Veći dio BiH ostao je juče bez električne energije usljed kvara na kompjuterskom sistemu. Iz Elektroprivrede tvde da se ubrzano radi na osposobljavanju sistema i ubrzo se očekuje normalizacija snabdjevanja”.

Ovako bi najvjerovatnije glasila agencijska vijest u slučaju apokaliptičnog scenarija, da se BiH nađe na udaru međunarodnih kriminalaca specijalizovanih za ucjene kompanija, gdje su taoci vitalni kompjuterski sistemi koji kontrolišu snabdjevanje vodom, strujom, odvijanje željezničkog saobraćaja.

Ne radi se o naučnoj fantastici, već o stvarima koje se već nekoliko godina dešavaju širom svijeta i sve zemlje i kompanije, od Pekinga do Washingtona su potencijalna meta.

 Američki dalekovodi pod kontrolom hackera

Jedna od prvih stvari koju je uradio novi američki predsjednik Barack Obama nakon ulaska u Bijelu kuću, bila je naredba za hitnu analizu sigurnosti kompjuterskih mreža kojima se upravlja ključnom infrastruktrom, strujom, vodom, finansijskim sistemom.

Rezultat? Otkrilo se da je “neko” u računare koji kontrolišu vitalnu infrastrukturu ubacio programčiće koji mu omogućavaju da u bilo kojem trenutku sruši sistem, odnosno da bez struje, vode, telekomunikacija, ostavi čitave SAD ili njen dio, za duži vremenski period.

Za svakodnevni život građana i ekonomije takav scenario bi imao efekat podjednako poguban kao i napad atomskim bombama.

Pitanje ko je i kada ubacio ove programe za sabotažu, ostalo je bez konkretnog odgovora. “Uobičajeni sumnjivci” su Kina i Rusija, mada su se na sceni pojavili i novi igrači, organizovani kriminal.

Prema tvrdnjama zvaničnika CIA-e, hakeri ruske obavještajne službe FSB, nasljednice KGB-a, upadali su u američke kompjuterske sisteme koji upravljaju infrastrukturom još od 2003. godine. Istu stvar takođe rade i Kinezi, i za sada im prilično dobro ide.

Gotovo izvjesno je da su istu stvar Amerikanci napravili svojim konkurentima na globalnoj sceni, mada je uobičajeno da se žrtve ne hvale time.

Špijuni dobili konkurenciju

Ako je špijunima najmoćnijih država upadanje u kompjuterske sisteme potencijalnih protivnika u opisu posla, za nove igrače iz sfere organizovanog kriminala otvorilo se novo polje djelovanja, i to izuzetno profitabilno.

Američke komunalne kompanije bile su već suočene sa ucjenom od strane kriminalaca koji su prethodno preuzeli kontrolu nad njihovom kompjuterskom mrežom, tvrde iz američkog SANS instituta koji djeluje kao krizni centar za kompanije čiji su kompjuterski sistemi hackirani. Poruka kriminalaca bila je jednostavna, “platite ili gasimo sve”.

Kompanije su izgleda ipak plaćale, a informaciju da su njihovi kompjuterski sistemi bili žrtve beskrupuloznih kriminalaca, brižljivo su krili od javnosti.

Na meti kriminalaca nisu samo američke kompanije. Prema tvrdnjama koje je u januaru prošle godine na konferenciji o cyber sigurnosti u New Orleansu iznio Tom Donohue iz CIA, “nekoliko gradova izvan SAD već je bilo suočeno sa nestankom struje kao posljedicom ucjene od strane hackera koji su preuzeli kontrolu nad njihovim sistemom”.

Koji su to gradovi i gdje, Donohue nije želio otkriti, ali je očigledno da novi sistem reketiranja uspješno funkcioniše.

Ono što je pokazala analiza ubačenih programa je da njihovi autori nisu besposleni klinci željni dokazivanja svog kompjuterskog umijeća, već da se radi o programima čiji su autori timovi profesionalaca.

Luksuz angažovanja grupe kompjuterskih stručnjaka mogu da priušte sebi ili države ili najkrupnije ribe u svijetu podzemlja koje imaju dovoljno novca na raspolaganju za ovo “početno ulaganje”.

Nema apsolutne sigurnosti

- Apsolutna sigurnost ne postoji, i uvijek postoji mogućnost da dođe do proboja u sistem. Po definiciji, kompjuterska sigurnost je određivanje prihvatljivog nivoa rizika. Sigurnost je svakodnevna borba, kaže Miroslav Gligorić, inžinjer za AGC i SCADA sisteme u nezavisnom operatoru sistema BiH, kompaniji koja upravlja mrežom dalekovoda u BiH.

Ta svakodnevna borba u praksi zavisi od svake kompanije pojedinačno i znanja i umješnosti ljudi zaduženih za održavanje kompjuterskih sistema sistema ali i od spremnosti menadžmenta prihvati ono što kompjuteraši u kompaniji predlažu.

Prva “linija odbrane” je korištenje isključivo licenciranih programa i zabrana instaliranja bilo kakvih drugih programa od strane zaposlenih. Kako lijepa riječ obično nije dovoljna, onda IT stručnjaci u kompanijama gdje je potrebna maksimalna sigurnost jednostavno na računarima onesposobe USB priključke, DVD čitače te i sofverski onemoguće korisniku da bilo šta instalira na računar samostalno.

- Kada se radi o mogućnosti da kod velikih infrastrukturnih kompjuterskih sistema u BiH dođe do proboja, kao što se dešavalo u SAD , teoretski, to nije isključeno, jer ako se dešavalo Amerikancima, onda može i bilo gdje u svijetu uključujući i BiH . Kod nas praktično postoje dvije međusobno odvojene mreže, pri čemu je SCADA sistem koji upravlja prenosom električne energije u BiH izolovan od standardne kompanijske mreže. Tako da ako se slučajno i desi da dođe do proboja virusa u kompanijsku mrežu, oni ne mogu doći do SCADA sistema. Ipak, teoretski, pristup SCADA sistemu izvana moguć je, ali samo od strane nekog ko izuzetno dobro poznaje sistem iznutra, kaže Gligorić.

BiH nije Amerika, pa kod nas hitnu analizu sigurnosti ključnih kompjuterskih sistema koji kontrolišu naše svakodnevno snabdjevanje strujom, vodom, telekomunikacijama, niti ima ko da zatraži niti ima neko ko bi to uradio.

Ko će štititi kompjutere u BiH?

Brano Vujičić- U BiH ne postoji državna institucija čiji bi posao bio da se bavi ovakvom vrstom supervizije nad sigurnošću najvažnijih kompjuterskih mreža u zemlji. Eventualno, to bi mogao biti jedan od poslova kojima bi se mogla baviti Agencija za informatičko društvo BiH. Problem je što je ova agancija trebala biti formirana na državnom nivou, ali zakon o njenom osnivanju već godinama se “kiseli” po ladicama i neizvjesno je kada će konačno biti usvojen, objašnjava Brano Vujičić, potpredsjednik skupštine bh. asocijacije za informacione tehnologije BAIT.

Trenutno, jedini vid bilo kakve kontrole nad kompjuterskim sistemima, kada je riječ o državnim institucijama i kompanijama odvija se u sklopu revizije od strane entitetskih i državnog Ureda za reviziju.

U revizorskim timovima koji češljaju kako se troši novac poreznih obveznika obično je i jedan IT stručnjak što je nedovoljno za bilo kakvu ozbiljniju analizu sigurnosti kompjuterskih mreža. jednostavno, revizorima to i nije osnovni posao niti imaju dovoljno ljudi i resursa.

I dok se država baš i ne zabrinjava previše hoće li se naći suočena sa izborom da plati međunarodnoj mafiji ili da joj iznenada prestanu raditi vitalni kompjuterski sistemi, provjera sigurnosti kompjuterskih mreža komplikovana je čak i kada su kompanije voljne da je plate iz svog džepa.

- Kada smo za interne potrebe željeli testirati otpornost naše mreže na napade izvana, bili smo prinuđeni angažovati kompaniju izvan BiH jer kod nas se niko ne bavi time, kaže nam sistem administrator odgovoran za IT sigurnost u jednoj domaćoj finansijskoj instituciji.

Za domaće informatičare ovo nije nikakva novost, jer u ovom poslu važi pravilo “koliko para, toliko muzike” odnosno, koliko para i znanja, toliko i sigurnosti.

Mali rođak umjesto profesionalca

- Normalno je da se domaće kompanije ne bave provjerom testiranja sigurnosti jer je to usko specijalizovan posao koji traži i stručnjake koji nisu jeftini. S druge strane potražnja za takvom vrstom usluga kod nas je na simboličnom nivou i jednostavno se zbog jednog ili dva posla godišnje ne isplati ulagati u pokretanje takve kompanije, ocjena je Vedina Hakirovića, produkt menadžera u softverskoj kompaniji Hermes Softlab.

Po Hakirovićevim riječima, suštinski problem BiH kada se radi o primjeni informatičkih tehnologija je što među menadžerima mahom preovladava stav da je angažovanje profesionalaca nepotreban trošak, pa je alternativno i jeftino rješenje, “imam ja malog rođaka koji se razumije u kompjutere”.

Jedina utješna stvar za BiH je što za razliku od razvijenih zapadnih zemalja gdje su vitalni infrastrukturni sistemi u potpunosti kompjuterizovani, kod nas se uglavnom radi o mješavini automatizacije i ručnog rada. Ponekad je biti tehnološki malo zaostao i prednost.

(zurnal.info)

" />

KOMPJUTERSKI SISTEMI: BiH je lak plijen za hackere

Dražen Simić

Veći dio BiH ostao je juče bez električne energije usljed kvara na kompjuterskom sistemu. Iz Elektroprivrede tvde da se ubrzano radi na osposobljavanju sistema i ubrzo se očekuje normalizacija snabdjevanja”.

Ovako bi najvjerovatnije glasila agencijska vijest u slučaju apokaliptičnog scenarija, da se BiH nađe na udaru međunarodnih kriminalaca specijalizovanih za ucjene kompanija, gdje su taoci vitalni kompjuterski sistemi koji kontrolišu snabdjevanje vodom, strujom, odvijanje željezničkog saobraćaja.

Ne radi se o naučnoj fantastici, već o stvarima koje se već nekoliko godina dešavaju širom svijeta i sve zemlje i kompanije, od Pekinga do Washingtona su potencijalna meta.

 Američki dalekovodi pod kontrolom hackera

Jedna od prvih stvari koju je uradio novi američki predsjednik Barack Obama nakon ulaska u Bijelu kuću, bila je naredba za hitnu analizu sigurnosti kompjuterskih mreža kojima se upravlja ključnom infrastruktrom, strujom, vodom, finansijskim sistemom.

Rezultat? Otkrilo se da je “neko” u računare koji kontrolišu vitalnu infrastrukturu ubacio programčiće koji mu omogućavaju da u bilo kojem trenutku sruši sistem, odnosno da bez struje, vode, telekomunikacija, ostavi čitave SAD ili njen dio, za duži vremenski period.

Za svakodnevni život građana i ekonomije takav scenario bi imao efekat podjednako poguban kao i napad atomskim bombama.

Pitanje ko je i kada ubacio ove programe za sabotažu, ostalo je bez konkretnog odgovora. “Uobičajeni sumnjivci” su Kina i Rusija, mada su se na sceni pojavili i novi igrači, organizovani kriminal.

Prema tvrdnjama zvaničnika CIA-e, hakeri ruske obavještajne službe FSB, nasljednice KGB-a, upadali su u američke kompjuterske sisteme koji upravljaju infrastrukturom još od 2003. godine. Istu stvar takođe rade i Kinezi, i za sada im prilično dobro ide.

Gotovo izvjesno je da su istu stvar Amerikanci napravili svojim konkurentima na globalnoj sceni, mada je uobičajeno da se žrtve ne hvale time.

Špijuni dobili konkurenciju

Ako je špijunima najmoćnijih država upadanje u kompjuterske sisteme potencijalnih protivnika u opisu posla, za nove igrače iz sfere organizovanog kriminala otvorilo se novo polje djelovanja, i to izuzetno profitabilno.

Američke komunalne kompanije bile su već suočene sa ucjenom od strane kriminalaca koji su prethodno preuzeli kontrolu nad njihovom kompjuterskom mrežom, tvrde iz američkog SANS instituta koji djeluje kao krizni centar za kompanije čiji su kompjuterski sistemi hackirani. Poruka kriminalaca bila je jednostavna, “platite ili gasimo sve”.

Kompanije su izgleda ipak plaćale, a informaciju da su njihovi kompjuterski sistemi bili žrtve beskrupuloznih kriminalaca, brižljivo su krili od javnosti.

Na meti kriminalaca nisu samo američke kompanije. Prema tvrdnjama koje je u januaru prošle godine na konferenciji o cyber sigurnosti u New Orleansu iznio Tom Donohue iz CIA, “nekoliko gradova izvan SAD već je bilo suočeno sa nestankom struje kao posljedicom ucjene od strane hackera koji su preuzeli kontrolu nad njihovim sistemom”.

Koji su to gradovi i gdje, Donohue nije želio otkriti, ali je očigledno da novi sistem reketiranja uspješno funkcioniše.

Ono što je pokazala analiza ubačenih programa je da njihovi autori nisu besposleni klinci željni dokazivanja svog kompjuterskog umijeća, već da se radi o programima čiji su autori timovi profesionalaca.

Luksuz angažovanja grupe kompjuterskih stručnjaka mogu da priušte sebi ili države ili najkrupnije ribe u svijetu podzemlja koje imaju dovoljno novca na raspolaganju za ovo “početno ulaganje”.

Nema apsolutne sigurnosti

- Apsolutna sigurnost ne postoji, i uvijek postoji mogućnost da dođe do proboja u sistem. Po definiciji, kompjuterska sigurnost je određivanje prihvatljivog nivoa rizika. Sigurnost je svakodnevna borba, kaže Miroslav Gligorić, inžinjer za AGC i SCADA sisteme u nezavisnom operatoru sistema BiH, kompaniji koja upravlja mrežom dalekovoda u BiH.

Ta svakodnevna borba u praksi zavisi od svake kompanije pojedinačno i znanja i umješnosti ljudi zaduženih za održavanje kompjuterskih sistema sistema ali i od spremnosti menadžmenta prihvati ono što kompjuteraši u kompaniji predlažu.

Prva “linija odbrane” je korištenje isključivo licenciranih programa i zabrana instaliranja bilo kakvih drugih programa od strane zaposlenih. Kako lijepa riječ obično nije dovoljna, onda IT stručnjaci u kompanijama gdje je potrebna maksimalna sigurnost jednostavno na računarima onesposobe USB priključke, DVD čitače te i sofverski onemoguće korisniku da bilo šta instalira na računar samostalno.

- Kada se radi o mogućnosti da kod velikih infrastrukturnih kompjuterskih sistema u BiH dođe do proboja, kao što se dešavalo u SAD , teoretski, to nije isključeno, jer ako se dešavalo Amerikancima, onda može i bilo gdje u svijetu uključujući i BiH . Kod nas praktično postoje dvije međusobno odvojene mreže, pri čemu je SCADA sistem koji upravlja prenosom električne energije u BiH izolovan od standardne kompanijske mreže. Tako da ako se slučajno i desi da dođe do proboja virusa u kompanijsku mrežu, oni ne mogu doći do SCADA sistema. Ipak, teoretski, pristup SCADA sistemu izvana moguć je, ali samo od strane nekog ko izuzetno dobro poznaje sistem iznutra, kaže Gligorić.

BiH nije Amerika, pa kod nas hitnu analizu sigurnosti ključnih kompjuterskih sistema koji kontrolišu naše svakodnevno snabdjevanje strujom, vodom, telekomunikacijama, niti ima ko da zatraži niti ima neko ko bi to uradio.

Ko će štititi kompjutere u BiH?

Brano Vujičić- U BiH ne postoji državna institucija čiji bi posao bio da se bavi ovakvom vrstom supervizije nad sigurnošću najvažnijih kompjuterskih mreža u zemlji. Eventualno, to bi mogao biti jedan od poslova kojima bi se mogla baviti Agencija za informatičko društvo BiH. Problem je što je ova agancija trebala biti formirana na državnom nivou, ali zakon o njenom osnivanju već godinama se “kiseli” po ladicama i neizvjesno je kada će konačno biti usvojen, objašnjava Brano Vujičić, potpredsjednik skupštine bh. asocijacije za informacione tehnologije BAIT.

Trenutno, jedini vid bilo kakve kontrole nad kompjuterskim sistemima, kada je riječ o državnim institucijama i kompanijama odvija se u sklopu revizije od strane entitetskih i državnog Ureda za reviziju.

U revizorskim timovima koji češljaju kako se troši novac poreznih obveznika obično je i jedan IT stručnjak što je nedovoljno za bilo kakvu ozbiljniju analizu sigurnosti kompjuterskih mreža. jednostavno, revizorima to i nije osnovni posao niti imaju dovoljno ljudi i resursa.

I dok se država baš i ne zabrinjava previše hoće li se naći suočena sa izborom da plati međunarodnoj mafiji ili da joj iznenada prestanu raditi vitalni kompjuterski sistemi, provjera sigurnosti kompjuterskih mreža komplikovana je čak i kada su kompanije voljne da je plate iz svog džepa.

- Kada smo za interne potrebe željeli testirati otpornost naše mreže na napade izvana, bili smo prinuđeni angažovati kompaniju izvan BiH jer kod nas se niko ne bavi time, kaže nam sistem administrator odgovoran za IT sigurnost u jednoj domaćoj finansijskoj instituciji.

Za domaće informatičare ovo nije nikakva novost, jer u ovom poslu važi pravilo “koliko para, toliko muzike” odnosno, koliko para i znanja, toliko i sigurnosti.

Mali rođak umjesto profesionalca

- Normalno je da se domaće kompanije ne bave provjerom testiranja sigurnosti jer je to usko specijalizovan posao koji traži i stručnjake koji nisu jeftini. S druge strane potražnja za takvom vrstom usluga kod nas je na simboličnom nivou i jednostavno se zbog jednog ili dva posla godišnje ne isplati ulagati u pokretanje takve kompanije, ocjena je Vedina Hakirovića, produkt menadžera u softverskoj kompaniji Hermes Softlab.

Po Hakirovićevim riječima, suštinski problem BiH kada se radi o primjeni informatičkih tehnologija je što među menadžerima mahom preovladava stav da je angažovanje profesionalaca nepotreban trošak, pa je alternativno i jeftino rješenje, “imam ja malog rođaka koji se razumije u kompjutere”.

Jedina utješna stvar za BiH je što za razliku od razvijenih zapadnih zemalja gdje su vitalni infrastrukturni sistemi u potpunosti kompjuterizovani, kod nas se uglavnom radi o mješavini automatizacije i ručnog rada. Ponekad je biti tehnološki malo zaostao i prednost.

(zurnal.info)

Jedna od prvih stvari koju je uradio američki predsjednik Barack Obama bila je naredba za hitnu analizu sigurnosti kompjuterskih mreža u SAD. BiH nije Amerika i takvu kontrolu nema ko da napravi.