Jedna od interesantnijih kategorija operativnog rizika je prijevara (Fraud). Prijevara je oblik prijetnje kod koje napadač koristi različite tehnike kako bi došao do informacija (podaci o identitetu korisnika, podaci o bankovnim računima, PIN brojevi) i/ili sredstva (bankovnih kartica, tokena za e-banking) pomoću kojih će ostvariti financijsku korist. Informacije koje napadač prikuplja mogu biti i posredne te samo poslužiti kao pomoć kod otkrivanja traženih informacija (npr. identitet korisnika kod Application Fraud). U zadnje smo vrijeme svjedoci povećanog broja kartičnih prijavara koje se temelje na korištenju tuđih bankovnih kartica ili na korištenju povjerljivih i osobnih informacija dovoljnih za manipuliranjem s bankovim računom. Posebno aktualni oblici prijevara su Credit card fraud ili prijavara bankovnih kartica te Cash machine fraud, prijevara pomoću bankomata.

Credit card fraud (Prijevara kreditnom karticom)	Lost and stolen card fraud (izgubljene ili ukradene kartice)	§         Mail non-receipt fraud (kartica nije stigla na odredište) §         Stolen cards fraud (ukradene kartice)   §         Lost card fraud (izgubljene kartice)
	CNP fraud (prijevara bez kartice on-line kupovinom)
	Identity theft on cards (krađa identiteta)	§     Application fraud (otvaraje računa u tuđe ime) §     Account take-over fraud (preuzimanje vlasništva nad postojećim računom)	-    On-line social engineering (Phishing) -    Social Engineering by Phone -    Reverse social engineering -    Hacking (ID theft) -    Dumpster Diving -     Shoulder surfing
Cash machine fraud (prijevare na bankomatima)	§         Skimming ( Kopiranje podataka s kartice) §         Card-trapping (zadržavanje kartice u bankomatu)

Jedan oblik kartične prijevare se odnosi na korištenje tuđe pronađene (Lost cards fraud) ili otuđene kartice (Stolen cards fraud) te na posebnu kategoriju otuđivanja kartice u poštanskom prometu (Mail non-recipient fraud). Pri tom napadač koristi karticu za plaćanje usluga i kupovinu. Ta je prijetnja zadnjih godina u padu radi uvođenja tajnih PIN brojeva za kartice.

Druga vrsta prijetnji dolaze od prijavare izvedenih bez posjedovanja kartice (Card not present fraud). Tu se misli na prijevare koje su provedene kupovinom internetom ili telefonom. Pri tom napadač koristi podatke o kartici ukradene tijekom on-line transakcije. Ova je vrsta prijevare u današnje vrijeme izvor najbrojnijih incidenta s karticama. Problem u borbi s tom vrstom prijevare je u tome što nema fizičke prisutnosti vlasnika kartice niti same kartica u trenutku korištenja pa se autentičnost ne može koristiti.

Sljedeća vrsta prijevare s odnosti na krađu identiteta vlasnika bankovnog računa (Identity theft on cards). Pri toje se vrsti prijevare napadač koristi svim dostupnim informacijama ne bi li došao do podataka pomoću kojih može pristupiti bankovnom računu pojedinca. Nakon što prikupi podatke napadač koristi dva oblika napada. Prvi oblik napada se odnosi na otvaranje bankovnog računa na ime druge osobe (Application fraud) korištenjem ukradenih dokumenta. Drugi se napad odnosi na preuzimanje vlasništva nad tuđim računom (Account take over) također koritenjem ukradenih dokumentata te drugih podataka. U oba slučaja napadač koristi reseurse bankovnog računa druge osobe. U oba slučaja napadač doalzi do podataka o pojedincu vlasniku tehnikama socijalnog inženjeringa.

Na kraju, veliki broj evidentiranih prijevara odnosi se i na prijevaru izvedenu na bankomatima (Cash machine fraud). Te su prijevare izvedene u cilju otuđivanja kartice (Card-trapping) koju navodno zadržava bankomat ili kopiranja podataka s kartice (Skimming).

KAKO SMANJITI RIZIKE OD KARTIČNIH PRIJEVARA ?

Kako pojedinac može umanjiti rizik od djelovanja takvih rizika. Općenito koristi informiranje o sigurnosnim prijetnjama i podizanje "kulture sigurnosti" a neki od savjeta "sigurnog ponašanja" trebali bi preći u naviku:

• nikome, ali baš nikom ne otkrivajte PIN broj te ga ne zapisujte
• u trgovini gledajte pažljivo što prodavač radi s vašom karticom
• koristiti bankomate u banci kad je god moguće
• pratite nije li nektko preblizu vas kad koristite bankomat, ako je otiđite na drugi bankomat
• pokrivajte svoje PIN prilikom utipkavanja
• provjeravajte redovito bankovne izvadke
• uvijek uzmite svoj račun ili izvadak i ne bacajte ga
• koristite on-line dućane samo poznatih web-adresa koje imaju i stvarnu fizičku adresu
• u slučaju sumnje u prijevaru kontaktirajte banku odmah da smanjite mogućnost korištenja vaše kartice
• ako očekujete karticu od banke ili PIN broj koji ne dolazi na vrijeme obavijestiti banku
• ako koristiti on-line plaćenje provjerite da li je uspostavljen sigurni prijenos podataka( https://www.....)
• plaćate radije kreditnom nego debitnom karticom radi manjeg limita

Korištenje osobnih podataka regulirano je Zakonom o zaštiti osobnih podataka, a provedba je povjerena Agenciji za zaštitu osobnih podataka. Najveći broj pitanja prema Agenciji je došao vezan uz registraciju voditelja zbirki osobnih podataka. Voditelji zbirki osobnih podataka su sve pravne i fizičke osobe (tvrtke, ustanove, obrtnici) koje prikupljaju i obrađuju osobne podatke, primjerice, o svojim zaposlenicima. Oni su dužni u Agenciju dostaviti evidencije o svojim zbirkama podataka, prema vrstama (ime, prezime, adresa, ...) bez otkrivanja identiteta osobe.

Procijenjeni broj voditelja zbirki	Broj evidentiranih voditelja zbirki	Postotak onih koji su u prekršaju
80000	4185	95%
stanje početkom veljače 2008. godine

Velik broj tvrtki nije upoznat s obvezama iz Zakona pa je tako početkom veljače ove godine u Središnjem registru bilo evidentirano ukupno 4185 voditelja zbirki osobnih podataka, s ukupno 6329 prijavljenih evidencija zbirki osobnih podataka. Kako ravnatelj Agencije Franjo Lacko procjenjuje da je voditelja zbirki najmanje 80.000, jasno je da se tek svaka dvadeseta tvrtka prijavila u Središnji registar. Svi ostali su zapravo u prekršaju, a rok za prijavu je istekao još prije tri godine!

Međutim, slična je situacija bila i u drugim zemljama Srednje i Istočne Europe koje su u međuvremenu postale članice Europske unije. Agencija zasad ne namjerava kažnjavati prekršitelje, nego se nada da će nizom seminara do kraja ove godine utrostručiti broj prijavljenih voditelja zbirki podataka.

Izvor: Privredni vjesnik, br. 3518, 25.02.2008.

Odjel za informacijsku sigurnost (OZIS) i ove je godine pripremio više stručnih seminara iz područja informacijske sigurnosti i kontinuiteta poslovanja. Seminare kao i do sad izvode stručnjaci ZIK-ovog odjela za informacijsku sigurnost (OZIS). Svaki seminar uključuje teoretska izlaganja i praktične radionice.

SEMINAR (Solaris Holiday Resort Šibenik)	CIJENA	TERMIN
Upravljanje informacijskom sigurnošću i uspostava ISMS sustava prema HR ISO/IEC 27001:2006 normi   Predavač: Hrvoje Pernar, dipl.inf., CISA, ABCP, ISO 27001 Lead Auditor	5.690,00 kn   + PDV	02-04.04.2008.
Metode i tehnike procjene rizika u kontekstu uspostave ISMS-a, BCMS-a  i upravljanja operativnim rizikom Predavač: mr.sc. Mario Sajko, dipl.inf.	5.690,00 kn   + PDV	16-18.04.2008.
Osposobljavanje za interne revizore  HR ISO/IEC 27001:2006   Predavači: Dalibor Uremović, dipl.inf., ISO 27001 Lead Auditor Jurica Čular, dipl.ing., ISO 27001 Lead Auditor	5.690,00 kn   + PDV	07-09.05.2008.
Upravljanje kontinuitetom poslovanja i uspostava BCMS sustava prema normi BS 25999                                                  Predavači: prof.dr.sc. Nikola Hadjina, CISA, CISSP                  Hrvoje pernar, dipl.inf., CISA, ABCP, ISO 27001 Lead Auditor	5.690,00 kn   + PDV	15- 17.10.2008.

Iskoristite priliku, predbilježite se što prije, jer je vrijeme održavanja seminara blizu. Ostanite u koraku s novostima iz područja koja vas interesiraju.

Provjerite i dodatne pogodnosti prilikom pohađanja OZIS-ovih seminara >>

Više informacija i prijava na seminare na ZIK-ovim stranicama.

Zavod za ispitivanje kvalitete objavio je na hrvatskom jeziku normu BS 25999-2:2007 – Zahtjevi, dio standarda koji se odnosi na zahtjeve na Sustav upravljanja kontinuitetom poslovanja, a kao nastavak prethodnog izdanja BS 25999-1:2006 - Kodeks pakse.

Ova norma opisuje zahtjeve nužne za realizaciju cjelovitog životnog ciklusa Sustava za upravljanje kontinuitetom poslovanja (BCMS) prema kojima se može provesti usklađenje i/ili certifikacija.

Cijena standarda je 1171,23 kn + PDV, a može se naručiti:

• narudžbenicom
• na telefon ++385 (0)1 4806 788 ili
• mailom na: infosec@zik.hr

Narudžbenicu možete naći na ZIK-ovim stranicama.

SanDisk je najavio USB flash memoriju Cruzer Titanium Plus. Kapacitet memorije iznosi 4 GB, ali glavna karakteristika ove memorije je automatski online backup. Tako se korisniku čim se uspostavi veza na Internet nudi opcija kojom memorija sav svoj sadržaj šalje na servis BelnSync.

Loša strana ove memorije je to što za rad zahtijeva Windowse 2000, XP ili Vistu, a nakon prvih šest mjeseci korištenja backup se plaća 30 dolara godišnje. Naravno, memoriju je moguće koristiti i kao običan USB stick, dolazi s AES enkripcijom, a kućište od titana trebalo bi ga osigurati od udaraca. SanDiskov Cruzer Titanium Plus u SAD-u će biti raspoloživ od ožujka.

Izvor: Bug ON Line, 03.01.2008.

Zadnji pokazatelji govore da je SQL napad postao sve češći oblik napada na web poslužitelje. Sigurnosni stručnjaci govore o tisućama napada na poslužitelje te dodaju da su na nekim poslužiteljima i nakon napada zabilježili isto stanje odnosno da nisu ni svjesni napada.

Symantec izvještava da su poslužitelji napadnuti "robotom" koji pokreće iterativnu SQL petlju kako bi stekao popis tablica u bazi preuzimajući ga iz sysobjects tablice. Potom kolone tekstualnog tipa proširuje zloćudnom skriptom. Više informacija potražite na TechWorld-ovim stranicama.

Izvor: TechWorld, 08.01.2008.