IT sigurnost u vladinim I medjunarodnim organizacijamaMr.sci
Gorjan DamjanovicMr.sci Ilhan MuratovicMr.sci Alma Damjanovic
Potovane Dame i Gospodo, Dobar dan.Moje ime je Gorjan Damjanovi
i dolazim iz organizacije za zabranu hemijskog naoruanja, OPCW.,
Den Haag, Nizozemska.It sigurnost u vladinim i medjunarodnim
internacionalnim organizacijama je tema ovog rada kojeg cu
prezentovati u narednih 15tak minuta.Nadam se da ce vam
prezentacija biti zanimljiva i donekle edukativno pouna.
Zahvaljujem vam se unaprijed na praenju i sluanju.1Uvod
Cybersecurity u dananjem dobu predstavlja najvei izazov sa kojim
se susreu svi korisnici interneta kako vladine ustanove i
organizacije, tako i internacionalne organizacije, iji su osnivai
same zemlje lanice te organizacije, bilo da je rije o
organizacijama regionalnog, kontinentalnog ili interkontinentalnog
nivoa.Kako je sam Internet "iva materija" i mijenja se i unapreuje
na dnevnoj bazi, gdje moemo rei da ta dnevna baza nekad predstavlja
veliki vremenski period, tako i osiguravanje sigurnog koritenja
Interneta, i IT mree predstavlja veliki izazov za strune IT
sigurnosne slube svake organizacije.Na alost, legislativa,
organizacija i institucija, koja treba da prati izazove dananjice,
i sigurnog koritenja Interneta je prilino usporena samim nainom
sprovoenja svojih odluka, koje su najee vatrogasnog
kataktera.Dinamika razvoja interneta i IT tehnologija, njegove
dobrobiti i opasnosti, mora biti shvaena najozbiljnije na isti
nain, istom dinamikom, od strane voditelja tih istih organizacija i
institucija to do sada u najveem broju i nije bio sluaj. O tome emo
obratiti posebnu panju u nastavku.
2
Razlika izmeu Poslovnog i Privatnog koritenja Interneta na
mrei
Za razliku od privatnih Internet korisnika, gdje svaki
individualni korisnik sam snosi odgovornost i posljedice koritenja
Interneta, Internet u organizacijama i institucijama predstavlja,
kao i kod svakog poslovnog sistema, izazov, koji zahtjeva ekonomsko
politiko razumjevanje od strane upravljakog tijela te iste
organizacije ili institucije.Razumjevanje se sastoji prvenstveno od
svjesnosti da Internet i sva komunikacija koja se obavlja preko
njega zahtjeva resurse.Osim IT menadera koji to na pravilan i
ozbiljan nain trebaju predstaviti izvrnom menadmentu, Internet i
kompletan mreni sistem organizacije koji najee predstavljaju jedan
sloeni sistem, treba biti shvaen od strane menadmenta kao poseban i
sloeni sistem a ne troak koji se deava jednom ili drugim rijeima
"kupi i zaboravi" sa nadom da ce raditi sam od sebe.Na alost, IT
menaderi se preesto susreu sa ne razumjevanjem od strane njihovih
efova upravo zbog ne poznavanja ili ne pravilnog prezentovanja tog
sloenog sistema 3Vanjske prijetnje
1. Spam2. Viruses and Malware3. Phishing ScamsPrijetnje koje
dolaze od vanjskog dijela mreze ili interneta su odavno ve svrstane
u tri glavne grupe:1. Spam2. Viruses and Malware3. Phishing
ScamsSvaka od ovih prijetnji za mreu i korisnike su posebna tema za
sebe tako da emo ih samo spomenuti.
4Unutranje prijetnje Ljudski doprinos ugroavanju IT mreePrimjer
problema potencijalnih, namjernih I ne namjernih unutranjih
napada
Ljudski doprinos ugroavanju mree
Donoenje bilo kakvog oblika prenosnih memorijskih uredjaja u
organizaciju je jedan od glavnih rizika za mreu. Iako je ovo
spomenuto bezbroj puta, ini se da nikad nee biti dovoljno, jer se
bez obzira na stalna upozorenja deavaju iste greke i propusti.Ovo
su dva najea problema koja se javljaju u skoro svim
institucijama;1. Krajnji korisnik donese usb memorijsku karticu i
bez problema se prikljui na kompjuter/mreu. 2. Korisnik donosi
laptop i prikljuuje se na mreu.Takoe, osim ove dvije najee
situacije, jedan od stalnih problema su pojava perifernih ureaja
koji se ponaaju kao multi maine, su glavni rizik na samoj mrei.
Firewall je , koa primjer, jedno od rijeenja sigurnosnih sistema
ali se ne moemo osloniti samo na njega ili samo na jednu vrstu
sistema. Na primjer, firewall e blokirati sniffing napade ali ako
nema enkripcije samih podataka koji fluktiraju mreom postoji veliki
rizik od njihovog presretanja.
5
Resursi potrebni za siguran rad i koritenje Interneta
6
Materijalni resursi
Ovdje je rije naravno o hardwerskim i softwerskim rjeenjima koja
zahtjevaju konstantan monitoring, odravanje, upgrade (nadogradnju)
i po potrebi zamjenu.
7
Ljudski resursi
CISSP (Certified Information Systems Security Professional) CISM
(Certified Information Security Manager)
Ovdje je rije o ljudima koji predstavljaju odane profesionalce
koji posjeduju sigurnosne certifikate poput CISSP (Certified
Information Systems Security Professional) i CISM (Certified
Information Security Manager).Treba naglasiti da u dravnim i
vladinim te internacionalnim organizacijama treba izbjegavati
popularni outsourcing (bez obzira na pravno snanim ugovorima o
tajnosti koje vanjske kompanije obeavaju) jer je rije o uglavnom
osjetljivim i esto informacijama koje nisu za javnost a pogotovo
nisu informacije za strane drave.
8
Materijalni resursi i oekivanja
Iako su proizvoai HW i SW rjeenja u principu privatne kompanije
to ne znai da se na njih treba apsolutno osloniti i to prvenstveno
iz dva razloga.Prvi je da se te kompanije, koje se bave pisanjem
kompjuterskih kodova, proizvodnjom HW na kojima ti kodovi rade te
kompanije koje daju informacije prenosa podataka i one koje izgrade
i "odravaju" odnosno prate i bave se prevencijom napada na interne
mree, ne daju garanciju ili osiguranje na samo koritenje istih,
koliko to god udno zvualo. To pravno ograniavanje ide toliko daleko
da ne preuzimaju odgovornost za gubitak podataka ak i ako su na
neki nain i te kompanije odgovorne zbog toga to su ti isti kodovi
pisani nemarno, te u cijelom procesu proizvodnje, nisu ak ni
pokuavali otkloniti nedostatke. Svu nastalu tetu na kraju preuzima
krajnji korisnik.Drugi razlog je da, iako su te kompanije privatnog
karaktera ipak nisu u stopostotnom obliku nezavisne od uticaja
vlada i institucija drava na ijem se teritoriju nalaze.Najlaki
primjer koji moemo navesti su dvije vodee kompanije, koje se bave
proizvodnjom anti virusnih rjeenja, Mcafee i Kaspersky. U svakom
sluaju trebaju se odabrati sigurnosna rjeenja i oprema koja je
najstabilnija, najkvalitetnija i najoptimalnija, bez favoriziranja
pojedinih kompanija ali takoe izbjegavati polu rjeenja i nepoznate
kompanije samo radi prezentacije utede menadmentu.U prezentaciji
menadmentu glavnu ulogu trebaju imati IT menaderi tih istih
organizacija gdje e isti prvenstveno imati u vidu interes i
dobrobit same institucije, te dosljedno predstavljati sigurnosni
sistem u cjelini.
9
Ljudski resursi i oekivanja
Ovdje se moramo osvrnuti ponovo na IT profesionalce koji u
svakom sluaju moraju biti sastavni dio te institucije ili
organizacije te predstavljati prvu i zadnju liniju odbrane I zatite
podataka I informacija, ili elektronskog protoka informacija.Ne
treba previe naglaavati koliko su informacije koje postoje u
vladinim i internacionalnim instiucijama vane i u velikoj veini
osjetljive prirode za pojedinu dravu ili vie njih.U samom odabiru
rjeenja treba izbjegavati gotova sigurnosna rjeenja i oslanjanje na
samo jednu kompaniju ili u sluaju internacionalnih organizacija na
kompanije koje dolaze iz samo jedne drave lanice.Takva rjeenja u
veini sluajeva, sa sigurnou moemo rei, da nee proi, jer ce doi do
otpora drugih drava lanica, to zbog politikih a takoe i ekonomskih
razloga. Iz ovoga moemo izvui zakljuak da IT profesionalci moraju
uzeti u obzir i politiki aspekt svojih sigurnosnih rjeenja to
svakako predstavlja dodatni izazov.
10
Podfaktor: IT menaderi Jedan od vrlo vanih faktora kod svakog
sigurnosnog sistema je i razumjevanje potreba od strane it
menadera, njegova svjesnost i upoznatost sa kompletnim sistemom,
ali i osnovno znanje. To osnovno, temeljno znanje je preduslov za
razumjevanje potencijalnih problema. Na alost rijetki IT menaderi
ga posjeduju, jer se uglavnom fokusiraju na aplikacioni nivo, a to
ih onda dovodi, skoro nesvjesno, na nivo krajnjeg korisnika.Takoe,
est je sluaj da njihovo ne poznavanje same materije ili sistema i
fokus na ekonomskom aspektu ,voenja odjela organizacije, jako
bitnog u dananjem svijetu, dovede do fatanih greaka koje se mogu
odraziti pogubno na cijelu kompaniju/organizaciju.Pokuavajui, kao i
svaki novi menader u novom okruenju, da donesu nove ideje i da
impresioniraju izvrni menadment, a bez da prije toga izvre
evaluaciju postojeeg stanja i potencijalnih mogunosti esto
zavravaju svoju potencijalo uspjenu karijeru i prije nego je
poela.Sve ee se moe primjetiti postojanje CIO (Chief Information
Officer) osobe u organizaciji, koja je zaduena i odgovorna za
donoenje odluka ali i predlaganje mape puta (road map)
organizacije. 11Osnovne metode zatite i mjere zatite PolicyPhysical
securityIdentification and authenticationAuthorizationNetwork
access controlCommunicationMonitor and auditSecure management
U ovom slajdu moemo vidjeti 8 Osnovnih metoda zatite i mjera
zatite koje bi se trebali pridravati sve dravne organizacije ili
meunarodne institucije Svaka od ovih metoda predstavlja temu za
sebe tako da cemo ih samo spomenuti.12
Zakljuak
Awareness Education Training
Vano je napomenuti da jedan od bitnih faktora sprijeavanja
moguih incidenata na mrei je takoe osim kvalifikovanih IT strunjaka
i svjesnost, edukacija i trening (awareness, education and
training) samih korisnika u periodinim ciklusima te ovisno o
procjenama potencijalnih opasnosti od strane IT menadera same
institucije ili organizacije.Uzimanje koritenja Interneta zdravo za
gotovo od krajnjih korisnika, pogotovo u organizacijama gdje se ti
isti korisnici oslanjaju na sigurnosne sisteme same organizacije,
esto dolazi do iznenaenja kada se pojave problemi i zbog ne
upuenosti, ne znanja, ne obavjetenosti te manjka treninga. Nije
rijedak sluaj standardnog i esto vienog optuivanja it strunjaka od
strane krajnjih korisnika koja su donekle u pravu.Bolje sprijeiti i
ograniiti nego popravljatiak i u sluaju da ispadaju bad
peopleKrajnje korisnike predstaviti kao potencijalne nesvjesne ili
namjerne unutrasnje napadace,Iako je Internet relativno mlad, malo
vie od 20 godina, brzina njegovog razvoja i expanzija, kao i
opasnosti koje su popratni efekat za njegove korisnike, kao takva
tehnologija, nije zabiljeen u ljudskoj istoriji. Jo uvjek se moe
rei da je jeziak vage na strani dobrobiti ovjeanstva ali koliko je
blizu samoj teti, veina korisnika nije svjesna.
