“Hype Cycle” procesa upravljanja informacijskim rizicima

Je li proces upravljanja informacijskim rizicima ispunio očekivanja koja su pred ovu disciplinu postavljena prije desetak godina, kada je sazrijevala svijest o tome da se odluka o pokretanju sigurnosnih inicijativa mora usklađivati s potencijalnim poslovnim gubicima, pri čemu zadnju riječ ima uprava organizacije? Posebno me zanima odgovor na ovo pitanje u našem domaćem okruženju.

S obzirom da se u vlastitom profesionalnom radu direktno ili indirektno referiram na proces upravljanja informacijskim rizicima (što je u značajnom razdoblju ovog rada popraćeno i tekstovima na ovom blogu), odgovor na ovo pitanje odrediti ću primjenom krivulje poznate kao “Hype Cycle” na prihvaćenost procesa upravljanja informacijskim rizicima u našem okruženju.

“Hype Cycle” je osobito poznat iz analiza tvrtke Gartner i jedan je od najutjecajnijih alata kada se govori o trendovima u informacijskim tehnologijama (dijeli prvo mjesto s poznatim kvadrantom iste tvrtke). Hype Cycle je krivulja kojom se opisuje status određenog područja informacijskih tehnologija na tržištu kroz procjenu prihvaćenosti i zrelosti korištenja ovih tehnologija. Gartner primjenjuje ovu procjenu na gotovo sve trendove u informacijskim tehnologijama, bilo da se radi o obećavajućim tehnologijama u nastanku ili već etabliranim i dokazanim trendovima.

“Hype Cycle” je prikazan na slici  koja se nalazi nekoliko poglavlja niže, a možemo ga protumačiti prema opisu iz nastavka teksta.

Trenutak uvođenja nove tehnologije i generiranja/izazivanja inicijalne potrebe za ovom tehnologijom naziva se “Technology Trigger”. Djelovanjem niza faktora (od poslovnih zahtjeva, medijske promidžbe pa do regulatornog inzistiranja) te uspješnim stvaranjem svijesti o potrebi, očekivanja od novih tehnologija će dosegnuti svoj zvjezdani trenutak (“Peak of Inflated Expectations”). Ubrzo potom, balon očekivanja se ispuhuje i status novih tehnologija pada u suprotnu točku (“Trough of Disillusionment”). Mnoge tehnologije neće dosegnuti ni inicijalni vrhunac, a naročito će se teško izvući i iz suprotne faze. Ipak, odlika stabilnih i opravdanih tehnologija je postupni prelazak u fazu zrele upotrebe. Faza “Slope of Elightenment” označava razdoblje u kojem se naknadno potvrđuju nove inačice neke tehnologije ili u kojem se percepcija tržišta mijenja pozitivno u odnosu na tehnologiju. Na koncu, imamo i fazu "Plateau of Productivity"  u kojoj se u potpunosti etablira upotreba određene tehnologije.

Naravno, proces upravljanja informacijskim rizicima nije tehnologija pa se može donekle osporiti primjena “Hypy Cycle” krivulje u ovom slučaju, no smatram da se ovim modelom može djelotvorno opisati percepcija informacijskih rizika u našem okruženju.

“Hype Cycle” upravljanja informacijskim rizicima (u hrvatskom okruženju i osobito u bankarskom sektoru) prikazan je na sljedećoj slici:

Na našoj krivulji vidimo tri glavne točke, pomoću kojih sam proces upravljana informacijskim rizicima smjestio u određena vremenska razdoblja.

Točka 1. (“Technology Trigger”) seže u 2007. i označava razdoblje u kojem tema informacijskih rizika postaje redovita tema mnogih diskusija o informacijskoj sigurnosti. Nekoliko je momenata bilo zaslužno za takvu promociju - praktične aktivnosti na provedbi procesa primjene normi ISO 27001, te osobito aktivnosti HNB-a na uvođenju mjera informacijske sigurnosti u hrvatskim bankama (prema dokumentima Smjernice za upravljanje informacijskim rizicima u cilju smanjenja operativnih rizika iz 2006. i Odluka o primjerenom upravljanju informacijskim sustavom iz 2007.).

Početni entuzijazama rezultirao je svojevrsnim vrhuncem ove problematike koju vidimo u točki 2. (“Peak of Inflated Expectations”) a smjestili smo je u 2011. godinu. Ova je faza označena ili barem najavljena novom verzijom Odluka HNB-a o primjerenom upravljanju informacijskim sustavom iz 2010. te sve većom agilnošću regulatora, unutarnjih i vanjskih revizora, ali i pojačanom svijesti osoba zaduženih za informacijsku sigurnost u našim bankama.

Ipak, dvije godine kasnije možemo reći da je proces upravljanja informacijskim rizicima dosegao ili ubrzano dosiže suprotnu fazu prikazanu točkom 3. ("Trough of Disillusionment"). Nadam se da mi kolege neće zamjeriti na negativnoj percepciji ove discipline, no moj se zaključak temelji na uočenoj činjenici da upravljanje rizicima informacijskog sustava nije nikad postao dio mainstream aktivnosti poslovnog rukovodstva, već isključivo specifična zadaća stručnih informatičkih službi.

Zanimljiva je uloga i regulatornih akata (mislim prije svega na dokument HNB-a Odluka o primjerenom upravljanju informacijskim sustavom). Dvije verzije ovog dokumenta (iz 2006. i 2010.) imale su najznačajnije promjene upravo u poglavlju koji opisuje upravljanje informacijskim rizicima. Dok je u prvoj verziji upravljanje rizicima bilo opisano na tragu prethodno donesenih Smjernica za upravljanje informacijskim rizicima u cilju smanjenja operativnih rizika iz 2006. a disciplina upravljanja rizicima je definirana sukladno standardnoj profesionalnoj praksi (npr. prema normi ISO 27001), druga verzija Odluke o primjerenom upravljanju informacijskim sustavom iz 2010. integrira upravljanje rizicima informacijskog sustava sa sveobuhvatnim procesom upravljanja rizicima kojima je izloženo bankarsko poslovanje i sa sustavom unutarnjih kontrola (dakle, bliže “Enterpirse Risk Management” okviru). Smatram da je ovaj pomak izuzetno važan i da na pravi način repozicionira upravljanje informacijskim rizicima. Na žalost, praksa za sada ne slijedi ove trendove pa je upravljanje informacijskim rizicima još uvijek proces izdvojen od ukupnog upravljanja rizicima poslovanja. Rezultati procjene informacijskih rizika za sada još uvijek ne koriste jezik managementa za plastični prikaz mogućih rizika, a management ionako ove rezultate ne vidi kao vlastito štivo.

Određenu krivnju za ovakav status ima i tek formalno prihvaćanje “kulture usklađenosti” kojom se kao glavni cilj postavlja prihvaćenost od strane regulatora, a ne napredak stanja sigurnosti i redukcije rizika informacijskih tehnologija.

Postoje i drugi razlozi za takvu percepciju upravljanja informacijskim rizicima, koji pojedinačno možda nemaju kritičan utjecaj, ali njihovo kumulirano djelovanje je veoma vidljivo: nemogućnost i nesposobnost prave procjene vrijednosti informacijske imovine, nemogućnost ili nesposobnost procjene stvarne visine prijetnji kojima je izložena informacijska imovina (naročito onih prijetnji koje sadrže određenu razinu dodijeljenog povjerenja), neprepoznavanje stvarnih događaja ugrožavanja informacijske imovine...

Stručnjaci u čijoj je nadležnosti upravljanje rizicima morali bi svakako približiti opis informacijskih rizika svakodnevnom jeziku managementa, a argumentaciju potkrijepiti stvarnim i dubinskim podacima o stanju informacijskog sustava, te odgovarajućom metrikom.

“Enterprise risk management” koji predstavlja suštinu sveobuhvatnih upravljanja rizicima u bankarskom poslovanju i kojemu se mora prilagoditi upravljanje informacijskim rizicima je posebna tema i zahtijeva puno više mjesta za analizu, a vjerujem i da managementu treba vremena za uhodavanje svih procesa. Ipak, ako se vratimo na “Hype Cycle”, smatram da upravljanje informacijskim rizicima može i mora krenuti prema fazi “Plateau of Productivity".

Borea na stručnim konferencijama

Idući tjedan održati ću prezentacije na dva stručna skupa. Ukoliko imate priliku sudjelovati na ovim konferencijama, pozivam vas na diskusiju i izmjenu iskustava po održavanju prezentacija. Ukoliko niste u mogućnosti sudjelovati, javite se pa ću vam proslijediti prezentaciju.

Prva konferencija je DataFocus 2013, koja se bavi računalnom forenzikom i digitalnim dokazima. Konferencija će se održati u utorak 9.4.2013., a organizira je tvrtka INsig2 s kojom surađujem niz godina. Tema moje prezentacije je nedavno usvojena međunarodna norma ISO/IEC 27037 kojom se daju smjernice za provedbu postupka identifikacije, prikupljanja, akvizicije i očuvanja digitalnih dokaza. Ovaj postupak, koji prethodi samoj forenzičkoj analizi digitalnih dokaza, ima ključnu ulogu u osiguranju vjerodostojnih, detaljnih i kompletnih digitalnih dokaza, pa tako direktno može utjecati na uspješnost forenzičke analize i ispravnost pravne odluke.

Druga konferencija na kojoj ću, sada već tradicionalno, sudjelovati je godišnja konferencija Hrvatskog instituta internih revizora (HIIR). Ovo je već peta konferencija HIIR-a, a ove godine se održava u Zadru u četvrtak 11.4.2013. Prezentacija će biti održana u okviru tema koje se bave računalnom sigurnosti i interne revizije IS-a. Tema prezentacije je penetracijsko testiranje koje se predstavlja sa specifične pozicije relevantne za unutarnju reviziju informacijskog sustava.

Lov na Crveni oktobar

Trebalo je tek desetak dana u 2013. godini kako bi informatički svijet obišla vijest o novom slučaju ciljanoga cyber napada. Kaspersky Lab je sredinom siječnja objavio rezultate više-mjesečne istrage napada usmjerene prema, uglavnom, državnim institucijama u zemljama bivšeg istočnog bloka ali i prema nekim zapadne Europe i drugih kontinenata. Red October - kako je nazvana ova cybercrime kampanja - započinjao je ciljanim napadima na birani krug korisnika informacijskih sustava žrtava, a potom je koristeći prisutne računalne ranjivosti na njihovim računalima izgradio složenu i izuzetno učinkovitu malicioznu aplikativnu infrastrukturu.

Kasperski Lab prati ovaj slučaj od listopada prošle godine. Utvrđeno je da, kada se jednom naseli na računala žrtava, Red October uspostavlja komunikacijsku vezu s Comand&Control centrima, te im dostavlja podatke od posebnog interesa otkrivene u mreži žrtava. Ova komunikacijska veza je uspostavljena putem nekoliko razina proxy servera smještenih u Njemačkoj i Rusiji, no krajnje destinacije su smještene u drugim državama.

Već površan pogled na Red October, podsjeća nad na slučajeve Stuxnet, Flame ili još ranije Aurora, a radi o sličnostima u modelu djelovanja ali ne i o podudarnostima ili dijeljenju programskog koda. Trenutno nema indikacija o porijeklu Red Octobera, a ne može se tvrditi niti da iza ovog programa stoje pokretači ranijih ciljanih napada.

Za razliku od Stuxneta i Flamea, Red Octobar  ne korisiti privilegiju upućenosti u inače nepozanati bug u Windowima, niti mu je za instalaciju potreban ukradeni digitalni certifikat. Žrtva je navučenana jednostavnim socijalnim inženjeringom - npr. nesmotreno otvara privitak koji sadrži maliciozno iskrojeni Word ili Excel dokument (iako to nije i jedini scenarij, npr. iskorištava se i Java ranjivost). Zanimljivo da je Red October koristi različite sigurnosne rupe za inicijalnu intoksikaciju, a scenariji se mijenjaju, birajući uvijek nove i relativno raširene manjkavosti.

Značajna inovacija ovog programa je i raznolikost programskih modula i funkcija koje se izvode na računalima žrtava - od bilježenja rada tipkovnice, preko krađe lozinki do krađe dokumenata i izvođenja drugih sofisticiranih modula. Sustav upravljanja iz središnjeg centra daje precizan nalog malicioznom programu, a rezultati se iskorištavaju za razvoj daljnjih scenarija.

Ukratko, može se reći da su Stuxnet i Flame bili inventivniji u mehanizmu inicijalnog pokretanja, no Red October ima raznolikije opcije za učinkovito djelovanje kada jednom osvoji žrtvu.

Njihovo zajedničko svojstvo je polagana propagacija, bez "pohlepnosti", pa su antivirusni programi propustili pet godina prepoznati djelovanje Red Octobera. 

Tipične žrtve crvenog oktobra bile su diplomatske misije, vladine ustanove, istraživački centri, institucije u naftnom ili nuklearnom poslovanju, vojni ciljevi... Kasperski Lab je detektirao, ali ne i identificirao, i šest žrtava iz Hrvatske. Veliko je pitanje jesu li ove organizacije uopće svjesne toga.

(Ne)anonimnost i novi kazneni zakon

U Hrvatskoj je s prvim danom ove godine na snagu stupio novi kazneni zakon koji je najviše pažnje izazvao u odredbama vezanim za kaznena djela protiv časti i ugleda. U mnogim se komentarima izražava zabrinutost da takve odredbe zapravo znače gušenje slobode govora, jer će biti veoma teško odrediti mjeru što je to uvreda, sramoćenje ili kleveta. Ovo, ipak političko ili pravno pitanje, ostaviti ću stručnjacima za ova područja, a želim ukazati na jedan tehnički problem koji je, kako se čini,  promakao u dosadašnjim komentarima.

Naime, da bi se određeno kazneno djelo uvrede, sramoćenja ili klevete moglo procesuirati, potrebno je utvrditi identitet počinitelja. Pobornici zakona pomalo euforično govore kako se nitko više neće skrivati iza anonimnosti Interneta jer je, zna se, tehničkim instrumentima moguće utvrditi identitet i onih osoba koji se predstavaljaju izmišljenim ili možda tuđim identitetima, ili se uopće ne predstavljaju. Optimizam pobornika novog zakona temelji se na činjenici da se svaki put kada netko postavi tekst na nekom blogu, društvenoj mreži ili medijskom portalu bilježe podaci o mrežnoj adresi računala s kojeg je stigao tekst. Pod pretpostavkom da nadležna tijela imaju odgovarajuća ovlaštenja, potrebno je samo nekoliko klikova i telefonskih pozva kako bi se utvrdio stvarni identitet tražene osobe. Prethodna pretpostavka je sve samo ne hipotetska: policijski istražitelji mogu doći do ovih podataka ne samo s domaćih poslužitelja, nego i sa najpopularnijih svjetskih socijalnih mreža.

Stvari izgledaju, dakle, idealno i nema prepreke za provedbu novog zakona. No, je li baš tako? Nisam uvjeren.

Naime, tehnički je veoma jednostavno prikriti i promijeniti IP adresu. Za to vam nije potrebno osobito tehničko priznanje, na raspolaganju vam stoji nekoliko veoma dostupnih mehanizama - od različitih izvedbi proxy servera, pa do sofisticiranih sustava kao što su TOR ili čak komercijalni servisi koji osiguravaju anonimnost. Treba ipak istaknuti da je u nekim slučajevima moguće identificirati korisnike anonimnih servisa, no to zahtjeva znatno veći tehnički napor i autoritet (anonimni mehanizmi su u pravilu smješteni izvan dosega naših sudskih tijela). I jedno upozorenje čitateljima: na raspolaganju su brojni servisi koji pružaju anonimnost, no treba ih koristiti i sa značajnim oprezom i u ograničenom opsegu, a svakako izbjegavati prenositi privatne podatke ovim kanalima.

Ako vam ovaj pristup izgleda nerealan, za što ipak nema razloga, ukazati ću i na neke druge situacije gdje će trebati znatno više truda za dokazivanje identiteta.

S obzirom da je posjećivanje društvenih mreže redovita aktivnost koja se obavlja tijekom radnog vremena, postavljanje uvreda sa računala i iz mreže vaše tvrtke, ostaviti će na serveru podatke tvrtke, a ne vaše osobne. Tumačeći kazneni zakon, pretpostavljam da će nadležna sudska tijela trebati procesuirati samu tvrtku, no prepuštam pravnicima da isprave moj zaključak. U svakom slučaju, novi zakon će biti dodatni motiv tvrtkama i organizacijama za uređenje vlastite informacijske sigurnosti i uvođenje mehanizama za utvrđivanje odgovornosti i dokazivosti korisničkih postupaka.

Nadalje, novi zakon bi svakako trebao motivirati privatne korisnika interneta koji i dalje imaju nezaštićene bežične uređaje za konačno uvođenje zaštićenih i kriptiranih pristupa. Inače, može im stići tužba za uvrede koje je njihov susjed uputio nakon što se okačio o njihov wireless uređaj. Otkrivanje pravog počnitelja može postati nemoguća misija.

Na koncu, spomenimo brojne javne WiFi točke: zlonamjerni korisnici mogu uvijek iskoristiti njihovo gostoprimstvo za nedozvoljene aktivnosti, uz ograničene mogućnosti otkrivanja počinitelja.

Stoga, možemo zaključiti da će svatko tko bude želio ostavljati zaista anonimne komentare, vrlo brzo naučiti kako se to radi. Zakon će se, izgleda, baviti samo onima naivnijima ili onima koji neće moći obuzdati afekt kada odluče odvaliti svog omraženog političkog protivnika. Moglo bi se pokazati točnim da će zakon postati značajniji kao okvir za deklarativno normiranje dozvoljenog govora. I reguliranje verbalnog delikta.

QualysGuard InfoDay 2012

QualysGuard InfoDay je događaj koji okuplja ne samo domaće korisnike servisa QualysGuard nego i sve stručnjake koji se žele upoznati sa skupom sigurnosnih servisa tvrtke Qualys kao i s jedinstvenim poslovno/tehnološkim  modelom koji stoji iza ovog servisa

Na ovogodišnjoj konferenciji biti će predstavljene novosti u arhitekturi sustava QualysGuard te njegove nove funkcije i novi servisi. Qualys je ove godine najavio značajne novosti na području pregleda ranjivosti web servera, detekcije malicioznog koda na web serverima te je najavio „Web Application Firewall“ kao SaaS model.

Konferencija se održava 18.12.2012. u Palace Hotelu Zagreb, a obavijest o programu i upute za prijavu potražite na stranici http://www.borea.hr/o-nama/qualysguard-infoday-2012-2-47.

Pozvani ste, vidimo se.