upravljanje sigurnoŠĆu informacijskih sustava - seminar

SVEUČILIŠTE U RIJECIFAKULTET ZA MENADŽMENT U TURIZMU I UGOSTITELJSTVU, OPATIJA

UPRAVLJANJE SIGURNOŠĆU INFORMACIJSKIH SUSTAVA

OPATIJA, 2012.

SVEUČILIŠTE U RIJECIFAKULTET ZA MENADŽMENT U TURIZMU I UGOSTITELJSTVU, OPATIJA

UPRAVLJANJE SIGURNOŠĆU INFORMACIJSKIH SUSTAVASEMINARSKI RAD

Kolegij: Sigurnost informacijskih sustava Studenti: Marina Mihalić 20377/09 Nositelj kolegija: Doc. dr. sc. Ljubica Pilepić Margareta Šudar 20248/09

Nikola Medved 20266/09Status: Redoviti studenti

OPATIJA, 2012

SADRŽAJ

UVOD..............................................................................................................................................1

1. VAŽNOST UPRAVLJANJA SIGURNOŠĆU INFORMACIJA............................................2

1.1. Osnovni pojmovi...........................................................................................................3

1.2. Informacijska sigurnost.................................................................................................4

1.3. Sigurnost informacijskih sustava...................................................................................5

1.4. Principi sigurnosti informacijskih sustava....................................................................6

2. SIGURNOSNA POLITIKA.....................................................................................................7

2.1. Povjerljivost...................................................................................................................8

2.1.1. Hakeri........................................................................................................................9

2.1.2. Lažno predstavljanje..................................................................................................9

2.1.3. Lokalna mreža...........................................................................................................9

2.1.4. Trojanski konji...........................................................................................................9

2.2. Integritet......................................................................................................................10

2.2.1. Dodjeljivanje pristupa na temelju potreba...............................................................10

2.2.2. Razdvajanje obaveza...............................................................................................10

2.2.3. Rotiranje obaveza....................................................................................................11

2.3. Dostupnost...................................................................................................................11

3. SIGURNOSNI ALATI...........................................................................................................13

3.1. Rootkit alati.................................................................................................................13

3.2. Antivirusni alati...........................................................................................................14

3.3. VPN Alati....................................................................................................................15

3.4. Alati za provjeru ranjivosti..........................................................................................16

3.4.1. OVAL......................................................................................................................16

3.4.2. Fuzzler alati.............................................................................................................17

3.5. Sustavi za detekciju neovlaštenog pristupa.................................................................17

ZAKLJUČAK................................................................................................................................19

POPIS LITERATURE...................................................................................................................20

I

UVOD

Učestalost napada na informacijske sustave tvrtki i institucija koji sadrže povjerljive i/ili osjetljive podatke, pokazala je potrebu za propisivanjem pravila kojima će se zaštititi materijalne i intelektualne vrijednosti neke organizacije. Jasno je da napade nije moguće predvidjeti, a ponekad niti spriječiti, ali moguće je poduzeti sve mjere opreza kako bi se šteta koju je napad prouzročio smanjila na najmanju moguću razinu.

Unatoč velikom trudu sigurnosnih organizacija, proizvođača, timova za rješavanje incidenata te raznih vladinih organizacija, gotovo svaki programski proizvod sadrži brojne sigurnosne ranjivosti. Radi se o nekom nedostatku u programu ili sustavu koji zlonamjernom korisniku može pružiti mogućnost narušavanja sigurnosti sustava ili informacija. Nedostatak može uključivati pogrešku u kodu, implementaciji, rukovanju podacima, protokolima i mnoge druge probleme.

Cilj seminarskog rada je bio prikazati na koji se način može upravljati sigurnošću informacijskih sustava, te što je upravljanje informaijskih sustava. Svrha rada je prikazati baratanje pojmovima iz područja informaijske tehnologije.

Rad je koncipiran na način da se uz uvod i zaključak sastoji od tri glavna dijela. Prvi dio govori o važnosti upravljanja informacijskim sustavima, kroz četiri podpoglavlja. Prvo podpoglavlje posvećeno je osnovnim pojmovima iz te tematike, drugo podpoglavlje o informacijskoj sigurnosti, treće o sigurnosti informacijskih sustava i četvrto o principima sigurnosti informacijskih sustava.

Drugi glavni dio naslovljen je sigurnosna politika i govori što je sigurnosna politika, zašto je važna za upravljanje sigurnošću informacijskih sustava, i koju činitelji sigurnosne politike. Drugi je dio nadalje rasčlanjen na tri podpoglavlja od koji je svaki posvećen jednom od činitelja sigurnosne politike, a to su dostupnost, integritet i povjerljivost.

Treći glavni dio posvećen je sigurnosnim alatima koji su usko vezani uz upravljanje sigurnošću informacijskih sustava. Poglavlje je dalje rasčlanjeno na pet manjih dijelova koji govore o rootkit alatima, odnosno alatima koji štete sigurnosti informacijskih sustava, o antivirusnim alatima, dakle alatima za zaštitu i uništavanje virusa, zatim o VPN alatina, odnosno alatima za siguran mrežni prijenos informacija, nakon čega se spoinju alati koji provjeravaju ranjivost informacijskih sustava, i na kraju su navedeni sustavi za detekciju neovlaštenog pristupa.

Znanstvene metode koje su korištene pri izradi seminarskog rada su metoda deskripcije, metoda komparacije, povijesna metoda te iduktivna i deduktivna metoda.

1

1. VAŽNOST UPRAVLJANJA SIGURNOŠĆU INFORMACIJA

U današnjem konkurentskom okruženju, zahtjevi i očekivanja svih zainteresiranih strana za boljim i kvalitetnijim proizvodima i uslugama se neprestano povisuju. S tim rastu očekivanja i potrebe za informacijama kao pokretačkim snagama svake organizacije. Kod korisnika se povećava potreba za osiguravanjem raspoloživosti, povjerljivosti i cjelovitosti informacija, koje se pojavljuju u najrazličitijim oblicima.

S ovisnošću o informacijskim tehnologijama povećavaju se i prijetnje i ranjivosti, kojima su izloženi informacijski izvori, što neupitno utječe ne povećanje informacijskih rizika. Značajka sustava upravljanja sigurnošću informacija je u upravljanju rizicima. Samaprovedba ocjenjivanja rizika organizaciji omogućuje prepoznavanje rizika s kojima sesusreće. Upravljanje rizicima označava odabir i uvođenje primjerenih sigurnosnih kontrola (eng. Control) i mjera kojima se rizici smanjuju na prihvatljivu razinu.

Sustav upravljanja sigurnošću informacija po zahtjevima norme ISO/IEC 27001 sadrži glavne elemente odnosno zahtjeve kao i ostali sustavi upravljanja kvalitetom, okolišem i sigurnošću na radu. Zahtjevi najvažnijih elemenata, kao što su: upravljanje dokumentima i zapisima, odgovornost uprave, unutrašnje prosudbe, upravna ocjena i neprekidno poboljšavanje, uključujući preventivne i korektivne radnje, nema smisla (unutar iste organizacije) voditi odvojeno jer se međusobno dopunjuju i tvore jedinstven integriran sustav upravljanja.

Upravljanje informacijskom sigurnošću sve se više prepoznaje kao poslovna potreba. Također, upravljanje informacijskom sigurnošću u poslovanju, sve češće, direktno ili indirektno nameću i razni regulatorni propisi.

Upravljanje rizikom je proces kroz koji se potvrđuje poslovna opravdanost odabirasigurnosnih rješenja i kontrola koje ce osigurati dovoljnu razinu sigurnosti. Također, proces upravljanja rizikom omogućuje razvoj strategije i postavljanje ciljeva u područjuinformacijske sigurnosti.

Upravljanje rizikom uključuje tri procesa:

- procjenu rizika,- umanjivanje rizika,- evaluaciju rizika.

Upravljanje rizikom je proces koji IT menadžerima omogućuje stvaranje ravnoteže između operativnog i ekonomskog troška zaštitnih mjera te dobiti koja se ostvaruje zaštitom informacijskih sustava i podataka koji se na njih oslanjaju. Dobro strukturirana metodologija upravljanja rizikom je jedan od ključnih faktora pri odabiru prikladnih sigurnosnih kontrola koje osiguravaju kontinuirano odvijanje poslovnih procesa.

2

1.1. Osnovni pojmovi

Terminom informacija opisat ćemo obavijest, poruku, vijest, podatak, tekst ili broj koji za korisnika ima neko značenje, koji smanjuje njegovu neizvjesnost, nesigurnost i neznanje. Informacija može biti i slika neke scene ili scena sama, osjet topline, okusa, mirisa i opipa, no u poslovanju je većina informacija u pisanom obliku.1

Uz termin podatak (za razliku od informacije) ne vežemo značenje. Stoga se uglavnom ugovori o računalskoj obradi podataka, a ne o računalnoj obradi informacija, jer za računalo unesene numeričke veličine i tekstovi nemaju nekog značenja. I čovjek dok računa (npr.) koeficijent korelacije i pri tome množi, zbraja i dijeli, promatra veličine s kojima radi kao podatke, tj. ne pridaje im neko značenje i ne analizira ih. No koeficijent korelacije izračunat iz tih podataka prihvaća kao informaciju, jer mu ovaj koeficijent pokazuje povezanost između dvije karakteristike ili pojave koje taj čovjek proučava.2

Informacijski sustav možemo opisati kroz odgovor na tri pitanja: što mu je cilj, koje su mu funkcije i od čega se sastoji postoji lakonska, ali adekvatna definicija koja kaže da je cilj informacijskog sustava dostaviti pravu informaciju na pravo mjesto u organizaciji, u pravo vrijeme i uz minimalne troškove.3

Informacijski sustav u principu obavlja četiri temeljne funkcije. To su:

1. prikupljanje podataka,2. obrada podataka,3. pohranjivanje podataka i informacija, 4. dostavljanje podataka i informacija korisnicima.4

Računalna se sigurnost može promatrati trgovinom, a s obzirom na cijenu te sigurnosti samo si najbogatije tvrtke mogu priuštiti zaštitu od svih rizika (ako je to uopće i moguće). Umjesto plaćanja visoke cijene potpune sigurnosti, većina tvrtki balansira sa cijenom zaštite i rizikom od moguće posljedice. Proces analize računalnog sustava i donošenja i donošenja odluke o načinu zaštite naziva se analiza rizika, a nivo prihvatljivosti sigurnosnog rizika tvrtke naziva se prihvatljivi rizik.

Svaki proces analize rizika moguće je opisati trima pojmovima, to su: prijetnja, ranjivost i protumjere.

Prijetnja je moguća šteta na računalnom sustavu. Šteta može biti posljedica djelovanja osobe, stvari ili događaja koji može napasti računalni sustav.

1 Birolla, H. i dr.: Poslovna informatika, Zagreb, 1996., str.50.2 Ibidem, 50.3 Srića, V. i dr.: Menedžer i informacijski sustavi, Zagreb, 1994., str.17.4 Ibidem, 17.

3

Ranjivost je točka gdje je računalni sustav podložan napadu. Prijetnja je konkretna namjera ispitivanja ranjivosti računalnog sustava.

Protumjere su tehnike zaštite računalnog sustava.5

1.2. Informacijska sigurnost

Informacija je imovina i kao takvu ju je potrebno prikladno zaštititi, kako bi se omogućilo normalno poslovanje organizacije. Taj zahtjev postaje sve važniji zbog distribuiranosti poslovne okoline, jer su u takvom okruženju informacije izložene većem broju prijetnji i ranjivosti. Bez obzira u kojem je obliku pohranjena informacija, ona uvijek mora biti prikladno zaštićena.

Pod pojmom informacijske sigurnosti podrazumijeva se zaštita informacija od velikog broja prijetnji, kako bi se osigurao poslovni kontinuitet, smanjio rizik, te povećao broj poslovnih prilika i povrat od investicija. Informacijska sigurnost se postiže primjenom odgovarajućih kontrola, koje se odnose na sigurnosnu politiku, procese, procedure, strukturu organizacije i funkcije sklopovske i programske opreme. Navedene kontrole je potrebno osmisliti, implementirati, nadzirati, pregledavati i poboljšavati kako bi se osiguralo ispunjenje poslovnih i sigurnosnih zahtjeva organizacije.

Definiranje, implementacija, održavanje i poboljšavanje informacijske sigurnosti može biti od presudne važnosti kako bi se ostvarila i zadržala konkurentnost, osigurao dotok novca i profitabilnost, kako bi se zadovoljile zakonske norme i osigurao poslovni ugled.

Organizacije se suočavaju s brojnim sigurnosnim prijetnjama poput računalnih prijevara, špijunaže, sabotaže, vandalizma, požara, poplave i sl. Šteta nanesena organizaciji u obliku zloćudnog koda, računalnog hakiranja i uskraćivanja usluge je sve prisutnija pojava.

Informacijska sigurnost je jednako važna javnim i privatnim organizacijama. Povezanost javnih i privatnih računalnih mreža i dijeljenje informacija otežavaju kontrolu pristupa informacijama. U takvim uvjetima oblici centralizirane kontrole nisu učinkoviti. Upravljanje informacijskom sigurnošću zahtjeva sudjelovanje svih zaposlenika organizacije, a često je potrebna pomoć konzultanta izvan granica organizacije.

Informacijska sigurnost može se promatrati kao način razmišljanja, beskonačan proces, upravljanje rizikom, jamstvo poslovnog uspjeha i odgovornost svakog zaposlenika.

Informacijska sigurnost sastoji se od dva kontrolna cilja, a to su: unutarnja organizacija i vanjski suradnici. Kontrolni cilj koji se odnosi na unutarnju organizaciju opisuje upravljanje sigurnošću unutar organizacije. Od uprave se očekuje da odobri sigurnosnu politiku, dodijeli sigurnosne uloge i koordinira implementaciju sigurnosnih mehanizama unutar organizacije. Često je korisno

5 Bača, M.: Uvod u računalnu sigurnost, Zagreb,2004., str.137.

4

surađivati sa specijalistima na području računalne sigurnosti izvan organizacije i poticati multidisciplinarni pristup računalnoj sigurnosti.

Organizacija treba zatražiti nezavisno ispitivanje sustava upravljanja sigurnošću informacija. Za sve zaposlenike organizacije potrebno je utemeljiti odgovarajuće odgovornosti, te inicirati potpisivanje sporazuma o povjerljivosti kako bi se zaštitile kritične informacije. Potrebno je omogućiti koordinaciju predstavnika različitih dijelova organizacije u cilju boljeg funkcioniranja sustava upravljanja sigurnošću informacija.

Kod suradnje s vanjskim strankama zahtjeva se identifikacija rizika kojeg donosi takva suradnja i usvajanje prakse i procedura za smanjenje vjerojatnosti pojave sigurnosnihincidenata. Nadalje, potrebno je zaštititi sve resurse kojima pristupaju korisnici neke od usluga organizacije. Potrebno je definirati jasne sporazume prilikom suradnje s trećom stranom. Takvi sporazumi trebaju uključivati odgovornost treće strane, zaštitu resursa kojima pristupa treća strana, prikladan proces prijave incidenata, ukoliko do njih dođe i sl.

1.3. Sigurnost informacijskih sustava

Sigurnost informacijskih sustava obuhvaća primjenu mjera za zaštitu podataka koji su u obradi, ili su pohranjeni, ili je u tijeku njihov prijenos, od gubitka povjerljivosti, cjelovitosti i raspoloživosti, te radi sprječavanja gubitaka cjelovitosti ili raspoloživosti samih sustava. Sigurnosne mjere uključuju mehanizme i procedure koje trebaju biti implementirane u svrhu odvraćanja, prevencije, detektiranja i oporavka od utjecaja incidenata koji djeluju na povjerljivost, cjelovitost i raspoloživost podataka i pratećih sustavnih servisa i resursa, uključujući i izvještavanje o sigurnosnim incidentima.

Sigurnost informacijskih sustava je dinamičan proces tijekom cijelog životnog ciklusa sustava te se on treba razmatrati od faze njegovog planiranja, razvoja, provedbe, operativnosti, rasta do rashodovanja i uništavanja prema potrebi. To je zapravo proces upravljanja rizikom koji se koristi za procjenu, nadgledanje, ukidanje, izbjegavanje, prijenos ili prihvaćanje rizika. Općenito se može reci da sigurnost informacijskih sustava obuhvaća sve što i informacijska sigurnost u širem smislu, samo primijenjeno u užim tehnološkim okvirima.

Glavni ciljevi u istraživanju računalne sigurnosti su:

- ispitivanje sigurnosnih rizika u računarstvu- razmatranje raspoloživih zaštitnih mjera i kontrola- stimuliranje razmišljanja o neotkrivenim ranjivostima i prijetnjama- identifikacija područja u kojima se zahtjeva više rada na postizanju bolje sigurnosti.

5

1.4. Principi sigurnosti informacijskih sustava

Organizacija za ekonomsku suradnju i razvoj (engl. The Organisation for Economic Cooperation and Development - OEDC ) je ustanovila 9 principa sigurnosti informacijskih sustava:

- svijest o informacijskoj sigurnosti- važno je biti svjestan potrebe za sigurnošću informacijskih sustava i zaštitnim sigurnosnim mjerama.

- odgovornost - svi članovi organizacije su odgovorni za sigurnost informacijskih sustava.- odziv - svi članovi organizacije trebaju pravovremeno i kooperativno sudjelovati u

sprječavanju, detekciji i rješavanju sigurnosnih incidenata.- etika - svi članovi organizacije trebaju postupati respektivno prema legitimnim interesima

ostalih.- demokracija - sigurnost informacijskih sustava treba biti u skladu s pravilima

demokratskog društva- procjena rizika - potrebno je provoditi procjene rizika.- dizajn i implementacija sigurnosnih mjera - sigurnosne kontrole trebaju biti sastavni dio

informacijskih sustava.- upravljanje sigurnošću - organizacija treba uspostaviti jasan pristup upravljanju

sigurnošću.- promjene - organizacija treba redovito nadzirati sustav informacijske sigurnosti i izvoditi

potrebno modifikacije sigurnosnih politika, mjera, procedura i sl

6

2. SIGURNOSNA POLITIKA

Informacijski sustavi sadrže podatke kojima se služe ovlašteni korisnici i koji služe kako bi korisnicima bilo omogućeno korištenje sustavom (ime identifikacije, lozinka itd.). Budući da takvi podaci ne smiju biti javno dostupni (moraju biti tajni), ne smiju biti mijenjani bez odobrenja i ne smiju biti nedostupni korisnicima, važno je provesti određene korake sigurnosti kako bi navedeni uvjeti uvijek bili zadovoljeni.

Sigurnosna politika je skup pravila, smjernica i postupaka koja definiraju na koji način informacijski sustav učiniti sigurnim i kako zaštititi njegove tehnološke i informacijske vrijednosti. Ona govori korisnicima što smiju raditi, što ne smiju raditi, što moraju raditi i koja je njihova odgovornost (određuje sankcije ukoliko se korisnik ne pridržava pravila određenih sigurnosnom politikom). Politikom ne određujemo na koji način zaštiti informacijski sustav već samo što zaštititi. Svakodnevnim razvojem tehnologija otkrivaju se i nove metode kojima je moguće ugroziti sustav. Stoga definiranje općenite sigurnosne politike za informacijske sustave nije moguće i jednom napisana politika mora se redovito pregledavati, mijenjati i nadopunjavati kada se za tim ukaže potreba.

Sigurnosnom politikom definirana su pravila koja se odnose na:

a) svu računalnu opremu institucije (hardver i softver),b) osobe odgovorne za administraciju informacijskog sustava,c) sve zaposlenike i korisnike sustava, odnosno osobe koje imaju pravo pristupa,d) vanjske suradnike (npr. ovlaštene djelatnike zadužene za održavanje sustava).

Sigurnosnom politikom obuhvaćaju se široka područja sigurnosnih mjera, ali nisu svi dijelovi politike potrebni pojedinim skupinama korisnika. Na primjer, zaposlenici koji koriste sustav ne trebaju znati dio politike koji se odnosi na sigurnost tehničke opreme ili onaj dio namijenjen vanjskim suradnicima. Stoga je preporučljivo sigurnosnu politiku pisati u više dijelova.

Korisnici, kojima je sigurnosna politika namijenjena, često nemaju strpljenja čitati mnoštvo stranica teksta. Oni uglavnom imaju vrlo mala znanja o tehnologijama koje koriste pri radu i zbog toga je nužno definirati sigurnosnu politiku tako da bude kratka i jasna, napisana na način da ju korisnici mogu razumjeti. Politiku napisanu opširno i stručnim jezikom običan korisnik ne razumije i površno ju ili nikako ne analizira, pa je stoga ne može niti primijeniti.

Nakon definiranja sigurnosne politike važno je osigurati da se pravila koja su definirana sigurnosnom politikom provode i poštuju. Kako bi se to postiglo bitno je svakom korisniku sustava dati na znanje da je sigurnosna politika uvedena i upoznati ga s njegovim dužnostima. Postoji više načina kako korisnike upoznati sa sigurnosnom politikom, npr. dijeljenjem dokumenta politike ili objavljivanjem sigurnosne politike na web stranicama kompanije.

7

Sigurnost informacijskih sustava bazira se na ljudima. Tehnologijom nije moguće u potpunosti osigurati sigurnost sustava i stoga je važno uvesti dodatne mjere, a prvi korak k tome je definiranje sigurnosne politike. Primarna uloga sigurnosne politike je određivanje prihvatljivog i neprihvatljivog načina ponašanja kako bi zaštitili vrijednosti informacijskog sustava, uključujuć i opremu (eng. hardware), programsku podršku (eng. software) i podatke.

Na temelju pravila definiranih u dokumentu, njen je zadatak osigurati tri jedinstvena svojstva informacija:

1) povjerljivost (tajnost),2) integritet,3) dostupnost.

2.1. Povjerljivost

Povjerljivost je zaštita podataka koje sadrži sustav od neovlaštenog pristupa. Iako je opće mišljenje da je ovaj tip zaštite od najveće važnosti za državne institucije i vojsku jer svoje planove i mogućnosti moraju čuvati tajnu od mogućih neprijatelja, ono također može biti značajno za kompanije koje imaju potrebu zaštititi poslovne planove i informacijske vrijednosti od konkurencije ili kako bi zaštitili podatke od neovlaštenog pristupa. Problemima privatnosti, koji u zadnjih par godina privlače sve više interesa, posvećuje se sve više pažnje, kako u državnim institucijama tako i u privatnom sektoru. Ključni aspekt povjerljivosti je identifikacija korisnika i provjera autentičnosti.

Identifikacija je proces prijave korisnika na sustav, pri čemu sustav zna da takav korisnik postoji. Na primjer, korisnik A želi se prijaviti na sustav. Sustav provjeri da li je korisnik A prijavljen na sustav i ako je tada slijedi proces provjere autentičnosti. Provjera autentičnosti je proces kojim sustav želi biti siguran da je korisnik koji se prijavljuje pod imenom A upravo osoba A.

Postoji više načina provjere autentičnosti. Najrašireniji je unos lozinke, ali se i sve više razvija tehnička oprema koja jedinstvene ljudske osobine, poput otiska prsta ili mrežnice oka pretvara u digitalne signale. Na primjer, kako bi sustav provjerio da li je korisnik koji se pokušava prijaviti kao osoba A upravo ta osoba, može pri prijavi tražiti od korisnika A određenu lozinku koju zna samo osoba A. Ako korisnik A pošalje upravo tu lozinku, sustav zna da je korisnik upravo osoba A. U suprotnom, korisnik nije osoba A te mu sustav ne dozvoljava korištenje sustava. Povjerljivost može biti narušena na nekoliko načina. Navedene su najčešće prijetnje povjerljivosti:

1) hakeri2) lažno predstavljanje3) neovlaštena aktivnost 4) nezaštićeno preuzimanje podataka5) trojanski konji itd.

8

2.1.1. Hakeri.

Hakeri su osobe koje koriste sigurnosne slabosti sustava na način da neovlašteno koriste sustav ili ga onesposobe. Mnogi hakeri, osim sigurnosnih slabosti sustava, koriste i metode otkrivanja lozinki ovlaštenih korisnika. Naime, lozinke koje su riječi koje se nalaze u rječniku ili često korištene lozinke, iskusnijim hakerima pomoću programske podrške vrlo lako je otkriti. Otkrivanjem lozinke korisnika haker se prijavljuje na sustav kao ovlašteni korisnik i vrlo jednostavno obavlja kopiranje, brisanje ili mijenjanje podataka, ili ih kopira na lokacije s kojih su dostupni odrđenom krugu ljudi ili čak svim korisnicima Interneta. Iz tih razloga aktivnost hakera predstavlja veliku opasnost povjerljivosti informacija.

2.1.2. Lažno predstavljanje

Lažno predstavljanje je prijetnja u kojoj korisnik preko lozinke drugog korisnika dobiva mogućnost pristupa sustavu pod drugim imenom, te mu se na taj način „otvaraju vrata“ za obavljanje zlonamjernih radnji. Lažno predstavljanje je čest slučaj u kompanijama koje dozvoljavaju korisnicima da razmjenjuju lozinke. Neovlaštena aktivnost. Ovaj tip aktivnosti događa se kad ovlašteni korisnik sustava koristi podatke za koje nema ovlasti. Nedovoljna kontrola pristupa i zaštita podataka omogućuju neovlašten pristup, što može ugroziti njihovu povjerljivost.

Kopiranje podataka na nezaštićene lokacije. Kopiranje podataka može ugroziti njihovu povjerljivost ukoliko se podaci kopiraju na sustav s nedovoljnom sigurnosnom zaštitom. Primjer ove vrste prijetnje je kopiranje podataka sustava na lokacije sustava koje nemaju adekvatnu razinu zaštite. Ukoliko do kopiranih podataka pristup imaju ostali ovlašteni korisnici sustava njihova je tajnost ugrožena.

2.1.3. Lokalna mreža.

Lokalna mreža predstavlja prijetnju jer podaci koji putuju mrežom mogu biti dohvaćeni u svakom čvoru mreže. Kako bi se izbjegla ova vrsta prijetnje svi tajni podaci koji bi smjeli biti dostupni samo u određenim čvorovima moraju biti kriptirani kako bi njihova povjerljivost ostala neupitna.

2.1.4. Trojanski konji.

Trojanski konj je vrsta aplikacije koja može izazvati vrlo velike štete sustavima. Primjer trojanskog konja je aplikacija instalirana na računalo sustava nakon što ga nesvjesno pokrene ovlašteni korisnik, te je tako programirana da kopira podatke na nezaštićene dijelove sustava. Jednom pokrenut, trojanski konj ostaje aktivan na sustavu i konstantno obavlja programirane zadatke.

9

2.2. Integritet

Integritet predstavlja zaštitu podataka od namjernog ili slučajnog neovlaštenog mijenjanja. Dodatni element integriteta jest zaštita procesa ili programa kako bi se onemogućilo neovlašteno mijenjanje podataka. Glavni zahtjev komercijalnih i državnih institucija jest osigurati integritet podataka kako bi se izbjegle zlouporabe i greške. To je imperativ kako korisnici ne bi mogli mijenjati podatke na način da ih izbrišu, promjene ili učine ključne podatke nesigurnima. Primjeri gdje je integritet podataka od ključne važnosti su sustav za kontrolu leta, sustavi u medicinskim ustanovama, sustavi u financijskim ustanovama itd.

Ključni elementi za postizanje integriteta podataka su identifikacija i provjera autentičnosti korisnika. Budući integritet ovisi o kontroli pristupa, važno je pozitivno i jedinstveno utvrditi identičnost svih korisnika prijavljenih na sustav.

Kao i povjerljivost, integritet može biti ugrožen od hakera, lažnog predstavljanja, neovlaštenih aktivnosti i nedozvoljenih programa (virusi, trojanski konji) jer sve navedene aktivnosti mogu dovesti do neovlaštenog mijenjanja podataka.

Osnovni principi za kontrolu integriteta:

a) dodjeljivanje pristupa na temelju potreba,b) razdvajanje obaveza,c) rotiranje obaveza.

2.2.1. Dodjeljivanje pristupa na temelju potreba.

Korisnici bi trebali dobiti pristup samo onim podacima koji su im potrebni kako bi mogli obavljati zadane poslove. Korisnikov pristup ključnim podacima trebao bi biti dodatno ograničen kvalitetno definiranim transakcijama koje osiguravaju da korisnik podatke može mijenjati u strogo kontroliranim uvjetima kako bi se sačuvao integritet podataka. Bitan element kvalitetno definiranih transakcija je bilježenje podataka o mijenjanju podataka (tko, kada i koje podatke) kako bi se moglo utvrditi da li su podaci ispravno mijenjani odovlaštene osobe. Kako bi bile djelotvorne, transakcije bi trebale dopuštati izmjenu podataka samo od unaprijed odabranih programa. Odabrani programi moraju biti ispitani kako bi se izbjegla neovlaštena aktivnost.

Kako bi korisnici mogli uspješno koristiti sustav, privilegija pristupa mora biti razumno raspodijeljena kako bi se omogućila potrebna operativna fleksibilnost. Dodjeljivanje pristupa na temelju potreba ima zadaću osigurati maksimalnu kontrolu uz minimalno ograničavanje korisnika.

2.2.2. Razdvajanje obaveza

Kako bi se osiguralo da niti jedan pojedinac nema kontrolu transakcije od početka do kraja, dvoje ili više ljudi moralo bi biti odgovorno za obavljanje njezinog izvršavanja. Jedan od načina razdvajanja obaveza je da se svima koji imaju dozvolu za kreiranje transakcije ukine

10

pravo izvršavanja transakcija. Time se sprječava da se transakcije koriste za obavljanje vlastitih interesa, osim ukoliko se suglase sve odgovorne osobe.

2.2.3. Rotiranje obaveza

Radne obaveze pojedinih zaposlenika trebale bi se periodično mijenjati kako bi kontroliranje transakcija za osobne potrebe bilo još kompliciranije. Ovaj princip je efektivan u kombinaciji s razdvajanjem obaveza. Problem u rotiranju obaveza se obično javlja u organizacijama s ograničenim brojem kvalificiranog kadra.

2.3. Dostupnost

Dostupnost je garancija ovlaštenim korisnicima sustava da će im sustav biti raspoloživ u svakom trenutku kad za njim imaju potrebu.

Dva su najčešća uzroka neraspoloživosti sustava:

a) odbijanje usluge (eng. Denial Of Service) b) gubitak mogućnosti obrade podataka.

Odbijanje usluge (DoS) svaki je zlonamjeran napad kojem je cilj uskraćivanje legitimnim korisnicima mogučnost pristupa (Internet) uslugama (npr. web poslužitelj).

Napad odbijanja usluge možemo podijeliti u dvije kategorije:

1. Ranjivost poslužitelja na napade odbijanja usluge: napadi koji iskorištavaju poznate greške (propuste) u operacijskim sustavima i poslužiteljima. Ovi napadi koriste se za „rušenje“ programa. Na taj način uskraćuju se usluge (servisi) koji ti programi pružaju. Primjeri ranjivih operacijskih sustava uključuju sve sustave, kao što su na primjer Windows NT ili Linux, također i različite poslužitelje kao što su DNS ili Microsoft`s IIS Server. Svi ovi programi, koji imaju važnu i korisnu funkciju, posjeduju programske propuste (eng. bug) koje hakeri koriste kako bi ih „srušili“ ili hakirali. Ovakvi tipovi napada odbijanja usluge obično dolaze s jednog računala koji traže propuste u programima kako bi obavili napad. Ukoliko je propust uočen, počinje napad odbijanja usluge s ciljem uskraćivanja usluge ovlaštenim korisnicima. Za ovakav tip napada nije potreban širokopojasni (brzi) pristup Internetu.

2. Napad odbijanja usluge poplavom paketa: napadi koji iskorištavaju slabosti infrastrukture Interneta i njegovih protokola. Poplavom naizgled normalnih paketa iskorištavaju se resursi programa (poslužitelja). Na taj način uskraćuju se usluge legitimnim korisnicima. Za razliku od prve kategorije napada, u ovom slučaju napadač za uspješan napad mora imati širokopojasni pristup Internetu. Bolje od korištenja vlastite infrastrukture za počinjene napada (napad s vlastitog računala; ovakav napad je lakše detektirati), napadači preferiraju izvršavanje napada s računala posrednika (zombie računala) koje napadač već kontrolira (na zombie računala obavi se napad prije DoS napada). Napadač kontrolira zombie računala i u određenom trenutku s njih pokreće napad. Ovakav napad naziva se raspodijeljeni napad odbijanja usluge (eng.

11

distributed DoS – DdoS). Ovakvom tipu napada naročito je teško ući u trag i teško se obraniti od ovakvog napada.

Gubitak mogućnosti obrade podataka može biti rezultat prirodnih katastrofa ili destruktivnog djelovanja ljudi na sustav. Prirodnim katastrofama poput potresa ili požara može doći do oštećenja opreme, pa tako i podataka pohranjenih na sustavu, pri čemu je trenutno onemogućeno funkcioniranje sustava. čovjek može na informacijski sustav destruktivno djelovati slučajnim ili namjernim destruktivnim radnjama.

Sigurnosne mjere kojima osiguravamo dostupnost dijelimo na:

a) fizičke,b) tehničke,c) administrativne

Fizičke mjere - uključuju kontrolu pristupa koja sprječava neovlaštenim osobama pristup sklopovlju informacijskog sustava, protupožarnim sustavima, sustavima za kontrolu temperature prostorija itd.

Tehničke mjere - sprječavaju nefunkcioniranje sustava koje uzrokuje kvar opreme raznim mjerama poput zrcaljenja diskova, tj. više diskova sadrži iste informacije – ako se jedan pokvari, njegovu funkciju preuzima drugi. Jedna od mjera je konstantna provjera rada aplikacija – ako aplikacija ne izvršava zadatke ona se automatski ponovno pokreće. Tehničke mjere također sadrže mehanizme oporavka nakon nestanka struje (automatski se pokreće sekundarno napajanje), automatsko kreiranje kopija podataka itd

Administrativne mjere - uključuju kontrolu pristupa, kontrolu izvršavanja procedura i educiranje korisnika. Odgovarajuća osposobljenost programera i sigurnosnih stručnjaka također je bitan faktor dostupnosti sustava. Na primjer, ostane li prilikom kontrole sustava baza podataka zaključana, korisnici se ne mogu koristiti podacima koje ona sadrži, tj. sustav postaje nedostupan.

12

3. SIGURNOSNI ALATI

U vrijeme kada je potrebno voditi sve više računa o sigurnosti na Internetu zbog velikog broja zlonamjernih korisnika, korištenje alata za provjeru ranjivosti postalo je učestalo u velikom broju organizacija. Korisnici osobnih računala često nisu svjesni svih prijetnji koje dolaze s Interneta. Većina korisnika upotrebljava neki antivirusni program kojem prepušta svu zaštitu sustava. Problem se javlja kada sustav napadne neki od zlonamjernih programa koje antivirusni alati ne mogu detektirati. Jedna od takvih prijetnji je rootkit program.

3.1. Rootkit alati

Rootkit čini jedan ili više programa dizajniranih za skrivanje dokaza da je napadnuti sustav ugrožen. Napadači ga koriste kako bi zamijenili osnovne izvršne datoteke u svrhu skrivanja zlonamjernih procesa i instaliranih, zlonamjernih datoteka. Obično svoje postojanje na sustavu skrivaju izbjegavanjem standardnog sigurnosnog skeniranja ili mehanizama poput anti-virusnih i anti-spyware alata.6

Ovi programi mogu postojati i kao legalne aplikacije koje nisu namijenjene preuzimanju kontrole nad ugroženim sustavom. Ipak zadnjih godina pojavljuju se kao programi koji pomažu napadačima ostvariti pristup sustavu izbjegavajući detekciju. Rootkit programi postoje za razne operacijske sustave poput „Microsoft Windows“, „Linux“, „Mac OS“ i „Solaris“.

Uspješno instaliran rootkit program omogućava neautoriziranim korisnicima preuzimanje i zadržavanje potpune kontrole nad ugroženim sustavima. Najčešće skrivaju zlonamjerne datoteke, procese, mrežne veze, blokove memorije ili vrijednosti registra od drugih programa koje administratori sustava koriste za detekciju posebno privilegiranog pristupa resursima računala.

Kao jedna od osnovnih zaštita od opisanih prijetnji rootkit tehnologija razvijeni su razni anti-rootkit programi. Njihov se rad zasniva na skupu sigurnosnih alata koji omogućuju otkrivanje skrivenih datoteka, mrežnih priključaka, procesa i sl.

Skeniranjem liste procesa moguće je lako uočiti koji od njih zauzima ogromne količine resursa računala što je jedno od osnovnih obilježja većine zlonamjernih programa. Usporedno s razvojem brojnih tehnika skrivanja rada rootkit programa razvijane su i tehnike koje omogućuju njihovo pouzdanije otkrivanje.

Četiri su metode: Metoda detekcije temeljena na potpisima, metoda detekcije temeljena na ponašanju, Cross view metoda, Detekcija temeljena na integritetu.7

Metode detekcije temeljene na potpisima godinama se već koriste kod antivirusnih programa. Koncept je vrlo jednostavan, a uključuje skeniranje datoteka kako bi se otkrio niz koji predstavlja tzv. otisak jedinstven za neki određeni rootkit program.

6 <http://www.cis.hr/www.edicija/LinkedDocuments/NCERT-PUBDOC-2010-01-287.pdf>, preuzeto 31.12.2012.7 <http://www.cis.hr/www.edicija/LinkedDocuments/NCERT-PUBDOC-2010-01-287.pdf>, preuzeto 31.12.2012.

13

Ukoliko detekcija temeljena na potpisima nije uspješno otkrila postojanje rootkit programa, moguće je iskoristiti detekciju temeljenu na ponašanju (eng. heuristic detections). Rad ovih metoda zasniva se na prepoznavanju odstupanja u uobičajenom ponašanju sustava, kao i u provjeravanju uzoraka iz sustava

„Cross view“ detekcija predstavlja metodu koja je vođena pretpostavkom da je sustav ugrožen.

Funkcioniranje se zasniva na sljedećem:

1. Pozivaju se API funkcije kako bi se dobili rezultati o pokrenutim procesima, skrivenim datotekama i sl. 2. Posebnim postupkom radi se provjera istih podataka na nižem sloju, ne koristeći API funkcije. 3. Rezultati se uspoređuju kako bi se otkrila odstupanja, tj. moguće postojanje rootkitprograma.

Detekcija temeljena na integritetu pruža alternativu detekciji putem potpisa i ponašanja. Obavlja se usporedbom trenutne slike datotečnog sustava ili memorije s već poznatom povjerljivom inačicom. Svaka razlika među njima uzima se kao moguća zlonamjerna radnja.

3.2. Antivirusni alati

Iako sama riječ antivirus u sebi sadrži virus, koji predstavlja jedan od prvih oblika zloćudnih programa, antivirusni alati danas se koriste i za uklanjanje drugih vrsta zloćudnih programa poput crva ili trojanskih konja. Neki od ovih alata sprječavaju, pa čak i uklanjaju razne vrste spyware programa te programa za reklamiranje raznih proizvoda.8

Iako je osnovna funkcionalnost antivirusnih alata iznimno korisna i predstavlja jednu od osnovnih linija obrane protiv zlonamjernih programa, oni često znatno utječu na performanse računala na kojem su pokrenuti. Razlog tome najčešće je loš i neučinkovit dizajn antivirusnih programa. Također, neiskusni korisnici često imaju probleme sa razumijevanjem rada antivirusnih alata pa ne reagiraju na odgovarajući način kada se od njih traži interakcija sa alatom.

Kao što je već spomenuto, postoji nekoliko različitih tehnika detekcije zloćudnih programa:

1. Detekcija bazirana na potpisima. Ovo je najčešća metoda detekcije zloćudnih programa, a svodi se na uspoređivanje sadržaja datoteka na računalu sa potpisima već pronađenih virusa pohranjenih u bazi antivirusnog alata. Budući da se virusi mogu ubaciti bilo gdje unutar zaražene datoteke, pretraživanje se obavlja u svim dijelovima ispitivane datoteke.

2. Detekcija zlonamjernog ponašanja. Kod ovog pristupa antivirusni alat bilježi sve promjene koje se događaju na sustavu prilikom normalnog rada računala. Ukoliko se

8 <http://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2009-07-269.pdf>, preuzeto 02.01.2013.

14

neka od aktivnosti raznih programa okarakterizira kao zlonamjerna, antivirus može upotrijebiti neke od drugih tehnika kao bi pobliže ispitao program koji je obavljao takve aktivnosti ili obavijestiti korisnika.

3. Heuristička detekcija. Baš kao i detekcija zlonamjernog ponašanja, heuristička detekcija koristi se raznim metodama kako bi otkrila do sada neotkrivene oblike zlonamjernih programa. To se najčešće postiže detaljnom analizom sumnjivih datoteka ili emulacijom rada istih.

Zlonamjerni programi svakim danom postaju sve složeniji i sofisticiraniji, te ih je teže otkriti i spriječiti u izvršavanju zloćudnih aktivnosti. Antivirusne kompanije razvijaju nove, naprednije, tehnologije kako bi se uspjele nositi sa najnovijim oblicima zlonamjernih programa. Da bi se utvrdila uspješnost novih tehnologija važno je antivirusne alate redovito ispitivati i evaluirati njihovu kvalitetu. Da bi se izbjegli nekvalitetni testovi potrebno je postaviti standarde struke prema kojima će se svi ravnati i koje će poštivati. Upravo na ovom osjetljivom i važnom području ispitivanja antivirusnih alata takve smjernice dugo nisu postojale. To je bio jedan od glavnih razloga nastanka brojnih loše dizajniranih testova koji su korisnike često krivo informirali i tako im u biti odmagali prilikom odabira antivirusnog alata.9

3.3. VPN Alati

U vremenu globalne povezanosti Internet je postao gotovo najbitniji način komunikacije između korisnika. Virtualna privatna mreža (VPN) predstavlja komunikacijski sustav koji koristi infrastrukturu Interneta za prilagodljiv i ekonomičan prijenos podataka između udaljenih ili virtualnih ureda, te djelatnika koji se putem kućnih računala povezuju u privatnu računalnu mrežu.

VPN (eng. virtual private network) je tehnologija koja omogućava siguran prijenos potencijalno osjetljivih informacija (podaci/govor/video) preko nesigurnih mreža. VPN uspostavlja „tunel“ za komunikaciju sa središnjom lokacijom, a za uspostavu sigurne komunikacije koriste se različiti kriptografski algoritmi.10

Postoje dva osnovna tipa VPN-a:

1. Site-to-Site – primjer ovakvog povezivanja je podružnica tvrtke koja ima potrebu stalnog ili povremenog povezivanja s glavnom lokacijom

2. Remote access VPN – koristi se povremeno za spajanje pojedinačnih korisnika na poslužitelj tvrtke s mobilnih telefona ili ukoliko djelatnik tvrtke radi od kuće

Osnovna prednost korištenja ovakvog oblika komunikacije je cijena. S jedne strane tvrtka može koristiti skupe iznajmljene linije prema željenim lokacijama ili može primijeniti neka od brojnih VPN rješenja koja danas postoje na tržištu. Neke od tih tehnologija su potpuno besplatne i

9 <http://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2009-07-269.pdf>, preuzeto 02.01.2013.10 <http://www.cis.hr/www.edicija/LinkedDocuments/NCERT-PUBDOC-2010-04-298.pdf>, preuzeto 02.01.2013.

15

jednostavne za korištenje, dok druge zahtijevaju znatna financijska sredstva i stručno osoblje koje će administrirati takve sustave.

Programski paket OpenVPN je realiziran pod Open Source GNU licencom i moguće ga je koristiti na različitim operacijskim sustavima. Tako je, između ostalog, podržan na Mac OS, FreeBSD, NetBSD, Linux, Solaris i Windows platformama, a radi se i na inačici OpenVPN PocketPC za mobilne uređaje.

Zaštita podataka koji se razmjenjuju prilikom korištenja OpenVPN-a ostvaruje se enkripcijom i zaštitom integriteta podataka. Za enkripciju se koriste različiti simetrični i asimetrični algoritmi, dok se za zaštitu integriteta poruka koriste funkcije za izračunavanje sažetka.

3.4. Alati za provjeru ranjivosti

Nessus je programski alat koji se koristi za postupke provjere ranjivosti (eng. vulnerability scanning) koji se provode u svrhu određivanja sigurnosnih nedostataka testiranih računala i mreža. Nessus se sastoji od klijenta i poslužitelja pri čemu su raspoložive besplatne inačice za Windows, Mac OS X, Linux, Solaris i FreeBSD operacijske sustave. Na tržištu je dostupan velik broj sličnih alata koji omogućuju provjeru ranjivosti udaljenih i lokalnih računala, ali Nessus nosi titulu vodećeg alata na ovom području. Velik broj korisnika sudjeluje u razvoju paketa, tako da je omogućeno i redovito osvježavanje popisa ranjivosti, tj. stvaranje modula za ispitivanje novih sigurnosnih propusta.

Nessus programski paket danas je zasigurno jedan od najpopularnijih alata za provjeru ranjivosti u računalnim sustavima. Program se odlikuje brojnim kvalitetama, a jedna od njih svakako je i njegova modularnost, koja korisnicima omogućuje da sami osmišljavaju, kreiraju i pokreću vlastite testove prilagođene ispitivanju pojedinih ranjivosti. Skriptni jezik u kojem se pišu moduli za Nessus programski paket zove se NASL (engl. Nessus Attack Scripting Language), i u potpunosti je prilagođen izradi modula za provjeru ranjivosti kako bi se cijeli postupak učinio što jednostavnijim i efikasnijim. 11

NASL programski jezik je alat koji korisnicima omogućuje jednostavnu i brzu izradu modula za provjeru ranjivosti korištenjem Nesssus programskog paketa.

3.4.1. OVAL

Drugi alat je OVAL. Sve do razvoja OVAL (eng. Open Vulnerability and Assessment Language) standarda nije postojao standardizirani način otkrivanja ranjivosti programa i konfiguracijskih problema krajnjim korisnicima ili administratorima sustava. Iako su mnoge informacije bile dostupne u tekstualnom obliku iz izvora koji analiziraju ranjivosti, takva dostupnost informacija zahtijevala je mnogo vremena i rada kako bi se detektirao te kasnije uklonio određeni problem. Godine 2005. izdana je prva inačica OVAL jezika, standardnog jezika za stvaranje OVAL definicija pohranjenih u OVAL repozitorij. Cilj standarda je definiranje


16

ispravnog stanja sustava te usporedba s trenutnim stanjem s ciljem otkrivanja sigurnosnih propusta. Zahvaljujući velikom broju korisnika koji sudjeluju u razvoju jezika i definicija OVAL standard doživio je široku primjenu i brz razvoj.12

3.4.2. Fuzzler alati

Fuzzing je dobro poznata i provjerena tehnika pronalaženja ranjivosti, odnosno sigurnosnih propusta u različitim programskim rješenjima. Primjenom fuzzing tehnike aplikaciju se testira tako da se na jedan ili više podatkovnih ulaza šalju različiti unosi koji bi mogli uzrokovati nepredvidivo ponašanje programa, odnosno ukazati na potencijalni sigurnosni nedostatak. Iznimnu popularnost u posljednje je vrijeme stekla tehnika fuzzinga nad klijentskim aplikacijama, postupak koji omogućuje identifikaciju sigurnosnih propusta unutar različitih klijentskih programa kao što su Web preglednici, klijenti za pregledavanje elektroničke pošte, media playeri i sl.

Otkrivanje i analiza novih sigurnosnih propusta vrlo su važni postupci u okviru unaprjeđenja sigurnosti računalnih sustava. Većina sigurnosnih propusta posljedica su različitih grešaka i nepravilnosti u programskom kodu, koje neovlašteni korisnici vrlo vješto koriste za neovlašteni pristup sustavu. Samim time pravovremeno otkrivanje ranjivosti sigurnosnim stručnjacima omogućuje poduzimanje odgovarajućih preventivnih mjera koje će zlonamjernim korisnicima onemogućiti provođenje malicioznih aktivnosti. 13

3.5. Sustavi za detekciju neovlaštenog pristupa

Sustavi za otkrivanje neovlaštenog upada (eng. Intrusion Detection Systems) namijenjeni su uočavanju neuobičajenih i/ili nedozvoljenih aktivnosti na računalnim sustavima. Među IDS sustavima osnovna je podjela na NIDS (eng. Network-based IDS) sustave za detekciju neovlaštenih aktivnosti u mreži te HIDS (eng. Host-based IDS) sustave za detekciju neovlaštenih aktivnosti na lokalnom sustavu. Lokalni sustavi neovlaštene upade otkrivaju nadzorom datotečnog sustava, dnevničkih zapisa, dolaznih i odlaznih zahtjeva za uspostavljanjem veze te analizama na razini jezgre operacijskog sustava.

OSSEC HIDS (Open Soure Host IDS) je besplatan alat, otvorenog programskog koda, namijenjen detekciji neovlaštenog pristupa. Provodi analizu dnevničkih zapisa i provjeru integriteta datoteka, prati Windows registry zapisnik, detektira zlonamjerne programe kao što su rootkit programi, generira uzbune i obavlja unaprijed definirane akcije. Može se koristiti na jednom računalu ili više njih (npr. u slučaju administracije nekoliko sustava), Na taj je način moguće pratiti nekoliko sustava iz jedne središnje točke. OSSEC je namijenjen većini popularnih operacijskih sustava, kao što su Linux (Slackware, Ubuntu, Red Hat, Suse, Fedora, Debian), OpenBSD, FreeBSD, MacOS, Solaris i Windows (2000, XP i 2003).14

12 <http://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2009-01-251.pdf>, preuzeto 03.01.2013.13 <http://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2005-10-138.pdf>, preuzeto 03.01.2013.14 <http://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2008-03-222.pdf>, preuzeto 03.01.2013.

17

Sprečavanje neovlaštenih aktivnosti (eng. Intrusion prevention) predstavlja jednu od tehnologija koja omogućava podizanje sigurnosti sustava. Razvojem i uporabom sve naprednijih metoda napada na računalne sustave, pojavljuje se potreba za kombinacijom različitih sustava i alata, koji ispravno podešeni i održavani omogućavaju održavanje potrebne razine sigurnosti. Naime, postojeći mrežni vatrozidi (eng. Network Firewalls) i sustavi za detekciju neovlaštenih aktivnosti – IDS (eng. Intrusion Detection Systems) mogu razdvajati mrežni promet na dozvoljeni i nedozvoljeni. Međutim, oni uglavnom postaju nemoćni u slučaju kriptiranog mrežnog prometa, budući da ne mogu analizirati sadržaj mrežnih paketa i na osnovi provedene analize sprečavati zlonamjerne aktivnosti u stvarnom vremenu. Sljedeći problem javlja se kod preklapanih mreža (eng. switched networks) gdje bi trebalo postaviti veliki broj agenata koji bi omogućili praćenje mrežnog prometa na svim njenim segmentima. I na kraju, IDS alati javljaju veliki broj lažnih napada na sustav, čime otežavaju praćenje i nadgledanje prometa i aktivnosti. Sustavi za sprečavanje neovlaštenih aktivnosti – IPS (eng. Intrusion Prevention Systems) sposobni su prepoznati poznate, ali i određene nepoznate napade te onemogućiti iste prije nego dođu do računala prema kojima su bili usmjereni.15

ZAKLJUČAK

Iz svega iznesenog može se zaključiti da se svakim danom javlja sve veći broj potencijalnih prijetnji, kako za korisnike osobnih računala, tako i za velike informacijske sustave. Zaštita podataka nužna je u bilo kojem okruženju pa je zato potrebno primijeniti


18

odgovarajuće mjere zaštite. Kroz vrijeme se pokazalo da zaštita uobičajenim alatima većinom nije dovoljna kako bi se spriječilo nanošenje štete. Informacijski sustavi sadrže veliku količinu povjerljivih podataka, npr. podaci o građanima, bankovnim računima, tvrtkama, proizvodima, itd.

Razmatranjem potencijalnih prijetnji svaka će organizacija doći do jednakog zaključka - podatke je potrebno zaštititi. Međutim, uvođenje sigurnosne politike može biti skup i dugotrajan proces u kojem je potrebno prilagoditi sve dijelove organizacije da rade sinkronizirano. Usporedbom uloženog i dobivenog, rezultat je sasvim jasan, sigurnosna politika je dobro ulaganje. Tvrtkama i institucijama preporuča se uvođenje sigurnosne politike radi podizanja razine sigurnosti kako informacijskog sustava, tako i korisnika istog.

Republika Hrvatska ima dobar i suvremen zakon o zaštiti osobnih podataka usklađen s propisima Europske zajednice. Postojanjem i neovisnošću Agencije za zaštitu osobnih podataka postoje i temeljni uvjeti za provedbu Zakona. No, za puno ostvarenje i provedbu svih propisa i namjera zakonodavca potrebno je puno prilagodbe svih organizacija koje prikupljaju i obrađuju osobne podatke. Potrebno je i intenzivno, temeljito, profesionalno obrazovanje ne samo voditelja zbirki osobnih podataka već rukovoditelja na svim razinama i tijela državne uprave i lokalne i regionalne samouprave, ali i brojnih trgovačkih društava i neprofitnih organizacija.

POPIS LITERATURE

1. Bača, M., Uvod u računalnu sigurnost, Narodne novine d.d., 2004, Zagreb.

2. Birolla, H., i dr.. Poslovna informatika, Carski Husar, 1996, Zagreb.

19

3. Srića, V., i dr., Menedžer i informacijski sustavi, Poslovna knjiga d.o.o., 1994, Zagreb.

Web izvori:

1. http://www.cis.hr/www.edicija/LinkedDocuments/CCERT-PUBDOC-2005-10-138.pdf, preuzeto 03.01.2013.






7. http://www.cis.hr/www.edicija/LinkedDocuments/NCERT-PUBDOC-2010-01-287.pdf, preuzeto 31.12.2012.

8. http://www.cis.hr/www.edicija/LinkedDocuments/NCERT-PUBDOC-2010-04-298.pdf, preuzeto 02.01.2013.

20