Gubitak ili neovlašteno pristupanje osobnim podacima najčešće rezultira krađom identiteta ("identity theft") i raznim vrstama prijevara (krivotvorenje, pljačka i sl.) od strane zaposlenika (unutarnja prijevara) i/ ili vanjskih strana (vanjska prijevara). Do incidenta može doći na različite načine, npr. :

• korisnik je pristupio osobnim podacima u papirnatoj ili elektroničkoj formi, a nema ovlaštenje za to,
• uljez/napadač je provalio u bazu osobnih podataka,
• računalna oprema (laptop, USB, CD/DVD mediji itd.) koja sadrži osobne podatke je ukradena ili izgubljena,
• poslovna jedinica nije na odgovarajući način uništila zapise s osobnim podacima (u skladu s definiranim postupcima odbacivanja medija)

Problem je izuzetno širokih razmjera i generira milijarde eura godišnjih gubitaka na globalnoj razini. Statistika govori da je broj CNP ("card-not-present"; prijevara bez fizičke prisutnosti kartice, Internetom, telefonom li poštom) prijevara u konstantnom porastu iz godine u godinu (stopa rasta je dvoznamenkasta), čemu direktno pridonosi velik porast broja korisnika Interneta odnosno korisnika online trgovina, a što ponajprije ukazuje na nedovoljnu razinu svijesti o informacijskoj sigurnosti. Unatoč brojnim mehanizmima zaštite (CSC, SecureCode i sl), prema Association of Payment Clearing Services (APACS; apacs.org.uk), ukupni gubici zbog CNP prijevara u UK za prvih 6 mjeseci ove godine iznose 137 milijuna funti (1.4 milijarde kn).

Porezna Uprava Velike Britanije izgubila je osobne podatke 25 milijuna ljudi (preko 7 milijuna obitelji), koji uključuju imena korisnika i njihove djece, adrese i datume rođenja, brojeve pod kojim se vode korisnici dječjeg doplatka, brojeve kod nacionalnog osiguranja, a kod nekih i brojeve računa u bankama. Ovo je incident katastrofalnih razmjera čije se prave posljedice još ne mogu ni naslutiti (popis mogućih vrsta prijevara temeljem krađe identiteta je vrlo iscrpan). Propust je strašan - podaci na dva diska su na obradu poslani internom poštom.

Bez obzira na vrstu provođenja testa, odgovorne osobe (čak i sama Uprava) moraju biti upoznati s terminima, metodologijom i opsegom penetracijskog testiranja. Kao i kod provjere ranjivosti, proces penetracijskog testiranja može ugroziti performanse i raspoloživost testiranog sustava te mu je potrebno prići s iznimnim oprezom i visokom razinom znanja.

Nedavna pljačka 12 milijuna kuna osječke podružnice Raiffeisen banke, u režiji djelatnika banke i vanjskih pomagača, a na temelju ukradenih podataka o osobama koje su u mogućnosti podizati novac s računa tvrtke koja je oštećena za navedeni iznos (premda je banka vrlo brzo obeštetila tvrtku), također govori u prilog tome da je ključ (ne)sigurnosti u rukama ljudi i ponovno potiče na razmišljanje kako takve incidente spriječiti ili ih pravovremeno detektirati.

Što se može učiniti da se spriječi gubitak/krađa osobnih ili bilo kojih drugih osjetljivih podataka? Minimalno je potrebno sljedeće :

• utvrditi i dokumentirati o kojim se točno podacima radi, gdje se sve ti podaci nalaze, tko je njihov vlasnik, koja su sve sredstva njihovog prijenosa i tko je sve ovlašten im pristupati,
• provesti klasifikaciju podataka i odrediti pravila za postupanje s klasificiranim podacima,
• procijeniti rizike nad osobnim podacima te odrediti i implementirati potrebne sigurnosne kontrole,
• korektivno, u sklopu plana odgovora na incidente detaljno razraditi kako postupati u slučaju incidenta gubitka osobnih podataka.

Ipak, kako je ljudski faktor ključan i predstavlja najveću prijetnju sigurnosti informacija, neizostavno je planirati i provoditi sveobuhvatan program podizanja svijesti o informacijskoj sigurnosti na razini cijele organizacije.

Jedini pravilan jest sustavan pristup ovom problemu, a to je prihvaćanje i primjena standarda za upravljanje informacijskom sigurnošću odnosno najbolje prakse. ISO 27001 standard je tu neprikosnoven, premda postoje i brojni drugi standardi koji daju vrlo kvalitetne, opsežne i primjenjive preporuke (poput Payment Card Industry (PCI) Data Security standarda).

ZIK OZIS u prosincu organizira seminar na temu operativnih rizika, izrade i održavanja plana kontinuiteta.

Seminar je zamišljen kao spoj tema iz područja procjene operativnih rizika i planiranja kontinuitetom poslovanja. Usmjeren je na upoznavanje poslovodstva banaka na obavezu i način implementacije sustava za upravljanje rizikom te usklađen s obavezama proizašlim iz dokumenta „Smjernice za upravljanje informacijskim sustavom u cilju smanjenja operativnog rizika“ koje izdaje Hrvatska narodna banka.

Seminar predstavlja trodnevnu kombinaciju predavanja i radionica potrebnih za upoznavanje s dijelovima procesa upravljanja operativnim rizikom te čimbenicima rizika. Polaznici će se kroz seminar upoznati s načinom ispunjanja obaveza koje proizlaze iz Zakona o bankama (Upravljanje operativnim rizicima vezanim za primjenu informacijskih tehnologija), metodologijom upravljanja informacijskim rizikom CRAMM za koju je ZIK d.o.o. ovlašteni zastupnik u Republici Hrvatskoj te razvojem strategije kontinuiranog poslovanja (prema BS 25999-1 - Business continuity management).

Više informacija možete pronaći ovdje: detalji seminara.

Izdavački odjel British Standards Institute-a (BSI) je u studenom izdao novu normu, ovaj put su to zahtjevi za uspostavljanje, implementaciju, izvršavanje, nadzor, održavanje i poboljšavanje sustava upravljanja kontinuitetom poslovanja (eng. BCMS).

Zahtjevi uspostavljeni u ovoj normi su generički, te su predviđeni da budu primjenjivi u svim organizacijama, bez obzira na njihovu vrstu, veličinu i prihod.

Zahtjevi su usklađeni sa ISO 9001:2000, ISO 14001:2004 i ISO 27001:2005 kako bi podržao konzistentnu i integriranu implementaciju i rad s vezanim sustavima upravljanja. Tako se u zahtjevima mogu pronaći uobičajena poglavlja poput općih zahtjeva, uspostavljanja i upravljanja sustavom, zahtjevi na dokumentaciju, korektivne i preventivne akcije i ostalo.

Više informacija možete pronaći ovdje: BSI Shop

Jedan on najvećih incidenata informacijske sigurnosti izišao je na svjetlo dana prije par tjedana. Šturi novinski natpisi izvjestili su javnost o nestanku 2 CD-a iz Porezne uprave na kojima se nalazila baza s osobnim podacima o 25 milijuna građana Velike Britanije. Uz osnovne podatke na CD-ovima su se nalazili adrese korisnika, brojevi pod kojim se vode korisnici dječjeg doplatka, brojeve nacionalnog osiguranja i - brojeve računa u bankama.

Kako je zapravo došlo do gubitka podataka? Kao i obično, zatajila je ljudska karika. Mladi pripravnik koji je dobio zaduženje da isporuči podatke u središnji ured "spržio" je dva CD-a s bazom podataka, zaključao ih lozinkom i tada - napravio pogrešku. Pošiljku s CD-ovima poslao je na odredište korištenjem najobičnije poštanske usluge. Par dana kasnije, iz središnjice je javljeno da CD-ovi nisu stigli na odredište.

Kako zlonamjerne osobe mogu iskoristiti ove podatke? Postoji zapravo više načina na koji se ovi podaci mogu iskoristiti. Lažnim predstavljanjem, potencijalni napadači mogu otvarati račune u bankama, podizati nove kreditne kartice te uzimati zajmove na ime stvarnih korisnika.

Čitava situacija je zapravo najviše naljutila banke koje će snositi sav financijski gubitak u slučaju ostvarenja prevare. U najboljem slučaju, banke u narednom periodu čeka postupak otvaranja novih računa, te stalno praćenje pojave sumnjivih zahtjeva, što će sigurno iziskivati dodatne i nezanemarive financijske resurse.

Zasad još nije uočena nikakav pokušaj prevare povezan s ovim incidentom. CD-ovi su možda završili u nekom kontejneru i možda uistinu ne bude nikakvih negativnih posljedica. Ipak, ovaj nam incident na, za neke, bolan način ukazuje na to da su i osobni podaci zapravo imovina koju je potrebno štititi na jednak način kao i novac u novčaniku ili u banci.

WipeDisk je jedan od alata za sigurno brisanje podataka sa hard diskova (fizičko i logičko), USB stick-ova i disketa. Podržava 14 metoda brisanja, između ostalog i standarde Američkog ministarstva obrane, Američke mornarice te NATO standardnu metodu brisanja.

Alat dolazi sa višejezičnom podrškom (nažalost, ne i hrvatskom) i besplatno se može skinuti sa web stranica proizvođača: Gaijin (Austrija).

Oracle je 16.10.2007. izdao kritičnu zakrpu u kojoj se ispravlja 51 sigurnosni propust u različitim Oracleovim proizvodima, uključujući 27 propusta u popularnom sustavu za upravljanje bazama podataka, od kojih se pet mogu iskoristiti udaljeno bez potrebe za autentifikacijom. Ranjivosti su pronađene u različitim komponentama sustava za upravljanje bazama podataka. 11 sigurnosnih propusta tiče se Oracle Application Servera, uključujući i najkritičniji propust u cijeloj zakrpi kojoj je pridijeljena CVSS (Common Vulnerability Scoring System) oznaka 6.8. Sedam od 11 propusta su kritični jer omogućuju udaljeno preuzimanje kontrole nad sustavom, a nalaze se u sljedećim komponentama: Oracle Containers for J2EE, HTPP Server, Internet Directory, Portal, Process Management i Notification i Oracle Single Sign-On. Oracle je prošlu zakrpu izdao u srpnju koja je ispravila 45 sigurnosnih propusta.

Izvor: CERT, 11.10.2007.