U zadnjih nekoliko dana se intenzivno u medijima provlači tema vezana za objavu „Registra branitelja“. U svakom slučaju, u kontekstu Zakona kojim se brani objavljivanje pomenutog registra ovaj događaj je nezakonit. Ja ne želim raspravljati o tome da li Zakon treba ili ne mijenjati, ili o tome tkoje kriv za curenje informacije u javnost, ili o nekim političkim reperkusijama. Ja bi dao svoj pogled na neke aspekte sustava informacijske sigurnosti (ISMS) kroz taj posljednji sigurnosni incident. Pri tome bi se očitovao samo na međunarodnu normu koja je i u RH prihvaćena kao nacionalna, a to je ISO/IEC 27001:2005.
U emisiji Otvoreno (HTV1 07.04.2010.) čuo sam komentar od jednog sugovornika da se nemože govoriti o nepostojanju informacijske sigurnosti kada je riječ o tako važnim državnim institucijama kada su u tu problematiku investirana sredstva, a i da je primjenjena najvažnija norma za informacijsku sigurnost ISO 27001. Ja nemam informacija o tome u kojim ministarstvima je uveden sustav i koliko je novaca uloženo u zaštititu informacija, u ostalom kao i niti jedan drugi prosječni građanin, ali kao specijalista za sustave upravljanja informacijskom sigurnošću iz nekoliko činjenica objavljenih ili neobjavljenih u medijima mogu zaključiti da ne postoji uspostavljen sustav informacijske sigurnosti koji je u skladu s normom ISO/IEC 27001:2005, barem u dijelu državne uprave koji je vezan za pomenuti registar. Možda je i uspostavljen, ali onda ne funkcionira onako kako bi trebalo. Iz čega se to može zaključiti? Pa evo jednog primjera: u kontekstu pomenute norme ISO/IEC 27001:2005 prvi i glavni odgovorni je VLASNIK IMOVINE (Asset owner), a svi drugi mogu biti suodgovorni. Taj vlasnik informacijske imovine mora imati svoje ime i prezime i on odgovara organizaciji (u ovom slučaju Vladi ili nekoj drugoj instituciji RH kojoj je podređen). Njegova odgovornost je za sve rizike i realizaciju rizika koji su vezani za neki sigurnosni incident oko informacijske imovine koja je učesnik u incidentu. Meni nije poznato da se spomenulo niti jedno ime koje bi bilo vlasnik informacijeske imovine koja se zove „Registar branitelja“, te da je s njim u suradnji pokrenut postupak utvrđivanja odgovornosti za sigurnosni incident. On nije vlasnik u imovinskom smislu, nego u smislu upravljanja rizicima i odgovoran je za propisani način baratanja s imovinom u odnosu na stupanj klasifikacije (tajnosti) prema definiciji norme ISO/IEC 27001:2005. Kod problema upravljanja rizicima za informacijsku imovinu u kontekstu ISO/IEC 27001:2005 vlasnik informacijske imovine mora imati procjenu s prepoznatim ranjivostima i prijetnjama. U koliko je rizik narušavanja informacijske sigurnosti značajan, tada vlasnik imovine mora organizirati češći, a ponekad i trajni monitorig stanja informacijske sigurnosti. Kada je to tako, informacijski forenzičari i policija u pravilu imaju relativno jednostavan i lagan zadatak za utvrđivanje odgovornosti za sigurnosni incident. Pored toga, norma ISO/IEC 27001:2005 ne poznaje kolektivnog vlasnika informacijske imovine niti poznaje moralnost odgovornih već samo dokazano ponašanje u skladu s propisanom procedurom za upravljanje informacijskom imovinom. Tu norma ISO/IEC 27001:2005 unosi jednan detalj po kojemu se odgovornost za incident može tražiti samo ako postoji eksplicitno definirana procedura za baratanje s takvim informacijama i/ili informacijskom imovinom. Pri tome se mora naglasiti da norma ISO/IEC 27001:2005 inzistira eksplicitno na poštivanju pozitivne nacionalne legislative. To drugim riječima znači da je aplsolutno neprihvatljiva bilo kakva procedura koja nije u skladu sa Zakonima RH koji se odnose na nju ili međunarodne ugovore koje je prihvatila RH. Ni jedan (savjesni) auditor koji vrši auditiranje prema toj normi za uspostavu ISMS nemože dati pozitivnu ocjenu audita ako nema eksplicitnu listu vlasnika cjelokupne informacijske imovine (između ostalog) za uspostavljeni ISMS. To automatski znači da se nemože govori o sustavu informacijske sigurnosti koji je u skladu s ISO/IEC 27001:2005. Ja sam siguran da postoje određeni oblici i sustavi zaštite informacija, pogotovo zato što je RH članica NATO saveza, ali oni sigurno nisu potpuno u skladu s ISO/IEC 27001:2005. Ti sigurnosni sustavi mogu biti i bolji, mogu biti efikasniji, specijalistički, ali to nije ISMS prema pominjanoj normi.
U emisiji Otvoreno (HTV1 07.04.2010.) čuo sam komentar od jednog sugovornika da se nemože govoriti o nepostojanju informacijske sigurnosti kada je riječ o tako važnim državnim institucijama kada su u tu problematiku investirana sredstva, a i da je primjenjena najvažnija norma za informacijsku sigurnost ISO 27001. Ja nemam informacija o tome u kojim ministarstvima je uveden sustav i koliko je novaca uloženo u zaštititu informacija, u ostalom kao i niti jedan drugi prosječni građanin, ali kao specijalista za sustave upravljanja informacijskom sigurnošću iz nekoliko činjenica objavljenih ili neobjavljenih u medijima mogu zaključiti da ne postoji uspostavljen sustav informacijske sigurnosti koji je u skladu s normom ISO/IEC 27001:2005, barem u dijelu državne uprave koji je vezan za pomenuti registar. Možda je i uspostavljen, ali onda ne funkcionira onako kako bi trebalo. Iz čega se to može zaključiti? Pa evo jednog primjera: u kontekstu pomenute norme ISO/IEC 27001:2005 prvi i glavni odgovorni je VLASNIK IMOVINE (Asset owner), a svi drugi mogu biti suodgovorni. Taj vlasnik informacijske imovine mora imati svoje ime i prezime i on odgovara organizaciji (u ovom slučaju Vladi ili nekoj drugoj instituciji RH kojoj je podređen). Njegova odgovornost je za sve rizike i realizaciju rizika koji su vezani za neki sigurnosni incident oko informacijske imovine koja je učesnik u incidentu. Meni nije poznato da se spomenulo niti jedno ime koje bi bilo vlasnik informacijeske imovine koja se zove „Registar branitelja“, te da je s njim u suradnji pokrenut postupak utvrđivanja odgovornosti za sigurnosni incident. On nije vlasnik u imovinskom smislu, nego u smislu upravljanja rizicima i odgovoran je za propisani način baratanja s imovinom u odnosu na stupanj klasifikacije (tajnosti) prema definiciji norme ISO/IEC 27001:2005. Kod problema upravljanja rizicima za informacijsku imovinu u kontekstu ISO/IEC 27001:2005 vlasnik informacijske imovine mora imati procjenu s prepoznatim ranjivostima i prijetnjama. U koliko je rizik narušavanja informacijske sigurnosti značajan, tada vlasnik imovine mora organizirati češći, a ponekad i trajni monitorig stanja informacijske sigurnosti. Kada je to tako, informacijski forenzičari i policija u pravilu imaju relativno jednostavan i lagan zadatak za utvrđivanje odgovornosti za sigurnosni incident. Pored toga, norma ISO/IEC 27001:2005 ne poznaje kolektivnog vlasnika informacijske imovine niti poznaje moralnost odgovornih već samo dokazano ponašanje u skladu s propisanom procedurom za upravljanje informacijskom imovinom. Tu norma ISO/IEC 27001:2005 unosi jednan detalj po kojemu se odgovornost za incident može tražiti samo ako postoji eksplicitno definirana procedura za baratanje s takvim informacijama i/ili informacijskom imovinom. Pri tome se mora naglasiti da norma ISO/IEC 27001:2005 inzistira eksplicitno na poštivanju pozitivne nacionalne legislative. To drugim riječima znači da je aplsolutno neprihvatljiva bilo kakva procedura koja nije u skladu sa Zakonima RH koji se odnose na nju ili međunarodne ugovore koje je prihvatila RH. Ni jedan (savjesni) auditor koji vrši auditiranje prema toj normi za uspostavu ISMS nemože dati pozitivnu ocjenu audita ako nema eksplicitnu listu vlasnika cjelokupne informacijske imovine (između ostalog) za uspostavljeni ISMS. To automatski znači da se nemože govori o sustavu informacijske sigurnosti koji je u skladu s ISO/IEC 27001:2005. Ja sam siguran da postoje određeni oblici i sustavi zaštite informacija, pogotovo zato što je RH članica NATO saveza, ali oni sigurno nisu potpuno u skladu s ISO/IEC 27001:2005. Ti sigurnosni sustavi mogu biti i bolji, mogu biti efikasniji, specijalistički, ali to nije ISMS prema pominjanoj normi.
Druga činjenica vezana za stanje informacijske sigurnosti koja se provlači kroz medije je potpuna tišina o obrazovanju ljudi, podizanju svijesti svih zaposlenika ali i drugih koji na neki način dolaze u kontakt s informacijskim sustavom. Taj problem je od posebne važnosti. Toliko je bitan da se u normi ISO 27001:2005 posebno naglašava i zahtjeva provođenje sistematske obuke osoblja koje neposredno rukuje s takvim informacijama, a svima ostalima je obvezno podizanje svijesti. Taj zahtjev u normi ISO 27001:2005 je toliko važan da je nemoguće provesti do kraja implementaciju i certificiranje ako organizacija nema dokaz da je provela obrazovanje i podizanje svijesti svih koji su u doticaju s informacijskim sustavom. Praksa u svijetu (a zašto onda ne i kod nas) pokazuje da je oko 80% svih sigurnosnih problema u informacijskim sustavima vezano za ljude, organizaciju, loše procedure rada, ne pridržavanje procedura, itd, a svega cca 20% u sferi tehnologije. Tu ne pomažu sigurnosne mjere koje bi trebale odgovoriti napadače na informacijsku sigurnost (u ovom slučaju su zakoni i represivne mjere, direktive, zaposvijesti itd). Zato norma i inzistira da se svima podiže svijest o informacijskoj sigurnosti, a neki da se posebno obrazuju u tom smislu. Da li se to provodilo ili nije, ja neznam, ali sklon sam sumnjati u to jer nitko se ne očituje na taj problem. Pored toga, vjerojatno je i recesija dala svoj doprinos odnosu prema obrazovanju za informacijsku sigurnost, ali to nemože biti opravdanje za sigurnosni incident. U Hrvatskoj postoji samo jedna školska ustanova koja ima dozvolu „Ministarstva znanosti, obrazovanja i športa“ za školovanje specijalista informacijske sigurnosti u skladu s normom ISO 27001, a ujedno je i program školovanja harmoniziranom sa shemom Europske organizacije za kvalitetu (EOQ). Koliko je meni poznato tu nema polaznika iz državne uprave. Zar onda treba očekivati nešto više od informacijske sigurnosti u bilo kojoj organizaciji, pa bile one i tijela državne uprave.
Treba ipak imati na umu i jednu činjenicu koja je u svijetu realnost: s nekim sustavima upravljanja (kao npr. Za kvalitetu, upravljanje okolišem, itd) organizacije koje su nosioci certifikata se hvale jer su marketinški u prednosti (između ostalih razloga). Međutim, kada je u pitanju informacijska sigurnost mnoge organizacije javno ne objavljuju da imaju proveden ISMS niti se hvale s tim certifikatima. Što je ozbiljnost organizacije veća, to je manja vjerojatnost da ćete naći informacije o njihovom uspostavljenom ISMS. Čak se ni savjetnicima ne dozvoljava da navode takve organizacije u svoje referentne liste, a proizvođaći specijalnog softvera za te svrhe ne navode u svojim referencama njih kao korisnike, itd. Ali ako jedan predstavnik vlasti izjavi da je proveden ISO 27001, onda naravno da svi oni koji znaju o čemu se radi očekuju i ponašanja u skladu s tom normom ili mogu sumnjati u točnost izjave.
U slučaju objave „Registra branitelja“ postoje tri kuta gledanja: jedan je politički s političkim reperkusijama o kojem trebaju govoriti političari, drugi je pravni o kojem trebaju govoriti odvjetnici i tužiteljstvo itd., te treći, stručni kut gledanja na informacijsku sigurnost o kojem bi trebali govoriti stručnjaci kao što su specijalisti za sustave informacisjke sigurnosti, forenzičari za informacijske incidente, itd. U tom smislu bi bilo dobro da se svatko drži svog područja struke za koji je kompetentan.
Problem informacijske sigurnosti sigurno je jedan od najvećih i najinteresantnijih trenutno u odnosu na sve sustave upravljanja, i kako je rekao voditelj u pomenutoj emisiji, u ovom slučaju je „pušten je duh iz boce“. Treba misliti na potencijalne nove „duhove iz boce“ u budućnosti, jer za ovog „duha“ sada posao trebaju odrađivati policija, informacijski forenzičari, odvjetnici i sl. Da problem curenja informacija nije mali ima primjera svakodnevno u svijetu koji govore samo jedno: loše ili nikako uspostavljen sustav informacijske sigurnosti. Za to krivnju snosi organizacija koja to treba kod sebe provesti. Nedavno je objavljen interesantan članak u kojem jedan „osviješteni“ ruski hacker pokazuje kako se bez problema probija u informacijski sustav jedne vlade. To ne radi zbog svoje neke nadnaravne genijalnosti, nego isključivo zbog neprihvatljivo lošeg sustava informacijske sigurnosti koji je trebala provesti dotična vlada. Želim da vjerujem da je u RH situacija suprotna i da ne postoje takve mogućnosti, te da nas neće iznenaditi neki novi „duhovi iz boce“ bez obzira što pojedinci mislili o značenju i važnosti tih informacijama.
Na kraju zašto je „manji“ problem s loše uspostavljenim sustavima upravljanja kvalitetom, ili okolišem, kao i drugim menadžement sustavima? Vrhovna uprava je nejčešće u stanju ne prikazivati loše ili nedovoljno dobre efekte tih sustava upravljanja, jer sve ostaje u glavnom u okvirima organizacije i njihovih papira. Međutim, propusti u informacijskoj sigurnosti su bolniji jer u pravilu završavaju u javnosti zato što su i napadi na njih u glavnom izvana, a najčešće podržani od nekih (zbog nekog razloga nezadovoljnih) članova organizacije.
Ne treba zaboraviti osnovnu premisu norme ISO/IEC 27001:2005 : informacija je imovina koja kao i svaka druga imovina ima svoju vrijednost. Ta vrijednost možđe biti iskazana u financijskim iznosima ali i vrijednosti ciljeva koje se žele postići. Zbog toga neprijatelji nastoje nanijeti štetu narušavanjem informacijske sigurnosti koja se ogleda obično kroz krađu informacija, ili neovlaštenu izmjenu i manipulaciju. Tako kaže norma, a praksa, na žalost, to svakodnevno potvrđuje.
Treba ipak imati na umu i jednu činjenicu koja je u svijetu realnost: s nekim sustavima upravljanja (kao npr. Za kvalitetu, upravljanje okolišem, itd) organizacije koje su nosioci certifikata se hvale jer su marketinški u prednosti (između ostalih razloga). Međutim, kada je u pitanju informacijska sigurnost mnoge organizacije javno ne objavljuju da imaju proveden ISMS niti se hvale s tim certifikatima. Što je ozbiljnost organizacije veća, to je manja vjerojatnost da ćete naći informacije o njihovom uspostavljenom ISMS. Čak se ni savjetnicima ne dozvoljava da navode takve organizacije u svoje referentne liste, a proizvođaći specijalnog softvera za te svrhe ne navode u svojim referencama njih kao korisnike, itd. Ali ako jedan predstavnik vlasti izjavi da je proveden ISO 27001, onda naravno da svi oni koji znaju o čemu se radi očekuju i ponašanja u skladu s tom normom ili mogu sumnjati u točnost izjave.
U slučaju objave „Registra branitelja“ postoje tri kuta gledanja: jedan je politički s političkim reperkusijama o kojem trebaju govoriti političari, drugi je pravni o kojem trebaju govoriti odvjetnici i tužiteljstvo itd., te treći, stručni kut gledanja na informacijsku sigurnost o kojem bi trebali govoriti stručnjaci kao što su specijalisti za sustave informacisjke sigurnosti, forenzičari za informacijske incidente, itd. U tom smislu bi bilo dobro da se svatko drži svog područja struke za koji je kompetentan.
Problem informacijske sigurnosti sigurno je jedan od najvećih i najinteresantnijih trenutno u odnosu na sve sustave upravljanja, i kako je rekao voditelj u pomenutoj emisiji, u ovom slučaju je „pušten je duh iz boce“. Treba misliti na potencijalne nove „duhove iz boce“ u budućnosti, jer za ovog „duha“ sada posao trebaju odrađivati policija, informacijski forenzičari, odvjetnici i sl. Da problem curenja informacija nije mali ima primjera svakodnevno u svijetu koji govore samo jedno: loše ili nikako uspostavljen sustav informacijske sigurnosti. Za to krivnju snosi organizacija koja to treba kod sebe provesti. Nedavno je objavljen interesantan članak u kojem jedan „osviješteni“ ruski hacker pokazuje kako se bez problema probija u informacijski sustav jedne vlade. To ne radi zbog svoje neke nadnaravne genijalnosti, nego isključivo zbog neprihvatljivo lošeg sustava informacijske sigurnosti koji je trebala provesti dotična vlada. Želim da vjerujem da je u RH situacija suprotna i da ne postoje takve mogućnosti, te da nas neće iznenaditi neki novi „duhovi iz boce“ bez obzira što pojedinci mislili o značenju i važnosti tih informacijama.
Na kraju zašto je „manji“ problem s loše uspostavljenim sustavima upravljanja kvalitetom, ili okolišem, kao i drugim menadžement sustavima? Vrhovna uprava je nejčešće u stanju ne prikazivati loše ili nedovoljno dobre efekte tih sustava upravljanja, jer sve ostaje u glavnom u okvirima organizacije i njihovih papira. Međutim, propusti u informacijskoj sigurnosti su bolniji jer u pravilu završavaju u javnosti zato što su i napadi na njih u glavnom izvana, a najčešće podržani od nekih (zbog nekog razloga nezadovoljnih) članova organizacije.
Ne treba zaboraviti osnovnu premisu norme ISO/IEC 27001:2005 : informacija je imovina koja kao i svaka druga imovina ima svoju vrijednost. Ta vrijednost možđe biti iskazana u financijskim iznosima ali i vrijednosti ciljeva koje se žele postići. Zbog toga neprijatelji nastoje nanijeti štetu narušavanjem informacijske sigurnosti koja se ogleda obično kroz krađu informacija, ili neovlaštenu izmjenu i manipulaciju. Tako kaže norma, a praksa, na žalost, to svakodnevno potvrđuje.
