Idući tjedan, od 25. do 27.03. 2010. u Opatiji se održava druga konferencija Hrvatskog instituta internih revizora. U petak drugog dana konferencije sudjelovati ću u radu sekcije koja se bavi sigurnošću informacijskih sustava. Tema moje prezentacije su sigurnosni incidenti i uloga internih revizora u uspostavi procesa praćenja sigurnosnih incidenata.
Sigurnosni incidenti su siva zona informacijske sigurnosti. Naše tvrtke u zadnjih nekoliko godina pokazuju porast zanimanja za organizacijski aspekt informacijske sigurnosti, sve više se govori o različitim radnim okvirima (a pomalo se ovi okviri i primjenjuju), interna revizije se sve ozbiljnije suočava s ovom problematikom... Istovremeno, o sigurnosnim incidentima, naročito onima koji se manifestiraju u kategorijama povjerljivosti i cjelovitosti, još uvijek se premalo zna. Glavni razlog ove ignorancije leži u nedostatku i manjkavostima procesa sigurnosnog nadzora nad radom informacijskog sustava. Rezultat: o informacijskim rizicima vlada bolja slika nego što ona (možda) treba biti, nedostaje komponenta povjesnog pogleda na mnoge računalne prijetnje.
Uloga IT revizora je dvojaka. Prvo, IT revizori svakako moraju biti među pokretačma inicijative za uspostavu procesa praćenja sigurnosnih incidenata. Drugo, IT revizori mogu (pa i moraju) i sudjelovati u postupku rješavanja ovih incidenata, naravno u okvirima svojih nadležnosti.
Vidimo se u Opatiji.
23.2.10
Upoznajte URIS na djelu
Prije, otprilike, pola godine pisao sam o aplikaciji URIS namjenjenoj za procjenu rizika informacijskih sustava. Ova aplikacija se temelji na međunarodno priznatoj metodolagiji MEHARI. Više o razlozima za razvoj aplikacije kao i o potrebi za korištenjem ove aplikacije možete pronaći u gore spomenutom napisu.
Joško Martinac iz poduzeća Adservio, autor razvojno-aplikativnog dijela aplikacije URIS, prije nekoliko dana je napravio šest kraćih snimaka rada ove aplikacije, a možete ih pogledati na ovoj stranici. Ove snimke jako dobro ilustriraju glavne funkcije i vjerujem da će vam znatno približiti mogućnosti i načine primjene. Treba reći da se aplikacija stalno dorađuje, pa će, u trenutku kada budete gledali ove snimke, dopune i nova poboljšanja biti u funkciji (marketinški stručnjaci: ne budite prestrogi prema kvaliteti materijala!).
U nastavku slijedi šest snimaka.
Napomena: snimke će bolje izgledati ako ih pogledate preko dolje navedenih linkova na YouTube (umjesto preglednika ugrađenog u samu stranicu). Ako pak želite još bolju kvalitetu snimka, na kraju stranice ćete naći uputu o preuzimanju originalnih avi datoteka.
Aplikacija URIS - uvodni pregled:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - procjena vrijednosti informacijske imovine:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - procjena vrijednosti informacijske imovine (nastavak) i procjena visine prijetnji:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - ocjena prisutnih kontrolnih mjera:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - izračun rizika:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - izvještavanje:
(ovaj snimak možete pogledati i ovdje - YouTube)
Ako želite vidjeti ove snimke u još boljoj kvaliteti i ako nemate komunikacijskih ograničenja, možete preuzeti originalne avi datoteke (pažnja: veličine datoteka su od 30 MB do 60 MB) s donjih linkova:
Prvi dio
Drugi dio
Treći dio
Četvrti dio
Peti dio
Šesti dio
Ovo su naravno tek glavne značajke aplikacije. Slobodno nam se javite ukoliko želite saznati više informacija o ovoj aplikaciji, upriličiti prezentaciju aplikacije ili pak želite cjelovito riješiti problematiku uvođenja upravljanja informacijskim rizicima.
Joško Martinac iz poduzeća Adservio, autor razvojno-aplikativnog dijela aplikacije URIS, prije nekoliko dana je napravio šest kraćih snimaka rada ove aplikacije, a možete ih pogledati na ovoj stranici. Ove snimke jako dobro ilustriraju glavne funkcije i vjerujem da će vam znatno približiti mogućnosti i načine primjene. Treba reći da se aplikacija stalno dorađuje, pa će, u trenutku kada budete gledali ove snimke, dopune i nova poboljšanja biti u funkciji (marketinški stručnjaci: ne budite prestrogi prema kvaliteti materijala!).
U nastavku slijedi šest snimaka.
Napomena: snimke će bolje izgledati ako ih pogledate preko dolje navedenih linkova na YouTube (umjesto preglednika ugrađenog u samu stranicu). Ako pak želite još bolju kvalitetu snimka, na kraju stranice ćete naći uputu o preuzimanju originalnih avi datoteka.
Aplikacija URIS - uvodni pregled:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - procjena vrijednosti informacijske imovine:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - procjena vrijednosti informacijske imovine (nastavak) i procjena visine prijetnji:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - ocjena prisutnih kontrolnih mjera:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - izračun rizika:
(ovaj snimak možete pogledati i ovdje - YouTube)
Aplikacija URIS - izvještavanje:
(ovaj snimak možete pogledati i ovdje - YouTube)
Ako želite vidjeti ove snimke u još boljoj kvaliteti i ako nemate komunikacijskih ograničenja, možete preuzeti originalne avi datoteke (pažnja: veličine datoteka su od 30 MB do 60 MB) s donjih linkova:
Prvi dio
Drugi dio
Treći dio
Četvrti dio
Peti dio
Šesti dio
Ovo su naravno tek glavne značajke aplikacije. Slobodno nam se javite ukoliko želite saznati više informacija o ovoj aplikaciji, upriličiti prezentaciju aplikacije ili pak želite cjelovito riješiti problematiku uvođenja upravljanja informacijskim rizicima.
17.2.10
IT sigurnost u predsjednikovom uredu
Kako danas javlja Večernji list, novoizabrani predsjednik Ivo Josipović će u svom uredu koristiti Windows operativni sustav.
U članku se citira nepoznati izvor iz predsjednikovog ureda koji kaže:
"– Windowsi su dobri i zbog određenih sigurnosnih standarda koji se moraju čuvati i tu nema milosti ni za koga pa ni za predsjednika – kaže naš izvor."
Prilično je neozbiljno i nekompetentno koristiti sigurnost kao argument u korist Windows operativnog sustava, a nasuprot Linuxu i drugim programima napisanim na temeljima otvorenog koda. Zapravo, takva samouvjerenost je problematična već sama po sebi i ne jamči nam da će informacije u predsjednikovom uredu biti zaštićene na pravi način.
Manje bi me začudilo da su se kao argumenti izvukli npr. nemogućnost otkazivanja ugovora Microsoftu, nemogućnost migracije u kratkom vremenu ili pak nesklonost predsjednikovih ljudi na učenje (iako je svaki od ovih argumenata jednako klimav). Argument može biti i neka važna aplikacija koja ne ide pod Linuxom, no ne vjerujem da će se netko na Pantovčaku baviti npr. Photoshopom.
Ne zagovaram a priori činjenicu da je Linux sigurniji od Windowsa, no kada netko, a naročito iz državnih tijela, tvrdi suprotno, morao bi imati dobre argumente. A takvih argumenata, kada govorimo o struci informacijske sigurnosti u svijetu, nema. Ako je u pitanju sigurnost, otvoreni kod općenito a i Linux kao operativni sustav posebno imaju niz argumenata na svojoj strani. Osporavatelji najčešće izvlače argument da besplatan kod ne može biti kvalitetno napravljen, previđajući činjenicu da broj čovjek/sati utrošen na razvoj i broj očiju zaposlen na testiranju otvorenog koda premašuju mnoge komercijale proizvode, a njegova arhitektura i izvedba nisu vođene tržišnim diktatom i zacrtanim rokovima realizacije pod svaku cijenu.
Za ilustraciju, uzmimo primjer nedavne napade na Google. Uzrok ovih napada bila je ranjivost u Internet Exploreru o kojoj je Microsoft znao mjesecima, a da nije pripremio popravak. Ovako nešto je nemoguće u otvorenom kodu. Nasuprot Internet Exploreru, statistike govore da se prijavljene ranjivosti u Firefoxu otklanjaju u znatno kraćem roku, što je svakako rezultat činjenice da Firefox pripada otvorenom kodu. Slika je naravno kompleksnija i zahtjeva nešto više prostora, nije baš ni sasvim crno-bijela, no trendovi svakako govore u prilog sigurnosti otvorenog koda.
Omiljeni argument osporavatelja sigurnosti Linuxa je i taj da ovaj operativni sustav nema puno ranjivosti jer je naprosto nezanimljiv istraživačima ranjivosti. Zbog malog broja instalacija (usporedimo li statistiku Linux desktop instalacija nasuprot Windowsima) oni se i ne pokušvaju baviti Linuxom, jer otkrivene ranjivosti ne mogu dobro naplatiti. Čak i da nema arhitekturne prednosti sigurnosnih svojstava Linux operativnog sustava i da je argument na mjestu, treba reći da će povećani broj Linux korisnika donijeti sa sobom i povećani broj razvojnih inicijativa i timova, povećani broj testova, a u konačnici povećanu sigurnost. Drugim riječima, povećanim korištenjem Open Sourcea automatski raste i razvojna podloga, što je potpuno suprotno zatvorenom i komercijalnom softveru.
U članku se citira nepoznati izvor iz predsjednikovog ureda koji kaže:
"– Windowsi su dobri i zbog određenih sigurnosnih standarda koji se moraju čuvati i tu nema milosti ni za koga pa ni za predsjednika – kaže naš izvor."
Prilično je neozbiljno i nekompetentno koristiti sigurnost kao argument u korist Windows operativnog sustava, a nasuprot Linuxu i drugim programima napisanim na temeljima otvorenog koda. Zapravo, takva samouvjerenost je problematična već sama po sebi i ne jamči nam da će informacije u predsjednikovom uredu biti zaštićene na pravi način.
Manje bi me začudilo da su se kao argumenti izvukli npr. nemogućnost otkazivanja ugovora Microsoftu, nemogućnost migracije u kratkom vremenu ili pak nesklonost predsjednikovih ljudi na učenje (iako je svaki od ovih argumenata jednako klimav). Argument može biti i neka važna aplikacija koja ne ide pod Linuxom, no ne vjerujem da će se netko na Pantovčaku baviti npr. Photoshopom.
Ne zagovaram a priori činjenicu da je Linux sigurniji od Windowsa, no kada netko, a naročito iz državnih tijela, tvrdi suprotno, morao bi imati dobre argumente. A takvih argumenata, kada govorimo o struci informacijske sigurnosti u svijetu, nema. Ako je u pitanju sigurnost, otvoreni kod općenito a i Linux kao operativni sustav posebno imaju niz argumenata na svojoj strani. Osporavatelji najčešće izvlače argument da besplatan kod ne može biti kvalitetno napravljen, previđajući činjenicu da broj čovjek/sati utrošen na razvoj i broj očiju zaposlen na testiranju otvorenog koda premašuju mnoge komercijale proizvode, a njegova arhitektura i izvedba nisu vođene tržišnim diktatom i zacrtanim rokovima realizacije pod svaku cijenu.
Za ilustraciju, uzmimo primjer nedavne napade na Google. Uzrok ovih napada bila je ranjivost u Internet Exploreru o kojoj je Microsoft znao mjesecima, a da nije pripremio popravak. Ovako nešto je nemoguće u otvorenom kodu. Nasuprot Internet Exploreru, statistike govore da se prijavljene ranjivosti u Firefoxu otklanjaju u znatno kraćem roku, što je svakako rezultat činjenice da Firefox pripada otvorenom kodu. Slika je naravno kompleksnija i zahtjeva nešto više prostora, nije baš ni sasvim crno-bijela, no trendovi svakako govore u prilog sigurnosti otvorenog koda.
Omiljeni argument osporavatelja sigurnosti Linuxa je i taj da ovaj operativni sustav nema puno ranjivosti jer je naprosto nezanimljiv istraživačima ranjivosti. Zbog malog broja instalacija (usporedimo li statistiku Linux desktop instalacija nasuprot Windowsima) oni se i ne pokušvaju baviti Linuxom, jer otkrivene ranjivosti ne mogu dobro naplatiti. Čak i da nema arhitekturne prednosti sigurnosnih svojstava Linux operativnog sustava i da je argument na mjestu, treba reći da će povećani broj Linux korisnika donijeti sa sobom i povećani broj razvojnih inicijativa i timova, povećani broj testova, a u konačnici povećanu sigurnost. Drugim riječima, povećanim korištenjem Open Sourcea automatski raste i razvojna podloga, što je potpuno suprotno zatvorenom i komercijalnom softveru.
16.2.10
Članak u "Novom listu"
Još jedan članak na temu OIB. Novi list je prošli tjedan objavio podatak da računi za siječanj jednog domaćeg pružatelja telekomunikacijskih usluga sadrže OIB samog pretplatnika (u ovom slučaju govorimo o privatnim pretplatnicima). Operater je, ujedno, ovo i obrazložio te obavještava pretplatnika da je njegov OIB dobio od Ministarstva financija.
Smatram da je ovo u potpunom neskladu sa Zakonom o zaštiti osobnih podataka.
Procjena da javni status OIB-a ne ugoržava našu privatnost je, bojim se, račun bez krčmara. Koliko god nam sada to izgledalo bezazleno, podataka označenih OIB-om biti će sve više i više. Što ih bude više, time će i vrijednost OIB-a rasti.
Ovo ima još jednu posljedicu. Naime, oni koji se bave rizicima informacijskog sustava lako će zaključiti da povećana vrijednost OIBA dodatno pojačava povećava rizik zloupotrebe. Naime, bez obzira koliko dobro postavili mjere zaštite OIB-a, njegova vrijednost će jače motivirati napadače na iskorištavanje nedostataka ili zaobilaženje ovih mjera.
Inače, u samom članku je i jedan moj komentar na ovaj slučaj.
Smatram da je ovo u potpunom neskladu sa Zakonom o zaštiti osobnih podataka.
Procjena da javni status OIB-a ne ugoržava našu privatnost je, bojim se, račun bez krčmara. Koliko god nam sada to izgledalo bezazleno, podataka označenih OIB-om biti će sve više i više. Što ih bude više, time će i vrijednost OIB-a rasti.
Ovo ima još jednu posljedicu. Naime, oni koji se bave rizicima informacijskog sustava lako će zaključiti da povećana vrijednost OIBA dodatno pojačava povećava rizik zloupotrebe. Naime, bez obzira koliko dobro postavili mjere zaštite OIB-a, njegova vrijednost će jače motivirati napadače na iskorištavanje nedostataka ili zaobilaženje ovih mjera.
Inače, u samom članku je i jedan moj komentar na ovaj slučaj.
9.2.10
Članak u časopisu Banka
Pretplati se na:
Postovi (Atom)