Download pdf - Ekonomske Posledice Otkaza Ili Zloupotrebe Internet Tehnologije

8/2/2019 Ekonomske Posledice Otkaza Ili Zloupotrebe Internet Tehnologije

1/5

Ekonomske posledice otkaza ili zloupotrebe Internet tehnologije

direktni finansijski gubici kao posledica prevare

Zlonamerna osoba moe, npr., a prebaci izvesnu koliinu novca sa jenog rauna na rugi ili moe a

obrie poatke finansijske priroe.

gubljenje vrednih i poverljivih informacija

Mnoge organizacije memoriu i alju informacije, ija poverljivost je o najvede vanosti za njihovopostojanje. Ilegalan pristup takvim informacijama moe prouzrokovati znaajne finansijske gubitke ili

tete ruge vrste takvoj organizaciji.

gubljenje poslova zbog nedostupnosti servisa

E-servisi mogu biti neostupni u uem vremenskom periou ili u periou znaajnom za obavljanje

konkretnog posla, zbog napaa na sistem o strane zlonamernih osoba ili zbog sluajnih otkaza sistema.

neovladena upotreba resursa

Napaa koji ne pripaa organizaciji koju napaa moe neovladeno pristupiti nekim resursima njenog

raunarskog sistema i upotrebiti ih rai pribavljanja imovinske koristi.

gubljenje poslovnog ugleda i poverenja klijenata

Organizacija moe pretrpeti znaajne gubitke zbog loeg iskustva svojih klijenata ili zbog negativnog

publiciteta koji mogu biti posledica napada na njegov servis e-trgovine, ili ponaanja zlonamerne osobe

koja se predstavlja kao pripadnik te organizacije.

trokovi izazvani neizvesnim uslovima poslovanja

esti prekii funkcionisanja servisa, izazvani napaima spolja ili iznutra, grekama i sl. mogu paralisati

izvrenje poslovnih transakcija u znaajnom vremenskom periou. Npr., potvre transakcija koje ne

mogu a se prenesu komunikacionim kanalima, transakcije koje mogu biti blokirane o strane tredih lica

it. Finansijski gubici koje ovakvi uslovi poslovanja mogu izazvati mogu biti znaajni.

Potencijalne pretnje

infiltracija u sistemNeovladena osoba pristupa sistemu i u stanju je a moifikuje atoteke, otkriva

poverljive informacije i koristi resurse sistema na nelegitiman nain. U optem sluaju, infiltracija se

realizuje tako to se napaa prestavlja kao ovladeni korisnik ili koridenjem slabosti sistema (npr.

mogudnost izbegavanja provera ientiteta i sl.). Informaciju neophonu za infiltraciju, napaa obija

koristedi neku rugu vrstu napaa. Primeri takvih napaa su "umpster iving attack", ko koga napaa

dobija potrebnu informaciju pretraujudi korpu za otpatke svoje rtve, i "socijalni inenjering" ko koga

napaa obija neophonu informaciju primoravajudi na neki nain (ucena, pretnja i sl.) svoju rtvu a

mu je da.

prekoraenje ovladenja Lice ovladeno za koridenje sistema koristi ga na neovladeni nain. To je tip

pretnje koju ostvaruju kako napaai iznutra tako i napaai spolja. Napaai iznutra mogu a

zloupotrebljavaju sistem rai sticanja beneficija. Napaai spolja mogu a se infiltriraju u sistem preko

rauna sa manjim ovladenjima i nastaviti sa infiltracijom u sistem koristedi takav pristup rai

neovladenog proirenja korisnikih prava.

suplantacijaObino posle uspeno izvrene infiltracije u sistem, napaa ostavlja u njemu neki

program koji de mu omoguditi a olaka napae u buudnosti. Jena o vrsta suplantacije je upotreba

"trojanskog konja"to je softver koji se korisniku prestavlja kao normalan, ali koji prilikom izvrenja


2/5

otkriva poverljive informacije napaau. Npr., tekst procesor moe a kopira sve to ovladeni korisnik

unese u jenu tajnu atoteku kojoj moe a pristupi napaa.

prislukivanje Napaa moe a pristupi poverljivim informacijama (npr. lozinci za pristup sistemu)

prostim prislukivanjem protoka informacija u komunikacionoj mrei. Informacija obijena na ovaj nain

moe se iskoristiti rai olakavanja rugih vrsta napaa.

promena podataka na komunikacionoj linijiNapaa moe a promeni informaciju koja se prenosi krozkomunikacionu mreu. Npr., on moe namerno a menja podatke finansijske prirode za vreme njihovog

prenoenja kroz komunikacioni kanal, ili a se prestavi kao ovladeni server koji o ovladenog

korisnika zahteva poverljivu informaciju.

odbijanje servisaZbog estih zahteva za izvrenje sloenih zaataka izatih o strane neovladenih

korisnika sistema, servisi sistema mogu postati neostupni ovladenim korisnicima.

poricanje transakcijePosle izvrene transakcije, jena o strana moe a porie a se transakcija

ogoila. Iako ovakav ogaaj moe a nastupi usle greke, on uvek proizvoi konflikte koji se ne mogu

lako reiti.

Rizici i mere bezbednosti

zbog navedenih problema, korisnici koji koriste takve servise e-vlade mogu pretrpeti direktne ili

indirektne finansijske gubitke.

rizici koje sa sobom nosi upotreba e-vlae mogu se izbedi upotrebom ogovarajudih mera bezbenosti.

bezbedna e-vlada e-vlada kod koje se koriste bezbednosne procedure u skladu sa procenjenim

rizicima. Mere bezbenosti mogu biti tehnoloke i pravne.

tehnoloke mere bezbenosti:

autentikacija

poverljivost

integritet podataka

pravne mere bezbednosti

Ciljevi mera bezbednosti u IS

poverljivostobezbeuje neostupnost informacija neovladenim licima.

integritetobezbeuje konzistentnost poataka, spreavajudi neovladeno generisanje, promenu i

unitenje poataka.

dostupnostobezbeuje a ovladeni korisnici uvek mogu a koriste servise i a pristupe

informacijama.

upotreba sistema iskljuivo o strane ovladenih korisnika obezbeuje a se resursi sistema ne mogu

koristiti o strane neovladenih osoba niti na neovladen nain.

Mere zatite porazumevaju:

prevencijupreuzimanje preventivnih aktivnosti za zatitu poataka i raunarskih sistema o mogudeg

unitenja (ko pladanja npr. ifrovanje broja kreitne kartice).

detekcijuotkrivanje kako je naruena zatita, kaa je naruena i ko je naruio (ko e-pladanja npr.

listing svih transakcija u toku meseca uraenih atom kreitnom karticom).


3/5

reakciju preduzimanje aktivnosti koje dovode do restauracije podataka ili do restauracije raunarskog

sistema (kod e-vlae npr. blokiranje stare kartice i ponoenje zahteva za izavanje nove).

Bezbednost

glavne naune iscipline iji rezultati se koriste a bi se ostvarili pomenuti ciljevi su:

nauka o bezbenosti komunikacija oznaava zatitu informacija u toku prenosa iz jenog sistema udrugi.

nauka o bezbenosti u raunarima oznaava zatitu informacija unutar raunara ili sistema ona

obuhvata bezbednost operativnog sistema i softvera za manipulaciju bazama podataka.

Bezbednosni servisi

skup pravila koja se onose na sve aktivnosti organizacije u vezi sa bezbenodu- politika bezbednosti.

bezbednosni servisi - delovi sistema koji realizuju aktivnosti koje pariraju bezbednosnim pretnjama

(obino eluju na zahtev).

Vrste bezbednosnih servisa

autentifikacija - omogudava utvrivanje ientiteta korisnika:

neim to samo korisnik zna, kao to je lozinka,

neim to samo korisnik ima, kao to je kartica ili obeleje,

neim to samo korisnik jeste, kao to je potpis, glas, otisak prsta, snimak oka, geometrija ake,

fotografija lica..., to se sprovoi biometrijskim kontrolnim srestvima.

privatnost - spreava neautorizovani pristup poacima ili presretanje istih tokom komunikacijskog

procesa i ostvaruje se enkripcijom podataka.

integritet podataka - osigurava se izvornost poataka, onosno spreavanje promene poataka.

servis kontrole pristupa

servis za onemogudavanje poricanja transakcije

servis za onemogudavanje obijanja usluge

Alternative upotrebi PIN-a

zahvaljujudi velikoj memoriji inteligentnih kartica postoji i mogudnost a se umesto koridenja PIN-a

upotrebe alternativne identifikacione tehnologije.

ove alternative poznate su kao biometrike jer porazumevaju merenje nekih karakteristika koje su

posebne za svako ljudsko bide.

biometrijske identifikacije podrazumevaju: overu potpisom, otisak prstiju i dlana, geometriju ruke,

skeniranje one mrenjae, procenu glasovnog zapisa i zapis venskog obrasca.

Overa potpisom

postupak provere vizuelnog obrasca potpisa, je izuzetno sloen, a ulaganja u tehnologiju za taj nivo

provere je preskupo.

postoji oreeni broj karakteristika iniviualnog potpisa koje su jeinstvene i koje je mogude na

jenostavniji nain iskontrolisati. Te karakteristike su vezane za pritisak, relativnubrzinu i druge


4/5

inamike karakteristike u procesu pisanja. Jean o koridenih alternativnih pristupa je Verisign, koga je

razvila Nacionalna fizika laboratorija u Velikoj Britaniji. Procenat greaka ko ovog pristupa je ispo 1%.

Uporeivanje otisaka prstiju i dlana

ientifikacija korisnika se vri uzimanjem otiska prsta i porazumeva uporeenje sa otiskom prsta koji je

memorisan u kartici. Korisnik ubacuje svoju karticu u ljeb, a prst u naroito konstruisan otvor iznaljeba. Skeniranje se vri proputanjem svetlosnog zraka kroz sistem optikih objektiva i uporeivanjem

otiska sa deponovanim otiskom na kartici.

ientifikacija korisnika na osnovu uporeenja linija lana ruke naziva se overa otisaka lana.

Geometrija ruke

kao metoda provere identiteta vlasnika kartice moe a se koristi geometrija ruke, obzirom a se

pokazalo a je kombinacija uine pojeinih prstiju razliita o osobe o osobe.

ko ovog pristupa najpre se precizno postavlja ruka izna ekrana, zatim fotoelektrini ureaj, po

svetlodu visokog intenziteta, vri etekciju uine prstiju kao i njihovu provinost.

Skeniranje one mrenjae

ovaj pristup ientifikacije porazumeva koridenje ureaja za ientifikaciju obrasca one mrenjae.

Ureaji koriste svetlosne zrake niskog intenziteta za ispitivanje obrasca na stranjem ziu unutranjosti

oka. Pri tome se meri i zapisuje toplota koju emituju karakteristini obrasci krvnih suova u pozaini oka,

a bi se potom ovaj poatak igitalizovao i sklaitio na kartici.

Glasovna identifikacija

ovaj pristup ientifikaciji zasniva se na injenici a su glasovi osoba razliiti.

prilikom pristupa kartici, osoba ita u mikrofon naroito oabrane rei.

ovaj sistem konvertuje komponente frekvencije oreenih rei u igitalne signale koji se mogu

analizirati, meriti i memorisati za buude uporeenje.

ko ovog pristupa procenat greke je ispo 2,5%.

Venski obrasci

venski obrasci, odnosno venska provera je naziv sistema u kojem se koriste jednostavno infracrveno

skeniranje i tehnike kodiranja za analizu broja, relativne pozicije i veliine potkonih krvnih suova u

ljuskoj aci ili runom zglobu. Ko svakog oveka raspore razgranatih vena je takav a je uz pomod

tehnike mogude razlikovanje pojeinih osoba.

ovaj sistem je jo u fazi razvoja, ali se pokazuje da je u primeni vrlo jednostavan sa izuzetno malim

procentom greke.

Bezbednosni servisi

ispunjenje ovih pretpostavki osigurava se pre svega kriptografski, a time se postie i pravno valjani okaz

o inicijatoru, kao i o samoj transakciji.


5/5

tehnologije koje su se nametnule kao opte prihvadeno reenje za sigurnost e-transakcija, odnosno

realizaciju neporecivosti informacija su koncept Digitalnog potpisa i Public Key Infrastrukture (PKI).