You are on page 1of 15

UNIVERZITET U BEOGRADU EKONOMSKI FAKULTET

PRISTUPNI RAD

PREDMET: INFORMATIKA

TEMA: SIGURNOST INFORMACIONIH SISTEMA

STUDENT: Divčić Miroslav 26/2006

MENTOR: Prof. dr Rade Stankić

Pristupni rad iz predmeta Informatika

Miroslav Divčić

Sadržaj
PRISTUPNI RAD.......................................................................................................................1 PREDMET: INFORMATIKA................................................................................................1 6.1. Sigurnosni mehanizmi – elementi sigurnosnih sistema ................................................11

1. Uvod Primjena informacione tehnologije u svim sektorim privrede i društva sa sobom donosi sa jedne strane snažan porast ekonomskih i organizacionih potencijala, a sa druge strane, otvara prostor za pojavu novih oblika rizika. Usljed toga, adekvatno obezbjeđivanje sigurnosti se pojavljuje kao poseban kritičan faktor u funkcionisanju informacionih sistema. Mada ne postoji informacioni sistem, bilo u javnoj ili privatnoj upotrebi, koji može biti apsolutno siguran, priroda problema u uslovima funkcionisanja informacionih sistema u svakodnenom životu se bitno mijenja, te se najčešće ne mogu koristiti već stečena iskustva u praksi. Suština problema bezbjednosti savremenih informacionih sistema se svodi na rizike narušavanja bezbjednosti podataka i indentiteta subjekata. Razvoj Interneta kao globelne mreže proširio je

2

Pristupni rad iz predmeta Informatika

Miroslav Divčić

mogućnosti za napade na sigurnost informacionih sistema i razvoj posebne vrste kriminala – računarskog ili „syber“ kriminala. Statistike su pokazale da kada je računar konektovan na internet svakih 5 minute je izložen nekoj vrsti napada sa Interneta. Mada kada govorimo o bezbjednosti informacionih sistema svi uglavnom pomisle na „viruse“, „spyware“, „crve“, „hakerske“ napade sa udaljenih računara, pojam bezbjednosti je mnogo širi i obuhvata i fizičku bezbjednost i fizički pristup računaru. Sa razvojem Interneta pojam bezbjednosti se sve više okretao ka zaštiti od zlonamjernih programa i upada sa udaljenih računara.

2. Razvoj zaštite i sigurnosti podataka kroz istoriju
Zapisivanje podataka, njihovo čuvanje i pretraživanje, jedna je od najstarijih ljudskih aktivnosti koja datira još prije 4.000 godina iz vremena glinenih pločica. Paralelno sa razvojem ljudske civilizacije i kulture dolazilo je do povećanja mogućnosti zapisivanje, pretraživanja i čuvanja podataka, od glinenih plačica, preko guščijih pera, olovke i pisaće mašine dolazi i do razvoja računara. Razvoj računara, odnosno informacionih sistema, prolazio je kroz nekoliko faza.

3

Pristupni rad iz predmeta Informatika

Miroslav Divčić

Šesdesetih godina prošloga vijeka za zaštitu i sigurnost koristio se izraz „sigurnost računara“ koji je podrazumijevao fizičku sigurnost odnosno zaštitu računara. Tada su računari imali visoke cijene i bili su dostupni samo istraživačkim institutima tako da je primarna uloga zaštite bila zaštita od fizičkog uništenja (požara i slično) dok drugi oblici zaštite nisu imali značaj. Kasnih 60-ih godina tranzistorske komponente prostorno minijaturizuju računare i rastu mogućnosti obrade podataka. Cijena računara pada, što direktno dovodi do povećanja broja korisnika informacione tehnologije. Tada i počinje era tzv. „sigurnosti podataka“. Broj korisnika se povećavao i počinje primjena računara u sve većem broju poslova u odnosu na tradicionalne obrade podataka. Magnetofonski mediji su omogućili da se sve više i više podataka pohranjuje na njih što je doprinjelo da se počne sa prebacivanjem naglaska sa fizičke zaštite prema zaštiti i sigurnosti podataka i informacija. Već 70-ih godina počinje se sa upotrebom računarskih lozinki i odziva, kao i metoda pohranjivanja podataka, programa i informacija na vanjske medije sa ciljem zaštite od eventualnog uništenja. Početkom 80-ih godina započinje nova era razvoja sigurnosti , odnosno era „sigurnosti informacija“. Sigurnost informacija se naglašava kao najvažniji, ali i najranjaviji informacioni resurs. Značaj zaštite informacija je u stalnom porastu u ovom periodu zbog pojave i široke upotrebe računarskih mreža, elektronske pošte, videoteksta, teleteksta i slično. U današnjem vremenu naglasak se stavlja na „sigurnost znanja“ kao informacijskog kompleksa. Podaci nisu više samo na nivou informacija, jer današnji informacioni sistemi vrše unos, obradu, prenos, izdavanje podataka, informacija i znanja, tako da je danas stavljen naglasak na zaštitu kompletnih informacijskih sistema u cjelini. Cilj njihove zaštite jeste sigurnost sistema i svih faza prikupljanja, obrade, prenosa, izdavanja i čuvanja podataka i informacija. 3. Vrste rizika, zaštite i sigurnosti informacionih sistema Pojam zaštite informacionih sistema podrazumijeva primjenu zaštite na skup svih komponenata informacionih sistema zasnovanih na informacionim tehnologijama (računar, podaci, programi, komunikacije i osobe). Sam pojam zaštite podataka mnogi od nas vide kao čuvanje tajnosti, mada sama definicija zaštite obuhvata i očuvanje integriteta, raspoloživosti i tajnosti podataka. Obično se naglasak stavlja na cjelovitost podataka i njihovu pravovremenu raspoloživost, dok se tajnost odnosi na manji dio podataka sa obilježjem lične, poslovne, službene, vojne i državne tajne. Osnovni cilj zaštite i očuvanja sigurnosti informacionih sistema jeste indentifikacija rizika i uklanjanje izvora opasnosti kojima je sistem izložen. Potrebno je naglasiti da ne postoji apsolutna zaštita sistema i podataka. Zato sistem zaštite ne omogućuje apsolutnu zaštitu podataka, već se prije svega radi o metodama koje u velikoj mjeri umanjuju opasnosti kojima su izloženi. Rizici koji prijete jednom računarskom sistemu su: • Kompjuterski kriminal • Sabotaža • Špijunaža • Nedovoljna čistoća u prostorijama u kojima su smješteni računari 4

Pristupni rad iz predmeta Informatika • • Slučajno ili namjerno kvarenje računarskih sistema Razne vremenske nepogode,itd.1

Miroslav Divčić

Masovnija upotreba personalnih računara posebno uvećava ove rizike. Da bi se informacioni sistemi mogli adekvatno zaštititi potrebno je najprije napraviti analizu rizika, indetifikovati vrste rizika od kojih je ugrožen sistem i na osnovu toga odrediti mjere zaštite. U prvoj fazi zaštite IS, tj analizi rizika moraju se imati u vidu i činjenice koje uvećavaju opasnost od zloupotrebe kao što su: • Stalno uvećanje broja osoba koje imaju pristup računarskim sistemima; • Stalno uvećanje broja osoba koje se školuju i posjeduju znanja iz informatike; • Vrijednost informacija koje se danas nalaze u informacionim sistemima je velika zbog čega postoji veliki interes za njima.2 Kako postoje različite opasnosti za rad sistema, moraju se koristiti i različite metode za osiguranje njegove zaštite. Postoji više podjela zaštite informacionih sistema, a jedna od najopštijih je podjela na: • Unutrašnju zaštitu; • Vanjsku zaštitu. Pod unutrašnju zaštitu spadaju svi slučajevi koji se mogu kontrolisati pomoću računara. Ipak u ovome radu ćemo se koristiti podjelom mjera zaštite na sljedeće grupe: • Organizacione • Tehničke • Komunikacione Organizaciona zaštita i sigurnost uz fizičku zaštitu, je klasična metoda zaštite podataka i prvi korak u svakom programu zaštite. Organizacione mjere zaštite se preduzimaju da se obezbjedi integritet, raspoloživost i tajnost podataka. One obuhvataju: • Uslove za rad računara i osoblja; • Stručne kadrove; • Tehnologiju obrade podataka; • Medijume za čuvanje podataka; • Prave aspekte zaštite podataka. Tehničke mjere obuhvataju zaštitu hardvera, softvera, prenosa i obrade podataka. Mogu se podijeliti na: • Fizičke i • mjere zaštite u informacionom sistemu. Fizička zaštita treba da obezbjedi zaštitu od: • neispravnih instalacija; • požara; • poplava; • zagađene okoline; • štetnih zračenja;
1 2

Prof. Dr Rade Stankić „Poslovna informatika“ Ekonomski fakultet Beograd 2003. Prof. Dr Rade Stankić „Poslovna informatika“ Ekonomski fakultet Beograd 2003.

5

Pristupni rad iz predmeta Informatika • • • neurednog napajanja električnom energijom; nepovoljnih klimatskih i temperaturnih uslova za rad sistema; elementarnih nepogoda.

Miroslav Divčić

U mjere zaštite u računarskom sistemu spadaju: • zaštita hardvera; • zaštita sistemskog i aplikativnog softvera; • zaštita datoteka sa podacima i • kontrola radnih postupaka koje moraju da primjenjuju svi korisnici usluga informacionog sistema. Komunikaciona zaštita je metoda zaštite koja se koristi za zaštitu podataka unutar umreženih sistema koje se prenose telekomunikacionom linijom. Prema opštem mišljenju telekomunikacione linije su najranjiviji dio sistema pa se tom načinu zaštite i poklanja najveća pažnja. Mjere zaštite u telekomunikacionom prenosu obuhvataju dvije metode: • softverska- šifriranje podataka (kriptografska zaštita) i posebne protokole; • tehnička- posebnu opermu (uređaji za promjenu signala-scrambling, pametne kartice itd.). Od svih nabrojanih mjera ipak posebnu pažnju treba posvetiti zaštiti podataka i datoteka sa podacima. Aplikativni programi imaju veliki uticaj na pouzdanost svih operacija i programskih postupaka, a sigurnost podataka i datoteka treba da bude takva da onemogćuje neovlaštene izmjene. Veoma je bitno obezbjediti sigurnost podataka kod programa kojima se direktno („on line“) može pristupiti podacima i koda programa koji se čuvaju izvan sistema („of line“). Kod podataka koji se koriste u on line obradama potrebna je stalna zaštita, posebno protiv neovlaštenog pristupa. Ovdje su kontrole veoma bitan faktor i to ne samo u vrijeme redovnih obrada, već i ostalim periodima. Kod on line obrada zaštite datoteka se ostvaruje, pored kontrole fizičkog pristupa računarskim resursima, i softverskim postupcima, korištćenjem sistema lozinki, lozinke se najčešće koriste sa procedurom indentifikacije korisnika. Podaci i programi koji se koriste u „off line“ obradama zaštićuju se tako što svaki nosilac ima jedinstveni indentifikacioni broj. Kod distribuirane obrade podataka veoma je važno da se vrši kontrola i evidencija svake upotrebe uslužnih programa, posebno onih kojima se ostvaruje pristup bazama podataka. Sistem zaštite ima osnovni zadatak da ne dozvoli korisnicima informacionog sistema da pristupaju određenim resursima. Područja zaštite se mogu podijeliti na: • indentifikaciju terminala, odnosno radnih stanica i provjeru u listi odobrenja za pristup programima i datotekama sa podacima; • indentifikaciju korisnika ralunarskih resursa i provjera u listi ovlaštenja za korištenje određenih terminala, radnih stanica, programa i datoteka; • odobrenje programima za pristup određenim datotekama i • određivanje nivoa tajnosti podataka.3

4. Računarski kriminal i zakon u Srbiji
3

Prof. dr Rade Stankić, dr Branko Krsmanović, „Informatika za ekonomiste“, Viša škola za spoljnu trgovinu Bijeljina, 2002.

6

Pristupni rad iz predmeta Informatika

Miroslav Divčić

Razvojem Interneta i njegovim masovnim korištenjem, računarski kriminal se sve više širi i razvija nove tehnike i naprednije metode kojima se ostvaruju računarski napadi i ostali napadi povezani sa računarima. Ono što bi trebalo da sve zabrinjava jeste povezanost počinitelja sa raznim oblicima organizovanog kriminala, a poznato je i mnogo slučajeva kada su se „hakreskim“ uslugama koristile i neke obavještajne službe zainteresovane za podatke koji se nalaze u sistemima drugih država i organizacija. Svakodnevno se javljaju nove metode, sredstva i oblici zloupotrebe. Sve više se govori o „računarskom terorizmu“ kao još specifičnijem obliku računarskog kriminala. Pravna regulativa u Srbiji i u svijetu je dosta neujednačena, a prečesto i neučinkovita. Pošto je računarski kriminal globalni problem, za djelotvorno suzbijanje nisu dovoljnji samo stručnjaci za sigurnost, ekspertne grupe i ostali organi za sprječavanje i suzbijanje računarskog kriminala, već se mora ostvariti cjelovitija koordinacija i sveobuhvatna akcija zakonodavstva i snaga reda u prevenciji računarskog kriminala, prije svega u sferi finansijskog poslovanja i nacionalne sigurnosti. Za razvoj svih oblika napada na informacione sisteme ključnu ulogu imaju: sve veće zloupotrebe komunikacionih sredstava koje prethode konkretnom računarskom kriminalu, brži razvoj i širenje telekomunikacionih uređaja, sve veća dostupnost računara i osobama bez većeg stručnog znanja, hakerski web site-ovi i BBS-ovi (Bulletin Board System) koji omogućavaju tajnu komunikaciju, razmjenu iskustava i programe namijenjene provalama u sisteme, pojava medija koji često neopravdano veličaju hakerske vještine i napade, sporost i relativna složenost donošenja pravne regulative na području materijalnog , procesnog i fiskalnog zakonodavstva u cilju prevencije računarskog kriminala.

4.1. Pojam računarskog kriminala
I obični čovjek sve više i više vremena provodi u virtuelnom svijetu interneta, video igara i programa, u njemu svakodnevno i djeluje. U tom svijetu i pomoću njega zadovoljava potrebe za komuniciranjem i informacijama, ali kao što imamo delikventna ponašanja u stvarnom svijetu tako su počela da se razvijaju i takvi akti u virtuelnom svijetu otkrivajući okeane mogućnosti razvoja ove vrste kriminala. Zloupotrebe postaju sa informatičkim razvojem sve učestalije, a po posljedicama i sve opasnije. Zaštita od računarskog kriminala postaje važna funkcija društva, jer se sa svakom tehnološkom inovacijom javljaju nove zloupotrebe počinjenje na računarima ili uz njihovu pomoć. Susreću se na svim lokalnim, nacionalnim i regionalnim nivoima, a širenjem računarskih mreža i ekspanziom Interneta i na svjetska prostranstva. Ovome uveliko pridonosi i digitalni oblik dostupnih podataka i informacija, a isto tako i mogućnost da se kriminal počini daljinskim pristupom, korištenjem, upravljanjem i manipuliranjem podacima. Računarski kriminal bi bio „kriminal koji se odnosi na bilo koji oblika kriminala koji se može izvršavati sa računarskim sistemima i mrežama ili protiv računarkih sistema i mreža“.4 Računarski kriminal je: • oblik nedozvoljenog korištenja računarske tehnologije u kriminalne svrhe, • svako ilegalno i neetičko ponašanje koje omogućava uključivanje u automatsku obradu podataka ili njihov prenos, • ona vrsta djela računarske tehnologije koja se javlja kao sredstvo izvršenja krivičnog djela.

4

Prof. Dr Veljko Trivun, „Pravni aspekti internet kriminala“ – prezentacija Sarajevo, April 2008.

7

Pristupni rad iz predmeta Informatika

Miroslav Divčić

4.2. Kategorije računarskog kriminala
Kriminal uz pomoć računara može imati oblik bilo kojeg tradicionalnog oblika kriminala, kao što su krađe ili pronevjere, a isto tako i zloupotreba računarskog vremena ili pribavljanje informacija koje se poslije mogu pretvoriti u lični dobitak. Računarski rkiminalitet spada u sljedeće kategorije5: 1. Krađa usluga, u kojima ovlaštena osoba koristi računarsko vrijeme za neovlaštene potrebe ili za neovlaštenog korinika i tako pribavlja korist. 2. Informacijski kriminal, kod kojeg počinilac koristi informacije koje sadrži računar za vlastitu dobit. 3. Finansijski kriminal, kod kojeg se koriste računari da bi se dobili razni oblici finansijskih dobitaka. 4. Imovinski kriminal, gdje se računar koristi da bi se pribavila imovina koja se onda koristi za vlastite potrebe ili za pribavljenje profita. 5. Tradicionalni kriminal, gdje se računari mogu takođe koristiti za tradicionala kriminalna djela (kidnapovanje, sabotaža, terorizam). Razvojem tehnologije i njenom primjenom, naglo se povećava i njena nenamjenska upotreba i prisutnost računarskog kriminala. Danas je to problem svjetskih razmjera koji ulazi u područje politike, bankarstva, trgovine, pa postoji velika potreba za borbom protiv računarskog kriminala. Krivični zakon Srbije je tek 2003. godine članom 186. odredio kazne za računarski kriminal (tabela 1.). U zakonu koji se odnosi na „visokotehnički kriminal“6 iz 2007. godine, pod visokotehničkim kriminalom se smatraju „krivična dela koja kao objekt ili sredstvo izvršavanja imaju računare, računarske mreže, računarske podatke, kao i njihove podatke u materijalnom i elektronskom obliku (računarski programi)“. U skladu sa ovim zakonom formirana su i poseban odjeljenja sa nazivom „Odjeljenja za borbu protiv visokotehničkog kriminala“.

Tabela 1.
Član Član 186a Član 186b Član 186v Član 186g Delo Neovlašćeno korišćenje računara i računarske mreže Računarska sabotaža Pravljenje i unošenje virusa Računarska prevara Minimalna kazna Novčana 1 godina zatvora Novčana 6 meseci zatvora Maksimalna kazna 5 godina zatvora 8 godina zatvora 3 godine zatvora 12 godina zatvora

računarskih

5 6

Dragićević, D. „Kompjutorski kriminalitet i informacijiski sustavi“ Informator, Zagreb, 1999. 2007. godine Vlada Srbije zvanično računarski kriminal naziva „Visokotehničkim kriminalom“.

8

Pristupni rad iz predmeta Informatika
Ometanje funkcionisanja elektronske Član obrade i prenosa podataka i 5 godina 186d računarske mreže Novčana zatvora Član Neovlašćen pristup zaštićenom 5 godina 186đ računaru ili računarskoj mreži Novčana zatvora Član Sprečavanje i ograničavanje pristupa 3 godine 186e javnoj računarskoj mreži Novčana zatvora Tabela 1 – Kazne propisane članom 186 Krivičnog zakona Srbije koja reguliše računarski kriminal

Miroslav Divčić

5. Prijetnje sigurnosti informacionog sistema
Prvi korak u izgranji odgovarajućeg sigurnosnog sistema jeste indentifikacija opasnosti koje mu prijete. Pojmoj uljez (intruder) ili napadač (attacker) definišemo osobu ili program koji nastoje dobiti neovlašteni pristup podacima ili resursima računarskog sistema. Postoji mnogo načina ugoržavanja sistema, ali uopšteno govoreći, oni se mogu podijeliti u dvije grupe: • aktivni napadi i • pasivni napadi.

5.1 Aktivni napadi
Cilj aktivnih napada je uplitanje u normalan rad sistema i izvršenje radnji koje za sistem mogu biti pogubne. Najčešći takvi postupci su uništavanje podataka, javljanje lažnih greški na sistemu, usporavanje sistema, ispunjavanje memorije ili diska beskorisnim podacima i sl. Najpoznatije vrste ovih napada su virusi, crvi i logičke bombe. Virusi Računarski virus je komadić koda, pridodan normalnom programu, koji izvršavanjem inficira druge programe. Osim što se tako širi, on čini i dodatne štet u vidu brisanja datoteka ili ispisivanja suvišnih poruka. Oporavak od virusne infekcije je težak zadatak jer obično zahtijeva djelimični ili potpuni prekid rada za duži period vremena dok se ne izbrišu memorija i diskovi. Ponekad možemo koristiti i pomoćne antivirusne programe, međutim oni se mogu koristiti samo za poznate vrste virusa. Najbolje je ipak preduzeti određene mjere opreza i potrošiti malo više vremena za osiguranje sistema , nego poslije, nakon napada, sistem oživljavati i imati gubitke podataka. Crvi Crvi su programi koji se šire mrežom od jednog ka drugom računaru. Oni koriste prednosti u načinu na koji su mrežni resursi djeljeni, a ponekad i iskorištavajući greške u standardnoj programskoj podršći instaliranoj na mrežnom sistemu. Ako i nisu direktno destruktivni, oni

9

Pristupni rad iz predmeta Informatika

Miroslav Divčić

mogu mrežu onesposobiti i dovesti je do zagušenja, preuzimajući resurse i koristeći operacije na mreži u vlastite svrhe. Za rješenje problema crva, često je potrebno ugasiti cijeli sistem, odnosno sve računare koji se nalaze u mreži. Logičke bombe Logička bomba je program koji leži neaktivana sve dok se ne ispuni neki uslov koji bombu aktivira, čime počinje uništavanje podataka i kvarenje programske podrške sistema. Uslov mogu biti razni događaji: pristup određenom podatku, pokretanje nekog programa određeni broj puta, istek određenog vremena ili neki specifičan datum (petak 13., nova godina). Veoma je česta pojava prenošenja bombi pomoću virusa.

5.2 Pasivni napadi
Za razliku od aktivnih napada, pasivni ne čine vidljivu štetu sistemu koji napadaju, pa ih je veoma teško detektovati. Njihov osnovni zadatak je ukrasti informacije iz sistema, ne miješajući se pri tome u njegov rad. Jedina zaštita od ove vrste napada je prevencija. Opis pasivnih napada slijedi u daljnjem tekstu. Pregledavanje (Browsing) Počinitelji pokušavaju čitati pohranjenje podatke, memoriju drugih procesa, paketa poruka koje putuju mrežom, ili slično, bez bilo kakve promjene. Zaštita od ove vrste napada se sastoji od mehanizma kontrole pristupa (podaci i memorija), odnosno kriptovanja poruka (prisluškivanje mrežnog prometa). Curenje (Leaking) U ovoj metodi, počinitelj mora imati saučesnika (korisnika sistema koji ima pristup željenim informacijama), koji mu dobavlja podatke. Prevencija ove vrste napada je veoma složen problem i zahtijeva prevenciju svih vrsta komunikacije između uljeza i saučesnika. Problem osiguranja nemogućnosti pružanja informacija saučesnika uljezu naziva se problem ograničenja (confinement problem). Generalno gledano, on je neriješiv, jer curenje informacija među procesima, koji u teoriji ne mogu komunicirati, je relativno jednostavno. Zaključavanje (Inferencing) Na osnovu posmatranja i analiziranja aktivnosti sistema i njegovih podataka, uljez pokušava donijeti neke zaključke koji bi mu pomogli pri ulazu u sistem. Na primjer, ako su informacije kriptovane, uljez mora pokušati izvesti ključ analizirajući nekoliko kriptovanih datoteka. Budući da ključ može poslužiti za upad u sistem, on je vrijedan i može se prodati i drugim uljezima. Još jedan primjer je osluškivanje mrežnog prometa i analiziranje frekvencije izmjene poruka među korisnicima koje daje vrijeme i obim komunikacije, npr. Između dvije kompanije.

10

Pristupni rad iz predmeta Informatika Maskiranje (Masqueradung)

Miroslav Divčić

U ovoj se metodi počinitelj maskira u ovlaštenog korisnika. Npr. mnogi sistemi imaju mehanizme koji dopuštaju korinicima korištenje programa koji su napisali drugi korisnici. Ti programi mogu nepropisno koristiti prava pristupa korisnika koji programe izvode te tako dobavljati podatke. Jednostavan primjer je editor program koji radi savršeno, ali i kopira sve datoteke koje uređuje, u područje koje je dostupno uljezu. Time uljez dolazi do sbih korisnikovih podataka uređivanih ovim programom. Korisnik toga nije ni svjestan, jer program zadovoljava sve njegove potrebe. Uljez se, takođe, korisniku može predstaviti kao pouzdani poslužitelj. Taj se oblik maskiranja zove podvala (spoofing), a izbjegava se korištenjem postupka autentifikacije.

6. Sigurnost E-bankarstva na Internetu
Sigurnost predstavlja najveću brigu banaka koje nude usluge elektronskog bankarstva i najčešće je definisan kao kombinacija tehnologija, mjera i postupaka zaštite informacija od neovlašćenog eksploatisanja. Četiri su osnovna sigurnosna servisa:  Tajnost podataka, ostvaruje se šifriranjem, odnosno upotrebom kriptografskih algoritama.  Autentifikacija, tj. proveravanje identiteta kojim se korisnik predstavlja. Ovo se vrši na razne načine: PIN-om / Personel Identification Number /, pasword-om, biometrijske metode / otisak prsta i dr./, smart kartica.  Integritet podataka – Obezbeđivanje razmjene finansijskih i drugih podataka između banke i korisnika tako da niko neovlašćen ne može iskoristiti ili izmeniti podatke. Integritet podataka se može obezbediti tehnologijama zaštite ( SSL – Secure Socket Layer, S-HTTP – Secure HyperText Transfer Protocol i dr.).  Neporicanje poruka, servis koji sprečava pošiljaoca da porekne slanje i sadržaj poruke, odnosno primaoca da porekne prijem i sadržaj poruke. Veoma je bitna i zaštita mreže banke / firewall/ i kontrola pristupa.

6.1. Sigurnosni mehanizmi – elementi sigurnosnih sistema
Šifrovanje Šifrovanje je transformacija originalne poruke pomoću odgovarajućeg postupka u nečitljivu formu za sve, sem za korisnika snabdevenog mehanizmom za dešifriranje. U postupku šifrovanja, u mehanizam šifrovanja ulazi originalna poruka i specifičan sadržaj koji se zove ključ. Dešifrovanje je inverzna transformacija kojom se od šifrovane poruke

11

Pristupni rad iz predmeta Informatika

Miroslav Divčić

uz pomoć ključa i mehanizma za šifrovanje dobija ponovo originalni ili izvorni oblik poruke.  Simetrično šifrovanje – Podrazumijeva da su ključ za šifrovanje i ključ za dešifrovanje isti. Tajnost se zasniva na tajnosti ključa. Ključni problem je distribucija ključeva. Za više korisnika mora postojati više ključeva. Ovo nije pogodno za Internet.  Asimetrično šifrovanje – Podrazumijeva dva ključa: javni i tajni. Postoji relacija između njih. Javni ključ se šalje kroz mrežu. Tajni se unosi samo kod dešifrovanja. Postupak rada je sledeći: javni ključ se pošalje drugome i on sa njim kriptuje poruku koju vam šalje. Sa njim se ne može dekriptovati poruka. Poruku može dekriptovati samo vlasnik tajnog ključa. Digitalni potpis Poruka se može digitalno ovjeriti tako što pošiljalac koristi svoj tajni ključ za ovjeru – kako svog identiteta, tako i sadržaja poruke, čime se sprečava bilo kakva izmena poruke tokom prenosa. Ako bi neko neovlašćeno dopisao ili izmenio sadržaj poruke, primalac bi uz pomoć javnog ključa pošiljaoca otkrio neregularnost u poruci, što znači da je došlo do neautorizovane izmene poruke. Digitalni sertifikat Digitalni sertifikat je lična karta u cyber prostoru. Sertifikat autoriteti / sertifikaciona tela / dokazuju vaš identitet. Sertifikat mora da sadrži: Naziv vaše organizacije Dodatne podatke za identifikaciju Vaš javni ključ Datum do kog važi vaš javni ključ Ime CA koji je izdao sertifikat Jedinstveni serijski broj. Ovi podaci se na kraju šifruju tajnim ključem CA. Inteligentne kartice Autentifikacija podrazumeva dokazivanje identiteta korisnika. Identitet u okviru Interneta najčešće se dokazuje korisničkim imenom i lozinkom, odnosno tajnim ključem, a u poslednje vreme i inteligentnim karticama ( smart cards ), kao savremenijim i efikasnijim mehanizmom zaštite podataka. Ugradnja elektronskih čipova u plastične kartice je tehnologija stara dvadesetak godina, ali je masovna proizvodnja i primena inteligentnih kartica relativno novija. Jezgro inteligentne kartice čine mikroprocesor i memorija, na kojoj, osim opštih podataka, može biti zapisan i tajni ključ i može biti aktiviran samo uz pomoć vlasnika kartice, kako bi se izvršio odgovarajući kriptografski algoritam.

12

Pristupni rad iz predmeta Informatika

Miroslav Divčić

7. Zaključak
Rapidan razvoj infromacionih sistema i Interneta kao globalne mreže, doveo je do povećanje rizika od napada sa udaljenih računara i razvoja posebnog oblika kriminala tzv. "Syber" kriminala i njegovog najgoreg oblika, računarskog terorizma. Sam pojam bezbjednosti informacionih sistema je mnogo širi od bezbjednosti od upada sa udaljenog računara tzv. napada hakera. Takođe mnogo je širi spektar rizika kojima su izloženi informacioni sistemi, preko fizičkih uništenja, rizika od vremenskih nepogoda do rizika samog napada hakera. Možemo sa sigurnošću reći da ne postoji apsolutno »siguran«

13

Pristupni rad iz predmeta Informatika

Miroslav Divčić

računar koji je imun na sve vrste rizika. Sa aspekta sigurnosti računare možemo podijeliti na manje sirugne i više sigurne računare u zavisnosti kojim su vrstama rizika izloženi i koje se mjere predostrožnosti sprovode na njima. Veoma bitan faktor u suzbijanju razvoja računraskog kriminala jeste zakonodavstvo. Globalni sistem komuniciranja kakav je Internet, stalno traži update-ovane i odgovarajuće pravne okvire koji moraju biti podložni brzim izmjenama i odgovarati svjetskim standardima. Takođe, veliki korak naprijed ka smanjenju rizika u računarskom svijetu jeste i stalna edukacija korisnika, kao i postavljanje odgovarajućih procedura u privrednim subjektima koji su izloženi rizicima računarskog kriminala i kontrola sporovođenja istih. Faktor koji uvećavaju rizik od povećanja ljudi koji su sposobni za računarski kriminal jeste i sam Internet i postojanje tzv. hakerskih sajtova i foruma na kojima se mogu naći detaljna upustva za razne oblike hakovanja. Običan čovjek sa prosječnim znanjem iz oblasti informatike može se veoma brzo obučiti za osnovne radnje iz oblasti hakovanja. Takođe na web site- ovim u čijim nazivima možemo naći sufiks »warez« možemo pronaći i razne alate (software) za vršenje upada na udaljenje računare, kao i generatore serijskih brojeva za razne trial programe, kao i za kredtine kartice. Jedini koraci koje možemo preduzeti jeste informisanje javnosti o rizicima sa kojima se mogu susresti u oblasti informacionih sistema, edukacija i obuka o preventivi ovih rizika, kao i odgovarjuća zakonska regulativa i efikasna policija.

8. Literatura
(1) Prof. dr Rade Stankić, »Elektronsko poslovanje«, Centar za izdavačku delatnost Ekonomskog fakulteta u Beogradu, 2007. (2) Prof. dr. Rade Stankić, »Poslovna informatika«, Ekonomski fakultet Beograd, 2003. (3) Prof. dr Rade Stankić, dr Branko Krsmanović, „Informatika za ekonomiste“, Viša škola za spoljnu trgovinu Bijeljina, 2002.

14

Pristupni rad iz predmeta Informatika

Miroslav Divčić

(4) Mr Marija Boban , »Sigurnosni i pravni aspekti elektroničkog poslovanja«, Magistarski rad, Sveučilište Zagreb, Ekonomski fakultet, 2005. (5) Prof. dr Emilija Vuksanović, »Elektronsko bankarstvo«, Berogradska bankarska akademija, Beograd 2006. (6) Prof. dr Veljko Trivun, „Pravni aspekti internet kriminala“ – prezentacija Sarajevo, April 2008. (7) Dragićević, D. „Kompjutorski kriminalitet i informacijiski sustavi“ Informator, Zagreb, 1999 (8) www.internet-banking-free.com/banks (9) https://bank.etrade.com (10) www.netbank.com (11) www.posted.co.yu

15