Martina Biondić ELEKTRONIČKI KRIMINALITET U FINANCIJSKIM ...oliver.efri.hr/zavrsni/362.B.pdf ·...
66
Transcript of Martina Biondić ELEKTRONIČKI KRIMINALITET U FINANCIJSKIM ...oliver.efri.hr/zavrsni/362.B.pdf ·...
SVEUČILIŠTE U RIJECI
EKONOMSKI FAKULTET
Martina Biondić
ELEKTRONIČKI KRIMINALITET U FINANCIJSKIM
INSTITUCIJAMA
DIPLOMSKI RAD
Rijeka, 2013.
SVEUČILIŠTE U RIJECI
EKONOMSKI FAKULTET
ELEKTRONIČKI KRIMINALITET U FINANCIJSKIM
INSTITUCIJAMA
DIPLOMSKI RAD
Predmet: Elektroničko poslovanje
Mentor: Prof. dr. sc. Zvonko Čapko
Studentica:Martina Biondić
Studijski smjer: Poduzetništvo
JMAG: 0081094356
Rijeka, rujan 2013.
SADRŽAJ
Stranica
1. UVOD 1
1.1. PROBLEM, PREDMET I OBJEKT ISTRAŽIVANJA 1
1.2. SVRHA I CILJEVI ISTRAŽIVANJA 2
1.3. RADNA HIPOTEZA 2
1.4. METODOLOGIJA ISTRAŽIVANJA 2
1.5. STRUKTURA RADA 3
2. TEORIJSKE ODREDNICE ELEKTRONIČKOG
KRIMINALITETA I SIGURNOSTI INFORMACIJSKIH
SUSTAVA 5
2.1. TEMELJNE ZNAČAJKE ELEKTRONIČKOG
KRIMINALITETA 5
2.1.1. Definiranje elektroničkog kriminaliteta 5
2.1.2. Pojavni oblici elektroničkog kriminaliteta 8
2.2. SIGURNOST INFORMACIJSKIH SUSTAVA 12
2.2.1. Definiranje sigurnosti informacijskih sustava 12
2.2.2. Vrste napada i prijetnji na sigurnost 14
3. ANALIZA STANJA ELEKTRONIČKOG
KRIMINALA U FINANCIJSKIM
INSTITUCIJAMA 25
3.1. POJMOVNO ODREĐENJE I KLASIFIKACIJA
FINANCIJSKIH INSTITUCIJA 25
3.2. UZROCI NARUŠAVANJA SIGURNOSTI
INFORMACIJSKOG SUSTAVA U SVJETSKIM
FINANCIJSKIM INSTITUCIJAMA 28
3.3. NAPADI NA INFORMACIJSKE SUSTAVE
FINANCIJSKIH INSTITUCIJA IZ SVJETSKE
PRAKSE 32
3.4. NAPADI NA BANKE U REPUBLICI HRVATSKOJ 35
4. MJERE SIGURNOSTI PROTIV
ELEKTRONIČKOG KRIMINALITETA U
FINANCIJSKIM INSTITUCIJAMA 37
4.1. REGULATORNI OKVIR SUSTAVA BORBE PROTIV
ELEKTRONIČKOG KRIMINALITETA 37
4.2. EKONOMSKO-FINANCIJSKI ASPEKT ZAŠTITE
INFORMACIJSKIH SUSTAVA FINANCIJSKIH
INSTITUCIJA 42
4.3. ULAGANJA U SIGURNOST INFORMACIJSKIH
SUSTAVA BANAKA U REPUBLICI HRVATSKOJ 48
4.4. IMPLEMENTACIJA STANDARA ISO 27001:2005 52
5. ZAKLJUČAK 55
LITERATURA 58
POPIS TABLICA 61
POPIS SLIKA 61
1
1. UVOD
U ovom dijelu diplomskog rada obraĎuju se sljedeće tematske jedinice: 1)
problem, predmet i objekt istraţivanja, 2) radna hipoteza, 3) svrha i ciljevi
istraţivanja, 4) metodologija istraţivanja i 5) struktura rada.
1.1. PROBLEM, PREDMET I OBJEKT ISTRAŽIVANJA
Pojedinci i organizacije diljem svijeta povezuju se, socijaliziraju i
organiziraju, izmeĎu ostalog, i putem kibernetskog prostora, koji postaje
odreĎujuće obiljeţje suvremenog ţivota i poslovanja, pa i poslovanja
financijskih institucija. Od 2000. do 2012. godine broj korisnika Interneta, te
najrasprostranjenije mreţe kibernetskog prostora, porastao je s 360 milijuna
na 2,5 milijarde. Tako velik porast korisnika Interneta vezan je uz promjenu i
rast broja dostupnih informacija, a kibernetski prostor postaje inkubator novih
oblika poslovanja, napretka u znanosti i tehnologiji, širenju informacija, novih
društvenih mreţa itd. Ono postaje ključno područje svjetskog gospodarskog i
financijskog sustava.
Globalne računalne mreţe stvorile su ujedno i mogućnosti za nove oblike
kriminala. Ranjivost kibernetskog prostora rezultirala je različitim manje ili
više opasnim napadima na osobne podatke, financijske podatke, i dr. Kako bi
se obranile od napada financijske institucije ulaţu značajna financijska
sredstva u zaštitu svojih informacijskih sustava.
Problem istraživanja ovog diplomskog rada je sljedeći: iako se u literaturi
nailazi na veći broj znanstvenih i stručnih radova vezanih za elektronskih
kriminalitet, saznanja o ekonomskom aspektu elektroničkog kriminaliteta u
financijskim institucijama, su nedostatna.
Predmet istraživanja odnosi se na istraţivanje temeljnih značajki
elektroničkog kriminaliteta, šteta koje uzrokuje financijskim institucijama i
2
mjera sigurnosti koje financijske institucije poduzimaju u sprječavanju napada
na njihove elektroničke sustave, te prezentaciju dobivenih rezultata u okviru
ovog diplomskog rada.
Objekt istraživanja je: elektronički kriminalitet u financijskim institucijama.
1.2. SVRHA I CILJEVI ISTRAŽIVANJA
Svrha diplomskog rada je pobliţe predstaviti elektronički kriminalitet u
financijskim institucijama i posljedice elektroničkog kriminaliteta na
poslovanje financijskih institucija.
Cilj diplomskog rada je ukazati na vaţnost oblikovanja pravne regulative u
sprječavanju elektroničkog kriminaliteta te ulaganja financijskih institucija u
sigurnosne sustava, a u svrhu smanjenja izloţenosti elektroničkog sustava
riziku.
1.3. RADNA HIPOTEZA
Imajući na umu činjenicu da je kibernetski prostor omogućio financijskim
institucijama novi način poslovanja, brţu razmjenu informacija i smanjenje
troškova, istovremeno dovodeći do veće “ranjivosti” elektroničkih sustava,
moguće je postaviti sljedeću radnu hipotezu: sigurnost elektroničkih sustava
dovodi do povećanja troškova poslovanja financijskih institucija.
1.4. METODOLOGIJA ISTRAŽIVANJA
U ovom diplomskom radu, s naslovom Elektronički kriminalitet u
financijskim institucijama, istraţivanju i formuliranju rezultata istraţivanja
pristupilo se uz korištenje različitih metoda znanstvenog istraţivanja, kao što
su: induktivna i deduktivna metoda, metoda analize i sinteze, metoda
kompilacije, metoda klasifikacije, komparativna metoda i deskriptivna
metoda.
3
Istraţivanje se temelji na relevantnoj literarnoj graĎi prikupljenoj iz
elektronskih izvora, ali i eminentnih autora koji istraţuju problematiku
elektroničkog kriminaliteta.
1.5. STRUKTURA RADA
Diplomski rad je tematski podijeljen u pet meĎusobno povezanih dijelova.
U prvom dijelu, Uvodu, istaknuti su predmet, problem i objekt istraţivanja,
prezentirani su radna hipoteza, svrha i cilj istraţivanja, ukazano je na
metodologiju istraţivanja te je dan uvid u strukturu rada po pojedinim
tematskim jedinicama.
Drugim dijelom, s naslovom Teorijske odrednice elektroničkog kriminaliteta i
sigurnosti informacijskih sustava , dan je teorijski pregled temeljnih obiljeţja
elektroničkog kriminaliteta i sigurnosti informacijskih sustava. Pri tome je
ukazano na pojam elektroničkog kriminaliteta i sigurnosti, pojavne oblike
elektroničkog kriminaliteta te vrste napada i prijetnji na sigurnost.
U trećem dijelu, s naslovom Analiza stanja elektroničkog kriminala u
financijskim institucijama, uz uvodno pojmovno odreĎenje financijskih
institucija, prikazani su uzroci narušavanja sigurnosti informacijskih sustava u
svjetskim financijskim institucijama, te napadi na informacijske sustave iz
svjetske i hrvatske prakse.
Četvrtim dijelom, s naslovom Mjere sigurnosti protiv elektroničkog
kriminaliteta u financijskim institucijama, ukazano je na regulatorni okvir
sustava borbe protiv elektroničkog kriminaliteta, ekonomsko -financijski
aspekt zaštite, ulaganja u sigurnost informacijskih sustava banaka u Republici
Hrvatskoj te implementaciju standarda ISO 27001:2005.
4
U posljednjem dijelu, Zaključku, dan je kratak prikaz spoznaja do k ojih se
došlo obradom teme diplomskog rada, a kojim se dokazuje postavljena radna
hipoteza.
5
2. TEORIJSKE ODREDNICE ELEKTRONIČKOG KRIMINALITETA
I SIGURNOSTI INFORMACIJSKIH SUSTAVA
Kako bi se dao što detaljni ji prikaz elektroničkog kriminaliteta u financijskim
institucijama, potrebno je uvodno dati teorijske odrednice elektroničkog
kriminaliteta i sigurnosti informacijskih sustava. Stoga se u ovom dijelu
diplomskog rada obraĎuju sljedeće tematske jedinice: 1) temeljne značajke
elektroničkog kriminaliteta i 2) sigurnost informacijskih sustava.
2.1. TEMELJNE ZNAČAJKE ELEKTRONIČKOG KRIMINALITETA
U literaturi se nailazi na veći broj pojmova vezanih uz elektronički
kriminalitet, kao što su: cyber kriminal, e -kriminal, kibernetski kriminal,
računalni kriminal, kompjutorski kriminal i sl. Ne postoji, dakle, jedinstveni
naziv za ovu vrstu kriminala. No, bez obzira koji se pojam koristi, obiljeţja
ovog kriminalnog ponašanja vezuju se uz korištenje računala i informacijske
tehnologije u izvršenju kaznenih djela, a u svrhu prisvajanja odreĎene
protupravne koristi. Kako bi se dao što detaljniji pregled elektroničkog
kriminaliteta, u ovom dijelu diplomskog rada obraĎuju se sljedeće tematske
jedinice: 1) definiranje elektroničkog kriminaliteta i 2) pojavni oblici
elektroničkog kriminaliteta.
2.1.1. Definiranje elektroničkog kriminaliteta
Elektronički kriminalitet je relativno nov oblik kriminalnog ponašanja, koji se
još nije u potpunosti izdiferencirao u odnosu na druge oblike kriminaliteta.
On ispoljava veliku fenomenološku raznovrsnost, koja se teško moţe
obuhvatiti jednom definicijom i rijetka su zakonodavstva koja ove delikte
izdvajaju kao posebna krivična djela. Da bi se što kvalitetnije definirao
elektronički kriminal potrebno je voditi računa o načinu izvršenja djela,
sredstvu izvršenja djela i posljedici kriminalnog djela.
6
U definiranju elektroničkog kriminaliteta polazi se od definiranja
kibernetskog prostora u kojem se elektronički kriminalitet odvija. Kiber netski
prostor je područje koje karakterizira upotreba elektroničkog i
elektromagnetskog dijapazona za pohranjivanje, modificiranje i
razmjenjivanje podataka putem mreţnih sustava i povezanih fizičkih
infrastruktura (Wyinne, http.//www.af.mil/library/speeches/speech.asp
?id=283, 11.08.2013.). Korisnici kibernetskog prostora (domaćinstva,
korporacije, sveučilišta, financijske institucije, vlade, i dr.) kreću se
kibernetskim prostorom kako bi izgradili ili dostigli informacijska odredišta
koja se dijele, stječu i nadziru putem mreţnih sustava u kojima povezanost
čine obične telefonske linije, mikrovalni ureĎaji, satelitske uzlazne i silazne
veze, optička vlakna, kablovi, tranzistori i mikročipovi (Solce, 2008:7).
Najpoznatiji i najrasprostranjeniji mreţni sustav je Internet. Dostupnost
informacija u kibernetskom prostoru je u realnom vremenu, pa im bitna
postaje temporalnost, ovisnost o vremenu, a ne o prostoru (Vuković, 2012:13).
Jedna od ugroza kibernetskog prostora (uz kibernetsku špijunaţu, kibernetski
terorizam, kibernetsko ratovanje i dr.) je kibernetski kriminal.
U literaturi je prisutan veći broj definicija cyber kriminala (kibernetski
kriminal, e-kriminal, elektronički kriminal). Kibernetski kriminal definira se
kao kriminal izveden pomoću računalne tehnologije, a u kibernetskom
prostoru. Vuković (2012:13) pod kibernetskim kr iminalom podrazumijeva
prijevare na polju Internetskog bankarstva i prijevare na Internetu s kreditnim
karticama.
Elektronički kriminal moţe se promatrati u uţem i širem smislu (Čiţmek,
http://www.hrvatski-vojnik.hr/hrvatski-vojnik/3632011/cyberter.asp,10.08.2013.).
U uţem smislu obuhvaća svako nezakonito ponašanje usmjereno na
elektroničke operacije sigurnosti računalnih sustava i podataka koji se u njima
obraĎuju. U širem smislu, cyber kriminal podrazumijeva nezakonito ponašanje
7
glede računalnog sustava i mreţa, kao i nezakonito posjedovanje, nuĎenje i
distribuiranje informacija preko računalnih sustava.
Bača (2004:22) elektronički kriminal definira kao oblik kriminalnog
ponašanja kod kojeg korištenje računala i informacijske tehnologije
predstavlja način izvršenja kaznenog djela, ili se računalo upotrebljava kao
sredstvo i cilj izvršenja, a čime se ostvaruje neka u kaznenopravnom smislu
relevantna posljedica. Ekspertna skupina OECDa elektronički kriminal
definira kao ilegalno, neetičko ili neautoriz irano ponašanje koje uključuje
automatsku obradu podataka ili njihov prijenos (Obradović,
http://www.menadzment.tf.bor. ac.yu, 22.08.2013.). Radna grupa formirana od
Komiteta za politiku, informatiku i komunikacije OEBS-a opisala je problem
kao: unos, izmjenu, brisanje i/ili prikrivanje podataka i/ili programa namjerno
poduzetih da bi se izvršio ilegalni transfer fondova i drugih vrijednih
podataka; unos, izmjena, brisanje i/ili prikrivanje podataka i/ili programa ili
drugih smetnji, namjerno poduzetih da bi se ometale funkcije računarskih
sustava i/ili telekomunikacija; narušavanje ekskluzivnih p rava vlasnika
zaštićenih računalnih programa, s namjerom njihovog komercijalnog
korištenja ili preprodaje; neovlašten pristup do računalnog ili
telekomunikacijskog sustava ili namjerno prisluškivanje takvih sustava i
narušavanje mjera njihove zaštite.
Elektronički kriminal se moţe definirati kao izvršenje krivičnih djela kod
kojih se računalo i kompjuterska tehnologija pojavljuju kao oruĎe za činjenje
odreĎenih djela, ili kao objekt zaštite. Elektronički kriminalitet obuhvaća
ukupnost počinjenih kaznenih djela kojima se neovlašteno utječe na
korištenje, cjelovitost i dostupnost tehničke, programske ili podatkovne
osnovice kompjutorskog sustava ili na tajnost digitalnih podataka (Dragičević,
2004:9).
Zlouporabe ove vrste postaju informacijskim razvojem sve učestalije, a po
8
posljedicama sve opasnije. Za ovu vrstu kriminala karakteristično je, prije
svega, izuzetno teško otkrivanje, teško pribavljanje dokaza i zakonska
(ne)regulativa. Postupak razjašnjavanja i dokazivanja zahtjeva poseban
pristup, odreĎena znanja i multidisciplinarni aspekt sagledavanja
kompjuterskih krivičnih djela, što upućuje na potrebu stjecanja odgovarajućih
znanja od strane operativnih radnika, policije, javnih tuţilaca, njihovih
zamjenika, istraţnih sudaca. Bez poznavanja mogućnosti računala i načina
njihovog korištenja, nemoguće je otkrivati, krivično goniti i suditi
sudionicima ovih krivičnih djela. Teško otkrivanje se često svodi samo na
konstataciju o postojanju djela. Po procjenama FBI-a manje od 1% ukupno
izvršenog kompjuterskog kriminaliteta biva otkriveno, a samo 12% prijavljeno
(prije svega zbog straha od negativnog publiciteta i gubitka povjerenja kod
poslovnih partnera) (Obradović, http://www.menadzment.tf.bor.ac.yu,
22.08.2013.). Teško pribavljanje dokaza, lako uništavanje i teško dešifriranje
predstavlja dodatni problem. Mjesto i vrijeme izvršenja krivičnih djela koji
predstavljaju odgovore na dva ključna pitanja kriminalistike: “gdje” i “ka da”,
u ovom slučaju odstupaju od tradicionalnih kriminalističkih učenja u odnosu
na klasična krivična djela. Izvršitelj kompjuterskog krivičnog djela,
zahvaljujući mogućnostima komunikaci jskih sustava i računarskih mreţa
(prije svega posredstvom Interneta) , prijevaru na jednom mjestu moţe obaviti
boraveći na drugom , udaljenom mjestu. Za počinitelje ovih djela granice ne
postoje. Za izvršenje kompjuterskog kriminalnog djela potrebno je sasvim
malo vremena (ponekad je dovoljan i dio sekunde). Sve ovo oteţava
otkrivanje i dokazivanje kriminalne djelatnosti. Tome dodatno pridonosi
nepostojanje adekvatne zakonske regulative.
2.1.2. Pojavni oblici elektroničkog kriminaliteta
Računala i računalna tehnologija mogu se zloupotrebljavati na razne načine, a
sam kriminalitet koji se realizira pomoću računala moţe imati oblik bilo kojeg
od tradicionalnih oblika kriminaliteta, kao što su kraĎe, utaje, pronevjere, dok
9
se podaci koji se neovlašteno pribavljaju zloupo rabom informacijskih sustava
mogu na razne načine koristiti za stjecanje protupravne koristi. Pojavni oblici
elektroničkog kriminaliteta su (Kompjutorski kriminalitet,
http://www.apisgroup.org/sec.html?id=29, 4.08.2013.):
Protupravno korištenje usluga i neovlašteno pribavljanje informacija.
Sastoji se u neovlaštenoj upotrebi računala ili njegovoj ovlaštenoj upotrebi ali
za ostvarivanje potreba nekog neovlaštenog korisnika. Primjer neovlaštene
upotrebe računala je kada se računalo koristi u bilo koje druge svrhe, osim
onih koje predstavljaju dio njegove namjene u informatičkom sustavu.
Primjeri ovlaštene upotrebe računala, ali za potrebe neovlaštenih korisnika, ili
radi ostvarenja drugih nedopuštenih ciljeva su primjerice, u slučaju kad
zaposleni u financijskim institucijama pribavi podatke za budućeg poslodavca
ili kad raspoloţiva računala koristi za obavljanje nekih svojih poslova. Jedan
od najčešćih oblika neovlaštene upotrebe računala s kojim se susreću
poslodavci širom sveta je zlouporabe Interneta od strane zaposlenih.
Neovlašteno pribavljanje informacija predstavlja svojevrsnu kraĎu podataka
sadrţanih u računalnim sustavima, najčešće u cilju ostvarivanja protupravne
imovinske koristi. Tehničke i tehnološke mogućnosti za neovlašteno
pribavljanje informacija su s pojavom Interneta postale mnogostruko veće
tako da mete mogu biti osobna računala, ali i bilo koji povezani ili izolirani
računalni sustav.
Računalne kraĎe. KraĎa zauzima visoko mjesto u području elektroničkog
kriminaliteta, a u razmatranom kontekstu od posebnog je značaja kraĎa
identiteta. Mreţna kraĎa identiteta ili phishing je vrsta prijevare kojom se
korisnike računala navodi da u poruci e -pošte ili na web-mjestu otkriju svoje
osobne ili financijske podatke. Uobičajena prijevara takve vrste počinje
porukom e-pošte koja se doima poput sluţbene obavijesti iz pouzdanog izvora,
kao što je banka, kartična ustanova ili ugledna mreţna trgovina. Primatelja
10
poruke e-pošte upućuje da posjeti laţno web-mjesto na kojem se od njega traţi
da unese osobne podatke, kao što je broj računa ili lozinka. Ti se podaci tada
obično koriste za kraĎu identiteta (Windows, http://windows.microsoft.com/hr-
hr/windows-vista/phishing-filter-frequently-asked-questions, 7.08.2013.).
Računalne prijevare. Obavljaju se u namjeri pribavljanja za sebe ili drugog
protupravne imovinske koristi, s tim što se kod njih u zabludu ne dovodi ili
odrţava neka osoba, kao u slučaju običnih prijevara, kao imovinskih krivičnih
djela, već se ta zabluda odnosi na računalo u koji se unose netočni podaci, ili
se propušta unošenje točnih podataka, ili se na bilo koji drugi način, računalo
koristi, za ostvarenje prijevare u krivičnopravnom smislu. Računalne
prijevare predstavljaju najrašireniji oblik elektroničkog kriminaliteta.
Prijevara s robom “nevjerojatnih” svojstava. Istraţivanja pokazuju da je
prijevara s robom “nevjerojatnih” svojstava jedan od najvećih izvora
nelegalne zarade na Internetu.
Računalne sabotaže i računalni terorizam. Računalne sabotaţe se sastoje
u uništenju ili oštećenju računala i drugih ureĎaja za obradu podataka u
okviru kompjutorskih sustava, ili brisanju, mijenjanju, odnosno sprječavanju
korištenja informacija sadrţanih u memoriji informatičkih ureĎaja. Najčešći
oblici računalne sabotaţe su oni koji djeluju destruktivno na
operativnoinformativne mehanizme i korisničke programe, prije svega, one
koji imaju funkciju čuvanja podataka.
Provaljivanje u računalni sustav. Iako izraz “provaljivanje” asocira na
primjenu izvjesne mehaničke sile, radi ulaska u zatvorene prostore, poput
izvršenja klasičnih provala, ono kada je riječ o elektroničkom kriminalitetu
označava jedno vrlo suptilno, elektronskim putem, izvedeno, narušavanje
tajnosti, pojedinog računalnog sustava, odnosno neovlašteni elektronski upad
u centralni računalni sustav i njegovu bazu podataka. Ovakva djela preteţno
11
obavljaju hakeri, koji se preko svojih osobnih računala uključuju u druge
informacijske sustave, pri čemu prvenstveno koriste Internet. Oni zaobilaze
zaštitne mehanizme, a djela ne obavljaju iz zlonamjernih pobuda, već nastoje
javno demonstrirati informatičku vještinu kojom raspolaţu ili ukazati na
postojeće slabosti u mehanizmu zaštite računalnih sustava. Zato su na
njihovoj meti često baš one računalne mreţe, za koje se s pravom očekuje da
su maksimalno zaštićene od elektronskih provala, kao što su: vojne
kompjuterske komunikacije, informatički sustavi obavještajnih sluţbi,
drţavnih institucija i dr. (Kompjutorski kriminalitet,
http://www.apisgroup.org/sec.html?id=29, 4.08.2013.).
Kriminal vezan za računalne mreže. Kriminal vezan za računalne mreţe je
oblik kriminalnog ponašanja kod koga je cybe rspace okruţenje u kome su
računalne mreţe pojavljuju u trostrukoj ulozi: kao sredstvo ili alat, cilj ili
okruţenje izvršenja krivičnog djela. Cyber kriminal u ovisnosti od tipa
počinjenih djela moţe biti (Kompjutorski kriminalitet,
http://www.apisgroup.org/sec.html?id=29, 4.08.2013.):
politički: cyber špijunaţa i cyber sabotaţa, haking, cyber terorizam cyber
ratovanje,
ekonomski: cyber prijevare, haking, kraĎa Internet vremena, kraĎa Internet
usluga, piratstvo softvera, mikročipova, industrijska cyber špijunaţa, spam
proizvodnja i distribucija nedozvoljenih štetnih sadrţaja kao što su dječja
pornografija, pedofilija, vjerske sekte, širenje rasističkih, nacističkih i
sličnih ideja i stavova, zlouporaba ţena i djece, manipulacija zabranjenim
proizvodima, supstancama i robama, povrede cyber privatnosti i dr.
Štete nastale računalnim deliktom, ovisno od pojavnog oblika elektroničkog
kriminaliteta, mogu biti (Kompjutorski kriminalitet,
http://www.apisgroup.org/ sec.html?id=29, 4.08.2013.): financijske,
nematerijalne i kombinirane. Financijske štete mogu nastati kada činitelj
12
djeluje u cilju stjecanja protupravne imovinske koristi, pa tu korist za sebe ili
druge, zaista i stekne, ili je ne stekne, ali svojim djelom objektivno pričini
odreĎenu štetu, ili kada učinitelj ne postupa radi stjecanja koristi za sebe ili
drugog, ali objektivno učini financijsku štetu . Nematerijalne štete ogledaju se
u neovlaštenom otkrivanju tuĎih tajni ili drugog “indiskretnom štetnom
postupanju”. Kombinirane štete nastaju kada se otkrivanjem odreĎene tajne ili
povredom autorskog prava, putem zlouporabe kompjutora ili informatičke
mreţe naruši nečiji ugled, odnosno povrijedi moralno pravo, a istovremeno
prouzrokuje i konkretna financijska šteta.
Iz navedenog je vidljivo da su štete od elektroničkog kriminala velike, što
ukazuje na potrebu sustavne uspostave sigurnosnih mjera u cilju zaštite
informacija i podataka.
2.2. SIGURNOST INFORMACIJSKIH SUSTAVA
Ubrzani razvoj i sve veći značaj računalnih i komunikacijskih tehnologija
neophodnih za suvremeno poslovanje financijskih institucija, kao nuţnost
nameću posvećivanje sve veće paţnje problemu sigurnost i. S pristupom
računalnim mreţama i dijeljenjem datoteka sigurnost financijskih institucija
postaje sve više upitna.
2.2.1. Definiranje sigurnosti informacijskih sustava
Sigurnost se definira kao proces odrţavanja prihvatljivog nivoa rizika.
Sigurnost je, dakle, proces, a ne konačni proizvod, odnosno završno stanje.
Uspostava sigurnosti u organizaciji ili instituciji je kontinuirani proces. Niti u
jednom trenutku nakon izvršene posljednje provjere usklaĎenosti s vlastitim
sigurnosnim pravilima, organizacija ili institucija nisu sigurne. OdreĎenje
sigurnosti kao procesa ukazuje na činjenicu da se sigurnost ne moţe kupiti
kao proizvod ili usluga, već da je to proces u kojem se koriste različiti
13
proizvodi i usluge, procedure i pravila, ali i drugi elementi kao što su
edukacija, podizanje svijesti i stalno praćenje stanja u ovom području
(Pljeskonjić, 2007:9). Ostvarenje sigurnosti podrazumijeva odrţavanje sustava
u stanju prihvatljivog rizika, odnosno kompromis izmeĎu potrebnih ulaganja i
smanjenja mogućnosti da nastane šteta koje se tim ulaganjem postiţe.
Informacijski sustavi su sustavi sastavljeni od hardvera, softvera i ljudi. Ti
sustavi prikupljaju, čuvaju, obraĎuju i pronalaze podatke te generiraju
informacije u nekoj organizaciji (Čičin-Šain, Vukmirović i Čapko, 2006:3).
Kada se, dakle, govori o sigurnosti informacijskih sustava i mreţa, nekoliko je
principa koji se mogu usvojiti kao osnovni postulati (Pljeskonjić, 2007:9):
sigurnost je proces – sigurnost nije proizvod, usluga ili procedura, već
skup koji ih sadrţi, uz još mnogo elemenata i mjera koje se stalno provode,
ne postoji apsolutna sigurnost,
uz različite metode zaštite, treba imati na umu i ljudski čimbenik, sa svim
njegovim slabostima.
Sigurnost kao proces zasniva se na četiri faze prikazane na slici 1.
Slika 1: Sigurnost kao proces
Planiranje
Otkrivanje
Oporavak Prevencija
14
Izvor: Modificirano prema: Pleskonjić , 2007: 11.
Prema slici 1 sigurnost kao proces promatra se kroz četiri faze: planiranje,
prevencija, otkrivanje i oporavak. Planiranje je faza u kojoj se obavlja
priprema za ostale tri komponente. Smatra se posebnom aktivnošću, s obzirom
da je u vezi s pravilima, procedurama, pravnom i drugom regulativom,
definiranjem proračuna i drugim menadţerskim zadacima, a povezana je i s
tehničkim planiranjem stanja sigurnosti. Greške u planiranju bilo kojeg od
navedenih elemenata, mogu naštetiti svim aktivnostima koje slijede.
Prevencija podrazumijeva primjenu mjera kojima se smanjuje mogućnost
ugroţavanja sustava. Ukoliko prevencija zakaţe, primjenjuje se sljedeća faza
– otkrivanje. Ova faza predstavlja proces identifikacije upada, odnosno
povrede sigurnosnih pravila ili incidenata koji se odnose na sigurnost.
Oporavak je posljednja faza, koja obuhvaća odgovor na posljedice upada. U
aktivnosti reakcije ubrajaju se postupci “zakrpaj” i “nastavi”.
Temeljem navedenog vidljivo je da je sigurnost proces koji jednom
uspostavljen nije završen, već zahtijeva kontinuiranu nadogradnju.
2.2.2. Vrste napada i prijetnji na sigurnost
Financijske institucije pri obavljanju svojih poslovnih aktivnosti uvelike ovise
o obradi i uporabi informacija. Narušavanje temeljnih načela informacijskog
sustava moţe imati negativne posljedice za financijsku instituciju. Stoga je
potrebno primjereno zaštititi informacije i upravljati sigurnošć u
informacijskog sustava financijske institucije. To je posebice vaţno u
današnjem okruţenju, jer financijske institucije nisu izolirani sustavi, već su
povezane s drugim informacijskim sustavima. Upravljanje sigurnošću
informacijskog sustava podrazumijeva , izmeĎu ostalog, identificiranje potreba
(radi ostvarivanja zadovoljavajuće razine sigurnosti) te postizanje i
15
odrţavanje zadovoljavajuće razine sigurnosti informacijskog sustava
(Smjernice za upravljanje informacijskim sustavom u cilju operativnog rizika ,
2006:8).
U svrhu efikasne procjene sigurnosnih potreba financijske institucije i odabira
različitih sigurnosnih proizvoda, pravila, procedura i rješenja, menadţmentu
zaduţenom za sigurnost potreban je sustavan način definiranja zahtjeva u
pogledu sigurnosti i kategorizacije pristupa koji osiguravaju da se ti zahtjevi
zadovolje. Jedan od pristupa je razmatranje sljedeća tri aspekta sigurnosti
informacija (Pljeskonjić, 2007:2):
napad na sigurnost (engl. security attack) – bilo koja akcija koja ugroţava
sigurnost informacija,
sigurnosni mehanizam (engl. security mechanism) – mehanizam koji treba
detektirati i presresti napad ili oporaviti sustav od napada,
sigurnosna usluga (engl. security service) – usluga koja povećava sigurnost
sustava za obradu i prijenos podataka. Sigurnosna usluga podrazumijeva
upotrebu jednog ili više sigurnosnih mehanizama.
Napadi su, u osnovi, akcije usmjerene na ugroţavanje sigurnosti informacija,
računalnih sustava i mreţa. Postoje različite vrste napada sigurnosti
informacija, ali se oni općenito mogu klasificirati u sljedeće kategorije
(Budin, 2010:284-285):
1) Prisluškivanje (engl. interception). To je najjednostavniji način napada na
sigurnost. Napadač moţe čitati pakete koji su namijenjeni nekom drugom te
na taj način doći do osjetljivih informacija. Ovo je pasivni napad jer uljez ne
djeluje aktivno na informacije. Prisluškivanjem se djeluje na povjerljivost,
odnosno tajnost informacija. U ostalim načinima napada uljez mora djelovati
na informacije te se oni nazivaju aktivnim napadima.
2) Prekidanje (angl. interruption) se dogaĎa kada uljez djeluje na način da
16
prekine komunikacijski kanal izmeĎu izvorišta i odredišta. Time se narušava
raspoloţivost informacija.
3) Promjena sadržaja poruka (eng. modification) dogaĎa se kada uljez
prekine komunikacijski kanal i, laţno se predstavljajući kao izvorište,
promijeni sadrţaj poruke. Promjena sadrţaja narušava besprijekornost ili
integritet informacija.
4) Izmišljanje poruka (engl. fabrication) dogaĎa se kada uljez uspostavi
komunikacijski kanal s odredištem i, laţno se predstavljajući kao izvorište,
šalje mu izmišljene poruke ili snimljene stare poruke. Izmišljanje poruka
narušava, kao i promjena sadrţaja, besprijekornost ili integritet.
5) Lažno predstavljanje je napad kada se napadač predstavlja kao neki drugi
korisnik (primjerice, provalivši na tuĎi korisnički račun) ili napadač moţe
namjestiti računalo tako da se ono pretvara kao da je neko drugo i tako vara
druga računala kojima se na taj način laţno predstavlja.
6) Poricanje (engl. repudiation) se moţe dogoditi kada se, nakon što je
poslana poruka, korisnik predomisli i poriče autorstvo poruke te tvrdi da se to
netko laţno predstavio i poslao poruku u njegovo ime.
Računalni sustavi i računalne mreţe mogu se napasti na mnogo načina. Jedan
od načina je korištenje ranjivosti računalnog sustava. Ranjivost je slabost koju
je moguće slučajno aktivirati ili namjerno iskoristiti, a posljedica toga moţe
biti nanošenje štete informacijskom sustavu i poslovnim ciljevima financijske
institucije. Ranjivosti koje se povezuju s resursima uključuju, izmeĎu ostalog,
slabosti fizičke sigurnosti, organizacije, internih akata, zaposlenika,
upravljačke strukture, hardvera, softvera i informacija. Sama po sebi,
ranjivost ne nanosi štetu, već se definira kao stanje ili skup stanja koji moţe
omogućiti nekoj prijetnji da utječe na resurse (primjerice, nedostatak
mehanizma kontrole pristupa je ranjivost koja bi mogla omogućiti ostvarenje
17
prijetnje neovlaštenog pristupa, što moţe dovesti do gubitka ili oštećenj a
resursa). S obzirom na brze promjene u okruţenju, potrebno je pratiti sve
oblike ranjivosti kako bi se identificirale one koje su postale izloţe ne starim i
novim prijetnjama. Financijske institucije trebaju izvršiti analizu ranjivosti.
To je procjena slabosti koje identificirane prijetnje mogu iskoristiti. Analiza
treba uzeti u obzir okruţenje i postojeće zaštitne mjere i kontrole (Smjernice
za upravljanje informacijskim sustavom u cilju operativnog rizika, 2006:10).
Najčešće korištene metode iskorištavan ja slabosti odnosno ranjivosti
računalnih sustava su (Budin, 2010:7):
Odbijanje usluga (engl. Denial of Service, DoS). DoS izaziva prestanak
rada servisa ili programa. DoS napad najlakše se izvršava na transportnom
sloju – slanjem velikog broja SYN paketa, a zaštita se postiţe kontroliranjem
broja SYN paketa u jedinici vremena.
Lažiranje IP adresa (engl. spoofing). Napadač prati IP adrese u IP
paketima i predstavlja se kao drugo računalo. Kako DNS ne provjerava odakle
dolaze informacije, napadač moţe izvršiti napad laţiranjem tako što DNS
servisu daje pogrešnu informaciju (Ime računala od povjerenja). Najbolja
zaštita od ovog napada je sprječavanje rutiranja paketa s adresama izvorišta
(engl. source address) za koje se sigurno zna da su neispravne, npr.
odbacivanje paketa koji stiţu na javni interfejs rutera, a imaju adresu lokalne
mreţe.
Njuškanje (engl. sniffing). Napadač specijalnim programima presreće
TCP/IP pakete koji prolaze kroz odreĎeno računalo i po potrebi pregleda
njihov sadrţaj. Kako se kroz mreţu kreću nešifrirani podaci, program za
njuškanje lako moţe doći do povjerljivih informacija.
Resursi financijskih institucija izloţeni su raznim vrstama prijetnji. Prijetnja
moţe prouzročiti neţeljenu situaciju čija posljedica moţe biti nanošenje šte te
resursima financijske institucije. Drugim riječima, šteta moţe nastati kao
18
posljedica ostvarenja prijetnje (primjerice, neovlaštenog uništavanja,
razotkrivanja, promjene te unošenja promjena koje uzrokuju pogrešno
zapisivanje, nedostupnost ili gubitak informacija). Prijetnja (engl. threat) je
napadač, situacija ili splet okolnosti s mogućnosti i/ili namjerama
iskorištavanja ranjivosti (Budin, 2010:5). Prijetnje mogu biti prirodne ili
uzrokovane ljudskim djelovanjem (slučajne ili namjerne). Financijske
institucije trebaju točno utvrditi prijetnje kao i njihovu razinu i vjerojatnost.
Primjeri prijetnji na resurse financijskih institucija prikazane su u tablici 1.
Tablica 1: Primjeri prijetnja na resurse financijskih institucija
Ljudske Prirodne
Namjerne Slučajne Prirodne
prisluškivanje
modifikacija informacija
“hakiranje”
maliciozni kod
kraĎa
pogreške i propusti
nenamjerno brisanje datoteka,
podataka i sl.
pogrešno preusmjeravanje
nenamjerno fizičko uništenje
potres
udar groma
poplava
poţar
Izvor: Smjernice za upravljanje informacijskim sustavom u cilju operativnog
rizika, 2006:9.
Financijskim institucijama su dostupni statistički podaci o mnogim vrstama
prijetnji koje bi financijske institucije trebale pribaviti i iskoristiti prilikom
procesa procjene ranjivosti u svezi s odreĎenom prijetnjom. Prijetnja se moţe
pojaviti unutar financijske institucije (primjerice, u obliku sabotaţe nekog od
zaposlenika) ili izvan nje (primjerice, u obliku zlonamjernog “hakera” ili
industrijske špijunaţe) .
Prijetnja sigurnosti računalnih mreţa moţe biti strukturirana i nestrukturirana.
Strukturirane prijetnje čine protivnici s formalnom metodologijom,
financijskim sponzorima i definiranim ciljem. Takve prijetnje su
karakteristične za industrijsku špijunaţu, organizirani kriminal i dr. Prijetnje
19
se mogu podijeliti na (Budin, 2010:5):
Pasivne prijetnje – ne utječu neposredno na ponašanje sustava i njihovo
funkcioniranje. U ove prijetnje ubrajaju se otkrivanje sadrţaja poruka (npr.
prisluškivanje) i analiza prometa.
Aktivne prijetnje – mogu utjecati na ponašanje i funkcioniranje sustava ili
na sadrţaj podataka. U aktivne prijetnje ubrajaju se: maskiranje ili
pretvaranje, laţiranje, reprodukcija, tj. ponavljanje mreţnog prometa (engl.
replay), izmjena sadrţaja poruke i odbijanje usluge.
Prijetnje sigurnosti računalne mreţe mogu se klasificirati u četiri kategorije
(Workman et al., 2013:334):
1. prekrivanje (eng. masquerade) – mjesto gdje su aplikacije prekrivene kao
legitimne aplikacije, ili gdje se nelegitimni korisnici pretvaraju da su
legitimni,
2. presretanje (engl. interception) – mjesto gdje su informacije prilikom
prijelaza zarobljene,
3. modifikacija (engl. modification) – mjesto gdje haker moţe promijeniti
vrijednost podataka, kao što su u skripti ili datum predodreĎen za bazu
podataka,
4. prekid (engl. interruption) – dizajniran je kako bi se spriječio legitimni
korisnički pristup resursima i informacijama.
Sigurnost informacijskih sustava ovisi o uspješnoj obrani od vanjskih i
unutrašnji prijetnji. Unutarnje prijetnje više zabrinjavaju od vanjskih jer je
napad iznutra već prošao prvu obrambenu liniju. Sigurnost mreţe bavi se
svim pristupnim točka u informacijskom sustavu iznutra i izvana. U tom
smislu potrebno je znati u kojoj vrsti pristupa su prisutne, po kome, kada i
gdje, kako bi se znalo kako provesti obrambene mjere.
Sigurnost ţičanih mreţa nešto je lakše uspostaviti od onih beţičnih .
20
Primjerice, napadač moţe biti na javnom mjestu kao što je zračna luka i moţe
stvoriti laţni “besplatni wife hotspot” i čekati da se ţrtva spoji. Kako bi se
obranio od ovog napada, beţični korisnik će provjeriti vjerodostojnost
davatelja usluge prije nešto što se spoji (Workman et al., 2013:334). Štete
koje nanose prijetnje mogu biti prolazne prirode ili trajne (u slučaju potpunog
uništenja resursa).
U fokusu protumjera sigurnosti mreţe je (Workman et al., 2013:334): 1)
potvrditi i odrţavati zaštitu korisničke autentičnosti od pretvaranja, 2) očuvati
privatnost i integritet informacija od presretanja i modifikacijskih prijetn ji i
3) odrţavati dostupnost resursa.
KraĎa identiteta je jedan od najvećih i najbrţe rastućih prijetnji s Interneta.
To moţe biti kopiranje informacija poput brojeva kreditnih računa, lozinki i
osobnih matičnih brojeva. Te se informacije mogu koristiti za online ili
offline prijevare. Prema podacima Federalne trgovinske komisije SAD -a
(Federal Trade Comission) gotovo je 10 milijuna Amerikanaca bilo ţrtvama
kraĎa identiteta 2003. godine. U ekstremnim slučajevima, financijskim
gubicima kreću se i do nekoliko desetaka tisuća američkih dolara. Ţrtvama je
često narušen i kreditni rejting, a da bi se on obnovio treba proći i nekoliko
mjeseci (Conry-Murrey i Weafer, 2005:10).
Programi (software) mogu biti izvor prijetnji. Naime, maliciozni softveri
(malver)1 su posvuda. Primjerice, NASA-in Mars Lander, čija je cijena 165
mil. USD, srušio se na Marsu zbog softverske pogreške vezane za pretvaranje
engleskih u metričke mjerne jedinice (Stammp, 2011:408). To su, meĎutim,
nenamjerne greške softvera koje mogu imati sigurnosne implikacije. No,
postoje i softveri čija je namjera ugroţavanje sigurnosti. U ove programske
prijetnje ubrajaju se virusi, crvi, trojanski konj, spyware, zloćudni adware,
crimeware, scareware keyloggeri, rootkitovi.
21
Virusi su računalni programi koj i svojom reprodukcijom mogu zaraziti
računala na način da bez dopuštenja ili znanja samog korisnika računala
kopiraju samog sebe u datotečni sustav ili memoriju ciljanog računalnog
sustava. Izraz “virus” često se povezuje i s malicioznim programima poput
aware-a (program za oglašavanje) i spyware (program za prikupljanje
podataka), koji nemaju sposobnost reprodukcije kao virus. Virusi se najčešće
šire s jednog računala na drugo u obliku izvršnog zlonamjernog koda putem
Interneta, privitaka u e-mail porukama ili medija poput eksternog diska, CD,
DVD-a ili USB diska. Povećana je mogućnost širenja virusa u slučaju da se
datoteke zaraţene virusom nalaze na posluţitelju, kojem imaju pristup više
korisnika.
Crvi su programi koji sami sebe umnoţavaju i šire se put em računalne mreţe.
Za razliku od računalnih virusa, crvi ne zahtijevaju postojanje domaćinske
datoteke za svoj rad. Oni su samostalni programi koji se u većini slučajeva
šire bez interakcije korisnika. Iako je moguće pronaći računalne crve koji nisu
štetni, većina sigurnosnih stručnjaka sve crve smatra zlonamjernim i
nepoţeljnim programima.
Trojanski konj je oblik malvera koji se korisniku laţno predstavlja kao neki
korisni softver kako bi ga korisnik izvršio, odnosno dozvolio mu instalaciju.
Termin je, zbog analogije, preuzet iz grčke mitologije. Trojanski konj moţe
izmijeniti operacijski sustav na zaraţenom računalu kako bi on prikazivao
oglase (pop-up prozori) u svrhu ostvarivanja novčane koristi od strane
napadača. Opasniji je u slučaju kada trojanski konj omogući napadaču
potpunu kontrolu nad zaraţenim računalom. Time napadač moţe (CERT+,
http://www.cert.hr/malver/trojanski_konji , 14.08.2013.):
koristiti zaraţeno računalo kao dio “botnet” mreţe,
ukrasti povjerljive informacije,
1 Malware je skraćeno od malicious software.
22
instalirati druge oblike malvera,
slati, primati i modificirati datoteke zaraţenog računala,
biljeţiti pritisnute tipke (kao kylogger),
pratiti (špijunirati) aktivnosti ţrtve,
koristiti memoriju (prostor) tvrdog diska,
rušiti zaraţeno računalo itd.
Napadač i ne mora biti taj koji je zarazio računalo trojanskim konjem, nego
moţe skeniranjem portova otkriti zaraţeno računalo i onda iskoristiti
trojanskog konja za ostvarivanje kontrole nad zaraţenim računalom. Trojanski
konji se šire na sljedeće načine (CERT+,
http://www.cert.hr/malver/trojanski_konji , 14.08.2013.):
preuzimanje zaraţenog softvera,
kao dio softvera,
kao e-mail privitci,
putem zloćudnih web stranica s dinamičkim sadrţajem (promet. AciveX),
preko ranjivosti softvera.
Trojanski konji specijalizirani za bankarstvo napadaju financijske sustave i
njihove korisnike. Predstavnici ove skupine su: trojanski konj “Limbo”,
“Shylock” koji radi na principu kraĎe korisničkih podataka i dr. Ovi programi
znaju detektirati kad se pristupa bankama i ukrasti podatke o bankovnim
računima.
Zaštitu od trojanskog konja pruţaju antiviursni i drugi antimalver programi.
Postoje i alati koji su specijalizirani isključivo za trojanske konje. Ako je
napadač putem trojanskog konja imao pristup zaraţenom računalu, tada je
uklanjanje teško, jer je potrebno otkriti sve promjene sustava koje je napadač
napravio pa se tada obično pristupa formatiranju tvrdog diska i reinstalaciji
operacijskog sustava.
23
Spyware je vrsta malicioznog programa čija je namjera sakupljanje
informacija te preuzimanje kontrole rada nad računalom korisnika bez
njegova znanja ili dozvole. Ono što ga razlikuje od virusa i crva je u tome što
se obično ne replicira. Dizajniran je da iskorištava zaraţena računala za
komercijalnu dobit, poput prikazivanja pop-up reklama (to je onda adware),
kraĎu osobnih podataka (uključujući i financijske informacije kao što su
brojevi kreditnih kartica i lozinke) ili preusmjeravanje http zahtjeva na
reklamne stranice.
Zaraţenost računala spyware-om moţe imati za posljedicu degradirane
performanse sustava koje se očituju u značajnom opterećenju procesora,
zauzeću prostora na disku te povećanje mreţne aktivnosti. TakoĎer, moţe biti
upitna stabilnost sustava što se očituje u zamrzavanju rada aplikacija,
nemogućnosti podizanja sustava i prestanku rada sustava.
Kao jedino sredstvo za prevenciju od malicioznih programa napravljeni su anti -
spyware alati koji ih uklanjaju ili blokiraju. Najpoznatiji i najčešće korišteni
besplatni alati su Ad-Adware SE, Spybot-Search & Destroy te Windows
Defender.
Temeljem navedenih mogućih napada na sigurnost proizlazi da se sigurnost
računalnih sustava zasniva na ispunjenju nekoliko osnovnih sigurnosnih
zahtjeva. Ti zahtjevi su sljedeći (Pljeskonjić, 2007:286):
povjerljivost ili tajnost – informacije u sustavu smiju biti pristupačne samo
ovlaštenim korisnicima,
raspoloţivost – informacije moraju uvijek biti na raspolaganju ovlaštenim
korisnicima unatoč mogućim neočekivanim i nepredvidivim dogaĎajima
kao što su primjerice, nestanak struje, prirodna nepogoda, nesreća ili
zlonamjerni napad,
24
besprijekornost – informacije u sustavu mogu mijenjati samo za to
ovlašteni korisnici, pa je potrebno osigurati jamstvo da su infor macije
poslane, primljene ili pohranjene u izvornom i nepromijenjenom obliku,
autentičnost – ovlašteni se korisnici moraju jednoznačno moći prepoznati,
što omogućava postupak autentifikacije,
autorizacija – za osiguranje besprijekornosti autentificiranim se
ovlaštenim korisnicima postupkom autorizacije dopušta pristup samo do
nekih sadrţaja
neporecivost – posebni oblik narušavanja sigurnosti nastaje tako da
ovlašteni korisnik opovrgava poruku koju je ranije poslao tvrdeći da je ona
izmišljotina uljeza. Zbog toga se kao sigurnosni zahtjev postavlja i
mogućnost zaštite od opovrgavanja, odnosno neporicanje.
Udovoljavanjem sigurnosnim zahtjevima stvaraju se uvjeti za sigurnost
računalnih mreţa i pristupa Internetu.
25
3. ANALIZA STANJA ELEKTRONIČKOG KRIMINALA U
FINANCIJSKIM INSTITUCIJAMA
Kako bi se dao pregled elektroničkog kriminala i njegovih posljedica na
poslovanje financijskih institucija, u ovom dijelu diplomskog rada dani su
rezultati istraţivanja po sljedećim tematskim jedinicama: 1) pojmovno
odreĎenje i klasifikacija financijskih institucija, 2) uzroci narušavanja
sigurnosti informacijskog sustava u svjetskim financijskim institucijama , 3)
napadi na informacijske sustave financijskih institucija iz svjetske prakse i 4)
napadi na banke u Republici Hrvatskoj.
3.1. POJMOVNO ODREĐENJE I KLASIFIKACIJA FINANCIJSKIH
INSTITUCIJA
Većina financijskih institucija su financijski posrednici koji pribavljena
sredstva, kreirajući potraţivanja investitora prema sebi, pretvaraju u
potraţivanja drugačijih karakteristika. Ostale financijske institucije asistiraju
na financijskim trţištima i nemaju posredničku ulogu (Šutalo, Leko i
Grubišić, 1994:82). Stoga je pojam “financijskih institucija” veoma širok i
obuhvaća sve one organizacije koje sudjeluju u financijskim transakcijama
kao financijski posrednici, brokeri, dileri ili investicijski bankari.
Bez obzira u kakvoj se ulozi pojavljivale financijske institucije, njihovo je
funkcioniranje za gospodarstvo od izuzetno velikog značaja. Ta vaţnost se
pokazuje kroz funkcije koje obavljaju, a one su brojne i za gospodarstvo
neophodne. Potrebno je istaknuti da prisutnost velikog broja različitih
financijskih posrednika u gospodarstvu pokazuje da je to gospodarstvo na
visokom stupnju financijskog razvoja . S brojnošću financijskih institucija
postiţe se njihova kompetitivnost i kvaliteta financijskih usluga.
Ako se izdvoji središnja banka kao posebna monetarna institucija sa
26
specifičnim odgovornostima i pravima, u klasificiranju mnogobrojnih
financijskih institucija koriste se različiti kriteri ji (Perišin, Šokman i
Lovrinović, 2001:20). Uobičajena je podjela financijskih institucija na banke i
nebankovne financijske institucije (Perišin, Šokman i Lovrinović, 2001:21).
Iako često sliče bankama ostale financijske institucije ne ispunjavaju temeljn i
uvjet da bi bile uvrštene u bankovni sustav; osnovni poslovi im nisu vezani uz
primanje depozita i odobravanje kredita širokoj javnosti, iako povremeno
obavljaju jedan od tih poslova ili ih obavljaju oba, ali za odreĎeni segment
trţišta (primjerice štedionice). Drugi pristup dijeli financijske institucije na
(Perišin, Šokman i Lovrinović, 2001:22): depozitne i nedepozitne.
Depozitne financijske institucije prikupljaju sredstva primanjem novčanih
depozita na transakcijske račune, račune štednje po viĎenju ili oročene
štednje, račune odreĎenih namjena i plasiraju ih najviše u obliku kredita, zbog
čega se često nazivaju i depozitnokreditne financijske institucije ili depozitno
kreditni kompleks financijskih institucija. U okviru depozita, depozitne
financijske institucije drţe i one koji su slobodni i raspoloţivi na zahtjev,
odnosno one koji su po svojoj prirodi (depozitni) novac te se mogu
upotrijebiti kao sredstvo prometa i plaćanja (Leko, 2002:16). Upravo se po
navedenim karakteristikama depozitne financij ske institucije razlikuju od
ostalih jer kroz svoju kreditnu aktivnost sudjeluju u procesu umnoţavanja
novca kreacijom novih depozita. Te karakteristike rezultiraju i njihovom
stalnom kontrolom od središnje banke koja nadzire navedene procese te preko
depozitnih financijskih institucija nastoji postići monetarne učinke i
općegospodarske ciljeve. U većini drţava depozitne institucije su najvaţnije
financijske institucije, a često puta i jedine.
Nedepozitne financijske institucije prikupljaju i pribavljaju no včana sredstva
od novčanosuficitarnih jedinica i plasiraju ih novčanodeficitarnim, ali ne
smiju kreirati obveze primanjem depozita. Njihovi najvaţniji proizvodi su
kreditni i investicijski servisi, mirovinsko osiguranje, osiguranje ţivota i
27
imovine, primarna i sekundarna distribucija vrijednosnica i sl. Tablicom 2
učinjen je pokušaj grupiranja financijskih institucija na odreĎene, svugdje
prepoznatljive vrste sličnih zajedničkih karakteristika. Neke od njih u
Republici Hrvatskoj ne djeluju kao financijske institucije.
Tablica 2: Pregled i grupiranja financijskih institucija
I. Središnja (centralna, emisijska) banka
II. Depozitne financijske institucije depozitnokreditni kompleks financijskih institucija
1. Banke
2. Depozitne štedne institucije
Štedionice, štedne banke, štednokreditne zadruge, kreditne ili potrošačke zadruge, stambena
društva, hipotekarne štedionice, poštanske štedionice, blagajne uzajamne pomoći i sl.
III. Nedepozitne financijske institucije
1. Ugovorne štedne institucije
Osiguravatelji ţivota i imovine
Privatni i drţavni mirovinski fondovi
Institucije zdravstvenog osiguranja
2. Fondovi zajedničkog investiranja investicijski fondovi
Unit Trust (UT), Investmetn Trust Co. (ITC), Mutual Funds, Fondovi za ulaganja u nekretnine (REIT Real Estate
Investment Trust) i Uzajamni fondovi novčanog trţišta (MMMF Money Market Mutual Fund)
3. Financijske kompanije (Interne banke) i konglomerati
4. Državne i državno sponzorirane financijske institucije
Eksportne, poljoprivredne, razvojne, stambene, studentske i sl.
5. Investicijske banke, brokeri i dealeri tvrtke za poslovanje s vrijednosnicama
6. Ostale financijske institucije
Povjerbena društva (trust, custody, fiducijarije), fortfaiting, leasing i factoring tvrtke,
izdavači kreditnih kartica, garantne agencije, clearing institucije itd.
Izvor: Leko, 2002:18.
U literaturi egzistira još jedna podjela po kojoj postoje monetarne i
nemonetarne institucije (Leko, 2002:22). Monetarne financijske institucije u
pasivi imaju obveze koje ulaze u novčanu masu tj. gotov i depozitni novac, te
svojim poslovanjem obavljaju depozitnu multiplikaciju (komercijalne i
središnje banke, štedionice i štednokreditne zadruge). Druge banke
28
(razvojne, investicijske i sl.), mirovinski fondovi, osiguravatelji, investicijsk i
fondovi i druge financijske institucije koje ne kreiraju već “samo” sudjeluju u
prijenosu novca nazivaju se nemonetarnim financijskim institucijama.
Pregledom financijskih institucija u svijetu dolazi se do saznanja da u svijetu
postoji velika raznovrsnost i šarenilo zastupljenih tipova institucija, što stvara
poteškoće pri njihovu razvrstavanju u grupe institucija sličnih zajedničkih
osobina. Raznovrsnost je uzrokovana povijesnim razvojem i nacionalnim
posebnostima, razlikama u regulaciji, organizaciji gospodarstva i sl.
3.2. UZROCI NARUŠAVANJA SIGURNOSTI INFORMACIJSKOG
SUSTAVA U SVJETSKIM FINANCIJSKIM INSTITUCIJAMA
U elektroničkom kriminalu na financijske institucije najčešće sudjeluju četiri
skupine kriminalaca: developeri malwarea, hakeri, cyber kriminalci i mule.
Većina napada na banke počinje od developera koji razvijaju malware i alate
za kraĎu podataka i informacija s bankovnih računa i prodaju ih hakerima.
Hakeri te alate iskorištavaju za kraĎu podataka i te podatke prodaju cyber
kriminalcima. Iako banke i korisnici čije su informacije ukradene još nisu
izgubili niti jednu novčanu jedinicu, developeri i hakeri već su zaradili
prodajom alata i informacija, a posljednja faza tih operacija uključuje cyber
kriminalce koji kontaktiraju mule, odnosno “vojnike na ulici” koji krivotvore
kartice s ukradenim podacima i podiţu novac ili ga troše na kupovinu
različitih stvari na Internetu.
Procjenjuje se da je godišnja stopa rasta kriminala vezanog uz Internet
bankarstvo i prijevare na Internetu s kreditnim karticama oko 40 %. Trenutna
zarada u području kibernetskog kriminala od oko 100 mlrd. američkih dolara
ukazuje na najbrţe rastući sektor globalnog organiziranog kriminala (Vuković,
2012: 20). U 2009. Godini u Americi štete od napada na banke putem
29
Interneta dosegle su razinu od 100 mil. američkih dolara i time premašile
štete u fizičkim napadima na banke, koje su iznosile 60 milijuna američkih
dolara.
Globalna istraţivanja koja je 2007. godine provela konzultantsko-revizorska
tvrtka Deloitte pokazala su da je na jveći uzrok narušavanja sigurnosti
informacijskih sustava u financijskim institucijama bio “ljudski čimbenik” .
Najčešće sami klijenti uzroku ju neovlaštene upade u sustave informacijske
sigurnosti, koji zlonamjernim pojedincima omogućavaju pristup privatnim
podacima, a da toga ni sami nisu svjesni. Pored klijenata, sigurnost
(nenamjerno) narušavaju zaposleni u financijskim institucijama, kao i njihovi
poslovni partneri. Klijenti, naime, često prosljeĎuju prevarantima povjerljive
informacije i otvaraju im “zadnja vrata” prema podacima pohranjenima u
financijskim institucijama. Konkretno, narušavanje sigurnosti najčešće se čini
na sljedeći način: klijent dobiva e-mail koji izgleda kao sluţbeni zahtjev za
dostavu povjerljivih podataka (npr. lozinke, broja računa i sl.). Klijent, koji
ne sumnja u prijevaru i ne provjerava zahtjev u financijskoj instituciji, šalje
svoje podatke i time nesvjesno omogućava prevarantima pristup vlastitom
računu.
Na listi proboja u sigurnosne sustave vodeći su u 2007. godini bili napa di
putem e-maila. Čak 52 % financijskih institucija je u 2007. godini doţivjelo
više upada u svoj sigurnosni sustav tim putem. Slijede virusi i kompjutorski
crvi (40 %), tzv. phishing i pharming, odnosno korištenje laţnim e -mailova i
laţnih Internet stranica (35 %) te namjerni upadi od strane samih zaposlenika
(31 %). Po prvi put su se u 2007. godini pojavili i slučajni upadi u sigurnosne
sustave (čak 14 %), te problemi izazvani gubljenjem privatnih podataka o
klijentima (Globalni pregled informacione sigurnosti u 2007.,
http://informationsocietyserbia. blogspot.com/2007/09/globalni-pregled-
informa cione.html, 14.08.2013.).
30
Iako je većina top menadţera koj i su sudjelovali u ispitivanju bila svjesna
problema mogućeg narušavanja sigurnosti informacijskih sustava, brigu o
tome prepuštali su sektoru informatičke tehnologije (IT sektor). Više od
trećine financijskih institucija u 2007. godini nije razvilo nikakvu sigurnosnu
strategiju informacijskih sustava. Istraţivanje je pokazalo da unatoč tome što
se proračun za sigurnost informacijskih sustava neprestano povećava, vodeći
ljudi u financijskim institucijama smatraju da on zaostaje za realnim
potrebama.
Istraţivanje koje je tvrtka Deloitte provela na prijelazu 2011./2012. godine
meĎu rukovoditeljima zaduţenim za informacijsku sigurnost 250 vodećih
financijskih institucija iz 39 zemalja (meĎu kojima je i 11 vodećih svjetskih
banaka i 24 vodeća svjetska osiguravajuća društva) diljem svijeta, uključujući
Hrvatsku, ukazalo je na promjene u odnosu na 2007. godinu. Istraţivanje u
2011. godinu pokazalo je izrazitu zabrinutost financijskih institucija zbog
potencijalnog gubitka informacija, kao i zbog cyber prijetnji i povećanog
broja aktivnosti u toj domeni. Znatno manji broj, svega 6 % ispitanika,
zabrinuto je zbog drţavne ili industrijske špijunaţe. Čak četvrtina financijskih
institucija obuhvaćenih istraţivanjem u 2011. godini zabiljeţila je upad u svoj
informacijski sustav. Najčešće se radilo o zlonamjernom softwareu,
financijskim prijevarama koje su uključivale informacijske sustave, te o kraĎi
informacija izazvanoj gubitkom prijenosnog računala ili pametnih telefona
zaposlenika (Svjetske financijske institucije strahuju od cybver prijetnji,
http://liderpress.hr/biznis-i-politika/svijet/-svjetske-financijske-institu cije-
strahuju-od-cyber-prijetnji/, 11.08.2013.).
Ključne prijetnje sigurnosti financijskim institucijama po regijama prikazane
su u tablici 3.
31
Tablica 3: Ključne prijetnje sigurnosti financijskim institucijama po regijama
u 2011. godini
Ključne prijetnje sigurnosti
Sv
ijet
20
11
.
Azij
a i
Pacif
ik,
izu
zev
Jap
an
a
Jap
an
Eu
rop
a i
Bli
ski
isto
k
(izu
zev
Veli
ke B
rita
nij
e)
Lati
nsk
a A
meri
ka i
Kari
bi
Veli
ka B
rita
nij
a
SA
D
Kan
ad
a
Drţavna i industrijska špijunaţa 6 % 14 % 0 % 5 % 5 % 0 % 22 % 0 %
Napadi koji koriste ranjivost mobilne
mreţe 10 % 9 % 9 % 10 % 12 % 11 % 11 % 15 %
Prijetnje koje proizlaze iz
meĎusobnog proţimanja društvenih
medija i online platforme u mreţu
poduzeća (npr. pomoću mikro-
bloganja voditelja projekta)
8 % 14 % 9 % 4 % 7 % 11 % 28 % 8 %
Financijske prijevare uključivanja
informacijskih sustava 18 % 14 % 5 % 15 % 16 % 44 % 22 % 54 %
Narušavanje sigurnosti korištenjem
trećih osoba (npr. opskrbni lanac,
poduzetnici)
12 % 14 % 5 % 7 % 8 % 33 % 50 % 15 %
Hakiranje i cyber-aktivnosti 14 % 9 % 0 % 15 % 14 % 33 % 17 % 23 %
Izvor: 2012 DTT Global Financial Services Industry Security Study, Breaking
Barriers, http://www.deloitte.com/assets/ Dcom-
Global/Local%20Assets/
Documents/Financial%20Services/dtt_fsi_Secu rityStudy2012.pdf.,
7.08. 2013.)
Iz podataka u tablici vidljivo je da najveći broj ispitanika iz SAD-a percipira
drţavnu ili industrijsku špijunaţu najvećom prijetnjom sigurnosti
informacijskog sustava. Ranjivost mobilne mreţe najviši je oblik prijetnji za
ispitanike iz Kanade, a najniţi za azijsko -pacifičke ispitanike i ispitanike iz
Japana. Društvene medije kao prijetnju percipira najveći broj ispitanika iz SAD-a
(28 %), a najmanje ispitanika iz Europe i Bliskog istoka. Za više od 50 %
ispitanika iz Kanade prijetnju predstavljaju financijske prijevare koje
32
uključuju informacijske sustave, dok za više od 50 % iz SAD -a visokom
razinom prijetnji smatraju narušavanje sigurnosti putem trećih osoba, a
najniţa razina ove prijetnje je u Japanu. U Velikoj Britaniji najveći broj
ispitanika ističe kao ključnu sigurnosnu prijetnju hakiranje i aktivnosti putem
kibernetskog prostora. Japan ima najniţu razinu ovih prijetnji – 0 %.
Banke i druge financijske institucije snose troškove Internetskih napada.
“Iznošenje” povjerljivih podataka o klijentima, koje rezultira nezakonitim
transakcijama, banke najčešće moraju, otvoriti klijentima nove račune i
osigurati nadzor nad takvim poslovanjem. Prema nekim istraţivanjima, račun
za svaki gubitak podataka iznosi oko 200-tinjak američkih dolara po osobi, a
ukupni gubici financijskih institucija nastali kao posljedica elektroničkog
kriminala, procjenjuju se na 20 milijuna amer ičkih dolara u 2008. godini
(Ekonomski cyber kriminal, http://autopoiesis.foi.hr/wiki.php?name=KM+-
+Ti m+04&parent=NULL&page=Ekonomski%20cyber%20kriminal,
19.08.2013.).
Vidljivo je, dakle, da prijetnje na sustav sigurnosti informacija financijskih
institucija dolaze iz različitih izvora , te da financijskim institucijama
pričinjavaju znatne financijske štete, ali i štete ugleda same financijske
institucije.
3.3. NAPADI NA INFORMACIJSKE SUSTAVE FINANCIJSKIH
INSTITUCIJA IZ SVJETSKE PRAKSE
Elektronički kriminal posebno je bio u porastu tijekom globalne financijske
krize. Situacija kaosa koristila se za različite napade na financijske institucije.
Tome je svakako išla u prilog i sloţena stara sigurnosna infrastruktura.
Primjerice, kada su regulatorne institucije u 2008. godini objavile prodaju
Wachovie (šeste najveće američke banke koja je teško pogoĎena krizom na
33
hipotekarnom trţištu) banci Citigroup, elektronički kriminalci kapitalizirali su
na nastalom kaosu. Procjenjuje se da su na adrese otprilike pet tisuća klijenata
Wachovie poslali prevarantske e-poruke u kojima od njih zahtijevaju da
dopune svoje račune prije spajanja dviju banaka. Mnogi od njih da li su
hakerima svoje osobne podatke. Banka je u roku od 24 sata izdala obavijest,
da bi nekoliko dana kasnije Wells Fargo postao jedan od mogućih kupaca
Wachovie, što je dodatno zbunilo klijente i pruţilo još jednu priliku
kriminalcima. No, šteta je već bi la počinjena. Slanjem pina i broja računa,
korisnici su omogućili hakerima neodobreni transfer tisuće dolara s njihovih
računa. Banka je snosila troškove prijevare.
Kombinacija slabe ekonomije i općeprisutne financijske krize pruţila je
neslućene mogućnosti kraĎe financijskih informacija kriminalcima koji
djeluju na Internetu. U rujnu 2012. godini na udaru hakera našle su se
američke banke. Procjenjuje se da su napadi hakera na američke banke ujedno
bili najveći zabiljeţeni cyber napadi na sigurnosni sustav financijskih
institucija. Od 19. rujna bile su napadnute Bank of America, JPMorgan Chase,
Wells Fargo, U.S. Bank i PNC Banke čije su tijekom napada Internetske
stranice bile nedostupne, a korišteni su DDoS napadi2, pri čemu su na
napadnute stranice usmjeravane velike količine prometa zbog čega je došlo do
njihovog rušenja. Procjenjuje se da su ti napadi bili deset do dvadeset puta
veći u odnosu na klasične napade te da su bili dvostruko veći u odnosu na
napade koji su se dogaĎali do 2012. godine. DDoS napadi su učinkoviti alat za
rušenje stranica, ali putem njih napadači ne mogu prodrijeti u nikakve
informacije vezane za račune klijenta koje bi naknadno mogli isprazniti.
Činjenica je, meĎutim, da takvim napadi mogu biti diverzija za znatno
kompleksnije operacije putem kojih se hakeri ţele domoći novca iz banaka.
2 Distribuirano uskraćivanje usluge (engl. Distributed Denial of Service) je oblik napada
uskraćivanja usluga u kojemu su izvori zagušujućeg mreţnog prometa distribuirani na više mjesta po Internetu. Najčešće se radi o računalima na koja je prethodno provaljeno kako bi ih se iskoristilo za napad na druge mreţe ili računala na Internetu.
34
U svibnju 2013. godine u Americi je provedena hakerska operacija kojom je iz
bankomata iz 26 zemalja ukradeno oko 45 milijuna američkih dolara. U ovoj
operaciji koja je započela 2012. godine sudjelovale su dvije skupine
kriminalaca – cyber kriminalci koji su uz pomoć hakerskih vještina ukrali
brojeve računa debitnih kartica i tzv. mule (“vojnici s ulice”) koji su laţnim
karticama podizali gotovinu na bankomatima. Hakeri su uspjeli prisvojiti
podatke o debitnim karticama dviju banaka iz Omana i Ujedinjenih Arapskih
Emirata, s tih su kartica uklonili ograničenja potrošnje te su dizajnirali
pristupne kodove koje su kopirali na laţne kartice s kojima su naknadno
podizali velike svote novaca s bankomata. Prva velika kraĎa zabiljeţena je
krajem 2012. godine kada je s bankomata podignuto pet milijuna američkih
dolara, dok je sredinom veljače 2013. godine u dva dana u 36 tisuća
transakcija podignuto 40 milijuna američkih dolara. Kako ih kriminalci koji
su podizali novac s bankomata ne bi prevarili, hakeri su cijelo vrijeme
nadgledali svaku transakciju s bankomata i svaki podignuti dolar iz svih
zemalja u kojima je novac podizan, ukupno 26 zemalja, uključujući
Rumunjsku, Kolumbiju, SAD, Veliku Britaniju i Rusiju . Cyber kriminalci
ovakve kraĎe nazivaju “neograničenim operacijama” u kojima se napadom na
mreţe banaka i financijskih institucija dobiva pristup neograničenoj količini
novaca.
Tri vodeće zemlje u razvoju trojanskih programa koji napadaju bankovne
sustave su Brazil, Rusija i Ukrajina.
Vidljivo je, dakle, da su financijske institucije u svijetu svakodnevno pod
napadima elektroničkih kriminalaca.
35
3.4. NAPADI NA BANKE U REPUBLICI HRVATSKOJ
Banke u Hrvatskoj godišnje izgube oko 37 milijuna kuna zbog prijevara na
kreditnim karticama. Procjenjuje se da sedam posto od ukupne potrošnje
putem kartica, koja je prema Hrvatskoj narodnoj banci u 2009. godini
premašila 52 mlrd. kuna, čine štete nastale zbog klasičnih prijevara.
Hakiranje, kraĎe identiteta i ostali oblic i sigurnosnih napada pojavljuju se u
značajno manjem postotku, ali zato ubrzano rastu pa čak i udvostručuju na
godišnjoj razini (Kriminalci u Hrvatskoj kartičnim prijevarama oštete banke
za 37 milijuna kuna godišnje , http://www.poslovni.hr/mobile/tehnologija/
kriminalci-u-hrvatskoj-karticnim-prijevarama-ostete-banke-za-37-milijuna-
kuna-godisnje-133304, 16.08.2013.).
U 2009. godini u Hrvatskoj su zabiljeţeni napadi na banke trojanskim
programima kroz Internet bankarstvo, i to s dva trojanska programa:
trojan.banker i clampi. Prvi je u svojoj konfiguraciji sadrţavao domene dviju
najvećih hrvatskih banaka, dok je drugi obuhvaćao petnaestak domaćih
banaka (Konferencija o hakerskim prijetnjama: I hrvatske banke na udaru
“trojanaca”, http://www.banka.hr/konferencija-o-hakerskim-prijetnjama-i-
hrvatske-banke-na-udaru-trojanaca/print, 20.08.2013.). Trojan.banker sadrţi
generički keylogger koji, nakon što prepozna domenu, prikuplja povjerljive
podatke. Osim toga, on mijenja HTML kod web stranice, pri čemu korisnik
teško razaznaje laţnu stranicu od originalne stranice banke. Na laţnoj stranici
od korisnika se traţi upis dodatnih podataka (primjerice, PIN -a), kako bi se
podaci mogli iskoristiti za izradu laţne kartice. Clampi je jedan od
najnaprednijih trojanskih programa, izuzetno je kompleksna i teţak za
analizu. Program omogućava ubacivanje u komunikaciju izmeĎu računala
klijenta i računala banke, mijenjajući podatke o broju računa primatelja i
iznosu transakcije koje klijent šalje prema banci. Nakon što ba nka zatraţi od
klijenta autentifikaciju transakcije, program presreće poruku i ponovno
mijenja zapis u originalu, tako da klijent ne moţe zamijetiti da se dogaĎa
36
nešto neobično i potvrĎuje laţnu transakciju.
U prosincu 2012. godini pripadnici hakerske skupine Anonymous hakirali su
stranice Karlovačke banke, ostavljajući poruku: “Mi smo Anonymous. Mi smo
legija. Mi ne praštamo. Mi ne zaboravljamo. Banke nas očekuju.” Stranica
nije bila srušena, ali je bila privremeno nedostupna. Time su hakeri objavili
rat bankama. Napadom su bile zahvaćene samo javne stranice Karlovačke
banke (www.kaba.hr), dok su ostali servisi banke bili potpuno sigurni
uključujući i Internet bankarstvo. Banka je nakon napada poboljšala
sigurnosne standarde kako se ti napadi ne bi ponovili .
Prema zahtjevima Hrvatske narodne banke, banke u Hrvatskoj koriste
dvostruku autentifikaciju i po tome su meĎu naprednijima u svijetu. Mnoge
američke i australske banke, primjerice, još uvijek koriste samo korisničko
ime i lozinku, što je vrlo jednostavno probiti. Banke se boje da će
prekompliciranim sigurnosnim procedurama izgubiti klijente.
37
4. MJERE SIGURNOSTI PROTIV ELEKTRONIČKOG
KRIMINALITETA U FINANCIJSKIM INSTITUCIJAMA
Aktivnosti vodećih zemalja svijeta i meĎunarodne organizacije u posljednjih
nekoliko godina, a posebice tijekom 2012. godine potvrĎuju rastuću svijest o
učestalosti i razornosti napada na kibernetski prostor. Borba proti v
elektroničkog kriminaliteta u financijskih institucijama zasniva se na
preventivnim i represivnim mjerama. Represivne mjere su iste kao i kod
drugih oblika kriminala, dok su preventivne mjere specifične, te su usmjerene
na poduzimanje aktivnosti u cilju otklanjanja izvora, uvjeta, okolnosti ili
propusta koji pogoduju neovlaštenom korištenju ili zlouporabi kompjutora.
Kako bi se prikazale mjere sigurnosti proti elektroničkog kriminaliteta u
financijskim institucijama, u ovom dijelu diplomskog rada obraĎuju se
sljedeće tematske jedinice: 1) regulatorni okvir sustava borbe protiv
elektroničkog kriminaliteta, 2) ekonomsko -financijski aspekt zaštite
informacijskih sustava financijskih institucija, 3) ulaganja u sigurnost
informacijskih sustava banaka u Republici Hrvatskoj i 4) implementacija
standarda ISO 27001:2005.
4.1. REGULATORNI OKVIR SUSTAVA BORBE PROTIV
ELEKTRONIČKOG KRIMINALITETA
Iako je meĎunarodna zajednica već dugi niz godina suočena s aktualnim
izazovima i prijetnjama koje sa sobom nosi elektronički kriminal, tek je 2001.
godine usuglasila sadrţaj svojevrsnog multilateralnog sporazuma uobličenog u
Konvenciji o kibernetičkom kriminalu Vijeća Europe (engl. Convention of
Cybercrime Council of Europe). Konvencija je potpisana 2001. godine u
Budimpešti, ali je stupila na snagu 2004. godine. Predstavljena je kao
meĎunarodni pravni instrument kojim se po prvi put reguliraju problemi
38
vezani uz korištenje i prijenos informacija i podataka preko informatičkih i
telekomunikacijskih sustava (Protrka, 2011:5). Posebno se bavi kršenjem
autorskih prava, računalnim prijevarama, dječjom pornografijom i povredama
sigurnosti mreţe. Ona takoĎer sadrţi niz ovlasti i postupaka za povećanje
razine informacijske i mreţne sigurnosti. Cilj Konvencije je nastavak
zajedničke kaznene politike usmjerene na zaštitu društva od cyber kriminala
(engl. cyber crime), a posebno usvajanje odgovarajućeg zakonodavstva i
jačanje meĎunarodne suradnje. Nadopunjena je dodatnim protoko lom koji
svako objavljivanje i promidţbu rasizma i ksenofobije putem računalnih
mreţa označava kao kazneno djelo. Konvenciju je do 2012. godine ratificiralo
37 zemalja, a 10 zemalja je potpisalo Konvenciju bez ratifikacije. Republika
Hrvatska ratificirala je Konvenciju te njezine odredbe unijela u Kazneni
zakon.
U Republici Hrvatskoj ne postoji uspostavljen jedinstveni sustav borbe protiv
elektroničkog kriminaliteta koji bi djelovao na svim onim razinama i u svim
dijelovima kritične infrastrukture gdje prijetnje postoje. MeĎutim, postoje
različiti sigurnosni sustavi čije djelovanje obuhvaća i borbu protiv prijetnji na
kibernetski prostor. Primjerice, subjekti unutar financijskog sektora posjeduju
vlastite sigurnosne sustave, pa sustave borbi protiv prijetnji na njihove
elektronički sustav. Ti sustavi se oslanjaju na druge, primjerice drţavne,
sigurnosne sustave.
Regulativni okvir sustava borbe protiv elektroničkog kriminaliteta u Republi ci
Hrvatskoj, koji se odnosi na drţavni i javni informacijski sustav, predstavlja
skup propisa koji se svrstavaju pod regulativni okvir koji ureĎuje
informacijsku sigurnost, a čije je donošenje u nadleţnosti drţavnog sektora.
Iako zakonski i pravni propisi ne spominju elektronički kriminalitet u toj
formulaciji ili u formulaciji e-kriminala (cyber kriminala), moţe se reći da oni
predstavljaju temelj za uspostavu sustava borbe protiv elektroničkog
kriminala.
39
Reformom kaznenog zakonodavstva 1997. godine u hrvatsko je pravo po prvi
put uveden kompjutorski kriminal, u članku 223 “Oštećenje i uporaba tuĎih
podataka”. Riječ je o kaznenom djelu kojim se zaštićuju automatski obraĎeni
podaci ili računalni programi, a inkriminira i sam pristup njima pod uvjetom
da su zaštićeni posebnim mjerama (šiframa i sl.) (Boban, 2007:92). TakoĎer je
uvedena i kaznena odredba koja se odnosila na pojedina djela (Dragičević,
2004:153):
1. neovlašteni pristup računalnom sustavu (“hacking”),
2. računalna sabotaţa,
3. računalna prijevara,
4. računalno krivotvorenje,
5. računalna špijunaţa.
Potpisivanjem Konvencije o kibernetskom kriminalu 2001. godine, izvršene su
izmjene Kaznenog zakona, donošenjem Zakona o izmjenama i dopunama
kaznenog zakona, koji je stupio na snagu 1. listopada 2004. godine. U Zak on
su inkorporirane nove zloupotrebe, tako da su uz “oštećenje, izmjenu,
brisanje, uništenje ili druge načine zlouporabe podataka” koji ih čine
neuporabljivim, kaţnjivi i svi načini kojima se oni čine nedostupnima. To je
bitno u situacijama u kojima podaci nisu izbrisani ili oštećeni, ali mi se ne
moţe pristupiti zbog djelovanja malicioznih programa, prvenstveno virusa,
worm-ova i trojanskih konja. Time se programima i podacima osigurava
jednaka zaštita kao i tjelesnim predmetima. Naime, do izmjena Kaznenog
zakona u 2004. godini kraĎa računalnih podataka nije se smatrala kraĎom, jer
podaci nisu fizički ukradeni iz računala. Činjenicu da su prekopirani i
dostupni drugima zakon nije uvaţavao. Stavak 3. stavka 223., sakcionira
“onemogućavanje ili oteţavanje rada ili korištenja” računala ili računalne
komunikacije, prvenstveno kao još jedan način kaţnjavanja izrade i prijenosa
malicioznih programa, ali i sve druge načine distribuiranog uskraćivanja
usluga (DoS). Interpretacija ove norme daje i mogućnost kaţnjavan ja tzv.
40
spamminga, slanje velikog broja e-mail poruka s namjerom zagušenja servera
ili ureĎaja primatelja, uslijed kojeg sustav prestaje raditi. Kazneni zakon nije
usuglašen s Konvencijom u dijelu koji se odnosi na kaznena djela
neovlaštenog pristupa podac ima ili programima, tzv. hakingu. Naime,
Konvencija predviĎa sankcioniranje samog neovlaštenog pristupa, dok
Kazneni zakon kaţnjava neovlašteni pristup “unatoč zaštitnim mjerama”.
Činjenica je, meĎutim, da u Hrvatskoj ne postoji standardizirani način zašti te
informacijskim sustavima, pa procjenu o postojanju zaštitnih mjera daje sud.
U glavi XXV. novog Kaznenog zakona iz 2011. godine, Kaznena djela protiv
računalnih sustava, programa i podataka, u člancima 266.-273. Zakona objedinjena
su inkriminirana djela protiv tajnosti, cjelovitosti i dostupnosti računalnih podataka i
sustava (Kazneni zakon, Narodne novine, br. 125/11, 144/12).
Osim Kaznenog zakona, zakoni kojima se propisuju okviri, ciljevi i dosezi
sigurnosne politike u području informacijske i elektroničke sigurnosti su: Zakon
o sigurnosno-obavještajnom sustavu (Narodne novine, br. 79/06 i 105/06), Zakon
o tajnosti podataka (Narodne novine, br. 79/07), Zakon o informacijskoj
sigurnosti (Narodne novine, 79/07), Zakon o zaštiti osobnih podataka (Narodne
novine, br. 41/08), Zakon o tajnosti podataka (Narodne novine, br. 79/07), Zakon
o elektroničkoj trgovini (Narodne novine, br. 173/03), Zakon o elektroničkim
komunikacijama (Narodne novine, br. 73/08) i Zakon o kaznenom postupku.
Uredba Vlade Republike Hrvatske kojom se propisuju i mjere sigurnosti na
Internetu je Uredba o mjerama informacijske sigurnosti (Narodne novine, br.
46/08). Podzakonsku razinu čine: Pravilnik o standardima sigurnosti podataka,
Pravilnik o standardima organizacije i upravljanja područjem sigurnosti
informacijskih sustava i Pravilnik o standardima sigurnosti poslovne suradnje.
Na banke i kreditne organizacije odnose se sljedeći akti (Hrvatska narodna
banka, http://www.hnb.hr/propisi/propisi.htm, 17.08.2013.) :
41
Odluka o primjerenom upravljanju informacijskim sustavom (Hrvatska
narodna banka, Narodne novine, br. 37/2010) – precizno odreĎuje
odgovornosti banaka za uvoĎenje informacijske sigurnosti, kao i rokove,
Odluka o upravljanju rizicima (Narodne novine, br. 1/2009, 41/2009. i
2/2010.) – izmeĎu ostalog odreĎuje pravila za upravljanje operativnim
rizikom, te u sklopu tog rizika upravljanje informacijskim sustavom i
rizikom informacijskog sustava,
Odluka o eksternalizaciji (Narodne novine, 1/2009., 75/2009. i 2/2010.) –
propisuje obvezu procjene rizika dobavljača u slučaju outsourcinga, što
uključuje i procjenu rizika vezanog za zaštitu informacija.
Smjernice za upravljanje informacijskim sustavom u cilju operativnog
rizika (Hrvatska narodna banka, oţujak 2006.) ,
Smjernice za ovladavanje rizikom informacijskog sustava u kreditnim
unijama (Hrvatska narodna banka, studeni 2007.).
Na ostale financijske institucije odnose se sljedeći akti (Laws and regulations
on information security and business continuity, http://wiki.iso27001standard.
com/index.php?title=Laws_and_regulations_on_information_security_and_bus
iness_continuity#Croatia_.28Hrvatska.29, 4.08.2013.):
Pravilnik o detaljnom obliku i najmanjem opsegu te sadrţaju revizorskog
pregleda i revizorskog izvješća društava za osiguranje (Narodne novine, br.
76/06) – obvezuje revizora da meĎu ostalim provjeri koliko su informatički
sustavi zaštićeni,
Pravilnik o uvjetima za obavljanje poslova ovlaštenog društva (Narodne
novine, br. 14/07) – u člancima 12 i 13 propisuje zaštitu informacijskog
sustava, odnosno dokumentacije za burzovne kuće,
Pravilnik kojim se ureĎuje poslovanje društava za upravljanje
investicijskim fondovima (Narodne novine, br. 25/07) – u člancima 11 i 12
propisuje se zaštita informacijskog sustava odnosno dokumentacije,
42
Pravilnik o organizacijskim zahtjevima za pruţanje investicijskih usluga i
obavljanje investicijskih aktivnosti pomoću usluga (Narodne novine br.
5/09) – u članku 4 nalaţe da je društvo duţno ustrojiti i primjenjivati
sustave i procedure koji osiguravaju sigurnost, cjelovitost i tajnost
podataka, kao i mjere za neprekidno poslovanja, a u članku 13 propi suje na
koji način se mora čuvati poslovna dokumentacija i podaci.
Vidljivo je, dakle, da se zakonskom regulativom nastoje stvoriti preduvjeti za
sigurno poslovanje financijskih institucija u kibernetskom prostoru.
4.2. EKONOMSKO-FINANCIJSKI ASPEKT ZAŠTITE
INFORMACIJSKIH SUSTAVA FINANCIJSKIH INSTITUCIJA
Pravilno upravljanje resursima informacijskog sustava ključno je za uspjeh
financijske institucije i za njega su odgovorne sve upravljačke razine. Resursi,
uz ostalo uključuju (Smjernice za upravljanje informac ijskim sustavom u cilju
operativnog rizika, 2006:9):
1. opipljivu imovinu (primjerice, hardver, komunikacijsku opremu,
graĎevine),
2. informacije/podatke (primjerice, dokumente, podatke u bazama podataka),
3. softver,
4. sposobnost proizvodnje nekog proizvoda ili pruţanje neke usluge (engl.
know-how),
5. osobe koje odrţavaju i koriste informacijski sustav,
6. neopipljivu imovinu (primjerice, zaštitni znak, reputaciju).
Financijske institucije imaju obvezu identificirati i klasificirati resurse prema
njihovoj vaţnosti i vrijednosti te odrediti i implementirati potreban stupanj
zaštite tih resursa. Posebno je vaţno odrediti optimalan omjer izmeĎu šteta
43
prouzročenih napadom na resurse informacijskog sustava i ulaganja u njihovu
zaštitu.
Mjere uključuju sve postupke, procedure i mehanizme kojima se (Smjernice
za upravljanje informacijskim sustavom u cilju operativnog rizika, 2006:11):
štite resursi informacijskog sustava od prijetnja,
smanjuju ranjivosti informacijskog sustava,
ograničava učinak neţeljenih dogaĎaja,
otkrivaju neţeljeni dogaĎaji,
pospješuje oporavak.
S obzirom da mjere smanjuju izloţenost banke riziku, moţe ih se smatrati i
zaštitnim mjerama. One se odnose na upravljačku, logičku i fizičku razinu.
Djelotvorno upravljanje informacijskim sustavom obično zahtijeva
kombiniranje različitih zaštitnih mjera kako bi se osigurala slojevita zaštita
resursa informacijskog sustava. Zaštitne mjere imaju jednu ili više sljedećih
zadataka (Smjernice za upravljanje informacijskim sustavom u cilju
operativnog rizika, 2006:11):
prevenciju,
odvraćanje,
otkrivanje,
ograničavanje,
korigiranje,
oporavak,
nadzor,
osvješćivanje.
Zaštitne mjere financijske institucije provode uvoĎenjem novih ili izmjenom
postojećih kontrola. Podizanje razine znanja i svijesti zaposlenika vezanih uz
44
sigurnost i funkcionalnost informacijskog sustava vaţna je zaštitna mjera.
U svrhu prevencije od napada na elektronske sustava, financijske institucije
koriste sustave zaštite računalnih sustava koji sprječavanjem mogućnih djela i
počinjenja djeluju preventivno. Preventivne mjere trebaju osigurati:
identifikaciju mogućih napada na računalo i njihovu klasifikaciju s aspekta
vjerojatnosti realizacije, objekta napada, načina i posljedica realizacije,
izbor i postavljanje odgovarajućeg mehanizma zaštite,
odrţavanje, provjeru i unaprjeĎenje postavljenog mehanizma zaštite.
Općenito, veća ulaganja u sigurnost smanjuju izloţenost sustava ili računalne
mreţe riziku. S druge strane, ono izlaţe vlasnika sustava ili računalnih mreţa
većim troškovima i smanjuje profitabilnost. Zbog toga je od iznimne vaţnosti
odrediti optimalni odnos izmeĎu ulaganja u sigurnost i postignutih rezultata
(grafikon 1).
Grafikon 1: Procjena prihvatljivog rizika
Investicije
(trošak)
Max Min Veličina
rizika
Rizici Investicije
Cilj
45
Izvor: Vukelić, B.: Sigurnost informacijsk ih sustava,
http://www.veleri.hr/files/ datoteke/ nastavni_materijali/k_sigurnost_s2/
sigurnost_informacijskih_sustava.pdf, 10.08.2013.
Potrebno je takoĎer istaknuti da sigurnosni mehanizmi ili procedure često
smanjuju udobnost rada ili pogoršavaju performanse sustava. Kratkoročno
gledano, to moţe negativno utjecati na opće efekte rada, no dugoročno, ove
mjere pozitivno utječu na rezultate rada, odnosno na profitabilnost poduzeća.
Smanjenje ulaganja u tehnološku sigurnost sustave moţe djelovati
kontraproduktivno. Tako su, primjerice, tijekom financijske krize, zbog
manjeg profita i općenito manjka novca, mnoge financijske institucije
smanjile ulaganja u tehnološku sigurnost, što je elektroničkim kriminalcima
stvorilo pogodno tlo za upade u sigurnosne sustave. Analiza ranjivosti sustava
omogućava pouzdano odreĎenje sigurnosnog rizika. Logično je da tamo gdje
nema rizika nema smisla ulagati u zaštitna sredstva, te se implementiraju
samo ona zaštitna sredstva koja će biti opravdana i smislena u pogledu zaštite
poslovnih ciljeva organizacije.
Istraţivanje koje je provela konzultantsko -revizorska tvrtka Deloitte na
prijelazu 2011./2012. godine pokazuje da se sa sve većim zahtjevima
poslovanja razvija i regulatorni okvir, a informacijska sigurnost postaje
prioritet u industriji financijskih usluga. Istraţivanje otkriva da su mnoge
financijske institucije uvode proaktivne i inovativne sigurno sne provedbene
mjere, te veliku paţnju pridaju povećanju svijesti o informacijskoj sigurnosti
unutar svog poduzeća. Ipak većina institucija obuhvaćenih istraţivanjem
nalazi se pred izazovom uravnoteţenja troškova informacijske sigurnosti s
percipiranjem rizika sofisticiranih prijetnji i novih tehnologija (2012 DTT
Global Financial Services Industry Security Study, Breaking Barriers,
http://www.deloitte.com/assets/ Dcom-
Global/Local%20Assets/Documents/Financial%20Services/dtt_fsi_Secu
rityStudy2012.pdf., 7.08.2013.).
46
Sa svrhom zaštite identiteta i upravljanja pristupom informacijskom sustavu
na vrhu prioriteta financijskih institucija u 2011. godini našlo se planiranje i
strateško promišljanje informacijske sigurnosti. U skladu s prethodnim
godinama, većina je ispitanika (44 %) navela nedostatak proračunskih
sredstava i povećanje sofisticiranih prijetnji (28 %) kao primarnu pr epreku za
provedbu učinkovitog programa informacijske sigurnosti.
Financijske institucije su s jedne strane suočene su sa sve većom
sofisticiranošću i učestalošću upada u sustav te gubitkom informacija o
klijentima, dok su s druge strane opterećene sve st roţim regulatornim
zahtjevima i valom otpuštanja koji stvara nepouzdane i nezadovoljne
zaposlenike koji su ujedno i prijetnja otkrivanju informacija o financijskog
instituciji. U takvim okolnostima financijske institucije moraju pojačati
sustave kontrole kako bi smanjile mogućnosti upada u sigurnosne sustave.
Jedan od novijih izazova s kojima se na području informacijske sigurnosti
susreću financijske institucije su društvene mreţe. Naime, sudjelovanje
zaposlenika u društvenim mreţama predstavlja rizik za financijske institucije,
jer tim putem napadači dolaze do potrebnih informacija za napad na
financijsku instituciju. Iako je dominantan pristup rješavanju tog problema i
dalje ograničavanje sudjelovanja zaposlenika u društvenim mreţama na
Internetu, trećina financijskih institucija koje dopuštanju korištenje
društvenih mreţa odlučila se educirati zaposlenike te prilagoditi svoje
pravilnike korištenju društvenih mreţa (Svjetske financijske institucije
strahuju od cybver prijetnji, http://liderpress.hr/biznis-i-politika/svijet/-
svjetske-financijske-institucije-strahuju-od-cyber-prijetnji/, 11.08.2013.).
Mnogi ispitanici su istraţivali mogućnost cloud computing (Internet-bazirarno
računalstvo), no većina ispitanika (40 %) ne koristi ga, a kao razlog navode
sigurnosne rizike. U sklopu svog programa mobilnosti, mnoge organizacije su
već implementirale ili planiraju implementirati mobilni VPN, središnji ureĎaj
47
za upravljanje, mobline ureĎaje i softvere za upravljanje. MeĎutim, više od 50
% ispitanika još nije planirala implementaciju antiphishing softvera,
aplikacija za zaštitu zaposlenika i kupaca, prevenciju izgubljenih podataka za
mobilne ureĎaje.
Tri od četiri ispitanika posvetilo se zaštiti privatnih resursa, a organizacije su
sve više fokusirane na zaštitu osjet ljivih informacija i privatnost . Oko 49 %
ispitanika aktivno upravlja ranjivosti informacijskog sustava, dok njih 82 %
aktivno istraţuje nove prijetnje proaktivnim djelovanjem na otklanjanju
novonastalih prijetnji. Većina ispitanika koristi Centar za sigurnosne
operacije (engl, Security Operation Centar, skr. SOC) za praćenje prometa i
podataka te aktivno odgovara na moguće incidente i narušavanja. Više od
polovice ispitanika izjavilo je da njihova organizacija uspostavlja SOC kako
bi bolje razumjela pitanja sigurnosti i postigla veću kontrolu nad
poslovanjem.
S povećanjem regulatornih pritisaka, banke poboljšavaju sigurnosne
programe. Oko 80 % ispitanika smatra da su njihovi sigurnosni programi
dosegli treću razinu (set definiranih i dokumentiranih standardnih procedura
sa stupnjem poboljšanja tijekom vremena) zrelosti ili više.
Unatoč ekonomskoj krizi i trendu smanjenja troškova, p roračuni namijenjeni
informacijskoj sigurnosti nastavljaju rasti, pa je čak 38 % organizacija
proračun povećalo od jedan do pet posto. U bankarskom sektoru 70 %
ispitanika izjavilo je da sredstva namijenjena sigurnosti informacijskog
sustava iznose od jedan do tri posto njihova proračuna. Unatoč tome većina
ispitanika navodi nedostatak sredstava u proračunu kao jedan od
ograničavajućih čimbenika efikasnosti programa informacijske sigurnosti.
Balansirajući izmeĎu troškova poboljšavanja informacijske sigurnos ti i
percipiranog rizika koji sa sobom nosi brz razvoj i širenje tehnologije,
financijske institucije su zauzele proaktivni stav u implementaciji inovativnih
48
sigurnosnih mjera, kao i podizanju svijesti unutar organizacije o vaţnosti
informacijske sigurnosti.
Što se tiče tehnologije zaštite, očekivano prednjače antivirusni programi, koje
koristi 99 % ispitanika, firewallovi i zaštita od spamova, dok je na začelju
biometrija (svega 10 %) i RFID tagovi (8 %). Naime, većina ispitanika ističe
da najradije čekaju da neka tehnologija postane standard (a prema tome i da
pojeftini), pa se tek onda odlučuju na njihovo uvoĎenje u vlastite sustave
sigurnosti informacijskih sustava.
Financijske institucije, dakle, nastoje optimalizirati ulaganja i rizike na
sigurnost njihovih informacijskih sustava.
4.3. ULAGANJA U SIGURNOST INFORMACIJSKIH SUSTAVA
BANAKA U REPUBLICI HRVATSKOJ
Informacijski sustavi banaka temelj su njihova poslovanja. Oni su platforma
za Internet bankarstvo, mobilno bankarstvo i druge bankarske usluge. S
obzirom na njihov značaj za poslovanje banka razumljivo je da banke posebnu
pozornost posvećuju sigurnosti informacijskih sustava. Banke zapravo, u
suvremenom društvu, ne bi mogle poslovati bez potpore tehnologije. Stoga,
bez informacijskih sustava nema ni banaka.
Zbog zahtjeva poslovanja banke koriste veliki broj aplikativnih rješenja,
različite operativne sustave i robusnu sistemsku i telekomunikacijsku
infrastrukturu. Specifične regulative i zahtjevi za osiguranjem kontinuiteta
poslovanja iziskuju osiguran je i pričuvnih računalnih centara, kao i
redundantne telekomunikacije. Kako banka raspolaţe podacima o klijentima i
49
transakcijama, isti se smatra ju kritičnima u smislu povjerljivosti i integriteta
te ih je potrebno štititi na odgovarajući način, odnosno kontinuirano
unaprjeĎivati sigurnost informacijskog sustava. U tom kontekstu Erste &
Steiermärkische banka kontinuirano poklanja veliku paţnju odrţavanju i
razvoju tehnologije i ulaţe u njen razvoj s ciljem osiguranja još kvalitetnijih
tehnoloških uvjeta za ostvarivanje uspješnih poslovnih rezultata. Osim toga
putem svojih web stranica educira klijente o opasnostima koje im prijete i
kako sigurno upotrebljavati Internet. Navode se, primjerice, pravila sigurne
upotrebe Interneta (Erste & Steiermärkische Bank,
www.erstebank.hr/hr/Sigurnost/Sigurnost_Erste_NetBan
king_usluge/Sigurna_upotreba_Interneta , 17.08.2013.):
koristiti odgovarajući web preglednik (preporučeni preglednici za
korištenje Erste NetBanking usluge su Microsoft Internet Explorer verzija
6,0 na više i Mozilla Firefox verzija 3,0 na više),
izbjegavati preuzimanje programa s Interneta iz nepoznatih izvora,
ne koristiti korisničke podatke za pristup drugim online programima ili
stranicama,
zapamtiti korisničke podatke; ne zapisivati ih, ne dijeliti ih s drugima i ne
pohranjivati ih na računalu,
ne slati povjerljive podatke e-poštom ili koristeći društvene mreţe (npr.
Facebook, Twitter, Linkedin…),
ne pratiti linkove unutar sumnjivih mailova, već ţeljenu adresu unositi
direktno u adresni prozorčić Internet pretraţivača (browsera),
osigurati odgovarajuću zaštitu na računalu (instalacija sigurnosnih zakrpa,
vatrozida i antivirusnih programa),
zatvoriti preglednik nakon završetka korištenja Interneta,
ako je korisnik završio s korištenjem računala, ne ostav ljati ga u stanju
mirovanja već ga isključiti.
Korisnici Internet bankarstva educiraju se o prevenciji zlouporabe te kako
50
prepoznati prijevaru. Pokušaj prijevare korisnik moţe prijaviti putem obrasca
na slici 2.
IT infrastruktura predstavlja kompleksan sustav koji zahtijeva kontinuirano
odrţavanje i razvoj. Troškovima u IT infrastrukturu Erste banka upravlja
efikasno, istovremeno postiţući najveće moguće efekte u podršci poslovnom
dijelu i ispunjenju njihovih zahtjeva.
Slika 2: Prijava pokušaja prijevare
Izvor: Erste & Steiermärkische Bank,www.erstebank.hr/hr/Sigurnost/Sigurnost
_Erste_NetBanking_usluge/Sigurna_upotreba_Interneta, (17.08.2013.)
51
Novi informatički sustav. Sociéte Génerale – Splitska banka počela se “seliti”
2008. godine kada je pokrenut projekt migracije glavne bankarske aplikacije
na novi sustav, koji je standard grupacije Sociéte Génerale. Projekt migracije
završen je 2010. godine uvoĎenjem novog sustava u operativni dnevni rad,
zajedno sa satelitskom aplikacijom koje su uvedene radi pokrivanja odreĎenih
specifičnih segmenata bankarskog poslovanja. Pored standardnih grupnih
rješenja, banka radi i na razvoju specifičnih lokalnih rješenja kao odgovor na
specifičnosti zakonskog i trţišnog okruţenja. Brzi tehnički napredak u domeni
informatičke opreme banka prati periodičkim dogradnjama ili zamjenama
sustava (serveri, radne stanice, sustavi za pohranu, mreţna opre ma). Znatna
sredstva se ulaţu u odrţavanje i razvoj.
Isplativost ulaganja banaka u nova tehnološka rješenja jasno je vidljiva iz
činjenice da se ukupni udio transakcija koje se obavljaju u poslovnicama
Zagrebačke banke d.d. smanjen na manje od 15 % svih transakcija u
poslovanju, odnosno više od 85 % transakcija odvija se putem direktnih
kanala distribucije – bankomata, Zaba kioska, samousluţnih platno -prometnih
ureĎaja, e-zaba i m-zaba te telefonskog i SMS bankarstva.
Banke u Hrvatskoj nastoje biti ispred potencijalnih opasnosti koje dolaze od
elektroničkog kriminala. Erste & Steiermärkische Bank je u 2007. godini
usvojila novi pristup IT segmentu. Implementacijom tzv. “early warning”
signala banka ima mogućnost unaprijed predvidjeti potencijalna
problematična područja i na vrijeme preventivno reagirati. Čestim revizijama
i testiranjima probojnosti sustava banke osiguravaju kontinuirano podizanje
razine sigurnosti te provoĎenje mjera za smanjenje IT rizika. Na razini
bankarskog sustava postoje autoriteti koj i prikupljaju podatke o najčešćim
napadima i incidentima te na adekvatan način informiraju sve sudionike i
zahtijevaju unaprjeĎenje sustava. U Hrvatskoj hakerski napadi nisu tako česti
kao, primjerice, u SAD, a jedan od razloga je i drugo govorno područje.
Splitska banka (2010. godine) i Erste banka (2012. godine) dobile su i
52
certifikat usklaĎenosti s PCI DSS (Payment Card Industry Dana Security
Standard) standardom, koji izdaje Payment Card Industry Security Standards
Council. Time je potvrĎena sukladnost kartičnog poslovanja banaka s visokim
meĎunarodnim sigurnosnim standardom platnih sustava.
Sustav zaštite Zagrebačke banke d.d. usklaĎen je s najvišim sigurnosnim
standardima, te se neprestano kontrolira od strane eksternih i internih
revizora, te neovisnih procjenjivača sigurnosti (npr. Qualified Security
Assessor for PCI DSS). U ovoj banci nisu zabiljeţeni sigurnosni incidenti koji
bi prouzročili značajnu materijalnu ili reputacijsku štetu. U Raiffeisen banci
svi sustavi prevencije odnosno akcije po takvim dogaĎajima definiraju se
putem detaljno razraĎenih procedura i provjera, dok u Hypo banci sigurnost
sustava pojačavaju i vanjski suradnici.
Kontinuirana ulaganja u sigurnost u hrvatskim bankama smanjuju potencijalne
prijetnje sustavu na najmanju moguću m jeru.
4.4. IMPLEMENTACIJA STANDARA ISO 27001:2005
Polazeći od činjenice da sigurnost informacija nije isključivo u domeni
informatičkih tehnologija, jer podrazumijeva znatno više od primjene
suvremenih tehničkih rješenja koja nudi informatička tehnologija, r azvijeni su
odgovarajući standardi koji pokrivaju ovo područje. Kao odgovor na potrebu
za ureĎenjem sustava upravljanja sigurnosti informacija razvijen je standard
ISO 27001:2005 – Sustav sigurnosti informacija, koji sadrţi zahtjeve za
djelotvornu primjenu sustava upravljanja sigurnosti informacija. Osim ovog
standarda, objavljen je i standard ISO 27002 kao dobra poslovna praksa u
obliku uputa za primjenu standarda ISO 27001. Sustav upravljanja sigurnosti
informacija je dio sveukupnog sustava upravljanja, zasnovanog na pristupu
poslovnom riziku, s ciljem uspostave, primjene, nadzora, preispitivanja,
53
odrţavanja i poboljšanja sigurnosti informacija te primjene standarda ISO
27001 mora biti strateška odluka organizacije. Zahtjevi sadrţani u ovom
meĎunarodnom standardu su generički što znači da su primjenjivi u svim
organizacijama, bez obzira na njihovu vrstu, veličinu i djelatnost.
Zahtjevi ISO standarda 27001 sadrţani su u pet poglavlja:
Opće odredbe za sustav upravljanja sigurnosti informacija – od
organizacije se zahtijeva da, poštujući sustavni i procesni pristup,
uspostavi, dokumentira, primjeni, nadzire, preispita, odrţava i poboljšava
dokumentirani sustav upravljanja sigurnosti informacija,
Odgovornost menadţmenta – sadrţi zahtjeve menadţmenta da osigura
djelotvorno provoĎenje zahtijeva iz prethodnog poglavlja na način da
uspostavi sustav nadleţnosti i odgovornosti za svaku aktivnost koja se u
sustavu provodi, definira politiku, ciljeve i planove zaštite informacija,
osigura sve potrebne resurse i provode stalnu obuku zaposlenika u
području sigurnosti informacija.
Interne provjere sustava upravljanja sigurnosti informacija koje je
organizacija obvezna provoditi u redovnim vremenskim intervalima kako
bi utvrdila da li kontrole, kontrolni ciljevi, procesi i procedure sustava
upravljanja sigurnosti informacija zadovoljavaju navedene uvjete.
Preispitivanje sustava upravljanja sigurnosti informacija od strane
menadţmenta zahtijeva preispitivanje ovog sustava u planiranim
vremenskim intervalima kako bi se osigurala njegova stalna prikladnost,
adekvatnost i efektivnost. Ovo preispitivanje treba obuhvatiti procjenu
mogućnosti poboljšanja, kao i procjenu potreba za izmjenama u okviru
sustava, uključujući politiku i ciljeve zaštite.
Poboljšanje sustava upravljanja sigurnosti informacija definira zahtjeve za
stalnim poboljšanjem efikasnosti i efektivnosti sustava kroz provoĎenje
politike zaštite informacija, ispunjavanje ciljeva zaštite, zatim primjenu
54
rezultata provjere, analizu nadgledanih dogaĎaja, korektivnih i
preventivnih mjera, kao i preispitivanje od strane menadţmenta.
Certificiranjem sustava upravljanja izgraĎenog na osnovi standarda ISO
27001:2005, financijska institucija potvrĎuje svoju posvećenost zaštiti
podataka prema vaţećoj zakonskoj regulativi koju je pripisala Hrvatska
narodna banka o informacijskoj sigurnosti. Privredna banka Zagreb je prva
banka koja je implementirala ISO 27001 u svoj sustav, no veći dio banaka u
Hrvatskoj započela je ili će započeti projekte uvoĎenja ISO 27001 iz razloga
zakonske regulative. Privredna banka Zagreb d.d. dobila je certifikat za
sigurnost ISO 27001:2005 za PBZ365@net, uslugu Internet bankarstva koja je
zahvaljujući dvofaktorskoj identifikaciji i pinom i čitačem kartica,
najsigurniji oblik elektroničkog bankarstva. Privredna banka Zagreb d.d. je
uspostavom sustava sigurnosti informacija i dobivanjem certifikata uočila
odreĎenu marketinšku korist.
Dobivanjem certifikata financijske institucije pokazuju postojećim i
potencijalnim poslovnim partnerima da je poduzeće definiralo i aktiviralo
efikasne procese zaštite informatičkih resursa pomaţući na taj način izgraditi
odnose povjerenja s poslovnom okolinom.
55
5. ZAKLJUČAK
Pri obavljaju svojih poslovnih aktivnosti financijske institucije uvelike ovise
o obradi i uporabi informacija. Narušavanje temeljnih načela informacijskog
sustava moţe imati negativne posljedice za financijsku instituciju, pa je nuţno
primjerno zaštititi informacije i upravljati sigurnošću informacijskog sustava
financijske institucije. To je posebice vaţno u današnjem okruţenju, jer
financijske institucije nisu izolirani sustavi, već su povezane s drugim
informacijskim sustavima. Upravljanje sigurnošću informacijskog sustava
podrazumijeva, izmeĎu ostalog, identificiranje potreba (radi ostvarivanja
zadovoljavajuće razine sigurnosti) te postizanje i odrţavanje zadovoljavajuće
razine sigurnosti informacijskog sustava.
Iz podataka iznijetih u ovom diplomskom radu jasno je vidljiv dinamičan rast
elektroničkog kriminala u financijskim institucijama s razvojem informatičk e
tehnologije, a posljedice su sve opasnije. Računala i računalna tehnologija
mogu se zloupotrebljavati na razne načine u svrhu elektroničkog kriminaliteta ,
a sam kriminalitet koji se realizira pomoću računala moţe imati oblik bilo
kojeg od tradicionalnih oblika kriminaliteta, kao što su kraĎe, utaje,
pronevjere, dok se podaci koji se neovlašteno pribavljaju zloupotrebom
informacijskih sustava mogu na razne načine koristiti za stjecanje protupravne
koristi.
U elektroničkom kriminalu na financijske instituc ije najčešće sudjeluju četiri
skupine kriminalaca: developeri malwarea, hakeri, cyber kriminalci i mule.
Većina napada na financijske institucije počinje od developera koji razvijaju
malware i alate za kraĎu podataka i informacija s bankovnih računa i prod aju
ih hakerima. Hakeri te alate iskorištavaju za kraĎu podataka i te podatke
prodaju cyber kriminalcima. Već pri tim transakcijama elektronički kriminalci
prisvajaju protupravnu korist, a da nisu još posegnuli za novčanim sredstvima
klijenata banke. Posljednja faza tih operacija uključuje cyber kriminalce koji
kontaktiraju mule, odnosno “vojnike na ulici” koji krivotvore kartice s
56
ukradenim podacima i podiţu novac ili ga troše na kupovinu različitih stvari
na Internetu.
Godišnja stopa rasta kriminala vezanog za Internet bankarstvo i prijevare na
Internetu s kreditnim karticama, vrlo je visoka, oko 40 %. S obzirom da banke
nadoknaĎuju štete svojim klijentima razumljivo je ulaganje u sigurnost
informacijskih sustava. Poslovanje financijskih institucija, a po sebice banaka,
nedvojbeno je vezano uz informacijske tehnologije. Bez informacijske
tehnologije nema banaka. Stoga banke moraju pratiti tehnološki razvoj i
implementirati ga u svoje poslovanje, a posebice ulagati u sigurnost
informacijskih sustava, na što ih prisiljavaju i regulatorne mjere.
Najveći uzrok narušavanja sigurnosti informacijskih sustava u financijskim
institucijama je “ljudski čimbenik” , pa financijske institucije nastoje educirati
klijente, zaposlenike i poslovne partnere o potrebi zaštite nj ihovih podataka i
otkrivanja prijevara prilikom pristupa financijskim institucijama na Internetu.
Primjena zaštitnih mjera smanjuje izloţenost financijske institucije riziku.
Djelotvorno upravljanje informacijskim sustavom obično zahtijeva
kombiniranje različitih zaštitnih mjera kako bi se osigurala slojevita zaštita
resursa informacijskog sustava. Zaštitne mjere financijske institucije provode
uvoĎenjem novih ili izmjenom postojećih kontrola. Podizanje razine znanja i
svijesti zaposlenika vezanih uz sigurnost i funkcionalnost informacijskog
sustava vaţna je zaštitna mjera.
Veća ulaganja u sigurnost smanjuju izloţenost sustava ili računalne mreţe
riziku. S druge strane, ono izlaţe vlasnika sustava ili računalnih mreţa većim
troškovima i smanjuje profitabilnost, što ujedno dokazuje i postavljenu radnu
hipotezu. Zbog toga je od iznimne vaţnosti odrediti optimalni odnos izmeĎu
ulaganja u sigurnost i postignutih rezultata . To je moguće uz analiziranje
ranjivosti sustava i operativnog rizika. Dobre sigurnosne prakse imaju
pozitivan povrat na investiciju. Tamo gdje nema rizika nema smisla ulagati u
57
zaštitna sredstva, te se implementiraju samo ona zaštitna sredstva koja će biti
opravdana i smislena u pogledu zaštite poslovnih ciljeva organizacije. Šteta
učinjena bilo kojom vrstom napada moţe biti znatno smanjena
implementacijom odreĎene sigurnosne tehnologije i unapreĎenjem dobre
prakse upravljanja operativnim rizikom.
58
LITERATURA
1) Knjige
1. Bača, M. 2004, Uvod u računalnu sigurnost , Narodne novine, Zagreb.
2. Budin, L. et al. 2010, Operacijski sustavi , Sveučilište u Zagrebu, Element,
Zagreb.
3. Čičin-Šain, M., Vukmirović, S. i ČAPKO Z. 2006, Informatika za
informatičko poslovanje , Ekonomski fakultet Sveučilišta u Rijeci, Futura
d.o.o., Rijeka.
4. Dragičević, D. 2004, Kompjutorski kriminalitet i informacijski sustavi ,
Informatorov biro sustav IBS, Zagreb.
5. Leko, V. 2002, Financijske institucije i tržišta , Ekonomski fakultet
Sveučilišta u Zagrebu, Zagreb.
6. Pleskonjić, D. et al. 2007, Sigurnost računarskih sistema i mreža , Mikro
knjiga, Beograd.
7. Stammp, M. 2011, Information security, Principles and prakctice , John
Wiley & Sons, New Jersey.
8. Šutalo, J., Leko, V., Grubišić, N. 1994, Financijski management u praksi ,
Masmedia, Zagreb.
2) Članci
9. Boban, M. 2007, 'Implementacija E-government modela u jedinicama
lokalne samouprave u Republici Hrvatskoj', Zbornik radova Međunarodno
savjetovanje “Lokalna samouprava prema novoj javnoj upravi” ,
Sveučilište u Splitu, Pravni fakultet Split, Split, pp. 85 -113.
10. Protrka, N. 2011, 'Računalni podaci kao elektronički (digitalni) dokazi',
Policijska sigurnost , vol. 20, no. 1, pp. 1-13.
11. Solce, N. 2008, 'The Battlefield of Cyberspace: The inevitable New
Military Branch – The Cyber Force', Journal of Science & Technology,
Albany Law School, 290-307.
59
12. Vuković, H. 2012, 'Kibernetska sigurnost i sustav borbe protiv
kibernetskih prijetnji u Republici Hrvatskoj', National security and the
future, vol. 13, 2012., no. 3., pp. 12-31.
13. Workman, M., Phelps, D. C., Gathegi, J. N. 2013, Information Security for
managers, Jones & Bartlett Learning, New York, 2013.
3) Ostali izvori
14. 2012 DTT Global Financial Services Industry Security Study, Breaking
Barriers, http://www.deloitte.com/assets/ Dcom-Global/Local%20Assets/
Documents/Financial%20Services/dtt_fsi_SecurityStudy2012.pdf ., (7.08.
2013.)
15. Conry-Murrey, A., Weafer, V. 2005, Sigurni na Internetu, Praktični vodič
za siguran rad na Internetu kod kuće, Tiskara Zelina.
16. Čiţmek, A., 'Cyber-terorizam', http://www.hrvatski-vojnik.hr/hrvatski-
vojnik/3632011/cyberter. asp (10.08.2013.)
17. Ekonomski cyber kriminal, http://autopoiesis.foi.hr/wiki.php?name=KM+-
+Tim+04&parent=NULL&page=Ekonomski%20cyber%20kriminal ,
(19.08. 2013.)
18. Erste & Steiermärkische Bank, www.erstebank.hr/hr/Sigurnost/Sigurnost_
Erste_NetBanking_usluge/Sigurna_upotreba_Interneta , (17.08.2013.)
19. Globalni pregled informacione sigurnosti u 2007.,
http://informationsociety serbia.blogspot.com/2007/09/globalni-pregled-
informacione.html, (14.08. 2013.)
20. Hrvatska narodna banka, http://www.hnb.hr/propisi/propisi.htm (17.08. 2013.)
21. Kazneni zakon, Narodne novine, br. 125/11, 144/12.
22. Kompjutorski kriminalitet, http://www.apisgroup.org/sec.html?id=29
(4.08.2013.)
23. Konferencija o hakerskim prijetnjama: I hrvatske banke na udaru
“trojanaca”, http://www. banka.hr/konferencija-o-hakerskim-prijetnjama-
i-hrvatske-banke-na-udaru-trojanaca/print, (20.08.2013.)
60
24. Kriminalci u Hrvatskoj kartičnim prijevarama oštete banke za 37 milijuna
kuna godišnje, http://www.poslovni.hr/mobile/tehnologija/kriminalci -u-
hrvatskoj-karticnim-prijevarama-ostete-banke-za-37-milijuna-kuna-
godisnje-133304, (16.08.2013.)
25. Krsmanović, M. et. al. Efekti primene ISO 27001 – standarda za sistem
menadžmenta sigurnosti informacija , Zbornik radova Yuinfo,
Informaciono društvo Srbije, Kopaonik, 2010., http://www.e-
drustvo.org/proceedings/ YuInfo2010/html/pdf/099.pdf (12.08.2013.)
26. Laws and regulations on information security and business continuity,
http://wiki.iso27001standard.com/index.php?title=Laws_and_regulations_
on_information_security_and_business_continuity#Croatia_.28Hrvatska.2
9 (4.08.2013.)
27. Nacionalni CERT+, http://www.cert.hr/malver/trojanski_konji
(14.08.2013.)
28. 'Neograničena operacija': Hakerska grupa odgovorna za kraĎu 45 milijuna
dolara, http://dnevnik.hr/vijesti/tech/neogranicena-operacija-hakerska-gru
pa-odgovorna-za-kradzu-45-milijuna-dolara---285904.html, (19.08.2013.)
29. Obradović, S. et al., 'Istraţivanja kriminala na računalima', http://www.
menadzment.tf.bor.ac.yu (22.08.2013.)
30. Smjernice za upravljanje informacijskim sustavom u cilju operativnog
rizika 2006, Hrvatska narodna banka, Zagreb.
31. Svjetske financijske institucije strahuju od cybver prijetnji,
http://liderpress.hr/biznis-i-politika/ svijet/-svjetske-financijske-
institucije-strahuju-od-cyber-prijetnji/, (11.08.2013.)
32. Windows, http://windows.microsoft.com/hr-hr/windows-vista/phishing-fil
ter-frequ ently-asked-questions (7.08.2013.)
33. Wynne, M. W.: Cyperspace as a Domain in Which the Air Force Flies and
Fights, http.//www.af.mil/library/speeches/speech.asp?id=283,
(11.08.2013.)
61
POPIS TABLICA
Redni
broj Naslov tablice Stranica
1. Primjeri prijetnja na resurse financijskih institucija 18
2. Pregled i grupiranja financijskih institucija 27
3. Ključne prijetnje sigurnosti financijskim institucijama
po regijama u 2011. godini 31
POPIS SLIKA
Redni
broj Naslov slike Stranica
1. Sigurnost kao proces 13
2. Prijava pokušaja prijevare 50
62
IZJAVA
kojom izjavljujem da sam diplomski rad s naslovom ELEKTRONIČKI
KRIMINALITET U FINANCIJSKIM INSTITUCIJAMA izradila samostalno
pod voditeljstvom prof. dr. sc. Zvonka Čapke. U radu sam primijenila
metodologiju znanstveno-istraţivačkog rada i koristila literaturu koja je
navedena na kraju diplomskog rada. TuĎe spoznaje, stavove, zaključke, teorije
i zakonitosti koje sam izravno ili parafrazirajući navela u diplomskom radu na
uobičajen, standardan način citirala sam i povezala s fusnotama s korištenim
bibliografskim jedinicama. Rad je pisan u duhu hrvatskog jezika.
Studentica:
Martina Biondić
