Današnji Jutarnji list donosi članak "Za tržišni uspjeh sve je potrebniji privatni detektiv" koji govori o razvoju industrijske špijunaže u Hrvatskoj (usput, u članku se ova aktivnost zove "Business Intelligence" što u informatičkom žargonu znači nešto sasvim drugo). Članak donosi razgovor s vlasnikom zagrebačke detektivske agencije koji govori da sve više poslovnih ljudi traži usluge prikupljanja podataka o konkurentskim tvrtkama. Detektivi ove tvrtke, između ostalog, pronalaze "spavače" među zaposlenicima istraživanih tvrtki koji odaju poslovne tajne konkurenciji. Saznali smo da nemali broj stranih tvrtki traži usluge ove agencije. Također, saznali smo da je prošla godina zabilježila porast zahtjeva za ovim uslugama.
Optimisti će reći da je ovo dobra vijest za ekonomiju u cjelini. Do sada je najveća zaštita od insiderskih prijetnji bila činjenica da naše tvrtke nemaju ništa ponuditi konkurenciji, a, kako sada izgleda, stvari se mijenjaju i konkurentnost naših tvrtki se pojačava. Realisti će, pak, reći da se ipak, možda, radi o banalnijim informacijama koje imaju značaja za konkurenciju, npr. o popisu kupaca ili o cijenama s kojima se izlazi na javni natječaj. Treba također znati da ova djelatnost može uključivati i prikupljanje osobnih podataka, npr. stanja računa ili troškove na karticama partnera u slučaju brakorazvodnih parnica ili pak provjere potencijalnih zaposlenika.
No, ne ulazeći u motivaciju iza indistrijske špijunaže, smatram da članak može poslužiti kao odličan materijal praktičarima procjene informacijskih rizika. Naime, opasnost od insidera u našim tvrtkama se u pravilu podcjenjivala jer, kao, insideri nemaju toliko motiva za svoj rad, najviše što ih zanima su plaće svojih kolega ili računi poznatih klijenata, a to se može lako zaštiti i kontrolirati. Članak nam pokazuje da je aktivno regrutiranja spavača koji inače to ne bi nikad postali naša stvarnost, a jasno je da postoji i mehanizam učinkovite motivacije insidera/spavača.
Naravno, treba biti jasno da današnja industrijska špijunaža prije svega cilja na podatke u digitalnom obliku, na baze podatka, na dokumente smještene na serverima. Ono što je za teoretičare tek istraživanje konkurentskih prednosti, za žrtve to može biti računalni kriminal ili barem opipljiv razloga za otkaz, u svakom slučaju značajna poslovna šteta. Za ljude iz informatičke sigurnosti je ovo svakako znak da moraju dodatno otvoriti oči.Ako vrijedne informacije nisu insiderima odmah dostupne, postoje brojne tehnike kako se može doći do ovih informacija. Ove tehnike ne moraju biti velika mudrost i vanjski "motivatori" će spavače lako obučiti (to se obično naziva "low-tech hacking").
Ovdje prestaje svaka sličnost s WikiLeaksom - ako vam je tako nešto i palo napamet čitajući ovo. Industrijska špijunaža svoje informacije ne pušta na Mrežu, a, za razliku od američke vlade, žrtve indistrijske špijunaže možda nikad neće saznati da su ikada postali žrtve.
8.1.11
7.1.11
Zeus - bog računalnih prijevara
11.12.10
Hrvatski Enron - po drugi put
Kako javlja današnji tisak, na WikiLeaksu je izašla poruka američkog veleposlanika u Zagrebu iz veljače 2010. U toj poruci on prepričava svoj razgovor s državnim odvjetnikom Bajićem, a jedna od tema je bila i Podravka.
Tekst dijela poruke:
(C) Bajic has said privately that Podravka could be Croatia’s Enron, a game-changing case in the GoC’s efforts to tackle corruption, particularly if he can obtain sufficient evidence that Polancec intentionally undersold XXXXXXXXXXXX. Cooperation with Hungarian prosecutors continues to improve. Bajic said he was very impressed with the evidence and analysis the Hungarians provided on the XXXXXXXXXXXX connection.
S zadovoljstvom sam primjetio da je državni odvjetnik opisujući veleposlaniku aferu Spice koristio termin "Hrvatski Enron", a kako sam ja na ovim stranicama opisao istu aferu u listopadu 2009. Još nam ostaje vidjeti hoće li ovaj slučaj rezultuirati istim strukturnim pomacima kao svojedobno i Enron. Moglo bi se pokazati da neki i od velikih međunarodnih igrača nisu baš bili sasvim nevini u ovom slučaju (kao što nisu bili ni kod Enrona).
Inače, gornji citat je primjer filtriranja poruka prije nego što su postale dostupne na internoj mreži američke Vlade a potom i na WikiLeaksu (primjetite XXXXXXX u tekstu, to se možda odnosi na neku osobu ali i na neku institciju/kompaniju - bilo bi zanimljivo saznati o kome se radi). O ovome sam pisao u prethodnom tekstu o WikiLeaksu.
Također, nisam siguran da će link na jednu od replikacija WikiLeaksa koji navodim u uvodu biti živ u trenutku kada budete ovo čitali, no vjerujem da ćete pronaći ovaj "telegram" na drugim stranicama.
Tekst dijela poruke:
(C) Bajic has said privately that Podravka could be Croatia’s Enron, a game-changing case in the GoC’s efforts to tackle corruption, particularly if he can obtain sufficient evidence that Polancec intentionally undersold XXXXXXXXXXXX. Cooperation with Hungarian prosecutors continues to improve. Bajic said he was very impressed with the evidence and analysis the Hungarians provided on the XXXXXXXXXXXX connection.
S zadovoljstvom sam primjetio da je državni odvjetnik opisujući veleposlaniku aferu Spice koristio termin "Hrvatski Enron", a kako sam ja na ovim stranicama opisao istu aferu u listopadu 2009. Još nam ostaje vidjeti hoće li ovaj slučaj rezultuirati istim strukturnim pomacima kao svojedobno i Enron. Moglo bi se pokazati da neki i od velikih međunarodnih igrača nisu baš bili sasvim nevini u ovom slučaju (kao što nisu bili ni kod Enrona).
Inače, gornji citat je primjer filtriranja poruka prije nego što su postale dostupne na internoj mreži američke Vlade a potom i na WikiLeaksu (primjetite XXXXXXX u tekstu, to se možda odnosi na neku osobu ali i na neku institciju/kompaniju - bilo bi zanimljivo saznati o kome se radi). O ovome sam pisao u prethodnom tekstu o WikiLeaksu.
Također, nisam siguran da će link na jednu od replikacija WikiLeaksa koji navodim u uvodu biti živ u trenutku kada budete ovo čitali, no vjerujem da ćete pronaći ovaj "telegram" na drugim stranicama.
9.12.10
WikiLeaks - pogled sa stajališta informacijske sigurnosti
WikiLeaks nam ovih dana curi iz svih medija, znamo mnoge pikanterije američke diplomacije, zabavljaju nas reakcije lokalnih političara širom svijeta, a doznali smo podosta i o seksualnom životu Juliana Assangea. No, nisam našao previše informacija o jednoj važnoj temi koja će zanimati mnoge od vas: kako se moglo desiti da jedna velika informatička sila kao što je američka administracija napravi takav propust? Je li WikiLeaks uzrokovan banalnom nesmotrenošću informatičara ili pak sofisticiranom akcijom insidera?
Nisam naravno imao priliku upoznati informatičke sustave američke vlade, no iz različitih je izvora moguće rekonstruirati uzroke i tijek najznačajnije krađe podataka do sada.
Kako se desilo da ogromna količina povjerljivih podataka bude izložena i da nitko ne otkrije kontinuiranu krađu ovih podataka? Korijeni ovog slučaja su vezani za događaje 11. rujna 2001. Naime, američka je vlada nakon terorističkih napada bila izložena kritici zbog nefikasnog rada obavještajne zajednice. Navodno, postojale su određene "sirove" informacije koje su ukazivale na moguće napade na ciljeve u Sjedinjenim Državama, no nisu bile dostupne analitičarima koji bi ih mogli protumačiti na pravi način. Da bi u budućnosti spriječili nastanak takvog informativnog vakuma, američka je vlada odlučila povezati brojne državne agencije - osobito Pentagon i State Department, a informacije koje one prikupljaju učiniti međusobno dostupnima.
U godinema koje su slijedile, SIPRnet - državna varijanta Internet mreže, no izolirana od javne mreže i znatno sigurnija, povezala je različite agencije američke vlade, vojske i obavještajne zajednice. Ovaj svojevrstan "crowdsourcing" projekt, bio je motiviran željom da se što bolje iskoristi potencijal informacija koje dostavlja brojna diplomatska, vojna i obavještajna mreža širom svijeta. No, kao i svaki inovativan informatički projekt, tako je i ovaj, pored potencijalnih doprinosa, nosio i rizike. Glavni rizik, u ovom slučaju, vezan je za problem dosljedne kontrole pristupa materijalima koji se nalaze na mreži. Na SIPRnet mreži bili su dostupni materijali klasificirani oznakom SECRET (materijali s oznakom TOP SECRET nalaze se na drugoj, odvojenoj i posebno štićenoj mreži), a pristup materijalima imaju vladini službenici ili pripadnici vojske koji su prošli odgovarajuću provjeru ("clearance"). Svi vi koji ste se susreli s problematikom klasifikacije i kontrole pristupa nestrukturiranim podacima (dokumenti, tekstualne datoteke...) znate da je gotovo nemoguće napraviti striktnu kontrolu prava pristupa na razini dokumena: to u pravilu unosi značajan dodatni napor i nove troškove, ali ograničava dostupnost i iskoristivost dokumenata. Primjena principa "need-to-know" - dakle da pojedinom korisniku bude omogućen pristup samo do onih informacija koje su neophodne za njegov posao, gotovo je nemoguća misija. Široka dostupnost i labava kontrola pristupa bili su, dakle, preduvjet uspjeha projekta američke vlade, a sigurnost podataka temeljila se na povjerenju koje je dodjeljeno korisnicima.
Bilo je, naravno, pitanje vremena kada će podaci procuriti.
Wikileaks je sredinom godine objavio brojne povjerljive dokumente vezane za rat u Iraku i Afganistanu. Dokumente je, prema vlastitom priznanju - pogledajte odličan tekst iz Wired-a, prikupio i proslijedio WikiLeaks-u pripadnik američke vojske, 22-godišnji obavještajni analitičar Bradley Manning. Prije nekoliko tjedana, WikiLeaks je objavio i povjerljive poruke američkih diplomata, smatra se da je i ovu skupinu dokumenata prikupio Manning, iako se on u ovom slučaju nije istrčao s priznanjem a WiliLeaks naravno nije otkrio izvor informacija..
Povjerljivi podaci o ratu u Iraku i Afganistanu i diplomatske poruke su smještene u bazama podataka na različitim serverima SIPRneta. Mannning je imao pristup na oba sustava, a podataka nije nedostajalo. Gotovo da nisu prethodno filtrirani. Istina, treba reći da su dokumenti koji su išli prema vrhu američke vlasti i vojnom vrhu bili klasificirani kao TOP SECRET i nisu bili na ovim sustavima, niti su dostupni putem SIPRnet-a (zato su neki i lagano razočarani što su kroz WikiLeaks procurile tek sitnije ribe). Ipak, Manning je i bez najpovjerljivijih podataka imao dosta materijala, a dokumenti o ratu u Iraku su bili osobito šokantni. Treba primjetiti da većina podataka kojima je mogao pristupiti, Manningu nisu nimalo trebali u svakodnevnom poslu, no to je posljedica nemogućnosti dosljedne primjene principa "need-to-know".
Manning je, prema vlastitoj izjavi, podatke je kopirao na CD-RW diskove, a potom na drugom mjestu prenosio podatke na USB memorije. Treba reći da sigurnosna pravila američke vojske nalažu veoma strogu primjenu mjera fizičke zaštite pa se postavlja pitanje kako je Manning mogao unijeti CD u zaštićeni radni prostor gdje se nalazilo računalo s pristupom SIPRnet-u. Odgovor je jednostavan - Manning je bio na službi u Iraku gdje je i izvukao podatke. Smatra se da se mjere informatičke zaštite na lokacijama izvan stalnih vojnih baza u SAD-u i svijetu ne provode dosljedno i striktno. Tako je, izgleda, bilo i u stožeru u Iraku gdje je radio Manning, koji nije imao problema oko unosa medija u štićeni prostor. Kako i sam kaže, bio je iznenađen niskom razinom mjera informacijske sigurnosti i činjenicom da nitko nije uočio krađu podataka. Smtram velikim propustom i činjenicu da je računalo s kojeg je Manning pristupio SIPRnet-u, a koje je trebalo biti konfigurirano prema veoma strogim i ograničavajućim pravilima, imalo CD pisač.
Iz ovog slučaja možemo prepoznati tri glavna momenta koji se obično ponavljaju u slučajevima insiderskih prijetnji.
Prvo, ne samo da situacija čini lopova nego i okolina može djelovati kao značajan katalizatorski moment za insiderske prijetnje. Osobito u vojsci, gdje stresne situacije u kojima se mogu naći vojnici na službi ili zadacima izvan matične zemlje, djeluju kao poticaj za akcije koje je manifestirao Manning.
Drugo, vi možete kontrolirati pristup resursima informacijskog sustava ali ne možete kontrolirati trošenje povjerenja koje ste dodjeliti svom korisniku.
I treće: mjere fizičke kontrole su često najjača mjera zaštite od insiderskih prijetnji.
Nisam naravno imao priliku upoznati informatičke sustave američke vlade, no iz različitih je izvora moguće rekonstruirati uzroke i tijek najznačajnije krađe podataka do sada.
Kako se desilo da ogromna količina povjerljivih podataka bude izložena i da nitko ne otkrije kontinuiranu krađu ovih podataka? Korijeni ovog slučaja su vezani za događaje 11. rujna 2001. Naime, američka je vlada nakon terorističkih napada bila izložena kritici zbog nefikasnog rada obavještajne zajednice. Navodno, postojale su određene "sirove" informacije koje su ukazivale na moguće napade na ciljeve u Sjedinjenim Državama, no nisu bile dostupne analitičarima koji bi ih mogli protumačiti na pravi način. Da bi u budućnosti spriječili nastanak takvog informativnog vakuma, američka je vlada odlučila povezati brojne državne agencije - osobito Pentagon i State Department, a informacije koje one prikupljaju učiniti međusobno dostupnima.
U godinema koje su slijedile, SIPRnet - državna varijanta Internet mreže, no izolirana od javne mreže i znatno sigurnija, povezala je različite agencije američke vlade, vojske i obavještajne zajednice. Ovaj svojevrstan "crowdsourcing" projekt, bio je motiviran željom da se što bolje iskoristi potencijal informacija koje dostavlja brojna diplomatska, vojna i obavještajna mreža širom svijeta. No, kao i svaki inovativan informatički projekt, tako je i ovaj, pored potencijalnih doprinosa, nosio i rizike. Glavni rizik, u ovom slučaju, vezan je za problem dosljedne kontrole pristupa materijalima koji se nalaze na mreži. Na SIPRnet mreži bili su dostupni materijali klasificirani oznakom SECRET (materijali s oznakom TOP SECRET nalaze se na drugoj, odvojenoj i posebno štićenoj mreži), a pristup materijalima imaju vladini službenici ili pripadnici vojske koji su prošli odgovarajuću provjeru ("clearance"). Svi vi koji ste se susreli s problematikom klasifikacije i kontrole pristupa nestrukturiranim podacima (dokumenti, tekstualne datoteke...) znate da je gotovo nemoguće napraviti striktnu kontrolu prava pristupa na razini dokumena: to u pravilu unosi značajan dodatni napor i nove troškove, ali ograničava dostupnost i iskoristivost dokumenata. Primjena principa "need-to-know" - dakle da pojedinom korisniku bude omogućen pristup samo do onih informacija koje su neophodne za njegov posao, gotovo je nemoguća misija. Široka dostupnost i labava kontrola pristupa bili su, dakle, preduvjet uspjeha projekta američke vlade, a sigurnost podataka temeljila se na povjerenju koje je dodjeljeno korisnicima.
Bilo je, naravno, pitanje vremena kada će podaci procuriti.
Wikileaks je sredinom godine objavio brojne povjerljive dokumente vezane za rat u Iraku i Afganistanu. Dokumente je, prema vlastitom priznanju - pogledajte odličan tekst iz Wired-a, prikupio i proslijedio WikiLeaks-u pripadnik američke vojske, 22-godišnji obavještajni analitičar Bradley Manning. Prije nekoliko tjedana, WikiLeaks je objavio i povjerljive poruke američkih diplomata, smatra se da je i ovu skupinu dokumenata prikupio Manning, iako se on u ovom slučaju nije istrčao s priznanjem a WiliLeaks naravno nije otkrio izvor informacija..
Povjerljivi podaci o ratu u Iraku i Afganistanu i diplomatske poruke su smještene u bazama podataka na različitim serverima SIPRneta. Mannning je imao pristup na oba sustava, a podataka nije nedostajalo. Gotovo da nisu prethodno filtrirani. Istina, treba reći da su dokumenti koji su išli prema vrhu američke vlasti i vojnom vrhu bili klasificirani kao TOP SECRET i nisu bili na ovim sustavima, niti su dostupni putem SIPRnet-a (zato su neki i lagano razočarani što su kroz WikiLeaks procurile tek sitnije ribe). Ipak, Manning je i bez najpovjerljivijih podataka imao dosta materijala, a dokumenti o ratu u Iraku su bili osobito šokantni. Treba primjetiti da većina podataka kojima je mogao pristupiti, Manningu nisu nimalo trebali u svakodnevnom poslu, no to je posljedica nemogućnosti dosljedne primjene principa "need-to-know".
Manning je, prema vlastitoj izjavi, podatke je kopirao na CD-RW diskove, a potom na drugom mjestu prenosio podatke na USB memorije. Treba reći da sigurnosna pravila američke vojske nalažu veoma strogu primjenu mjera fizičke zaštite pa se postavlja pitanje kako je Manning mogao unijeti CD u zaštićeni radni prostor gdje se nalazilo računalo s pristupom SIPRnet-u. Odgovor je jednostavan - Manning je bio na službi u Iraku gdje je i izvukao podatke. Smatra se da se mjere informatičke zaštite na lokacijama izvan stalnih vojnih baza u SAD-u i svijetu ne provode dosljedno i striktno. Tako je, izgleda, bilo i u stožeru u Iraku gdje je radio Manning, koji nije imao problema oko unosa medija u štićeni prostor. Kako i sam kaže, bio je iznenađen niskom razinom mjera informacijske sigurnosti i činjenicom da nitko nije uočio krađu podataka. Smtram velikim propustom i činjenicu da je računalo s kojeg je Manning pristupio SIPRnet-u, a koje je trebalo biti konfigurirano prema veoma strogim i ograničavajućim pravilima, imalo CD pisač.
Iz ovog slučaja možemo prepoznati tri glavna momenta koji se obično ponavljaju u slučajevima insiderskih prijetnji.
Prvo, ne samo da situacija čini lopova nego i okolina može djelovati kao značajan katalizatorski moment za insiderske prijetnje. Osobito u vojsci, gdje stresne situacije u kojima se mogu naći vojnici na službi ili zadacima izvan matične zemlje, djeluju kao poticaj za akcije koje je manifestirao Manning.
Drugo, vi možete kontrolirati pristup resursima informacijskog sustava ali ne možete kontrolirati trošenje povjerenja koje ste dodjeliti svom korisniku.
I treće: mjere fizičke kontrole su često najjača mjera zaštite od insiderskih prijetnji.
25.9.10
Operacionalizacija informacijske sigurnosti
Odmah na početku ispričavam se za dulji izostanak novih tekstova (kolege me na to redovito upozoravaju - pozdrav Zlatku!). Zapravo, već dulje vrijeme planiram objaviti moj pogled na stanje operativnog aspekta informacijske sigurnosti u našoj okolini, s obzirom da je to tematika s kojom se već godinama susrećem.
Prošlo je nešto preko dva mjeseca od objave otkrivanja trojanca Stuxnet. Brojni napisi objavljeni u ovom razdoblju potvrdili su izuzetnu malicioznost ovog programa, Microsoft je uz dosta petljanja objavio (neke) popravke, a pojavili su se i teorije (koje sam i ja implicitno naznačio u mom napisu) o državnom sponzorstvu ovog trojanca.
Cijela situacija oko trojanca Stuxnet nameće jedno pitanje: koliko su hrvatske državne institucije, javni sektor i privatne tvrtke otporne na ovako profilirane prijetnje (ili Advanced Persistent Threat, kako ih se u zadnje vrijeme naziva)? Bojim se da je odgovor jako tanak.
Kao što sam već više puta primjetio ovdje ali i u drugim prilikama, svijest o informacijskoj sigurnosti je unatrag desetak godina izuzetno evoluirala, što se naravno odrazilo i na stvarno stanje i procese u našim tvrtkama. Dokaz ovome je opće prihvaćnje normi iz obitelji ISO 2700x, jačanje regulatornih zahtjeva naročito onih iza kojih stoji HNB, te praktično uvođenje osnovnih sigurnosnih procesa. Ipak, rekao bih da se stalo na pola puta. Izuzetno smo jaki na razini definicije i propisivanja sigurnosnih zahtjeva, dok operativna provedba procesa još zaostaje. Zapravo, primjena sigurnosnih principa je zadovoljavajuća kada je upitanju očuvanje dostupnosti i kontinuiteta poslovanja, no čini mi se da su druge prijetnje (naročito namjerno djelovanje ljudskog faktora, koji predstavlja suštinu APT prijetnji) još uvijek podcjenjene.
Ova se situacija može jednostavno protumačiti: prekidi dostupnosti uslijed prirodnih ili tehničkih nepogoda mogu se lako objasniti, iskustva o njima su veoma bolna, lako su razumljivi i provedivi unutar postojećeg opsega kompetencija informatičkih službi, a često su vezani i sa jakim interesom dobavljača s obzirom da svaki takav projekt generira dodatnu prodaju hardverskih komponenti.
Djelovanje ljudskog faktora (naročito motiviranog) druga je priča. Obrana se u ovom slučaju temelji isto tako na djelovanju ljudskog faktora. Alati i sigurnosni sustavi nisu na odmet, no sami po sebi neće dati rezultate, pa su nažalost česti primjeri nesmotrenih investicija u opremu bez zadovoljavajućih rezultata.
Obrana od motiviranog ljudskog djelovanja temelji se na dva aspekta obrane. Prvi je usmjeren na procese koji djeluju na računalne (ali i ljudske) ranjivosti i nedostatke, a drugi je usmjeren na praćenje i otkrivanje neposrednog djelovanja i manifestacija prijetnji. Prvi je preventivan, dok drugi mora detektirati i ograničiti djelovanje. Prvi je proaktivan, drugi je korektivan.
Ovi procesi u mnogim organizacijama nisu provedeni na cjelovit način niti možemo govoriti o upravljivosti ovim procesima. Bojim se da bi djelovanje dobro motiviranog i tehnički utemeljenog ljudskog faktora moglo imati pogubne posljedice.
U ovakvoj situaciji, mnoge organizacije zapravo neće nikad ni saznati da su bile žrtve takvih napada.
No postoji i drugi odgovor.
Možda malo tko ima potrebe pokrenuti sofisticirane tehnološke napade protiv državnih institucija (ako zanimljive informacije može dobiti na drugi način) ili možda naše tvrtke zapravo ne posjeduju atraktivan intelektualni kapital ili druge jedinstvene informacije koji bi motivirale konkurenciju (kao u prošlogodišnjem slučaju napada na Google). Pored toga, nepotrebno je napominjati, trećem ključnom elementu, našim osobnim podacima, sami neprekidno i dobrovoljno smanjujemo vrijednost tako da njihova kompromitacija, valjda neće više nikoga ni uzbuđivati.
Prošlo je nešto preko dva mjeseca od objave otkrivanja trojanca Stuxnet. Brojni napisi objavljeni u ovom razdoblju potvrdili su izuzetnu malicioznost ovog programa, Microsoft je uz dosta petljanja objavio (neke) popravke, a pojavili su se i teorije (koje sam i ja implicitno naznačio u mom napisu) o državnom sponzorstvu ovog trojanca.
Cijela situacija oko trojanca Stuxnet nameće jedno pitanje: koliko su hrvatske državne institucije, javni sektor i privatne tvrtke otporne na ovako profilirane prijetnje (ili Advanced Persistent Threat, kako ih se u zadnje vrijeme naziva)? Bojim se da je odgovor jako tanak.
Kao što sam već više puta primjetio ovdje ali i u drugim prilikama, svijest o informacijskoj sigurnosti je unatrag desetak godina izuzetno evoluirala, što se naravno odrazilo i na stvarno stanje i procese u našim tvrtkama. Dokaz ovome je opće prihvaćnje normi iz obitelji ISO 2700x, jačanje regulatornih zahtjeva naročito onih iza kojih stoji HNB, te praktično uvođenje osnovnih sigurnosnih procesa. Ipak, rekao bih da se stalo na pola puta. Izuzetno smo jaki na razini definicije i propisivanja sigurnosnih zahtjeva, dok operativna provedba procesa još zaostaje. Zapravo, primjena sigurnosnih principa je zadovoljavajuća kada je upitanju očuvanje dostupnosti i kontinuiteta poslovanja, no čini mi se da su druge prijetnje (naročito namjerno djelovanje ljudskog faktora, koji predstavlja suštinu APT prijetnji) još uvijek podcjenjene.
Ova se situacija može jednostavno protumačiti: prekidi dostupnosti uslijed prirodnih ili tehničkih nepogoda mogu se lako objasniti, iskustva o njima su veoma bolna, lako su razumljivi i provedivi unutar postojećeg opsega kompetencija informatičkih službi, a često su vezani i sa jakim interesom dobavljača s obzirom da svaki takav projekt generira dodatnu prodaju hardverskih komponenti.
Djelovanje ljudskog faktora (naročito motiviranog) druga je priča. Obrana se u ovom slučaju temelji isto tako na djelovanju ljudskog faktora. Alati i sigurnosni sustavi nisu na odmet, no sami po sebi neće dati rezultate, pa su nažalost česti primjeri nesmotrenih investicija u opremu bez zadovoljavajućih rezultata.
Obrana od motiviranog ljudskog djelovanja temelji se na dva aspekta obrane. Prvi je usmjeren na procese koji djeluju na računalne (ali i ljudske) ranjivosti i nedostatke, a drugi je usmjeren na praćenje i otkrivanje neposrednog djelovanja i manifestacija prijetnji. Prvi je preventivan, dok drugi mora detektirati i ograničiti djelovanje. Prvi je proaktivan, drugi je korektivan.
Ovi procesi u mnogim organizacijama nisu provedeni na cjelovit način niti možemo govoriti o upravljivosti ovim procesima. Bojim se da bi djelovanje dobro motiviranog i tehnički utemeljenog ljudskog faktora moglo imati pogubne posljedice.
U ovakvoj situaciji, mnoge organizacije zapravo neće nikad ni saznati da su bile žrtve takvih napada.
No postoji i drugi odgovor.
Možda malo tko ima potrebe pokrenuti sofisticirane tehnološke napade protiv državnih institucija (ako zanimljive informacije može dobiti na drugi način) ili možda naše tvrtke zapravo ne posjeduju atraktivan intelektualni kapital ili druge jedinstvene informacije koji bi motivirale konkurenciju (kao u prošlogodišnjem slučaju napada na Google). Pored toga, nepotrebno je napominjati, trećem ključnom elementu, našim osobnim podacima, sami neprekidno i dobrovoljno smanjujemo vrijednost tako da njihova kompromitacija, valjda neće više nikoga ni uzbuđivati.
Pretplati se na:
Postovi (Atom)