Video

U ovom radu spominju se i objašnjavaju osnovne stvari oko informacijske sigurnosti. Govori se o područjima primjene te o pet koraka od kojih se mora sastojati informacijska sigurnost. Osim toga, seminar se bavi i profesionalnim mogućnostima unutar ovog rastućeg područja, pri čemu se navodi kako Agencija Europske unije za kibernetičku sigurnost identificira dvanaest ključnih uloga u informacijskoj sigurnosti. Na kraju se nalazi pregled formalnog obrazovanja infosec u RH koji započinje u osnovnoškolskoj i srednjoškolskoj dobi, a detaljnije se obrađuje na raznim fakultetima diljem Hrvatske.

Informacijska sigurnost postala je ključan dio zaštite zbog eksponencijalnog rasta količine i složenosti tehnologije. Zbog toga je postalo sve teže očuvati sigurnost podataka, sustava i mreža. Ovaj rad započinje pregledom literature o informacijskoj sigurnosti. Prvo se spominju pet ključnih koraka s kojima se nastoji pružiti otpor različitim napadima, a zatim se spominje i koje su mogućnosti rada što se tiče domene informacijske sigurnosti. Seminarski rad se dalje osvrće na pregled formalnog obrazovanja infosec u Republici Hrvatskoj s naglaskom na Fakultet elektrotehnike i računarstva koji pruža daleko najveće edukativne mogućnosti u tom području u našoj domovini.

Potreba upotrebe informacijske sigurnosti pojavila se još tijekom drugog svjetskog rata gdje je glavni cilj bio zaštita od raznih oblika krađa i špijunaže. Prvi problem van takvih fizičkih okvira prijetnji dogodio se 1960-ih. Naime, dva administratora jednog sustava radili su na dvije datoteke, svaki na svojoj. Prva je sadržavala poruku dana (engl. Message of the day, skr. MOTD), a druga zaporku. Te dvije datoteke su se izmiješale te je rezultat toga bio ispis lozinke u čitljivom obliku (engl. plain text) i to na svakoj izlaznoj datoteci [1]. Fizička sigurnost postaje gotovo nebitna pojavom Interneta 1990-ih godina, a u to vrijeme se događaju i prve sigurnosne konferencije. Javljaju se pojmovi poput etičkih hakera (engl. white hats) ili zlonamjernih hakera (engl. black hats), a također se pojavljuju i prvi antivirusi kako bi se spriječila zloćudna funkcionalnost virusa.

Informacijska sigurnost se u prvom planu temelji na sigurnosti digitalnih podataka odnosno podataka na papiru, ali i na zaštiti određenih sustava ili mreža. Ključ je osigurati povjerljivost, integritet i dostupnost informacija (engl. Confidentiality, Integrity and Availability, skr. CIA). Mnogi vrlo tajni podatci mogu biti predmet interesa raznih obavještajnih službi ili pak kriminalnih organizacija [3]. To je iznimno veliko područje s velikim brojem mogućih radnih mjesta. Dakle, informacijska sigurnost pruža temelj za izgradnju ambiciozne karijere s mnoštvom mogućnosti za profesionalni razvoj. Kibernetička sigurnost je uže područje unutar informacijske sigurnosti koja se bavi specifično zaštitom sustava, mreža i podataka od kibernetičkih prijetnji. Informacijska sigurnost se sastoji od pet ključnih područja, odnosno pet ključnih koraka [3]:

• Sigurnosna provjera
• Fizička sigurnost
• Sigurnost podataka
• Sigurnost informacijskog sustava
• Sigurnost poslovne suradnje

Glavni cilj sigurnosne provjere je spriječiti ranjivost prije nego ju napadači iskoriste. Najučinkovitiji način je izdaja certifikata za pristup ovlaštenim podacima. Po hrvatskom zakonu vlasnik podataka mora klasificirati podatke kao javno dostupne, povjerljive, tajne ili vrlo tajne te odrediti kojim akterima će dopustiti pristup tom podatku kroz certifikat [1]. Oblik konkretnog otkrivanja ranjivosti jest provođenje penetracijskih testova (engl. Penetration test). Penetracijski testovi su simulacije kibernetičkih napada koje se provode u kontroliranim uvjetima s ciljem procjene sigurnosti sustava te sa zadatkom njegova poboljšanja.

Fizička sigurnost je područje informacijske sigurnosti s ciljem zaštite prostora i uređaja u kojemu se nalaze podaci visoke stope povjerljivosti. U tu svrhu koriste se razni mehanizmi poput sigurnosnih kamera, alarmnih sustava, zaštitara ili nekih vrsta provjere kontrole pristupa kao što su kartica ili biometrijske metode. Biometrijske metode su posebno zanimljive zato što predstavljaju najvišu razinu zaštite od krađe osobnih podataka [4]. One se temelje na faktoru onoga što jesmo, a to je puno sigurnije nego koristiti lozinke koje se temelje na onome što znamo ili pak kartice koja se temelji na onome što imamo. Primjeri su skener šarenice oka ili automatizirani sustavi otiska prsta (slika 1).

Slika 1: Otisak prsta kao jedan od oblika biometrijskih metoda [4]

Podatke se nastoji osigurati u kakvom god obliku bili, a najčešći načini njihove zaštite su šifriranje podataka i upravljanje pravima pristupa. Cilj je omogućiti točnost i pouzdanost podataka te spriječiti njihovu neovlaštenu uporabu. Kriptografija je znanstvena disciplina koja omogućuje prenošenje poruke u obliku koji je razumljiv samo određenim primateljima. Sastoji se od algoritama šifriranja (engl. encryption) koji pretvara izvorni tekst (engl. plain text) u šifrirani tekst (engl. cipher text) i dešifriranja (engl. decryption) koji radi obrnuto [5]. Postoji puno algoritama koji omogućuju sigurni prijenos podataka komunikacijskim kanalom, a neki od njih su AES ili 3DES.

Sigurnost informacijskog sustava obuhvaća zaštitu sustava i mreža koje omogućuju prijenos, pohranu i obradu podataka. Sigurnosni mehanizmi koji se upotrebljavaju su postavljanje vatrozida (engl. firewall), antivirusnih programa ili sigurnosnih zakrpa (engl. patch). Posebno je zanimljiv vatrozid (slika 2). To je sklopovlje (engl. hardware) ili programska podrška (engl. software) koji sprečava ulazak neovlaštenih osoba u našu mrežu [6]. Glavna funkcionalnost mu je filtriranje podataka koji dolaze u mrežu ili odlaze iz nje. Ako vatrozid primijeti nešto sumnjivo jednostavno će odbaciti paket koji ne zadovoljava određene uvjete.

Slika 2: Slikovni prikaz vatrozida kojemu je glavna uloga filtriranje prometa podataka [6]

Sigurnost poslovne suradnje se odnosi na zaštitu podataka koji se dijele između organizacije i njezinih partnera ili klijenata. Sigurnosni mehanizmi koji se upotrebljavaju su odabir sigurnih komunikacijskih kanala i definiranje jasnih pravila o razmjeni podataka. Razmjena tih podataka bazira se na davanju certifikata za pristup određenom podatku, a glavni certifikat poslovne sigurnosti izdaje središnje državno tijelo za informacijsku sigurnost [7].

Agencija Europske unije za kibernetičku sigurnost (engl. The European Union Agency for Cybersecurity, skr. ENISA) objavila je kategorije radnih mjesta u području informacijske ili konkretnije kibernetičke sigurnosti od kojih ću opisati najvažnije [2]:

• Voditelj sigurnosti informacijskog sustava (engl. Chief Information Security Officer, skr. CISO)
• Osobe zadužene za odgovore na incidente (engl. Cyber Incident Responder)
• Osoba za pravna pitanja, politike i usklađenost (engl. Cyber Legal, Policy and Compliance Officer)
• Obavještajni analitičar (engl. Cyber Threat Intelligence Specialist)
• Arhitekt za sigurnosna rješenja (engl. Cybersecurity Architect)
• Revizor (engl. Cybersecurity Auditor)
• Kreator rješenja za kibernetičku sigurnost (engl. Cybersecurity Implementer)
• Digitalni forenzičar (engl. Digital Forensics Investigator)
• Pentester (engl. Penetration Tester)
• Kibernetički edukator (engl. Cyber Educator)
• Kibernetički istražitelj (engl. Cyber Researcher)
• Kibernetički upravitelj rizicima (engl. Cyber Risk Manager)

Osoba koja ima titulu voditelja sigurnosti informacijskog sustava ima zadaću odrediti strategiju kako adekvatno zaštiti digitalne sustave i nastojati provoditi tu strategiju zajednički sa svojim timom (slika 3). Može se reći da je on glavna osoba zadužena za sigurnost pojedine organizacije. Ljudi koji se bave tim poslom smatraju se odgovornim za sigurnost, točnost i pouzdanost sustava nad kojim donose strategiju [8]. Oni također moraju isporučiti financijske stavke o svojoj organizaciji. Osim u IT industriji, posebnu ulogu ova titula nosi u financijama ili zdravstvu. No, s obzirom na porast kibernetičkih napada i ostalih vrsta prijetnji, CISO se smatra i dalje najvažniji u IT industriji.

Slika 3: Zanimljivi prikaz voditelja sigurnosti informacijskog sustava kao dirigenta, odnosno upravljača jednog tima [3]

Zadatak digitalnih forenzičara je otkriti sve digitalne dokaze u kibernetičkoj istrazi koji bi mogli dokazati zlonamjernu aktivnost [2]. Digitalnim dokazom se smatra bilo koji digitalni podatak koji podržava ili opovrgava hipotezu o incidentu ili kriminalu. Najčešće se ovime bave policajci gdje za zadaću imaju analizirati sadržaj uređaja poput mobilnih telefona ili sadržaja koji se nalaze unutar samih računala. Osim samog prikupljanja digitalnih dokaza, njihov zadatak je te dokaze čuvati i po potrebi analizirati.

Osoba koja provodi penetracijske testove ima zadatak simulirati napade napadača kako bi se doprinijelo sigurnosti sustava. Cilj ovoga testiranja je otkriti ranjivosti prije samoga napadača. Na taj način bi se dobilo potrebno vrijeme za sanaciju takvih oblika ranjivosti. Životni ciklus programa penetracijskog testiranja sastoji se od šest koraka [8]:

• Planiranje - odrediti dijelove sustava koji trebaju biti testirani
• Odrediti dubinu testiranja (uz to odrediti i dostupne resurse)
• Testiranje - s ciljem otkrivanja ranjivosti
• Sanacija - s ciljem otklanjanja ranjivosti
• Ponovno testiranje - radi potpune sigurnosti u otkrivanju svih ranjivosti
• Postupno ponavljanje svih koraka

U RH postoje mnoge obrazovne ustanove koje sadrže program vezan uz informacijsku sigurnost. Najbolji primjer je Fakultet elektrotehnike i računarstva u Zagrebu koji sadrži mnoge predmete vezane uz ovo štivo. Većina tih predmeta je vrlo opširna te se samo dio njih bavi temom informacijske sigurnosti. Neki od primjera su:

• Sigurnost računalnih sustava
• Osnove informacijske sigurnosti
• Računalna forenzika

U razdoblju osnovnoškolskog i srednjoškolskog obrazovanja stvaraju se temelji za daljnji razvoj u polju informacijske sigurnosti. Informatika je postala obavezan predmet od 5. razreda osnovne škole u školskoj godini 2017./2018. te postoji opcija da se pohađa i u ranijim razredima [9]. Manji dio te informatike je usmjeren na područje sigurnosti na internetu, ali svakako je važna informatička pismenost koja se stječe u tom razdoblju. Određene sigurnosne teme obrađene su i u gradivu građanskog odgoja. Slična priča, ali naprednija se nastavlja i u srednjoškolskom obrazovanju gdje se gradivo razlikuje s obzirom na srednjoškolski smjer. U tom razdoblju škole diljem Hrvatske organiziraju razne projekte s temom sigurnosti na internetu gdje je u prvom planu zaštita djece od nasilja na internetu.

Popularni FER je jedan od najperspektivnijih hrvatskih fakulteta u IT sektoru, ali i općenito (slika 4). Sastoji se od preddiplomskog studija koji traje tri godine i od diplomskog koji traje još dvije. Većina predmeta koji se tiču u manjoj ili većoj mjeri informacijske sigurnosti nalaze se na diplomskom studiju. U ovom seminaru spomenuti ćemo predmet sigurnost računalnih sustava na preddiplomskog te osnove informacijskih sustava i računalnu forenziku na diplomskom studiju.

Slika 4: Logo FER-a [10]

Cilj ovog predmeta je upoznati studente sa sigurnošću i uputiti ih kako se problemi vezani uz nju mogu riješiti. Također je cilj uputiti studente na koji način se mogu kreirati sigurniji sustavi. Predmet započinje od teorijskog dijela opisivanja pojmova vezanih uz sigurnost, ali i nabrajanjem područja primjene sigurnosti gdje se spominje i informacijska sigurnost. U tom predmetu informacijska sigurnost je opisana kao sigurnost informacija gdje su u fokusu i informacije na papiru, u nekom registratoru i slično [10]. Zatim postoji zasebno poglavlje o kriptografiji za koju smo rekli da je ključni mehanizam u očuvanju sigurnosti podataka. Poglavlje o kontroli pristupa se bavi mehanizmima kojima se doprinosi fizičkoj sigurnosti, a spominju se pojmovi autentifikacije i autorizacije. Autentifikacija je proces provjere identiteta korisnika, a autorizacija je postupak kojim se utvrđuje ima li pravo korisnik obavit određenu operaciju nad nekim podatkom [11]. Gradivo se dalje oslanja na sigurnost programske podrške, web aplikacija i na mrežnu sigurnost. Na kraju se opisuje pregled ostalih područja sigurnosti poput digitalne forenzike i upućuje se studente na što se dalje usmjeriti ako ih zanima općenito područje sigurnosti.

Ovaj predmet daje temeljna znanja o informacijskoj sigurnosti iz tehničke, administrativne i upravljačke perspektive. Govori se o važnosti informacijske sigurnosti zbog sve veće prisutnosti i važnosti informacijskih sustava u obrazovanju. Gradivo koje se javlja na ovom predmetu se javlja i na sigurnosti računalnih sustava, ali pojedine stvari su puno detaljnije opisane. Posebno zanimljivi dijelovi ovog predmeta su opće ranjivosti softvera i računalnih mreža gdje se spominju i mogući napadi koji bi mogli iskoristiti te ranjivosti. Posebno zanimljiv napad u kontekstu mreža jest “Čovjek u sredini” (engl. man-in-the-middle, MITM). To je napad u kojem napadač može presresti komunikaciju između pošiljatelja i primatelja te odrediti što će dalje raditi s podacima (slika 5). Najčešće se događa da napadač u potpunosti promijeni informaciju koja je putovala komunikacijskim kanalom te takvu izmijenjenu poruku dobije primatelj [12].

Slika 5: Slikovni opis MITM napada gdje napadač uspostavlja svoju zlonamjernu konekciju [10]

Cilj ovog predmeta je naučiti studente o postupcima prikupljanja i rukovanja digitalnim dokazima zbog pravnih postupaka. Dakle, ovaj predmet se najviše bavi samom forenzikom. Forenzika je primjena širokog spektra znanstvenih grana radi utvrđivanja činjenica [13]. Najpoznatija IT sektoru jest digitalna forenzika gdje se prikupljaju iznimno digitalni dokazi na raznim uređajima ili izravno u kibernetičkom prostoru. Ovaj predmet se dotiče tema mrežne forenzike, forenzike digitalnih dokumenata ili forenzike radne memorije, a također ima vrlo zanimljive laboratorijske vježbe gdje se studentima omogućuje primjena naučenog.

Pravni fakultet u Zagrebu nudi također predmet osnove informacijske sigurnosti [14]. Sličan predmet kao s FER-ovog programa se također drži na diplomskom studiju. Teme koje se obrađuju su slične, a naglasak je na teoretskoj podlozi oko pojmova vezanih uz informacijsku sigurnost te kako ju je moguće očuvati. Zato što se radi o pravnom fakultetu spominju se institucije i pravni okvir koji omogućuje regulaciju, standardizaciju i provedbu mjera zaštite podataka, sistema i mreža, kako bi se osigurala sigurnost u digitalnom okruženju.

FOI u Zagrebu nudi čak kompletni specijalistički diplomski stručni studij “Informacijska sigurnost” [15]. Studij je namijenjen domenskim stručnjacima kao što su programeri, mrežni i sistemski administratori. Cilj je usmjeravanje karijere u području informacijske, odnosno konkretnije kibernetičke sigurnosti. Ovaj studij nudi pregršt predmeta vezanih uz informacijsku sigurnost među kojima je i već spomenuti predmet osnove informacijske sigurnosti.

FERIT u Osijeku je vrlo sličan FER-u, uz ponešto drugačije ustrojstvo preddiplomskog i diplomskog studija [16]. Naime, na FER-u je prva godina zajednička svim studentima, dok se na FERIT-u već na prvoj godini mora odabrati jedan željeni smjer. Zanimljivost oko FERIT-a su brojna natjecanja na koje se poziva studente, a vezana su uz pojam informacijske sigurnosti. Primjer je “Capture the Flag” (skr. CTF) natjecanje gdje se rješavaju problemi iz domena različitih vrsta sigurnosti (slika 6). Cilj u ovom natjecanju je pronaći tekstualne nizove zvane “flags” koji su tajno skriveni u namjerno ranjivim web stranicama [17].

Slika 6: Prikaz natjecatelja koji se natječu u CTF natjecanju [17]

Lako se može doći do zaključka kako u Republici Hrvatskoj postoji puno mogućnosti za napredovanjem u ovom području, od ranog informatičkog obrazovanja u osnovnim i srednjim školama do visokokvalitetnih studijskih programa na fakultetima poput FER-a, FOI-a i FERIT-a. Hrvatska se može pohvaliti akademskim institucijama koje prate globalne trendove, no dugoročan cilj trebao bi biti stvaranje još jačeg i raznolikijeg sustava obrazovanja. Uvijek treba težiti boljemu jer mnoge zemlje imaju još naprednije uvjete obrazovanja u ovom području. Važno je djecu od malih nogu zainteresirati ovim područjem i pokušati ih naučiti da koriste tehnološke uređaje na ispravan način. Nažalost, danas su djeca zamijenila igranje skrivača vani s igranjem videoigrica na računalu. Ako već provode značajan dio vremena na računalima, potrebno je potaknuti ih da taj vrijeme iskoriste za stjecanje korisnih znanja i vještina. Tako stvaramo temelj za buduće generacije koje će ne samo pratiti, već i oblikovati svijet tehnologije i konkretno informacijske sigurnosti.

[1] Nikolina Rapo: Informacijska sigurnost - Završni rad

[2] ENISA: European Cybersecurity Skills Framework

[3] SOA: Područja rada

[4] Thermovision Dispenser: Biometrijske metode

[5] CIS: Kriptiranje podataka

[6] Eric Goldstein: Što je firewall

[7] Vlada Republike Hrvatske: Konačni prijedlog zakona o informacijskoj sigurnosti

[8] Caroline Wong: The Lifecycle of a Pentest Program

[9] Martina Pauček Šljivak: Informatika kao obavezan predmet

[10] FER: Web

[11] FORTINET: Authentication vs Authorization: Key Differences

[12] imperva: Man in the middle (MITM) attack

[13] INTERPOL: Digital forensics

[14] Pravni fakultet u Zagrebu: Web

[15] FOI: Web

[16] FERIT: Web

[17] Wikipedia: Capture the flag (cybersecurity)