8 Sigurnost e- poslovanja...3 M. Zekić-Sušac, Digitalno gospodarstvo Strategija sigurnosti poslovanja Svaka tvrtka treba donijeti takvu strategiju – dokument u kojem će se detaljno

1

M. Zekić-Sušac

8 – Sigurnost e-

poslovanja

Izvor slike: http://www.computerrepairmaintenance.com/computer-security/the-

benefits-of-updating-your-security-software

M. Zekić-Sušac, Digitalno gospodarstvo

Što ćete naučiti u ovom

poglavlju?

Kako upravljati rizicima narušavanja sigurnosti u e-poslovanju

Koji su načini ugrožavanja sigurnosti e-poslovanja

Koji su mehanizmi i tehnike zaštite (sigurnosne mjere) e-poslovanja

Što je identifikacija, autentikacija i autorizacija

Kako se štiti intranet

Koje su mjere antivirusne zaštite

Kako zaštititi tajnost podataka

Kako zaštititi privatnost korisnika

2


Uvod

“We should never ever be so arrogant to think that we’re not a potential

victim or our data has not been compromised.” Howard Schmidt, predsjednik Information Systems Security Association (ISSA) i autor

knjige Patrolling Cyberspace: Lessons Learned from a Lifetime in Data Security

Izvor slike:

http://blog.securitymonks.com/2008/01/10/software-

security-news/

Pogledati filmove na YouTube:

• CyberCrime Toolkits,

http://www.youtube.com/watch?v=J9hApKU1

ZoQ

• Trailer: The New Face of Cybercrime,

http://www.youtube.com/watch?v=-

5zxOLZ5jXM


Kako upravljati rizicima

sigurnosti u e-poslovanju Zašto se pojavljuju rizici narušavanja sigurnosti?

• e-poslovanje se u većini slučajeva odvija putem Internet mreže

• Internet je javni medij, komunikacija na njemu je otvorena i bez formalnih mehanizama kontrole

Rizici narušavanja sigurnosti su veliki

• Kako smanjiti te rizike? Koristiti metodologiju za upravljanje rizicima, koja prema

Panianu (u Spremić, 2004) uključuje: • Sustavno prepoznavanje (identfikaciju rizika)

• Procjenu težine (ozbiljnosti) i frekvencije rizika

• Razvoj strategije sustavne kontrole nad rizicima i izbora odgovarajućih zaštitnih mjera.

http://www.networkworld.com/newsletters/sec/2007/1217sec2.html

https://www.issa.org/Association/ISSA-Profile.html

http://tinyurl.com/39ap7f

http://www.youtube.com/watch?v=J9hApKU1ZoQ

http://www.youtube.com/watch?v=J9hApKU1ZoQ

http://www.youtube.com/watch?v=-5zxOLZ5jXM



3


Strategija sigurnosti

poslovanja Svaka tvrtka treba donijeti takvu strategiju – dokument u kojem će

se detaljno razraditi postupci za očuvanje sigurnosti

Što je cilj te strategije? Omogućiti sigurno i neometano odvijanje svih dijelova poslovanja

Što nije dobro napraviti? Djelovati parcijalno, a ne za svaki dio poslovnog procesa – npr.

osigurati samo proces plaćanja, a ne i ostale procese (nabave, proizvodnje, itd) – svi su dijelovi poslovanja važni

Djelovati stihijski (kad se pojavi neka šteta, a kasnije opet ne raditi ništa po pitanju sigurnosti)

Što je dobro napraviti? Isplanirati sigurnosne sustave za svaki dio poslovanja

Stalno ulagati u nove sigurnosne sustave (zahtijeva financijska ulaganja i stručno znanje)

Primjer: Vlada SAD daje 2002. g. Sveučilištu Carnegie Mellon 35,5

milijuna dolara za razvoj alata za borbu protiv cyber-terorizma.

(Spremić, 2004)


Aspekti sigurnosti e-

poslovanja

Glavni aspekti sigurnosti e-poslovanja prema NCSA –

National Computer Security Association, SAD (Spremić,

2004) su:

AUTENTIFIKACIJA

PRIVATNOST

INTEGRITET

(CJELOVITOST)

PODATAKA

NEMOGUĆNOST

OSPORAVANJA

TRANSAKCIJE

provjera vjerodostojnosti identiteta korisnika

mehanizmi zaštite podataka od neovlaštenog

pristupa, korištenja i čitanja

sadržaj poruke ili podataka treba ostati

neizmijenjen tijekom prijenosa putem mreže

Mogućnost da inicijator transakcije ne može

osporiti da je zaista poslao poruku, odnosno

inicirao poslovnu transakciju

4


Koji su načini ugrožavanja

sigurnosti e-poslovanja

Praćenjem transakcija i ugrožavanjem privatnosti sadržaja

Krađom hardvera, softvera ili digitalnog sadržaja

Intenzivnim napadima na posebno ranjiva područja (“pretrpavanje” poslužitelja neopravdanim zahtjevima može izazvati pad sustava)

Pokretanjem virusa ili sličnih malicioznih programa kojima se napada hardver ili softver

Mehanizmi neovlaštenog “upada” (skrivanje IP adresa, “probijanje” lozinki, fizički upadi, prikupljanje tajnih informacija o internoj mreži i sl.)


Koji su mehanizmi i tehnike

zaštite e-poslovanja?

Mehanizmi i tehnike zaštite (sigurnosne mjere)

e-poslovanja prema (Panian, 2000) su:

Identifikacija, autentifikacija i autorizacija

Zaštita intraneta od pristupa neovlaštenih

korisnika

Mjere antivirusne zaštite

Zaštita tajnosti podataka i poruka

Zaštita privatnosti korisnika.

VAŽNO:

uključiti

sve ove

mehaniz-

me, a ne

samo

neke

5


Identifikacija, autentifikacija i

autorizacija

Identifikacija = postupak s pomoću kojeg se od korisnika traži da se “predstavi” sustavu (ime i prezime, ili identifikacijski broj, username ili dr.)

Autentifikacija = postupak povezan s identifikacijom, a utvrđuje da li je osoba zaista ta kojom se predstavlja

Načini identifikacije i autentifikacije:

Fizičke mjere: posjedovanjem nekog predmeta, npr. identifikacijske kartice, pametne kartice ili bimetrikom (otisak prsta, rožnica oka i dr.)

Logičke mjere: s pomoću lozinke

Autorizacija = provjera sustava da li osoba koja se predstavila ima ovlasti pristupa sustavu (provjera s unaprijed pohranjenim podacima u sustavu)


Identifikacija, autentifikacija i

autorizacija

IDENTIFIKACIJA:

[email protected]

AUTENTIFIKACIJA:

lozinka

AUTORIZACIJA:

Provjera u bazi

korisnika na

poslužitelju:

Da li postoji korisnik

[email protected] i da li

lozinka odgovara

Ako korisnik prođe

autorizaciju, pristup

sustavu omogućen

prema ovlastima

koje ima

Ako ne prođe

autorizaciju,

pristup

onemogućen.

X

Vatrozid (eng. firewall) –

uređaj ili program

6


Zaštita intraneta

Intranet = lokalna (privatna) mreža neke tvrtke ili institucije koja funkcionira na istom protokolu za prijenos informacija kao i Internet (TCP/IP protokolu)

Kako zaštiti intranet od uljeza s Interneta? S pomoću vatrozida (eng. Firewall), sinonimi su: obrambeni zid, sigurnosna

stijena

Što je vatrozid? uređaj ili program koji fizički razdvaja lokalnu intranet mrežu od internet

mreže i sprječava upad neželjenih korisnika s Interneta u lokalnu mrežu

Najčešće kombinacija hardverskih i softverskih rješenja koja propušta s Interneta samo željeni promet u lokalnu mrežu intranet:

Kako radi vatrozid? Načini rada: Filtriranjem ulaznih poruka (eng. packet filter)

Putem namjenskog autorizacijskog poslužitelja (eng. dedicated authorization server)

Putem ovlaštenih autorizacijskih poslužitelja (eng. proxy authorization server)


Virusi i crvi

Što su virusi? Računalni programi, programske rutine ili dijelovi programa koji se ubacuju u

uobičajene korisničke programe i zatim ih mijenjaju, a namjera im je prouzrokovanje neželjenih posljedica, materijalne ili nematerijalne štete

Aktiviraju se za vrijeme izvođenja programa, s različitim pojavnim oblicima (npr. “trojanski konj” se ubacuje u korisnikove programe i obavlja neželjene funkcije)

Koja šteta može nastati? Oštećenja datoteka, brisanje sadržaja, oštećenje programa, teškoće u radu,

umnožavanje datoteka i slanje velikih količina programa i sl.

Zbog lakoće stvaranja novih virusa, važno je stalno podizati razinu zaštite od virusa, posebno ako se koriste programi za rad s e-poštom i web preglednici

Što su crvi? Crvi su neovisni, samostalni programi koji se reproduciraju u umreženim

računalima i time šire potencijalnu štetu.

Opasniji od virusa, jer je viruse lakše kontrolirati.

7


Mjere antivirusne zaštite

Prema (Panian, 2000) dvije su skupine mjera antivirusne zaštite:

1. Mjere preventivne zaštite

Izbjegavanje upotrebe sumnjivih programa, otvaranje poruka nepoznatog podrijetla,

Redovito pohranjivanje sigurnosnih kopija programa i datoteka

Upotreba antivirusnih programa za otkrivanje virusa i crva

2. Mjere kurativne zaštite (šteta je već nastala)

Pokušati spasiti digitalne resurse poslovanja

Koristiti antivirusne lijekove za čišćenje virusa (ponekad to znači brisanje zaraženih datoteka i sadržaja)

Prema istraživanju tvrtke AVG (proizvođača sigurnosnog softvera), broj, ali i

nepostojanost “zloćudnih” web stranica dramatično se povećava. 60%

zloćudnih stranica živi manje od jednog dana, pa se takvom nepostojanošću

izbjegavaju tehnike njihovog pronalaženja i blokiranja temeljene na crnim

listama. (Mreža, br.3, 2009.,str.12)


Vatrozidovi na tržištu

Osobni vatrozidovi (za kućnu upotrebu) Microsoft Windows vatrozid – dolazi sa Service Pack2

Symantec - Norton Personal Firewall

ZoneAlarm/ZoneAlarmPro

Black Ice Defender

Sygate Personal Firewall

Tiny Personal Firewall

Kerio Personal Firewall

Poslovni (za tvrtke i institucije) Trinity Firewall (hrvatski proizvod)

Cisco i dr.

8


Antivirusni software na tržištu

Antivirus software

AVG (besplatan)

McAfee Antivirus

Symantec Norton Antivirus

Esset NOD32

BitDefender

Sophos Antivirus

Trend Micro Internet Security

F-prot

HouseCall

i dr.

Anti-spyware and anti-spam

AddAware

StopZilla,

Panda Titanuium Antivirus + Antispam

i dr.


Zaštita tajnosti pri prijenosu

podataka

Za zaštitu tajnosti podataka koji se prenose

različitim računalnim mrežama koriste se metode

šifriranja (kriptografije)

KRIPTOLOGIJA = znanost o prikrivanju stvarnog

informacijskog sadržaja izgovorenih ili napisanih

poruka (grčki “krypto” = skrivam, “logos” = govor)

KRIPTOGRAFIJA = postupak kojim se poruka napravi

nerazumljivom osobama koje nisu izvorni sudionici

komunikacije

KRIPTOANALIZA = obrnut postupak – pokušava otkriti

pravila (ključ) kojima su poruke kriptirane

9


Načini kriptografije

Svaki kriptološki sustav sastoji se od 4 osnovna elementa:

1. Originalna - razumljiva poruka

2. Kriptirani tekst - nerazumljiva poruka

3. Algoritam kriptiranja – matematički algoritam kojim se originalni sadržaj kriptira (npr. Hash algoritam)

4. Ključ – tajni ključ kojim se poruke kriptiraju, odnosno dekriptiraju

Dva osnovna kriptografska sustava:

Simetrični sustav – s tajnim privatnim ključem

Asimetrični sustav – s privatnim i javnim ključem


Simetrični sustav kriptografije

Stariji sustav kriptiranja

Isti tajni ključ se koristi za kriptiranje i dekriptiranje poruke

Pošiljatelj i primatelj poruke se prije samog slanja poruke trebaju dogovoriti o tome koji će tajni ključ koristiti i taj ključ treba biti poznat samo njima

S obzirom da putem Interneta danas komuniciraju osobe koje često ne komuniciraju prije samog slanja poruke nikakvih drugim načinima kojima bi razmijenili tajne ključeve, ovaj način kriptiranja više nije učinkovit

? ULJEZ

VIDI

10


Asimetrični sustav

kriptografije

Koristi se parom ključeva: Privatni ključ – koji zna određeni poslužitelj za svakog korisnika pojedinačno

Javni ključ – koji se šalje svim sudionicima komunikacije javno, pa je svima dostupan

Što je javni ključ? – Kriptografski objekt pomoću kojeg se dekriptiraju podaci kriptirani tajnim ključem

Kako se obavlja komunikacija?

Svaki korisnik u komunikaciji ima svoj tajni ključ kojim pristupa nekom poslužitelju za dodjeljivanje ključeva. Korisnik svoju poruku najprije kriptira sa svojim tajnim ključem, a zatim je pošalje sudionicima komunikacije zajedno s javnim ključem s kojim se može dekriptirati ta poruka. Svaki sudionik može se spojiti na taj poslužitelj, i s pomoću javnog ključa i svog tajnog ključa dekriptirati poruku.

Osim kriptiranja poruke, s pomoću ovog sustava može se provjeriti autentičnost pošiljatelja poruke (da je tu poruku poslala baš ta osoba koja se predstavlja u poruci)


Poznati asimetrični sustavi

Najpopularniji asimetrični sustavi su:

RSA (Rivest, Shamir, Adelman)

PGP (Pretty Good Privacy)

SET (Secure Electronic Transactions)

SSL (Secure Socket Layer)

sporiji

brži

-----BEGIN PGP SIGNED MESSAGE-----

Hash: SHA1

Hrvatska akademska i istrazivacka mreza CARNet Sluzbena obavijest

Zagreb, 13.02.2009.

..... ovdje tekst poruke ......

-----BEGIN PGP SIGNATURE-----

Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFJlWHLCqskfuuO+TIRAsrhAJ9mqIMi5PqBqxcOfPjPlkjAckeV3QCghdtt

aohrVduepR/JYuWu/7n6fEA=

=i7Xq

-----END PGP SIGNATURE-----

Primjer e-

mail

poruke

potpisane

s pomoću

PGP

asimetrič

nog

sustava

11


Kada se koristi kriptografija?

U e-poslovanju, kriptografija se koristi za ne samo za kriptiranje sadržaja poruka, već i za provjeru identiteta pošiljatelja

U B2C poslovanju manje se koristi, jer se identitet kupaca ne provjerava posebno

U B2B poslovanju se često koristi, jer je važno dokazati identitet poslovnog partnera koji je poslao npr. narudžbu, račun, uplatu, ili dr. poslovnu transakciju U tu svrhu provjera vjerodostojnosti poslovnih transakcija

vrši se putem digitalnog potpisa – digitalni potpis u pravnom smislu predstavlja ekvivalent vlastoručnom potpisu


Kako se koristi digitalni

potpis?

Klasični potpis – svaka tvrtka u banci deponira potpise osoba koje imaju pravo potpisivati dokumente tvrtke (račune, ugovore i sl.). Fizičke osobe svoj potpis ovjeravaju kod javnog bilježnika prilikom potpisivanja ugovora i tako potvrđuju identitet.

Digitalni potpis – posebna ovlaštena virtualna institucija daje certifikat, odnosno potvrdu identiteta potpisnika. Identitet se potvrđuje parom tajnog i javnog ključa koji se koriste za kriptiranje sadržaja.

Kako se provodi poslovanje digitalnim potpisom? Pošiljatelj ovjerava predmet transakcije (npr. Ugovor) svojim digitalnim

potpisom, i šalje ga primatelju elektroničkim putem zajedno s javnim ključem.

Korištenjem javnog algoritma (npr. Hash) stvara se autentični sažetak poruke koji se kriptira tajnim ključem pošiljatelja

Primatelj pomoću javnog ključa dekriptira poruku i kreira se dekriptirani sažetak poruke. Ta se dva sažetka uspoređuju, i ako su jednaki, to znači da je potvrđena autentičnost pošiljatelja, autentičnost sadržaja (da li je sadržaj mijenjan u prijenosu), te da pošiljatelj ne može osporiti da je poruku poslao.

12


Zakonski propisi o digitalnom

potpisu

Prvi zakon potpisan digitalnim potpisom potpisao je Bill Clinton 1999.

Druga zemlja koja je pravno ozakonila digitalni potpis je Irska, zatim zemlje EU (Velika Britanija, Francuska, Belgija, Italija, Slovenija, i dr.)

U Hrvatskoj – Zakon o elektroničkom potpisu stupio na snagu 1.travnja 2002.

Naši ministri potpisuju dokumente s pomoću pametnih kartica (koje sadrže javni i tajni ključ, certifikat potpisa i šifra)

Cilj: potpuno koristiti digitalni potpis u G2B i G2C poslovanju (npr. da građani mogu svoje porezne prijave slati elektronski potpisane digitalnim potpisom, što je praksa u brojnim razvijenim zemljama)


Zaštita privatnosti korisnika

Virtualni način komunikacije često ne jamči anonimnost korisnika

Samim pojavljivanjem na Internetu, svaki korisnik računala bez posebne interakcije ostavlja neke podatke o sebi (npr. IP adresa računala)

Kolačići (cookies) – omogućavaju pohranjivanje osobnih podataka o korisniku na računalu, pri čemu ih poslužitelji mogu pročitati i zapamtiti

Svaka kupovina na webu omogućava praćenje navika potrošača, te slanje reklama (spam)

Zaštitom privatnosti korisnika bave se neprofitne organizacije kao npr. TRUSTe.

13


Literatura

1. Spremić, M., Menadžment i elektroničko poslovanje, Narodne

novine, Zagreb, 2004.

2. Gates, B., Poslovanje brzinom misli, Izvori, Zagreb, 1999.

3. Panian, Ž., Izazovi e-poslovanja, Narodne novine, Zagreb, 2000.

4. Mreža, br.3,2009.


Pomoćni materijali za čitanje

1. Hrvatski sabor, Zakon o elektroničkom potpisu,

Narodne novine, 30.01.2002, http://narodne-

novine.nn.hr/clanci/sluzbeni/308001.html, (15.03.2009)

2. Hrvatski sabor, Zakon o izmjenama i dopunama

Zakona o elektroničkom potpisu, Narodne novine,

11.07.2008., http://narodne-

novine.nn.hr/clanci/sluzbeni/340202.html (15.03.2009)

3. Ždrnja, B., Duplikacija SSL certifikata, Kad SSL padne

u vodu, Mreža, br. 3, 2009., str. 94-95.

http://narodne-novine.nn.hr/clanci/sluzbeni/308001.html






14


Pitanja za vježbu iz dodatnih

materijala za čitanje:

Zakon o e-potpisu

1. Koja je razlika između e-potpisa i naprednog e-potpisa?

2. Što je certifikat e-potpisa, a što kvalificirani certifikat? 3. Tko može biti davatelj usluga certificiranja?

4. Tko vodi evidenciju o davateljima usluga certificiranja i kako se provodi nadzor?

5. Kako potpisnici biraju davatelja usluge certificiranja?

6. Da li se može izabrati davatelj usluga certificiranja iz druge države i koja je razlika u uvjetima?

7. Koje su kazne za zlouporabu e-potpisa ili za neispravno pružanje usluga davanja certifikata?

8. Koje su bitne izmjene u Zakonu donesene 2008?

Članak iz časopisa Mreža

1. O kojem problemu govori članak iz časopisa Mreža?

2. Kako se problem može riješiti?

Documents

8 Sigurnost e- poslovanja...3 M. Zekić-Sušac, Digitalno gospodarstvo Strategija sigurnosti poslovanja Svaka tvrtka treba donijeti takvu strategiju – dokument u kojem će se detaljno