Embed Size (px)
DESCRIPTION
Sigurnost i Kontrola Digitalnog Okruženja
Citation preview
UNIVERZITET U TUZLIEKONOMSKI FAKULTETSMJER: MENADŽMENT
Seminarski rad iz DIGITALNE EKONOMIJESigurnost i kontrola digitalnog okruženja
Mentor: Studenti:Dr. sc. Edin Osmanbegović, docent Ermina Dardagan I-2546/10
Amila Hamzić I-2566/10
Tuzla, april, 2014. godine
SADRŽAJUVOD.........................................................................................................................................3
1.RANJIVOST RAČUNARSKIH SISTEMA I NJIHOVA ZLOUPOTREBA...................41.1. Razlozi ranjivosti računarskih sistema.........................................................................41.2. Ranjivost interneta........................................................................................................4
1.2.1. Wireless sigurnosni sistemi...................................................................................51.3. Maliciozni softveri.......................................................................................................61.4. Hakeri i Cybervandalizam............................................................................................8
1.4.1. Zavaravanje i njuškanje........................................................................................81.4.2. Uskraćivanje usluga..............................................................................................8
1.5. Računarski kriminal i Cyberterorizam.........................................................................91.6. Krađa identiteta............................................................................................................91.7. Ranjivost softvera.......................................................................................................10
2.POSLOVNA VRIJEDNOST SIGURNOSTI I KONTROLE..........................................112.1. Pravni i regulatorni zahtjevi za upravljanje elektronskim zapisima..........................12
2.1.1. HIPAA Zakon.....................................................................................................122.1.2. Gramm-Leach-Bliley Zakon...............................................................................122.1.3. Sarbanes-Oxley Zakon........................................................................................12
2.2. Elektronski dokazi i računarska forenzika.................................................................13
3.USPOSTAVLJANJE OKVIRA ZA UPRAVLJANJE SIGURNOŠĆU I KONTROLOM.......................................................................................................................14
3.1. Tipovi kontrole informacionih sistema......................................................................143.1.1. Opća kontrola......................................................................................................143.1.2. Aplikacijska kontrola..........................................................................................15
3.2. Procjena rizika............................................................................................................153.3. Sigurnosna politika.....................................................................................................153.4. Obezbjeđenje poslovnog kontinuiteta........................................................................163.5. Poslovni kontinuitet i planiranje oporavka u slučaju katastrofe................................173.6. Uloga revizije u procesu kontrole..............................................................................17
4.TEHNOLOGIJE I ALATI SIGURNOSTI I KONTROLE.............................................184.1. Kontrola pristupa........................................................................................................184.2. Zaštitni zidovi, sistemi detekcije uljeza, i antivirusni softver....................................184.3. Sistemi detekcije neovlaštenog pristupa....................................................................194.4. Šifriranje i infrastruktura javnih ključeva..................................................................20
5.PRIMJER IZ PRAKSE.......................................................................................................22
ZAKLJUČAK.........................................................................................................................24
LITERATURA........................................................................................................................25
UVOD
U narednih nekoliko stranica pokušat ćemo svakom čitaocu ovog seminarskog rada približiti datu temu – Sigurnost i kontrola digitalnog okruženja, te pojasniti najvažnije pojmove vezane za ovaj problem. Seminarski rad se sastoji od četiri zasebne cjeline, unutar kojih ćemo obraditi osnovne probleme vezane za temu, a pored toga, sadrži uvod, zaključak, primjer iz prakse, literaturu, te kao prilog osnovna pitanja za rekapitulaciju prezentiranog.
U prvom dijelu seminarskog rada će biti govora o ranjivosti računarskih sistema, te o njihovoj zloupotrebi. Prije svega, obrazložit ćemo razloge ranjivosti računarskih sistema. Vidjet ćemo šta predstavlja ranjivost interneta, a šta ranjivost softvera. Upoznat ćemo se sa osnovnim malicioznim softverima, sta je to računarski kriminal, cybervandalizam i terorizam, te šta znači krađa identiteta.
Naredni dio je rezervisan za obradu cjeline koja se bavi poslovnom vrijednosti sigurnosti i kontrole. U okviru ovog dijela ćemo obraditi zakone koji regulišu upravljenje elektronskim zapisima, definisat ćemo elektronske dokaze i reći šta je to računarska forenzika.
U trećem dijelu ovog rada će se govoriti o uspostavljanju okvira za opravljanje sigurnosti i kontrolom računarskih sistema. Vidjet ćemo koji su to osnovni tipovi kontrole informacionih sistema, te ih obraditi pojedinačno. Govorit ćemo o procjeni rizika, sigurnosnoj politici, obezbjeđenju poslovnog kontinuiteta, te o ulozi revizije u procesu kontrole.
Posljednji teoretski dio ovog seminarskog rada obrađuje tehnologije i alate sigurnosti i kontrole. U okviru ovog dijela će se objasniti osnovni pojmovi, te obraditi svaki pojedinačno.
1. RANJIVOST RAČUNARSKIH SISTEMA I NJIHOVA ZLOUPOTREBA
Prije računarske automatizacije, podaci o pojedincima ili organizacijama su bili održavani i osigurani kao papirna evidencija raspršena u odvojene poslovne ili organizacijske odjele. Informacioni sistemi objedinjuju podatke u računarske datoteke kojima može pristupiti veliki broj ljudi i grupa izvan organizacije.
Kada su velike količine podataka pohranjene u elektronskoj formi one su ranjive i više podložne uticajima raznih vrstama prijetnji nego kada se nalaze u drugim oblicima. Kroz komunikacijske mreže, informacioni sistemi na različitim lokacijama se mogu povezati.
1.1. Razlozi ranjivosti računarskih sistema
Postoji mnoštvo prijetnji informacionim sistemima, koje su zajedničke većini organizacija. One mogu da proizilaze iz tehničkih, organizacijskih i faktora okruženja, a situaciju komplikuju i loše menadžerske odluke. U višeslojnom klijent/server računarskom okruženju, ranjivosti postoje na svakom sloju i komunikaciji između slojeva. Korisnici na sloju klijenata mogu da naprave štetu uvođenjem greške ili pristupu sistemu bez dozvole.
Moguće je pristupiti podacima koji teku kroz mrežu, ukrasti vrijedne podatke tokom prijenosa ili mijenjanje poruka bez odobrenja. Zračenje može ometati mrežu u različitim fazama. Uljezi mogu pokrenuti napade ili maliciozne softvere da bi poremetili operacije na web sajtovima. Oni koji su sposobni za penetraciju u korporativne sisteme mogu uništiti ili korporativne podatke pohranjene u bazu podataka ili pohranjene u datoteke.
Sistemi neće funkcionisati ukoliko se računarski hardver pokvari, nije ispravno konfiguiran ili je oštećen nepravilnom upotrebom ili krivičnim djelima. Greške u programiranju , nepravilnoj instalaciji, ili neautorizovane promjene uzrokuju kvar softvera. Računarski sistemi također mogu biti prekinuti zbog nestanka struje, poplava, vatre ili ostalih prirodnih katastrofa. Bez jakih zaštitnih mjera, vrijedni podaci mogu biti izgubljeni, uništeni, ili mogu pasti u pogrešne ruke, otkrivajući važne trgovinske tajne ili informacije koje krše privatnost.
1.2. Ranjivost interneta
Velika javna mreža kao što je internet je više podložna nesigurnosti nego interne mreže, zbog toga što su one otvorene za svakoga. Internet je toliko velik da kada nastanu zloupotrebe, to može imati ogromne široko rasprostranjene utjecaje. Kada internet postaje dio korporativne mreže, organizacijski informacioni sistemi su čak više ranjiviji na akcije autsajdera.
Računari koji su konstantno konektovani na internet sa kablovskim modemima ili putem Digital Subscriber linijom (DSL) su više otvoreni penetraciji autsajdera zbog toga što oni koriste fiksirane internet adrese gdje mogu biti lako identifikovani. Fiksirane internet adrese kreiraju fiksiranu metu za hakere. Ranjivost je također porasla zbog široko rasprostranjene upotrebe e-maila i instant poruka (IM). E-mail može da sadrži priloge koji služe za širenje malicioznih softvera ili neautorizovanog pristupa unutrašnjim korporativnim sistemima. Zaposleni mogu koristiti e-mail poruke za širenje vrijednih trgovinskih tajni, finansijskih podataka, ili povjerljivih informacija o kupcima do neautorizovanih korisnika. Popularne aplikacije za instant poruke kupaca ne koriste sigurnosne slojeve za tekst poruke, tako da mogu biti presretene i pročitane od strane autsajdera tokom prijenosa preko javnog interneta.1
Kao odgovor na pojavu štetočina na Internetu su se pojavili i ljudi koji se bore protiv njih, antispameri. Među njih prvenstveno spadaju administratori sistema povezanih na Interner, ali
1 K.C.Laudon, J.Laudon, „Managment Information Systems – Managing the digital firm“, str. 475
to nije pravilo, te je tu i armija korisnika koji su se iz ovih ili onih razloga posvetili tom poslu (najčešće št su i sami bili žrtve spamera).2
1.2.1. Wireless sigurnosni sistemi
Bežične mreže koje koriste radio baziranu tehnologiju su čak i više ranjivije i podložnije penetraciji jer radio frekvenciju je lako skenirati. Iako je raspon „Wireless Fidelity“ (Wi-Fi) mreža samo nekoliko stotina metara, može se produžiti do jedne četvrtine milje koristeći vanjske antene. Na lokalne mreže (LAN) koje koriste 802.11b (Wi-Fi) standard može se penetrirati od strane autsajdera koji koriste laptope, bežične kartice, vanjske antene i softver za hakiranje. Hakeri koriste ove alate da detektuju nezaštićene mreže, da prate mrežni promet, a u nekim slučajevima, dobiju pristup internetu ili korporativnim mrežama.
Wi-Fi tehnologija koristi širok spektar prijenosa u kojem se signal prostire na širok spektar frekvencija, a posebna verzija proširenog spektra za prijenos korištenog u 802.11 standardu, je dizajniran da olakša stanicama da pronađu i čuju jedni druge. Skup identifikatora koji identifikuje pristupne tačke u Wi-Fi mreži se emituju više puta i može mu se relativno lako pristupiti uz uljeze i slične programe – slika 1. Na mnoge Wi-Fi mreže se može lako upasti od strane uljeza koji koriste posebne programe da bi dovili adresu za pristup resursima mreže bez ovlaštenja.
Slika 1. Wi-Fi sigurnosni izazovi
Izvor: K.C.Laudon, J.Laudon, „Managment Information Systems – Managing the digital firm“
802.11 standard specificira SSID kao oblik lozinki za korisnikovu radio interface mrežnu karticu (NIC) da bi se priključio određenoj bežičnoj mreži. Korisnikov radio NIC mora imati isti SSID kao i pristupna tačka da bi omogućila komunikaciju. Uljez koji je povezan sa pristupnom tačkom korištenjem tačnog SSID može onda da dobije legitimnu IP adresu korisnika kada oni postanu aktivni. Ovo omogućava uljezu da je nezakonito povezan sa bežičnim LAN-om i da koristi Windows operativni sistem da bi odredio koji ostali korisnici su konektovani na mrežu,a čak može i doprijeti do korisnikovih uređaja, locirati njihove datoteke dokumenata, i otvoriti ili kopirati njihove datoteke.
2 http://www.uzice.net/yasi/zloup.htm (Preuzeto: 10.04.2014.)
Uljezi mogu također koristiti informaciju koju su dobili o IP adresama i SSID-u za postavljanje svojih pristupnih tačaka na različitim radio kanalima na fizičkim lokacijama u blizini korisnika i korisnikovog radio NIC da bi ga povezali sa svojim pristupnim tačkama. Jednom kada se desi ovo povezivanje, hakeri koriste svoje pristupne tačke i na taj način mogu saznati imena i lozinke korisnika.
Početni standard sigurnosti razvijen od strane Wi-Fi, nazvan Wired Equivalent Privacy (WEP), nije baš efektivan. WEP je ugrađen u sve proizvode 802.11 standarda, ali njegova upotreba je postavljena kao opcija. Korisnici ga moraju upaliti, i mnogi to zanemare, ostavljajući mnogo pristupnih tačaka nezaštićenim. Proizvođači bežičnih mrežnih proizvoda sada povećavaju sigurnost nudeći jače šifriranje i provjeru autentičnosti sistema.
1.3. Maliciozni softveri
Maliciozni softverski programi uključuju razne prijetnje kao što su: računarski virusi, crvi i Trojanski konj. Računarski virus je softverski program koji se prikači za druge softverske programe ili datoteke podataka kako bi ih izbrisao bez znanja ili dozvole korisnika. Računarski virusi se najlakše šire prilozima u e-porukama ili putem razmjene trenutnih poruka.3
Mnogi računarski virusi dostavljaju „payload“. Payload može biti relativno benigan (bezopasan), kao što su upustva za prikaz poruke ili slike, ili može biti visoko destruktivan-uništavajući programe ili podatke, puneći memoriju računara, ponovno formatiranje računarskog hard diska, ili uzrokovanje nepravilnog rada programa. Virusi se obično šire od računara do računara gdje i ljudi imaju udio šaljući e-mail poruke ili kopiranje zaraženih datoteka.
Računarski crvi predstavljaju zlonamjerni softver, čija je najčešća namjena preuzeti kontrolu nad računarom i omogućiti udaljenu kontrolu čak i nakon primjene sigurnosnih zakrpa. Ovo postižu otvaranjem tzv.stražnjih vrata4 (backdoor). Čak i kada crv sam po sebi nema zlonamjernog koda, količina mrežnog prometa koji stvara šireći se, može usporiti ili čak onemogućiti normalan rad na internetu ili lokalnoj mreži.
Mrežni crvi su opasniji jer ne zahtijevaju interakciju sa korisnikom nego samostalno preuzimaju kontrolu nad računarom i nastavljaju širenje. Od njih se efikasno možemo braniti firewallom.
Za preko 80000 virusa i crva se zna, sa 25 novih koji su pronađeni svaki dan. Zadnjih 10 godina, crvi i virusi su uzrokovali bilione dolara štete na korporativne mreže, e-mail sisteme i podatke. Prema istrživanju firme Computer Economics, virusi i crvi su napravili oko $12.5 biliona štete širom svijeta u 2003 godini.
Slika 2. Najštetniji računarski virusi
3 http://support.microsoft.com/kb/129972/sr-cs (Preuzeto: 11.04.2014.)4 Backdoor ("stražnja vrata") – naziv za različite postupke ili programe koji omogućavaju drugom korisniku da se služi žrtvinim računalom dok je spojena na Internet, a da ona to ne zna.
Izvor: K.C.Laudon, J.Laudon, „Managment Information Systems – Managing the digital firm“
Trojanski konj je softverski program koji izgleda bezopasno, ali onda uradi nešto drugo od očekivanog. Trojanski konj nije sam po sebi virus, zbog toga što se ne kopira, ali je često način na koji virusi i ostali maliciozni softveri mogu ući u računarski sistem. Naziv Trojanski konj je baziran na velikom drvenom konju koji je korišten da bi Grci prevarili Trojance tokom Trojanskog rata.
Primjer Trojanskog konj savremenog doba je Trojan.Xombe, koji je detektovan na internetu 2004 godine. Bio je maskiran kao e-mail poruka od Microsofta, da bi korisnici otvorili datoteku koja je navodno nosila ažuriranje za Windows XP operativni sistem. Kada je datoteka otvorena, preuzet je i instaliran zlonamjerni kod na računaru. Jednom kada je Trojanski konj instaliran, hakeri mogu pristupiti računaru neprimjećeni, ukrasti lozinke, i preuzeti mašinu za pokretanje servisnih napada na ostala računala.
Neke vrste spyware-a se mogu ponašati kao zlonamjeran softver. Ovi mali programi instaliraju sami sebe na računare da prate korisničke aktivnosti pretrage interneta i pomažu oglašivanju. Neki mrežni oglašivači koriste spyware da bi dobili informaciju o korisnikovim kupovnim navikama i da ponude prilagođene reklame. Ostali oblici spyware su mnogo više zlonamjerne.
Svako logiranje bilježi svaki unos na računaru da bi se ukrali serijski brojevi za softver, za pokretanje internet napada, da bi se dobio pristup e-mail računu, dobile lozinke za zaštićene računarske sisteme, ili da bi se preuzela lična informacija kao što su brojevi kreditne kartice. Ostali spyware programi resetuju početnu stranicu mrežnih pretraživača, preusmjeravaju zahtjeve pretrage, ili usporavaju rad računara zauzimajući previše memorije. Dokumentovano je oko 1000 oblika spyware-a.
1.4. Hakeri i Cybervandalizam
Haker je osoba koja namjerava steći neovlašten pristup računarskom sistemu. U okviru haking zajednice, termin „cracker“ se obično koristi za hakera sa kriminalnim namjerama, iako je se u javnosti, pojmovi haker i cracker koriste naizmjenično. Hakeri i crackeri dobijaju neovlašten pristup pronalazeći slabosti u sigurnosnoj zaštiti, koji su stekli zahvaljujući web stranicama i kompjuterskim sistemima, često iskorištavajući različite karakteristike interneta koje ga čine otvorenim sistemom koji se lako koristi.5
Hakerske aktivnosti su se proširile izvan samog sistema upada, i sada uključuju krađu dobara i informacija, kao i oštećenje sistema i cybervandalizam, namjerno unošenje poremećaja, promjenu vizuelnog izgleda stranice, ili čak uništenje web stranice ili korporativnog informacionog sistema. U 2003, hakeri su predstavili Slammer crva, koji je ciljao poznate slabosti u Microsoft SQL Server softveru baze podataka.
Slammer je pogodio hiljade kompanija; srušio bankomate Bank of America, posebno u jugozapadnom dijelu Sjedinjenih Država; zahvatio je i kase u supermarketima; te je srušio većinu internet konekcija u Sjevernoj Koreji, uzrokujući pad na berzi. Neki hakeri, motivisani „haktivizmom“ su lansirali politički motivisane napade sa istim efektom.
1.4.1. Zavaravanje i njuškanje
Hakeri koji pokušavaju sakriti svoj pravi identitet često zavaravaju (spoof), ili se pogrešno predstavljaju koristeći lažne e-mail adrese ili maskiranjem u nekog drugog. Zavaravanje također može uključivati preusmjeravanje web linka na drugačiju adresu od planirane, sa maskiranjem stranice u odredište. Linkovi koji su dizajnirani da vode do jedne stranice mogu biti resetovani da pošalju korisniku potpuno nepovezanu stranicu, onu koja donosi koristi hakeru.
Sniffer (njuškalo) je vrsta praćenja programa koji nadgleda informacije koje putuju kroz mrežu. Kada se koriste legitimno, sniffersi mogu pomoći u identifikaciji potencijalnih problematičnih mrežnih tačaka ili kriminalnih aktivnosti na mrežama, ali kada se koriste u kriminalne svrhe, oni mogu biti štetni i veoma teški za otkriti. Sniffersi omogućuju hakeru da ukrade vlasničke podatke bilo kuda na mreži, uključujući e-mail poruke, datoteke kompanija i povjerljive izvještaje.
1.4.2. Uskraćivanje usluga
U uskraćivanju usluga (DoS), hakeri preplave mrežni server ili web server sa hiljadama lažnih komunikacija ili zahtjeva za uslugama da bi srušili mrežu. Mreža prima toliko mnogo upita da ne može da drži korak s njima stoga je nedostupna i za odgovor na legitimne zahtjeve. Distribuirana uskraćivanja usluga (DDoS) koriste brojna računala za preplavljivanje mreže sa brojnim zahtjevima.
Iako DoS napadi ne uništavaju informaciju ili pristupaju zabranjenim područjima informacionih sistema, oni mogu prouzrokovati gašenje web stranica, čime legitimni korisnici ne mogu prostupiti ovoj stranici. Za prometne e-commerce stranice kao što je eBAy i Buy.com, ovi napadi su skupi; dok je stranica ugašena, korisnici ne mogu ostvariti svoje zahtjeve.
1.5. Računarski kriminal i Cyberterorizam
5 K.C.Laudon, op.cit., str.482
Većina hakerskih aktivnosti su krivična djela. Američko Ministarstvo pravde definiše računarski kriminal kao bilo koju povredu krivičnog prava koja uključuje upotrebu znanja o računarskoj tehnologiji za njihovo počinjenje, istraživanje i krivično gonjenje. Računar može biti meta zločina ili instrument za počinjenje zločina.
Niko ne zna veličinu problema računarskog kriminala- koliko su sistema napali, koliko je ljudi uključeno u praksu, ili ukupnu ekonomsku štetu. Prema jednoj studiji Computer Crime istraživačkog centra, američke kompanije gube oko $14 biliona godišnje zbog ovog kriminala. Mnoge kompanije nerado prijavljuju ovaj kriminal jer može da uključuje zaposlene ili kompanija strahuje da iznošenje u javnost njene ranjivosti bi narušilo njenoj reputaciji.
Najštetnije vrste kada je ekonomija u pitanju su DoS napadi, koji uvode viruse i ometaju računarske sisteme. Tradicionalno, zaposleni su bili izvor većine štetnih računarskih kriminala zbog toga što oni imaju znanje, pristup, i često su poslovno motivirani da počine takve zločine. Međutim, jednostavnost korištenja interneta i dostupnost su kreirali nove prilike za računarski kriminal i zloupotrebu od strane autsajdera.
1.6. Krađa identiteta
Sa rastom interneta i elektronske trgovine, krađa identiteta je postalo posebno problematično pitanje. Krađa identiteta je zločin u kojem uljez dobija ključne osobne podatke, kao što su identifikacijski brojevi socijalnog osiguranja, brojevi vozačke dozvole ili brojevi kreditne kartice, da bi se predstavili kao neko drugi. Informacije mogu biti iskorištene za dobijanje kredita, robe ili usluga na ime žrtve prevare. Prema izvještaju Federal Trade Commission iz 2003 godine, 9.9 miliona slučajeva krađe identiteta je prijavljeno u Sjedinjenim Državama, uključujući i potrošačeve gubitke oko $5 miliona.
Internet je olakšao kradljivcima identiteta da koriste ukradene informacije jer dobra mogu biti kupljena online bez ikakve lične interakcije. Kreditne kartice su glavna meta hakera web stranica. Pored toga e-commerce stranice su dobri izvori kupčevih ličnih informacija- ime, adresa i broj telefona. Naoružani ovim informacijama, kriminalci mogu preuzeti novi identitet i uspostaviti nove kredite za svoje potrebe.
Jedna sve popularnija taktika je oblik spoofinga (obmane) nazvana phishing. Ona uključuje postavljanje lažnih web stranica ili slanje e-mail poruka koje izgledaju kao one kao kod legitimnih poslova da bi na taj način izvukli privatne podatke od korisnika.
Američki Kongres je odgovorio na prijetnje računarskog kriminala u 1986. godini sa Zakonom o računarskoj prevari i zloupotrebi. Prema ovom zakonu ilegalno je pristupiti računarskim sistemima bez ovlaštenja. Kongres je, također, donio Zakon o nacionalnoj informacionoj zaštiti infrastrukture u 1996. godini da bi onemogućili distribuciju virusa i hakerskih napada.
1.7. Ranjivost softvera
Softverske greške, također, predstavljaju konstantnu prijetnju informacionim sistemima, uzrokujući nebrojene gubitke u produktivnosti. Američko Ministarstvo Trgovine Insituta Standarda i Tehnologije (NIST) izvještavaj da greške u softverima uzrokuju troškove od $59.6 biliona svake godine. Glavni problem sa softverom jeste zbog prisutnosti skrivenih
bugova (buba) ili nedostataka programskog koda. Glavni izvor bugova je kompleksnost koda za donošenje odluka. Ovu kompleksnost je teško dokumentovati i dizajnirati- dizajneri mogu dokumentovati neke reakcije netačno ili možda nerazmotriti neke mogućnosti. Čak i nakon rigoroznog testiranja, programeri ne znaju tačno da li je dio softvera pouzdan, dok proizvod se ne dokaže nakon velike operativne upotrebe.
Poslovni softver obično sadrži nedostatke koji proizvode, ne samo probleme u performansama, nego i sigurnosnu ranjivost koja otvara mreže prema uljezima. Veliki dio uljeza pokušava da iskoristi ranjivost u Microsoft Windows operativnom sistemu i ostalim Microsoft proizvodima.
Da bi se ispravili softverski nedostaci nakon što su oni identifikovani, proizvođač softvera kreira liniju kodova nazvanih zakrpe za popravku nedostataka bez narušavanja pravilnog rada softvera. Primjer je Microsoftov XP Service Pack 2 koji je predstavljen 2004. godine, koji je karakteristikama dodao firewall zaštitu protiv virusa i uljeza, odnosno, sposobnost automatskog sigurnosnog ažuriranja. Na korisnicima ovog softvera je da otkriju ranjivost, testiraju i primjene zakrpe. Ovaj proces je nazvan „patch menadžment“.
Zbog toga što je firmina informaciono - tehnološka infrastruktura obično opterećena sa brojnim poslovnim aplikacijama, instalacijama operativnog sistema, proces održavanja zakrpa na svim uređajima korištenih od strane kompanije mogu biti jako skupi i trošiti puno vremena. Yankee Group konsultantska firma procjenjuje da firma sa više od 500 PC - a troši 120 radnih sati testiranja i instaliranja svake zakrpe.
2. POSLOVNA VRIJEDNOST SIGURNOSTI I KONTROLE
Neke firme koje se oslanjaju na računare koji obrađuju njihove bitne poslovne transakcije, mogu iskusiti totalni gubitak poslovne funkcije ako izgube računarsku podršku duže od nekoliko dana. I sada kada mnogi biznisi zavise od interneta i mrežnih sistema, firme su ranjivije više nego ikad. Incidenti povezani sa sigurnosti su dostigli ogromnu stopu.
Slika 4. Postotak događanja najučestalijih vrsta incidenata u kompaniji
Izvor: http://www.cert.hr/sites/default/files/CCERT-PUBDOC-2009-05-265.pdf
Postotak sigurnosnih incidenata uzrokovanih virusima je u stalnom padu, od 78% u 2004.g. do 50% 2008.g. Sigurnosni incidenti uzrokovani zlonamjernim djelovanjem zaposlenika se mijenjaju iz godine u godinu, od 59% u 2004.g., do 44% u 2008.g. Međutim, broj incidenata uzrokovanih krađom prijenosnih računala se zadržava otprilike na istoj razini.6 Analiza podataka i od 2008.g. pa sve do danas govori isto. Broj napada je u padu jer organizacije imaju jače mehanizme zaštite, međutim svakako ti podaci variraju od kompanije do kompanije.
Firme imaju veoma vrijedne informacije koje trebaju da zaštite. Sistemi obično pohranjuju povjerljive informacije o porezima pojedinaca, finansijskim sredstvima, medicinskim podacima i izvještajima o poslovnim performansama. Oni, također, mogu da sadrže informacije o korporativnim operacijama, uključuju tajne iz oblasti trgovine, planove o razvoju novih proizvoda i marketing strategijama.
Vladini sistemi mogu da pohranjuju informacije o oružju, vojnim metama i obavještajnim poslovima. Ove informacije imaju ogromnu vrijednost, a posljedice mogu biti razorne ukoliko su one izgubljene, uništene ili ukoliko dođu u pogrešne ruke.7 Organizacija se može smatrati odgovornom zbog nepotrebnog rizika ili štete ukoliko ne poduzme potrebne akcije zaštite da bi spriječile gubitak povjerljivih informacija, korupcije podataka, ili kršenja privatnosti.
2.1. Pravni i regulatorni zahtjevi za upravljanje elektronskim zapisima
Firme se suočavaju sa pravnim obavezama u oblasti upravljanja elektronskom evidencijom i zadržavanja dokumenata kao i zaštite privatnosti. Upravljanje elektronskom evidencijom
6 http://www.cert.hr/sites/default/files/CCERT-PUBDOC-2009-05-265.pdf (Preuzeto: 20.04.2014.)7 K.C.Laudon, op.cit., str.491
(ERM) sastoji se od politike, procedura i alata za upravljanje zadržavanjem, uništavanjem i skladištenjem elektronskih podataka.
Zbog toga što su informacioni sistemi korišteni za generiranje, pohranjivanje i prijenos podataka i informacija potrebnih za finansijske izvještaje, zakonodavstvo zahtjeva da firme obezbijede jaku sigurnost informacionih sistema i tačnost podataka. Svaka sistemska aplikacija koja se koristi za bitne podatke finansijskih izvještaja zahtijeva kontrolu da bi bili sigurni da su podaci tačni. Kontrole koje osiguravaju korporativnu mrežu, štite od neovlaštenih pristupa sistemima i podacima, i omogućava integritet podataka i dostupnost u slučaju nesreće ili ostalih prekida usluga.8
2.1.1. HIPAA Zakon
Zakon o prijenosu i odgovornosti zdravstvenog osiguranja (HIPAA) iz 1996. godine prikazuje zdravstvenu sigurnost i pravila o privatnosti i procedure za pojednostavljenje naplate zdravstvene zaštite i automatizovani transfer podataka o zdravstvenoj zaštiti između zdravstvenih radnika i onoga ko plaća zdravstveno osiguranje. To zahtjeva od članova iz oblasti zdravstvene zaštite da zadrže informacije o pacijentu šest godina te da omogući zaštitu povjerljivosti ovih podataka.
On određuje privatnost, sigurnost i standarde elektronskih transkacija za pružaoce zdravstvene zaštite koje treba pratiti kada upravljaju informacijama pacijenata, određujući kazne za kršenje medicinske privatnosti, objavljivanja podataka o pacijentima putem e-maila ili neovlašteni pristup mreži.
2.1.2. Gramm-Leach-Bliley Zakon
Zakon o modernizaciji finansijskih usluga iz 1999. godine bolje poznat kao Gramm-Leach-Bliley Zakon nazvan po kongresnim sponzorima, zahtjeva od finansijskih institucija da pruže sigurnost i povjerljivost podataka o kupcu.
Podaci moraju biti pohranjeni osigurani medij. Specijalne sigurnosne mjere se primjenjuju za zaštitu takvih podataka kada se pohranjuju na medije ili tokom prijenosa.
2.1.3. Sarbanes-Oxley Zakon
Zakon nazvan po sponzorima Paulu Sarbanesu senatoru Marylanda i predstavniku Ohio Michaelu Oxleyu, je dizajniran da bi se zaštitili investitori nakon finansijskog skandala u Enron, WorldCom, i ostalim javnim kompanijama. On nameće odgovornost firmi i njenom menadžmentu da očuvaju integritet informacija koja se koristi interno i objavljuje eksterno.
Sarbanes-Oxley zahtjeva od izvršnog direktora i glavnih finansijskih službenika u svim javnim trgovinskim preduzećima u Sjedinjenim Državama da potvrde tačnost njihovih organizacijskih kvartalnih i godišnjih izvještaja i da se uspostavi adekvatne interna kontrola sistema izvještavanja. Svi dokumenti i komunikacije povezani sa ovim izvještajima trebaju se čuvati 7 godina nakon revizije.
Kompanije moraju pokrenuti procedure za praćenje svih finansijskih informacija od momenta kada su kreirane, do finalnog podnošenja godišnjih izvještaja. Viši menadžeri se mogu suočiti sa 20 godina zatvora ukoliko se firmini finansijski izvještaji pokažu kao falsifikovani.
8 K.C.Laudon, op.cit., str.492
2.2. Elektronski dokazi i računarska forenzika
Sigurnost, kontrola i upravljanje elektronskim zapisima je postalo ključno kao alati za osiguranje legalnih radnji. Danas, većina dokaza o prevarama sa dionicama, pronevjeri, krađi povjerljivih tajni kompanije, računarskih zločina i mnogih civilnih slučajeva je u digitalnoj formi.
Osim informacija iz printanih i otkucanih stranica, danas se mnogo oslanja i na dokaze predstavljene kao računarski podaci koji su pohranjeni na prenosive floppy diskete, CD-ove, i računarske hadr diskove, kao i na e-mail, instant poruke i e-commerce transkacije preko interneta. E-mail je trenutno najčešći tip elektronskog dokaza.
Efikasna politika zadržavanja elektronskih dokumenata osigurava dobro organizovane i pristupačne elektronske dokumente, e-mailove i ostale podatke ne zadržavajući ih ni previše dugo niti ih odbacujući prebrzo. Također, predstavlja odraz svjesnosti na koji način sačuvati potencijalni dokaz za računarske forenzičare. Računarska forenzika je naučno prikupljanje, ispitivanje, provjera autentičnosti, očuvanje i analiza podataka koji su zadržani ili vraćeni iz računarskih medija za pohranu na način na koji informacija može biti korištena kao dokaz na sudu.
Suočava se sa sljedećim problemima:
Pristupanje i preuzimanje podataka, uz čuvanje integriteta dokaza; Sigurna pohrana i rukovanje sa vraćenim elektronskim podacima; Pronalazak značajne informacije u velikoj količini elektronskih podataka; Predstavljanje informacija na sudu.
Elektronski dokazi mogu se nalaziti na računarskim medijima za pohranu u formi računarskih datoteka i kao „ambient“ podaci, koji nisu vidljivi prosječnom korisniku. Primjer može biti datoteka koja je izbrisana sa PC hard diska. Podatke koje je korisnik obrisao sa računarskih medija za pohranjivanje mogu biti vraćeni uz pomoć niza tehnika.
Računarski forenzičari pokušavaju da povrate skrivene podatke da bi ih predstavili kao dokaze. CIO, stručnjaci za sigurnost i osoblje informacionih sistema, i korporativni pravni zastupnik trebaju raditi zajedno na planu u slučaju da se pojavi potreba za rješavanje nastalih problema.
3. USPOSTAVLJANJE OKVIRA ZA UPRAVLJANJE SIGURNOŠĆU I KONTROLOM
Tehnologija nije ključni problem u sigurnosti i kontroli informacionih sistema. Tehnologija pruža temelj, ali u nedostatku inteligentnih tehnika upravljanja, čak i najbolja tehnologija može biti lako poražena. Na primjer, stručnjaci vjeruju da preko 90% uspješnih cyber napada su mogli biti spriječeni dostupnom tehnologijom. Neadekvatna ljudska pažnja je omogućila ove napade.
Zaštita izvora informacija zahtijeva politiku sigurnosti i skup kontrola. ISO 17799, internacionalni skup standarda za sigurnost i kontrolu, pruža pomoć u vidu smjernica. On određuj najbolju praksu što se tiče sigurnosti i kontrole informacionih sistema, uključujući politiku sigurnosti, planiranje poslovnog kontinuiteta, fizičk sigurnost, kontrolu pristupa, usklađenost i kreiranje sigurnosne funkcije unutar organizacije.
3.1. Tipovi kontrole informacionih sistema
Zaštita izvora informacija zahtijeva dobro dizajnirane skupove kontrola. Računarski sistemi su pod kontrolom kombinacije opšte kontrole i kontrolu aplikacija. Opće kontrole upravljaju dizajnom, sigurnošću, i upotrebom računarskih programa i sigurnošću datoteka uopšteno kroz organizacijsku informacionu infrastrukturu tehnologije. Sve u svemu, opšte kontrole se primjenjuju na sve kompjuterizovane aplikacije i sastoje se od kombinacije softvera, hardvera i manuelnih procedura koje kreiraju cjelokupnu kontrolnu okolinu. Kontrole aplikacija su specifične kontrole, jedinstvene za svaku kompjuterizovanu aplikaciju, kao što je obrada narudžbi.
3.1.1. Opća kontrola
Opšte kontrole uključuju kontrole softvera, fizičku kontrolu hardvera, kontrolu računarskih operacija i administrativnu kontrolu.
Slika 5. Segmenti opće kontrole
Izvor: K.C.Laudon, J.Laudon, „Managment Information Systems – Managing the digital firm“
3.1.2. Aplikacijska kontrola
Aplikacijska kontrola uključuje i automatske i manuelne procedure koje osiguravaju da su samo autorizovani podaci u potpunosti i precizno obrađuju od strane tih aplikacija.
Aplikacijska kontrola može biti klasifikovana kao: kontrola ulaznih komponenti, kontrola obrade, te kontrola outputa.
Kontrola inputa provjerava tačnost i potpunost podataka kada oni ulaze u sistem. Postoje posebne kontrole inputa za odobrenje unosa, konverzije podataka, izmjenu podataka i greške rukovanja. Kontrole obrade utvrđuju da su podaci kompletni i precizni, tokom ažuriranja.
Ukupna kontrola procesa, računarskog podudaranja, i programirane provjere izmjena su korištene kao kontrole obrade. Kontrole outputa osigurava da su rezultati računarske obrade kompletne, tačne i pravilno distribuirane.
3.2. Procjena rizika
Prije nego organizacija odluči kontrolisati resurse, mora znati koja je sredstva potrebno zaštititi i u kojoj mjeri su ta sredstva ranjiva. Procjenom rizika se može odgovoriti na ova pitanja i također pomoći firmi da odredi najisplativiji skup kontrola za zaštitu imovine.
Poslovni menadžeri koji rade sa stručnjacima za informacione sisteme mogu odrediti vrijednost informacija, tačke ranjivosti, učestalost problema, i moguće štete. Na primjer, ako se događaji ne javljaju više od jednog puta u godini, sa maksimalnim gubicima od $1.000 za organizaciju, ne bi bilo razumno potrošiti $20.000 na dizajn i održavanje kontrole za sprječavanje tog događaja. Međutim, ukoliko se događaji dešavaju najmanje jednom dnevno, sa potencijalnim gubitkom više od $300.000 godišnje, trošenje $100.000 na kontrolu bi bilo u potpunosti opravdano.
Krajnji proizvod procjene rizika jeste plan da se smanje ukupni troškovi i maksimizira odbrana. Da bi odlučili koje kontrole koristiti, dizajneri informacionih sistema moraju da ispitaju različite tehnike kontrole u odnosu jedne na druge i u odnosu na njihove relativne troškovne efikasnosti. Slabosti kontrole u jednom dijelu mogu biti nadoknađene snažnom kontrolom na drugom dijelu.
3.3. Sigurnosna politika
Firme moraju razviti korporativnu politiku koja uzima u obzir prirodu rizika, informacije o sredstvima koje treba zaštititi, i procedure i tehnologije potrebne za rješavanje rizika, kao i implementaciju i mehanizme revizije.
Sve rastući broj firmi koristi formalnu korporativnu sigurnosnu funkciju kojom rukovodi glavni službenik za bezbjednost (CSO). Grupa za sigurnost educira i trenira korisnike, održava svjesnost menadžmenta kada su u pitanju sigrunosne prijetnje, i održava alate koji su izabrani za implementaciju sigurnosti.
Sigurnosna politika se sastoji od rangiranja informacionih rizika, identifikacije prihvatljivih sigurnosnih ciljeva, i identifikacije mehanizama za postizanje ovih ciljeva. Sigurnosna organizacija obično upravlja prihvatljivom politikom i autorizovanom politikom. Prihvatljiva upotreba politike (AUP) definira prihvatljivu upotrebu firminih informacijskih izvora i računarsku opremu, uključujući računare i laptope, bežične uređaje, telefone, i internet.
Sigurnosna politika bi trebala da razjasni politiku kompanije kada je u pitanju privatnost, odgovornost prema korisnicima, i ličnu upotrebu opreme kompanije i mreža. Dobar AUP definiše neprihvatljive i prihvatljive akcije za svakog korisnika i specificira posljedice nepoštivanje.
3.4. Obezbjeđenje poslovnog kontinuiteta
Kako se firme sve više oslanjaju na digitalne mreže kada su u pitanju njihovi prihodi i poslovanje, one moraju da poduzmu dodatne korake da bi osigurali da njihovi sistemi i aplikacije budu uvijek dostupni.
Mnogi faktori mogu poremetiti performanse web stranice, uključujući poricanje servisnih napada, pada mreže, otežanog internet saobraćaja, i iscrpljenje servera za resurse. Računarski kvarovi, zastoj i prekid dovodi do nezadovoljnih kupaca, milione dolara izgubljene prodaje i nesposobnost za obavljanje važnih internih transakcija.
Računarski sistemi tolerancije grešaka sadrže višak hardvera i softvera, i komponenti snabdjevanja energijom koji kreiraju okruženje koje pruža kontinuiranu, neometanu uslugu. Računari tolerancije grešaka sadrže više memorijskih čipova, procesora, i diskova za pohranu da bi napravili kopiju sistema i održali njegov rad ukoliko dođe do kvara.
Oni koriste specijalne softverske rutine koje su ugrađene u njihovu srž da bi otkrili kvar hardvera i da bi automatski se prebacilo na backup uređaj. Dijelovi ovih računara se mogu izvaditi ili popraviti bez narušavanja rada računarskog sistema.
Računarska visoka dostupnost zahtijeva asortiman alata i tehnologija da bi se osigurale maksimalne performanse računarskih sistema i mreža, uključujući dodatne servere, preslikavanje, balansiranje opterećenja, skladište velikog kapaciteta, i dobro opravljanje nakon katastrofe i planovi poslovnog kontinuiteta.
Uravnoteženje opterećenja distribuira veliki broj zahtjeva za pristup kroz više servera. Zahtjevi su usmjereni prema serveru koji je najviše raspoloživ s tim da nijedan uređaj nije opterećen. Ako jedan server bude zatrpan, zahtjevi su usmjereni na drugi server sa više kapaciteta.
Preslikavanje koristi backup servere koji dupliciraju sve procese i transakcije iz primarnog servera. Ako primarni tj.osnovni server zakaže, rezervni server odmah zauzima njegovo mjesto bez ikakvog prekida u pružanju usluga. Ipak, server preslikavanja je veoma skup jer svaki server mora biti preslikan čija je jedina svrha da bude dostupan kada dođe do kvara.
Istraživači traže načine da se računarski sistemi opravljaju čak i brže kada dođe do kvara. Ovo uključuje dizajniranje sistema koji se može oporaviti brže i implementiranje sposobnosti i alata da bi se pomoglo operatorima pri određivanju izvora kvara u više komponentnom sistemu i lakše ispravljanje njihovih grešaka.
3.5. Poslovni kontinuitet i planiranje oporavka u slučaju katastrofe
Planiranje oporavka nakon katastrofe smišlja planove za obnavljanje računara i komunikacijskih servisa nako što su bili prekinuti pod uticajem događaja kao što su zemljotres, poplava, ii teroristički napad. Planovi za oporavak se fokusiraju na tehničke probleme da bi se održao rad sistema, kao npr. za koje datoteke napravi rezervu i održavanje rezervnih računarskih sistema ili usluga za pomoć pri oporavku,
Na primjer, MasterCard održava duplicirani računarski centar u Kansas City, Missouri, koji služi u slučaju nužde, ukoliko dođe do kvara njegovog primarnog računarskog centra u
St.Louisu., da ne bi dizajnirale svoje backup sisteme i centre, neke firme radije sklope ugovor sa firmama za oporavak od katastrofe kao što su Comdisco Disaster Recovery Services u Illinoisu.
Planiranje kontinuiteta poslovanja se fokusira na to kako firme mogu nastaviti sa poslovanjem nakon katastrofe. Plan kontinuiteta poslovanja identificira važne polosvne procese i determiniše plan akcije za upravljanje kritičnim funkcijama ako dođe do pada sistema.
3.6. Uloga revizije u procesu kontrole
Kako menadžment zna da je sigurnost i kontrola informacionih sistema efikasna? Da bi odgovorili na ovo pitanje, organizacije moraju provesti sveobuhvatne i sistematične revizije. MIS revizija identificira sve kontrole koje upravljaju individualnim informacionim sistemima i procjenjuje njihovu učinkovitost. Da bi postigli ovo, revizor mora steći temeljno razumijevanje operacija, fizičkih objekata, telekomunikacija, sigunosnih sistema, sigurnosnih ciljeva, organizacijske strukture, kadrovske službe i individualnih aplikacija.
Revizor obično intervjuiše individualce koji koriste i upravljaju specifičnim informacionim sistemom u vezi sa njihovim aktivnostima i procedurama. Ispituju se sigurnost, aplikacijska kontrola, ukupne kontrole integriteta i disciplinska kontrola.
Revizor bi trebao pratiti protok uzorka transakcija kroz sistem i provoditi testove, koristeći, ako je prikladno, automatske revizorske softvere. Revizorska lista rangira sve kontrolne slabosti i procjenjuje vrijednost njihove pojave. Zatim procjenjuje finansijski i organizacijski uticaj svake prijetnje.
4. TEHNOLOGIJE I ALATI SIGURNOSTI I KONTROLE
Niz alata i tehnologija mogu pomoći firmi da se zaštiti protiv uljeza i neovlaštenih pristupa. Oni uključuju alate za autentičnost, zaštitne zidove, sisteme za detekciju uljeza, antivirusne softvere i šifriranje. Alati i metodologija su, također, dostupni kao pomoć firmi za kreiranje njihovog softvera pouzdanijim.
4.1. Kontrola pristupa
Kontrola pristupa postoji u svim politikama i procedurama koje kompanija koristi da bi spriječila neovlašteni pristup sistemima. Da bi stekao pristup, korisnik mora biti ovlašten i
autentičan. Provjera autentičnosti znači sposobnost provjere da je ta osoba ona kojom se predstavlja. Softver kontrole pristupa je dizajniran tako da samo ovlaštene osobe mogu koristiti sistem ili primjenom metoda za provjeru autentičnosti pojedinci mogu pristupiti podacima.9
Provjera autentičnosti se obično zasniva na korištenju lozinki koje su poznate samo ovlaštenim osobama. Korisnik koristi lozinku da bi pristupio računarskom sistemu i može, također, koristiti lozinku za pristup specifičnim sistemima i datotekama. Međutim, korisnici često zaboravljaju lozinke, dijele ih sa drugim, ili koriste slabe lozinke koje je lako pogoditi čime se narušava sigurnost.
E-commerce je doveo do širenja web stranica zaštićenim lozinkom. Ako korisnici koriste lozinku da bi pristupili više sistema i oni koriste istu lozinku za više sistema, hakeri koji dobiju pristup jednom korisničkom računu mogu pristupiti i ostalim.
Biometrijska autentičnost predstavlja obećavajuću novu tehnologiju koja može da prevaziđe neka ograničenja lozinki i sistema provjere autentičnosti korisnika. Biometrijska autentičnost je bazirana na fizičkim osobinama i ponašanju što čini svakog pojedinca jedinstvenim.
On poredi jedinstvene karakteristike, kao što su otisci prstiju, lice, slika mrežnjače, sa pohranjenim skupom profila ovih karakteristika i pohranjenim profilom. Ako se dva profila podudaraju, dozvoljen je pristup. Tehnologija je skupa, i tehnologija za prepoznavanje otisaka i lica se tek počinje koristiti za aplikacije sigurnosti.
4.2. Zaštitni zidovi, sistemi detekcije uljeza, i antivirusni softver
Kako sve veći broj preduzeća izlaže svoje mreže internet prometu, zaštitni zidovi postaju jako potrebni. Zaštitni zidovi su kombinacija hardvera i softvera koji kontrolišu promet dolaznih i odlaznih podataka u mrežnom prometu.
Inače su zaštitni zidovi postavljeni između organizacijske privatne interne mreže i nepovjerljivih eksternih mreža kao što je internet, iako zaštitni zidovi se mogu koristiti da zaštitte jedan dio mreže preduzeća od ostatka mreže.
Zaštitni zid je smješten između firmine privatne mreže i javnog interneta ili ostalih nepovjerljivih mreža da bi se preduzeće zaštitilo od neovlaštenih pristupa. Zaštitni zid se ponaša kao čuvar vrata koji ispituje vjerodostojnost svakog korisnika prije nego što se odobri pristup mreži.Zaštitni zid identifikuje imena, IP adrese, aplikacije, i ostale karakteristike. On provjerava ove informacije sa pravilima pristupa koji su programirani u sistem od strane administratora mreže.
Slika 6. Korporativni zaštitni zid
9 D.Radonjić, Preduzetnička ekonomija, Podgorica, 2004., str. 97
Izvor: K.C.Laudon, J.Laudon, „Managment Information Systems – Managing the digital firm“
Zaštitni zid zaustavlja neovlaštenu komunikaciju unutar i izvan mreže, dozvoljavajući organizaciji da sprovede politiku sigurnosti. Da bi kreirao dobar zaštitni zid, administrator mora ga razraditi u detalje i da uključi i interna pravila identifikacije ljudi, aplikacija, ili adresa koji su dozvoljeni ili odbijeni.
Zaštitni zid može odvratiti, al ne u potpunosti zaustaviti, ulazak na mrežu od strane uljeza i neovlaštenih osoba. Da bi se efektivno nosili sa sigurnosti na internetu, potrebni su šira politika i procedure, korisnikove odgovornosti i trening o sigurnosnoj svijesti među zaspolenima.
4.3. Sistemi detekcije neovlaštenog pristupa
Kao dodatak zaštitnim zidovima, komercijalni dobavljači sigurnosti sada pružaju i alate za detekciju neovlaštenog pristupa i usluge da bi se zaštitili od sumnjivog mrežnog prometa i pokušaja da se pristupi datotekama i bazama podataka.
Sisteme detekcije neovlaštenog pristupa karakterišu alati za praćenje koji rade čitavo vrijeme te su smješteni na najranjivije tačke ili „hot spots“ korporativne mreže da bi se kontinuirano detektovali i odbijali uljezi.
Sistem pokreće alarm ako se pronađu sumnjivi događaji ili anomalije. Softver za skeniranje traži indikativne obrasce poznatih metoda računarskih napada, kao što je loša lozinka, provjerava da li bitne datoteke izbrisane ili mijenjane, i šalje upozorenja o vandalizmu ili greškama administracije sistema. Alati detekcije mogu takođe biti prilagođeni da zatvore određeni osjetljivi dio mreže ukoliko ima neovlašteni promet.
4.4. Šifriranje i infrastruktura javnih ključeva
Mnoge se organizacije oslanjaju na šifriranje da bi zaštitili prijenos osjetljivih informacija preko interneta i ostalih mreža. Šifriranje je kodiranje poruka da bi se spriječio neovlašteni pristup ili razumijevanje podataka koji se prenose.
Poruka može biti šifrirana upotrebom tajnog numeričkog koda, koji se zove šifrirani ključ, tako da podaci mogu biti distribuirani kao šifrirani skup znakova. Da bi se mogla pročitati, poruka mora biti dekodirana sa odgovarajućim ključem.
Postoji nekoliko alternativnih metoda dekodiranja, ali javni ključ za šifriranje je sve popularniji. Šifriranje javnim ključem kao što je pokazano na slici 7. koristi 2 različita ključa, jedan privatni i jedan javni. Ključevi su matematički povezani tako da podaci šifrirani sa jednim ključem mogu biti dekodirani samo sa drugim ključem.
Da bi poslali i primili poruke, komunikatori prvo kreiraju odvojene parove privatnog i javnog ključa. Javni ključ se čuva u direktoriju te privatni ključ mora biti tajna. Pošiljaoc šifrira poruku sa javnim ključem primatelja. Da bi primio poruku, primatelj koristi svoj privatni ključ da bi je dekodirao.
Slika 7. Šifriranje javnim ključem
Izvor: K.C.Laudon, J.Laudon, „Managment Information Systems – Managing the digital firm“
Sistem šifriranja javnim ključem se može posmatrati kao niz javnih i privatnih ključeva koji otključavaju podatke kada se oni prenose i za otključavanje pdoataka kada su oni primljeni. Pošiljalac locira javni ključ primaoca u direktoriju i koristi ga da bi šifrirao poruku. Poruka je poslana u šifriranoj formi preko interneta ili privatne mreže. Kada šifrirana poruka stigne, primalac koristi svoj privatni ključ da bi dekodirao podatke i pročitao poruku.
Šifriranje je posebno korisno da se zaštite poruke na internetu i ostalim javnim mrežama zbog toga štosu one nesigurnije od privatnih mreža. Šifriranje pomaže zaštićenom prijenosu podataka podataka o plaćanju, kao što je informacija kreditne kartice. Integritet poruke je sposobnost pružanja sigurnosti da će poslana poruka doći na tačno odredište bez promjena ili kopiranja.10
Dvije primarne metode za šifriranje mrežnog prometa su SSL i SHTTP. Secure Sockets Layer (SSL) i Transport Layer Security (TLS) su protokoli korišteni za sigurni informacioni transfer preko interneta.
Oni omogućavaju klijentu i računarskom serveru da upravljaju šifriranjem i aktivnostima dešifriranja dok oni komuniciraju jedni s drugima. Secure Hypertext Transfer Protocol (SHTTP) je drugi protokol koji se koristi za šifriranje podataka koji protiču kroz mrežu, ali je ograničen na Web dokumente.
10 M.J.Alexander, Information Systems Analysis, 1974., str. 132
5. PRIMJER IZ PRAKSE
Hakerski napad na MicrosoftWord
MICROSOFT je jučer izdao hitno sigurnosno upozorenje, piše Business Insider. U njemu stoji kako su hakeri pronašli način da postave male "zamke" s virusom u dokumente s .rtf ekstenzijom. Microsoft još uvijek nije našao način da zaustavi hakere i užurbano rade na tome.
Kako biste bili sigurni da se vaš kompjuter neće zaraziti virusom ne otvarajte dokumente s tom ekstenzijom sve dok Microsoft ne objavi kako je to sigurno. Ovo je jedna od najgorih vrsti napada. Ako otvorite dokument sa "zamkom" haker može preuzeti kontrolu nad vašim kompjuterom i raditi s njim što god želi. Može ga koristiti kao dio veče mreže kompjutera za slanje spama, širenje virusa ili neke ilegalne radnje.
Budite oprezni ako koristite Outlook. On vam omogućuje da dokument s tom ekstenzijom pogledate unutar maila bez otvaranja, a tako ćete se isto zaraziti virusom.
Zato Microsoft preporučuje da na svom kompjuteru blokirate sve .rtf dokumente11.
Iz ovog primjera iz prakse se jasno vidi kako funkcionišu hakerski napadi. Ukoliko kompanija ili korisnik nemaju adekvatan alat zaštite od ovakve vrste napada, velike su šanse da će hakeri iskoristiti priliku i na neki način pokušati omesti funkcionisanje odvijanja određenih aktivnosti koje bi se u normalnim uslovima trebale neometano odvijati.
Virus Stuxnet
Složeni virus Stuxnet koji je ne tako davno napao iranska nuklearna postrojenja, ponovo je postao aktivan, ali je sada napao računare iranskih kompanija na jugu zemlje.Šef civilne zaštite Ali Akbara Akhavan izjavio je da je virus u poslednjih nekoliko meseci napao računarski system jedne elektrane i nekoliko kompanija u pokrajini Hormozgan.On je potvrdio da su iranski stručnjaci uspešno zaustavili virus.
Iran je i ranije iznosio tvrdnje da je uspešno sprečio napade računarskih virusa, uključujući napade virusima Stuxnet i Flame na njegov vitalni naftni sektor, koji zemlji donosi 80 posto od ukupnih prihoda od izvoza.Virus Stuxnet je iranska nuklearna postrojenja i druge industrijske lokacije prvi put napao 2010. godine.
Teheran tvrdi da su oba virusa deo tajnog američko -izraelskog plana čiji je cilj da destabilizuje iranski nuklearni program, jer Zapad strahuje da Iran pokušava da se domogne atomske bombe.12
Ovdje je riječ o primjeru napada virusa Stuxnet na iranska nuklearna postrojenja i napada na računare iranskih kompanija. Uz dobre alate odbrane od virusa, ove kompanije su uspjele izaći na kraj sa problemima koje im je zadao napad virusa.
11 http://www.index.hr/black/clanak/microsoft-word-na-meti-hakerskog-napada-ne-otvarajte-dokumente-s-rtf-ekstenzijom/736063.aspx (Preuzeto: 12.04.2014.)12 http://www.kurir-info.rs/virus-stuxnet-ponovo-napada-iran-clanak-582205 (Preuzeto: 12.04.2014.)
ZAKLJUČAK
Organizacije trebaju da poduzmu posebne mjere da bi zaštitile svoje informacione sisteme da bi osigurali kontinuirano poslovanje. Mrežne smetnje, neautorizovani korisnici, softverski kvarovi, kvarovi hardvera, prirodne katastrofe, greške zaposlenih – i napadi terorista – mogu zaustaviti pravilno funkcionisanje informacionih sistema ili njihov potpun zastoj.
Kompjuterski sistemi igraju veliku ulogu u poslovanju, vladi i svakodnevnom životu, pa firme moraju postaviti sigurnost i kontrolu kao glavne prioritete. Sigurnost se odnosi na politike, procedure, i tehničke mjere koje se koriste da bi se spriječio neautorizovan pristup, izmjene, krađe, ili fizičko oštećenje informacionih sistema. Kontrole se sastoje od svih metoda, politika
i organizacijskih procedura koje osiguravaju sigurnost organizacijske imovine, preciznost i pouzdanost računovodstvene evidencije, i operativnog pridržavanja menadžerskih standarda.
Sigurnost i kontrola su postale bitno, iako možda necijenjeno područje ulaganja informacionih sistema. Kada računarski sistemi zakažu ili ne rade na pravilan način, firme koje u velikoj mjeri zavise od računara, gube određene prilike te nastaju problemi u poslovnom funkcionisanju. Što su računarski sistemi duže izvan funkcije, veće su i ozbiljnije posljedice na firmu.
Neadekvatna sigurnost i kontrola može da stvori i ozbiljne zakonske probleme. Poslovni subjekti moraju zaštititi ne samo svoje informacije nego i informacije kupaca, zaposlenih i poslovnih partnera. Ukoliko se ne zaštite informacije, može doći do skupih parnica zbog otkrivanja podataka ili krađe.
LITERATURA
1. M.J.Alexander, Information Systems Analysis, 19742. K.C.Laudon, J.Laudon, „Managment Information Systems – Managing the digital
firm“3. D.Radonjić, Preduzetnička ekonomija, Podgorica, 2004.4. URL - http://www.kurir-info.rs/virus-stuxnet-ponovo-napada-iran-clanak-5822055. URL - http://www.index.hr/black/clanak/microsoft-word-na-meti-hakerskog-napada-
ne-otvarajte-dokumente-s-rtf-ekstenzijom/736063.aspx6. URL - http://support.microsoft.com/kb/129972/sr-cs7. URL - http://www.uzice.net/yasi/zloup.htm8. URL - http://anti-virusi.blogspot.com/
9. URL - http://en.wikipedia.org/wiki/Cyberterrorism10. URL - http://www.cert.hr/sites/default/files/CCERT-PUBDOC-2009-05-265.pdf
PRILOG: PITANJA
1. Problemi sa kojima se suočava računarska forenzika?
Vraćanje podataka uz čuvanje integriteta dokaza, Sigurna pohrana i rukovanje sa vraćenim elektronskim podacima, Pronalazak značajne informacije u velikoj količini elektronskih podataka, Predstavljanje informacija na sudu.
2. Klasifikacija aplikacijske kontrole?
kontrola ulaznih komponenti, kontrola obrade, te kontrola outputa.
3. Koji je značaj šifriranja?
Šifriranje je posebno korisno da se zaštite poruke na internetu i ostalim javnim mrežama zbog toga štosu one nesigurnije od privatnih mreža. Šifriranje pomaže zaštićenom prijenosu podataka podataka o plaćanju, kao što je informacija kreditne kartice. Integritet poruke je sposobnost pružanja sigurnosti da će poslana poruka doći na tačno odredište bez promjena ili kopiranja.
4. Tipovi kontrole informacionih sistema i šta one uključuju:
Opšte kontrole upravljaju dizajnom, sigurnošću, i upotrebom računarskih programa i sigurnošću datoteka uopšteno kroz organizacijsku informacionu infrastrukturu tehnologije.
Aplikacijska kontrola uključuje i automatske i manuelne procedure koje osiguravaju da su samo autorizovani podaci u potpunosti i precizno obrađuju od strane tih aplikacija.
5. Šta predstavljaju računarski virusi?
Maliciozni softverski programi uključuju razne prijetnje kao što su: računarski virusi, crvi i Trojanski konj. Računarski virus je softverski program koji se prikači za druge softverske programe ili datoteke podataka kako bi ih izbrisao bez znanja ili dozvole korisnika. Računarski virusi se najlakše šire prilozima u e-porukama ili putem razmjene trenutnih poruka.
