Sigurnost informacijskih sustava

Mr.sc. Bernard Vukelid, viši predavač

ISO27001 Certificated Internal Auditor
 Što je sigurnost?
• Sigurnost je proces održavanja prihvatljivog nivoa
rizika. Znači, sigurnost je proces, a ne završno stanje, tj.
nije konačni proizvod.
• Kada se govori o sigurnosti i zaštiti informacijskih
sustava i mreža, nekoliko principa danas važe kao
osnovni postulati.
1) Sigurnost je proces. Sigurnost nije proizvod, usluga ili
procedura,ved skup koji ih sadrži - uz još mnogo
elemenata i mjera koje se stalno provode.
2) Ne postoji apsolutna sigurnost.
3) Uz različite metode tehničke zaštite, treba imati u vidu
i ljudski faktor, sa svim slabostima.
 Sigurnost kao proces
• Procjena (engl. assessment)
• Zaštita (engl. protection)
• Otkrivanje (engl. detection)
• Odgovor (engl. response) Procjena

Odgovor Zaštita

Otkrivanje
 Što je informacijska sigurnost?

• Informacija je imovina i kao takvu ju je potrebno

prikladno zaštititi, kako bi se omogudilo normalno
poslovanje organizacije. Taj zahtjev postaje sve važniji
zbog distribuiranosti poslovne okoline, jer su u
takvom okruženju informacije izložene vedem broju
prijetnji i ranjivosti. Informacije se javljaju u više
oblika. Mogu biti zapisane na papiru, pohranjene u
elektroničkom obliku, sačuvane na filmu, mogu se
prenositi poštom ili elektroničkim putem. Bez obzira
u kojem je obliku pohranjena informacija, ona uvijek
mora biti prikladno zaštidena.
 Informacija
• U današnje vrijeme informacija je jedan od
najvažnijih i najskupljih resursa u poslovanju.
Njeno pravovremeno posjedovanje, njena
ispravnosti i tajnost često su od odlučujude
važnosti u poslovanju bilo koje institucije.
• Za kvalitetan rad potrebno je zaštiti
informacije od:
a) neovlaštenih izmjena - osigurati integritet,
b) objavljivanja tajnih informacija – osigurati
povjerljivost,
c) uskradivanja dostupnosti informacija
ovlaštenim korisnicima – osigurati
dostupnost.
CIA triad
Tri su temeljna principa uspostave kontrola
integriteta:
• Dodjela samo nužnih prava pristupa (engl. need-to-know
basis)
Korisnicima treba dodijeliti pravo pristupa samo na one
datoteke i programe koji su im potrebni da bi obavljali svoju
poslovnu funkciju u organizaciji. Pristup produkcijskim
podacima i izvornom kodu treba dodatno ograničiti dobro
definiranim transakcijama koje osiguravaju da korisnici mogu
modificirati podatke na strogo kontroliran način kako bi se
zaštitio integritet. Bududi se od korisnika očekuje da efikasno
obavljaju svoj posao, pristupne privilegije trebaju biti razumno
dodjeljene kako bi se korisnicima omogudila fleksibilnost u
radu. Sigurnosne mjere moraju uravnotežiti sigurnosne
zahtjeve sa praktičnom produktivnošdu.
• Odvajanje dužnosti (engl. separation of
duties)
Dobro je osigurati da nijedan zaposlenik nema
kontrolu nad transakcijom od početka do
kraja. Dvoje ili više ljudi trebaju biti odgovorni
za izvođenje transakcije, npr. netko tko ima
privilegiju kreiranja transakcije ne bi smio
imati privilegiju za njezino izvođenje.
• Rotacija dužnosti (engl. rotation of duties).
Poslovni zadaci bi se trebali mijenjati periodički tako
da korisnicima bude otežano zlonamjerno
preuzimanje kontrole nad transakcijom. Ovaj princip
je učinkovit kad se koristi u kombinacji s odvajanjem
dužnosti. Međutim, organizacije koje imaju manjak
zaposlenika ili slabije osposobljene zaposlenike, teško
provode rotaciju dužnosti.
 Modeli integriteta
• opisuju načine ostvarivanja politike integriteta.
• Tri su cilja integriteta, koje različiti modeli postižu na
različite načine:
1. spriječavanje neovlaštenih korisnika da
modificiraju podatke ili programe,
2. spriječavanje ovlaštenih korisnika da modificiraju
podatke ili programe na nepropisan i neovlašten
način,
3. održavanje unutarnje i vanjske konzistentnosti
podataka i programa.
 Ključni aspekti
povjerljivosti
• su korisnička identifikacija i autentifikacija.
• Uspjela identifikacija je nužna kako bi se
osigurala učinkovitost politika koje
specificiraju koji korisnici imaju pravo pristupa
pojedinim podacima.
 Najčešde prijetnje povjerljivosti su:
• Hakiranje
Haker je netko tko preuzima kontrolu nad sustavom
iskorištavajuci sigurnosne slabosti koje postoje u
sustavu.
• Maskiranje
Maskiranje je proces kojim ovlašteni korisnik pristupa
sustavu, ali pomodu lozinki drugih
korisnika. Na taj način pristupa datotekama kojima
inače nema pristup. Maskiranje je česta pojava u
organizacijama gdje više korisnika dijeli istu lozinku.
• Neovlaštena korisnička aktivnost
Ovaj tip aktivnosti se pojavljuje kad autorizirani korisnik dobije
pristup datotekama kojima nema pravo pristupa. Slabe
kontrole pristupa često omoguduju pristup neautoriziranim
korisnicima koji mogu kompromitirati povjerljive podatke.
• Nezaštideno preuzimanje (engl. download) datoteka
Preuzimanje datoteka može kompromitirati povjerljive
informacije, ako tijekom procesa preuzimanja datoteke budu
prenešene iz sigurnog okruženja u nesigurno okruženje, u
kojem povjerljivim datotekama mogu pristupiti neovlašteni
korisnici.
• Lokalne mreže (engl. Local Area Networks)
Lokalne mreže predstavljaju posebnu prijetnju
povjerljivosti informacija jer podaci koji putuju
mrežom mogu biti kompromitirani u svakom čvoru
mreže.
• Trojanski konji
Trojanski konji mogu kopirati povjerljive datoteke u
neovlaštena područja sustava, ukoliko korisnik koji
ima pravo pristupa tim datotekama, ne znajudi, izvrši
takav program.
• Modeli povjerljivosti opisuju akcije koje je potrebno poduzeti
da bi se osigurala povjerljivost informacija. Najčešde korišten
model povjerljivosti je Bell-LaPadula model koji definira
odnose izmedu objekata (npr. datoteke, programi,
informacijski sustavi) i subjekata (npr. ljudi, procesi). Veze
izmedu subjekata i objekata opisane su razinama pristupa
subjekata objektima koji imaju svoju razinu osjetljivosti.
• Model kontrole pristupa koji sustav dijeli na objekte, subjekte
i operacije je isto često korišten model povjerljivosti. Model
ima definirana pravila koja opisuju koje operacije nad
objektima mogu izvoditi pojedini subjekti.
• Kontrola pristupa na računalnim sustavima ima ulogu ograničavanja
štete koju napadači ili neoprezni korisnici mogu prouzročiti.
• Modeli kontrole pristupa koje koriste moderni sustavi dijele se u
dvije grupe:
- modele temeljene na mogudnostima i
- modele temeljene na listama kontrole pristupa
(ACL – Access Control List).
• Osim ove podjele kontrola pristupa dijeli se i prema metodama
implementacije na:
- diskrecijski model (DAC – Discretionary Access Control),
-mandatorni model (MAC – Mandatory Access Control) i
-model grupa i uloga (RBAC – Role-based access control).
Model temeljen na mogudnostima
• Na primjer, neka postoji računalni sustav u
kojem program, da bi pristupio određenom
objektu, mora imati posebnu značku (eng.
token).
• Značka (token) određuje (označava)
objekt i pruža programu (subjektu)
dovoljne ovlasti za izvođenje određenog
skupa akcija, kao što su čitanje ili pisanje,
nad tim objektom.
 Liste kontrole pristupa (ACL)
• Lista kontrole pristupa je uređeni skup podataka o
ovlastima ili pravima pristupa svih subjekata (korisnika ili
programa) na računalnom sustavu.
• Svaki korisnik ili grupa korisnika ima određena prava
pristupa i ovlasti nad specifičnim objektom (direktorij ili
datoteka). Svaki korisnik (subjekt) ima određena prava
pristupa, kao što su ovlasti čitanja, pisanja ili izvođenja
nad nekim objektima.
• Primjer:
drwxrwxrwx Alice Uprava
 Diskrecijski model
• Diskrecijski model kontrole pristupa (eng.
Discretional model – DAC) je oblik kontrole
pristupa računalnim resursima (npr. direktoriji
i datoteke) u kojem se pojedinim korisnicima
dodjeljuje jedinstven tip pristupa, odnosno
ovlasti.
 Koncepti DAC
• vlasništvo datoteka i podataka – svaki objekt u
sustavu ima svog vlasnika. U vedini DAC sustava
pretpostavljeni vlasnik objekta je onaj subjekt
(korisnik ili proces) koji ga je stvorio.
• Politiku pristupa, dakle, određuje vlasnik objekta.
• prava pristupa i ovlasti – vlasnik objekta ih može
dodijeliti ostalim subjektima na računalu za taj objekt
 Mandatorni model
• Mandatorni model je oblik kontrole pristupa
kod kojeg operacijski sustav ograničava
mogudnost subjekta u pristupanju i/ili
obavljanju neke akcije nad objektima.
• Subjektima i objektima je dodijeljena skupina
sigurnosnih oznaka ili klasifikacija.
• TOP SECRET  Povjerljivo
• SECRET  Tajno
• CONFIDENTIAL  Vrlo tajno
• OPEN
• Mandatorni se model pristupa koristi u
višerazinskim sustavima u kojima se obrađuju vrlo
osjetljivi podaci, kao što su povjerljive informacije
vladinih i vojnih organizacija.
• U mandatornim sustavima svi subjekti i objekti moraju
imati oznake osjetljivosti.
Poznata je tzv. Narančasta knjiga (eng. Orange book = Trusted
Computer System Evaluation Criteria (TCSEC)) koju je izdalo
Ministarstvo obrane SAD-a i u kojoj se definira mandatorni model kao
sredstvo za ograničavanje pristupa objektima.

Na slici mogude je uočiti da osoba s ovlastima Secret

može pisati u dokument, ali ga ne može čitati, a
osoba sa ovlastima Top secret može čitati, ali ne
smije pisati.

Bell-LaPadula model; Izvor: Modeli kontrole pristupa;http://www.cert.hr/sites/default/files/CCERT-PUBDOC-2008-01-218.pdf

 Model temeljen na ulogama
• Model temeljen na ulogama (eng. Role Based
Access Control – RBAC) je način ograničavanja
pristupa autoriziranim korisnicima.
• To je novija alternativa diskrecijskom modelu i
mandatornom modelu.
 Prijetnje dostupnosti
• Uskradivanje usluge (engl. Denial of service - DoS)
Radi se o vrsti napada u kojem se obično namjernim
generiranjem velike količine mrežnog prometa nastoji zagušiti
mrežna oprema i poslužitelji. Isti postaju toliko opteredeni da
više nisu u stanju procesirati legitimni promet što na kraju ima
za posljedicu da legitimni korisnici ne mogu koristiti mrežne
usluge poput maila weba i sl.
• Distribuirano uskradivanje usluge (engl. Distributed Denial of
Service) je oblik napada uskradivanjem usluga u kojem su
izvori zagušujuceg mrežnog prometa distribuirani na više
mjesta po Internetu. Najčešde se radi o računalima na koja je
prethodno provaljeno kako bi ih se iskoristilo za napad na
druge mreže ili računala na Internetu.
Uskradivanje usluge (engl. Denial of service
- DoS)
 Prijetnje dostupnosti (2)
• Gubitak sposobnosti procesiranja podataka kao rezultat
prirodnih katastrofa (npr. poplave, potresi, požari) ili ljudskih
akcija (teroristicki napadi, štrajkovi)
• Ovakvi gubici se prate planiranjem nepredvidenih situacija
(engl. contingency planning) što pomaže minimizirati vrijeme
nedostupnosti sredstava za procesiranje podataka.
• Planiranje nepredvidenih situacija, koje može uključivati
planiranje oporavka od katastrofe (engl. disaster recovery
planning), planiranje obnove poslovnih procesa (engl.
business resumption planning) i sl., pruža alternativne načine
procesiranja podataka odnosno osiguranje dostupnosti.
 Što je informacijska sigurnost?
(2)
• Pod pojmom informacijske sigurnosti podrazumijeva se
zaštita informacija od velikog broja prijetnji, kako bi se
osigurao poslovni kontinuitet, smanjio rizik, te povedao
broj poslovnih prilika i povrat od investicija.
• Informacijska sigurnost se postiže primjenom
odgovarajudih kontrola, koje se odnose na sigurnosnu
politiku, procese, procedure, strukturu organizacije i
funkcije sklopovske i programske opreme. Navedene
kontrole je potrebno osmisliti, implementirati, nadzirati,
pregledavati i poboljšavati kako bi se osiguralo ispunjenje
poslovnih i sigurnosnih zahtjeva organizacije.
 Zašto je važna informacijska sigurnost?
• Informacije i pripadni procesi, sustavi i mreže su važan dio
poslovne imovine. Definiranje, implementacija, održavanje i
poboljšavanje informacijske sigurnosti može biti od presudne
važnosti kako bi se ostvarila i zadržala konkurentnost, osigurao
dotok novca i profitabilnost, kako bi se zadovoljile zakonske
norme i osigurao poslovni ugled.
• Organizacije se suočavaju s brojnim sigurnosnim prijetnjama
poput računalnih prijevara, špijunaže, sabotaže, vandalizma,
požara, poplave i sl. Šteta nanesena organizaciji u obliku
zlodudnog koda, računalnog hakiranja i uskradivanja usluge je
sve prisutnija pojava.
• Informacijska sigurnost je jednako važna javnim i
privatnim organizacijama. Povezanost javnih i
privatnih računalnih mreža i dijeljenje informacija
otežavaju kontrolu pristupa informacijama. U takvim
uvjetima oblici centralizirane kontrole nisu učinkoviti.
Upravljanje informacijskom sigurnošdu zahtjeva
sudjelovanje svih zaposlenika organizacije, a često je
potrebna pomod konzultanta izvan granica
organizacije.
 Pregled svjetskih organizacija u
području informacijske sigurnosti – Izvor: www.cert.hr -
CCERT-PUBDOC-2008-08-238

• Computer Emergency Response Team (CERT) - naziv

za ekipu stručnjaka koji rješavaju sigurnosne
incidente - zadada je nacionalnih CERT-ova (CARNet
CERT) višestruka: oni prikupljaju podatke o
sigurnosnim prijetnjama i incidentima, sudjeluju u
rješavanju incidenata, pri izradi zakona i propisa iz
područja informacijske sigurnosti, educiranju
korisnika itd.

• USA CERT: http://www.us-cert.gov

• Australski CERT: http://www.auscert.org.au
• Britanski CERT: http://www.ukcert.org.uk/
 ISC održava i top listu najvedih sigurnosnih rizika:
http://www.sans.org/top20

• Među organizacijama koje se bave informacijskom sigurnošdu s pretežno

tehničkog stajališta, na prvom mjestu valja spomenuti SANS Institute.
Naziv je skradenica od SysAdmin, Audit, Network, Security. Osnovan je
1989. kao „kooperativna istraživačka i obrazovna organizacija“.
• Između mnogobrojnih djelatnosti instituta, najvažnije su:

a) Treninzi iz informacijske sigurnosti – niz intenzivnih višednevnih tečajeva iz

područja kao što su sigurno administriranje sustava, otkrivanje upada
(Intrusion detection), hakerske tehnike itd.
b) Certifikacijski program GIAC – cijenjeni certifikati iz područja sigurnog
administriranja sustava, upravljanja, nadzora i sigurnosti softvera.
...
• IT Governance - je tvrtka specijalizirana za pružanje usluga iz
područja upravljanja IT službom, upravljanja rizikom,
usklađivanja s regulativom, vođenja projekata i informacijske
sigurnosti. Uz edukaciju i savjetovanje razvili su i zapaženu
izdavačku djelatnost. Jedan od njihovih autora je poznati
stručnjak za upravljanje informacijskom sigurnošdu Alan
Calder, autor nekoliko cijenjenih knjiga o standardima ISO
27001 i 17799. Razvili su i program koji olakšava uvođenje
sustava upravljanja informacijskom sigurnošdu, na primjer
alate za procjenu rizika i izradu sigurnosne politike. Web
adresa IT Governance tvrtke je:
http://www.itgovernance.co.uk
• Secunia - danska tvrtka poznata po tome što prati
ranjivosti za preko 12.000 različitih programa i
operacijskih sustava. Secunia okuplja istraživače koji
redovito testiraju ranjivosti, dokumentiraju ih,
objavljuju analize i savjetuju kako se zaštiti. Nezavisni
su i drže do reputacije beskompromisnih istraživača,
koji usude objaviti detalje o ranjivosti usprkos
protivljenju proizvođača programa u kojem je
propust pronađen.
 Sigurnost informacijskih sustava
• Sigurnost informacijskih sustava može biti
ugrožena na više načina. Prijetnje možemo
podijeliti prema izvoru:
1. ljudi – namjerne prijetnje,
2. ljudi – nenamjerne prijetnje,
3. oprema,
4. prirodne nepogode.
• Iako mnogi smatraju da prijetnje sigurnosti
sustava naješe dolaze izvana (napadi hakera),
istraživanja koja su obavljena i objavljena
pokazuju sasvim suprotne činjenice.
 Fizičko-sigurnosni
problemi 19%

Virusi 4%
Ljudske pogreške
55%
Vanjski napadi 3%

Mrzovoljni
zaposlenici
9%

Nepošteni
zaposlenici
10%
 Principi sigurnosti informacijskih sustava
• Organizacija za ekonomsku suradnju i razvoj (engl. The
Organisation for Economic Cooperation and Development -
OEDC ) je ustanovila 9 principa sigurnosti informacijskih
sustava:

1. Svijest o informacijskoj sigurnosti

• Važno je biti svjestan potrebe za sigurnošdu informacijskih
sustava i zaštitnim sigurnosnim mjerama.
2. Odgovornost
• Svi članovi organizacije su odgovorni za sigurnost
informacijskih sustava.
3. Odziv
• Svi članovi organizacije trebaju pravovremeno i kooperativno
sudjelovati u spriječavanju, detekciji i rješavanju sigurnosnih
incidenata.
4. Etika
• Svi članovi organizacije trebaju postupati respektivno prema
legitimnim interesima ostalih.
5. Demokracija
• Sigurnost informacijskih sustava treba biti u skladu s pravilima
demokratskog društva.
6. Procjena rizika
• Potrebno je provoditi procjene rizika.
7. Dizajn i implementacija sigurnosnih mjera
• Sigurnosne kontrole trebaju biti sastavni dio informacijskih
sustava.
8. Upravljanje sigurnošdu
• Organizacija treba uspostaviti jasan pristup upravljanju
sigurnošdu.
9. Promjene
• Organizacija treba redovito nazdirati sustav informacijske
sigurnosti i izvoditi potrebno modifikacije sigurnosnih politika,
mjera, procedura i sl.
Što nije sigurnost informacijskog sustava?
• paranoja
- zabranjivanje svega - svih mogudih detalja u
pristupnim listama
- zaključavanje pristupa "za svaki slučaj"

• neugodnost sustava
- netransparentni rad + forsirana autentifikacija i
- autorizacija na svim medijima prije rada
- politika "idem zabraniti, pa du dozvoliti ako de se
netko žaliti"
 Što je računalni kriminal ?(1)
• D. Parker: “opda forma kroz koju se ispoljava različiti
oblik kriminalne aktivnosti, forma koja de u
bududnosti postati dominantna”…
• Taber: “računalski delikt koji uključuje visokostručne
operacije na računalu u okolnostima gdje do povrede
ne bi moglo dodi na drugi način” (krađa, uništenje,
oštedenje)…
• Muhlen: “računalo sredstvo ili cilj kaznenog djela”…
 Što je računalni kriminal (2)
• Krapac: “računalski kriminal označava sve slučajeve
zloupotrebe elektronskog računala koji su pravno
određeni kao kaznena djela”….
• Dragičevid: računalni kriminal je ukupnost kaznenih
djela, učinjenih na određenom području kroz
određeno vrijeme, kojima se neovlašteno utječe na
korištenje, cjelovitost i dostupnost, programske ili
podatkovne osnovice računalnog sustava ili tajnost
digitalnih podataka”…
 Izvori prijetnji Motiv Akcije
Haker, craker
• Izazov • Hakiranje
• Ego • Socijalni inženjering
• Pobuna • Upad sustav
• Neautoriziran pristup
sustavu
Kompjuterski
kriminal • Uništenje informacija • Kompjuterski kriminal
• Ilegalno otkrivanje • Neovlaštene radnje
podataka (presretanje informacija,
• Novčani dobitak lažno predstavljanje...)
• Ilegalna izmjena • Podmetanje informacija
podataka • Ometanje, ulaženje u
sustav
Teroristi
• Uništavanje informacija • Bombaški napadi
• Ucjene • Rat informacijama
• Izrabljivanje • Probijanje u sustav
• Osveta • Uplitanje u sustav
Poslovna
špijunaža • Prednost u poslovanju • Ekonomsko iskorištavanje
(kompanije, • Ekonomska špijunaža • Krađa informacija
inozemne vlade i • Korist • Upad u privatnost
sl.) • Neautorizirani upadi u
sustav

Insiders (upućena
osoba) • Radoznalost • Napad na djelatnike
(nezadovoljstvo, • Ego • Ucjena
zlonamjernost, • Snalažljivost • Brisanje podataka
nemarnost....) • Novac • Prijevare i krađe
• Osveta • Presretanje
• Namjerne greške i • Sabotaža
propusti
 Postupanje s računalnim kriminalom
• Prevencija: procjena rizika i analiza prijetnji, fizička
sigurnost, sigurnost osoblja, komunikacijska
sigurnost, operacijska sigurnost, planiranje načina za
borbu protiv računalnog kriminala
• Otkrivanje: mjere otkrivanja, tim za rukovođenje
kriznim situacijama, obrada i pradenje upada, istraga
i pravosudni progon, bilježenje tragova, prikupljanje
dokaza
• Kažnjavanje: rukovanje s dokazima, vještačenje
eksperata, prezentacija na sudu, aktivnosti nakon
presude
 Zakoni i uredbe iz područja informacijske
sigurnosti RH
• Narodne novine (www.nn.hr) nisu
organizacija koje se bavi informacijskom
sigurnošdu, ali su primarni izvor za
pronalaženje zakona i uredbi koje donose
sabor i vlada, te krovne organizacije za
pojedine djelatnosti poput Narodne banke
Hrvatske.
Izvor: www.cert.hr - CCERT-PUBDOC-2008-08-238
 Legislativa koja se odnosi na sve
organizacije
• Zakon o elektroničkom potpisu (NN 10/02)
• Zakon o zaštiti osobnih podataka (NN 103/03)
• Uredba o načinu pohranjivanja i posebnim
mjerama tehničke zaštite posebnih kategorija
osobnih podataka (NN 139/04)
• Zakon o pravu na pristup informacijama (NN
172/03)
• Zakon o elektroničkoj ispravi (NN 150/05)
 Tijela državne vlasti i lokalne
samouprave
• Zakon o sigurnosnim službama (NN 32/02)
• Zakon o informacijskoj sigurnosti (NN 79/07)
• Zakon o sigurnosno-obavještajno sustavu (NN 32/02)
• Zakon o tajnosti podataka (NN 79/07)
• Uredba o mjerama informacijske sigurnosti (NN 46/08)
• Uredba o sigurnosnoj provjeri za pristup klasificiranim podacima
(NN 72/07)
• Uredba o načinu označavanja klasificiranih podataka, sadržaju i
izgledu uvjerenja o obavljenoj sigurnosnoj provjeri i izjave o
postupanju s klasificiranim podacima (NN 102/07)
• Pravilnik o kriterijima za ustrojavanje radnih mjesta savjetnika za
informacijsku sigurnost (NN 100/08)
 Banke i kreditne organizacije
• Odluka o primjerenom upravljanju informacijskim
sustavom (HNB, NN 80/07)
• Smjernice za adekvatno upravljanje rizikom
eksternalizacije (HNB listopad 2005.)
• Smjernice Za upravljanje informacijskim sustavom u
cilju smanjenja operativnog rizika (HNB ožujak 2006.)
• Smjernice za ovladavanje rizikom informacijskog
sustava u kreditnim unijama (HNB studeni 2007)
 Ostale financijske institucije
• Pravilnik o detaljnom obliku i najmanjem
opsegu te sadržaju revizorskog pregleda i
revizorskog izvješda društava za osiguranje (NN
76/06)
• Pravilnik o uvjetima za obavljanje poslova
ovlaštenog društva (NN 14/07)
• Pravilnik kojim se uređuje poslovanje društva
za upravljanje investicijskim fondovima (NN
25/07)
 Napad
• Pasivni - ne mijenja napadnuti objekt

• Aktivni - mijenja napadnuti objekt

1. unutarnji-posjeduje ovlaštenja
2. vanjski-ne posjeduje ovlaštenja

Cilj napada: podatkovni resursi

strojna podrška
programska podrška
 Tipovi napada
• Interes počinitelja se može definirati kao napad
– provala - upad
• Ostvarenje koristi/štete ... Provala
• Samodokazivanje ............. Upad
• Napad u kontekstu računalnog kriminala:
1. Uspješan napad
2. Napad u pokušaju
 Kategorije napada
• U osnovi, napadi su akcije koje su usmjerene na
ugrožavanje sigurnosti informacija, računalnih
sustava i mreža. Postoje različite vrste napada, ali
se oni generalno mogu podijeliti u četiri osnovne
kategorije:
a) Presjecanje, prekidanje (engl. interruption)
b) Presretanje (engl. interception)
c) Izmjena (engl. modification)
d) Proizvodnja (engl. fabrication)
 Normalni tok

Presjecanje Presretanje

Izmjena Proizvodnja
Prekidanje (eng. interruption), predstavlja napad na raspoloživost.
Prekidanjem ili presijecanjem se prekida tok informacija tj. onemogućava
sepružanje neke usluge ili funkcioniranje nekog sustava. Ova kategorija
uključuje razne tipove napada, poput fizičkih kada osoba isključi usmjerivačili
ga na neki drugi način onesposobi. Također, prekidanje se može izvestitako da
napadač uspije dobiti pristup računalu, poslužitelju i sl. te takoizvede
prekidanje. DoS i DDoS napadi su klasični napadi prekidanja, tj.presijecanja
informacija. Takav napad je aktivan

Izvor: SVEUČILIŠTE U ZAGREBUUČITELJSKI FAKULTET ZAGREB – PODRUŽNICA U ČAKOVCU, Dario Šincek

DISTRIBUIRANI NAPAD USKRADIVANJEM USLUGA DIPLOMSKI RAD
Napad na povjerljivost. Ovaj tip napada često se koristi. Izvršava
seprisluškivanjem mrežnog prometa u svrhu dobivanja osjetljivih
informacijapoput lozinki, brojeva kreditnih kartica i sl. Napad „čovjek u sredini
“ (eng.„man in the middle“) je karakterističan za ovu kategoriju. Izumljene su
različite tehnologije u svrhu prevencije krađe informacija na takav način:
SSL, VPN, 3DES, BPI+ itd. Te tehnologije rade na principu šifriranja
podataka i protoka podataka kao ne bi došlo do njuškanja i krađe. Kao
pasivan napad teško se otkriva jer ne mijenja podatke tj. ne utječe
nafunkcioniranje sustava.
Izmjena (eng. modification), predstavlja napad na
integritet (eng.integrity). Po svojoj prirodi to je aktivan
napad. Obuhvada napade sa ciljem neovlaštenog brisanja,
ometanja ili izmjene podataka, i to na takav način da krajnji
korisnik prihvada izmjene kao potpuno legalne. Takve je
napade obično teško otkriti. Motiv ovih napada može biti
podmetanje lažnih podataka.
Generiranje nepostojedeg sadržaja (eng.
fabrication), predstavlja napad na
autentičnost (eng. authenticity). Napadač
izvodi ovaj aktivan napad tako da generira
lažne podatke, lažan promet ili izdaje
neovlaštene naredbe. Veoma često se koristi i
lažno predstavljanje korisnika,
usluge,poslužitelja ili nekog drugog dijela
sustava.
 Anatomija napada
1. Ispitaj i procjeni (engl. survey and assess)
2. Iskoristi i prođi (engl. exploit and penetrate)
3. Povedaj privilegije (engl. escalate privileges).
4. Održi pristup (engl. maintain access).
5. Odbij uslugu (engl. deny service)
Ispitaj i procijeni (survey and assess). Prvi
korak koji haker/napadač obično preuzima je
istraživanje potencijalne mete i identificiranje
i procjena njenih karakteristika. Te
karakteristike mogu biti podržani servisi,
protokoli s mogudim ranjivostima i ulaznim
točkama. Napadač koristi informacije
prikupljene na ovaj način kako bi napravio
plan za početni napad.
Izvor:
http://marjan.fesb.hr/~pravdica/srm/Hakeri_g
ospodari_Interneta.pdf
Istraži i prodri (exploit and penetrate). Nakon što je
istražio potencijalnu metu, haker/napadač
pokušava da istraži ranjivost i da prodre u mrežu ili
sustav. Ako su
mreža ili umreženo računalo (najčešde poslužiteljsko
računalo) potpuno osigurani, aplikacija postaje
sljededa ulazna točka za napadača – napadač de
najlakše upasti u sustav kroz isti ulaz koji koriste
legitimni korisnici. Na primjer, može se upotrijebiti
stranica za prijavljivanje ili stranica koja ne zahtijeva
provjeru identiteta (authentication).
Povedaj privilegije (escalate privileges). Nakon što
napadač uspije da ugrozi aplikaciju
ili mrežu – na primjer, ubacivanjem (injecting) koda
u aplikaciju ili uspostavljanjem
legitimne sesije na operacijskom sustavu – odmah
de pokušati povedati svoja prava.
Posebno de pokušati preuzeti administratorske
privilegije tj. da une u grupu korisnika
koji imaju sva prava nad sustavom. Definiranje
najmanjeg nužnog skupa prava i
usluga koji je neophodno omoguditi korisnicima
aplikacije, primarna je obrana od
napada povedanjem privilegija.
Održi pristup (maintain access). Kada prvi put
uspije da pristupi sustavu,
haker/napadač preuzima korake da olakša
budude napade i da prekrije tragove. Čest
način olakšavanja bududih pristupa je
postavljanje programa sa „zadnjim vratima“
(back-door) ili korištenje postojedih naloga koji
nisu strogo zaštideni. U prikrivanje
tragova često spada brisanje dnevničkih
datoteka (log files) i skrivanje hakerskih alata.
Odbij uslugu (deny service). Hakeri/napadači koji ne
mogu da pristupe sustavu ili
računalnoj mreži i da ostvare svoj cilj, često preuzimaju
napad koji prouzrokuje
odbijanje usluge (denial of service attack, DoS), kako bi
spriječili druge da koriste
aplikaciju (primjer ovakvog napada je SYN flood attack;
haker/napadač koristi
program koji šalje veliki broj TCP SYN zahtjeva da bi se
zagušio red dolazedih konekcija na poslužiteljskom
računalu, onemogudavajudi tako druge korisnike da se
povežu na poslužitelj i iskoriste njegove usluge). Za
druge hakere/napadače, DoS napad je cilj od samog
početka.
Odnos razine i mjere sigurnosti
 Definiranje sigurnosnih zahtjeva

• Tri su glavne kategorije za definiranje sigurnosnih zahtjeva:

1. Procjena rizika, uzimajudi u obzir poslovnu strategiju

organizacije i njezine ciljeve. Kroz procjenu rizika se
identificiraju prijetnje imovini organizacije i njezina ranjivost.
Također se određuje vjerojatnost pojave prijetnji i njihov
utjecaj na organizaciju ukoliko se te prijetnje realiziraju.
2. Legalne, ustavne, zakonske i ugovorne obveze koje
organizacija mora zadovoljiti.
3. Skup ciljeva, načela i poslovnih zahtjeva organizacije.
 Procjena rizika
• Sigurnosni zahtjevi se identificiraju metodičkom
procjenom sigurnosnih rizika. Proširenje sigurnosnih
kontrola mora biti proporcionalno šteti koju
sigurnosni propusti nanose organizaciji. Rezultati
procjene rizika pomažu u određivanju prioriteta i
prikladnih akcija kod upravljanja sigurnosnim
rizicima. Procjena rizika se mora provoditi periodički
kako bi se u procjenu uključile bilo kakve promjene
koje bi mogle utjecati na rizik.
 Ranjivost
• Pod pojmom ranjivosti smatraju se svi propusti i slabosti u
sustavu sigurnosti koji omoguduje provođenje neovlaštenih
aktivnosti.
• Ranjivost se najčešde povezuje sa propustima u programskom
kodu, no mogudi su i mnogi drugi primjeri, kao što su površno
implementirana fizička sigurnost, nedovoljno poznavanje i
neprikladan izbor tehnologija i alata, propusti u dizajnu
sustava, propusti u implementaciji i održavanju sustava i sl.
• Bez adekvatne analize ranjivosti, gotovo je nemogude
pouzdano odrediti sigurnosni rizik.
• Sama logika nas navodi na to da tamo gdje nema rizika nema
smisla ulagati u zaštitna sredstva, implementiraju se samo ona
zaštitna sredstva koja de biti opravdana i smislena u pogledu
zaštite poslovnih ciljeva organizacije.
Graf procjene prihvatljivog rizika
 Izbor odgovarajudih kontrola
• Nakon što se identificiraju sigurnosni zahtjevi i
napravi procjena rizika, potrebno je izabrati i
implementirati prikladne kontrole kako bi se
rizik sveo na prihvatljivu razinu. Izbor kontrola
ovisi o organizaciji, odnosno prihvatljivosti
rizika i načinu upravljanja rizikom, ali i o
nacionalnim i međunarodnim zakonskim
pravima i obvezama.
 Početna točka u postizanju
informacijske sigurnosti
• Kontrole presudne za organizaciju sa zakonske
točke gledišta su:

a) zaštita informacija i tajnosti osobih

podataka;
b) čuvanje organizacijskih izvještaja;
c) poštivanje prava intelektualnog vlasništva.
Kontrole koje u praksi postižu dobre rezulate kod
implementacije informacijske sigurnosti su:

a) sigurnosna politika;
b) podjela odgovornosti informacijske sigurnosti;
c) svijest o informacijskoj sigurnosti,edukacija i
trening;
d) ispravno procesiranje podataka u aplikacijama;
e) upravljanje ranjivostima;
f) upravljanje poslovnim kontinuitetom;
g) upravljanje sigurnosnim incidentima i
poboljšanjima sustava.