|
Iskusni rukovoditelji informacijskom sigurnošću nikada neće reći kako je sustav za koji su zaduženi neprobojan ili savršen. Moguće je implementirati metriku kojom će se mjeriti ispravnost implementacije mjera informacijske sigurnosti ili izostanak sigurnosnih incidenata, no prava je istina kako je napraviti kvantificiranje uspješnosti ISMS-a (Information Security Management System - sustav upravljanja informacijskom sigurnošću) izrazito teško, ukoliko je cilj dobiti nepristran rezultat. U trenutku kada se pomisli - "posao je gotov - ništa se više ne može dogoditi", po Murphyjevom zakonu dolazi do strukturnih institucionalnih promjena ili nastupa rizika koji "nitko nije mogao predvidjeti".
Na ovo podsjeća i iskustvo iz jedne nama ne tako daleke zemlje - Tunisu, međutim sličnih primjera ima i u Kini, Saudijskoj Arabiji, Iranu i sl. Zbog geopolitičke situacije i straha od terorizma, u toj državi je krajem 11 mj. 2007 godine donesen predsjednički dekret kojim je ustrojena nacionalna agencija za digitalnu certifikaciju. Dekret - u Hrvatskoj bi se reklo "uredba" - definira prijelazni rok od 6 mjeseci u kojemu se sve profitne i neprofitne organizacije obvezuju certificirati sve sustave podložne certifikaciji kod novoformiranog nacionalnog tijela. Naravno, uredba se ne odnosi na ministarstva, tijela nacionalne obrane i diplomatska te konzularna predstavništva.
Proces certifikacije sredstava za enkripciju
Uredba definira nadzor nad sredstvima enkripcije, što se odnosi na opremu i programsku podršku za kriptiranje i dekriptiranje, aktivnosti enkripcije u koje spada svaka aktivnost usmjerena ka proizvodnji, uvozu, marketingu ili izvozu bilo kakvih sredstava ili programa enkripcije te usluge enkripcije, uključujući one kod transakcija ili korespodencije s fizičkim osobama. Sredstva enkripcije dijele se u dvije kategorije: ona koja se koriste za enkripciju kako bi se osigurala vjerodostojnost informacijske transakcije s obzirom na izvor i destinaciju te sredstva kojima se kriptira promet preko kompjutorske mreže kako bi se osigurala privatnost komunikacije.
U procesu certifikacije podnosi se zahtjev za odobravanjem enkripcije uz sljedeće dokumente:
- zahtjev
- obrazac, koji mora biti potpisan od strane aplikanta ili organizacije
- izjava (homologacija) proizvođača o tvorničkim ili proizvodnim specifikacijama proizvoda koji se koristi za enkripciju
- opis tehničkih karakteristika sredstva ili programa koji se koristi za enkripciju
priručnik za korištenje i konfiguraciju
- na zahtjev agencije, korisnik mora dati na korištenje jedan primjerak sredstva ili kopiju programa koji se koristi za enkripciju
- po potrebi, mora se omogućiti tehnička podrška na lokaciji gdje se vrši enkripcija u slučaju nadzora
- za svako sredstvo enkripcije, plaća se administrativna pristojba
Certifikacija se vrši po zaprimanju svih dokumenata i nakon nadzora a valjana je na rok od tri godine. U slučaju da je došlo do strukturnih promjena uređaja, metoda ili programske podrške, potrebno je vršiti recertifikaciju. Zanimljivo je da se certificiraju i serveri, čak i ako nemaju direktnu ulogu u komunikacijskom procesu - paranoični bi mogli reći da se na taj način dobijaju vrijedne informacije o tome kakvu obradu podataka vrši organizacija, odnosno kakva je topologija informacijskog sustava koji se certificira.
U konkretnom slučaju, agencija je tražila i kopiju IPSEC ključeva koji se koriste kod uspostavljanja komunikacijskog kanala.
Dva dana prije isteka roka, ISP je kontaktirao predstavnika tvrtke koja ima dva ureda u glavnom gradu te nekoliko dislociranih radilišta koja međusobno koriste VPN tunele i enkripciju, te enkripciju prema principalu u matičnoj državi, te objasnio kako postoji rok od 24 sata za podnošenje svih dokumenata za certifikaciju, a u protivnom mora ukinuti pristup WAN dijelu mreže čime efektivno odsijeca tvrtu od komunikacije s udaljenim radilištima i središnjicom.
Zadiranje u privatnost
Poznata je latinska izreka "Ignorantia nocet" (neznanje škodi), a uz činjenicu da je temelj pravne stečevine da neznanje ne opravdava, u ovom slučaju je sigurno zakon na strani zakonodavca - strana podružnica tvrtke imala je 6 mjeseci za certifikaciju, a to što nisu o tome bili obaviješteni, nije problem onoga tko je uredbu donio. Međutim, ovako postavljena zakonska uredba dokida pravo fizičkih i pravnih osoba na privatnost. Postoje sektori u kojima je industrijska špijunaža dovedena i na državne nivoe pošto vrhovi država imaju interes u odvijanju poslovne aktivnosti - to se osobito odnosi na vojnu industriju, high tech industriju, farmaceutsku industriju, avionsku industriju i naftnu industriju. S jedne strane si zakonodavac daje si ovlasti efektivno nadzirati kompletan komunikacijski lanac, dok s druge strane, tvrtke koje posluju u tim državama moraju, ukoliko žele poslovati u skladu sa zakonima države u kojoj rade, moraju poštovati zakonske propise koji su sa stajališta struke i uzusa informacijske sigurnosti grubo zadiranje u istu!
U USA, zemljama Europske unije pa i u Hrvatskoj iako je područje korištenje Interneta naizgled liberalno, donose se zakoni, propisi i uredbe koji značajno zadiru u prava fizičkih osoba i tvrtki na tajnost osobnih podataka i transakcija. U mnogim državama Internet je već danas daleko od onoga kakav je nekada bio - brza informacijska autocesta koja bez ograničenja povezuje sve koji je žele ili imaju potrebu komunicirati, te je podvrgnut nizu zabrana i ograničenja, od vrste prometa koji se može obavljati unutar nacionalnih granica, Web siteova kojima se može pristupati, čak i ako se serveri nalaze izvan granica matične države, pa do otvorenog traženja vrhova država da im se omogući pristup svim resursima kako bi lakše mogli vršiti nadzor nad aktivnostima na mreži svih mreža i koristiti rezultate tog nadzora u svrhu ispunjenja vlastitih političkih ciljeva, ili ciljeva vojno-političkih blokova kojima pripadaju.
Kako balansirati kontrolu i privatnost?
Budućnost informacijske sigurnosti zasigurno nudi niz tehnoloških ali i moralnih izazova koji se postavljaju pred fizičke osobe ali i poslovne subjekte koji su prinuđeni kontrolom protoka i otkrivanja vlastitih informacija unutar poslovnih procesa, smanjiti rizike od otkrivanja osjetljivih informacija trećim stranama, uključujući države u kojima se odvija poslovanje. Bit će zanimljivo vidjeti tko će u tom boju odnijeti pobjedu: države, koje se proglašavaju nadležnima detaljno regulirati i nadzirati polje privatnosti fizičkih i pravnih osoba te institucija, ili interes krupnog korporativnog kapitala, kojemu je cilj osigurati opstanak i razvoj apstraktnog identita kojim upravlja, a kojemu ekspanzija takvog ponašanja regulatora sigurno ne ide na ruku.
Izvor: http://www.certification.tn/
Trackback(0)
 |
TrackBack URI for this entry
