11. OSNOVNE METODE ZAŠTITE I MJERE ZAŠTITE
Policy
Physical security
Identification and authentication
Authorization
Network access control
Communication
Monitor and audit
Secure management
Poštovane Dame i Gospodo, Dobar dan.
Moje ime je Gorjan Damjanović i dolazim iz organizacije za zabranu hemijskog naoružanja, OPCW., Den Haag, Nizozemska.
It sigurnost u vladinim i medjunarodnim internacionalnim organizacijama je tema ovog rada kojeg cu prezentovati u narednih 15tak minuta.
Nadam se da ce vam prezentacija biti zanimljiva i donekle edukativno poučna. Zahvaljujem vam se unaprijed na praćenju i slušanju.
Cybersecurity u današnjem dobu predstavlja najveći izazov sa kojim se susreću svi korisnici interneta kako vladine ustanove i organizacije, tako i internacionalne organizacije, čiji su osnivači same zemlje članice te organizacije, bilo da je riječ o organizacijama regionalnog, kontinentalnog ili interkontinentalnog nivoa.
Kako je sam Internet "živa materija" i mijenja se i unapređuje na dnevnoj bazi, gdje možemo reći da ta dnevna baza nekad predstavlja veliki vremenski period, tako i osiguravanje sigurnog korištenja Interneta, i IT mreže predstavlja veliki izazov za stručne IT sigurnosne službe svake organizacije.Na žalost, legislativa, organizacija i institucija, koja treba da prati izazove današnjice, i sigurnog korištenja Interneta je prilično usporena samim načinom sprovođenja svojih odluka, koje su najčešće vatrogasnog kataktera.Dinamika razvoja interneta i IT tehnologija, njegove dobrobiti i opasnosti, mora biti shvaćena najozbiljnije na isti način, istom dinamikom, od strane voditelja tih istih organizacija i institucija što do sada u najvećem broju i nije bio slučaj. O tome ćemo obratiti posebnu pažnju u nastavku.
Za razliku od privatnih Internet korisnika, gdje svaki individualni korisnik sam snosi odgovornost i posljedice korištenja Interneta, Internet u organizacijama i institucijama predstavlja, kao i kod svakog poslovnog sistema, izazov, koji zahtjeva ekonomsko političko razumjevanje od strane upravljačkog tijela te iste organizacije ili institucije.
Razumjevanje se sastoji prvenstveno od svjesnosti da Internet i sva komunikacija koja se obavlja preko njega zahtjeva resurse.
Osim IT menadžera koji to na pravilan i ozbiljan način trebaju predstaviti izvršnom menadžmentu, Internet i kompletan mrežni sistem organizacije koji najčešće predstavljaju jedan složeni sistem, treba biti shvaćen od strane menadžmenta kao poseban i složeni sistem a ne trošak koji se dešava jednom ili drugim riječima "kupi i zaboravi" sa nadom da ce raditi sam od sebe.
Na žalost, IT menadžeri se prečesto susreću sa ne razumjevanjem od strane njihovih šefova upravo zbog ne poznavanja ili ne pravilnog prezentovanja tog složenog sistema
Prijetnje koje dolaze od vanjskog dijela mreze ili interneta su odavno već svrstane u tri glavne grupe:
1. Spam2. Viruses and Malware3. Phishing ScamsSvaka od ovih prijetnji za mrežu i korisnike su posebna tema za sebe tako da ćemo ih samo spomenuti.
Primjer problema potencijalnih, namjernih I ne namjernih unutrašnjih napada
Ljudski doprinos ugrožavanju mreže
Donošenje bilo kakvog oblika prenosnih memorijskih uredjaja u organizaciju je jedan od glavnih rizika za mrežu. Iako je ovo spomenuto bezbroj puta, čini se da nikad neće biti dovoljno, jer se bez obzira na stalna upozorenja dešavaju iste greške i propusti.
Ovo su dva najčešća problema koja se javljaju u skoro svim institucijama;
1. Krajnji korisnik donese usb memorijsku karticu i bez problema se priključi na kompjuter/mrežu.
2. Korisnik donosi laptop i priključuje se na mrežu.Takođe, osim ove dvije najčešće situacije, jedan od stalnih problema su ‘pojava’ perifernih uređaja koji se ponašaju kao multi mašine, su glavni rizik na samoj mreži.
Firewall je , koa primjer, jedno od riješenja sigurnosnih sistema ali se ne možemo osloniti samo na njega ili samo na jednu vrstu sistema. Na primjer, firewall će blokirati sniffing napade ali ako nema enkripcije samih podataka koji fluktiraju mrežom postoji veliki rizik od njihovog presretanja.
Ovdje je riječ naravno o hardwerskim i softwerskim rješenjima koja zahtjevaju konstantan monitoring, održavanje, upgrade (nadogradnju) i po potrebi zamjenu.
Ovdje je riječ o ljudima koji predstavljaju odane profesionalce koji posjeduju sigurnosne certifikate poput CISSP (Certified Information Systems Security Professional) i CISM (Certified Information Security Manager).
Treba naglasiti da u državnim i vladinim te internacionalnim organizacijama treba izbjegavati popularni outsourcing (bez obzira na pravno snažnim ugovorima o tajnosti koje vanjske kompanije obećavaju) jer je riječ o uglavnom osjetljivim i često informacijama koje nisu za javnost a pogotovo nisu informacije za strane države.
Iako su proizvođači HW i SW rješenja u principu privatne kompanije to ne znači da se na njih treba apsolutno osloniti i to prvenstveno iz dva razloga.
Prvi je da se te kompanije, koje se bave pisanjem kompjuterskih kodova, proizvodnjom HW na kojima ti kodovi rade te kompanije koje daju informacije prenosa podataka i one koje izgrade i "održavaju" odnosno prate i bave se prevencijom napada na interne mreže, ne daju garanciju ili osiguranje na samo korištenje istih, koliko to god čudno zvučalo. To pravno ograničavanje ide toliko daleko da ne preuzimaju odgovornost za gubitak podataka čak i ako su na neki način i te kompanije odgovorne zbog toga što su ti isti kodovi pisani nemarno, te u cijelom procesu proizvodnje, nisu čak ni pokušavali otkloniti nedostatke.
Svu nastalu štetu na kraju preuzima krajnji korisnik.
Drugi razlog je da, iako su te kompanije privatnog karaktera ipak nisu u stopostotnom obliku nezavisne od uticaja vlada i institucija država na čijem se teritoriju nalaze.
Najlakši primjer koji možemo navesti su dvije vodeće kompanije, koje se bave proizvodnjom anti virusnih rješenja, Mcafee i Kaspersky.
U svakom slučaju trebaju se odabrati sigurnosna rješenja i oprema koja je najstabilnija, najkvalitetnija i najoptimalnija, bez favoriziranja pojedinih kompanija ali takođe izbjegavati polu rješenja i nepoznate kompanije samo radi prezentacije uštede menadžmentu.
U prezentaciji menadžmentu glavnu ulogu trebaju imati IT menadžeri tih istih organizacija gdje će isti prvenstveno imati u vidu interes i dobrobit same institucije, te dosljedno predstavljati sigurnosni sistem u cjelini.
Ovdje se moramo osvrnuti ponovo na IT profesionalce koji u svakom slučaju moraju biti sastavni dio te institucije ili organizacije te predstavljati prvu i zadnju liniju odbrane I zaštite podataka I informacija, ili elektronskog protoka informacija.
Ne treba previše naglašavati koliko su informacije koje postoje u vladinim i internacionalnim instiucijama važne i u velikoj većini osjetljive prirode za pojedinu državu ili više njih.
U samom odabiru rješenja treba izbjegavati gotova sigurnosna rješenja i oslanjanje na samo jednu kompaniju ili u slučaju internacionalnih organizacija na kompanije koje dolaze iz samo jedne države članice.
Takva rješenja u većini slučajeva, sa sigurnošću možemo reći, da neće proći, jer ce doći do otpora drugih država članica, što zbog političkih a takođe i ekonomskih razloga.
Iz ovoga možemo izvući zaključak da IT profesionalci moraju uzeti u obzir i politički aspekt svojih sigurnosnih rješenja što svakako predstavlja dodatni izazov.
Jedan od vrlo važnih faktora kod svakog sigurnosnog sistema je i razumjevanje potreba od strane it menadžera, njegova svjesnost i upoznatost sa kompletnim sistemom, ali i osnovno znanje.
To osnovno, temeljno znanje je preduslov za razumjevanje potencijalnih problema. Na žalost rijetki IT menadžeri ga posjeduju, jer se uglavnom fokusiraju na aplikacioni nivo, a to ih onda dovodi, skoro nesvjesno, na nivo krajnjeg korisnika.
Takođe, čest je slučaj da njihovo ne poznavanje same materije ili sistema i fokus na ekonomskom aspektu ,vođenja odjela organizacije, jako bitnog u današnjem svijetu, dovede do fatanih grešaka koje se mogu odraziti pogubno na cijelu kompaniju/organizaciju.
Pokušavajući, kao i svaki novi menadžer u novom okruženju, da donesu nove ideje i da impresioniraju izvršni menadžment, a bez da prije toga izvrše evaluaciju postojećeg stanja i potencijalnih mogućnosti često završavaju svoju potencijalo uspješnu karijeru i prije nego je počela.
Sve češće se može primjetiti postojanje CIO (Chief Information Officer) osobe u organizaciji, koja je zadužena i odgovorna za donošenje odluka ali i predlaganje mape puta (road map) organizacije.
U ovom slajdu možemo vidjeti
8 Osnovnih metoda zaštite i mjera zaštite koje bi se trebali pridržavati sve državne organizacije ili međunarodne institucije
Svaka od ovih metoda predstavlja temu za sebe tako da cemo ih samo spomenuti.
Važno je napomenuti da jedan od bitnih faktora spriječavanja mogućih incidenata na mreži je takođe osim kvalifikovanih IT stručnjaka i svjesnost, edukacija i trening (awareness, education and training) samih korisnika u periodičnim ciklusima te ovisno o procjenama potencijalnih opasnosti od strane IT menadžera same institucije ili organizacije.
Uzimanje korištenja Interneta ‘zdravo za gotovo’ od krajnjih korisnika, pogotovo u organizacijama gdje se ti isti korisnici oslanjaju na sigurnosne sisteme same organizacije, često dolazi do iznenađenja kada se pojave problemi i zbog ne upućenosti, ne znanja, ne obavještenosti te manjka treninga. Nije rijedak slučaj standardnog i često viđenog optuživanja it stručnjaka od strane krajnjih korisnika koja su donekle u pravu.Bolje spriječiti i ograničiti nego popravljatiČak i u slučaju da ispadaju bad peopleKrajnje korisnike predstaviti kao potencijalne nesvjesne ili namjerne unutrasnje napadace,
Iako je Internet relativno mlad, malo više od 20 godina, brzina njegovog razvoja i expanzija, kao i opasnosti koje su popratni efekat za njegove korisnike, kao takva tehnologija, nije zabilježen u ljudskoj istoriji.
Još uvjek se može reći da je jezičak vage na strani dobrobiti čovječanstva ali koliko je blizu samoj šteti, većina korisnika nije svjesna.