OZIS vjesnik za informacijsku sigurnost
16.06.2008. / OZIS vjesnik / Br. 10
Sadržaj:

  1. Najvažniji informacijski rizici u 2008. godini
  2. Globalna studija o tržištu radne snage u području informacijske sigurnosti
  3. Vijesti!

CISO.com
Bogat izbor materijala za podršku poslovima koje obavlja CISO.

Gartner
Najpoznatija svjetska kuća za istraživanje tržišta, između ostalog i u području sigurnosti.

Prijavi se!

Odjavi se!
Najvažniji informacijski rizici u 2008. godini
Na Internetu možemo naći veliki broj različitih popisa informacijskih prijetnji i ranjivosti koje objavljuju IT kompanije, nezavisne organizacije ili pojedinci. Kad je riječ o popisima koje objavljaju respektabilne organizacije (SANS, CERT, NIST, ISACA i sl.) možemo s velikom dozom sigurnosti reći da su pouzdani i temeljeni na iskustvu iskusnih profesionalaca. Njihova je vrijednost što menadžeru informacijske sigurnosti mogu poslužiti kao inicijalni popis pri procesu analize rizika koji se može dodatno proširivati ili dekomponirati nakon dublje analize sigurnosne situacije (npr. kod skupnih brainstorming sastanaka tima za procjenu rizika popis općenitih ranjivosti može pomoći kod generiranja novih ideja).

Ipak, s obzirom da je riječ o popisima općenitih rizika, prijetnji i ranjivosti, koliko god bili kvalitetni njihovi izvori, ne možemo ih direktno preslikati u konkretnu situaciju u poslovnoj sredini.

Na temelju više izvora sastavili smo popis koji, po našem iskustvu, najbolje opisuje sigurnosnu problematiku u hrvatskim poduzećima. Iako popis ne donosi revolucionarne novosti smatramo ga dobrim početkom u procesu analize rizika.

Nadamo se da će ova analiza voditeljima informacijske sigurnost, kako u financijskom tako i u proizvodnom sektoru, pomoći u prepoznavanju sigurnosnih rizika u vlastitoj sredini.

Prijetnje

  • needucirano osoblje koje je radi svog neznanja sklono nesigurnim aktivnostima,
  • nemotivirano i nezadovoljno osoblje koje nerado provodi ili ne provodi utvrđenu sigurnosnu praksu,
  • zakonske obaveze koje nameću sigurnosnu praksu i postupke, a koji traže angažman dodatnih resursa,
  • tehnički napredak koji otežava zaštitu i izvor je novih prijetnji,
  • nemarni zaposlenici, osobito posebno programeri i administratori koji propuštaju riješiti slabosti, a mogu postati i unutarnjim saboterima,
  • socijalni inžinjering s ciljem krađe identiteta radi financijskih iznuda i/ili prijevara,
  • phising, spam i slični pokušaji koji troše mrežne kapacitete, odvlače pozornost i pune e-mail sandučiće s potencijalno maliciozinim kodom,
  • kompetitori na tržištu koji preuzimaju top-zaposlenike a s njim i veliki broj osjetljivih podataka,
  • prirodne prijetnje.

koriste

RANJIVOSTI

  • management koji još uvijek ne razumije inf.sec. (ne želi se zamarati sigurnošću te je uvodi samo ako baš mora),
  • softverski bugovi osobito kod masovnih programskih paketa,
  • neprimjerene investicije u sigurnost (investiranje na krivim područjima),
  • nedovoljna pažnja ljudskoj komponenti,
  • nemar, ignoriranje sigurnosne prakse,
  • slabo upravljanje imovinom, nedostatak odgovornosti za sigurnost, loše provedena procjena rizika,
  • change management koji zakazuje pred prečestim promjenama IT infrastrukture,
  • slab Incident Respond Management,
  • naslijeđena IT imovina bez dovoljne dokumentacije, bez mogućnosti kvalitetnog održavanja i nadogradnje,
  • help i desk centri osjetljivi na phising i socijalni inženjering.

koje dovode do

POSLJEDICA

  • ometanje poslovnih procesa, većinom neraspoloživost prodajnih procesa,
  • direktni financijski gubitak nastao krađama i prijevarama,
  • gubitak ugleda kroz smanjivanje snage branda, gubitka kupaca, žalbi kupaca,
  • troškovi zamjene IT opreme,
  • smanjena profitabilnost kao posljedica sigurnosnih incidenta,
  • gubitak privatnosti,
  • otkrivanje osjetljivih poslovnih podataka javnosti,
  • otkrivanje („curenje“) osjetljivih informacija van tvrtke (radi malicioznog koda, radi primjene prijenosnih medija i nezaštićenih računalnih mreža ili radi zaposlenika),
  • kartične prijevare,
  • neautorizirano korištenje intelektualnog vlasništva (nelicencirani software, neovlašteno korištenje know-how).

Frost & Sullivan izvještaj

Kako smo i najavili, u narednih ćemo se nekoliko brojeva vjesnika osvrnuti na opsežno istraživanje o globalnim trendovima na tržištu radne snage u području informacijske sigurnosti za 2008. godinu koje je provela poznata istraživačka kuća Frost & Sullivan, po nalogu organizacije (ISC)2. U ovom broju donosimo tri glavna faktora koja će, prema provedenom istraživanju, utjecati na značajan rast informacijske sigurnosti u svim aspektima.

  • Povjerenje javnosti - većina ispitanika je važnost sprječavanja gubitka reputacije organizacije stavila na prvo mjesto. Istraživanje je došlo i do podatka da se gubitak uslijed incidenta informacijske sigurnosti, procjenjuje na $50-$200 po izgubljenom zapisu.
  • Sukladnost - glavni pokretač koji stoji iza ubrzanog rasta ove profesije. Zahtjevi za sukladnošću, uglavnom postavljeni od strane regulatora, stavljaju velik teret na leđa višeg managementa, što nužno podiže važnost informacijske sigurnosti unutar organizacije.
  • Povrat ulaganja (Return On Investment - ROI) - jedan od osnovnih izazova svakog managera je osiguravanje povrata ulaganja organizacije. Kazne zbog kršenja regulatornih zahtjeva pružaju managerima jasno opravdanje za ulaganja u informacijsku sigurnost. Ovaj aspekt, uz porast efikasnosti koji nužno donose sigurnosne kontrole i alati, stvaraju okruženje u kojem vrijednost sigurnosti može biti mjerena s pozitivnim ROI.

Frost & Sullivan je istraživanje proveo na 7,548 ispitanika u javnom i privatnom sektoru tijekom druge polovice 2007. godine.

Web stranice tvrtke: Frost & Sullivan

Google u službi napadača

Stručnjaci iz tvrtke Finjan, koji su nedavno otkrili nekoliko nezaštićenih poslužitelja s brojnim povjerljivim podacima, demonstrirali su način na koji je korištenjem Googlea moguće te podatke pronaći. Upotrebljavajući ciljane fraze i ključne riječi pri pretraživanju, uspjeli su doći do velikog broja lozinki i korisničkih imena, brojeva socijalnog osiguranja, kreditnih kartica pa čak i do internih korisničkih podataka korištenih isključivo unutar pojedinih kompanija. Podaci su dohvaćeni sa slabo zaštićenih malicioznih poslužitelja. Nalazili su se u log datotekama s trojanaca koji su ih, popunivši ih s podacima pronađenih na zaraženim računalima, pohranjivali na poslužitelje. Kako je Google automatski indeksirao sporne datoteke, ciljanim se pretraživanjem lako pronalaze. U posljednje se vrijeme web pretraživači sve više koriste za izvođenje napada pa brojni sigurnosni stručnjaci upozoravaju kako se mogućnosti pretraživača ne smiju podcjenjivati.

Izvor: CERT, 30.05.2008.