Informacijska sigurnost

Informacije su postale najvrednijii kapital mnogih tvrtki koje ih na svaki način žele osigurati od svakoga neovlaštenog korištenja ili zloporabe. Zato zaštitara s opasnim psom i dvocijevkom koji sjedi ispred ekrana pokušavajući sačuvati trezor banke ili ulaz u zgradu koriste još samo scenaristi filmova B-produkcije. Sigurnost je danas nešto mnogo više.

Goran Oparnica, direktor tvrtke INsig2, objašnjava da, kad je riječ o informacijskoj sigurnosti, treba razlikovati dva pojma – safety i security. Općenito govoreći, safety su antivirusi programi, antispamovi, firewallovi i slično. Njima se utječe na nenamjerno djelovanje vanjskih čimbenika. Drugi je segment security, koji je mnogo jači, a obuhvaća zaštitu resursa od namjernog, ciljanog djelovanja neovlaštenih osoba. Oparnica velikim problemom smatra to što se oba pojma u Hrvatskoj prevode kao sigurnost.

• Antivirusni programi i firewallovi postali su nešto uobičajeno, što se podrazumijeva kao standardna oprema koju jednostavno morate imati. Tvrtke koje su se bavile informacijskom zaštitom prije deset godina, kada su se pojavili prvi firewall programi, susretale su se s problemima s kojima se danas sreću prodavači security rješenja.

Naime, ljudima je tada trebalo objasniti zašto je tvrtki potrebni softver koji se nalazi na jednom CD-u i to im naplatiti pet tisuća dolara. Ista je situacija danas, samo što su u nekim slučajevima svote mnogo veće – govori Oparnica.

S vremenom je stupanj informatizacije u tvrtkama jačao i danas je, pogotovo u financijskom sektoru, dosegnuo visoku razinu pa danas tvrtke većinu poslovnih podataka drže u različitim digitalnim oblicima na svojim računalima koji se štite raznim metodama. Najteže je protidati security rješenje. Naime, s jedne strane postoje napredna sigurnosna rješenja koja ne mogu funkcionirati sama za sebe, već tvrtka koja ih ugrađuje mora prihvatiti određene organizacijske promjene, dok su, s druge strane, na odlučnije položaju u tvrtki oni koji odlučuju o tome hoće li se nešto uvesti ili ne, ljudi koji nisu skloni promjenama. Ti su ljudi nerijetko pred mirovinom pa bi automatski, kad bi dali zeleno svjetlo nekom rješenju, sebe prijevremeno umirovili s obzirom na to da nisu kvalificirani za obavljanje novih funkcija u tvrtki koja dolaze zajedno sa sigurnosnim rješenjem. Njima je, naravno, jedino važno sačuvati svoj položaj do umirovljenja.

• U SAD-u, pogotovo nakon 2001., postoji trend da se sigurnošću poslovanja upravlja s jednog mjesta. Naime, više nije cilj zaštititi pojedine resurse, poput IT opreme, nekretnina, trezora ili pak novca koji se unutra nalazi. Cilj je zaštititi poslovne procese – govori Oparnica te na primjeru šalterskog poslovanja u banci objašnjava kako stvari stoje u praksi.

• Treba analizirati sve komponente u procesu (ljude na šalteru, one koji odlaze u trezor po novac i donose ga na šalter, osobu koja na kraju dana novac odnosi u trezor) i odlučiti što se mora napraviti da bi proces bio siguran. Tako je nastala funkcija direktora sigurnosti poslovanja za cijelu tvrtku, (eng. chief security officer – CSO ili chief information security officer – CISO). On mora znati prepoznati rizike, vrednovati ih kako bi procijenio koliko se novca isplati uložiti da bi se taj rizik otklonio – nastavlja Oparnica.

Ako danas u banci pitate što je za njih vrijedno, direktor marketinga reći će imidž, direktor trezora će istaknuti novac, a direktor informatike će stati na stranu informacija. Svi su oni u pravu, međutim, uvodnjem funkcije direktora sigurnosti poslovanja olakšana je procjena rizika od pljačke trezora, naoružanja imidža i rizika provale u IT sustav.

Kakvo je stanje u Hrvatskoj? Što je za pitanje sigurnosti u SAD-u bio događaj od 11. rujna, u Hrvatskoj je slučaj Ankice Lepej, službenice Zagrebačke banke koja je otkrila stanje računa tadašnje prve dame Ankice Tudman. Za neke je to bio dokaz građanske hrabrosti u borbi protiv tadašnjeg režima. Za bankarski sektor bio je to, pak, otporan za promjene i shvaćanje pojma informacijske sigurnosti. Lepej nije promijenila nešto u modelima vođenja biznisa u hrvatskim tvrtkama; nije nikoga navela da predloži: ‘Idemo sada i mi kupiti IT opremu i slično’, nego je vodeće ljude u financijskom sektoru navela na razmišljanje: ‘Što u svojoj organizaciji možemo napraviti kako bismo uvijek znali tko pristupa podacima, kada im pristupa i, u slučaju da neka informacija procuri van, kako se vratiti nekoliko koraka unatrag i otkriti tko je te podatke odao?’ Došli su do zaključka da bankarska, odnosno poslovna tajna vrlo lako može postati javna. To je najveći pomak u Hrvatskoj. I najviše ga je prihvatio bankarski sektor koji je na toj pogrešci naučio lekciju.

No čini se da drugi sektori čekaju novu pogrešku da bi se pokrenuli. Ipak, stvari idu nabolje. Hrvoje Šegudović, konzultant za sigurnost i direktor tvrtke Infigo IS, prve koja se u Hrvatskoj specijalizirala isključivo za informacijsku sigurnost, smatra da velike hrvatske tvrtke polako shvaćaju kako je upravljanje informacijskom sigurnošću nužan uvjet za uspješno poslovanje i zaštitu ključnih poslovnih resursa. Prije svega, informacijska sigurnost (više) nije stvar IT-a, već je temelj za uspješno poslovanje u cijelosti. Prekid u poslovanju, curenje poslovnih (i državnih) tajni, provale u poslovne sustave mogu nanijeti ozbiljne štete prije svega poslovoj strani. Za razliku od velikih tvrtki, male zasad rijetko uočavaju korist od efikasnog upravljanja sigurnošću, kod njih je u trendu kupnja hardvera, a mjere sigurnosti svode se na kupnju antivirusa, vatrozida. Stručnjaci savjetuju da dobar sustav ne znači i skup sustav te da se tvrtke prije uvođenja trebaju pitati: Što gubimo ako mi netko ukrade informaciju?

• Prije uvođenja sustava netko u tvrtki najprije nam treba objasniti potencijalne opasnosti. Ne možemo jednostavno reći da nam treba sustav od 10 milijuna eura, kupiti ga i onda se osjećati supersigurno. Važno je znati što zapravo štitimo. Ako kupite fiću, nećete u njega staviti alarm od pet tisuća eura, a ako kupite mercedes S-klase, naravno da ćete u njega staviti najmoderniji sustav zaštite. Tako je i s tvrtkama – kazuje Oparnica.

Ključna su komponenta sigurnosne infrastrukture u hrvatskim tvrtkama autentifikacijski sustavi. Želite li koristiti računalo ili pročitati elektroničku poštu, morate se prijaviti, identificirati. To činite tako da upišete korisničko ime i lozinku. Tako funkcioniraju sustavi autentifikacije, samo se umjesto upisivanja lozinke kroz sustav provlači pametna čip-kartica. Višefunkcionalne pametne kartice tehnološka su osnovica, sigurno spremište za digitalne certifikate, ključeve za šifriranje, generalno za digitalni identitet svog vlasnika. Sadrže kontaktne sučelje za logički pristup (kartice koje se stavlja u računalo) i beskontaktno sučelje za fizički pristup (kartice koje se približe čitaču za otvaranje vrata). Cilj oba pristupa jest nedvosmislena identifikacija korisnika sustava i prema tome raspolažanje njegovim podacima/imovinom.

Poslovanje bez interneta danas je nezamislivo, a od opasnosti koje vrebaju s globalne mreže treba se nekako zaštimiti. Na tržištu postoje tvrtke koje pružaju usluge dizajna, izgradnje i održavanja sigurnosne razine računalnih mreža nudići rješenja svjetskih brendova poput Cisca, ali i domaćih rješenja. Na tržištu su se pojavila i softverska rješenja koja su svojevrsni produžetak digitalnih nadzornih kamera, pa one mogu same ‘prepoznati’ neke situacije i tako smanjiti broj potrebnih zaštitara, a čime se opet sprječava najveća opasnost – fizički pristup neovlaštenim osobama do računala. OnQuard, softversko rješenje američke tvrtke Lenel koju zastupa INsig2, jedinstveno je na tržištu. Oparnica ga uspoređuje s Windowsima jer kao što oni pogone hardver u računalu, tako OnQuard pogoni različite hardverske uređaje od kojih se sastoji sustav sigurnosti. To mogu biti kamere, čitači kartica, senzori za vatru, vodu i slično. Funkcije su brojne.

Primjerice, softver povezuje sustav fizičke kontrole prolaza i sustav prilaza računala u situaciji kada direktor tvrtke nije došao na posao, a netko je sjedio na njegov PC i prijavio se pod njegovim korisničkim imenom i lozinkom te radi na mreži. Ako sustav fizičke kontrole kretanja nije povezan sa sustavom pristupa računala, takav incident ne može se detektirati. No ako su povezani, prije nego što dopusti pristup računalu, može točno provjeriti tko je sjedio za računalo i zatim odlučiti hoće li mu dopustiti pristup informacijama. Softver prepoznaje objekte prema boji, veličini i obliku. Može prepoznati okrugle objekte, kvadrate, pravokutnike, položene predmete, uspravne, crvene, žute. Ta funkcija omogućuje kameri da prepozna različite scenarije, odnosno radi li se o čovjeku ili o nečem drugom. Trenutačno se radi na razvijanju prepoznavanja zvuka, što će omogućiti da se s uđenog mjesta analizira tko razgovara u prostoriji. To je budućnost securityja. U Hrvatskoj je tri godine i prodaje se u 15 komada. Logično se nameće pitanje: Koliko sustav može smanjiti broj zaštitara?

• Može smanjiti broj zaštitara, ali ih ne može ukloniti. Sustav ima određeni stupanj inteligencije. Tako, primjerice, da bi se pratišlo sto kamera, ne treba 10 zaštitara od kojih svaki prati rad jedne kamere. Umjesto njih imate jednog zaštitara koji ne treba pratiti ništa. U trenutku kad se dogodi incidentna situacija, sustav će, najčešće SMS porukom, obavijesti zaštitara da se nešto sumnjivo događa npr. u sektoru xy i njegov je zadatak to provjeriti – objašnjava Oparnica i iznosi neke pojedinosti o programu.

• Softver je modularan. Može se kupiti već za 500 eura, a ima ih i do nekoliko milijuna eura. Bitno je znati što štitimo, jedno računalo ili cijelu tvrtku – zaključio je Oparnica. Uz softver OnQuard na tržištu postoji nekoliko distributera pametnih kamera. Najdalje je otišao Sony, čije pametne mrežne kamere mogu prepoznati da je neki predmet ostavljen, primjerice, u zračnoj luci i to dojaviti operateru. Sony je prvi u svijetu uveo sustav digitalnog potpisivanja videozapisa koji vrši pametna mrežna kamera, čime je omogućeno dokazivanje autentičnosti izvora s kojeg je snimljen videozapis i provjera integriteta sadržaja s kamere, a sve je to otvorilo mogućnost stavljanja videonadzora u zakonsku regulativu. Kamere se mogu kupiti i u Hrvatskoj.

Ne treba zanemariti ni sustave enkripcije diska računala da bi se zaštitili od radoznalih pogleda konkurencije (industrijska špionaza), ali i vlastitih zaposlenika. Također, treba se osigurati i od eventualnog gubitka računala, što je sve češća pojava.

Primjerice, samo u londonskim taksijima na godinu se zaboravi više od tri tisuće prijenosnih računala i gotovo pet tisuća ručnih računala (PDA, pocket PC i sl). Gubitak ili krada poslovnih tajni, ugovora, informacija o pregovorima i slično tvrtkama mogu prouzročiti milijunske štete. Upravo zbog toga svaka tvrtka koja se brine o informacijskoj sigurnosti mora posebnu pozornost posvetiti šifriranju diskova računala. Između različitih zaštitnih mehanizama posebno je važna enkripcija, odnosno šifriranje sadržaja tvrdog diska prijenosnih računala. Enkripcijom diska podaci na prijenosnom računalu u slučaju krađe ili gubitka nalazniku postaju beskorisni, a maksimalna šteta za tvrtku jest gubitak računala.

Postoje različita komercijalna rješenja za enkripciju (prijenosnih) računala koja se razlikuju po svojim svojstvima. Pri odabiru optimalnog rješenja za tvrtku posebnu pozornost valja posvetiti kriptografskom algoritmu koji se koristi za enkripciju (npr. DES, 3DES, IDEA itd.), načinu enkripcije (enkripcija cijelog diska ili enkripcija na razini datoteke/mapa) te načinu upravljanja ključevima (datotečni sustav, pametne kartice, USB, recovery ključevi i sl). Odabir optimalnog rješenja ovisi o specifičnim potrebama tvrtke, broju prijenosnih računala koje treba zaštititi, o raspoloživom proračunu – objašnjava Šegudović.

Enkripcija sama po sebi ne treba biti velik trošak jer svaki Windows operativni sustav ima određeno rješenje za enkripciju. U Microsoftu Hrvatska rekli su nam da je unatoč svim hardverskim i softverskim rješenjima njihova preporuka fizička zaštita (čitaj: pobrini se da računalo stalno bude pod nadzorom i da ga ne izgubiš).

Za kraj, Šegudović ističe da se enkripcijom može postići visoka razina zaštite, no ako se enkripcijskim ključevima ne upravlja pravilno (npr. trivijalni slučaj zaboravljene lozinke), sadržaj kompletne tvrdog diska može biti nepovratno izgubljen i za korisnika. Zbog toga, posebno u korporativnom okruženju, prije instaliranja takvih sigurnosnih kontrola, odnosno odabira pojedine tehnologije, prije svega treba procijeniti rizike na temelju poslovnih zahtjeva, definirati odgovarajuće pravilnike i postaviti korporativni standard(e) i tek onda sustavno pristupiti enkripciji sadržaja prijenosnih, ali i drugih osjetljivih računala.