8 sigurnost e- poslovanja...3 m. zekić-sušac, digitalno gospodarstvo strategija sigurnosti...
TRANSCRIPT
1
M. Zekić-Sušac
8 – Sigurnost e-
poslovanja
Izvor slike: http://www.computerrepairmaintenance.com/computer-security/the-
benefits-of-updating-your-security-software
M. Zekić-Sušac, Digitalno gospodarstvo
Što ćete naučiti u ovom
poglavlju?
Kako upravljati rizicima narušavanja sigurnosti u e-poslovanju
Koji su načini ugrožavanja sigurnosti e-poslovanja
Koji su mehanizmi i tehnike zaštite (sigurnosne mjere) e-poslovanja
Što je identifikacija, autentikacija i autorizacija
Kako se štiti intranet
Koje su mjere antivirusne zaštite
Kako zaštititi tajnost podataka
Kako zaštititi privatnost korisnika
2
M. Zekić-Sušac, Digitalno gospodarstvo
Uvod
“We should never ever be so arrogant to think that we’re not a potential
victim or our data has not been compromised.” Howard Schmidt, predsjednik Information Systems Security Association (ISSA) i autor
knjige Patrolling Cyberspace: Lessons Learned from a Lifetime in Data Security
Izvor slike:
http://blog.securitymonks.com/2008/01/10/software-
security-news/
Pogledati filmove na YouTube:
• CyberCrime Toolkits,
http://www.youtube.com/watch?v=J9hApKU1
ZoQ
• Trailer: The New Face of Cybercrime,
http://www.youtube.com/watch?v=-
5zxOLZ5jXM
M. Zekić-Sušac, Digitalno gospodarstvo
Kako upravljati rizicima
sigurnosti u e-poslovanju Zašto se pojavljuju rizici narušavanja sigurnosti?
• e-poslovanje se u većini slučajeva odvija putem Internet mreže
• Internet je javni medij, komunikacija na njemu je otvorena i bez formalnih mehanizama kontrole
Rizici narušavanja sigurnosti su veliki
• Kako smanjiti te rizike? Koristiti metodologiju za upravljanje rizicima, koja prema
Panianu (u Spremić, 2004) uključuje: • Sustavno prepoznavanje (identfikaciju rizika)
• Procjenu težine (ozbiljnosti) i frekvencije rizika
• Razvoj strategije sustavne kontrole nad rizicima i izbora odgovarajućih zaštitnih mjera.
3
M. Zekić-Sušac, Digitalno gospodarstvo
Strategija sigurnosti
poslovanja Svaka tvrtka treba donijeti takvu strategiju – dokument u kojem će
se detaljno razraditi postupci za očuvanje sigurnosti
Što je cilj te strategije? Omogućiti sigurno i neometano odvijanje svih dijelova poslovanja
Što nije dobro napraviti? Djelovati parcijalno, a ne za svaki dio poslovnog procesa – npr.
osigurati samo proces plaćanja, a ne i ostale procese (nabave, proizvodnje, itd) – svi su dijelovi poslovanja važni
Djelovati stihijski (kad se pojavi neka šteta, a kasnije opet ne raditi ništa po pitanju sigurnosti)
Što je dobro napraviti? Isplanirati sigurnosne sustave za svaki dio poslovanja
Stalno ulagati u nove sigurnosne sustave (zahtijeva financijska ulaganja i stručno znanje)
Primjer: Vlada SAD daje 2002. g. Sveučilištu Carnegie Mellon 35,5
milijuna dolara za razvoj alata za borbu protiv cyber-terorizma.
(Spremić, 2004)
M. Zekić-Sušac, Digitalno gospodarstvo
Aspekti sigurnosti e-
poslovanja
Glavni aspekti sigurnosti e-poslovanja prema NCSA –
National Computer Security Association, SAD (Spremić,
2004) su:
AUTENTIFIKACIJA
PRIVATNOST
INTEGRITET
(CJELOVITOST)
PODATAKA
NEMOGUĆNOST
OSPORAVANJA
TRANSAKCIJE
provjera vjerodostojnosti identiteta korisnika
mehanizmi zaštite podataka od neovlaštenog
pristupa, korištenja i čitanja
sadržaj poruke ili podataka treba ostati
neizmijenjen tijekom prijenosa putem mreže
Mogućnost da inicijator transakcije ne može
osporiti da je zaista poslao poruku, odnosno
inicirao poslovnu transakciju
4
M. Zekić-Sušac, Digitalno gospodarstvo
Koji su načini ugrožavanja
sigurnosti e-poslovanja
Praćenjem transakcija i ugrožavanjem privatnosti sadržaja
Krađom hardvera, softvera ili digitalnog sadržaja
Intenzivnim napadima na posebno ranjiva područja (“pretrpavanje” poslužitelja neopravdanim zahtjevima može izazvati pad sustava)
Pokretanjem virusa ili sličnih malicioznih programa kojima se napada hardver ili softver
Mehanizmi neovlaštenog “upada” (skrivanje IP adresa, “probijanje” lozinki, fizički upadi, prikupljanje tajnih informacija o internoj mreži i sl.)
M. Zekić-Sušac, Digitalno gospodarstvo
Koji su mehanizmi i tehnike
zaštite e-poslovanja?
Mehanizmi i tehnike zaštite (sigurnosne mjere)
e-poslovanja prema (Panian, 2000) su:
Identifikacija, autentifikacija i autorizacija
Zaštita intraneta od pristupa neovlaštenih
korisnika
Mjere antivirusne zaštite
Zaštita tajnosti podataka i poruka
Zaštita privatnosti korisnika.
VAŽNO:
uključiti
sve ove
mehaniz-
me, a ne
samo
neke
5
M. Zekić-Sušac, Digitalno gospodarstvo
Identifikacija, autentifikacija i
autorizacija
Identifikacija = postupak s pomoću kojeg se od korisnika traži da se “predstavi” sustavu (ime i prezime, ili identifikacijski broj, username ili dr.)
Autentifikacija = postupak povezan s identifikacijom, a utvrđuje da li je osoba zaista ta kojom se predstavlja
Načini identifikacije i autentifikacije:
Fizičke mjere: posjedovanjem nekog predmeta, npr. identifikacijske kartice, pametne kartice ili bimetrikom (otisak prsta, rožnica oka i dr.)
Logičke mjere: s pomoću lozinke
Autorizacija = provjera sustava da li osoba koja se predstavila ima ovlasti pristupa sustavu (provjera s unaprijed pohranjenim podacima u sustavu)
M. Zekić-Sušac, Digitalno gospodarstvo
Identifikacija, autentifikacija i
autorizacija
IDENTIFIKACIJA:
AUTENTIFIKACIJA:
lozinka
AUTORIZACIJA:
Provjera u bazi
korisnika na
poslužitelju:
Da li postoji korisnik
[email protected] i da li
lozinka odgovara
Ako korisnik prođe
autorizaciju, pristup
sustavu omogućen
prema ovlastima
koje ima
Ako ne prođe
autorizaciju,
pristup
onemogućen.
X
Vatrozid (eng. firewall) –
uređaj ili program
6
M. Zekić-Sušac, Digitalno gospodarstvo
Zaštita intraneta
Intranet = lokalna (privatna) mreža neke tvrtke ili institucije koja funkcionira na istom protokolu za prijenos informacija kao i Internet (TCP/IP protokolu)
Kako zaštiti intranet od uljeza s Interneta? S pomoću vatrozida (eng. Firewall), sinonimi su: obrambeni zid, sigurnosna
stijena
Što je vatrozid? uređaj ili program koji fizički razdvaja lokalnu intranet mrežu od internet
mreže i sprječava upad neželjenih korisnika s Interneta u lokalnu mrežu
Najčešće kombinacija hardverskih i softverskih rješenja koja propušta s Interneta samo željeni promet u lokalnu mrežu intranet:
Kako radi vatrozid? Načini rada: Filtriranjem ulaznih poruka (eng. packet filter)
Putem namjenskog autorizacijskog poslužitelja (eng. dedicated authorization server)
Putem ovlaštenih autorizacijskih poslužitelja (eng. proxy authorization server)
M. Zekić-Sušac, Digitalno gospodarstvo
Virusi i crvi
Što su virusi? Računalni programi, programske rutine ili dijelovi programa koji se ubacuju u
uobičajene korisničke programe i zatim ih mijenjaju, a namjera im je prouzrokovanje neželjenih posljedica, materijalne ili nematerijalne štete
Aktiviraju se za vrijeme izvođenja programa, s različitim pojavnim oblicima (npr. “trojanski konj” se ubacuje u korisnikove programe i obavlja neželjene funkcije)
Koja šteta može nastati? Oštećenja datoteka, brisanje sadržaja, oštećenje programa, teškoće u radu,
umnožavanje datoteka i slanje velikih količina programa i sl.
Zbog lakoće stvaranja novih virusa, važno je stalno podizati razinu zaštite od virusa, posebno ako se koriste programi za rad s e-poštom i web preglednici
Što su crvi? Crvi su neovisni, samostalni programi koji se reproduciraju u umreženim
računalima i time šire potencijalnu štetu.
Opasniji od virusa, jer je viruse lakše kontrolirati.
7
M. Zekić-Sušac, Digitalno gospodarstvo
Mjere antivirusne zaštite
Prema (Panian, 2000) dvije su skupine mjera antivirusne zaštite:
1. Mjere preventivne zaštite
Izbjegavanje upotrebe sumnjivih programa, otvaranje poruka nepoznatog podrijetla,
Redovito pohranjivanje sigurnosnih kopija programa i datoteka
Upotreba antivirusnih programa za otkrivanje virusa i crva
2. Mjere kurativne zaštite (šteta je već nastala)
Pokušati spasiti digitalne resurse poslovanja
Koristiti antivirusne lijekove za čišćenje virusa (ponekad to znači brisanje zaraženih datoteka i sadržaja)
Prema istraživanju tvrtke AVG (proizvođača sigurnosnog softvera), broj, ali i
nepostojanost “zloćudnih” web stranica dramatično se povećava. 60%
zloćudnih stranica živi manje od jednog dana, pa se takvom nepostojanošću
izbjegavaju tehnike njihovog pronalaženja i blokiranja temeljene na crnim
listama. (Mreža, br.3, 2009.,str.12)
M. Zekić-Sušac, Digitalno gospodarstvo
Vatrozidovi na tržištu
Osobni vatrozidovi (za kućnu upotrebu) Microsoft Windows vatrozid – dolazi sa Service Pack2
Symantec - Norton Personal Firewall
ZoneAlarm/ZoneAlarmPro
Black Ice Defender
Sygate Personal Firewall
Tiny Personal Firewall
Kerio Personal Firewall
Poslovni (za tvrtke i institucije) Trinity Firewall (hrvatski proizvod)
Cisco i dr.
8
M. Zekić-Sušac, Digitalno gospodarstvo
Antivirusni software na tržištu
Antivirus software
AVG (besplatan)
McAfee Antivirus
Symantec Norton Antivirus
Esset NOD32
BitDefender
Sophos Antivirus
Trend Micro Internet Security
F-prot
HouseCall
i dr.
Anti-spyware and anti-spam
AddAware
StopZilla,
Panda Titanuium Antivirus + Antispam
i dr.
M. Zekić-Sušac, Digitalno gospodarstvo
Zaštita tajnosti pri prijenosu
podataka
Za zaštitu tajnosti podataka koji se prenose
različitim računalnim mrežama koriste se metode
šifriranja (kriptografije)
KRIPTOLOGIJA = znanost o prikrivanju stvarnog
informacijskog sadržaja izgovorenih ili napisanih
poruka (grčki “krypto” = skrivam, “logos” = govor)
KRIPTOGRAFIJA = postupak kojim se poruka napravi
nerazumljivom osobama koje nisu izvorni sudionici
komunikacije
KRIPTOANALIZA = obrnut postupak – pokušava otkriti
pravila (ključ) kojima su poruke kriptirane
9
M. Zekić-Sušac, Digitalno gospodarstvo
Načini kriptografije
Svaki kriptološki sustav sastoji se od 4 osnovna elementa:
1. Originalna - razumljiva poruka
2. Kriptirani tekst - nerazumljiva poruka
3. Algoritam kriptiranja – matematički algoritam kojim se originalni sadržaj kriptira (npr. Hash algoritam)
4. Ključ – tajni ključ kojim se poruke kriptiraju, odnosno dekriptiraju
Dva osnovna kriptografska sustava:
Simetrični sustav – s tajnim privatnim ključem
Asimetrični sustav – s privatnim i javnim ključem
M. Zekić-Sušac, Digitalno gospodarstvo
Simetrični sustav kriptografije
Stariji sustav kriptiranja
Isti tajni ključ se koristi za kriptiranje i dekriptiranje poruke
Pošiljatelj i primatelj poruke se prije samog slanja poruke trebaju dogovoriti o tome koji će tajni ključ koristiti i taj ključ treba biti poznat samo njima
S obzirom da putem Interneta danas komuniciraju osobe koje često ne komuniciraju prije samog slanja poruke nikakvih drugim načinima kojima bi razmijenili tajne ključeve, ovaj način kriptiranja više nije učinkovit
? ULJEZ
VIDI
10
M. Zekić-Sušac, Digitalno gospodarstvo
Asimetrični sustav
kriptografije
Koristi se parom ključeva: Privatni ključ – koji zna određeni poslužitelj za svakog korisnika pojedinačno
Javni ključ – koji se šalje svim sudionicima komunikacije javno, pa je svima dostupan
Što je javni ključ? – Kriptografski objekt pomoću kojeg se dekriptiraju podaci kriptirani tajnim ključem
Kako se obavlja komunikacija?
Svaki korisnik u komunikaciji ima svoj tajni ključ kojim pristupa nekom poslužitelju za dodjeljivanje ključeva. Korisnik svoju poruku najprije kriptira sa svojim tajnim ključem, a zatim je pošalje sudionicima komunikacije zajedno s javnim ključem s kojim se može dekriptirati ta poruka. Svaki sudionik može se spojiti na taj poslužitelj, i s pomoću javnog ključa i svog tajnog ključa dekriptirati poruku.
Osim kriptiranja poruke, s pomoću ovog sustava može se provjeriti autentičnost pošiljatelja poruke (da je tu poruku poslala baš ta osoba koja se predstavlja u poruci)
M. Zekić-Sušac, Digitalno gospodarstvo
Poznati asimetrični sustavi
Najpopularniji asimetrični sustavi su:
RSA (Rivest, Shamir, Adelman)
PGP (Pretty Good Privacy)
SET (Secure Electronic Transactions)
SSL (Secure Socket Layer)
sporiji
brži
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hrvatska akademska i istrazivacka mreza CARNet Sluzbena obavijest
Zagreb, 13.02.2009.
..... ovdje tekst poruke ......
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
iD8DBQFJlWHLCqskfuuO+TIRAsrhAJ9mqIMi5PqBqxcOfPjPlkjAckeV3QCghdtt
aohrVduepR/JYuWu/7n6fEA=
=i7Xq
-----END PGP SIGNATURE-----
Primjer e-
poruke
potpisane
s pomoću
PGP
asimetrič
nog
sustava
11
M. Zekić-Sušac, Digitalno gospodarstvo
Kada se koristi kriptografija?
U e-poslovanju, kriptografija se koristi za ne samo za kriptiranje sadržaja poruka, već i za provjeru identiteta pošiljatelja
U B2C poslovanju manje se koristi, jer se identitet kupaca ne provjerava posebno
U B2B poslovanju se često koristi, jer je važno dokazati identitet poslovnog partnera koji je poslao npr. narudžbu, račun, uplatu, ili dr. poslovnu transakciju U tu svrhu provjera vjerodostojnosti poslovnih transakcija
vrši se putem digitalnog potpisa – digitalni potpis u pravnom smislu predstavlja ekvivalent vlastoručnom potpisu
M. Zekić-Sušac, Digitalno gospodarstvo
Kako se koristi digitalni
potpis?
Klasični potpis – svaka tvrtka u banci deponira potpise osoba koje imaju pravo potpisivati dokumente tvrtke (račune, ugovore i sl.). Fizičke osobe svoj potpis ovjeravaju kod javnog bilježnika prilikom potpisivanja ugovora i tako potvrđuju identitet.
Digitalni potpis – posebna ovlaštena virtualna institucija daje certifikat, odnosno potvrdu identiteta potpisnika. Identitet se potvrđuje parom tajnog i javnog ključa koji se koriste za kriptiranje sadržaja.
Kako se provodi poslovanje digitalnim potpisom? Pošiljatelj ovjerava predmet transakcije (npr. Ugovor) svojim digitalnim
potpisom, i šalje ga primatelju elektroničkim putem zajedno s javnim ključem.
Korištenjem javnog algoritma (npr. Hash) stvara se autentični sažetak poruke koji se kriptira tajnim ključem pošiljatelja
Primatelj pomoću javnog ključa dekriptira poruku i kreira se dekriptirani sažetak poruke. Ta se dva sažetka uspoređuju, i ako su jednaki, to znači da je potvrđena autentičnost pošiljatelja, autentičnost sadržaja (da li je sadržaj mijenjan u prijenosu), te da pošiljatelj ne može osporiti da je poruku poslao.
12
M. Zekić-Sušac, Digitalno gospodarstvo
Zakonski propisi o digitalnom
potpisu
Prvi zakon potpisan digitalnim potpisom potpisao je Bill Clinton 1999.
Druga zemlja koja je pravno ozakonila digitalni potpis je Irska, zatim zemlje EU (Velika Britanija, Francuska, Belgija, Italija, Slovenija, i dr.)
U Hrvatskoj – Zakon o elektroničkom potpisu stupio na snagu 1.travnja 2002.
Naši ministri potpisuju dokumente s pomoću pametnih kartica (koje sadrže javni i tajni ključ, certifikat potpisa i šifra)
Cilj: potpuno koristiti digitalni potpis u G2B i G2C poslovanju (npr. da građani mogu svoje porezne prijave slati elektronski potpisane digitalnim potpisom, što je praksa u brojnim razvijenim zemljama)
M. Zekić-Sušac, Digitalno gospodarstvo
Zaštita privatnosti korisnika
Virtualni način komunikacije često ne jamči anonimnost korisnika
Samim pojavljivanjem na Internetu, svaki korisnik računala bez posebne interakcije ostavlja neke podatke o sebi (npr. IP adresa računala)
Kolačići (cookies) – omogućavaju pohranjivanje osobnih podataka o korisniku na računalu, pri čemu ih poslužitelji mogu pročitati i zapamtiti
Svaka kupovina na webu omogućava praćenje navika potrošača, te slanje reklama (spam)
Zaštitom privatnosti korisnika bave se neprofitne organizacije kao npr. TRUSTe.
13
M. Zekić-Sušac, Digitalno gospodarstvo
Literatura
1. Spremić, M., Menadžment i elektroničko poslovanje, Narodne
novine, Zagreb, 2004.
2. Gates, B., Poslovanje brzinom misli, Izvori, Zagreb, 1999.
3. Panian, Ž., Izazovi e-poslovanja, Narodne novine, Zagreb, 2000.
4. Mreža, br.3,2009.
M. Zekić-Sušac, Digitalno gospodarstvo
Pomoćni materijali za čitanje
1. Hrvatski sabor, Zakon o elektroničkom potpisu,
Narodne novine, 30.01.2002, http://narodne-
novine.nn.hr/clanci/sluzbeni/308001.html, (15.03.2009)
2. Hrvatski sabor, Zakon o izmjenama i dopunama
Zakona o elektroničkom potpisu, Narodne novine,
11.07.2008., http://narodne-
novine.nn.hr/clanci/sluzbeni/340202.html (15.03.2009)
3. Ždrnja, B., Duplikacija SSL certifikata, Kad SSL padne
u vodu, Mreža, br. 3, 2009., str. 94-95.
14
M. Zekić-Sušac, Digitalno gospodarstvo
Pitanja za vježbu iz dodatnih
materijala za čitanje:
Zakon o e-potpisu
1. Koja je razlika između e-potpisa i naprednog e-potpisa?
2. Što je certifikat e-potpisa, a što kvalificirani certifikat? 3. Tko može biti davatelj usluga certificiranja?
4. Tko vodi evidenciju o davateljima usluga certificiranja i kako se provodi nadzor?
5. Kako potpisnici biraju davatelja usluge certificiranja?
6. Da li se može izabrati davatelj usluga certificiranja iz druge države i koja je razlika u uvjetima?
7. Koje su kazne za zlouporabu e-potpisa ili za neispravno pružanje usluga davanja certifikata?
8. Koje su bitne izmjene u Zakonu donesene 2008?
Članak iz časopisa Mreža
1. O kojem problemu govori članak iz časopisa Mreža?
2. Kako se problem može riješiti?