Prve nama poznate metode kriptovanja koristio je Julije Cezar: šaljući poruke svojim vojskovođama, on je slova u tekstu pomerao za po tri, četiri ili više mesta u odnosu na njihovu poziciju u alfabetu. Leone Batista, autor prve poznate studije o kriptografiji, iz 1467. godine, tvorac je šifarskog kruga i drugih rešenja dvostrukog prikrivanja teksta koja su u XIX veku prihvatili i kasnije usavršavali Nemci, Englezi i Francuzi.

Verovatno najpoznatija kriptografska metoda pre pojave digitalnih računara jeste Enigma. Mašinu su napravili Nemci tokom Drugog svetskog rata, a otkrivanje načina na koji ona radi (u šta je bio uključen čuveni Alan Tjuring) imalo je ogroman uticaj na tok rata.

Trka s vremenom

Kriptografija je veoma dinamična nauka, koju odlikuje uska povezanost teorije i prakse. Na ovo ukazuje činjenica da se svaki napredak u teoriji veoma brzo implementira i testira. Otkrivanjem nedostataka odmah se unapređuje teorijski rad, a stečena iskustva upotrebljavaju se za izradu nove, bolje metode.

Sa pojavom računara kriptografija se naglo razvija. Sve brži hardver omogućava „probijanje“ šifara za kraće vreme, a istovremeno se radi na razvoju sigurnijih i komplikovanijih šema za šifrovanje. Ova oblast bazira se na upotrebi kriptosistema koji se sastoje od algoritama za kriptovanje, jednog ili više ključeva, sistema za upravljanje ključevima i podataka u vidu standardnog i kriptovanog teksta. Na složenost dodatno utiče to što se kriptosistemi mogu realizovati hardverski, softverski ili kombinovano, kao i to da se prilikom realizacije moraju zadovoljiti osnovni sigurnosni zahtevi.

Danas se za realizaciju kriptografskih algoritama koriste složeni matematički izrazi, kao i znanja iz elektronike i programiranja. Napredak je sve brži, a primena sve šira: od bankarskih aplikacija, preko internet trgovine, do operativnih sistema. Kriptografski algoritmi primenjivi su i u telekomunikacionim sistemima, televiziji i drugim oblastima za koje često nismo ni svesni da imaju takve potrebe.

Bezbednost poslovnih podataka od velike je važnosti za poslovanje, ali su troškovi svih resursa neophodnih za adekvatnu zaštitu veliki. S druge strane, računarski oblak omogućava da kompletnu brigu o IT-ju, samim tim i bezbednost podataka prepustite profesionalcima.

Računarski oblak predstavlja revoluciju u IT svetu. Ovu tehnologiju slobodno možemo nazvati i tehnologijom uštede, i to iz mnogo razloga, o kojima smo u više navrata govorili u prethodnim brojevima. Međutim, kompanije još uvek nisu potpuno sigurne u ovu tehnologiju, a glavni razlog za to jeste bezbednost podataka koji se nalaze van njihovog okruženja.

U mnogim kompanijama, naročito onima koje posluju na globalnom nivou, poslovna politika zabranjuje čuvanje podataka na sistemima koji nisu u njihovom vlasništvu. Takve kompanije uglavnom imaju privatni oblik računarskog oblaka, koji svakako ima velike prednosti.

Kada je reč o malim i srednjim preduzećima, kao i kompanijama koje tek kreću sa radom, za njih je, nema sumnje, računarski oblak idealno rešenje, čak i kada govorimo o bezbednosti.

Eksterne pretnje

Treba istaći, pre svega, da provajder cloud usluga ne može biti bilo ko. Da bi kompanija mogla da se bavi pružanjem ovih usluga, ona mora da zadovoljava određene kriterijume, a bezbednost spada među najvažnije.

No, krenimo od kompanija čije se kompletno poslovanje zasniva na sopstvenoj IT infrastrukturi. Sve kompanije koje koriste internet (dakle, sve kompanije koje imaju makar i jedan računar) izložene su eksternim pretnjama i napadima koji su manje‑više svakodnevni, a nisu retkost ni gubici i korupcija podataka izazvani internim greškama, slučajnim ili namernim. Da bi se zaštitile od ovakvih napada, kompanije moraju imati firewall, antivirusna i ostala rešenja koja služe za internu i eksternu zaštitu poslovnih podataka i poslovanja u celini. Kupovina i održavanje ovih proizvoda koštaju, i to ne malo. Pored troškova kupovine i održavanja licenci, kompanija ima i trošak u vidu ljudskih resursa odgovornih za održavanja sistema za nadzor i bezbednost podataka.

S druge strane, poslovanje u računarskom oblaku omogućava da kompletnu brigu o IT‑ju, samim tim i bezbednost podataka, prepustite profesionalcima. Pružanje ovih usluga je njihova primarna delatnost, što znači da sve svoje resurse usmeravaju isključivo na poboljšanje performansi računarskog oblaka. Upravo zbog toga, njihovi sistemi zaštićeni su na najbolji mogući način, dok kompanije kojima IT nije primarna delatnost često ne mogu sebi da priušte zaštitu takvog nivoa. To je još jedan od razloga zbog kojih možemo da kažemo da su podaci u računarskom oblaku bezbedniji nego oni na sopstvenoj IT infrastrukturi.

Prednost cloud provajdera

Sem o korupciji i curenju podataka, kompanije bi trebalo da razmišljaju i o bekapu i oporavku podataka u slučaju katastrofe. Cloud tehnologija i u ovoj oblasti pobeđuje kompanijski data‑centar.

Kao što je na početku rečeno, da bi kompanija postala cloud provajder, ona mora da ispuni određene standarde, kao što je ISO 27001 (ISO standard za zaštitu informacija). Pored toga, tu je i NDA ugovor, koji zakonski u potpunosti štiti korisnika i privatnost njegovih podataka. Važno je naglasiti da cloud provajder, iako se podaci nalaze na infrastrukturi koja mu pripada, kao pružalac usluge nema ni pravo ni mogućnost da pristupi podacima bez pristanka njihovog vlasnika.

Računarski oblak je tehnologija za koju se više ne postavlja pitanje da li će, već samo kada će u potpunosti zavladati i ostaviti tradicionalni način upotrebe informacionih tehnologija u prošlosti. Poredeći ova dva načina upotrebe informacionih tehnologija u oblasti bezbednosti podataka, sa sigurnošću možemo reći da pouzdan cloud provajder može da obezbedi potpunu bezbednost podataka, čak i da ih bolje zaštiti nego sama kompanija koja je njihov vlasnik.

Milena Redžić

Šta je sve potrebno za fizičku bezbednost Data centra?

• Sistem za kontrolu pristupa
• Nadgledanje opreme 24/7
• Video‑nadzor kompletne sale i ulaza u nju
• Alarmni sistem kao deo zaštite
• Elektronska kontrola ulaza u salu
• Zaštita od poplave
• Sistem za gašenje požara
• Detektori dima
• Dva nezavisna napajanja električnom energijom
• Agregat
• Redundantni centralni UPS
• Merači temperature, vlažnosti vazduha i napona mreže
• Protivpožarna vrata

U avgustu 2014. godine, kompanija Kaspersky Lab analizirala je evoluciju spama i ustanovila da je broj fišing napada porastao čak 1,5 puta! Zaštita je sve neophodnija…

Uprkos činjenici da je većina e‑mail poruka neželjena ili da čak sadrži maliciozan softver, e‑mail je servis za komunikaciju na koji se oslanjaju praktično sve organizacije. Iako se mnogi trude da obuče korisnike kako da identifikuju zlonamernu poruku, to nije dovoljno za potpunu zaštitu od napada hakera koji pokušavaju da upadnu u njihove sisteme i dokopaju se željenih informacija.

Jednim klikom na URL korisnici mogu otići na kompromitovan sajt, gde će biti upitani za podatke o njihovoj banci ili će skinuti virus koji će njihov računar pretvoriti u bot. Zato organizacije moraju implementirati neko distribuirano rešenje, koje može da upravlja elementima kao što su web proxy i IPS senzori.

Opasni fajlovi

Napadi bazirani na e‑mail porukama postali su sofisticiraniji tokom vremena. Sa eksponencijalnim porastom broja novih virusa i novih metoda napada, postalo je skoro nemoguće obezbediti potpuno siguran e‑mail sistem primenom tradicionalnih rešenja. Čak i najnaprednije sigurnosne tehnike mogu biti razbijene u slučaju ciljanih napada pomoću context‑aware malvera, koji se može modifikovati kako bi zaobišao detekciju i infiltrirao se u mrežu.

Rešenja koja se koriste za prevenciju virusa bazirana su na reputaciji fajlova, testiranju fajlova u zaštićenom okruženju i retrospektivnoj analizi fajlova. Svaki fajl koji prolazi kroz uređaj za e‑mail zaštitu skenira se, a njegov otisak šalje se u cloud kako bi se utvrdila reputacija fajla. Na osnovu toga, mogu se blokirati maliciozni fajlovi i primeniti definisane polise.

Testiranje u zaštićenom okruženju (file sandboxing) omogućava analizu nepoznatih fajlova. Ovo okruženje omogućava prikupljanje preciznih informacija o ponašanju potencijalno malicioznog fajla, kako bi se utvrdio nivo opasnosti po krajnjeg korisnika. Nakon toga, rezultati analize takvog fajla šalju se u cloud da bi se ažurirala baza, kako bi i drugi korisnici bili zaštićeni.

Na kraju, retrospektivna analiza fajlova rešava problem tako što i one fajlove koji prođu kroz uređaj za zaštitu i dalje smatra potencijalnom pretnjom. Postoje tehnike kojima se hakeri koriste kako bi maliciozni fajl sačekao da se nađe u unutrašnjoj mreži da bi obavio svoj posao. Ove tehnike, kao što su sleep timer i polimorfizam, jesu napredne tehnike koje omogućavaju zaobilaženje zaštite na perimetru mreže. Kada fajl uspe da prođe sigurnosne mere, administratori sistema se alarmiraju kako bi saznali koji korisnik je dobio potencijalno maliciozan fajl i na vreme zaustavili širenje te opasnosti.

Najopasniji napadi

Ciljani napadi su visokoprilagođene e‑mail poruke usmerene ka specifičnom korisniku ili grupi korisnika, sa ciljem krađe intelektualne svojine. Ovi napadi su veoma retki i mogu biti maskirani, može ih izvršiti neko poznato lice sa nesvesno kompromitovanim nalogom ili mogu biti potpuno anonimni, kao deo neke mreže botova. Ciljani napadi uglavnom koriste neku vrstu malvera – najčešće su to zero‑day napadi – kako bi uspeli da upadnu u sistem i ukradu željene informacije. Da bi izveli ove napade, hakeri obično koriste različite metode kako bi došli do žrtve. Iako je broj ovih napada relativno mali, on je ipak u porastu, a opasnost po korisnike je velika.

Iako su po strukturi slični, glavna razlika između ciljanih napada i spear‑phishing napada je u fokusiranju na žrtvu. Ciljani napad usmeren je ka određenom korisniku ili grupi korisnika, dok su spear‑phishing napadi uglavnom usmereni na grupu korisnika koji imaju nešto zajedničko, npr. na klijente iste banke. Napadači koji izvode ciljane napade obično prave dosijee korisnika, na osnovu informacija koje su pronašli na društvenim mrežama ili drugim javno dostupnim lokacijama. Dok spear‑phishing napadi mogu sadržati neke lične informacije, ciljani napad može sadržati mnoštvo informacija koje su veoma lične i jedinstvene za osobu koja je meta napada.

Kako se zaštititi?

Rešenja za zaštitu od ciljanih napada koriste napredne tehnologije kako bi osigurala da krajnji korisnik neće biti u prilici da donese odluku da li e‑mail koji čita nezakonito traži unošenje korisničkih kredencijala na nekom web sajtu. Ova rešenja uključuju višeslojni pristup, koji obuhvata monitoring web saobraćaja i e‑mail servisa iz celog sveta i koristi filtere sa web reputacijom i tehnologijama za autentifikaciju e‑mail poruka.

Na osnovu IP adresa, uređaji formiraju bazu informacija o kvantitetu e‑mail i web saobraćaja nekog pošiljaoca, nivo žalbi, DNS razrešavanje IP adresa, zemlju porekla, da li je IP adresa na crnoj listi i dr. Na osnovu svih ovih informacija, sistem kreira ocenu kako bi ukazao na nivo opasnosti svake e‑mail poruke koja stiže u organizaciju. Kako 90% malicioznih e‑mail poruka sadrži URL‑ove, ovi uređaji moraju nadgledati i e‑mail i web saobraćaj da bi bili u stanju da zaštite organizaciju od ciljanih i phishing napada.

Na osnovu web reputacije i verovatnoće da se na nekom URL‑u nalazi maliciozan sadržaj, uređaji moraju biti u stanju da blokiraju ili označe poruke koje sadrže sumnjive URL‑ove.

Tehnike zaštite

SPF (Sender Policy Framework) i DKIM (DomainKeys Identified Mail) su dve popularne tehnike za autentifikaciju elektronske pošte koje mogu da detektuju zlonamernu poštu. SPF je metod provere identiteta pošiljaoca koji omogućava identifikaciju ovlašćenog e‑mail servera za određeni domen. Ova tehnika potvrđuje da li e‑mail zaista potiče od ovlašćenog izvora. Pošiljaoci koji koriste ovu metodu objavljuju SPF zapise kako bi precizirali kojim hostovima je dozvoljeno da koriste njihova imena.

DKIM je metoda autentifikacije bazirana na kriptografiji koja omogućava da se proveri i utvrdi autorizacija e‑mail poruke iz određenog domena. DKIM obezbeđuje kriptografski potpis zaglavlja i tela poruke. U DNS zapis web domen, zaštićen DKIM tehnologijom, objavljuje javni ključ koji odgovara sopstvenom, samogenerisanom privatnom ključu koji služi za potpisivanje. E‑mail korisnici mogu koristiti javni ključ kako bi proverili da li je poruka koju su dobili stvarno došla sa određenog domena ili je reč o phishing‑u i drugim zlonamernim porukama.

Ove tehnike za autentifikaciju pošiljaoca dobijaju sve masovniju primenu kod e‑mail provajdera, u nekim preduzećima i industrijama. Njihova upotreba povećava efikasnost u borbi protiv phishing e‑mail poruka. SPF i DKIM tehnike se obično koriste u kombinaciji, kako bi se obezbedio slojevit pristup zaštiti.

HTML konverzija je još jedna od metoda zaštite, gde se URL‑ovi u e‑mail porukama pretvaraju u običan tekst i na taj način onemogućavaju da se samo jednim klikom ode na web sajt koji možda sadrži maliciozan softver. Ova metoda otežava korisniku posećivanje legitimnih web sajtova, ali za pojedince koji su na meti napada nudi dodatni nivo zaštite, dajući im mogućnost da vide kakav sajt nameravaju da posete.

Zaključak

Ciljani napadi postali su velika opasnost za kompanije. Oni koriste napredne tehnike socijalnog inženjeringa, kao što je oslovljavanje primalaca po imenu (i identifikacija njihovih kompanija), kako bi ubedili pažljivo odabrane žrtve da nesvesno odaju svoje informacije ili daju novac online kriminalcima.

Kako bi pomogao kompanijama da njihovi klijenti ne postanu žrtve ovakvih napada, Cisco u svojoj ponudi ima integrisano rešenje za e‑mail i web zaštitu. Ovo rešenje uključuje monitoring web saobraćaja, filtere za reputaciju i razne metode za autentifikaciju e‑mail servera.

 

Popularnost web aplikacija, kao i njihova vrednost u smislu informacija koje mogu biti kompromitovane i tako narušiti ugled kompanije, učinile su da se maliciozni korisnici interneta posvete razvoju posebnih alata i tehnika specijalno pisanih za napade na ovaj tip aplikacija.

Web tehnologije dovele su do trenda konzumerizacije interneta, jer sve što je korisniku potrebno jeste browser, a mogućnosti su, čini se, beskonačne. Danas svaka aplikacija koja treba da postane dostupna širokom auditorijumu na internetu jeste web aplikacija. Ona je, između ostalog, i sredstvo za komunikaciju kompanija sa korisnicima preko interneta i predstavlja više od web sajta jer omogućava korisnicima interakciju sa njom, na primer da se registruju, pri tom ostave svoje podatke kompaniji i tek nakon toga pristupe sadržaju koji im je interesantan. Kompanija podatke koji su ostavljeni može dalje iskoristiti u marketinške svrhe.

Web aplikacije poput e‑commerce aplikacija će, nakon logovanja, korisniku omogućiti da izabere proizvod koji želi da kupi i na kraju ga plati tako što će uneti broj svoje kreditne kartice. Banke kroz online banking aplikacije pokušavaju da smanje redove u ekspoziturama. Slično tome, država kroz projekat e‑uprave pokušava da pojednostavi izdavanje dokumenata. U svakom od ovih slučajeva, da bi se servis što lakše ponudio krajnjim korisnicima, a potom i da bi se lakše nadogradio, a to znači bez intervencije kod krajnjeg korisnika, kompanije, banke, pa i država biraju da servis isporuče u vidu web aplikacije.

Pod pojmom web aplikacije, dakle, podrazumevamo servis koji se isporučuje preko HTTP protokola, kojem se pristupa kroz browser, a sadržaj koji se tom prilikom prezentuje, za razliku od sajta, dinamički je skrojen prema inputu od strane korisnika. Popularnost web aplikacija, kao i njihova vrednost u smislu informacija koje mogu biti kompromitovane i tako narušiti ugled kompanija, učinile su da se maliciozni korisnici interneta posvete razvoju posebnih alata i tehnika specijalno pisanih za napade na njih.

Ranjivost web aplikacija

Mogućnost da korisnik upravlja sadržajem koji se prezentuje kroz inpute predstavlja osnov svakog napada na web aplikaciju. Kompanije uglavnom primenjuju osnovna rešenja za zaštitu svih servisa, a to su firewall i IPS. Osnovnim sigurnosnim rešenjima kompanijska web aplikacija nije u potpunosti zaštićena od napada sa interneta, jer firewall i IPS rešenja ne čitaju upite na aplikativnom nivou, već proveravaju da li HTTP funkcioniše po RFC standardima i primenjuju generičke polise za zaštitu.

Za razumevanje upita ka web aplikaciji potreban je web application firewall koji razume logiku kompanijske aplikacije i koji će i onda kada se aplikacija nadogradi novom funkcionalnošću brzo naučiti kako su nove funkcionalnosti implementirane i shodno tome prilagoditi zaštitu.

Kada se kompanija odluči da ponudi novi servis krajnjim korisnicima, u fokusu kompanije i razvojnog tima su funkcionalnosti koje servis ima, sve sa ciljem da se korisnički ugođaj u radu sa aplikacijom što više pojednostavi, uz ponudu mnoštva mogućnosti. Kako rastu funkcije koje aplikacija ima i kako raste njen značaj za poslovanje kompanije, tako raste i rizik da bi se njenim eventualnim kompromitovanjem mogao narušiti ugled kompanije ili napraviti direktna ili indirektna finansijska šteta.

Firewall i IPS nisu dovoljni

Razvojni tim se bavi funkcionalnošću same aplikacije, ali ne i njenom sigurnošću, jer ne sagledava bezbednosne rizike u potpunosti. Ono što se minimalno uvek očekuje od razvojnog tima u vezi sa zaštitom jeste implementacija osnovnih sigurnosnih preporuka prilikom dizajna aplikacije. Neke od tih preporuka podrazumevaju i da stranica za logovanje bude isporučena preko enkriptovane HTTPS sesije, a ne preko HTTP protokola, jer se u drugom slučaju podaci za logovanje ili broj kreditne kartice i PIN šalju u čitljivom obliku preko interneta.

U vezi sa tim, ako su implementirani firewall i IPS rešenja i primenjene sve sigurnosne preporuke, kompanijske web aplikacije i dalje ostaju nedovoljno zaštićene ako ne postoji mehanizam validacije korisničkih inputa. To znači da, na primer, za forme koje omogućavaju korisnicima da se loguju mora postojati mehanizam provere da li korisnik u predviđena polja unosi niz slovnih znakova, a ne specijalne znake koji bi mogli predstavljati komande kojima zlonamerni korisnik pokušava da, na primer, komunicira sa bazom podataka. Baza podataka je u dizajnu web aplikacija poslednji sloj, u tom smislu da nikada nije direktno izložena internetu, a upravo je to sloj koji sadrži najosetljivije informacije.

Opisani napad, kada ne postoji mehanizam za proveru korisničkog unosa ili kategorizacija šta je podatak kome se veruje, a gde se kroz formu šalju komande direktno SQL bazi podataka, naziva se SQL injection. Kategorija injection napada, u koju spadaju SQL, OS i LDAP injection napadi, najkritičnija je kategorija u smislu uticaja na biznis prema OWASP (Open Web Application Security Project) Top 10 dokumentu.

Unos korisničkih podataka

HTTP protokol je u osnovi stateless protokol, što znači da prvobitno nije imao mehanizam za praćenje sesije korisnika, za čim nije ni bilo potrebe kod prezentovanja statičkog sadržaja kakav su nudili prvi web sajtovi. Sa web aplikacijama, gde uvek postoji opcija logovanja kako bi se korisnik registrovao i autorizovao za pristup određenom sadržaju, potrebno je jednostavno pratiti korisnika i to se najčešće izvodi tzv. „kolačićima“ (engl. cookies).

Nedovoljno dobro rešenje za upravljanje „kolačićima“, u smislu čuvanja, enkripcije i provere vremena trajanja, gde postoji mogućnost da se posebnim alatima, nakon velikog broja pokušaja, uspešno pogodi prosta kombinacija kredencijala za logovanje, predstavlja preduslov za uspešnost napada kojima se dobija privilegovan pristup aplikaciji. Mehanizmi zaštite od ove kategorije napada su različiti: od potpisivanja „kolačića“ digitalnim sertifikatom do implementacije zaštite, gde se nakon, na primer, tri bezuspešna logovanja na neko vreme zabranjuje pristup stranici za logovanje.

XSS ili cross‑site scripting napad se takođe uspešno izvodi ako ne postoji validacija podataka koje korisnik unosi i podataka koje aplikacija prikazuje, tako da zlonamerni korisnik može da inficira aplikaciju malicioznim sadržajem preko forme za unos podataka. Uslovno rečeno, običan korisnik će prilikom sledeće posete zaraženoj web aplikaciji skinuti u pozadini malicioznu skriptu. Skripta zatim može da ukrade sa korisničkog računara „kolačiće“ i sačuvane podatke, i pošalje ih zlonamernom korisniku koji je prvobitno inficirao web aplikaciju.

Poznat je slučaj banke čija je online banking aplikacija bila predmet uspešnog XSS napada, gde je u okviru zvanične stranice za logovanje klijenata banke bila ugrađena maliciozna forma za unos login podataka. Na taj način su broj računa i PIN za autorizaciju pristupa postali dostupni hakerima.

Rešenja za zaštitu

Ukoliko aplikacija nije dovoljno zaštićena, direktna finansijska šteta bila bi, na primer, krađa novca sa računa klijenata banke, a indirektna finansijska šteta onda nastaje zbog gubitka poverenja klijenata u banku ili kompaniju. Kompanije će morati sve više da komuniciraju sa klijentima preko web aplikacija, a njihov ugled će, između ostalog, zavisiti i od toga da li korisnici mogu da veruju kompanijskoj aplikaciji. Slično tome, nedopustivo je kompromitovanje projekta e‑uprave i ličnih podataka građana.

Upravo opisani primeri napada navode na zaključak da rešenje za zaštitu kompanijske web aplikacije mora razumeti način rada aplikacije, tako da može da prepozna, između ostalog, forme za logovanje, da bi se mogle primeniti polise kojima se definiše šta je korisnicima dozvoljeno da unesu; rešenje koje zatim može da nauči šta su dozvoljeni URL‑ovi, parametri u okviru URL‑ova, da prati korisničku sesiju, odnosno, u najširem smislu, da nauči funkcionisanje web aplikacije i bude njeno ogledalo.

Rešenja koja implementiraju ove tehnike nazivaju se web application firewall (WAF) rešenjima. Ona ne isključuju firewall i IPS kao prvi nivo zaštite na mrežnom sloju, kao ni implementaciju svih sigurnosnih preporuka za zaštitu web servera, aplikativnog servera i baze podataka. Web application firewall rešenja su krovna sigurnosna rešenja, u tom smislu da fino razumeju konkretnu aplikaciju i shodno tome mogu da je zaštite od sofisticiranih napada kod kojih ideja nije da se servis učini nedostupnim, već da se neprimetno ukradu vredne informacije.

Šta radi WAF?

Web application firewall rešenja su specijalizovana za zaštitu web aplikacija. Obično se implementiraju ispred web servera, kao reverzni proksi, pošto je iskustvo pokazalo da se jedino na takav način obezbeđuje detaljna provera. Najveća prednost postiže se u slučaju kada se štite web aplikacije koje su razvijane unutar kompanija, tzv. custom web aplikacije. Generičke web aplikacije, poput Microsoft SharePoint‑a i CRM‑a, pisane su tako da obezbede funkcionalnost i da budu bezbedne. I pored toga, nije pogrešno ni ove aplikacije štititi WAF rešenjem, jer se tako može obezbediti dodatna zaštita, posebno u slučaju novih napada za koje još uvek ne postoji softverska zakrpa.

Ova rešenja često integrišu i druge tehnologije zaštite, poput DDoS rešenja, kontrole pristupa aplikaciji, Single‑Sign‑On (SSO) funkciju i SSL offloading. Jedan od eksplicitnih zahteva PCI DSS (Payment Card Industry Data Security Standard) standarda je i da se web aplikacije koje su vidljive na internetu moraju štititi web application firewall‑om, a ukoliko kompanija nije implementirala takvo rešenje web aplikacije moraju biti skenirane posebnim alatima jednom godišnje i posle svake promene na aplikaciji implementirati i nove sigurnosne preporuke. WAF je svakako elegantnije i jednostavnije rešenje.

F5 Application Security Manager

Application Security Manager je rešenje američke kompanije F5 koje obezbeđuje zaštitu kritičnih web aplikacija od napada na aplikativnom sloju, kao što su izmene cookie fajlova, SQL, LDAP i OS injection napadi ili maliciozni upiti kojima se iscrpljuju memorijski baferi aplikacije kako bi se zaustavili servisi, dobio pristup shell-u ili distribuirali virusi.

Pored toga, F5 ASM sprečava neovlašćenu promenu sadržaja aplikacije, DDoS napade, kao i napade sa nepoznatih IP adresa ili lokacija. Ovo rešenje integriše i funkcije SSL offloading-a, a kroz poseban modul obezbeđuje i kontrolu pristupa kompanijskim aplikacijama u vidu SSO funkcije.

S obzirom na arhitekturu F5 proizvoda, koji se mogu svrstati u kategoriju application delivery controller-a, load balancer je uvek deo Aplication Security Manager-a. Moguće je, dakle, ne samo štititi web aplikacije već obezbediti i load balancing funkciju, što omogućava i da se optimizuje klijent-server komunikacija kroz TCP optimizacione tehnike.

F5 štiti od tzv. zero-day napada tako što tokom prve faze implementacije „uči“ o načinu rada web aplikacije, skenirajući strukturu URL-ova i dozvoljene URL parametre, forme za unos podataka i sl. Na definisane elemente se potom primenjuju odgovarajuće sigurnosne polise.

ASM se jednostavno integriše sa VMware platformom, odnosno omogućena je komunikacija između dva rešenja. Na primer, kada zbog porasta korisničkih upita VMware pokrene dodatni web server, on šalje informaciju o tome u ASM, koji u balansiranje opterećenja uključuje i novi server. Kada se obim korisničkih upita smanji i VMware isključi nepotreban web server, ASM dobija informaciju da ga isključi iz daljeg rada.

Pored toga, F5 ASM se sa VMware-om dodatno integriše kroz NSX, kako bi se njegove funkcije mogle primeniti na nivou svake virtuelne mašine i tako pridodala važna kockica za realizaciju ideje softverski definisanog data-centra.

U prvom tromesečju 2014. godine kompanija Kaspersky Lab otkrila je u Srbiji 373.588 slučajeva napada zlonamernih programa. Čak trećina od toga bili su lokalni napadi!

Poslednjih godina beleži se porast broja bezbednosnih incidenata na internetu, počevši od onih koji kompromituju krajnje korisnike, sve do napada čiji su cilj veliki sistemi, poput multinacionalnih kompanija, državnih organa i internet provajdera. Napadi usmereni ka krajnjim korisnicima najčešće dolaze u vidu malicioznog softvera koji degradira performanse korisničkih računara i prikuplja osetljive podatke, poput lozinki ili brojeva kreditnih kartica. Napadači često preko malicioznog softvera preuzimaju kontrolu nad napadnutim računarima, radi izvođenja koordinisanih napada.

S druge strane, napadi usmereni ka velikim sistemima realizuju se najčešće u formi DDoS (Distributed Denial of Service) napada, čiji je osnovni cilj da onemoguće krajnjim korisnicima korišćenje napadnutog servisa. Pošto mreže internet provajdera, velikih kompanija i državnih organa opslužuju više korisnika, efekat ovakvih napada je najčešće velikih razmera.

Rani DDoS dani

Iako su se metode i motivi DDoS napada menjali tokom proteklih godina, cilj samih napada ostao je isti: onemogućiti ili otežati korisnicima pristup određenim servisima ili resursima, a ne biti otkriven.

Paralelno sa razvojem sistema zaštite, razvijale su se i tehnike napada. U početku je napade vršio direktno napadač, dok je identitet skrivao modifikacijom izvorišne adrese.

Prvobitni napadi ovog tipa nazvani su DoS (Denial of Service) napadima, a obuhvatali su napade na mreže, sisteme i određene servise prilikom kojih se prema napadanom resursu šalje velika količina neželjenog saobraćaja, koji je po svojoj formi ekvivalentan regularnom saobraćaju. Usled ogromne količine saobraćaja, informacioni sistemi bivaju preopterećeni i nisu u stanju da procesiraju celokupan saobraćaj, što rezultuje ili potpunim prekidom servisa ili otežanim pristupom korisnika određenim servisima.

Vremenom su DoS napadi evoluirali u DDoS (Distributed Denial of Service) napade, tako što su ulogu direktnih izvršilaca preuzeli računari zaraženi malicioznim softverom, takozvani botovi, kojima diriguje napadač, preko bot‑servera. Napadač je često skriven iza nekoliko prstenova zaštite, dok napade nesvesno izvodi velika grupa korisnika koja čini mrežu napadača, odnosno botnet. Botnetovi predstavljaju dobar način za povećavanje intenziteta napada jer obuhvataju veliku grupu korisnika, a istovremeno skrivaju direktnog napadača.

DDoS napadi, s druge strane, predstavljaju koordinisane napade više izvršilaca, čiji je cilj onesposobljavanje određenog servisa. Veza između botnetova i DDoS napada je takva da se ovi pojmovi često i ne razdvajaju, jer je najveći broj DDoS napada realizovan upravo direktnim korišćenjem botnetova. Korišćenjem velikog broja izvršilaca, napadač, pored povećanja intenziteta, istovremeno i efikasnije krije svoju IP adresu, jer u napadu učestvuje „samo“ kao kao koordinator. Što je veći broj slojeva između napadača i njegove žrtve, manje su šanse da on bude otkriven.

Situacija danas

Današnji napadi koji za cilj imaju onesposobljavanje informacionih sistema uglavnom su DDoS napadi, zbog lakoće kojom se veliki broj korisnika inficira malicioznim softverom, preko kojeg se kreira botnet i kasnije diriguje napadom.

Upravo veliki broj zaraženih uređaja predstavlja oslonac gotovo svih današnjih DDoS napada. Na ubrzano širenje utiče i brzina razvoja interneta, nedostatak antivirusnog softvera na korisničkim računarima, ali često i informatička nepismenost korisnika.

Individualno posmatrano, svaki zaraženi korisnik ili bot može da pošalje malu količinu saobraćaja, koja ne remeti njegove resurse. Grupno gledano, količina saobraćaja kojom zaraženi korisnici mogu da napadnu ciljanu mrežu direktno je srazmerna njihovom broju.

Napadači su, zapravo, u stanju da slanjem svega nekoliko komandi upravljaju armijom od nekoliko hiljada, pa čak i nekoliko stotina hiljada botova, odnosno direktnih izvršilaca. Maliciozni softver najčešće se širi putem internet crva, preko koga zaraženi računar dalje širi maliciozni softver.

Tipovi napada

Načelno gledano, DDoS napadi se mogu podeliti na bandwidth, protokol i aplikativne napade.

Bandwidth napadi su uglavnom usmereni ka zagušenju mrežnih resursa, poput protoka ili propusne moći uređaja. Ukoliko je intenzitet napada veliki, moguće je potpuno zagušenje linkova između provajdera i korisnika. Prilikom zagušenja dolazi i do usporavanja korisničkog saobraćaja, pojave retransmisija koje proizvode dodatni saobraćaj i kašnjenja.

Protokol napadi se izvode preko tačno određenih protokola, koristeći osobine protokola preko koga se realizuju, tačnije njegove nesavršenosti.

Aplikativni napadi, za razliku od prethodno navedenih napada koji direktno crpe mrežne resurse ili iskorišćavaju karakteristike protokola, ciljaju softverske nedostatke aplikacija na kojima se baziraju korisnički servisi, kao npr. nedostatke web servera.

Kako ih sprečiti?

Zaštita od DDoS napada izvodi se implementacijom posebnih uređaja na perimetrima korisničkih mreža ili korišćenjem dodatnih servisa koje internet provajderi nude. Implementacijom posebnih uređaja za zaštitu od DDoS napada moguće je ostvariti bolju kontrolu i monitoring. Problem kod ovakvog pristupa je što neželjeni saobraćaj dolazi do mreže krajnjeg korisnika, zauzima kapacitet pristupnih linkova, dodatno opterećuje mrežne uređaje i distributivnu mrežu provajdera.

Provajderi nude korisnicima, kao dodatni servis, zaštitu od DDoS napada. Krajnji korisnici imaju mogućnost da preko web portala definišu parametre filtriranja. Najčešće je to grubo filtriranje saobraćaja, gde se određenom skupu IP adresa zabranjuje pristup napadnutom servisu.

Ako je ka krajnjem korisniku usmeren DDoS napad visokog intenziteta, tada najčešće dolazi do zagušenja pristupnih linkova ili samog uređaja za zaštitu od DDoS napada. Metoda zaštite na nivou provajdera pokazala se kao bolja za ovakvu vrstu napada, jer saobraćaj ne dolazi do korisničke mreže.

Postojanje uređaja za zaštitu od DDoS napada na perimetru mreže krajnjeg korisnika neophodno je zbog detekcije napada, ali i zaštite od inteligentnijih DDoS napada koji ciljaju nedostatke protokola ili samih aplikacija. Ovakva rešenja nude krajnjim korisnicima mogućnost definisanja velikog broja polisa, putem kojih je moguće detektovati maliciozni saobraćaj.

U brojnim slučajevima, problem kod DDoS napada je kasna detekcija, jer se DDoS napad najčešće detektuje tek kada neki servis postane nedostupan. Iz tog razloga, primena specijalizovanih uređaja je opravdana, jer je moguće detektovati napad u ranoj fazi i analizom logova ustanoviti prirodu napada.

Hibridni model zaštite, koji podrazumeva korišćenje specijalizovanih uređaja na perimetru mreže krajnjeg korisnika i korišćenje DDoS zaštite na nivou provajdera, pokazao se kao najefikasniji, jer je na uređaju moguće detektovati DDoS napad u ranoj fazi, utvrditi prirodu napada, a nakon toga takav saobraćaj označiti kao nepoželjan na nivou internet provajdera.

Najpoznatiji napadi

Prvim DoS napadom smatra se onaj koji je 1974. godine izveo Dejvid Denis. Tada je napadnuta istraživačka laboratorija Univerziteta Ilinois. Napad je bio usmeren na terminalne uređaje i koristio je njihov nedostatak da na komandu external, putem koje se pristupa eksternom uređaju koji je zakačen na terminal, reaguju prelaskom u locked mod, ukoliko nema povezanih eksternih uređaja. Izlazak iz locked moda zahtevao je restart terminala. Napadač je iskoristio ovaj nedostatak i poslao komandu ka grupi terminala, blokirajući njihov dalji rad.

Jedan od najvećih DDoS napada zabeležen je tokom 1999. godine, kada su napadači, korišćenjem alata Trinoo, onesposobili mrežu Univerziteta Minesota na nekoliko dana. Princip napada svodio se na postojanje master i deamon računara: napadač je slao instrukcije ka master računarima, dok su oni te instrukcije dalje prosleđivali ka deamon grupama računara, koje su ka napadanoj mreži slale velike količine UDP paketa.

U maju 2014. godine, došlo je do snažnog napada na DNS servere kompanije Akamai. Primarni cilj napada, prvog u nizu, bio je chat server u Akamai sistemu, a kompanija je zabeležila najveći broj paketa u sekundi (pps) prošle godine – čak 110 miliona!

Napad je istovremeno ciljao Akamai servere na više lokacija širom sveta, a odvijao se u dva navrata – oba puta u trajanju od šest do sedam sati. U prvom napadu, 28. maja, ostvaren je ukupan protok od preko 119 Gbps, uz preko 59 miliona pps. Potom su napadači promenili taktiku i dva dana kasnije ostvarili ukupan protok od “svega” 92,8 Gbps, dok je broj paketa u sekundi skoro dupliran na 110 miliona.

Iako se sumnja da je izvor napada iz Kine, analizom IP adresa sa kojih je saobraćaj stizao vidi se zapravo gde se nalaze zaraženi računari, odnosno delovi bot mreže. Većina njih, preko 56% je u SAD, dok ih je u Kini bilo blizu 23%. Pored toga, zabeležene su IP adrese iz Velike Britanije, Nemačke i Japana.

 

Zaštita od gubitka poslovnih podataka – pitanje opstanka

Šteta usled potpunog gubitka hardverske opreme nikada ne može biti toliko velika kao šteta zbog nepovratno izgubljenih poslovnih podataka. Svetska statistika kaže da čak 60% svih kompanija koje dožive ovaj ogroman gubitak u roku od 3 meseca bankrotira!

Kompanijsko rukovodstvo najčešće očekuje da će informacioni sistem kompanije biti konstantno u operativnom stanju bez posebnog napora IT osoblja. O značaju uticaja IT‑ja na ukupne poslovne rezultate ne razmišlja se mnogo, sve dok sistem ne prestane da radi. Nažalost, kada se ovo dogodi, menadžeri tek tada shvataju prirodu posledica, ali tada ovo saznanje vrlo često ima visoku cenu. Tek tada napor koji IT menadžeri i osoblje ulažu kako bi sistem radio postaje vidljiv za rukovodstvo.

U uslovima kada sistem radi, zahtevi IT menadžera retko dolaze na red za razmatranje. Opet, kada se zahtevi i razmotre, svima se čini da su previsoki. Na sreću, dešava se da sistem godinama radi bez zastoja, ali samo jedan ozbiljan pad sistema može biti katastrofalan. Nepovratni gubitak poslovnih podataka nijedan mendžment nijedne firme sebi ne može da dozvoli.

Vrlo često firme nemaju pouzdane alate za zaštitu od gubitka svojih podataka. Kod donosilaca odluka ne postoji dovoljan nivo svesti o posledicama koje po njihovo poslovanje može imati gubitak poslovnih podataka. Menadžeri ne razumeju koliko je ovaj problem veliki sve dok do njega ne dođe. S druge strane, i IT menadžeri snose odgovornost jer ne ulažu dovoljno napora da rukovodstvu objasne značaj ovih pitanja i da ih upozore na moguće posledice.

Ovo je posebno opasno u kompanijama koje su automatizovale poslovne procese – za njih gubitak podataka predstavlja nenadoknadivu štetu. Zapravo, još je tačnije reći da je gubitak poslovnih podataka nenadoknadiva šteta za sve kompanije, jer su svi vitalni procesi u svim ozbiljnim kompanijama, bez obzira na njihovu veličinu, u 21. veku automatizovani.

Jaz nastaje pri definisanju ciljeva i kreiranju međusobnih potreba IT‑ja i poslovanja. Kako se ovde ne radi o kokoški i jajetu, sasvim je jasno da zahtevi prema IT‑ju prirodno polaze od zahteva poslovanja i poslovnih potreba. Poslovne potrebe su starije i diktiraju kojom dinamikom će se IT razvijati. Postavljen na svoje mesto i predstavljen kao pomoćna funkcija u službi poslovanja, IT bi imao ozbiljnije šanse za uspeh pri sledećem razmatranju količine novca koja će za njega biti izdvojena.

Dakle, menadžeri moraju da progovore jezikom biznisa da bi objasnili pretnje koje za poslovanje donosi gubitak poslovnih podataka i predložili moguća rešenja za sprečavanje štete za kompaniju. Postoji više rešenja, a zavisno od vrste i potreba biznisa bira se i rešenje.

Osnovno čuvanje podataka

Osnovni vid zaštite od gubitka podataka je bekap, i to je rešenje koje sve kompanije, bez obzira na veličinu, moraju imati. Do gubitka podataka može doći zbog ljudske greške, usled problema u infrastrukturi (npr. zbog korupcije podataka na storidž‑sistemu) ili katastrofalnog događaja u data‑centru (požar, poplava i sl.). Pored netolerancije na gubitak podataka, kompanije biraju bekap‑rešenje koje može da isprati i druge izazove.

Povećanje broja IT servisa i količine podataka jeste jedan od ovih izazova. Količina podataka već decenijama pokazuje trend najbržeg rasta od svih elemenata koji čine informacioni sistem preduzeća. Smanjeni budžeti za IT takođe su izazov, koji za posledicu ima to da menadžment preduzeća iznova očekuje od IT odeljenja da sa manje novca uradi više, da se ne investira u resurse, da se broj zaposlenih u IT‑ju smanji ili bar zadrži na postojećem nivou, uprkos stalnom usložnjavanju IT infrastrukture, rastu broja servisa i njihovog volumena.

Nijedna kompanija ne sme sebi dozvoliti da nema bekap. Nažalost, svedoci smo situacije da veliki broj kompanija u Srbiji i dalje ne poseduje nikakvo rešenje za bekap, a značajan broj kompanija koristi rešenja koja su polovična, neadekvatna i mimo svih standarda. Sudbina onih koji nemaju nikakav bekap je izvesna: ukoliko izgube poslovne podatke, neće moći da se oporave.

Oni koji koriste polovična rešenja najčešće nemaju napravljen projekat bekapa, kao ni operativni plan, plan testiranja i simulacije oporavka poslovnih podataka. Polovična rešenja, dalje, vrlo često podrazumevaju bekap na istom uređaju na kome se nalaze i izvorni podaci.

Čak i ako dođe do katastrofalnog gubitka data‑centra na primarnoj lokaciji, sa udaljenim bekapom je moguće kupiti novu opremu i oporaviti poslovanje u razumnom roku (u zavisnosti od toga koji rok je za dato poslovanje kritičan, on može ali i ne mora biti „razuman“). Ako kompanije imaju bekap, sadržaj mora biti izmešten van, na razumnoj udaljenosti od primarne lokacije (koja je za neke kompanije regulisana propisima), bilo da se vrši fizički transport bekap‑podataka ili da se radi o replikaciji na udaljenoj lokaciji.

Bekap se može vršiti u potpunosti ili inkrementalno. Potpuni bekap podrazumeva kopiranje i replikaciju svih poslovnih podataka, dok inkrementalni podrazumeva čuvanje promena u poslovnim podacima u odnosu na poslednju kopiju. Inkrementalni bekap se češće sprovodi, a potpuna replikacija ređe. Dinamika bekapa zavisi od osetljivosti poslovanja na gubitak podataka. Tako, ukoliko se radi o osetljivom poslovanju, i rešenje za bekap mora biti takvo da se procedura realizuje na način koji ne ometa performanse poslovanja. Najčešće se pribegava replikaciji u toku noći, tj. van radnog vremena, ali postoje i bekap‑rešenja koja, posebno inkrementalnu replikaciju, sprovode i paralelno sa poslovanjem. Ovakva rešenja daju nam mogućnost povraćaja poslovnih podataka na sat vremena ili pola sata pre trenutka njihovog gubitka.

Izbor rešenja

Od zahtevane dinamike replikacije podataka, kao i od „težine“ samih podataka, zavisi i odabir tehnologije. Na tržištu možemo pronaći veliki broj rešenja sa različitom tehnološkom pozadinom. Tako kompanije lako mogu doći u iskušenje da se oslone na zastarelu tehologiju, koja, uz sve veću netolerantnost poslovanja prema gubitku podataka, nikako nije opravdana.

Kako bismo obezbedili adekvatno bekap‑rešenje na sopstvenoj infrastrukturi, potrebno je da pre svega kreiramo plan bekapa sa dinamikom repliciranja i indeksima značaja, da kreiramo plan i obezbedimo platformu za testiranje povraćaja podataka iz bekapa, da obezbedimo infrastrukturu u skladu sa planom, kao i da odaberemo dobavljača rešenja. Potrebno je i da rešenje bude kompatibilno sa postojećom infrastrukturom, kao i da obezbeđuje platformu za uspešno sprovođenje bekap‑procedure za trenutno, ali i buduće stanje poslovanja.

Kad je reč o dizajnu rešenja, važno je da se radi na osnovu obima podataka koji će se bekapovati. Rešenje treba da bude takvo da omogući vršenje potpune bekap‑procedure i oporavak iz bekapa bez remećenja dinamike rada. Loš dizajn rešenja jedan je od najčešćih razloga sa korupciju bekapa. Korupcija bekapovanih podataka u ređem broju slučajeva znači da je zbog softverske greške fajl sačuvan na pogrešnoj lokaciji, pa ga je nemoguće oporaviti. Čest slučaj korupcije nastaje zbog pogrešnog bekapovanja transakcionih logova, kojima je definisana logička veza elemenata SQL baze, pa tako oporavak postaje nemoguć.

Rešenje koje se često sreće je bekap na magnetnim trakama, koje se svakodnevno odnose na udaljenu lokaciju. Glavni nedostaci ovakvog rešenja su angažovanje dodatne radne snage i podložnost ljudskim greškama. Još jedan čest oblik je replikacija na udaljenoj lokaciji na savremenijim uređajima (virtual tape library). Trend koji definitivno dobija sve više pristalica je bekap kao usluga u cloud‑u. Ova tehnologija donela nam je mogućnost da za svoje poslovanje obezbedimo bekap po svim standardima i na udaljenoj infrastrukturi bez investicionih troškova. U praksi ovo rešenje najčešće ne dobija čist cloud oblik, već se rešenje integriše sa postojećom infrastrukturom i kapacitetima korisnika. Naravno, uspešna hibridna rešenja umnogome zavise od stručnosti i iskustva kompanije provajdera bekapa kao usluge u cloud‑u.

Postoje firme koje, zbog prirode posla kojim se bave, mogu sebi dozvoliti duži rok za oporavak bez značajnije štete po poslovanje. Međutim, kod kompanija sa veoma dinamičnim poslovanjem svaki zastoj za posledicu ima merljiv finansijski gubitak. Ovakve firme moraju projektovati sistem za oporavak u slučaju katastrofe.

Rešenje za oporavak od katastrofe

Katastrofa može biti nepogoda velikog obima ili nesreća koja dovodi do velikih materijalnih razaranja (požar, poplava, zemljotres itd.). Moguće posledice katastrofe dovoljan su razlog da ljudi stalno tragaju za načinima da ih izbegnu ili bar ublaže. Međutim, kako se uz katastrofalne događaje vezuje niska stopa verovatnoće da će se zaista desiti, u stalnoj nestašici resursa najčešće biramo da zanemarimo bilo kakvu pripremu za potencijalnu katastrofu.

U poslovanju 21. veka susrećemo se sa visokim nivoom automatizacije poslovnih procesa, što nas vodi do ozbiljnih koristi od IT‑ja, ali i do direktne zavisnosti od IT sistema. Novi načini primene IT‑ja u poslovanju danas daju direktne konkurentske prednosti i značajno ubrzavaju poslovanje. Rukovodstva kompanija podrazumevaju da će njihovi IT sektori raditi besprekorno, bez pune svesti o tome šta bi se dogodilo u slučaju katastrofe.

U slučaju da je uzrok gubitka podataka katastrofalni događaj, bekap‑rešenje nije dovoljno. U slučaju katastrofalnog događaja može se očekivati da će oprema biti fizički oštećena do stepena neupotrebljivosti, tako da ni bekap na udaljenoj lokaciji nije dovoljan da se poslovni podaci povrate.

Svi procesi su povezani; dakle, gubitkom IT sistema prestaju sve operacije u kompaniji. Samo pad sistema u prizvodnji direktno uzrokuje smanjenu proizvodnju, prodaju, zaradu, a tu su i troškovi, poput troškova za radnu snagu koja ne radi. U mnogim kompanijama čak i jednodnevni zastoj proizvodnje i moguće štete od tog zastoja opravdavaju ulaganje u rešenja ili usluge za oporavak od katastrofe.

S druge strane, savremeno poslovno okruženje je sve zahtevnije i od jednog preduzeća traži da obezbedi kontinuitet poslovanja, čak i u slučaju ozbiljnih incidenata, koji dovode do onesposobljavanja produkcione lokacije. Ozbiljnost problema, tj. nemogućnost preduzeća da nastavi da posluje u slučaju ozbiljnog incidenta, sa svim posledicama koje on izaziva, primorala je zakonodavce i nadležna regulatorna tela da usvoje skup standarda kojima se uređuje oblast upravljanja IT infrastrukturom i obezbeđuje kontinuitet poslovanja preduzeća.

Preduzeća danas ne mogu da biraju hoće li implementirati rešenja koja obezbeđuju kontinuitet poslovanja, ili, još specifičnije, rešenja za oporavak od katastrofe. Jedina dilema koju preduzeće mora da razreši jeste kako implementirati plan za kontinuitet poslovanja, odnosno DR plan.

Vreme potrebno za oporavak čini glavnu razliku između oporavka iz bekapa i DR‑a. Da bi se neka kompanija oporavila od katastrofe, potrebno je da na drugoj udaljenoj lokaciji postoji oprema zadovoljavajućeg kapaciteta na kojoj se sadržaj iz primarnog DC stalno replicira/šalje na udaljenu lokaciju sa određenim vremenskim kašnjenjem (asinhrona replikacija) ili bez kašnjenja (sinhrona replikacija). U slučaju katastrofe, IT operacije se nastavljaju sa rezervne lokacije nakon izvršenja procedure oporavka od katastrofe, koja može trajati od nekoliko minuta pa do nekoliko dana, u zavisnosti od tehničkog rešenja koje je izabrano za određenu kompaniju.

Najčešća mera, koja predstavlja osnovni vid zaštite, bila je izmeštanje bekap‑volumena na udaljenu lokaciju i potom oporavak kroz reinstalaciju hardvera, sistemskog softvera, aplikacija, oporavak podataka iz bekap‑fajlova itd. Sve u svemu: skupo, sporo, podložno ljudskim greškama. Povrh svega, uz gotovo nemoguću proveru funkcionalnosti DR plana u razumnim intervalima (jednom kvartalno).

Kompanije se mogu odlučiti za dva, u osnovi različita tehnološka pravca pri izgradnji sistema za oporavak od katastrofe. Jedno rešenje podrazumeva izgradnju dodatnog data‑centra, uz poštovanje svih tehnoloških standarda, koji će biti smešten na lokaciji fizički dovoljno udaljenoj od primarne. Lokacija i kapacitet ovakvog data‑centra zavise pre svega od kapaciteta koji odgovaraju konkretnom poslovanju, ali i od karakteristika klime i tla, od postojeće infrastrukture, od zakonske regulative i dr. Dakle, projekat izgradnje data‑centra za potrebe sistema za oporavak od katastrofe se sa razlogom zove investicioni projekat. Kako se radi o ozbiljnoj sumi, potrebno je ispitati opravdanost ovakvog projekta i sve alternative.

Jedna od sve popularnijih alternativa jeste korišćenje usluge za oporavak od katastrofe u računarskom oblaku. Ovako se eliminiše investicioni trošak, a postižu se isti efekti na poslovanje. Mesečni trošak postaje ekvivalentan osiguranju kompanije za moguće štete od gubitka poslovnih podataka.

Testiranje rešenja za oporavak od katastrofe je nužnost. Jedino tako kompanije sa sigurnošću mogu znati da konkretno rešenje funkcioniše. Izveštaje iz testova kompanija može da koristi kao dokaz o obezbeđenju kontinuiteta poslovanja za potrebe kontrole i revizije, u skladu sa zakonima i pravnom regulativom.

Zaključak

Rešenja za zaštitu od gubitka poslovnih podataka moraju biti posledica poslovnih zahteva i samo poslovanje je to koje diktira optimalno rešenje.

Zahtevi na koje rešenja za bekap i oporavak prvo moraju da odgovore jeste da su jednostavna, u tom smislu da su integrisana i upravljiva, i da obezbeđuju potpunu zaštitu podataka. Važno je i smanjenje manuelnog rada i mogućnosti da dođe do ljudskih grešaka, kao i da zaštita podataka ne utiče na radprodukcionih servisa, tj. nužni su produkcioni servisi koji su neprekidno raspoloživi i na čije performanse bekap i DR nemaju nikakav uticaj. Naravno, među najvažnije karakteristike rešenja spada i njegova cena.

Najznačajniji parametri za definisanje rešenja i njegove cene jesu vreme potrebno za oporavak poslovnih podataka (RTO – Recovery Time Objective) i vreme u koje želimo da vratimo sistem pre gubitka podataka (RPO – Recovery Point Objective). Što su ova vremena kraća, rešenje za bekap ili oporavak (disaster recovery) je skuplje, a gubici su manji, i obrnuto. Postavlja se pitanje kako ih odrediti, tako da investicija u rešenje bude opravdana. U tome vam može pomoći grafik u izdvojenom okviru.

Antrfilei:

Odredjivanje optimalnog nivoa investicije

Grafikon pokazuje na koji način se može odrediti nivo investicije koji odgovara optimalnom RTO‑u, a upoređuje nivo investicije u rešenja za oporavak poslovnih podataka i nivo gubitaka za poslovanje koji mogu nastati usled gubitka poslovnih podataka. U kompanijama čije je poslovanje osetljivo na gubitak podataka moralo bi se znati kolike finansijske gubitke ona može da pretrpi ukoliko poslovanje zastane na određeni period. U zavisnosti od osetljivosti poslovanja, kompanija se može odlučiti da investira u sistem za zaštitu od gubitka podataka onoliko koliko bi bila u gubitku da izgubi podatke (na grafikonu je to prikazano kao tačka preseka crvene i plave krive).

U praksi optimalni iznos investicije u ova rešenja nalazi se negde oko ove tačke. Ovako je jer neke kompanije sebi mogu da dozvole da RTO bude duži. Kompanije, dakle, pre svega definišu koliko dugo smeju da ostanu bez poslovnih podataka, a onda dizajniraju rešenje koje bi takvo stanje poslovanja podržalo. U praksi je češći slučaj da kompanije imaju određen budžet za koji mogu sebi da obezbede sistem za zaštitu od gubitka poslovnih podataka. Upravo je račun gubitaka po poslovanje usled dužeg ili kraćeg RTO pokazatelj kojim se pravda, ali i zahteva investicija u zaštitu poslovanja od gubitka poslovnih podataka.

Napomena: Siva površina označava da treba proračunati RTO za poslovnu situaciju prikazanu kroz odnos dve krive. Na grafikonu se ne čita vrednost RTO sa apscise.

Negativan primer

Kompanija je redovno sprovodila bekap-proceduru na trakama, koje je odlagala u blizini UPS jedinica. Kada je želela da povrati podatke iz bekapa, trake su bile prazne zbog zračenja koje je dolazilo od UPS‑ova. Nažalost, u ovoj kompaniji su na teži način shvatili koliki je značaj testiranja rešenja za oporavak poslovnih podataka.

Cloud – idealno rešenje

Bekap i DR kao usluga u cloud‑u daju mogućnost potpune verifikacije i testiranja rešenja za oporavak, kao i dodatnu mogućnost provere na zahtev. Naplata se vrši prema obimu angažovanih resursa, pa rešenje postaje ekonomična usluga, potpuno usklađena sa stvarnim potrebama korisnika. Potpuna nezavisnost od hardvera daje mogućnost oporavka servisa (podataka) na trećoj infrastrukturi, čak i u slučaju uništenja infrastrukture korisnika. Odabirom managed cloud‑a, korisnik bira da ima neprekidnu prodršku tokom radnog vremena i van njega, kao i fleksibilne polise zaštite servisa. Učestalost i vrstu bekapa i DR‑a određuje korisnik prema kritičnosti servisa – deduplikacija i kompresija obezbeđuju visoku učestalost bez značajnog rasta volumena podataka. Tu je i bezbednost podataka u cloud‑u. Retko koja kompanija ima računicu da sebi priušti infrastrukturu kakvu može da dobije kao uslugu u cloud‑u, u smislu zadovoljenja standarda pri izradi data‑centra, snage mašina i softvera za zaštitu i odbranu, a tu je i tim stručnjaka koji će se za potrebe korisnika usluga brinuti o servisima.

Nemogućnost kompanije da isporuči svoje usluge i proizvode može imati ozbiljne posledice. Zato je potrebno pripremiti se za najgori mogući slučaj…

Poslovne organizacije izložene su različitim vrstama rizika koji mogu ozbiljno ugroziti njihovo poslovanje. Zato je neophodno preventivno planiranje i preduzimanje koraka u cilju obezbeđivanja poslovanja u slučaju neželjenog događaja.

Plan za kontinuitet poslovanja (Business Continuity Plan – BCP) predstavlja formalni pisani priručnik, koji mora biti raspoloživ za korišćenje pre, za vreme i nakon prekida poslovanja ili katastrofalnog događaja. Cilj izrade ovakvog dokumenta jeste definisanje minimalnih neophodnih resursa i načina na koji će poslovne aktivnosti biti organizovane u slučaju ozbiljnog incidenta (prirodna katastrofa, požar, poplava, teroristički napad…) i neophodnih aktivnosti koje moraju biti preduzete za uspešno vraćanje poslovanja u standardne tokove u najkraćem mogućem roku.

Ovaj plan mora da sadrži realno sagledane potencijalne rizike i odgovarajuće radnje i resurse koji su neophodni za uspostavljanje kontrole nad kritičnim poslovnim funkcijama, kao i maksimalno vreme planirano za oporavak poslovne funkcije za koje organizacija neće trpeti neprihvatljive posledice. Zbog svoje specifičnosti, veoma je važno da ovaj dokument bude jasan i precizan i da njegova struktura omogućava zaposlenima da brzo pronađu i razumeju šta se od njih očekuje u kritičnim situacijama.

Razumevanje poslovanja

Prvi korak u izradi plana za kontinuitet poslovanja jeste analiza potencijalnih rizika i poslovnih aktivnosti, u cilju identifikacije poslovnih procesa i resursa koji su kritični za poslovanje organizacije. Ovaj proces prolazi kroz nekoliko koraka:

• Identifikacija potencijalnih rizika
• Analiza verovatnoće da će se neki od identifikovanih rizika desiti
• Analiza uticaja pojedinačnih rizika na poslovne funkcije u organizaciji
• Identifikacija rizika sa najvećim uticajem na poslovanje organizacije
• Identifikacija rizika sa velikom verovatnoćom da se dogodi
• Plan upravljanja prioritetnim rizicima i mere za smanjenje uticaja na poslovanje

Potom se vrši analiza uticaja rizika na poslovne funkcije:

• Identifikacija poslovnih funkcija i ljudi koji su značajni za ispunjenje ključnih poslovnih zadataka
• Identifikacija opreme, IKT i transportnih sredstava potrebnih za obavljanje ključnih poslovnih aktivnosti
• Procena maksimalnog vremena za koje pojedine poslovne funkcije moraju biti obnovljene nakon katastrofe
• Analiza dostupnih alternativnih resursa
• Analiza partnera i dobavljača koji su značajni za obavljanje ključnih poslovnih aktivnosti

Rezultat ove faze je jasna podela između kritičnih i nekritičnih funkcija u organizaciji. Poslovna funkcija se smatra kritičnom ako uticaj nekog događaja na nju ima neprihvatljive posledice po interese organizacije. Takođe, određene poslovne funkcije mogu zakonom biti definisane kao kritične. U ovoj fazi neophodno je sprovesti i analizu međuzavisnosti poslovnih funkcija, jer ukoliko neka nekritična poslovna funkcija ima značajan uticaj na obavljanje kritične poslovne funkcije – onda se i ona mora smatrati kritičnom.

Priprema plana

Izrada plana za kontinuitet poslovanja podrazumeva pronalaženje najefikasnijih načina za oporavak poslovnih funkcija nakon katastrofalnog događaja. To podrazumeva i identifikaciju troškova najpovoljnijeg rešenja za oporavak kritične poslovne funkcije, kao i analizu isplativosti u odnosu na verovatnoću događaja i uticaj koji može imati na rad organizacije.

Konkretan rezultat uspešne realizacije ove faze jeste izrada procedura za eskalaciju, obaveštavanje i aktiviranje plana oporavka, s fokusom na kritične poslovne funkcije organizacije.

Zahtevi organizacije mogu se izraziti i kao minimalni zahtevi za sredstvima, ljudstvom i informacijama potrebnim za oporavak ključnih poslovnih funkcija. Pored toga, plan treba da obuhvati:

• Vremenski rok u kojem minimalni zahtevi za sredstvima, ljudstvom i informacijama moraju biti raspoloživi
• Opise procedura za obavljanje poslovne funkcije u kriznim situacijama
• Lokaciju alternativnog radnog mesta
• Fizičke i tehničke zahteve sekundarne radne lokacije

Za sprovođenje plana bitno je definisati i procedure za njegovo aktiviranje, strukturu, procedure i zadatke kriznog rukovodstva, načine obaveštavanja zaposlenih koji nisu uključeni u proces oporavka ključnih poslovnih funkcija, kao i procedure i njihov redosled za oporavak poslovnih funkcija i njihovo dovođenje u standardne tokove.

Sprovodjenje

Implementacija plana za kontinuitet poslovanja je proces u kome se svi elementi definisani tokom izrade plana sprovode u delo. To podrazumeva osnivanje upravljačkog tela (krizni štab) sa jasnim ovlašćenjima i zadacima u slučaju katastrofalnog događaja, kao i kontakt‑liste zaposlenih, partnera i spoljnih saradnika koji imaju ulogu za brz i efikasan oporavak ključnih poslovnih funkcija. Kontakt‑lista treba da sadrži i sve alternativne podatke (na primer: privatni brojevi telefona i e‑mail adrese, kontakt‑podaci članova porodice i bliskih prijatelja itd.).

Ovako definisani timovi moraju se upoznati sa planom i detaljima svoje uloge u procesu oporavka ključnih poslovnih funkcija. U ovoj fazi moraju biti razjašnjene i otklonjene sve nedoumice i nejasnoće, tako da svim učesnicima u procesu oporavka poslovnih aktivnosti budu jasni njihovi zadaci i lokacije na kojima će te zadatke obavljati u slučaju nekog katastrofalnog događaja.

Takođe, implementacija plana za oporavak od katastrofe podrazumeva i definisanje i opremanje rezervnih lokacija za rad, pronalaženje partnera sa odgovarajućom opremom za prevenciju i otklanjanje posledica katastrofalnog događaja, kao i definisanje alternativnih mogućnosti za nastavak ključnih poslovnih aktivnosti.

Testiranje, održavanje i unapredjivanje

Da bi organizacija bila sigurna da je plan za kontinuitet poslovanja zaista primenljiv i da na najjednostavniji i najefikasniji način obezbeđuje nastavak obavljanja ključnih poslovnih funkcija, kao i da bi svi učesnici u procesu obnavljanja poslovnih funkcija uvežbali svoje uloge, potrebno je obaviti simulaciju katastrofalnih događaja i testirati sve elemente plana. Na taj način mogu se uočiti eventualne slabosti, koje onda mogu biti pravovremeno otklonjene.

Proces simulacije i testiranja plana za kontinuitet poslovanja treba obavljati periodično, prema planu testiranja. Plan, takođe, treba kontinuirano ažurirati u skladu sa poslovnim i kadrovskim promenama u organizaciji.

Zaključak

Projekat za kontinuitet poslovanja omogućava institucijama da isplaniraju kontinuiranu isporuku svojih proizvoda i usluga, uprkos prekidu izazvanom nekim događajem, i na taj način se zaštite od katastrofalnih posledica po poslovanje.

Na ovakvom projektu moraju biti angažovani zaposleni iz više sektora kompanije, kroz različite faze. Takođe, izrada i implementacija projekta za kontinuitet poslovanja podrazumeva učešće svih nivoa organizacije, uključujući rukovodstvo. Čest je slučaj da kompanije i poslovne organizacije angažuju i stručnjake sa strane, odgovorne za pravilnu identifikaciju rizika, kao i identifikaciju i odabir mogućih načina zaštite od posledica ostvarenja rizika, kako bi osigurale kvalitativni pristup kreiranju projekta.

Faze izrade plana:

• Identifikacija rizika
• Analiza
• Izrada rešenja
• Implementacija i formalno prihvatanje
• Testiranje
• Održavanje i unapređivanje prihvaćenog plana

Better to have the business continuity plan and not need it, than to need the plan and not have it.

Dragana Kecić

Zaštita informacija u poslovnom okruženju nije samo stvar tehnologije. Odluka o načinu njenog sprovođenja treba da stigne sa vrha…

Radi zaštite informacija preduzeće treba da implementira pravila, kontrolu i sisteme koji ih obrađuju i čuvaju. Ovo se može postići kroz implementaciju politike bezbednosti, standarda, smernica i procedura.

Politika

Politika bezbednosti informacija sastoji se od deklaracije koja se odnosi na zaštitu informacija koje se prostiru kroz poslovanje cele firme. Takva deklaracija treba da potekne od najviše upravljačke strukture kompanije.

Politika odredjuje uloge i odgovornosti, definiše obim informacija koje treba zaštititi i pruža opširan opis kontrole koja se mora uspostaviti radi zaštite informacija. Pored toga, treba da naznači standarde i smernice koji to podržavaju.

Preduzeće može da ima jedinstvenu sveobuhvatnu politiku ili više posebnih politika koje se odnose na različite sektore, kao što je politika elektronske pošte ili politika prihvatljivog korišćenja informacija. Sa zakonske tačke gledišta, politika informacione bezbednosti često se posmatra kao posvećenost glavnog menadžmenta zaštiti informacija.

Dokumentovana politika je čest zahtev za ispunjavanje zakonskih propisa, kakvi su oni koji se odnose na privatnost i finansije.

Standardi

Standarde čine obavezne kontrole niskog nivoa, koje pomažu u sprovodjenju i podržavaju politiku informacione bezbednosti. Najčešće primenjivani standard informacione bezbednosti u Srbiji je ISO 27001.

Standardi pomažu da se uspostavi doslednost bezbednosti u čitavom preduzeću i uglavnom sadrže bezbednosne provere koje se odnose na implementaciju određene tehnologije, hardvera ili softvera. Na primer, standardi za lozinku mogu da postave pravila o njenoj kompleksnosti.

Smernice

Smernice su sačinjene od preporučenih provera. Ove provere nisu obavezne, ali podržavaju standarde ili služe kao preporuka u slučaju kada standard ne može da se primeni.

Na primer, na osnovu standarda se može zahtevati lozinka od 8 znakova ili više, dok smernicama može biti preporučeno i da svaka lozinka treba da istekne i bude zamenjena u roku od 30 dana.

Procedure

Procedure se sastoje od postupnih instrukcija koje pomažu zaposlenima da implementiraju različite politike, standarde i smernice.

Na primer, procedura može da bude napisana tako da detaljno objašnjava kako bezbedno instalirati Windows, kako bi zadovoljio politiku, standard i smernice koje važe u kompaniji.

Okvir politike bezbednosti

Svi dokumenti predstavljeni u tekstu namenjeni su različitim grupama korisnika u preduzeću. Oni zajedno čine okvir politike bezbednosti, a kako to izgleda u praksi predstavili smo na primeru zaštite prilikom prenošenja ili skladištenja podataka.

Politika označava sve poslovne informacije koje moraju biti adekvatno zaštićene kada se prenose ili skladište.

Standard za upravljanje informacijama zahteva da sve osetljive informacije budu kriptovane korišćenjem određenog tipa kriptografije i da se svi prenosi podataka beleže (loguju).

Smernice objašnjavaju najbolju praksu za beleženje prenosa osetljivih informacija i daju šeme za beleženje prenosa i rukovanje osetljivim informacijama.

Procedure daju postupne instrukcije kako da se izvrši kriptovanje pri prenosu podataka i kako da se osigura usklađenost sa politikom, standardima i smernicama.

Jovana Samardžić

Ulaganje u bezbednost možda predstavlja trošak za poslovanje, ali onima koji se pripreme za moguće pretnje biće od velike koristi dugoročno.

Uspešno poslovanje bazira se na rastu prihoda i sprečavanju gubitaka. Preduzeća su posebno teško pogođena kada jedan ili oba od ovih poslovnih zahteva trpe. Curenje podataka, zastoji u radu i gubitak ugleda mogu lako odbiti nove i postojeće klijente, ako se takve situacije ne rešavaju veoma brzo i na odgovarajući način. To, pak, može uticati na marginu zarade i u mnogim slučajevima izazvati poslovni gubitak. Pojava kompjuterskih virusa, upadi na mrežu ili prekidi u radu IT sistema mogu koštati firmu milione dinara. U nekim slučajevima to čak može podrazumevati pravnu odgovornost kompanije i posledično dovesti do tužbi.

Činjenica je da mnoge organizacije žele da imaju sigurno IT okruženje, ali vrlo često potreba za tim dolazi u sukob sa drugim prioritetima. U firmama je teško realizovati uporedno upravljanje poslovnim i bezbednosnim funkcijama. Kada su ekonomske prilike teške, lako je pretvoriti bezbednost u stavku koja se, nažalost, stavlja u drugi plan. Medjutim, realnost je da i u takvim situacijama bezbednost treba da ima prioritet. Velika je verovatnoća da će se pretnje koje utiču na poslovanje povećavati, a posledice mogu biti štetne za reputaciju i ostale aspekte poslovanja firme.

Namera nam je da ovim člankom na sistematizovan način prikažemo moguće bezbednosne pretnje za preduzeća i podignemo svest, prvenstveno kod menadžera kompanija, o razmerama rizika i mogućim posledicama po poslovanje. Takodje, želimo da IT menadžerima pružimo dodatne argumente da se izbore za budžet i mogućnost da adekvatno odgovore na bezbednosne pretnje.

Maliciozni internet sadržaji

Danas gotovo da nema preduzeća kojem za rad nije potrebna internet veza. Kada bismo uklonili ovaj način komunikacije, mnoga područja organizacije ne bi mogla normalno da funkcionišu. Dovoljno je podsetiti se koliko je e‑mail postao važan – za mnoge organizacije to je primarni način komunikacije. Čak i klasična telefonska komunikacija menja oblik u Voice‑over‑IP, koji postaje standard u mnogim organizacijama.

Takođe, skoro da nema organizacije koja nije bila žrtva napada kompjuterskim virusima. Iako mnogi koriste antivirusnu zaštitu, nije neuobičajeno da organizacije koriste elektronsku poštu ili internet bez ikakvog oblika zaštite. Čak ni velike organizacije u Srbiji nisu pošteđene takve prakse. Nedavno je jedna državna institucija u Srbiji morala da se isključi sa interneta i zatvori svoju mrežu zbog infekcije zlonamernim sadržajem preko crva tipa Mytob; normalno funkcionisanje ove institucije bilo je privremeno onemogućeno. Iako su ovakvi incidenti veoma česti, kompanije se trude da te informacije zadrže za sebe, kako ne bi narušavale svoj ugled. Mnoge kompanije ne mogu sebi da priušte korišćenje mehanizama za segregaciju mreže. U ovakvim uslovima, olakšano je širenje crva po celoj organizaciji.

Maliciozni internet sadržaj (malware) je pojam koji obuhvata kompjuterske viruse, crve, trojance i bilo koju drugu vrstu zlonamernog softvera. Zaposleni i krajnji korisnici unutar organizacije mogu nesvesno uneti malware na mrežu, kada pokrenu zlonamerni izvršni kod. Ponekad, oni mogu primiti elektronsku poruku s priloženim crvom ili preuzeti spyware prilikom posete malicioznoj internet stranici. Takođe, da bi posao bio obavljen, može se dogoditi da zaposleni odluče da instaliraju piratski softver, za koji nemaju licencu. Ovakav softver vrlo često sadrži zlonamerne kodove, a namera njihovih tvoraca jeste da zaraze kompjuter krajnjeg korisnika. Organizacije koje posluju efikasno uglavnom su ustanovile metode za zajedničko korišćenje datoteka i razmenu sadržaja u celoj organizaciji. Crv može zloupotrebiti ove metode da dodatno zarazi kompjuterski sistem na mreži.

Kompjuterski virus ne mora biti unet ručno, niti svesno. Osnovni programski paketi instalirani na desktop računarima, kao što su Internet Explorer, Firefox, Adobe Acrobat Reader ili Flash, imaju udeo u sigurnosnim propustima. Ove sigurnosne slabosti aktivno se iskorišćavaju od strane pisaca zlonamernih kodova, kako bi automatski zarazili računar žrtve. Takvi napadi poznati su kao drive‑by download, jer korisnik ne zna da je uz sadržaj koji svesno preuzima sa interneta na svoj računar došao i zlonamerni sadržaj. Svojevremeno je Google izdao upozorenje u kome opisuje 450.000 web stranica čijem pristupanju se mogu instalirati zlonamerni virusi bez izričitog pristanka i znanja korisnika.

Ovakvi napadi spadaju u kategoriju socijalnog inženjeringa, što je pojam koji se odnosi na skup tehnika kojima napadači koriste slabosti ljudske prirode, a ne mane u tehnologiji. Napad „pecanjem“ odnosi se na vrstu napada socijalnog inženjeringa koji je inače oportunistički i cilja određeni segment društva. Korisnik se često „upeca“ kada otvori e‑mail koji mu se čini poznatim, sa prepoznatljivim vizuelnim elementima (na primer, od dobro poznate banke). Kada krajnji korisnik postupi po uputstvima iz ovakve elektronske poruke, ima utisak da komunicira sa svojom bankom, na primer, i naveden je da otkrije osetljive ili privatne podatke, poput lozinke, PIN koda i brojeva kreditnih kartica.

Zaposleni i njihovi desktop računari nisu jedina meta u organizaciji. U većini preduzeća koriste se e‑mail servisi, sistemi za upravljanje odnosima sa kupcima (CRM) i servisi za razmenu sadržaja. Ti servisi uglavnom sadrže važne informacije, koje lako mogu postati meta napada. Pored toga, savremeno poslovanje sve više zahteva korišćenje web aplikacija koje su izložene na internetu, što omogućava veliki broj napada zbog sigurnosnih propusta u aplikacijama koje nisu dovoljno dobro zaštićene i testirane. Ako su ti servisi ugroženi, postoji veliki rizik da će osetljive informacije procureti i biti iskorišćene od strane sajber‑kriminalaca za različite prevare ili ugrožavanje kompanija.

Napadi na fizičke sisteme

Pretnje sa interneta nisu jedini sigurnosni problem sa kojim se organizacije suočavaju. Laptopovima i mobilnim telefonima poverene su najosetljivije informacije o organizacijama. Ovi uređaji, bilo da su vlasništvo preduzeća ili lično vlasništvo, često sadrže poslovnu dokumentaciju i koriste se za prijavljivanje na kompanijsku mrežu. Uz to, ovi mobilni uređaji se koriste tokom konferencija i putovanja, čime se izlažu riziku fizičke krađe. Broj ukradenih laptopova i mobilnih uređaja konstantno raste iz godine u godinu.

Druga pretnja koja utiče na fizičku sigurnost jesu nezaštićene krajnje tačke. USB portovi i DVD mediji mogu se iskoristiti za curenje podataka, a na njima se mogu izneti osetljive informacije ili se zlonamerni sadržaji mogu uneti na mrežu. USB memorija, kakva se uglavnom koristi za rad i može sadržati osetljive dokumente, postaje sigurnosni rizik ako se, na primer, odnese kući i ostavi tako da i ostali članovi porodice mogu da je koriste na sopstvenom računaru. Dok zaposleni može razumeti osetljivu prirodu podataka uskladištenih na USB‑u, sa ostatkom njegove porodice to verovatno neće biti slučaj. Oni mogu kontinuirano kopirati datoteke, ne znajući za moguće posledice. Ovo je tipičan primer nemara, ali to takođe može biti i ciljani napad, kada zaposleni može izneti iz firme velike količine poverljivih informacija.

Preduzeća koja zanemaruju važnost preventive neovlašćenog fizičkog pristupa server‑sali i mreži stvaraju dodatne sigurnosne rizike. Otvorene mrežne tačke i nezaštićene server‑sale mogu omogućiti nezadovoljnom zaposlenom ili posetiocima da se povežu na mrežu i pokrenu napad, kao što je ARP spoofing radi presretanja mrežnog saobraćaja bez enkripcije ili krađe lozinki i preuzimanja osetljivog sadržaja.

Autentifikacioni napadi

Lozinka je i dalje najčešći izvor ranjivosti u mnogim sistemima. Nije jednostavan zadatak imati siguran sistem u kojem se od ljudi traži da odaberu jedinstvenu lozinku, koju drugi ne mogu pogoditi, ali je istovremeno lako za korisnika da je zapamti. Danas većina ljudi ima barem pet drugih lozinki za pamćenje, a lozinka koja se koristi u poslovnom okruženju ne bi trebalo da bude ista kao ona koja se koristi za web‑mail, forume, društvene mreže itd. Veliki broj upada, poput onog na Twitter‑u (gde je lozinka bila „sreća“), pokazuju da su lozinke najčešće sigurnosne slabosti i da se koriste za napade koji ne zahtevaju mnogo tehničkog znanja.

Složenost politike kreiranja lozinki može da ide dovoljno daleko da se umanji rizik, ali ako je previše stroga i komplikovana, korisnici će naći načina i sredstava da je zaobiđu. Oni će napisati lozinku na stikeru i zalepiti je na monitor, podeliti je sa svojim kolegama ili jednostavno naći šablon na tastaturi (qwert54321) koji je lako zapamtiti, ali lako i pogoditi. Većina složenih politika za lozinke pokazala se beskorisnim.

Sistem‑administratori u preduzećima često rade i posao projekt‑menadžera, kao i analitičara za bezbednost. Stoga nezadovoljan sistem‑administrator može predstavljati veliki sigurnosni rizik, s obzirom na obim odgovornosti (i prava pristupa) koje ima. S punim pravima pristupa, sistem‑administrator može ostvariti curenje osetljivih informacija firme, koje mogu značajno uticati na stabilnost i ugled organizacije. Osim toga, u mnogim slučajevima je upravo sistem‑administrator osoba koja postavlja lozinke za važne usluge ili servere. Kada administrator napusti organizaciju, može se dogoditi da ove lozinke ostanu nepromenjene (pogotovo ako nisu dokumentovane), čime je bivšem zaposlenom i dalje omogućen pristup. Treba imati na umu primer jedne firme koja je ostala bez bekap‑kopije podataka, kada je njihov bivši administrator odlučio da uništi glavnu bazu podataka. Firma je bankrotirala 12 nedelja nakon ovog incidenta.

Pripadnici visokog menadžmenta kompanije takođe mogu imati visoka administratorska ovlašćenja na ličnim računarima. Razlozi za to su različiti, ali oni često žele da budu u stanju da instaliraju novi softver ili da jednostavno imaju više kontrole nad svojim mašinama; međutim, pri tome vrlo često naprave neki propust i njihove mašine postaju nedovoljno zaštićene. Problem u ovom scenariju predstavlja činjenica da je i samo jedna ugrožena mašina napadaču dovoljna da prodre u sistem cele organizacije. Sama firma ne mora posebno biti odabrana – ona jednostavno može postati žrtva napada usmerenih na određene ranjivosti programskih paketa.

Zaposleni sa mobilnim uređajima i laptopovima mogu predstavljati značajan rizik kada koriste nesigurne bežične mreže dok učestvuju na različitim konferencijama ili tokom boravka u nekom hotelu. U mnogim slučajevima, neadekvatna enkripcija ili neenkriptovani sadržaji stvaraju priliku da neovlašćeni korisnik dospe do osetljivih podataka.

Prekidi u radu sistema

Mnoga preduzeća u svojim informacionim sistemima imaju jednu kritičnu tačku (single point of failure) čije otkazivanje može izazvati prekid rada čitavog sistema. Ovo je velika sigurnosna pretnja, koja se vrlo često zanemaruje usled zahteva za smanjenjem troškova ili prosto zbog nedovoljne svesti o posledicama. Napadači nezaštićenog sistema mogu pokrenuti DoS napad kojim se generiše veliki saobraćaj, čime dolazi do zagušenja mreže, što dovodi do prekida rada servisa. Prekid u radu sistema ili usluge je događaj koji sprečava ovlašćene korisnike da koriste usluge, što se u ovakvim situacijama ne može lako sprečiti. Zastoji u radu sistema zbog postojanja kritičnih tačaka obično dovode do zastoja u radu cele kompanije, finansijskih gubitaka i gubitka poverenja korisnika prema firmi.

Pre nekoliko godina, brojne organizacije u regiji Sredozemlja i Bliskog istoka pretrpele su velike gubitke zbog oštećenja podvodnih internet kablova. Neke od tih organizacija oslanjale su se na jednu internet vezu, a njihov posao je bio vezan za internet komunikaciju. Postojanje takvih kritičnih tačaka pokazalo se vrlo štetnim za ove organizacije, zbog ugrožene produktivnosti i poslovnih gubitaka. Za većinu kompanija pouzdanost poslovanja je prioritet, a nepostojanje alternative za rad usled kvara na kritičnoj tački u sistemu ili zbog prevelike zavisnosti od samo jedne osobe može se pokazati kao pogubno za preduzeće.

Takođe, mnoge kompanije ne uzimaju u obzir mogućnost dešavanja neke prirodne katastrofe, poput požara, poplave, zemljotresa ili hemijskih incidenata velikih razmera, koja može dovesti do gubitka data‑centra. U takvim situacijama oporavak bi trajao toliko dugo da bi šteta zbog zastoja bila tolika da bi mogla odvesti i u bankrotstvo.

Ako se organizacija ne pripremi za sigurnosni incident, verovatno neće rešiti situaciju na odgovarajući način. Pitanje koje treba postaviti jeste: Ako, na primer, dođe do bezbednosnog incidenta, ko bi trebalo da donosi odluke o tome šta je potrebno preduzeti kako bi se sistemi oporavili i nastavili da rade? Ako se organizacija jednostavno oslanja samo na sistem‑administratora za obradu takvih incidenata, onda u organizaciji ne postoji svest o tome da takva situacija nije isključivo tehničke prirode.

Zaključak

U godinama koje dolaze očekuje se značajan porast sajber‑kriminala, zbog čega smo želeli da menadžerima, analitičarima i administratorima predočimo sažet i sistematizovan uvid u moguće informaciono‑bezbednosne pretnje sa kojima se preduzeća suočavaju. Svako preduzeće je različito, ali na mnogim instancama pretnje su iste. Bezbednost možda jeste trošak za poslovanje, ali za one koji se pripreme na vreme – biće od velike koristi, dugoročno posmatrano.

Jovana Samardžić