9 minute read
Umre\u017Eavanje ure\u0111aja - da li smo bezbedni?
from Nacor Consulting
“ŽELIMO DA IMAMO POVERENJE U PAMETNU TEHNOLOGIJU ZBOG SVEGA ŠTO NAM ONA OMOGUĆAVA.ALI, ISTO TAKO, MORAMO BITI SVESNI POSLEDICA PO BEZBEDNOST I PRIVATNOST NAŠIH PODATAKA.” - PROFESOR HAMFRIZ
U poslednje vreme sve češće imamo prilike da čujemo kako neko može posmatrati dešavanja u našoj kući pomoću kamere našeg telefona ili televizora ili da čak naš frižider ima sposobnost prosleđivanja informacije o nama na druge pametne uređaje, u naše ime, bez našeg znanja. Takođe, zamislite da neko hakuje Vašu rernu i da na taj način obezbedi sebi pristup Vašim podacima. Razvoj pametne tehnologije i mogućnost mrežnog povezivanja svih smart uređaja koje posedujemo, osim što predstavlja značajno olakšanje u funkcionisanju našeg svakodnevnog života, čini nas veoma privlačnim izazovom za hakersko delovanje. U nastojanju da opasnost od hakerskog napada svedemo na minimum, ISO standardi nam mogu biti od velike pomoći. Kao potrošači i korisnici, često bivamo u situaciji da nas toliko zadive mogućnosti koje nam pruža mrežno povezivanje našeg kompjutera ili telefona sa pametnim uređajima u našoj kući ili drugim smart uređajima koje koristimo tokom dana, da ne posvetimo ni minut vremena razmišljajući o tome kako upotreba istih može da utiče na našu bezbednost i privatnost. Svakako da povezivanje smart telefona roditelja sa bebi alarmima Ili monitorima njihove dece pruža mogućnost da u svakom momentu lako mogu da provere šta rade i gde se nalaze njihova deca. Međutim, kada uređaji nisu zaštićeni, nehotice izlažemo riziku sebe i svoje voljene. Neki roditelji su posledice upotrebe ove vrste tehnologije spoznali na teži način, kada se iz zvučnika bebi alarma, dok je njihovo dete spavalo, začule nepristojne reči. S tim u vezi, nije za čuđenje činjenica da je u Velikoj Britaniji broj žalbi na proizvodnju, prodaju i upotrebu ove tehnologije porastao za 2000 % u poslednje tri godine.
Advertisement
HRABROST NOVOG SVETA
Činjenica je da nas samo jedan klik deli od uključivanja grejanja u našim domovima i menjanja temperature unutar naših frižidera, kao i uticaja na bilo koji aparat koji koristimo tokom dana. Pojavom smart tehnologije i mogućnosti povezivanja više pametnih uređaja putem internet mreže, javila se i opasnost od rutinskog prebacivanja informacija o tome kako živimo, šta radimo, šta i sa kim pričamo, sa jednog na drugi aparat. Zaista, nikada kao danas nije bilo lakše špijunirati nekoga. “Oni nam navodno olakšavaju život… ali sve to ima svoju cenu,” kaže profesor Edvard Hamfriz, istraživač ISO/IEC radne grupe za upravljanje sistemima bezbednosti informacija. “Želimo da imamo poverenja u pamtnu tehnologiju zbog svega što nam ona omogućava. Ali, isto tako, moramo biti svesni posledica po bezbednost i privatnost naših podataka.” Na primer, od velike želje da kupimo najnoviji smart televizor koji reaguje na glasovne komande, ne uzimamo za ozbiljno činjenicu da je ova vrsta tehnologije u stanju da sluša sve što joj se kaže i da na taj način prepozna prave komande. Ako sve što kažemo, ostaje između nas i našeg TV uređaja, u čemu je sve što joj se kaže i da na taj način prepozna prave komande. Ako sve što kažemo, ostaje između nas i našeg TV uređaja, u čemu je onda problem? Međutim, upravo povezivanje pametnih uređaja i razmenjivanjem informacija među njima, koje nisu zaštićene od spoljnog pristupa, ostavljamo otvorena vrata svim vrstama neovlašćenog pristupa našoj mreži, podacima i informacijama o našem životu.
Suština ovog problema se ogleda u činjenici da većina nas očekuje od zakonodavaca ili proizvođača uređaja da preuzmu na sebe rizike ove vrste i učine nešto po tom pitanju. Međutim, ukoliko mi kao korisnici ne razumemo i ne pokažemo interesovanje za zaštitu privatnosti naših podataka, to neće učiniti ni proizvođači, imajući u vidu da kupci svoje odluke o kupovini određenog proizvoda neće zasnivati na rešenju ovog problema, već će ih zasnivati na ceni ili čak izgledu!
“Što se tiče zakonodavstva, naši podaci i dešavanja unutar našeg doma, su veoma slabo zaštićeni,” kaže Pit Esindžer, međunarodni stručnjak za pitanja privatnosti potrošača. “Uzmite bilo koji prenosni uređaj savremene tehnologije – on zna sve naše pokrete i aktivnosti, i tačno zna gde se nalazimo. Ako ovome dodamo i sve lične informacije, fotografije i kontakte koji se nalaze na tom uređaju, to već predstavlja alarm za uzbunu. Analizom svih ovih podataka, vrlo lako neko može mnogo da sazna o Vama, Vašim aktivnostima, sklonostima i slično.”
Nedavni eksperimenti su pokazali da je moguć hakerski napad putem mreže na auto u pokretu, pri kome bi vozaču bila potpuno oduzeta kontrola upravljanja vozilom i predata u ruke onome ko je napad izvršio i od koga sada zavisi kretanje automobila i život vozača. Sa druge strane, Hamfriz ističe i pejsmejkere koji spašavaju živote miliona ljudi i to koliko su malo oni kao uređaji obezbeđeni od bilo kakvog spoljnog mrežnog uticaja. Treba imati u vidu da je raspon digitalnih tehnologija o kojima se svakodnevno priča, a za koje se planira da budu integrisane u tkivo naših života, zaista ogroman.
Svedoci smo uspostavljanja Novog svetskog poretka i uloge digitalnih tehnologija u savremenom svetu. Ovde se ne radi samo o jednom konkretnom proizvodu nego o celom sistemu. U 2013. godini, hakeri su ukrali milione dolara sa kreditnih kartica velikih američkih proizvođača pristupom na njihove mreže putem kojih kontrolišu svoje sisteme za grejanje, a preko kojih su se povezali i na ostale njihove uređaje. Upravo to nam ukazuje na činjenicu da samo jedan slabo obezbeđen uređaj može poslužiti kao pomoćno sredstvo za napad na drugi uređaj. S tim u vezi, na rešenje problema bezbednosti u ovoj oblasti uređaj nije zaštićen, virus vrlo lako može da zarazi drugi. Što više uređaja “vakcinišemo”, naša privatnost i naš život će biti bezbedniji. “To je razlog zašto ne postoje reči kojima bih u dovoljnoj meri iskazao važnost standarda iz oblasti informacione bezbednosti.”, objašnjava Hamfiz. “Mi imamo niz rešenja za minimiziranje mnogih od ovih rizika, ali organizacije su te koje trebaju da ih primenjuju. Standardi kao što su ISO 27001 i ISO 27002 predstavljaju zajednički jezik za rešavanje problema upravljanja, rizika i usklađenosti koji se odnose na bezbednost informacija. ISO 27031 i ISO 27035 predstavljaju pomoć organizacijama u cilju efikasnog preventivnog, ali i korektivnog reagovanja na sajber napade. "ISO standardi, takođe, definišu enkripciju i mehanizme potpisa koji mogu biti integrisani u proizvode i aplikacije za zaštitu podataka, za transakcije na mreži i aplikacije za zaštitu neovlašćenog korišćenja kreditnih kartica.
Za Hamfiza, s ledeći na redu su standardi o privatnosti korisnika. “Radimo na tome da se izgrade čvrsti temelji za standarde koji štite naše podatke u digitalizovanom svetu i koji će ojačati poverenje potrošača. Nadamo se da će oni biti korisni i za dalji razvoj rešenja kao odgovora na specifične izazove mrežno povezanog sveta."
Dina Raković
"Uzmite bilo koji prenosni uređaj savremene tehnologije – on zna sve naše pokrete i aktivnosti, i tačno zna gde se nalazimo. Ako ovome dodamo i sve lične informacije, fotografije i kontakte koji se nalaze na tom uređaju, to već predstavlja alarm za uzbunu." - Dina Raković
ZAINTERESOVANOST KORISNIKA
Da li su informacije o nama previsoka cena koju treba da platimo da bismo uživali sve moguće pogodnosti savremenog sveta? Rešenje ovog, u svetu tehnologije, jednog od najaktuelnijih pitanja jeste činjenica da su mnogi od nas spremni na kompromis sa savremenom tehnologijom, te da svoju privatnost i bezbednost vrlo lako zanemaruju u cilju što bržeg i lakšeg pristupa najsavremenijim uređajima. Upravo smart uređaji danas predstavljaju neku vrstu nephodnih aparata za funkcionisanje savremenog načina života. Po istraživanjima, prosečna osoba posveti svega oko 6 sekundi uslovima korišćenja uređaja ili aplikacija. Pogledajmo samo ponašanje internet korisnika. Ljudi redovno postavljaju na društvene mreže svoje i slike svojih najbližih, dele svoja politička uverenja, informacije o turističkim destinacijama koje obilaze, kao i informacije o prodavnicama u kojima najradije obavljaju kupovinu. Nije pitanje da li treba u toj meri deliti informacije, već da li smo svesni posledica onoga što radimo i da li možemo kontrolisati ko i koliko informacija ima o nama? Kao što internet olakšava praćenje i identifikaciju ljudi, informacija o nama koja se nalazi u pogrešnim rukama može vrlo lako da nas dovede u opasnost. Istraživanje koje je sprovelo Nacionalno društvo potrošača u SAD je utvrdilo da je 76% američkih tinejdžera zabrinuto za svoju bezbednost i da su u nekom momentu čak bili izloženi nekoj vrsti sajber napada na njihovu mrežu, ali da niko od njih ne zna da to ima veze sa mrežnim povezivanje smart uređaja. ISO odbor za politiku potrošača (ISO/COPOLCO) stavio je standardizaciju ove oblasti na dnevni red. To što korisnici smart tehnologije ne shvataju u potpunosti važnost ovog problema, ne znači da ne treba da budu zaštićeni. “Svest potrošača, stavovi i vrednosti, kao i potrebe za sigurnošću i bezbednošću, predstavljaju važan deo slagalice koja nam je potrebna kako bismo što efikasnije stali na put ovom problemu, “ kaže Bil Di, predstavnik ISO/COPOLCO.
KREIRANJE PRIVATNOSTI
Za Esindžera, srž problema leži u činjenici da se veliki deo uređaja, koji koriste potrošači u svakodnevnom životu, zapravo nalazi na tržištu bez bilo kakve informacije o tome kako, koliko i na koji način utiču na privatnost potrošača i bezbednost njihovih podataka. “Iako postoje mnogi međunarodni standardi koje organizacije mogu da primenjuju u svom poslovanju kako bi zaštitili svoje korisnike i njihove podatke, još mnogo moramo da radimo kako bismo stvorili dovoljno bezbedne uređaje koje tehnologija mrežnog povezivanja ne može ni na koji način da ih učini nebezbednim.” Jedan od razloga zašto kompanije ne uspevaju da zaštite uređaje jeste činjenica da su dizajneri koji su razvili mrežno povezivanje smart uređaja, veoma često i eksperti iz oblasti bezbednosti. “Inžinjeri treba da rade u procesu kreacije sistema za zaštitu, sa snažnim fokusom na bezbednost i privatnost korisnika tako da nekolicina ugroženih može da prevaziđe problem kojem su izloženi,” kaže Esindžer. “Ukoliko možemo da projektujemo sistem bezbednosti, inspirisani kontinuiranim usavršavanjem grupe standarda ISO 9001, kao što je ISO 10377 već učinio u cilju bezbednosti proizvoda, to bi bio veliki korak napred,” dodaje Esindžer. ”Ovaj standard bi olakšao praćenje, zaštitu naših podataka i obezbedio tajnost informacija.”
“Umesto da se pitate kako će korisnici prihvatiti stepen bezbednosti koji trenutno nudi savremena tehnologija, trebali bismo da se pitamo šta će programeri učiniti kako bi izgradili poverenje korisnika,” kaže Esindžer.
“Onaj ko “vakciniše” proizvode i usluge, onaj ko na adekvatan način obezbedi zaštitu naših podataka, te omogući kontrolu pristupa istim, može biti od koristi. Onaj ko smanji mogućnost krađe podataka, onaj ko nas obaveštava o bilo kakvoj opasnosti koja dolazi sa treće strane, kao i onaj ko osigura sledljivost i odgovornost.” Dakle, iako postoji širok spektar trenutno dostupnih standarda za sajber bezbednost, ISO još uvek radi na rešenju problema mrežnog povezivanja smart uređaja. “ISO 27001 grupa standarda je zaista od velike pomoći organizacijama kako bi na adekvatan način, bezbedno čuvale podatke prikupljene od svojih korisnika. Ali, moramo da razvijemo rešenja specijalno kreirana za izazove i rizike u koje se upuštamo koristeći mogućnost mrežnog povezivanja smart uređaja,” kaže Esindžer. Standardi su moćan način za rešenje ovih problema. Ne možemo dugo čekati da stupimo u akciju. Naši domovi, naše aktivnosti i lični podaci su nepovratno isprepleteni i povezani sa milijardama drugih ljudi usled našeg svakodnevnog korišćenja smart tehnologije, koja nam uzima privatnost, a bezbednost naših informacija stavlja na nivo na kom su one vrlo lako dostupne širokim masama. Da bismo naše živote adekvatno zaštitili od radoznalih očiju, moramo zatvoriti vrata i staviti katanac na njih.
PRIMENA ISO 27001
Iako se pri pomenu na čuvanje informacija uglavnom javlja ideja o potrebnom ulaganju u opremu, istina je da većina informacija neželjeno ili neovlašćeno „napušta“ organizaciju usled: - Nenamerne greške zaposlenih do koje dolazi usled neinformisanosti i nedovoljno posvećene pažnje; - Namerne zloupotrebe od strane internih saradnika; - Namerne zloupotrebe od strane eksternih saradnika; - Kvarova opreme; - Elementarnih nepogoda. Prilikom implementacije sistema u skladu sa standardom ISO 27001, sve navedene ranjivosti se uzimaju u obzir i predviđaju druge moguće ranjivosti koje su invidualne od organizacije do organizacije. Setom politika, procedura, instrukcija i obrazaca, organizacija može minimizirati rizik od neželjenog gubitka informacija i obezbediti kontinuitet u poslovanju ukoliko do gubitka dođe.
KOJE OBLASTI OBUHVATA ISO 27001?
Kao organizacija koja planira uspostavljanje sistema menadžmenta bezbednošću informacije, neophodno je da znate šta se od vas, ili vaših konsultanta, očekuje da se sprovede.
INTERNO ORGANIZOVANJE I LJUDSKI RESURSI
S obzirom da ljudi predstavljaju najčešći izvor ranjivosti organizacije u pogledu informacija, potrebno je definisati zahteve koji prethode zapošljavanju, koji se primenjuju za vreme rada i koji se primenjuju po prekidu radnog odnosa. U navedene zahteve spadaju: uloge i odgovornosti, provere kandidata, uslovi zapošljavanja, forme ugovora u radu koji uključuju bezbednosne sporazume, definisanje disciplinskih postupaka, prava pristupa informacijama koja su prethodno klasifikovana i drugo. Potrebno je definisati odgovornost za bezbednost informacija, kao i proces autorizacije za rad sa opremom, pa i načine razmene informacija.
FIZIČKA BEZBEDNOST, BEZBEDNOST U OKRUŽENJU I BEZBEDNOST OPREME
Kada govorimo o ovoj oblasti, treba imati u vidu da je potrebno stvoriti ili prilagoditi uslove rada sledećim zahtevima:
-Potrebn o je kreiranje bezbednosne zone razdvajanja;
- Neophodna je kontrola ulaska;
- Potrebno je obezbediti zaštićenost kancelarija i opreme;
-Neophodno je definisati područja javnog pristupa;
- Treba zaštiti opremu od neovlašćenog pristupa;
- Sprovesti zaštitu opreme od otkaza napajanja;
- Zahtevana je zaštita kablova od prisluškivanja i oštećenja;
- Obavezno je redovno održavanje opreme;
- Potrebno je voditi računa o bezbednom rashodovanju; Preduslov za sve navedeno je da organizacija poseduje adekvatan popis imovine kojom raspolaže, definisano „vlasništvo“ i pravilnik o prihvatljivom korišćenju opreme koji će obuhvatiti i pravila u vezi: nenadgledane opreme; „politike praznog stola“; upravljanja lozinkama.
EKSTERNO ORGANIZOVANJE
Nakon identifikovanja rizika koji se odnose na eksterne strane, organizacija je u obavezi da učini sve potrebne radnje kako bi se rizik minimizirao. To uključuje, ali se ne ograničava na: - Upućivanje na bezbednost, u radu sa korisnicima; - Upućivanje na bezbednost u sporazumima sa trećim stranama; - Uspostavljanje procedura za treće strane koje pružaju usluge u ime organizacije; - Praćenje i preispitivanje usluga; - Obezbeđivanje da bezbednost bude sastavni deo specifikacije za relevantne nabavke; - Dokumentovane i raspoložive procedure i drugo.
MENADŽMENT MREŽAMA I MEDIJUMIMA Po pitanju mreža, obavezne su kontrole u mreži koje podrazumevaju definisanje nivoa pristupa, kao i definisanje odgovarajućih alata protiv malicioznog i mobilnog koda. Takođe, potrebo je uspostaviti sigurnosno prijavljivanje, definisati upravljanje lozinkama i vremensko ograničenje trajanja sesije. Pored mogućnosti mrežnog prenosa informacija, organizacija mora da definiše: upravljanje prenosnim medijumima; kreiranje rezervnih kopija; rashodovanje; zaštitu dokumentacije sistema; drugo.
USKLAĐENOST SA ZAKONSKIM ZAHTE- VIMA I PRAĆENJE
Na početku implementacije, neophodno je identifikovati sve relevantne zakonske regulative dok se za vreme uspostavljanja sistema vodi računa o pravu intelektualne svojine i zaštiti podataka i informacijama o ličnosti. Praćenje obuhvata: korišćenje, usklađenost sa zakonima, zapisivanje provera, zaštitu informacija u zapisima, zapisivanje neispravnosti, sinhronizacije i drugo.
MENADŽMENT KONTINUITETOM POSLOVANJA
Poslednja, ali možda jedna od najbitnijih oblasti, je oblast obezbeđenje kontinuiteta poslovanja nakon propusta u vezi bezbednosti informacija. Vrši se procena rizika i obezbeđuju planovi kontinuiteta.
