Excel tabele), no svaka ozbiljna primjena iziskuje aplikativnu nadogradnju.
Zbog čega uopće aplikacija za upravljanje IT rizicima? Jedan razlog svakako leži u činjenici da je imalo složeniju metodologiju nemoguće efikasno provesti kroz Excel tablice, a što se pogrešno smatra sasvim zadovoljavajućim tehničkim okvirom za vođenje projekata upravljanja IT rizicima. Drugi, važniji, razlog vezan je na ovaj prvi: iz prakse sam primjetio da korištenje nedovoljno robustnih metodologija neizbježno vodi u trivijalizaciju procesa upravljanja rizicima, što rezultira gubljenjen strateškog značaja kojeg bi upravljanje IT rizicima moralo imati. Korištenje kompleksnih metodologija (MEHARI je, svakako, veoma kompleksna i kompletna metodologija) vodi i boljem prihvaćanju od strane managementa i prisiljava sudionike na savjestan pristup projektu.
MEHARI je baziran na kvalitativnom pristupu koji, zahvaljujući složenom postupku donošenja ocjena, evoluira u polu-kvantitativni (pseudo-kvantitativni?) pristup, čime metodologija svakako dobiva na značaju. Osobito važnim smatram činjenicu da naša aplikacija koristi javno dostupnu i prihvaćenu metodologiju (iako sam bio na preko pola puta u razvoju vlastite metodologije).
Posao na aplikaciji obuhvaćao je, osim automatizacije postupka, nekoliko dodatnih komponenti. Tako je prijevod izvornog teksta svakako pomogao na uvođenju taksonomije pojmova za upravljanje informacijskim rizicima, još uvijek neujednačene u našem okruženju. Nadalje, aplikacija sadrži i različite izvještajne komponente, mogućnost upravljanja postupcima upravljanja rizicima u kontinuiranom razdoblju, kategorizaciju mjera i događaja prema COBIT-u i Basel II specifikacijama... Različiti noviteti su planirani i za slijedeće verzije.
Kome je namjenjena aplikacija? Osobit interes pokazuju svi oni koji iz različitih razloga moraju ispuniti regulatorne zahtjeve u pogledu upravljnaja IT rizicima, a to su prije svega banke (prema Odluci i Smjernicama HNB-a). Iako su mnoge banke postavile temelje procesa upravljanja rizicima, ovakva aplikacija i, prije svega, korištena metodologija omogućuju jednostavniju provedbu procesa upravljanja rizicima. Pored toga, neovisna i međunarodno raširena metodologija pruža dodatno jamstvo o zrelosti postupka upravljanja rizicima.
Neki od čitatelja ovih stranica su već upoznati s ovom aplikacijom, a svima zainteresiranima ću rado pružiti informacije o aplikaciji i korištenoj metodologiji.
Zbog čega uopće aplikacija za upravljanje IT rizicima? Jedan razlog svakako leži u činjenici da je imalo složeniju metodologiju nemoguće efikasno provesti kroz Excel tablice, a što se pogrešno smatra sasvim zadovoljavajućim tehničkim okvirom za vođenje projekata upravljanja IT rizicima. Drugi, važniji, razlog vezan je na ovaj prvi: iz prakse sam primjetio da korištenje nedovoljno robustnih metodologija neizbježno vodi u trivijalizaciju procesa upravljanja rizicima, što rezultira gubljenjen strateškog značaja kojeg bi upravljanje IT rizicima moralo imati. Korištenje kompleksnih metodologija (MEHARI je, svakako, veoma kompleksna i kompletna metodologija) vodi i boljem prihvaćanju od strane managementa i prisiljava sudionike na savjestan pristup projektu.
MEHARI je baziran na kvalitativnom pristupu koji, zahvaljujući složenom postupku donošenja ocjena, evoluira u polu-kvantitativni (pseudo-kvantitativni?) pristup, čime metodologija svakako dobiva na značaju. Osobito važnim smatram činjenicu da naša aplikacija koristi javno dostupnu i prihvaćenu metodologiju (iako sam bio na preko pola puta u razvoju vlastite metodologije).
Posao na aplikaciji obuhvaćao je, osim automatizacije postupka, nekoliko dodatnih komponenti. Tako je prijevod izvornog teksta svakako pomogao na uvođenju taksonomije pojmova za upravljanje informacijskim rizicima, još uvijek neujednačene u našem okruženju. Nadalje, aplikacija sadrži i različite izvještajne komponente, mogućnost upravljanja postupcima upravljanja rizicima u kontinuiranom razdoblju, kategorizaciju mjera i događaja prema COBIT-u i Basel II specifikacijama... Različiti noviteti su planirani i za slijedeće verzije.
Kome je namjenjena aplikacija? Osobit interes pokazuju svi oni koji iz različitih razloga moraju ispuniti regulatorne zahtjeve u pogledu upravljnaja IT rizicima, a to su prije svega banke (prema Odluci i Smjernicama HNB-a). Iako su mnoge banke postavile temelje procesa upravljanja rizicima, ovakva aplikacija i, prije svega, korištena metodologija omogućuju jednostavniju provedbu procesa upravljanja rizicima. Pored toga, neovisna i međunarodno raširena metodologija pruža dodatno jamstvo o zrelosti postupka upravljanja rizicima.
Neki od čitatelja ovih stranica su već upoznati s ovom aplikacijom, a svima zainteresiranima ću rado pružiti informacije o aplikaciji i korištenoj metodologiji.
Pretplati se na:
Postovi (Atom)