MRR - Kriptografska Zaštita Baza Podataka (1)

Fakultet za informatiku i menadment Univerzitet Singidunum Beograd

Kriptografska zatita baza podataka

Magistarski rad

Mentor: Kandidat: Prof. dr Mladen Veinovi, dipl. in. Slobodan Damjanovi, dipl. in.

Beograd, maj 2010. godine

Damjanovi, S. 2010. Kriptografska zatita baza podataka

Univerzitet Singidunum Beograd, Fakultet za informatiku i menadment 2

Sadraj: 1. METODOLOGIJA ISTRAIVAKOG RADA.............................................................................................4 2. BAZE PODATAKA I BEZBEDNOST STANDARDNI MEHANIZMI.....................................................8

2.1. POVERLJIVOST...................................................................................................................................10 2.2. INTEGRITET .......................................................................................................................................12 2.3. RASPOLOIVOST................................................................................................................................13

3. ZAKONSKA REGULATIVA .........................................................................................................................14 3.1. SARBANES - OKSLI, ODELJAK 404 .....................................................................................................16 3.2. PHI, HIPAA......................................................................................................................................19 3.3. PCI....................................................................................................................................................23 3.4. GRAMM-LEACHY BLILEY..................................................................................................................25 3.5. SB 1386 ............................................................................................................................................27 3.6. BASEL II ..........................................................................................................................................29 3.7. OSTALE REGULATIVNE MOGUNOSTI ................................................................................................32 3.8. NAJBOLJE PRAKSE KADA JE RE O TEHNOLOGIJI I TEHNICI ................................................................33 3.9. ZAKJUAK.........................................................................................................................................35

4. NAPADI NA BAZE PODATAKA ..................................................................................................................37 4.1. ZLOUPOTREBA PRETERANE PRIVILEGIJE............................................................................................37 4.2. ZLOUPOTREBA LEGITIMNE PRIVILEGIJE .............................................................................................38 4.3. UVEANJE PRIVILEGIJE .....................................................................................................................39 4.4. RANJIVE TAKE NA PLATFORMI.........................................................................................................39 4.5. UBRIZGAVANJE SQL-A .....................................................................................................................40 4.6. SLABA KONTROLA DNEVNIKA AKTIVNOSTI .......................................................................................41 4.7. ODBIJANJE PRUANJA USLUGE ..........................................................................................................43 4.8. KOMUNIKACIONI PROTOKOLI U BAZI PODATAKA...............................................................................44 4.9. SLABA AUTENTIKACIJA .....................................................................................................................44 4.10. OTKRIVANJE PODATAKA IZ ARHIVE...................................................................................................45 4.11. ZAKLJUAK.......................................................................................................................................45

5. KRIPTOGRAFSKA ARHITEKTURA..........................................................................................................46 5.1. OSNOVE ARHITEKTURE .....................................................................................................................46 5.2. KRIPTOGRAFSKI KLJUEVI ................................................................................................................48 5.3. PREDLOG REENJA ............................................................................................................................58 5.4. ZAKLJUAK.......................................................................................................................................61

6. PRIKAZ POSTOJEIH REENJA ZATITE ............................................................................................62 6.1. ORACLE.............................................................................................................................................62 6.2. IBM DB2 ..........................................................................................................................................71 6.3. MICROSOFT SQL SERVER .................................................................................................................74 6.4. MYSQL.............................................................................................................................................93 6.5. POSTGRESQL....................................................................................................................................96

7. PRIKAZ SLUAJA .......................................................................................................................................102 7.1. MOTIVACIJA....................................................................................................................................102 7.2. PRIKAZ REENJA REALIZACIJE NA ODABRANOM DBMS-U ..............................................................104 7.3. REZULTATI......................................................................................................................................112

8. ZAKLJUAK.................................................................................................................................................115 9. LITERATURA ...............................................................................................................................................116

10. SPISAK SLIKA.......................................................................................................................................117 11. SPISAK TABELA...................................................................................................................................118 12. PRILOZI..................................................................................................................................................119



Apstrakt:

Potrebe za zatitom baza podataka su sve vee, posebno u sadanje doba e-trgovine. Zahtevi za korienjem kriptografskih reenja stiu od strane drave u vidu zakona a od strane poslovnih partnera u vidi poslovih pravila. U prvom delu rada prikazani su neki od dravnih zakona i pravila strukovnih udruenja koji eksplicitno trae korienje kriptografije radi zatite podataka. Spremajui se za odbranu podataka potrebno je upoznati neprijatelja. Dat je prikaz najeih napada na baze podaka i metode za odbranu. Polazne osnove za kriptografsku zatitu su date u vidu prikaza ugraenih kriptografskih reenja u trenutno, vodeim bazama podataka. Veina prikazanih reenja ne poseduje mogunost upravljanja kriptografskim kljuevima, pa je u nastavku rada predloen jedan model upravljanja kljuevima. Predloeno reenje je generiko, te omoguuje korienje mnogih simetrinih ifarskih sistema. Otpor prema uvoenju kriptografije u ve postojee baze podataka lei u injenici da je potrebno vriti izmene samih baza ali i aplikacija jer se ifrovanjem menja veliina i tip polaznih podataka. Prikazane su kriptografske tehnike kojima se ne menja format ifrovanih podataka.

Kljune rei: bezbednost baza podataka, kriptografija, upravljanje kljuevima

Abstract:

The requirements for data protection are increasingly greater, especially nowadays at the time of e-business. Demands for application of the cryptographic solutions are pouring in from a state in the form of laws and also from business partners in the form of business rules. In the first part of the paper some of the state laws have been presented as well as various rules of some professional associations that explicitly call for the application of cryptography for data protection. While preparing for data protection it is necessary to get acquainted with an adversary. The review of the most frequent attacks on the data bases and the protection methods has been presented. The initial elements for cryptographic protection have been introduced in the form of a survey of the implemented cryptographic solutions in the main data bases. Most of the presented solutions lack the capability of managing the cryptographic keys, so that in the subsequent part of the paper a model of the key management has been suggested. The proposed solution is generic, so that it enables the application of a variety of symmetrical cipher systems. Unwillingness to implement cryptography into existing data bases lies in the fact that it is necessary to make changes within the data bases themselves but also within the very applications since by introducing ciphering the size and type of the initial data are also being changed. The cryptographic techniques that do not have impact on the format of the ciphered data have been shown.

Key words: database security, cryptography, key management



1. METODOLOGIJA ISTRAIVAKOG RADA 1.1. Uvodne napomene i obrazloenje rada

Kompjuteri i tehnologije su postali sastavni deo drutva, a njihova svakodnevna upotreba se ne dovodi u pitanje. U modernim dravama, celokupna infrastruktura je automatizovana do odreenog stepena, inei da se svakodnevne ivotne aktivnosti odvijaju bre i lake. Upravo se u takvom nainu ivota krije i najvea ranjivost. Prestanak protoka informacija na kritinoj infrastrukturi, bilo da je re o prirodnoj katastrofi ili o napadu koji je proizveo pojedinac ili grupa, moe dravu da dovede do kamenog doba. Upravo zbog toga se u doktrinarnim dokumentima, vodeih vojnih i ekonomskih sila, akcenat stavlja na zatitu najvanijih infrastrukturnih segmenata, a posebno sledeih:

Informacija i komunikacija Bankarstva i finansija Energije, ukljuujui elektrinu energiju, naftu i gas i Transportnog sistema [1].

Ovde je vano uoiti redosled kojim su nabrojani infrastrukturni segmenti. Informacije i komunikacije imaju vrhunski prioritet. Isto tako kao to drava titi informatiku infrastrukturu, tako i privatne kompanije stavljaju akcenat na zatitu informacija. Savremeno poslovanje je nezamislivo bez komunikacija i baza podataka. Baze podataka predstavljaju izvor informacija za veinu aplikacija koje pomau u obavljanju primarnih aktivnosti svakog poslovanja. irenjem trita, a samim tim i razvojem organizacija, bez obzira da li su one dravne ili privatne, uoena je primena sistema baza podataka kao kljune tehnologije za upravljanje podacima i pomonog sredstva za donoenje odluka.

Strukturu rada, pored metodolokog pristupa, ini est meusobno povezanih delova.

U drugom poglavlju opisani su standardni sigurnosni mehanizmi koji se odnose na baze podataka.

U treem poglavlju je opisano stanje u zakonodavstvu, ekonomski razvijenih zemalja, po pitanju zatite podataka. Detaljno je pokriveno est relevantnih zakona, a ostala etiri samo uvodno. Za svaki zakon je dat pregled sa programerske take gledita, potrebni koraci u procesu razvoja proizvoda, kao i strategije i tehnike, radi ispunjenja zahteva postavljenih zakonom. Strategije i tehnike su odvojene u pet glavnih kategorija: poverljivost, integritet, dostupnost, kontrola i evidencija i provera identiteta.



U etvrtom poglavlju prikazano je deset najeih napada na baze podataka, zajedno sa predlogom za spreavanjem napada.

U petom poglavlju je opisana kriptografska arhitektura na visokom nivou. Najvei deo poglavlja razmatra karkteristike kljueva, jer bezbednost kriptosistema u najveoj meri zavisi od bezbednosti i paljivog rukovanja ovim kljuevima. Posle analize osobina kriptografskih kljueva i njihove uloge u sistemu, predloen je fiziki model baze podataka za podrku kriptografskoj zatiti podataka u bazi.

U estom poglavlju su opisana postojea reenja zatite u vodeim komercijalnim bazama podataka: Oracle, IBM DB2 i Microsoft SQL Server; kao i u bazama otvorenog koda: MySQL i PostgreSQL. U nekim proizvodima je samo omogueno korienje kriptografskih primitiva u vidu funkcija, a drugim je izgraena hijerarhija kljueva zajedno sa mehanizmima za njihovo upravljanje.

U sedmom poglavlju je opisan ifarski mehanizam, koji proizvodi ifrat u istom formatu kao i otvoreni tekst. Naime, ifrovanjem podataka menja se njihov format i veliina prostora za njihov smetaj, pa ifrovanje podataka moe zahtevati znaajne izmene u postojeim bazama i aplikacijama. Prikazana su etiri algoritma koja uvaju format podataka. Vrena su merenja performansi predloenih reenja zatite podataka sa ouvanjem formata.

1.2. Predmet istraivanja U ovom radu bie istraena primena kriptografije kao jednog od elemenata zatite

podataka u sistemima baza podataka. Naime, uvanjem podataka u otvorenom obliku, osetljivi podaci mogu biti ranjivi na napade, kako spolja tako i iz same organizacije. Bez ozbzira na preduzete mere, uvek e postojati jo jedan od naina da se do podataka doe na nedozvoljen nain. Da bi se predupredio gubitak podataka, preporuuje se kriptografska zatita podataka. Analizom postojeih softverskih i hardverskih kriptografskih elemenata koji su danas na raspolaganju potrebno je utvrditi u kom su stepenu primenljivi na zatitu podataka u bazama.



1.3. Ciljevi istraivanja Na osnovu izloene argumentacije, cilj ovog istraivanja je da se ispitaju kriptografske

mogunosti zatite baza podataka, imajui u vidu softverske i hardverske proizvode, koji su danas na raspolaganju.

Teorijski cilj istraivanja podrazumeva uspostavljanje teorijskih okvira za razvoj kriptografskih mehanizama u bazama podataka, odnosno definisanje pojmova koji se tiu bezbednosne politike, vieslojne zatite podataka i zatite u bazama podataka.

Aplikativni cilj istraivanja podrazumeva dizajniranje i testiranje bezbednosnih mehanizama definisanih teorijskim okvirom, na odabranom primeru baze podataka i analizu tako dobijenih rezultata.

Krajnji cilj je nalaenje to efikasnijeg i funkcionalnijeg reenja u realizaciji primene kriptografskih mehanizama. Prilikom iznalaenja reenja, potrebno je odrati balans imeu fleksibilnosti i modularnosti sistema sa jedne strane i bezbednosti sistema sa druge strane.

1.4. Hipotetiki okvir

Opta hipoteza

Uzimajui u obzir kompleksnost problema i predmeta istraivanja, mogue je postaviti optu hipotezu da je primena kriptografskih mehanizama najbolje bezbednosno reenje, koje se mora kombinovati sa klasinim bezbednosnim mehanizmima na bazi kontrole pristupa i privilegija. Takvu hipotezu potvruju brojni brojni argumenti, meu kojima treba posebno istai izvetaje o bezbednosnim provalama u baze podatake koje su bile zatiene samo klasinim mehanizmima zatite kontrole pristupa, zasnovanim na modelu privilegija.

Radna hipoteza

Drugi vaan i specifian parametar savremene zatite baza podataka je upravljanje kriptolokim kljuevima. Naime, na tritu se nalaze proizvodi koji nude prostu funkcionalnost ifrovanja i deifrovanja podataka, to je samo manji (jednostavniji) deo reenja zatite baza podataka. Radna hipoteza se odnosi na dokazivanje da centralno mesto, kvaliteta i upotrebljivosti ifarskog sistema, pripada upravljanju kriptografskim kljuevima.

1.5. Metode i tehnike istraivanja U ovom istraivakom radu, pored standardnih logikih metoda indukcije, dedukcije i apstrakcije, primenjene su razliite nauno-istraivake metode:



metoda analize i sinteze,

statistike metode,

metoda komparacije, analiza sluaja i eksperimenta.

Metoda analize i sinteze: U radu je analizirana celina, koja predstavlja informacioni sistem neke kompanije, a koji se najee nalazi u vidu troslojne arhitekture, rastavljen na svoje elemente - prezentacioni sloj, aplikacioni sloj i sloj baze podataka. U takvom sistemu analiziran je i ispitivan uticaj pojedinih elemenata, na celokupnu bezbednost podataka, u sluaju izbora tog elementa za mesto uvanja kriptolokih parametara, odnosno, za izvoenje kriptolokih operacija. Sistematizacijom znanja i sintezom rezultata analize, dolo se do efikasnog i funkcionalnog reenja primene kriptografskih mehanizama.

Statistike metode: U radi su korieni statistiki podaci vodeih svetskih organizacija, koje se bave prikupljanjem i objavljivanjem podataka o incidentima, koji se tiu baza podataka. Ovi dokumenti se obino objavljuju na kvartalnom nivou, a prikazuju incidente po tipu podatka koji je kompromitovan, sektoru u kome se incident dogodio (vladine organizacije, vojska, zdravstvo, obrazovanje i privreda) i samoj vrsti incidenta (rashodovana oprema, kraa, izgubljena oprema, web, virus i sl.). Analizom ovih podataka dolo se do najzastupljenijih napada na baze podataka.

Metod komparacije: U cilju sagledavanja mogunosti upotrebe ugraenih kriptolokih mehanizama u postojeim bazama podataka, primenjena je komparacija postojeih reenja.

Analiza sluaja: Otpor uvoenju kriptografskih metoda ogleda se u injenici da se kriptografskim mehanizmima menja tip podatka, koji se smeta u bazu podataka, to na kraju zahteva i izmene na aplikativnom nivou. Analiziran je i prikazan sluaj u kome je potrebno ouvati tip podatka kako bi uticaj na aplikativni sloj bio to manji.

Eksperiment: U analizi sluaja koriena su tri metoda, kojim je mogue obezbediti ouvanje formata podataka, a performanse svakog od tih metoda merene su eksperimentalnom tehnikom.



2. Baze podataka i bezbednost standardni mehanizmi

Bezbednost baza podataka predstavlja sistem procesa i postupaka kojima se titi baza podataka od neeljenih aktivnosti. Pod neeljenom aktivnou se moe ukljuiti zloupotreba legalnog korisnika, zlonamerni napad, ili greka izazvana nepanjom a koju je nainio legalni korisnik ili proces. Takoe, bezbednost baza podataka je specijalnost unutar discipline raunarske bezbednosti. Tradicionalno, baze podataka su bile zatiene od spoljnih veza mrenom barijerom (engl. firewall) ili usmerivaem (engl. router), na prilazu mrei (engl. network perimeter), gde se baza podataka nalazila na internoj mrei a ne unutar demilitarizovane zone. Dodatni mreni sigurnosni ureaji koji otkrivaju i upozoravaju na zlonamerni saobraaj koji se odvija ka i od baze podataka ukljuuju mrene sisteme za detekciju upada zajedno sa serverskim sistemima za detekciju upada.

Bezbednost baza podataka je postala vanija kako su mrene komunikacije postale rairenije i otvorenije. Baze podataka pruaju vie nivoa i tipova informacione bezbednosti, uobiajeno sadranih u reniku podataka same baze, ukljuujui:

Kontrolu pristupa,

Reviziju, Preveru identiteta,

ifrovanje, Kontrolu integriteta

Bezbednost baza podataka moe poeti sa procesom stvaranja i izdavanja odgovarajuih bezbednosnih standarda koji e da vae za relevantne baze podataka. Standardi mogu da ukljue specifina pravila za razliite baze podataka, skup principa najbolje prakse, a koji se ne odnose na konkretnu platformu; kao i povezivanje standarda na viem nivou sa pravilima i zakonskom regulativom. Vaan postupak kod procene bezbednosti baze podataka je postupak procene ranjivosti. Procena ranjivosti je postupak kojim se pokuavaju pronai slabe take, koje se mogu iskoristiti i izvesti neeljena aktivnost u bazi podataka. Administratori baza podataka ili administratori bezbednosti u bazi, pokreu automatske testove radi otkrivanja slabo (pogreno) konfigurisanih baza podataka. Takoe, stalnim praenjem bezbednosnih ojaanja baze podataka za koju su zadueni, uklanjaju poznate slabe take i na taj nain ublauju pretnju koji po bazu podataka ine napadai. Program stalnog nadgledanja usklaenosti sa bezbednosnim standardima u bazama podataka je vaan zadatak za baze podataka koje su od presudne vanosti za poslovanje neke organizacije. Dva presudna aspekta ouvanja bezbednosti baze podataka su upravljanje ispravkama softvera (engl. patch management), kao i upravljanje i pregled ovlaenja koja su dodeljena objektima unutar baze



podataka (posebno javnih ovlaenja). Ovlaenja koja su data SQL naredbama za rad sa objektima unutar baze podataka takoe se razmatraju u ovom procesu. Treba napomenuti da su proces nadgledanja pridravanja pravila i procena ugroenosti slini procesi s kljunom razlikom da rezultati procene ugroenosti dovode do bezbednosnih standarda koji kasnije uvode program kontinuiranog nadgledanja. U osnovi, procena rizika je preliminarna aktivnost gde se utvruje rizik, a program nadgledanja usklaenosti sa pravilima postupak koji se odvija u procesu procene rizika. Program usklaenosti sa pravilima treba da uzme u obzir zavisnosti koje postoje na aplikativnom nivou, poto promene na nivou baze podataka mogu imati uticaj na aplikativni softver ili na aplikativni server. U direktnoj vezi sa ovom tematikom je i bezbednost aplikacija. Mehanizme provere identiteta i autorizaciju unutar aplikacije treba uzeti kao efikasno sredstvo za obezbeenje nivoa apstrakcije kojim se aplikacija odvaja od baze podataka. Glavna prednost apstrakcije je mogunost prijave korisnika na jednom mestu u sistemu sa vie platformi i baza podataka. Sistem koji dozvoljava prijavu na jednom mestu treba da uva akreditive korisnika prijavnu identifikaciju i lozinku, a kasnije u ime korisnika da te akreditive predoi bazi podataka.

Jo jedan bezbednosni sloj, sofisticiranije prirode, ukljuuje nadgledanje mrenog saobraaja i to onog dela koji se odnosi na protokol baze podataka, kao i nadgledanje aktivnosti baze podataka koju prouzrokuju softverski agenti. Analiza se moe sprovesti na transportnom delu radi pronalaska poznatih napada, ili na mrenom delu, s vremene na vreme, hvatati saobraaj, kako bi se uoili normalni obrasci ponaanja a blokirao saobraaj u sluaju odstupanja od unapred definisanog obrasca ponaanja, to bi moglo da oznaava poetak napada. Ovi sistemi, slue da dotatno ojaaju kontrolne mehanizme pored ve poznatih sistema za detekciji i prevenciju upada u sistem.

Osim alata za nadgledanje i evidenciju koji se nalaze van BP, veina BP poseduju ugraene mehanizme za evidenciju. Ugraeni sistem evidencije u BP se u pravilnim vremenskim intervalima preuzima, prebaciju na bezbedni sistem na kome administrator baze podataka nema pristup. Ovaj mehanizam obezbeuje podelu odgovornosti, koja garantuje da evidencija, koju je pravila BP automatski, nije menjana od strane administratora BP. Uopteno govorei, sistem evidencije koju prua baza podataka ne prua dovoljno mehanizama za podelu odgovornosti, tako da je potreban modul za nadgledanje koji je mrenog ili serverskog tipa i koji prua vii stepen poverenja u mogunost nadgledanja i ouvanja digitalnih dokaza.

Nakon to se incident dogodi, korienje forenzike baze podataka je potrebno da bi se odredio obim nastale tete. Sistem za nadgledanje bezbednosti u BP treba da ukljui redovne preglede naloga kao i pripadajuuh privilegija kako obinih korisnika tako i privilegija koje su date automatskim procesima. Lozinke za naloge kojima se slue automatski procesi treba da budu zatiene odgovarajuim mehanizmima kao to je ifrovanje i kontrola pristupa, a sve



radi smanjenja rizika od kompromitovanja. Za naloge pojedinaca, sistem za proveru identiteta bi trebalo da bude dvostruk, jedan na novou operativnog sistema a drugi na nivou BP.

U sprezi sa kvalitetnim planom za zatitu BP, potrebno je da postoji i odgovarajui plan za oporavak, kako bi se osigurali da servis nije prekinut tokom bezbednosnog incidenta ili incidenta druge vrste a koji rezultuje prekid rada BP. Na primer, repliku BP treba uvati na lokaciji koja je geografski udaljena od primarne lokacije.

2.1. Poverljivost Poverljivost je obezbeenje da je informacija dostupna samo onima koji imaju ovlateni

pristup dotinoj informaciji. Procedure za ouvanje poverljivosti moraju da budu paljivo implementirane. Kljuni aspekti poverljivosti su korisnika identifikacija i autentikacija. Pouzdana identifikacija korisnika sistema je nuna radi osiguranja efektivnosti politika koje odreuju koji korisnici imaju pravo pristupa pojedinim podacima. Poverljivost moe biti naruena na vie naina. Najee pretnje po poverljivost su:

Hakerisanje Haker je osoba koja ima znanje, sposobnosti i elje da u potpunosti neovlaeno koristi

tue kompjuterske i komunikacione sisteme, na nain da iskoritava bezbednosne slabosti koje postoje u tim sistemima. [3]

Punim pristupom serveru baze podataka, napada je u stanju da na svoj raunar prebaci celokupnu bazu podataka. Posle tog trenutka, moe na miru da pregledava bazu, bilo sa alatima za pretraivanje teksta, ili da podatke jednostavno ukljui u svoj server baze podataka i da gleda podatke kao i ostali legitimni korisnici.

Veina organizacija se oslanja na mehanizme kontrole pristupa kako bi zatitili podatke. U ovom sluaju kontrola pristupa nije dovoljna jer je je napada ve doao do podataka. Jedna od slabosti u pogledu naruavanja poverljivosti je i injenica da je administrator baza podataka u stanju da pregledava podatke.

Maskiranje Maskiranje je proces kojim ovlateni korisnik pristupa sistemu, ali pomou lozinki

drugih korisnika. Na taj nain pristupa datotekama kojima inae nema pristup. Maskiranje je esta pojava u organizacijama gde vie korisnika deli istu lozinku.

Neovlatena korisnika aktivnost Ovaj tip aktivnosti se pojavljuje kad autorizovani korisnik dobije pristup datotekama

kojima nema pravo pristupa. Slabe kontrole pristupa esto omoguuju pristup



neautorizovanim korisnicima koji mogu kompromitovati poverljive podatke. Organizacije se esto sreu sa problemom kratkih rokova zbog kojih esto u rad stavljaju baze podataka koje nisu do kraja testiranje. Radi kasnijeg (u hodu), testiranja i ispravki greaka, u bazi podataka se ostavljaju zadnja vrata (engl. backdoor) koja koriste programerima, testerima i ostalim lanovima tima da koriste bazu. Kako se podaci ne bi sluajno obrisali ili izmenili esto su ovi nalozi pasivni - namenjeni samo za itanje (engl. read-only accounts). Nije teko pretpostaviti ta se deava kad neko iz tima postane zlonameran. Situacija slina ovoj je i ona kada se u razvoju koriste odvojene baze za razvoj, testiranje i produkciju. Produkcione baze podataka imaju jau kontrolu pristupa dok je kontrola pristupa bazama namenjenim za razvoj i testiranje slabija. Ovakav model je dobar sve do onog momenta dok se produkciona baza sa podacima ne kopira u bazu namenjenu za razvoj i/ili testiranje. [5]

Nezatieno preuzimanje (engl. download) datoteka Preuzimanje datoteka moe kompromitovati poverljive informacije, ako za vreme

procesa preuzimanja, datoteke budu preneene iz sigurnog okruenja u nesigurno okruenje, u kojem poverljivim datotekama mogu pristupiti neovlateni korisnici.

Lokalne mree (engl. local area networks) Lokalne mree predstavljaju posebnu pretnju poverljivosti informacija jer podaci koji

putuju mreom mogu biti kompromitovani u svakom voru mree. Kao odbrana od ove vrste pretnje mogu se upotrebiti kriptografski protokoli: transport layer security (TLS) kao i prethodnik secure sockets layer (SSL), koji obezbeuju zatien prenos podataka izmeu uesnika. [4]

Kompjuterski trojanci Trojanci - zlonamerni programi (engl. malware, malicious software) u formi korisnih

programa, koji kopiraju (izmeu ostalog) poverljive datoteke u neovlatena podruja sistema, ukoliko korisnik koji ima pravo pristupa tim datotekama, ne znajui, izvri takav program.

Modeli poverljivosti opisuju akcije koje je potrebno preduzeti da bi se osigurala poverljivost informacija. Najee koriten model poverljivosti je Bell-La Padula model1 koji definie odnose izmeu objekata (npr. datoteke, programi, informacioni sistem) i subjekata (npr. ljudi, procesi). Veze izmeu subjekata i objekata opisane su nivoima pristupa subjekata objektima koji imaju svoju slojevitu osjetljivost.

1 Bell-LaPadula model (skraeno BLP) je model automata kojim se obezbeuje kontrola pristupa u vladinim i

vojnim aplikacijama. Model su razvili David Elliott Bell i Leonard J. La Padula pod mentorstvom Roger R Shell-a, radi formalizacije vieslojnih polisa bezbednosti Amerikog ministarstva odbrane.



Model kontrole pristupa koji sistem deli na objekte, subjekte i operacije je isto esto koriten model poverljivosti. Model ima definisana pravila koja opisuju koje operacije nad objektima mogu izvoditi pojedini subjekti.

2.2. Integritet Integritet - zatita postojanja, tanosti i kompletnosti informacije kao i procesnih

metoda. Potrebno je obezbediti da podaci kojima pristupaju autorizovani korisnici budu celoviti. Sigurnosne mere ne mogu obezbediti tanost podataka koje korisnici smetaju u baze podataka, ali mogu obezbediti da se promene nad podacima izvode na ispravan nain. Dodatni zahtev je obezbediti zatitu procesa i programa kojima se obavlja manipulacija podacima od neovlatene modifikacije. Potrebno je obezbediti da nijedan korisnik ne moe izvesti modifikaciju podataka koja moe uzrokovati oteenje ili gubitak sadraja. Kao i kod poverljivosti, identifikacija i autentikacija korisnika su kljuni elementi politike ouvanja integriteta. Integritet se takoe moe kompromitovati hakerisanjem, maskiranjem, neautorizovanim korisnikom aktivnou, nezatienim preuzimanjem datoteka, lokalnim mreama, trojancima, virusima i sl. Tri su bazina principa uspostave kontrola integriteta:

Dodela samo nunih prava pristupa (engl. need-to-know basis) Korisnicima treba dodeliti pravo pristupa samo na one datoteke i programe koji su im

potrebni da bi obavljali svoju poslovnu funkciju u organizaciji. Pristup tekuim podacima i izvornom kodu treba dodatno ograniiti dobro definisanim transakcijama koje osiguravaju da korisnici mogu menjati podatke na strogo kontrolisan nain kako bi se zatitio integritet. Poto se od korisnika oekuje da efikasno obavljaju svoj posao, pristupne privilegije treba da budu razumno dodeljene kako bi se korisnicima omoguila fleksibilnost u radu. Bezbednosne mere moraju uravnoteiti bezbednosne zahteve sa praktinom produktivnou.

Odvajanje dunosti (engl. separation of duties) Pokazalo se kao dobra praksa da nijedan zaposleni nema kontrolu nad transakcijom od

poetka do kraja. Dvoje ili vie ljudi treba da budu odgovorni za izvoenje transakcije, npr. onaj ko ima privilegiju kreiranja transakcije ne bi smeo imati privilegiju za njeno izvoenje.

Rotacija dunosti (engl. rotation of duties) Poslovne zadatke treba menjati periodino tako da korisnicima bude oteano

zlonamerno preuzimanje kontrole nad transakcijom. Ovaj princip je efikasan kada se koristi u kombinaciji s odvajanjem dunosti. Meutim, organizacije koje imaju manjak zaposlenih ili slabije osposobljene zaposlene, nisu u stanju da sprovode rotaciju dunosti.



Modeli integriteta opisuju naine ostvarivanja politike integriteta. Ouvanje integriteta ima tri cilja, koje razliiti modeli postiu na razliite naine:

spreavanje neovlatenih korisnika da menjaju podatke ili programe, spreavanje ovlatenih korisnika da menjaju podatke ili programe na nepropisan i

neovlaten nain,

odravanje unutranje i spoljne konzistentnosti podataka i programa.

2.3. Raspoloivost Raspoloivost osiguranje da autorizovani korisnici imaju mogunost pristupa

informaciji i pripadajuim sredstvima kada je usluga potrebna. Iako kriptografija nema direktnog uticaja na raspoloivost, dva su momenta upotrebe kriptografije koja mogu imati uticaja na raspoloivost. Kada se podaci kriptografski obezbede, mogu se distribuirati krajnjim korisnicima na lokacije sa kojih je dostupnost, od strane autorizovanih korisnika, tih informacija vea. S druge strane, kada se kriptografija ukljui u samu aplikaciju, sistem zavisi od pristupa kriptografskim kljuevima. U sluaju nedostupnosti kljueva, bilo da je mreni podsistem u kvaru, kljuevi obrisani ili izmenjeni, ceo sistem je neupotrebljiv. Posebno je interesantan sluaj kada napada u sistem unese vlastiti klju. Ceo sistem funkcionie, ali su u tom sluaju podaci ifrovani kljuem napadaa, i to sve do trenutka dok napada ne opozove klju. Posle toga svi podaci postaju "taoci" vlasnika kljua.

Pri razmatranju raspoloivosti u informacionoj bezbednisti i dalje treba voditi rauna o fizikim, tehnikim i administrativnim aspektima raspoloivosti. Fiziki aspekti ukljuuju spreavanje neovlatenog osoblja od pristupa sredstvima za obradu podataka, razliite zatitne mehanizme za odbranu od poara i poplave i sl. Tehniki aspekti se odnose na mehanizme otporne na greke (engl. fault-tolerance mechanisms), npr. uparivanje diskova (engl. disk mirroring) i redudantnost sklopova, programe za kontrolu pristupa i dr. Administrativni aspekti ukljuuju politiku kontrole pristupa, operativne procedure, planiranje nepredvienih situacija i obrazovanje korisnika. Adekvatan trening operatera, programera i osoblja zaduenog za bezbednost moe uticati na smanjenje broja situacija u kojima dolazi do gubitka raspoloivosti.



3. Zakonska regulativa

Usvajanjem novog krivinog zakonodavstva 2003. godine Srbija je po prvi put u sistem krivinog prava uvela posebna raunarska ili kompjuterska krivina dela koja su imala za cilj da obezbede efikasnu, kvalitetnu i potpunu zatitu bezbednosti raunarskih podataka odnosno raunarskog sistema. Tako je Zakon o izmenama i dopunama Krivinog zakona Republike Srbije (KZ RS) iz aprila 2003. godine u sistem krivinog prava nae zemlje uveo vie raunarskih (kompjuterskih) krivinih dela i to, u glavi 16a. KZ RS predviena su krivina dela protiv bezbednosti raunarskih podataka. [7] Na taj nain se i naa zemlja pridruila nizu zemalja koje se na razliite naine (preventivnim i represivnim merama) pokuavaju suprotstaviti razliitim oblicima i vidovima zloupotrebe kompjutera odnosno raunara2.

Imajui sve ovo u vidu, kao i tenju nae zemlje ka Evro-atlanskim integracijama, namee se kao neminovnost usvajanje seta zakona koji bi se odnosili na zatitu privatnosti podataka u raznim oblastima ivota i rada. Dok se to ne desi ostaje jedino da se zaviri u budunost, tj. da se prikae stanje u zakonodavstvima tehnoloko naprednih zemalja a koja se odnose na zatitu podataka. Praksa u tim zemljama je sledea: sve je dozvoljeno do momenta dok se ne desi problem. Tada se donese skup zakona, kojima se stanje u oblasti regulie, sve do pojave novog problema. Konkretno, u oblastima u kojima se primenjuju raunari donese se zakon, a usklaenost sa zakonom kontrolie od strane sertifikacionog tela koje potvruje da li je organizacija ispunila sve uslove koje od nje zakon trai.

Razumevanje problema vezanog za usklaenost sa zakonom moe biti teak i frustrirajui napor za programere. Veina programera nema dobru podlogu u pravnoj sferi a sa druge strane zakonodavac ne poznaje dobro razvoj softvera. Kao posledica se javlja problem u komunikaciji izmeu ove dve grupe ljudi: jezik zakona a i sami zahtevi opisani u zakonu ne mogu se jednoznano prevesti u softverske projektne zahteve. Problem je dodatno uslonjen rastuom koliinom propisa na svim nivoima - dravnom, meunarodnom i strukovnom - inei tako od zahteva za usklaenou kola u kojem se takvi zahtevi ponekad i meusobno preklapaju. Ovaj prikaz je pokuaj da se premosti jaz i da se bolje razume priroda zahteva za usklaenou sa zakonom.

Pokriveno je detaljno est najrelevantnijih zakona, a ostalih etiri samo uvodno. Svaki zakon ponaosob je pokriven sa etiri podruja:

Pregled zakona: tumai zakona sa programerske take gledita, objanjavajui ta je potrebno znati radi razumevanja posledica koje zakon ima na razvoj aplikacije.

2 Bruce Schneier, meunarodno priznati ekspert za bezbednost podataka ima obiaj da kae da zakon titi

podatake ali da kriptografija titi podatke jo bolje.



Potrebni koraci u procesu: detaljno objanjenje zahteva koji se odnose na programere. Uopteno govorei u ovom delu se opisuju vrste podataka koje se smatraju osetljivim i na koji ih nain treba zatititi.

Tehnologije i tehnike: objanjava strategije i tehnike radi ispunjenja zahteva postavljenih zakonom. Strategije i tehnike su odvojene u pet glavnih kategorija: poverljivost, integritet, dostupnost, kontrola i evidencija, i provera integriteta.

Dodatni izvori: daje vezu na izvore gde ze moe nai vie dodatnih informacija o zakonima o kojima je re. Nakon odeljka o zakonima, sledi vaan odeljak pod nazivom Tehnologije i tehnike

najbolje prakse. U tom poglavlju su skupljeni najvaniji primeri najbolje prakse koji su zajedniki za razne delove zakonodavstva. Tako na primer, posle opisa problema poverljivosti u HIPPA sekciji, mogue je direkno videti poglavlje sa opisom najbolje prakse radi dopunjavanja znanja o tome kako osetljive podatke drati u tajnosti. U sledeoj tabeli se daje kratak opis svakog zakona i na ta se odnosi:

Zakon Odnosi se Sarbanes-Oksli

(SOX) Privatnost i integritet podataka u kompanijama na berzi

HIPAA Poverljivost, integritet i dostupnost zdravstvenih informacija PCI Poverljivost podataka sa platnih kartice zapisanih i koritenih od

strane trgovaca

GLBA Poverljivost i integritet podataka zapisanih od strane finansijskih institucija SB 1386 Privatnost linih podataka kupaca snimljenih od strane kompanija koje posluju na teritoriji SAD, savezne drave Kalofornija

BASEL II Poverljivost i integritet podataka pohranjenih od strane finansijskih institucija. Dostupnost finansijskog sistema. Integritet finansijskih informacija u toku prenosa, provera identiteta i integriteta finansijskih transakcija.

Tabela 1: Set zakona o privatnosti podataka

Usklaenost sa zakonom je vano pitanje i za korisnike softvera. Svoje zahteve po pitanju usklaenosti sa zakonom korisnici sve vie ukljuuju u proces razvoja softvera. Jednostavno, to je pitanje koje, ako se ignorie, ugroava poslovanje kako korisnika softvera tako i njihove proizvoae. Veina zakona se odnosi na upravljanje u IT, kao i na obavljanje poslovnih procesa u kompaniji.



3.1. Sarbanes - Oksli, odeljak 404 3.1.1. Rezime zakona Posle mnotva finansijskih skandala u velikim kompanijama, kao to je npr. Enron

katastrofa iz 2001 godine, [6] Ameriki Kongres je usvojio, ono to je predsednik Dord Bu okarakterisao kao najdalekoseniju reformu Amerike poslovne prakse jo od vremena Frenklin Delano Ruzvelta, zakon, nazvan Sarbanes - Oksli (skraeno SOX).

Svrha ovog zakona je da ulagai kapitala steknu vie poverenja u finansijske izvetaje kompanija koje trguju na berzi stavljanjem kontrole kompanije na pravo mesto kako bi se obezbedila poverljivost i integritet finansijskih podataka. Zakon se odnosi na kompanije koje posluju na berzi u SAD-u, ali ima iru meunarodnu primenu jer se akcijama mnogih velikih meunarodnih kompanija trguje i na Amerikoj berzi.

Kljuni deo SOX zakona, interesantan za programere, je odeljak 404 pod nazivom Upravljanje procenama internih kontrola. U ovom poglavlju se od rukovodstva zahteva da preuzme odgovornost za integritet informacija finansijskog karaktera tako to e procenjivati IT sisteme i procese podkrepljujui ih vrstim dokazima da je organizacija preduzela potrebne korake u ouvanju osetljivih podataka. Iako SOX direktno ne spominje IT, posledice po IT neke organizacije su velike, s obzirom da se protok veine finansijskih podataka, u nekoj organizaciji, odvija automatski kroz informacioni sistem i obrauje aplikacijama za koje je odgovorno lice iz IT-a.

SOX je bio glavni pokreta razvoja bezbednosti u IT industriji. Jedan od efekata zakona je postavljanje bezbednosti infomacija na najvii nivo unutar organizacije. Odeljak 302 SOX zakona zahteva da generalni direktor (engl. chief executive officer skraeno CEO) i generalni direktor za finansije (engl. chief financial officer, skraeno CFO) periodino daju pisane izjave u kojima garantuju da su uspostavljeni odgovarajui kontrolni mehanizmi radi upravljanja finansijskim informacijama. Odbrana rukovodstva izjavama da sistem ima manjkavosti, vie ne moe da bude opravdanje, jer upravo rukovodstvo organizacije mora da predoi uverenje da je sistem pod kontrolom. Zakon takoe predvia strogo kanjavanje, ne samo organizacije nego i generalnog direktora i direktora finansija, u sluaju pogrenog interpretiranja pokazatelja finansijskog stanja (engl. state of controls).

Da bi kompanija bila kompatibilna sa SOX zakonom, obavezno je redovno sprovoenje revizorske kontrole, nezavisne revizorske kue, koja procenjuje kontrole koje se trenutno sprovode kako bi se osiguralo da podaci budu tani, neizmenjeni, i kao takvi budu odraz pravog finansijskog stanja kompanije. Donoenje SOX zakona je uticalo da se poveaju izdaci na IT i bezbednost u IT-u.



3.1.2. Obavezni koraci Od samog uvoenja zakona kompanije imaju odreenih problema da prilike u

kompaniji usklade sa zahtevima zakona, jer nema strogih pravila i brzih recepata kojima bi se potvrdilo da su ispunjeni zakonski zahtevi. Vremenom se dolo do tumaenja, koje je opte prihvaeno, da je kompanija usklaena sa SOX zakonom kada spoljna revizorska kua da sertifikat kojim potvruje da su finansijski podaci pod kontrolom, da se tokom obrade oni ne lairaju, i da su dostupni samo ovlatenim osobama.

Jedan od obaveza procesa revizorske kontrole je i ustanovljavanje toka finansijskih podataka. Za veinu kompanija, tok finansijskih podataka se odvija kroz informacione sisteme. To praktino znai da informacioni sistem treba da obezbedi da finansijski podaci:

ne mogu se menjati od strane neovlatenih lica ne budu dostupni od strane neovlatenih lica

budu dostupni kad su potrebni ovlatenim licima.

Takoe je potrebna garancija da, ukoliko doe do fizike izmene u infrastrukturi IT, a te promene su u direktnoj vezi sa finansijskim podacima, promene treba dokumentovati i istovremeno obavestiti rukovodstvo organizacije.

Implemantacijom usklaenosti sa SOX zakonom, dolazi se do sprovoenja kontrole pristupa podacima, kao i uklanjanja ranjivih mesta u IT-u, ime se obezbeuje da su podaci nepromenjeni i sauvani od neautorizovanih osoba. Kao pomo pri usklaivanju sa SOX zakonom moe da poslui i CORBIT (Control Objectives for Information and Related Technologies) standard. To je otvoren standard iji su tvorci Institut za upravljanje u IT-u (IT Governance Institute) i Udruenje za reviziju i kontrolu u informacionim sistemima (Information Systems Audit and Control Association).

3.1.3. Tehnologije i tehnike U osnovi, usklaenost sa SOX zakonom se svodi na revizorsku procenu mogunosti

organizacije da ogranii pristup resursima koji upravljaju finansijskim podacima a da se promene u IT okruenju prate i evidentiraju. Programeri sa svoje strane treba ove zahteve da imaju u vidi kod razvoja IS.

Poverljivost: Zahtev SOX je da poverljive informacije ne mogu biti izloene neovlaenim stranama. Trai se korienje prihvatljivih kriptografskih tehnika i algoritama kako bi se obezbedilo da su podaci dostupni samo ovlaenim korisnicima.

Integritet: Softver treba da obezbedi dokaz da podaci nisu menjani korienjem kriptografskih tehnika kao to je kriptografski he.



Dostupnost: Jedan od zahteva SOX je i dostupnost finansijskih podataka ovlaenom licu. To ukljuuje pouzdanost aplikacije, otpornost na DOS napade, korienje pouzdanih mehanizama za skladitenje podataka (ukljuujui tu i bezbedno skladitenje i oporavak na geografski udaljenoj lokaciji, redundantne sisteme (kao to je klastering), i na kraju mehanizme za smetaj i oporavak kriptografskih kljueva u sluaju oteenja sistema.

Kontrola pristupa: Potrebno je da programeri prue podrku pristupu koji se zasniva na njegovoj osnovnoj ulozi kao i opozivu naloga. Moda se ukae potreba da aplikacija mora da prui podrku u ovome tako to e se integrisati u vee okvire upravljanja identitetom kao to je LDAP. Potrebno je razmotriti prava u vezi pristupa koje daje aplikacija kada je re o svim osetljivim podacima. Treba voditi rauna o tome da kada aplikacija bude instalirana, da se uloge unutar baze podataka, pristupa fajlu i ostale take pristupa podacima odnose iskljuivo na ona pravila koja su privilegovana u pogledu pristupa takvim podacima.

Kontrola i voenje dnevnika: Jedna od kritinih karakteristika IT-a predstavlja kontrola i voenje dnevnika u sistemima koji obrauju osetljive podatke. Vano je da se obezbedi voenje dnevnika u vezi sa relevantnim dogaajima unutar sistema, kao to su iskljuenja rada kompjutera, restartovanja, ili neuobiajene situacije i dogaaji. Znai da programeri treba da na bezbedan nain u okviru svojih aplikacija omogue dostavljanje takvih informacija administratorima. Drugi aspekt koji bi trebalo razmotriti jeste da podaci u dnevniku ne smeju pruiti uvid u bilo kakvu informaciju koju sistem nastoji da zatiti, jer bi u suprotnom moglo doi do otkrivanja informacija neovlaenim osobama. Potrebno je obratiti posebnu panju na to da se izbegne voenje dnevnika koji ukljuuje bilo kakve osetljive podatke ne postoji nikakva garancija da e pristup dnevnicima i pristup osetljivim podacima zahtevati identine privilegije.

Izmene u okviru upravljanja: Izmena u okviru rukovoenja predstavlja kritinu taku kod Sarbanes-Oxley-a zbog injenice da se u tom sluaju od kompanija izriito trai da obaveste rukovodstvo o bilo kakvim materijalnim izmenama u okviru obrade koja upravlja dnevnikom finansijkih podataka. O ovome se vodi rauna jedino onda kada se pravi neki sistem koji treba da upravlja protokom finansijskih podataka, odnosno za tako neto se moe nainiti konfiguracija na one naine koji bi mogli da izmene takav protok podataka. Ako se radi ba o takvom sluaju, onda je potrebno podrati ovakav zahtev tako to e se ponuditi mogunost voenja dnevnika u okviru izmena sistema na takav nain koji e osigurati da takvi dnevnici ne budu dostupni drugim osobama i da budu pristupani iskljuivo privilegovanim korisnicima. Uobiajeni napad koji bi eventualno preduzeli neki od zlonamernih korisnika u smislu neovlaenog pristupa jeste da oni preplave mehanizam voenja dnevnika sa milionima stavki koje bi onda doveli ili do gubitka znaajnih informacija ili bi pak moglo doi do 'gubljenja' vanih



podataka u gomili nevanih. Od ovakve vrste napada, organizacija se titi tako to e regulisati voenje dnevnika. Isto tako bi, eventualno, moglo da se razmotri i povezivanje sa nekim posebnim zatienim sistemom kako bi se zatitili od napada zlonamernih korisnika.

3.2. PHI, HIPAA Zakon o prenosivosti u okviru zdravstvenog osiguranja (PHI) i Zakona o odgovornosti

(engl. Health Insurance Portability and Accountability Act)

3.2.1. Rezime zakona Zakon o prenosivosti u okviru Zdravstvenog osiguranja i Zakona o odgovornosti -

HIPAA je izglasao ameriki Kongres 1996. godine. On precizira federalne regulative koje nalau lekarima, bolnicama i ostalim zaposlenima u zdravstvu da moraju da ispune neke osnovne standarde kada obrauju elektronske zatiene informacije iz zdravstva (ePHI), kao to su zdravsteni podaci i izvetaji o pacijentima na leenju. 3

Pre nego to je donet zakon u vezi HIPAA, smatralo se da line informacije o pojedincima prikupljene u razliitim privatnim bazama podataka predstavljaju vlasnitvo one organizacije koja je posedovala takvu bazu podataka. Glavni i osnovni koncept HIPAA jeste ideja da vlasnici baza podataka nisu automatski i vlasnici podataka koji se nalaze u njima oni su samo posrednici. Ovo predstavlja fundamentalno pomeranje u okviru paradigme zbog toga to sve one organizacije koje se povinuju HIPAA-u moraju obezbediti garanciju u vezi sa podacima o pacijentima:

Pristup njihovim sopstvenim podacima i pravo da se zahtevaju ispravke greaka. Prethodno upoznavanje sa nainom na koji e se koristiti njihova informacija. Eksplicitno odobrenje koje daju relevantni pojedinci pre nego to se ePHI moe

iskoristiti radi marketinga.

Pravo da se od zdravstvenih organizacija zatrai i oekuje da preduzmu razumne korake kako bi se obezbedilo da komunikacije izmeu odreenog pojedinca i organizacije budu smatrane i zadrane kao privatne.

3 Ovi standardi nisu zamiljeni tako da predstavljaju konani komplet ciljeva koji se

postavljaju pred zdravstvene radnike. U stvari, ovde se radi o tome da su takvi standardi tako koncipirani da poslue kao poetna taka da bi se obezbedilo da svi entiteti odgovorni za brigu o PHI pacijenata vode rauna o standardnom, minimalnom setu pravila kako bi se obezbedilo postojanje oekivanog nivoa obavezne zatite. Na ovako neto se isto tako gleda i kao na poetnu taku za ostvarivanje ambicioznijih ciljeva u okviru nacionalnog sistema zdravstvene zatite.



Pravo da se Agenciji za graanska prava u okviru njihovog Odseka za zdravstvo i humane usluge mogu podneti albe u vezi formalne privatnosti

Pre nego to se ukae potreba da se regulative primenjuju u okviru celokupnih nosioca i servisa obezbeenja zdravstvene zatite koji se razlikuju po svojoj veliini, takve regulative su same po sebi namerno predstavljene kao neodreene (neprecizne). U odeljku HIPAA odredbe o bezbednosti ine tri razliite grupe zahteva, a svaka od njih navodi specifine mere zatite:

Administrativne mere zatite Obuhvataju pravila za ustanovljavanje i primenu politika i procedura kompanije (na primer, oporavak nakon nesree i planovi za nepredviene situacije)

Fizike mere zatite Obuhvataju ogranienja i pravila koja se odnose na fiziki pristup objektima i ureajima, kontrolu pristupa, kao i na srodne politike i postupke koji se odnose na fizike entitete odreene organizacije.

Tehniki standardi obuhvataju sve one mere zatite i prakse koji se odnose na tee uoljive (nedostupne, nerazaznatljive, neopipljive) informacije koje se nalaze u kompjuterskim sistemima organizacija kao to su prevencija upada u sistem, usklaivanje podataka i kontrola pristupa.

3.2.2. Obavezni koraci Postoji nekoliko odredbi HIPAA koje se dele u dva manja odeljka. Prvi deo se bavi

mogunostima prenosivosti podataka o zdravstvenom osiguranju zaposlenih i njihovih porodica u onim sluajevima kada oni menjaju zaposlenja, i isto tako stvoren je sa namerom da se obezbedi da zaposleni koji imaju ve odranije odreene podatke o zdravstenom stanju ne mogu doi u situaciju da im se nepravedno osporava zdravstvena zatita. Drugi deo obuhvata odredbe o Administrativnim pojednostavljenjima i sadri tri podkategorije: odredbe o privatnosti, elektronsku razmenu podataka unutar organizacije (HIPAA Electronic Data Interchange (HIPAA/EDI), i odredbe o bezbednosti (Health Insurance Portability and Accountability Act," http://en.wikipedia.org/wiki/HIPAA).

Odredbe koje se odnose na privatnost i HIPAA/EDI u ovom delu nisu razmatrane, budui da one pre svega obuhvataju interne politike i operativne procedure kompanije Amerika Uprava (ministarstvo) za zdravstvo i humane usluge, Administrativna pojednostavljenja (uproavanja) u industriji zdravstvene zatite ( U.S. Department of Health and Human Services, "Administrative Simplification in the Health Care Industry"). Odredbe o bezbednosti predstavljaju primarnu brigu i nadlenost programera budui da one obuhvataju specifine tehnike ciljeve u vezi usaglaavanja.



Odrebe o bezbednosti obuhvataju:

Obezbeivanje poverljivosti, integriteta i raspoloivosti svih ePHI koje kreira, dobija, dalje prenosi ili zadrava entitet zdravstvene zatite.

Spreava obelodanjivanje svake ePHI informacije ije se objavljivanje zabranjuje. Vodi rauna o tome da informacije u sistemu budu pristupane u svrhu praenja u cilju

revizije. Stara se o tome da autentikacija bude uraena na takav nain da odreeni radnici ili

entiteti budu upravo oni za koje se oni i predstavljaju. Pre nego to se obavi analiza koraka obrade, znaajno je poblie objasniti dva tipa

specifikacija koji se deklariu u odeljku HIPAA o tehnikim standardima:

Traene specifikacije predstavljaju one stavke koje se mogu uniformno zadovoljiti u okviru celokupnog standarda, i u okviru svih organizacija. Na primer, dovoljan nivo solidne procedure ifrovanja u cilju privatnosti podataka koji se odnose na nekog pacijenta trebalo bi da bude prihvatljiv za svaku onu organizaciju koja se zalae za usaglaavanje u okviru HIPAA.

Specifikacije koje se konkretno odnose na odreene entitete (Addressable Specifications) podleu ocenjivanjima u smislu adekvatnosti, a to se opet zasniva na okolnostima i pragmatinim razmatranjima. Na primer, da bi se udovoljilo zahtevima sprovoenja revizije HIPAA, potrebno je da organizacije implementiraju neku vrstu arhiviranja sistema (engl. backup) i skladitenja. Meutim, za malu lekarsku ordinaciju nije neophodno reenje koje bi bilo na istoj nivou po obimu sa npr. Klinikim Centrom glavnog grada. Precizirane specifikacije dozvoljavaju da organizacija ostvari izvestan nivo kontrole kada je re o odreivanju adekvatnosti usaglaavanja. Stavke o usaglaavanju u okviru precizne lokacije ne bi trebalo meati sa opcionom varijantom, jer, one se jo uvek vrednuju kao mandatorne.

3.2.3. Tehnologije i tehnike Postoji nekoliko specifinih tehnologija koje su veoma pristupane i koje praktino

mogu da udovolje potrebama gore pomenutih proceduralnih koraka.

Poverljivost: Svi ePHI moraju da se vode kao poverljivi podaci kako bi se onemoguilo da neovlaena strana zadobije pristup izvetaju sa podacima o pacijentu. Potrebno je koristiti adekvatno ifrovanje onda kada se smetaju poverljivi podaci u baze podataka ili u fajlove, kada se aljetu mreom, i kada se takvi podaci nalaze u memoriji. Softver je potrebno dizajnirati na takav nain da se algoritmi za ifrovanje mogu nadopunjavati i da se veliine kljua mogu lako poveavati tako da kvalitet kriptografskog reenja moe



da bude u skladu sa uinjenim pomacima u okviru snage raunara i algoritama koji se koriste za neovlaeno i zlonamerno upadanje u kompjuterske sisteme (algoritmi za krekovanje).

Integritet: Podaci ne bi trebalo da budu takvi da se mogu modifikovati od strane neovlaenih osoba ili entiteta. Treba primenjivati principe koji uopte nee uzimati u obzir mogue privilegije i treba naroito voditi rauna o pojavi greke jer se samo tako moe minimizirati opasnost od eskalacije privilegovanog statusa. Sve osetljive informacije trebalo bi da koriste mehanizam za proveravanje integriteta kao to su HMAC-SHA1 ili digitalni potpis kako bi se smanjila opasnost od neovlaenog modifikovanja informacija.

Raspoloivost podataka: Budui da oni na koje se odnose podaci imaju garantovano pravo da dobiju uvid u sopstvene podatke, nedostatak mogunosti uvida u okviru servisa mogao bi da dovede do toga da se HIPAA tretira tako kao da kri odredbu o usaglaavanju. Programeri treba da kreiraju takve sisteme koji e adekvatno voditi rauna o mogunostima pojave greaka i koji e takoe biti u stanju da onemogue sve napade na servis. Dnevnici o dogaajima trebalo bi da sadre dovoljno informacija da obezbede mogunost rekonstruisanja aktivnosti sistema do momenta pojave greke tako da bi se takva greka mogla brzo uoiti i ispraviti.

Revizija i voenje dnevnika: Sve one aktivnosti koje bi eventualno trebalo pratiti moraju biti dokumentovane. Softverski sistemi moraju da generiu sve neophodne informacije kod voenja dnevnika da bi se izradio jasan prethodni trag koji daje naznake na koji nain je neki korisnik ili entitet pokuavao da pristupi i iskoristi resurse sistema. Dnevnik aktivnosti treba redovno arhivirati kako bi se obezbedilo da se informacije iz dnevnika ne izgube zbog kvara u sistemu.

Autentikacija: Da bi na ePHI-u radili na bezbedan nain, neophodno je da znamo da odreeni entitet ili osoba koji rade sa podacima budu legitimni i da imaju ovlaenje za pristup navedenim informacijama. Odobrenja predstavljaju set preslikavanja koja povezuju identitet neke osobe ili entiteta sa specifinim setom doputenih operacija. Sistemi za autentikaciju trebalo bi da budu projektovani sa preciznim ulogama koje se preslikavaju na dobijanje dozvola kako bi programerima bilo lake da obave implementiranje a onima koji obavljaju testove da na laki nain prikau sluajve zloupotrebe.



3.3. PCI

3.3.1. Rezime zakona Standard zatite podataka u okviru poslovanja pomou kartice (engl. The Payment Card

Industry (PCI) Data Security Standard) predstavlja standard koji se zasniva na bezbednosnim programima koji su svaki za sebe izradila etiri zasesebna usluna servisa za plaanje karticom, a to su VISA bezbednosni program za informacije o raunima (AIS) i njegov pridrueni bezbednosni program za informacije o nosiocu kartice (engl. cardholder information security program - CISP), Program zatite podataka MasterCard (engl. mastercard site data protection program - SDP), bezbednosna operativna politika American Express-a (engl. american express security operating policy - DSOP), i Discover informaciona bezbednost i usaglaavanja (engl. discover information security and compliance - DISC).

PCI ustanovljava sveobuhvatni set svetskih bezbednosnih standarda za sve trgovce i provajdere servisa koji se bave skladitenjem, prenosom, ili obradom podataka nekog vlasnika kartice iz bilo kog znaajnijeg servisa za platne kartice. Usaglaavanje sa Standardom zatite podataka u okviru poslovanja plaanja karticom odnosi se na trgovce i provajdere usluga kod svih kanala plaanja, ukljuujui tu trgovine na malo uz fiziko prisustvo, zatim kada su u pitanju potanske i telefonske porudbine, i e-trgovina.

3.3.2. Obavezni koraci Da bi se sertifikovalo usaglaavanje sa PCI, mora se obaviti revizija kako bi se

verifikovalo da se radi o adekvatnom pridravanju standardima. Nakon toga slede etvoromesene i godinje revizije radi utvrivanja usaglaavanja, pri emu precizni zahtevi bivaju ovisni od klasifikacije samog trgovca da li se radi o nivou 1, 2, 3 ili 4. Svi trgovci su podeljeni u razliite nivoe u ovisnosti od obima transakcija plaanja kreditnom karticom koje oni u proseku ostvare u toku jedne godine u okviru Interaktivnih medija u grupi za maloprodaju (engl. Interactive Media Retail Group). 4

to vie transakcija obavlja neka orgnizacija, to je i vei stepen osetljivosti u smislu da li organizacija ispunjava PCI standarde da bi uspeno upravljala rizicima. Ovakvo podvajanje jeste pokuaj da se izmire potekoe koje se pojavljuju kada se nastoji uspostaviti ravnotea bezbednosti i praktinih administrativnih poslova. Postoji nekoliko iroko definisanih ciljeva koje bi programeri za softver unutar trgovinskih organizacija trebalo da slede radi ostvarivanja PCI usaglaavanja:

4 Detaljnije u vezi sa kriterijumima selekcije pogledati na http://www.imrg.org/pci_compliance_uk.pdf



Zatita podataka nosioca platne kartice.

Implementacija solidnih kontrolnih mera u vezi pristupa Redovno praenje i testiranje mrea.

Naalost, sposobnosti trgovaca da mogu da prate sluajeve krenja privatnosti i da primenjuju korektivne mere drastino su umanjene zbog zakonodavstva, i zbog tehnikih pitanja koja proizilaze iz injenice da su forenziki dokazi za preduzimanje takvih aktivnosti nepotpuni za potrebe svih trgovaca. Preduzimanje odbrambenih mera je u stvari jedino reenje za nekog trgovca.

3.3.3. Tehnologije i tehnike Sledee strategije se odnose na usaglaavanje sa PCI:

Poverljivost i autentikacija: Ovo je osnovni cilj PCI da se zatite informacije sa kreditnih kartica potroaa. Naalost, programeri ne poseduju kompletnu kontrolu s kraja na kraj (engl. end-to-end control) kad je re o procesu manipulisanja kreditnom karticom. U idealnom sluaju, podaci sa kreditne kartice bi mogli da se neposredno razmene izmeu kompanije koja izdaje kreditnu karticu i pojedinca, ali ovo se retko dogaa. Podaci sa kreditnih kartica se esto dalje dostavljaju preko nekoliko posrednika-agenata, a neke od njih potroai ne mogu ni da vide, ali podrazumeva se da svima njima oni silom prilika moraju da ukau poverenje. Najbolje reenje koje se moe implementirati gledajui iz perspektive jedne jedine organizacije jeste da se obezbedi da podaci budu adekvatno ifrovani, te da iskljuivo ovlaeni sistemi ili agenti imaju pristupa osetljivim informacijama na raunima. Ovo nije ba toliko efikasno reenje s kraja na kraj, ali ono bi moglo da osigura kompaniju da ona ne plaa visoke kazne koje bi mogle da se nametnu u sluaju krenja privatnosti i objavljivanja podataka.

Voenje dnevnika i revizija: Ovo je drugi najkritiniji aspekt usaglaavanja sa PCI. Programeri treba da obezbede da njihov kd omogui interfejs za voenje dnevnika u vezi svih relevantnih transakcija rauna i pristupa. Naalost, veoma je teko za trgovce da na proaktivni nain odrede one sluajeve kada se radi o zloupotrebi kreditne kartice, zbog toga to oni ne poseduju centralizovanu banku ponaanja koja bi mogla da ukae koji od korisnikih ema su sumnjivi u odnosu na dati raun. Praenje ponaanja jeste zadatak koje na sebe preuzimaju agencije za izdavanje kreditnih kartica i njihovo dalje praenje. Iz perspektive programera znaajno je obezbediti da se ova informacija ubelei u dnevnik, tako da interno razvijene aplikacije ne dovedu do odsustva od odgovornosti u sluaju kada nadleni dravni organi zahtevaju uvid u prethodno zabeleene podatke.



3.4. Gramm-Leachy Bliley

3.4.1. Rezime zakona Ameriki Senat je Zakon Gramm-Leachy Bliley (skraeno GLBA) doneo u novembru

1999 kako bi olakao da industrijski sektor preduzme veliku reformu u okviru finansijskih servisa. Zakon je predloio senator Fil Gram iz Teksasa kako bi poboljao konkurentske aktivnosti i prakse u okviru finansijskih servisa industrije tako to bi se obezbedio okvir za pridruivanje banaka, firmi koje se bave bezbednosnim poslovima, i ostalih provajdera servisa.

GLBA je nastojao da "modernizuje" finansijske servise drugim reima, da okona sa regulativama koje su spreavale udruivanje (integrisanje) banaka, kompanija koje posreduju u trgovini novcem, i osiguravajuim kompanijama. Odbacivanje ovih regulativa je dovelo do poveanja velikih rizika u smislu da ove nove finansijske institucije imaju pristup neverovatnoj koliini informacijama o pojedincima, a da pri tom ne bude nikakvih restrikcija u vezi sa korienjem takvih informacija.5 Sam ovaj postupak ne odreuje eksplicitne zahteve u vezi sa privatnou i zatitom informacija o klijentu, ali zato postoje tri odredbe koje predstavljaju zahteve GLBA-a: Odredba u vezi sa privatnou finansijskog poslovanja (engl. financial privacy rule), Odredba o merama zatite (engl. safeguards rule), i odredbe u vezi preteksta.

GLBA daje ovlaenja osam federalnih agencija i dravama da mogu da uvode i primenjuju Odredbu o privatnosti u oblasti finansijskog poslovanja i Odrebu o zatitama. Privatnost u oblasti finansijskog poslovanja i odredbe o zatitama odnose se na finansijske institucije, koje obuhvataju banke, firme koje se bave vrednosnim papirima, i kompanije koje obezbeuju ostale tipove finansijskih proizvoda ili usluga za potroae. Meu ovim uslugama ubrajaju se davanje pozajmica, posredovanja ili servisiranja bilo kog tipa potroakog kredita, prebacivanje ili uvanje novca, utvrivanje poreskih pojedinanih prijava, obezbeivanje finansijskih saveta ili davanje saveta oko uzimanja kredita, kao i obezbeivanje usluga u vezi stambenih nekretnina ili prikupljanje dugova potroaa. GLBA posebno imenuje CEO-ve kompanije i direktore koji lino snose odgovornost za bilo kakve zloupotrebe informacija za koje se utvrdi da se odnose na pojedince. Neuspeh u vezi sa usaglaavanjem sa GLBA ima za posledicu izricanje zakonskih kazni za finansijsku instituciju koja je uinila prekraj.

3.4.2. Obavezni koraci GLBA doputa tenje veze meu bankama, firmama koje se bave vrednosnim papirima

i osiguravajuim kompanijama, uz ogranienje da finansijske institucije i njihovi partneri

5 Elektronski informacijski centar za privatnost (Electronic Privacy Information Center, Chris Jay Hoofnagle

and Emily Honig, "Victoria's Secret and Financial Privacy," http://www.epic.org/privacy/glba/victoriassecret.html).



treba da zatite one line podatke koji nisu javni i da implementiraju razliite naine kontrole pristupa i kontrole bezbednosti. Najvea briga koju ima GLBA jeste obezbeivanje integriteta i poverljivosti podataka klijenata kao i informacija o njima. Informacije koje se odnose na klijenta i njegove line finansijske podatke obuhvataju ime, adresu, broj socijalnog osiguranja, broj rauna, i svaku drugu informaciju koju klijent upie u prijavu za otvaranje rauna. U toku prikupljanja zahteva, implementacije, ispitivanja (sprovoenja testova i razmetanja, vano je da se na umu imaju ovi ciljevi koji se odnose na integritet i poverljivost. Ako se obrati panja na ovo pitanje u toku svake faze razvojnog ciklusa onda je mnogo manja verovatnoa da e se neki problem prevideti.

3.4.3. Tehnologije i tehnike Sledee strategije mogu se primeniti na usaglaavanja u okviru GLBA:

Poverljivost: Sve informacije o klijentu moraju se uvati kao poverljive da bi se neovlaenim stranama onemoguilo da pristupe raunu klijenta. Programeri moraju koristiti pouzdana ifrovanja i he, ali isto tako moraju obezbediti da svi programi koji se inae koriste za manipulisanje ifrom, deifrovanje, i potpisivanje moraju biti odobreni od strane industrijskog sektora ne koristiti modifikovane kriptografske module. Treba voditi rauna o tome da ifarski programi budu modularan tako da se moe zameniti uz minimlne trokove. Ni u kom sluaju se ne uzdati u nesigurne rutine iz gotovih biblioteka. Moe se desiti da im nedostaje kriptografski kvalitet, ili pak mogu da sadre slabe take koje kompromituju ceo sistem.

Integritet: Podaci ne bi trebalo da se modifikuju od strane neovlaenih osoba ili entiteta. Programeri treba da primenjuju principe najmanje privilegije i da pri tom posebno povedu rauna o mogunosti pojave greki i njihovom uklanjanju kako bi na taj nain minimizirali opasnost pojave eskalacije privilegije. Kod softvera, manje uobiajeni programi za uklanjanje greaka predstavljaju ona mesta gde se pojavljuju neoekivana ponaanja koja mogu dovesti do eskalacije privilegije ili mogu da za posledicu imaju neoekivanu smetnju. Sve osetljive informacije trebalo bi da koriste mehanizam za proveru integriteta kao to je to HMAC SHA1 ili digitalni potpis kako bi se ograniio rizik od neovlaenoe izmene informacije.

Revizija i voenje dnevnika: Sve aktivnosti koje e eventualno biti naknadno iznova proveravane moraju biti dokumentovane. Softverski sistemi moraju da generiu sve neophodne informacije u vezi sa voenjem dnevnika kako bi se izradio jasan trag za reviziju koji ukazuje na to kako neki korisnik ili entitet pokuava da pristupi i iskoristi resurse. Obezbediti da ovakvo voenje dnevnika se redovno arhivira kako bi se osiguralo da informacije o reviziji ne budu izgubljene zbog kvara na sistemu. Unoenje poverljivih informacija u dnevnik nije preporuljivo; moe se desiti da neovlaeno



objavljivanje informacija o klijentu moda proistekne od strane pojedinaca koji imaju legitiman pristup takvim podacima.

Vano je da se analiziraju modeli pristupa korisnika zbog toga to e nelegitimne aktivnosti obino biti otkrivene tako to se posmatraju modeli korienja koji bi inae mogli da prou neprimeeni u sluaju kada bi se pristup podacima obavljao preko legitiminih kanala. Na primer, potrebno je razmatrati vreme pristupa podacima. U sluaju da se poslovanje sa isplatama u nekoj banci obavlja u vreme uobiajenog radnog vremena poslovanja banke, a onda se desi da se niz transakcija pojavi na odreenim raunima u vreme van okvira radnog vremena poslovanja banke, odmah se javlja sumnja da je u pitanju prekraj. Imajui u vidu da svaka institucija poseduje svoj sopstveni set pravila o poslovanju, programeri i rukovodioci za operacije bie u stanju da obave jo ira pretraivanja ovakvih sumnjivih ponaanja kako bi dobili konkretnu ideju o tome ta bi trebalo pretraiti. Sa take gledita programera, razmiljanja o tipovima informacija koje mogu biti izdvojene da bi se olakao ovakav pristup zasnovan na ponaanju utedee vreme i napor na duu stazu.

3.5. SB 1386 3.5.1. Rezime zakona SB 1386 predstavlja zakonski nacrt drave Kalifornije koji predstavlja amandman na

postojee zakone o privatnosti i na osnovu njega se unose odredbe kojima se zahteva obelodanjivanje prekraja privatnosti od strane bilo koje organizacije ili nekog pojedinca koji uvaju line informacije o klijentima i koji obavljaju poslove u dravi Kalifornija. Informacije o pojedinim klijentima se u nacrtu zakonu definiu kao one informacije koje sadre prezime i ime klijenta ili inicijale imena, zajedno sa barem jednom od sledeih dodatnih informacija6:

Broj socijalnog osiguranja. Broj vozake dozvole ili broj identifikacione (line) karte u dravi Kalifornija Broj rauna, broj kreditne kartice ili kartice o zaduivanju, u kombinaciji sa bilo kojim

traenim bezbednosnim kodom, ifrom za pristup ili lozinkom koja e dozvoliti pristupanje finansijskom raunu pojedinca. Barem jedna od gore pomenutih oblasti mora da bude dostupna u neifrovanom obliku

da bi kao takva oznaavala krenje privatnosti (na primer, u sluaju da bilo koji ili svi podaci o klijentu budu dostupni drugim osobama, i pri tom su sve druge oblasti i dalje u ifrovanom obliku, onda se smatra da se ovde ne radi o prekraju). U sluaju da sve line informacije koje su procurele budu javno na raspolaganju na osnovu drugih izvora, onda se ovako neto ne

6 LegalArchiver.org, "California SB 1386," http://www.legalarchiver.org/sb1386.htm



smatra za prekraj. Punovane odredbe u zakonodavstvu SB 1386 stupile su na snagu 1. jula 2003.godine. SB 1386 predstavlja primer kako drave na sopstvenu inicijativu uzimaju u razmatranje pitanje privatnosti, i kako dalje preduzimaju korake radi zatite privatnih informacija stanovnika u toj dravi.

3.5.2. Obavezni koraci SB1386 predstavlja veoma jednostavan, veoma ogranien set pravila koja se

usredsreuju na to da se ouva poverljivost informacija o klijentu. Zahvaljujui tome to propisi nisu glomazni i ne sadre nikakve dvosmislenosti u okviru pravnog renika oni koji su zadueni za sprovoenje ovakvih propisa znaajno su pojaali mogunosti da mogu da primene SB 1386 u velikom broju sluajeva. Ve postoje mnogi dokumentovani sluajevi gde se utvrdilo da su kompanije uinile prekraje. Radi praktinih razloga i ciljeva, ovaj nacrt zakona ima dva specifina koraka u vezi sa usaglaavanjem:

Obezbeuje privatnost podataka o klijenutu po svaku cenu. Daje na uvid sve one sluajeve gde se sve one line informacije koje udovoljavaju

prethodno pomenutim kriterijima sa pravom stavljaju pod lupu jer se sumnja da su obelodanjene na neprihvatljiv nain ili su pak dospele u posed neke neovlaene osobe ili entiteta. injenice o otkrivanju podataka moraju da budu neposredno saoptene oteenim pojedincima i ovo se mora uiniti pravovremeno. Jedino upozorenje u napomeni u smislu pravovremenog otkrivanja prekraja u vezi privatnosti jeste ono koje kae da se prethodno mora doneti odluka o tome da li otkrivanje i upoznavanje sa odreenim podacima o prekraju moe da negativno utie na bilo koje trenutne ili predstojee istrage kriminalnih radnji.

3.5.3. Tehnologije i tehnike Sledee strategije mogu se primeniti na usaglaavanja sa SB 1386:

Poverljivost: Obezbeivanje privatnosti kada je re o podacima klijenata predstavlja jedan od primarnih ciljeva koje uzima u razmatranje SB 1386. Paljivo ispitivanje zakona u odeljku II, paragraf (e) otkriva i jednu posebnu odredbu: "Kada je re o ovom odeljku onda se 'line informacije' koje se pominju u njemu odnose na ime neke osobe ili njegov prvi inicijal i prezime u kombinaciji sa bilo kojim drugim ili jo veim brojem drugih elemenata podataka, u sluaju kada ili samo ime ili pak elementi podataka nisu ifrovani". Ova klauzula ide tako daleko da ukazuje i na to da u sluaju da napada dobije podatke, onda tako neto i ne predstavlja prekraj osim ako jedna oblast nije ostavljena u neifrovanom obliku. Kada se skladite bilo koji podaci u vezi sa klijentom, mora se obaviti ifrovanje da bi se izalo u susret obavezi usaglaavanja.



Revizija i voenje dnevnika: Jedan od tehniki najzahtevnijih aspekata usaglaavanja sa SB 1386 i njegovom odredbom o potpunom razotkrivanju podataka jeste pitanje otkrivanja onog momenta kada dolazi do krenja privatnosti. Iskusni napadai koji nastoje da ukradu informacije nee uiniti nikakvu tetu sistemima koje kompromituju. Nedostatak bilo kakvih razaznatljivih nepravilnosti ukazuje na to da nisu prisutni oigledniji znaci upada koji bi svakako upozorili one koji vode istragu da se radi o upadima i prekraju. Jedini nain da se na efikasan nain suprotstavite upadima jeste da se osigura da svaka transakcija bude uneta u dnevnik i da se obavljaju neredovite ali konzistentne revizije ili na osnovu manuelnog pregleda ili na osnovu pregleda ponaanja koji e utvrditi analitiki program. Programeri bi trebalo da imaju na umu ovu informaciju i morali bi da razmotre mogunost raspolaganja neophodnim interfejsima u svom kodu tako da se prati trag svim relevantnim transakcijama i njihovoj ispravnosti.

3.6. BASEL II

3.6.1. Rezime zakona BASEL II je zvanino poznat kao Meunarodna konvergencija merenja kapitala i

standarda za kapital (engl. International Convergence of Capital Measurement and Capital Standards). Radi se o okviru koji je ustanovio Bazelski komitet, konzorcijum Centralnih upravnih banaka (engl. Central Governing Banks) iz nekoliko zemalja. Cilj BASEL II a jeste da revidira postojee meunarodne standarde koji se koriste radi merenja odrivosti kapitala neke banke. Prethodni BASEL sporazum se smatra anahronim, zbog toga to se pojavilo nekoliko novih momenata kod modernog bankarskog poslovanja koji inae nisu na adekvatan nain prikazani u regulativama. Na primer, prvobitni BASEL sporazum ne uzima u obzir pitanje arbitrae u oblasti velikog broja trita.7

3.6.2. Obavezni koraci Najvei deo BASEL II je sroen namenski za potrebe profesionalaca u oblasti

bankarstva. Imajui u vidu da BASEL II predstavlja meunarodni standard, on je napisan na takav nain da se moe primeniti u raznovrsnim bankarskim sistemima u celom svetu. Ovakve realnosti predstavljaju opravdanja za injenicu da su zahtevi potpuno nejasni sa take gledita IT-a, barem kada su u pitanju akcioni ciljevi usaglaavanja. Meutim, postoji i znaajna grupa raspoloivih prikupljenih informacija koje za potrebe elektronskih bankarskih

7 U sutini arbitraa ukazuje na to da nejednaskosti i neuravnoteenosti na razliitim tritima

moraju biti razmatrani onda kada se ocenjuje vrednost meunarodno aktivnih finansijskih institucija. Ovo se posebno odnosi na meunarodne banke, zbog toga to njihova procenjena vrednost uglavnom ovisi od vrednosti akcija za koju se daje potpora na meunarodnim tritima.



i finansijskih usluga opisuju rizike i korake za ublaavanje. Ovo je kompilacija dobijena na osnovu nekoliko izvora koji se smatraju za najrelevantije za potrebe BASEL II gledano iz perspektive programera.

Ovo ipak nije sveobuhvatna lista, ali e pomoi da se obezbedi usaglaavanje u odnosu na BASEL II:

Spreavanje neprihvatljivog otkrivanja informacija. Onemoguavanje naovlaenih transakcija kako se ove ne bi unosile u kompjuterski

sistem.

Spreavanje neovlaenih promena softvera u toku rutinskog programiranja i odravanja kada moe doi do generisanja prevarantskih transakcija, a i sto tako se moe desiti da neke vrste operacija ostanu neproverene, ili moe doi do namernog blokiranja voenja dnevnika sa ciljem da se zaobie kontrola tako da ovakve aktivnosti prou neprimeeno.

Onemoguavanje presretanja i modifikovanja transakcija dok se one alju preko komunikacijskih sistema kao to su telefonske, satelitske mree i raunarske mree.

Spreavanje prekida rada servisa zbog kvara na hardveru ili softveru.

3.6.3. Tehnologije i tehnike Sledee strategije mogle bi da pomognu da se obezbedi zadovoljavanje gore pomenutih

koraka obrade. Najvei broj tehnika da se obezbedi proces usaglaavanja mogao bi da bude takav da klijenti dejstvuju kao agenti koji su neposredno u interakciji sa bankama, ili moglo bi da se radi o transakciji tree strane od jedne finansijske institucije do druge.

Poverljivost: Finansijski podaci se moraju po svaku cenu uvati kao poverljivi i ne smeju biti pristupani neovlaenim osobama. Programeri treba da primenjuju principe najmanje privilegije i isto tako moraju obavljati paljivu kontrolu pojava greke kako bi minimizirali rizik za eskalaciju privilegija ili pojavu neoekivanog kvara. Kod softvera manje uobiajeno uvoenje rutina oko pronalaenje greaka ukazuju na ona mesta gde poivaju neoekivana ponaanja koja mogu da dovedu do eskalacije privilegija. Treba voditi rauna da kriptografske rutine budu modularne kako bi mogle da se eventualno zamene uz minimalne trokove. Ne treba se uzdati u gotove bibilioteke za ifrovanje koje ne ulivaju mnogo poverenja zbog injenice da im moda nedostaje kriptografski kvalitet, ili pak mogu da sadre slabe take koje slabe ili kompromituju ceo sistem.

Raspoloivost: Pre nego to su se bankarski sistemi povezali u danani sloeni sistem, standardna operativna procedura u toku prekida rada kompjutera obuhvatala je i prebacivanje na manuelne obrade koje su bile na snazi pre nego to su kompjuteri



integrisani u sistem. Meutim, oslanjanje na pogodnosti koje takav automatski sistem obezbeuje uinila je potpuno nepraktinom opciju da se obavi prelaz na manuelno raunanje. Kao rezultat toga, zbog vremena dok kompjuter nije u radu neumitno e doi do gubitaka podataka, pa e stoga postojati i potreba za uvoenje vanrednih mera kako bi se razreili ovakvi neoekivani dogaaji. Potrebno je da svaki sistem bude bar najmanje dvostruko redudantan. Otklanjanje kvara trebalo bi da se odmah obavi i ovo bi trebalo da bude automatizovano za sve ovakve sisteme. Raspoloivost se obino posebno pominje kao zadatak koji imaju administratori u sistemu i profesionalci iz oblasti IT, ali programeri mogu da indirektno utiu na raspoloivost nekog sistema tako to e poboljati prenosivost aplikacija koje razvijaju i to e obezbediti pouzdnost i robustnost na osnovu dobrih praksi kodiranja.8

Upravljanje promenama: Vano je napomenuti da su programeri odgovorni za izmene unutar softverskih sistema. Modifikovanje softvera za bankarsko poslovanje omoguuje obavljanje nazakonitih transkacija na koje nisu uticali virusi iz spoljanjih izvora, ve se ovde radi o nezadovoljnim programerima ili zaposlenim radnicima. Stoga je neophodno da na snagu stupe mere koje se tiu odgovornosti kako bi se onemoguilo da druge osobe ponu da unose samovoljne izmene u kritine softverske sisteme za bankarsko poslovanje. Revizije softvera trebalo bi esto da obavljaju timovi programera i revizora kako bi obezbedili opravdanost uvoenja izmena. Kontrolni sistemi programskog kda isto tako trebalo bi aktivirati i oni e spreavati neovlaeno unoenje izmena, a idealno bi bilo da se obezbedi neka vrsta kontrolnih lista pristupa, ili bar najminimalnije, trebalo bi novije izmene podvri reviziji tako da se moe obaviti jasno pretraivanje u okviru revizije u sluaju da se sumnja na malverzacije.

Autentikacija: Neophodno je da se obezbedi da se transakcije obavljaju iskljuivo od strane legitimnih agenata. Autentikacija predstavlja primarno sredstvo obezbeivanja da se zaista radi o agentima koji za sebe tvrde da su to to jesu. Onda kada se ustanovljavaju autentikacioni sistemi, potrebno je obezbediti da se unesu i pouzdane lozinke. Ne preporuuje se mogunost naloga bez lozinke ili gost lozinke jer oni ne odgovaraju odreenim identifikacionim podacima i osobama iji nalozi ili resursi se trenutno koriste. Prilikom smetanja lozinke, potrebno je obratiti panju na to da se koristite dovoljno kvalitetna ifra kako bi akreditivi korisnika bili zatieni od napadaa

8 Kada je re o kritikim sistemima kod velikih projekata, neke aplikacije se primenjuju unutar celokupnog

heterogenog okruenja kako bi se poveao broj varijacija i kako bi se moda poboljale anse da svi oni uslovi koji doprinose kvaru jednog sistema ne utiu na neki drugi deo operativnog okruenja. Na primer, razmotrite sledee: Server na Web-u bi mogao da se rasporedi na Microsoft Windows NT koji operie po IIS-u, a neki drugi Web server mogao bi da se rasporedi na Red Hat Linux koji operie na osnovu Apache Web server-a. U sluaju da crv (kompjuterski virus) iz Interneta dovede do prestanka rada Linux servera, moda ovako neto ne utie na servera za Windows. U ovom sluaju varijacije u okviru okruenja pruaju mogunost nekog stepena zatite na prilino isti nain po kom principal genetske varijacije po svemu sudei dejstvuje u okviru biolokih sistema



koji bi eventualno mogli da im pristupe. Potrebno je uvesti u sistem takve tehnologije kao to su SSL i digitalni sertifikati.

3.7. Ostale regulativne mogunosti Ovaj odeljak obezbeuje kratak pregled o dve vrste zakona i standardu za koje se smatra

da e sa manje verovatnoe uticati na razvoj sistema kojima je potrebna zatita.

3.7.1. Zakon o upravljanju bezbednosti informacija na federalnom nivou

Zakon amerike vlade o upravljanju bezbednosti informacija na federalnom nivou (engl. The Federal Information Security Management Act skr. FISMA) je proglaen za zvanini zakon 2002. godine kako bi se dao nalog za donoenje kompleta standarda o bezbednosti informacija koji se priznaje i na federalnom nivou. Ovaj zakon ukazuje na to da je usaglaavanje sa standardima obrade informacija na federalnom nivou (engl. Federal Information Processing Standards skr. FIPS) mandatorno za sve vladine agencije u sluaju prodaje sofvera za bilo koji ogranak federalne vlade, onda ovako neto mora da bude usaglaeno. Pored mnogih drugih opisanih zakona, FISMA se usredsreuje na poverljivost, integritet i raspoloivost osetljivih informacija. Zakon sadri i smernice koje bi se mogle primeniti radi izraunavanja potencijalnih posledica prekraja na osnovu ega on odreuje stepen neophodne zatite.

3.7.2. BS 7799 BS 7799 (smernice za upravljanje rizicima bezbednosti informacija) jeste komplet

preporuka koji e najverovatnije postati ISO standard u skoroj budunosti. Radi se o sveobuhvatnom kompletu standarda koji obuhvataju sledee:

Procena rizika.

Postupanje u sluaju rizika. Donoenje odluka u okviru upravljanja. Ponovna procena rizika

Praenje i revizija profila rizika Rizik u okviru bezbednosti informacija u kontekstu korporativnog rukovoenja Usaglaavanje sa ostalim standardima i regulativama koji poivaju na riziku.

BS 7799 ima za cilj da pomogne neku organizaciju da ova ustanovi sveobuhvatnu politiku o bezbednosti informacija.



3.7.3. Direktiva EU u vezi sa zatitom podataka Direktiva EU u vezi sa zatitom podataka (engl. EU Data Protection Directive) je

objavljena u oktobru 1998. godine. Ona definie standard na osnovu kog se moe ocenjivati zatita osetljivih podataka, i na osnovu koje se moe zabraniti prebacivanje ovakvih podataka u bilo koju zemlju koja ne ispunjava ovakav standard. Zahvaljujui sloenostima zakona i naknadnim prekidima u oblasti poslovanja kod mnogih amerikih kompanija, u julu 2000. EU je doneo Zakon o bezbednoj luci (engl. Safe Harbor Act) kako bi modernizovao ceo ovaj postupak. Safe Harbor obezbeuje okvir na osnovu kojeg moete obezbediti adekvatnu zatitu privatnosti u nekoj kompaniji. Mnogi od zahteva o adekvatnosti su proceduralne prirode. Oni zahtevi koji imaju uticaja na razvoj aplikacija pripadaju dobro poznatim zahevima: poverljivost, integritet i raspoloivost osetljivih podataka.

3.8. Najbolje prakse kada je re o tehnologiji i tehnici Pregled najboljih praksi Mnoge od tehnologija i tehnika koje su opisane za potrebe regulative u gornjem delu

teksta su dosta sline. Odeljci u gornjem delu teksta opisuju svaku oblast koja se primenjuje na specifino zakonodavstvo. Ovaj odeljak bavi se neto detaljijim opisom glavnih i najboljih praksi za svaku od oblasti.

Poverljivost: Ne koristiti specijalizovane rutine za ifrovanje ili takve rutine koje n

Documents

MRR - Kriptografska Zaštita Baza Podataka (1)