Informatička sigurnost

Kome možete vjerovati kad je riječ o sigurnosti informacija u vašoj tvrtki? Stručnjacima za informatičku sigurnost. Ali, što se događa kad im ne vjerujete? Sklopili ste iznimno povoljan posao s dobavljačem informatičke opreme, trjate ruke jer ste njegovu početnu cijenu snizili popriličan broj postotaka, a dobili ste ‘brand name’ računala s relativno novim procesorima. Kao poseban bonus dobili ste, za pet glavnih ljudi u svojoj tvrtki, najnovija prijenosna računala po cijeni lanjskih modela pa ste, kao što vam je savjetovao Nikola, prijatelj koji se razumije u informatiku, dio novca uštedenog na osobnim računalima uložili u mrežnu opremu i server koji sada, prema njegovu mišljenju, ‘jede malu djecu’.

Dobavljač vam je sve postavio, uključujući i hot-spot za WLAN (pristupnu točku bežične mreže) putem kojega će raditi oni s notebookovima. Zaposlenici su došli na posao i upućuju vam zadovoljan, zavidljven pogled. Imate razloga za (sam)zadovoljstvo, i ono je – golemo!

No nakon samo nekoliko minuta (prva kava još je vruća i neispijena) počinje gužva. Jedan od vaših radnika kaže da mu se na zaslonu svakih 60 sekundi ispiše čudna poruka koja mu najavi gašenje i ponovno pokretanje računala. A odmah za njim, s istim problemom, dolaze vam i drugi.

U panici nazivate prijatelja-informatičkoga guruva Nikolou (‘Nikola, što je to, ti strojevi ne valju, svake se minute resetiraju?!’), a on smireno odgovara da ste pokupili virus MS Blaster. I kad stigne nakon pola sata, potreban mu je još jedan sat (a vi ‘šizite’ jer cijela tvrtka u to vrijeme pije kavu) da to sredi. Kaže da je instalirao nešto besplatno što će te virus držati pod nadzorom.

Sve je ponovno u redu, ali samo nekoliko dana – dok se tajnica ne požali da više ne može pronaći upite klijenata i poslovnih partnera u elektroničkoj pošti od stotina primljenih neželjenih poruka. I ostali se zaposlenici počinju žaliti da, otkad ste im otvorili račune elektroničke pošte na internetskoj domeni tvrtke, primaju sve više spamova. Našalite se da su svoje adrese sigurno ostavljali na nekim pornostranicama, ali vam šala prisjedne kada zbrojite njihovo izgubljeno vrijeme – i shvatite da bi to bilo isto kao da ću klijente!!’), a on počne govoriti o antivirusnoj zaštiti, nešto instalira, tvrdi da je besplatno i zadržava vašeg dostavljaca da svako jutro nešto downloadira s interneta i instalira. Naravno, klinac je tu na praksi i prilično je vjetropirast pa zaboravi provesti taj postupak i sedam dana.

Neki se vodeći ljudi vaše tvrtke kod kuće notebookom spajaju na internet uz pomoć modem, pa su tako usput pokupili (i usput vam se požalili nadajući se da ćete im dati dio novca za astronomski račun) dialer, program koji ih je na internet nekoliko dana za redom spajao preko telefonskoga broja u nekoj tihoceanskoj otočnoj državi. Vi, pak, sve okrenete na šalu, iako je očito da jedniku koji vam se došao požaliti nije do smijeha.

Do smijeha nije ni vama kad vam pružatelj usluge spajanja na internet, popularni ISP (Internet Service Provider), ispostavi poveći račun za tvrtku. Primjenjujući zamalo pa inkvizicijske metode, doznajete da neki zaposlenici skidaju filmove i ‘prže’ DVD-ove, dio njih razmjenjuje glazbene datoteke (u strahu za posao svatko je priznao koliko je potrošio ‘tog interneta’, a vi im iznos skidate s plaće), ali sve to, uz redovite djeletnosti od kojih tvrtka živi, nije dovoljno za promet iskazan na računu. Zbunjeni, platite ga, a onda, nakon nekoliko dana, na kavi u kafiću odmah do vaše tvrtke ugledate desetak tinejdžera s prijenosnim računalima i iz njihova čavljanja razabere te se tjednima spajaju na vašu bežičnu mrežu. Pozovete pravnika, no on vam savjetuje da se smirite i ne zovete policiju te da nikoga ne tužite jer ćete ispasti naivac, a i njegova satnica nije zanemariva. Sljedeći je poziv prijatelju, sada već ne tako bliskom (‘Nikoletino, da si odmah došao i odspojio to bez žica…!’), koji vas oslobađa i te muke (i usput tvrdi da je bežična mreža bila zaštićena, spominje neku enkripciju, kao i to da su klinici hakirali mrežu) te po tvrtki razvlači još nekoliko desetaka metara kabela.

Vaš novi direktor prodaje, kojemu ste kupili novi, šminkerski mobitel, i to samo kako biste imali pokriće da i sebi kupite takav, prošli je mjesec mobitelom napravio račun od čak pet znamenaka. Proučavate ispis nazvanih brojeva i poslanih SMS-ova, a jednik stenje od muke nakon prijetnji koje ste mu uputili, kune se svim najmilijima da ne zna za veći dio brojeva, pogotovo inozemnih. Nazovete Nikolou, a on uz pomoć svoje veze u mobilnom operatoru doznaje da su vašem direktoru najvjerojatnije hakeri provalili u mobitel i nazvali svu svoju rodbinu a da on to nije ni primijetio. I sve to zbog njegova glupog običaja da drži upaljenu Bluetooth vezu jer mu svijetli šminkerska plava dioda. Dok jadnika psujete, skriveći, ispod stola, gasite svoj stalno upaljeni Bluetooth.

Ozbiljni problemi stižu sa snijegom. Šef računovodstva javlja tajnici da je prehlađen, da ne može otkopati automobil iz snijega, trese ga groznica, promukao je i šapće, ali će raditi kod kuće, no zaboravio je svoju novu lozinku, pa mu ona pročita tu njegovu zaporku s ceduljice koju on drži zalijepljenu na zaslon. Doduše, svi ma je pomalo čudno kad taj isti čovjek stigne na posao petnaestak minuta kasnije zdrav i prav, ali nastavljaju raditi kao da se ništa nije dogodilo. Samo nekoliko dana nakon toga čudnog događaja primate poziv, baš kao na filmu. Glas je elektronički promijenjen i s užasom shvate da je riječ o ucjeni.

Nepoznati vam zaprijeti da će poreznoj upravi otkriti sve vaše smicalice i zaobilaznice kojima izbjegavate platiti porez, i to vam ilustrira podacima za koje znate da se nalaze samo u računalu šefa računovodstva. Ne platite li, prijeti da će podatke o vašem ‘kreativnom’ knjigovodstvu objaviti u novinama. Platite, no ostaje vam gorak okus, pogotovo kad vam ucjenjivač najavi da će vam olakšati plaćanje ucjene svojim sljedećim potezom, nakon čega za njega više nikada nećete čuti. Objasni vam da je zaporka šefa računovodstva doznao od tajnica i savjetuje vam da promijenite sve zaporke na svim računalima. I obriše vam cjelokupne poslovne knjige sa svih računala u računovodstvu.

Nadali ste se da ćete se na patentu koji pripremate već neko vrijeme obogatiti i proslaviti. No, od svojih ste veza dočuli da konkurentska tvrtka sprema potpuno istu stvar. Obnavljate stare veze i shvaćate da vas je konkurencija pokrala, možda upravo uz pomoć hakera ucjenjivača. Srećom, nacrti nisu potpuni – najvažniji je sklop ostao nacrtan u računalu u vašemu domu, a ona mo ste i slučajno prenijeli kopije svih nacrta iz uređa. Konkurencija, iako veća i jača od vas, ipak neće prije do patentnog uređa!

Pojurište kući, upalite računalo i pokušate pristupiti datotekama s nacrta, no zaključane su, a vi se ne sjećate da ste ih sami tako osigurali. U elektroničkom poštanskom sandučiću pronađete poruku – ucjenjivačko pismo. Očajni ste – cijena je veća od svoje koju imate, a ucjenjivač vam ovaj put daje samo nekoliko sati.

Srećom, sjetite se kreditnih kartica čijim računima barate uglavnom putem elektroničkoga bankarstva, no toliko gotovine morate osobno podići. Trčeci u banku, računate na koliko kartica morate ići u maksimalni minus. Službenica banke zamoli vas da se malo strpite, a za nekoliko minuta prilazi vam direktor poslovnice s dvojicom koja se predstave kao policajci. Pomislite da ste spašeni i počinjete im nesuvisto zahvaljivati, no oni se pogledaju i počnu vam objašnjavati da ste na svim svojim računima odjednom debelo u minusu zbog internetske kupnje i da vas oni zato moraju uhiti jer je svota tolika da je riječ o kaznenu djelu.

Tako doznajete da je s vaših kartica skinuta gomila novca, ali uvijek ispod svote koja zahtijeva autorizaciju, no ipak tolika da bi se njome mogao kupiti Ferrari te štošta drugo. Srećom, uza se imate putovnicu i pokazujete inspektorima da već dvije godine niste bili u inozemstvu. Oni, pak, odvraćaju da im za dokazivanje kradje s vaših računa treba vaše računalo, pa od dva zla birate manje – ispričate im i za najnoviju ucjenu…

Situacija krajnjeg očaja?! A sve ste nevolje mogli izbjeći za mnogo nižu cijenu.

Lijepo je biti na sigurnom i samo u novinama čitati o računalnom kriminalu (kao i o bilo kojem drugom) te razmišljati: ‘Meni se ovo sigurno ne može dogoditi.’ No, kao i kad je riječ o bilo kojoj drugoj vrsti kriminala u stvarnom svijetu, jednostavnim spajanjem na internet možete postati i žrtvom računalnog kriminala, čak mnogo lakše nego u Hrvatskoj. Jer, ne zaboravite, internet ima milijardu korisnika i, kao što bi bili i u gradu s toliko stanovnika, izgleda da naletite na kriminalca još su i veći jer su svi povezani sa svima.

Dok se neke nevolje iz našeg primjera s imaginarnom tvrtkom prilično lako rješavaju (gašenje i ponovno pokretanje računala svakih 60 sekunda posljedica je zaraze virusom MS Blaster, a rješava se instaliranjem jednog od paketa usluga za Windows XP), upravo one koje čak izgledaju krajnje glupo i jednostavno (tajnica koja zlom hakeru odaje zaporku), najteže se rješavaju.

Za njih je, naime, potrebno imati razrađenu sigurnosnu politiku u tvrtki. Kao što je to nedavno naglasio Goran Pizent, stručnjak za računalnu sigurnost iz tvrtke Eko bit, sigurnost se sastoji i od programa instaliranih na računalima tvrtke, ali i od niza postupaka koje zaposlenici moraju poznati. Najjednostavniji je primjer koji je on naveo bilo pitanje portira dvojici djelatnika koji iznose računalo iz tvrtke: ‘Dečki, kamo ćete s tim kompjutorom?’ Nije važno samo to što mora postojati neka fizička kontrola ulaza i izlaza iz tvrtke (portir), izjavio je Pizent, nego i ona dvojica moraju znati da to pitanje nije usmjereno protiv njih osobno, nego da je potpuno uobičajeno i da se mora postaviti, a dio je neke politike koja je propisana i vodi do višeg stupnja sigurnosti tvrtke.

Primjer s tajnicom koja odaje zaporku isti je kao onaj u kojem se u ulozi zlog hakera našao najpoznatiji haker na svijetu, Amerikanac Kevin Mitnick. Hakerska legenda kaže da Mitnick nije bio ništa posebno kao programer, ali da je bio iznimno vješt u društvenom inženjeringu. I upravo je tako, pozivom administratoru računalnog sustava u jednoj velikoj tvrtki, došao do zaporke za upad u njihov sustav. No, u našem bi slučaju podjednako kriv bio i šef računovodstva jer ju je ostavio na vidljivu mjestu, na samoljepljivu papiricu uz računalni zaslon.

Svi nabrojeni slučajevi ugrožavanja sigurnosti dobro su poznati stručnjacima, kao i crv Blaster, koji i nakon tri godine od izbijanja zaraze još negdje čući i vreba računala s Windowsima XP koja se na internet spajaju bez Service Packa 1. I spam, vjerovati ili ne, sigurnosna je prijetnja jer brojne neželjene poruke smanjuju učinkovitost zaposlenika, odvraćaju im pozornost s važnih stvari, pa i sigurnosnih pitanja.

I virusi, premda uglavnom više ne rade takve gadarije koje su u pravilu radili prije petnaestak ili dvadesetak godina (primjerice, brisanje svih datoteka s diska), u najmanju vas ruku mogu, kao u našem primjeru, obrukati pred poslovnim partnerima tako da dodete na glas osobe ili tvrtke kojoj nije stalo do klijenata i partnera jer dopušta napade virusa sa svojih strojeva upravo nepažnjom i neznanjem, što u očima napadnutih nije opravdanje.

Iako su bežične mreže danas svima dostupne i čine se dobro zaštićenima, malo bolji stručnjaci za sigurnost računalnih sustava sa zadovoljstvom će vas razuvjeriti tako da vam pokažu kako se uz pomoć svima dostupnog softvera može probiti mrežna zaštita, jednako kao i u slučaju Bluetootha. I opet, nije stvar (samo) u opremi, računalnoj i programskoj, nego u postavljanju politike, točnije – u ljudima. Vjerovati ili ne, čak vam ni klinici koji će uz pomoć vaše veze s interneta skiniti DVD filmove ili pomoću Bluetootha s mobitela nazvati rodbinu u Australiji nisu glavni problem.

Kao što je to nedavno u privatnom razgovoru istaknuo Ivica Ostojić, legenda računalne sigurnosti u nas: ‘A što ako vam se na mrežu ‘zakvaći’ kriminalac? Ili, nedajbože, pedofil? Pa kad vas Haramina (Ognjen Haramina, glavni cyber policajac u MUP-u, nap. a.) suoči s dokazima i pita što kažete na to, a vi mu odgovorite: ‘Nisam ja.’ A on će vam reći: ‘To kažu svi koje uhvatimo.’

Javna je tajna da se u određenim dijelovima Zagreba, kao što je to pokazalo lanjsko istraživanje jednog računalnog časopisa, možete bez problema ‘nakvačiti’ na bežične mreže desetaka tvrtki i, s obzirom na to da su potpuno nezaštićene, slobodno surfati na tudi račun. Utješno je da za sada to rade siromašni studenti. No samo je pitanje dana kad će netko među njima prijeći na ‘mračnu stranu’.

Dok se naznake rješavanja problema sa dialerima, zločudnim programima koji vam preusmjeravaju računalo da se uz pomoć modernog spaja preko Vanuatua ili Tuvalu, ovih dana naziru u prepućavanju telekomunikacijskog regulatora, koji je naložio T-HT-u da podmiri 90 posto tako nastalih računa svojih korisnika, problemi s ostalim malwareima ne pokazuju ih. Stoviše, te zločudne programe sva manje rabe hakeri da bi vam slali smeće u elektronički poštanski sandučić, a sve više pravi kriminalci, koji će vam, kao u našem primjeru, ukrašiti korisnička imena, PIN-ove, zaporke, a možda čak i ‘oteti’ računalo, točnije podatke na njemu učiniti vam nedostupnima.

Naravno, za svaku od ovih ‘boleštinu’ izmišljen je lijek. Postoje besplatni lijekovi, ali i oni su skupi; najčešće je riječ o radu onoga tko će se njima baviti svaki dan. Budući da svi znamo koliko je kod nas skup rad, tj. kolika su davna na plaću, a svi smo manje više iskusili kako je to kad se ‘tu’ dva softvera (primjerice, firewall i program za baratanje internetskim sadržajem), logično je da ćete se odlučiti za neko integralno rješenje. Prednost mu je što se njegove sastavnice ne ‘tu’, a isporučitelj ga najčešće i održava. Ima li što bolje za malu ili srednju tvrtku? I što je najbolje? Odgovore smo potražili u razgovoru s uglednim stručnjacima i donosimo ih na sljedećim stranicama.