UNIVERZA V LJUBLJANI · 2013-02-27 · IZJAVA Študentka Polona Novak Vodopivec izjavljam, da sem...
91
UNIVERZA V LJUBLJANI EKONOMSKA FAKULTETA MAGISTRSKO DELO POLONA NOVAK VODOPIVEC
Transcript of UNIVERZA V LJUBLJANI · 2013-02-27 · IZJAVA Študentka Polona Novak Vodopivec izjavljam, da sem...
UNIVERZA V LJUBLJANI
EKONOMSKA FAKULTETA
MAGISTRSKO DELO
POLONA NOVAK VODOPIVEC
UNIVERZA V LJUBLJANI
EKONOMSKA FAKULTETA
MAGISTRSKO DELO
PRISPEVEK STANDARDA ISO 27001 K INFORMACIJSKI
VARNOSTI V SLOVENSKIH PODJETJIH
Ljubljana, oktober 2011 POLONA NOVAK VODOPIVEC
IZJAVA
Študentka Polona Novak Vodopivec izjavljam, da sem avtorica tega magistrskega dela, ki
sem ga napisala v soglasju s svetovalcem prof. dr. Tomažem Turkom, in da v skladu s 1.
odstavkom 21. člena Zakona o avtorskih in sorodnih pravicah dovolim njegove objave na
fakultetnih spletnih straneh.
V Ljubljani, dne 17. 10. 2011 Podpis:
i
KAZALO
UVOD ................................................................................................................................... 1
1 INFORMACIJSKA VARNOST ................................................................................ 5
1.1 Kaj je informacijska varnost .................................................................................. 5
1.2 Zakaj je informacijska varnost potrebna ............................................................... 7
1.3 Ozaveščenost zaposlenih o informacijski varnosti ................................................ 8
1.4 Standard ISO 27001 ............................................................................................ 12
1.4.1 Prednosti certificiranja v skladu s standardom ISO 27001 ............................. 13
1.4.2 Število podeljenih certifikatov ISO 27001 na svetu ........................................ 13
1.4.3 Število podeljenih certifikatov v Sloveniji ...................................................... 14
2 MANAGEMENT VARNOSTNIH INCIDENTOV ................................................ 15
2.1 Kaj je varnostni incident ...................................................................................... 15
2.2 Politika managementa varnostnih incidentov ...................................................... 20
2.3 Procesi managementa varnostnih incidentov ...................................................... 20
2.3.1 Načrtovanje in priprava na varnostne incidente .............................................. 20
2.3.2 Uporaba ........................................................................................................... 20
2.3.3 Odgovor na varnostne incidente ...................................................................... 21
2.3.4 Pregled in izboljšave managementa varnostnih incidentov ............................. 21
2.3.5 Izvedba izboljšav ............................................................................................. 21
2.4 Prednosti managementa varnostnih incidentov ................................................... 22
2.5 Stroški povezani z varnostnimi incidenti............................................................. 23
3 OBVLADOVANJE TVEGANJ ............................................................................... 28
3.1 Ocena tveganja .................................................................................................... 30
3.2 Varnostne grožnje ................................................................................................ 31
3.3 Ranljivosti ............................................................................................................ 35
4 EMPRIČNA RAZISKAVA ...................................................................................... 36
SKLEP ................................................................................................................................ 64
LITERATURA IN VIRI ................................................................................................... 67
PRILOGE
KAZALO SLIK
Slika 1: Vlaganje v programe ozaveščanja o varovanju informacij v Združenih državah
Amerike ............................................................................................................................... 10
Slika 2: Ozaveščanje o informacijski varnosti v Sloveniji .................................................. 11
Slika 3: Področja ozaveščanja zaposlenih informacijski varnosti v Združenih državah
Amerike ............................................................................................................................... 12
Slika 4: Število izdanih certifikatov ISO 27001 na svetu .................................................... 14
Slika 5: Namerna in naključna odtekanja informacij .......................................................... 16
Slika 6: Gibanje števila varnostnih incidentov od leta 1999 do leta 2005 .......................... 17
ii
Slika 7: Oblike varnostnih incidentov od leta 2005 do leta 2009 ....................................... 18
Slika 8: Shema življenjskega cikla managementa varnostnih incidentov ........................... 22
Slika 9: Stroški namernih in nenamernih varnostnih incidentov znotraj podjetja .............. 23
Slika 10: Stroški varnostnih incidentov na zaposlenega po letih ........................................ 24
Slika 11: Stroški kraje podatkov v Združenih državah Amerike po letih ........................... 25
Slika 12: Stroški varnostnih incidentov po oblikah varnostnih incidentov ......................... 26
Slika 13: Odstotek IT proračuna za zagotavljanje informacijske varnosti .......................... 27
Slika 14: Odstotek IT proračuna za zagotavljanje informacijske varnosti .......................... 27
Slika 15: Proces obvladovanja tveganj ................................................................................ 29
Slika 16: Klasifikacija varnostnih groženj po OSA modelu ............................................... 32
Slika 17: Diagram poteka napada ........................................................................................ 32
Slika 18: Delitev varnostnih groženj po pogostosti ............................................................ 33
Slika 19: Izkušnje na področju informacijske varnosti ....................................................... 37
Slika 20: Ste certificirani v skladu z zahtevami standarda ISO 27001 ............................... 38
Slika 21: Razlogi za certificiranje v skladu z zahtevami standarda ISO 27001 .................. 38
Slika 22: Ali ste na kakršen koli način sodelovali pri vpeljavi SVVI ................................. 39
Slika 23: Ali imate organizirano posebno organizacijsko enoto za informacijsko varnost 39
Slika 24: Ali imate skupino strokovnjakov, ki se ukvarja z managementom varnostnih
incidentov ............................................................................................................................ 40
Slika 25: Ali imate sprejeto politiko varovanja informacij ................................................. 41
Slika 26: Ali imate sprejeto politiko managementa varnostnih incidentov ........................ 41
Slika 27: Ali izvajate management varnostnih dogodkov in incidentov ............................. 42
Slika 28: Ali merite kontrolo management varnostnih incidentov ..................................... 42
Slika 29: Ali prijavljate varnostne incidente ....................................................................... 43
Slika 30: Načrt managementa varnostnih incidentov .......................................................... 44
Slika 31: Ali izvajate izboljšave managementa varnostnih incidentov ............................... 45
Slika 32: Koliko kontrol v skladu s standardom ISO 27002 ste v podjetju uvedli ............. 45
Slika 33: Izvajanje programov ozaveščanja za zaposlene ................................................... 46
Slika 34: Kolikšen odstotek proračuna za IT je bil v zadnjem poslovnem letu namenjen za
zagotavljanje informacijske varnosti ................................................................................... 47
Slika 35: Poskusi varnostnih dogodkov v skupinama podjetij ............................................ 63
Slika 36: Varnostni incidenti v skupinama podjetij ............................................................ 64
KAZALO TABEL
Tabela 1: Število notranjih varnostnih incidentov od leta 1996 do leta 2002 (v odstotkih) . 8
Tabela 2: Število notranjih varnostnih incidentov od leta 2003 do 2005 (v odstotkih) ........ 9
Tabela 3: Povzetek prvega sklopa vprašanj ........................................................................ 48
Tabela 4: Ranljivost podjetij dela (v odstotkih) .................................................................. 51
Tabela 5: Na informacijsko varnost vpliva (v odstotkih) .................................................... 52
Tabela 6: Spremenljivke ...................................................................................................... 54
iii
Tabela 7: Poskusi varnostnih dogodkov po skupinah ......................................................... 55
Tabela 8: Poskusi varnostnih dogodkov .............................................................................. 56
Tabela 9: Varnostni incidenti po skupinah .......................................................................... 57
Tabela 10: Varnostni incidenti ............................................................................................ 59
Tabela 11: Primerjava poskusov varnostnih dogodkov z varnostnimi incidenti ................. 59
Tabela 12: Primerjava dejavnika Tehnologija ..................................................................... 60
Tabela 13: Primerjava dejavnika Človek............................................................................. 60
Tabela 14: Primerjava dejavnika Višja sila ......................................................................... 61
Tabela 15: Primerjava varnostnih groženj med skupinama................................................. 62
1
UVOD
Področje informacijske varnosti je kompleksno in večje, kot je podjetje, več časa in
denarja terja zagotavljanje skladnosti z zahtevami sistema vodenja varovanja
informacij. Zato je pričakovano, da se za skladnost z zahtevami sistema vodenja
varovanja informacij v večini primerov odločajo srednje velika in velika podjetja. Tudi
v Republiki Sloveniji (v nadaljevanju Slovenija) ni nič drugače kot v mednarodnem
okolju. Vsa slovenska certificirana podjetja so ali srednje velika ali pa velika podjetja.
Vendar pa v slovenskem prostoru na področju sistema vodenja varovanja informacij
nimamo svežih znanstvenih raziskav, torej nimamo niti podatkov, ali sistem vodenja
varovanja informacij izpolnjuje pričakovanja certificiranih podjetij, kateri so razlogi za
certificiranje skladno z zahtevami sistema vodenja varovanja informacij, kateri
dejavniki vplivajo na zagotavljanje informacijske varnosti in podobno. V zadnjih letih
se poudarja sistem vodenja kakovosti storitev, kar potrjuje tudi izredno veliko število
certificiranih slovenskih podjetij. Ravno nasprotno pa kaže število certificiranih
podjetjih, ki so skladna z zahtevami standarda ISO/IEC 27001:2005 (v nadaljevanju
ISO 27001).
Problematika in problem magistrskega dela. Živimo v času, ko poslovanje brez
podpore informacijskih sredstev ni več mogoče. Tudi sicer nas informacijski sistemi
spremljajo na vsakem koraku in si brez njih življenje težko predstavljamo. Zaradi vse
večje odvisnosti od informacijskih sistemov in pravih informacij ter vse večje
globalizacije poslovanja je vedno pomembnejša njihova zaupnost, razpoložljivost in
celovitost. Vse premalo je zavedanja o nevarnostih, ki so jim informacijski sistemi
podvrženi (Rakovec, 2005, str. 1).
Informacijski sistem ni edini sistem, ki je podvržen nevarnostim, temveč je temu
podvržena celotna sodobna informacijska družba s pripadajočimi informacijskimi
sredstvi. Po raziskavi Raba interneta v Sloveniji (2010, v nadaljevanju RIS) slovenske
uporabnike interneta najbolj skrbi varnost pri uporabi interneta, prav tako je zaslediti v
poročilu SI-CERT za 2010 (2011, str. 2), da je v večini primerov prijavljenih varnostnih
incidentov šlo za vprašanja s področja varnostnih incidentov na omrežju. Izsledki
policije (Slovenska policija, 2010) kažejo na porast števila obravnavanih kaznivih
dejanj s področja računalniške kriminalitete med 60 in 110 odstotki. V polletju 2010 je
bilo tako obravnavanih za 107 odstotkov več kaznivih dejanj kot v istem obdobju leta
2009. SI-CERT poroča (2011, str. 2), da je bilo v letu 2010 v primerjavi z letom 2009
samo v računalniških omrežjih opaziti porast varnostnih incidentov za 43 odstotkov.
Med 478 obravnavanimi varnostnimi incidenti so najpogostejši zlonamerna koda, vdor
v računalnik in spletno ribarjenje. V primerjavi z letom 2009 se je povečal odstotek
vdorov v računalnik za 31 odstotkov, preiskava zlonamerne kode za 15 odstotkov,
spletno ribarjenje pa za 12 odstotkov. Po raziskavi Inštituta za Informacijsko varnost
2
(2004, str. 15) je bil največji varnostni incident v slovenskih podjetjih okužba z
računalniškimi virusi, sledijo odpoved sistema ali poškodba podatkov ter zloraba
interneta s strani zaposlenih. Anketirana slovenska podjetja so prav tako v veliki večini
potrdila, da pričakujejo enako število varnostnih incidentov v prihodnjem letu in da jih
bo vse težje odkrivati. Ena četrtina jih je bila mnenja, da bo varnostnih incidentov še
več. Več ko polovica pa jih je izjavila, da bi potrebovali več nasvetov s področja
varovanja informacij.
Raziskava Hudoklin in Šmitek (1994, str. 30) je pokazala, da problemi v zvezi z
varnostjo informacijskega sistema (v nadaljevanju varnost IS) niso tujka v slovenskih
podjetjih in da je stopnja ozaveščenosti o varnosti IS in o politikah varovanja informacij
v primerjavi z mednarodnim okoljem na nižji ravni. Raziskava o globalni varnosti
(PricewaterhouseCoopers, 2011), kjer so raziskovalci spraševali po razlogih, ki
opravičujejo investicije v informacijsko varnost, je pokazala, da je med najpogostejšimi
7 dejavniki tudi zniževanje varnostnih tveganj, vendar šele na predzadnjem mestu. Na
prvem mestu prednjači pravno/zakonodajni dejavnik. Po raziskavi Ernest & Young
(2009, str. 11) programi ozaveščanja, ki jih izvajajo v podjetjih, ne prinašajo takšnega
učinka, kot bi ga podjetja želela. Niti ni zaslediti, da bi podjetja več vlagala v te
programe.
Ker je področje informacijske varnosti kompleksno, je hkrati tudi težje merljivo. Vendar
je bilo kljub vsemu opravljenih veliko raziskav, ki govorijo o pozitivnih učinkih
uvajanja sistema vodenja varovanja informacij (v nadaljevanju SVVI). Justin (2010, str.
36) trdi, da z uvedbo SVVI podjetja obvladujejo tveganja, kot so človeški dejavniki,
računalniški sistemi, tehnologija, naravni vplivi okolja in drugi. Horjak (2007, str. 3)
ugotavlja, da ima ISO 27001 vpliv na ekonomsko uspešnost, konkurenčno prednost
podjetja, ugled podjetja, zaupnost, celovitost, razpoložljivost informacij ter
obvladovanje tveganj. Podjetja, ki svoje delovanje uskladijo z ISO 27001, bodo imela
prednost pri sklepanju novih poslov tako doma kot okviru Evropske unije, prav tako pa
tudi v poslovanju z drugimi državami v svetu. Park, Jang in Park (2010, str. 1012)
trdijo, da z razvojem informacijskih tehnologij in s širitvijo uporabe interneta naraščajo
tudi varnostna tveganja, kot sta hekanje in virusi, zato podjetja zahtevajo celovit in
sistematičen SVVI. Nenehne izboljšave SVVI in certificiranje v skladu s standardom
ISO 27001 pozitivno vplivajo na uspešnost poslovanja. Podjetja tudi prepoznajo učinke
certificiranja v skladu s standardom ISO 27001 in sčasoma preprečijo varnostne
incidente z nenehnimi izboljšavami SVVI.
Wright (2006, str. 4) navaja naslednje prednosti merjenja informacijske varnosti v
skladu s standardom ISO 27001 ob predpostavki, da podjetja pravilno uvedejo
varnostne kontrole:
olajšanje procesa spremljanja učinkovitosti SVVI,
3
preprečevanje nastajajočih varnostnih problemov s proaktivnimi orodji za merjenje
varnosti,
zmanjšanje števila varnostnih incidentov,
večja motivacija zaposlenih,
oprijemljivi dokazi za presojevalce in zagotovilo višjemu vodstvu, da je sistem pod
kontrolo.
Wright (2006, str. 3) tudi razlaga, kaj naj bi podjetja merila in kaj morajo meriti.
Načeloma naj bi merili vse varnostne kontrole v skladu s standardom ISO/IEC
27002:2005 (v nadaljevanju ISO 27002), vendar šele ocena tveganja potrjuje izbor in
pomembnost varnostnih kontrol, ki naj bi jih podjetja merila. Merjenje učinkovitosti
SVVI (Wright, 2006, str. 7) je zapletena naloga za podjetja. Zahteva čas, poštenost,
realističen pristop k odločitvam o meritvah, ki bodo imele učinek na poslovanje,
najpomembneje pa je, da bodo rezultati meritev primerljivi in ponovljivi.
Standard ISO/IEC 18044 (2004, str. 5, v nadaljevanju ISO 18044) med prednostmi
managementa varnostnih incidentov navaja naslednje: izboljšanje informacijske
varnosti, zmanjšanje škodljivih vplivov na poslovanje kot posledica varnostnih
incidentov, okrepitev preventivnih ukrepov, okrepitev procesa prednostnih obravnav
varnostnih incidentov, zbiranje dokazov, večja ozaveščenost o informacijski varnosti
ter zagotavljanje več gradiva za izobraževanje. Strukturiran proces zaznavanja,
obveščanja, ocenjevanja in managementa varnostnih dogodkov ter varnostnih
incidentov omogoča hitro odkrivanje in odgovarjanje na vsak varnostni dogodek ali
varnostni incident in zato izboljša splošno informacijsko varnost.
Politika varovanja informacij, ocena tveganja ter izbira varnostnih kontrol, ki jih bodo
podjetja merila, ne glede na to, ali so certificirana v skladu s standardom ISO 27001 ali
ne, vplivajo na določanje stopnje informacijske varnosti posameznega podjetja.
Certifikat ISO 27001 ni pogoj, da podjetja izvajajo management varnostnih incidentov,
temveč standard podaja priporočila na osnovi dobrih praks, ki jih podjetja ne glede na
dejavnost lahko upoštevajo.
Standard ISO 27002 (2008, str. X) navaja, da je pogosta praksa podjetij, da varnostno
kontrolo managementa varnostnih incidentov izberejo in merijo, kakor tudi s tem
povezano varnostno politiko, pooblastila in odgovornosti, ozaveščanje in izobraževanje
o informacijski varnosti ter druge.
Namen magistrskega dela. Podjetja so podvržena varnostnim grožnjam iz različnih
virov, zato je informacijska varnost pomembna z vidika poslovanja podjetja za
doseganje konkurenčne prednosti, dobičkonosnosti, delovanja v skladu z zakonskimi
predpisi in ugleda podjetja kot zasebnega vidika varovanja podatkov.
4
Namen magistrskega dela je z empirično raziskavo ugotoviti prispevek standarda ISO
27001 k informacijski varnosti v slovenskih podjetjih. Na podlagi strokovnih in
znanstvenih izsledkov bom v magistrskem delu opredelila informacijsko varnost,
standard ISO 27001, informacijska tveganja ter management varnostnih dogodkov in
incidentov. Vsi našteti dejavniki celostno zaokrožujejo namen magistrske naloge.
Raziskovalno vprašanje. Večletne raziskave različnih raziskovalnih institucij, ki jih
prikazujem v naslednjih poglavjih, kažejo, da število poskusov varnostnih dogodkov in
število varnostnih incidentov narašča kljub vse večjemu ozaveščanju javnosti o
možnostih in primerih varnostnih incidentov. Prav tako statistika izdanih certifikatov
ISO 27001 kaže, da narašča število certificiranih ISO 27001 podjetij, kar je zaslediti
tudi v Sloveniji. Raziskovalci posredno podpirajo prispevek certificiranja skladno z
zahtevami ISO 27001, da se z uvedbo SVVI izboljša informacijska varnost, vendar pa
ni znanstvenih raziskav, ki bi neposredno potrjevale, da certifikat ISO 27001 zagotavlja
izboljšanje informacijske varnosti.
V magistrskem delu se posvečam raziskovalnemu vprašanju, ali certificiranje v skladu
z zahtevami standarda ISO 27001 prispeva k izboljšanju informacijske varnosti v
slovenskih podjetjih.
Standard ISO 18044 loči med poskusi varnostnih dogodkov in varnostnimi incidenti, saj
vsak poskus varnostnega dogodka še ni sam po sebi varnostni incident, zato v raziskavi
opazujem število poskusov varnostnih dogodkov in število varnostnih incidentov v
slovenskih certificiranih in necertificiranih podjetjih v preteklem poslovnem letu.
Glede na dejstvo, da se varnostne grožnje spreminjajo v skladu z razvojem
informacijske tehnologije na podlagi dosedanjih raziskav v empiričnem delu magistrske
naloge obravnavam najaktualnejše varnostne grožnje v zadnjih dveh letih.
S primerjavo števila poskusov varnostnih dogodkov ter števila varnostnih incidentov v
certificiranih in necertificiranih slovenskih podjetjih ugotavljam prispevek certificiranja
v skladu z zahtevami standarda ISO 27001 k izboljšanju informacijske varnosti.
Cilji magistrskega dela. V magistrskem delu poleg iskanja odgovora na raziskovalno
vprašanje sledim še naslednjim ciljem:
a) opredelitvi informacijske varnosti v povezavi z zavedanjem o informacijski
varnosti, standardom ISO 27001 in pregledom števila podeljenih certifikatov v
Sloveniji in na svetu;
b) opredelitvi managementa varnostnih incidentov, razlikovanje med poskusi
varnostnih dogodkov in varnostnimi incidenti, vlogo SI-CERT-a v Sloveniji ter
stroški povezanimi z varnostnimi incidenti;
5
c) opredelitvi managementa informacijskih tveganj z oceno tveganja, varnostne
grožnje in ranljivosti ter povezavo med slednjima.
Metodološki pristop. Magistrsko delo vsebuje v prvem, drugem in tretjem delu
poglobljen teoretično-analitični pregled strokovne literature, znanstvenih razprav,
raziskav ter člankov predvsem tujih strokovnjakov s področja obravnavane teme. Ti deli
magistrskega dela so analizirani s pomočjo opisne metode ter metode kompilacije, s
katerima združujem spoznanja mnogih avtorjev predvsem s področja informacijske
varnosti ter managementa varnostnih incidentov.
Četrti, empirični del magistrskega dela, pa temelji na statističnem sklepanju na podlagi
zbranih empiričnih podatkov.
Magistrsko delo zaokrožujem s sklepnim poglavjem, kjer ugotovitve prejšnjih poglavij
povezujem z raziskovalnim vprašanjem.
Omejitve magistrskega dela. V raziskavi se osredotočam le na varnostne grožnje, ki so
trend zadnjih dveh let in ki so jih prepoznala podjetja, ki že več let statistično spremljajo
in izdajajo poročila o globalnem stanju informacijske varnosti. Slovenska podjetja lahko
aktualne varnostne grožnje poznajo v večji ali manjši meri, kar vpliva na rezultate
raziskave.
Dopuščam tudi možnost, da podjetja ne zaznajo vseh poskusov varnostnih dogodkov in
varnostnih incidentov oziroma da imajo podjetja tako politiko varovanja informacij, ki
preprečuje sporočanje podatkov o varnostnih dogodkih in incidentih v javnost, kar zopet
vpliva na rezultate raziskave.
Raziskava o prispevkih certificiranja v skladu s standardom ISO 27001 k izboljšanju
informacijske varnosti je doprinos dosedanjim spoznanjem akademski javnosti in
izpostavlja nova vprašanja za raziskovanje. Strokovni javnosti prinaša nova spoznanja
in smernice za vpeljavo SVVI in za odločitev o certificiranju v skladu z zahtevami
standarda ISO 27001.
1 INFORMACIJSKA VARNOST
1.1 Kaj je informacijska varnost
Informacijska varnost se je pojavila še pred razvojem prvega računalnika, in je stara kot
je stara informacija sama. Od takrat, ko se je informacija začela posredovati, shranjevati
in obdelovati, je potrebovala zaščito. To pa sega v obdobje, ko so se ljudje začeli učiti
pisati. Julij Cezar je v prvem stoletju zasnoval šifriranje sporočil (angl. Caesar cipher)
6
za svoje prijatelje z namenom, da bi sporočila zaščitil pred prestrezanjem (Dlamini,
Eloff & Eloff, 2009, str. 190).
Informacijska varnost pomeni varovanje podatkov in informacijskih sistemov pred
nezakonitim dostopom, uporabo, razkritjem, ločitvijo, spremembo ali uničenjem. Izrazi
informacijska varnost, varovanje računalniških sistemov in varstvo informacij se
pogosto uporabljajo kot sinonimi. Kljub temu da so ta področja v medsebojnem odnosu
in si delijo skupne cilje varstva zaupnosti, neokrnjenosti in razpoložljivosti informacij,
obstajajo med njimi komaj opazne razlike. Informacijska varnost je pojmovana kot
zaupnost, neokrnjenost in razpoložljivost podatkov ne glede na njihovo obliko:
elektronsko, tiskano ali katero drugo. Informacijska varnost je proces, ki se izvaja varno
in vztrajno zaradi varstva informacij in informacijskih sistemov pred nepooblaščenimi
vdori, uporabo, razkritjem, razdorom, modifikacijo ali distribucijo. Nikoli končan
proces informacijske varnosti vključuje nenehno šolanje, ocenjevanje, varovanje,
nadzor in odkrivanje, reakcijo na slučaje in popravila, dokumentacijo in pregled
(povzeto po Wikipediji, 2011).
Saksida (2010, str. 12) razlaga, da se informacijsko varnost najpreprosteje opredeli kot
vedo, ki se ukvarja z varovanjem informacij (elektronskih, papirnatih, video, glasovnih
in drugih) pred nepooblaščenim dostopom, razkritjem, uničenjem, spremembo ali
nerazpoložljivostjo.
Informacija je sredstvo, ki je kot vsako drugo sredstvo pomembna za poslovanje
podjetja in ki posledično potrebuje primerno zaščito. Informacije so izpostavljene vse
večjemu številu in vse večjim raznolikostim groženj in ranljivostim. Informacija obstaja
v več oblikah, kot na primer natisnjena, napisana na papir, elektronsko shranjena,
poslana po navadni pošti ali elektronski pošti, snemana ali izrečena v pogovoru. Ne
glede na to, v kakšni obliki se pojavlja in kako se prenaša ali shranjuje, jo je potrebno
ustrezno varovati. Informacijska varnost je zaščita informacij pred velikim obsegom
groženj z namenom zagotavljanja neprekinjenega poslovanja, minimiziranja poslovnega
tveganja in maksimiziranja donosnosti naložb ter poslovnih priložnosti (ISO 27002,
2005, str. VIII).
Fernandez in Nobukazu (2010, str. 565) opredeljujeta varnost kot kategorijo kakovosti,
ki je ni mogoče številčno zmeriti. Opredeljujeta jo v relativnem pomenu do drugega
sistema ali s kazalci, da sistem izpolnjuje prej definirane varnostne zahteve.
Shultz (2006, str. 315316) opozarja, da se informacijska varnost spreminja predvsem
zaradi vloge in trendov razvoja informacijske tehnologije. Spremembe so pričakovane
na naslednjih področjih:
a) rast računalniškega kriminala zaradi ustvarjanja profita,
7
b) rast ciljanih napadov,
c) bolj izpopolnjena škodljiva programska oprema,
d) rast števila certificiranih podjetij,
e) nevarnosti mobilne tehnologije in
f) razvoj tehnologije.
Po standardu ISO 27002 (2008, str. X) so glavne tri kategorije informacijske varnosti:
a) razpoložljivost informacij: zagotavljanje, da pooblaščeni uporabniki lahko
dostopajo do informacij in sredstev, ko je to potrebno;
b) zaupnost: zagotavljanje, da je informacija dostopna samo tistim, ki imajo ustrezna
pooblastila in
c) celovitost: varovanje zanesljivosti in popolnosti informacije ter procesnih metod.
V magistrskem delu z izrazom informacijska varnost opredeljujem različne preventivne
in korektivne varnostne ukrepe, ki jih izvajajo podjetja z namenom zagotavljanja
razpoložljivosti, zaupnosti in celovitosti informacij.
1.2 Zakaj je informacijska varnost potrebna
Grožnje, kot so zlonamerna koda, nepooblaščen vstop v informacijski sistem,
neprekinjeno poslovanje in drugo, so z razvojem tehnologije vse pogostejše, vedno bolj
ambiciozne, predrzne in prefinjene. Mnoga podjetja o informacijski varnosti razmišljajo
kot o komponenti, ki jo bodo dodali, ko bodo imeli čas (povzeto po Primožič, 2007, str.
40).
Na drugi strani pa so informacije eden temeljnih virov sodobnega poslovanja in ključno
orodje za odločanje. Zaradi tega mora biti vzpostavitev dobrega sistema vodenja
varovanja informacij strateški cilj vsakega sodobnega podjetja. Na tak način lahko
podjetja dosežejo neprekinjeno poslovanje, zmanjšajo poslovna tveganja in stroške,
povezane z informacijsko varnostjo, obvarujejo dobro ime na konkurenčno neizprosnem
trgu ter zagotovijo skladnost z veljavno področno zakonodajo (Saksida, 2010, str. 13).
Da lahko podjetja dosežejo ustrezen nivo informacijske varnosti, je potrebno poiskati
optimalno razmerje med varnostjo, povezano z zaposlenimi, varnostjo, povezano s
fizičnim varovanjem, in varnostjo, povezano z organizacijo. Pri tem se morajo podjetja
zavedati, da stoodstotne varnosti v praksi ni mogoče doseči, in to ne glede na to, koliko
denarnih sredstev vložijo v zagotavljanje informacijske varnosti.
Z naraščanjem števila varnostnih ukrepov hitro pada verjetnost zlorab, vendar pa prav
tako hitro (eksponentno) narašča težavnost uporabe sistema. Podjetja se znajdejo v
8
krogu varnosti, stroškov in enostavnosti uporabe ter iščejo kompromise (povzeto po
Primožič, 2007, str. 40).
Absolutno varen sistem je popolnoma neuporaben (Niekerk & Solms, 2010, str. 476).
1.3 Ozaveščenost zaposlenih o informacijski varnosti
Po raziskavi CSI/FBI Computer Crime and Security Survey (2002) ter Hone in Eloff
(2009, str. 311) so v varnostne grožnje v največji meri vpleteni ljudje, zato večina
varnostnih incidentov izvira iz notranjosti podjetja, predvsem zaradi malomarnega
obnašanja zaposlenih.
Albrechtsen in Hovden (2009, str. 485) sta v raziskavi ugotovila, da varnostni inženirji
(angl. Information Security Officer) gledajo na uporabnike z vidika varnostnega
tveganja, med tem ko uporabniki opozarjajo nase kot na neizkoriščeno delovno silo.
Pomanjkljiva interakcija med obema skupinama ima za slabost slabše razumevanje
vidikov informacijske varnosti pri obravnavanju dostopov do informacijskih sredstev.
Izkazalo se je, da uporabniki vidijo največjo varnostno grožnjo v socialnemu
inženiringu (angl. Social engineeiring), medtem ko varnostni inženirji vidijo največjo
varnostno grožnjo ravno v uporabnikih in njihovih napakah.
Tabela 1 in 2 prikazujeta odstotke notranjih varnostnih incidentov po letih in po številu
varnostnih incidentov v Združenih državah Amerike. Od leta 1996 pa do leta 2005 je
opaziti, da je bilo odstotkovno največ od 1 do 5 varnostnih incidentov, nato deleži po
številu varnostnih incidentov padajo. Nezanemarljivi in izjemno visoki so tudi odstotki
pri odgovoru "ne vem", kajti ti varnostni incidenti so neopredeljeni.
Tabela 1: Število notranjih varnostnih incidentov od leta 1996 do leta 2002 (v
odstotkih)
Število notranjih varnostnih incidentov
Leto/število od 1 do 5 od 6 do
10
od 11 do
30
od 31 do
60
več kot
60
ne vem
2002 42 13 6 2 1 35
2001 40 12 3 0 4 41
2000 38 16 5 1 3 37
1999 37 16 9 1 2 35
1998 70 20 9 1 1 /
1997 47 14 3, (*) / / 35
se nadaljuje
9
nadaljevanje
Število notranjih varnostnih incidentov
Leto/število od 1 do 5 od 6 do
10
od 11 do
30
od 31 do
60
več kot
60
ne vem
1996 / / / (**) / / /
Legenda: / ni podatka, (*) leta 1996 in 1997 je bila možnost odgovora samo 11 ali več, (**) Leta 1996
niso postavljali vprašanja
Vir: CSI/FBI Computer Crime and Security Survey,What State Business and Technology Managers Need
to Know, 2002.
Tabela 2: Število notranjih varnostnih incidentov od leta 2003 do 2005 (v odstotkih)
Leto/število od 1 do 5 od 6 do 10 nad 10 ne vem
2005 46 7 3 44
2004 52 6 8 34
2003 45 11 12 33
Vir: CSI/FBI Computer Crime and Security Survey, 2005, str. 12.
Albrechtsen in Hovden (2010) sta v raziskavi ugotovila, da zadostno število programov
ozaveščanja o informacijski varnosti izboljša zavedanje in obnašanje uporabnikov.
Področja, kjer so uporabniki zaznali največ sprememb, so kartično identificiranje,
zaklepanje osebnega računalnika, zavedanje o varnostnih incidentih in poročanje o
varnostnih incidentih. Uporabniki so izrazili naslednje najpogostejše razloge, ki so
vplivali na spremembe zavedanja in obnašanja: izvajanje delavnic, članki na intranetnih
straneh podjetja, vprašalniki in drugo.
Slika 1 prikazuje, koliko odstotkov poračunana za informacijsko varnost vlagajo
ameriška podjetja v programe ozaveščanja o informacijski varnosti, in sicer 43
odstotkov podjetij vlaga v programe ozaveščanja o informacijski varnosti manj kot 1
odstotek poračunana za informacijsko varnost; 31 odstotkov podjetij vlaga od 1 do 5
odstotkov, 15 odstotkov podjetij vlaga v programe ozaveščanja o informacijski varnosti
610 odstotkov poračunana za informacijsko varnost. Več kot polovica anketirancev je
potrdila, da so ti programi neprimerni (CSI Computer Crime and Security Survey, 2009,
str. 13).
10
Slika 1: Vlaganje v programe ozaveščanja o varovanju informacij v Združenih državah
Amerike
Vir: CSI Computer Crime and Security Survey, 2009, str. 13.
ENISA (2010, str. 10) v priročniku za dvigovanje ozaveščanja zaposlenih o
informacijski varnosti navaja, da bi morali biti uporabniki prva obrambna linija
podjetja. Prav tako je ozaveščanje šele prva stopnja programa, sledita ji trening in
izobraževanje. Podjetja naj ne bi pozabila na merjenje programov ozaveščanja, saj je
izrednega pomena ugotovitev, ali imajo programi dejanski učinek na ozaveščanje o
informacijski varnosti.
Slika 2 prikazuje oblike ozaveščanja zaposlenih o informacijski varnosti v Sloveniji
(Židanik, Šinigoj, Pahor & Kranjc, 2004, str. 36). Kot najbolj uporabljena oblika se
pojavlja ozaveščanje v pogodbah o zaposlitvi, ki jo sklenejo pred zaposlitvijo, na
drugem mestu sledita obliki ozaveščanja pri zaposlitvi in med zaposlitvijo, na tretjem
mestu je izobraževanje zaposlenih, sledi pa še ozaveščanje preko priročnikov, brošur ali
drugih dokumentov.
11
Slika 2: Ozaveščanje o informacijski varnosti v Sloveniji
Vir: Raziskava o informacijski varnosti – RIV2004, 2004, str. 36.
Povzeto po Saksidi (2010, str. 40) naj bi bili programi ozaveščanja izvajani redno, pri
čemer je potrebno upoštevati starost zaposlenih in njihova področja dela. Tisti
zaposleni, katerih področje dela zahteva znanje s področja informacijske varnosti, so
nekoliko bolj ozaveščeni o informacijski varnosti od tistih, katerih področje dela ne
zahteva znanja s področja informacijske varnosti. Prav tako so zaposleni, ki so se
udeležili programov ozaveščanja o informacijski varnosti, nekoliko bolj ozaveščeni.
Višja kot je ozaveščenost o informacijski varnosti, manjša je verjetnost nastopa
varnostnega dogodka ali varnostnega incidenta. Management človeških virov tako
močno vpliva na zagotavljanje celovite in učinkovite informacijske varnosti.
Slika 3 prikazuje področja v zvezi z ozaveščanjem o informacijski varnosti, ki v
največji meri zanimajo anketirance v Združenih državah Amerike (CSI/FBI Computer
Crime and Security Survey, 2005, str. 19).
12
Slika 3: Področja ozaveščanja zaposlenih informacijski varnosti v Združenih državah
Amerike
Vir: CSI/FBI Computer Crime and Security Survey, 2005, str. 19.
Na prvem mestu se s 70 odstotki pojavljata področji politika varovanja informacij in
management informacijske varnosti. Predstavljata enakovredno zanimanje anketirancev.
Sledijo področja točka nadzora dostopa, omrežna varnost in kriptografija. Najnižje
zanimanje, z 28 odstotki predstavlja, načrt varnostnega sistema.
Niekerk in Solms (2010, str. 477) ugotavljata, da je vzpostavitev organizacijske kulture
o informacijski varnosti ključ do obvladovanja človeških napak.
1.4 Standard ISO 27001
Družina mednarodnih standardov na področju informacijske varnosti, ki jih je objavila
organizacija ISO (angl. International Organization for Standardization) v sodelovanju z
IEC (angl. International Electrotechnical), je družina 11-ih objavljenih standardov in
skoraj toliko standardov, ki so še v razvoju. Družina standardov zagotavlja priporočila
za dobro prakso za SVVI, informacijskih tveganj in kontrol. Družina zajema več
področij in je zato uporabna za podjetja vseh velikosti in oblik. Glede na dinamiko
informacijske varnosti SVVI vključuje tudi stalne povratne informacije in izboljšave,
povzete po Demingovem pristopu "plan-do-check-act" (v nadaljevanju PDCA), ki skuša
najti rešitve za spremembe v informacijskih grožnjah in ranljivostih ter vplive
varnostnih incidentov na poslovanje podjetja.
Standard ISO 27001 ima svoje korenine v standardu BS7799 BSI, drugi del, iz leta
2002, in predstavlja zahteve za SVVI, ki jih morajo podjetja izpolnjevati v primeru, da
13
želijo pridobiti certifikat s področja SVVI. Pogosto se ISO 27001 uvaja z ISO 27002
predvsem iz razloga, ker ISO 27002 ponuja nabor možnih ukrepov za nadzor
prepoznanih tveganj, ki so se z leti uporabe v različnih podjetjih po svetu pokazali kot
primeri dobre prakse. V enajstih poglavjih je opisanih 133 kontrol, ki so namenjene
doseganju 39 različnih ciljev. Standarda sta celovita v smislu informacijske varnosti. To
pomeni, da ne obravnavata le informacijske tehnologije in informacij v elektronski
obliki, temveč informacije v vseh možnih oblikah in medijih. V tem smislu je veliko
opisanih kontrol povsem organizacijske narave in niso povezane s tehnologijo.
Standarda sta poslovodno in od posameznih tehnoloških rešitev tudi neodvisni orodji ter
ponujata celovit pregled varovanja informacij pri poslovanju organizacije. Ocena
informacijskih tveganj je osnova za izgradnjo SVVI in njegova temeljna značilnost.
1.4.1 Prednosti certificiranja v skladu s standardom ISO 27001
Park, Jang in Park (2010, str. 1012) so prednosti certificiranja v skladu s standardom
ISO 27001 strnili v naslednje točke:
a) potencialne izgube zaradi morebitnih varnostnih groženj v trenutnem delovanju
informacijskega sistema je mogoče količinsko predvideti in spremljati; uporabniki
razumejo stopnjo tveganja in zmanjšujejo možnosti za tveganja;
b) izboljšati je mogoče stabilnost, učinkovitost, uspešnost in zanesljivost
informacijskih sredstev podjetja;
c) vizualne predstavitve stopnje tveganja s pomočjo ocene tveganja so lahko navdih
uporabnikom pri ozaveščanju o informacijski varnosti;
d) podpora odločitvam v zvezi z varnostnimi ukrepi za območja visokega tveganja z
upoštevanjem prednostnih obravnav ter stroškovne učinkovitosti;
e) potrditev certifikacijskega organa pomeni, da podjetje primerno izvaja management
SVVI in s tem izboljša zaupanje v podjetje in konkurenčnost podjetja;
f) obveščanje poslovnih partnerjev z namenom izboljšanja ugleda podjetja;
g) podpora ciljem podjetja.
1.4.2 Število podeljenih certifikatov ISO 27001 na svetu
Več kot 10.000 podjetij po vsem svetu je že certificiranih v skladu s standardom ISO
27001 ali z enakovrednimi nacionalnimi različicami (IsecT Ltd., 2011). Zaradi različnih
političnih razlogov naj bi bilo do vključno julija 2011 na svetu certificiranih in javnosti
prikazanih samo 7.279 podjetij (International Register of ISMS Certificates, 2011). Iz
Slike 4 je razvidna globalna in enakomerna rast števila certifikatov ISO 27001 v zadnjih
šestih letih. Osveževanje registra certifikatov ISO 27001 poteka na tri do štiri tedne.
14
Slika 4: Število izdanih certifikatov ISO 27001 na svetu
Vir: Number of ISO/IEC 27001(or equivalent) certificates, 2011.
Everet (2011, str. 5) razlaga na primeru Velike Britanije, da se je le peščica podjetij
odločila za certificiranje v skladu z zahtevami ISO 27001, s tem da pa je od dvajset do
štirideset odstotkov srednje velikih in velikih podjetij, ki izpolnjujejo zahteve, vendar se
ne certificirajo. Razlogi za necertificiranje so različni: čas, ki je potreben predvsem v
velikih podjetij za doseganje skladnosti z zahtevami standarda ISO 27001, finančni
vložek, pretekle varnostne izkušnje in drugi.
1.4.3 Število podeljenih certifikatov v Sloveniji
Po pregledu baze števila certifikatov ISO 27001 po državah (International Register of
ISMS Certificates, 2011) naj bi Slovenija imela do vključno z mesecem julijem 2011
certificiranih 18 podjetij. Baza certifikatov sicer ne govori natančneje, ali gre za novo
izdane certifikate ali zgolj za obnovitev veljavnosti certifikata. Slovenija se po
primerjavi števila certifikatov z ostalimi državami sveta tako uvršča na 30. mesto od
skupno 85-ih držav. Vendar je število certificiranih podjetij v Sloveniji višje, kot pa je
stanje v registru, saj 22 slovenskih podjetjih na spletnih straneh oglašuje skladnost z
zahtevami standarda ISO 27001.
15
2 MANAGEMENT VARNOSTNIH INCIDENTOV
Management varnostnih incidentov je proces, ki zaznava, beleži in rešuje vse primere
nezaželenih ali nepričakovanih dogodkov. Njegov namen je obnova normalnega
delovanja storitev informacijske tehnologije v čim krajšem času in s čim manjšimi
motnjami poslovanja. Cilj izvajanja managementa varnostnih incidentov pri
informacijski varnosti je torej zmanjšati škodljiv vpliv teh dogodkov na poslovanje
(Saksida, 2008).
2.1 Kaj je varnostni incident
Standard ISO 18044 (2004, str. 2) opredeljuje varnostni incident v zvezi z informacijsko
varnostjo kot enega ali serijo nezaželenih ali nepričakovanih varnostnih dogodkov, za
katere je zelo verjetno, da bodo ogrozili poslovanje in varovanje informacij. Varnostni
incident se lahko opredeli tudi kot škodljiv ali potencialno škodljiv varnostni dogodek v
informacijskem sistemu, dejanje neposredne ali posredne kršitve varnostne politike
oziroma vsako nezakonito, nepooblaščeno ali nesprejemljivo dejanje, ki lahko prizadene
informacijski sistem. Med najpogostejšimi varnostnimi incidenti je zaslediti izgube
storitev, opreme ali zmogljivosti, okvare ali preobremenitev sistemov, človeške napake,
nezdružljivost s politikami ali smernicami, kršitve sporazumov o fizičnem varovanju,
nenadzorovane spremembe sistema, okvare strojne ali programske opreme in kršitev
dostopa.
Standard ISO 18044 (2004, str. 2) opredeljuje varnostni dogodek v zvezi z
informacijsko varnostjo kot pojav ali spremembo, ki vpliva na sistem, storitev ali
omrežje in ki nakazuje na morebitno kršitev politike varovanja informacij ali druge
okvare zaščite, ob tem pa je lahko varnostno pomemben.
Standard ISO 18044 (2004, str. 39) dalje razlaga, da bi v primeru, ko je varnostni
dogodek v teku in lahko povzroči izgube ter škodo na ugledu podjetja, morala oseba, ki
je varnostni dogodek zaznala, poročati v skladu s sprejetim načrtom managementa
varnostnih incidentov. Informacije o varnostnem dogodku se uporabijo za pravilno
odločanje o tem, ali je varnostni dogodek že postal varnostni incident ali ne in ali so v
tem trenutku potrebni že dopolnilni ukrepi za preprečevanje ali omejevanje izgub
oziroma škode v podjetju.
V ITIL terminologiji varnostni incident pomeni dogodek, ki ni del vsakdanjih operacij
ali storitev in ki povzroči (ali lahko povzroči) moteno delovanje (prekinitev,
upočasnitev ...) te storitve. Primeri kategorij varnostnih incidentov so aplikacije
(storitev ni na voljo ...), strojna oprema (nedostopnost, avtomatski alarmi ...), zahtevki
(pozabljeno geslo ...) (Begunović, 2004, str. 6).
16
Neželen varnostni incident je sestavljen iz treh elementov: grožnje, ranljivosti ter
vpliva, ki ga ima grožnja na ranljivost.
Ranljivost je lastnost sredstva, ki jo lahko grožnje izkoristijo. Če ni niti grožnje niti
ranljivosti, ne more priti do varnostnega incidenta, posledično podjetje nima niti
tveganja.
SI-CERT (2011) povzema nekatere člene po kazenskem zakoniku Republike Slovenije,
ki se nanašajo na primere varnostnih incidentov, kjer so storilci tudi kaznovani v skladu
z veljavno zakonodajo: zlorabe osebnih podatkov, napad in vdor v informacijski sistem
ter nepooblaščen vstop v informacijski sistem.
V nadaljevanju prikazujem rezultate raziskav različnih raziskovalnih institucij, ki več let
spremljajo področje varnostnih incidentov.
Slika 5: Namerna in naključna odtekanja informacij
Vir: Securelist, Global Research on Data Leaks in 2009, 2009.
Slika 5 prikazuje odtekanje informacij, kjer je po raziskavi Securelista (Global Research
on Data Leaks in 2009, 2009) po letih prikazan svetovni trend varnostnih incidentov z
vidika namernosti. Vsa tri leta je zaslediti, da se je število primerov odtekanj informacij
17
povečevalo, predvsem namernih primerov. Raziskovalci te raziskave trdijo, da se bo
trend nadaljeval tudi v prihodnje.
Po raziskavi CSI Computer Crime and Security Survey (2009, str. 1) je o varnostnih
incidentih v Združenih državah Amerike v letu 2009 v primerjavi z letom 2008 zaznati:
a) porast finančnih prevar s z 12 na 19,5 odstotkov,
b) porast okužb z zlonamerno kodo s 50 na 64,3 odstotkov,
c) porast nedosegljivosti storitev z 21 na 29, 2,
d) porast kraj gesel z 9 na 17, 3 odstotkov,
e) porast izmaličenj spletnih strani s 6 na 29,2 odstotkov,
f) upad zlorab brezžičnih omrežij s 14 na 7,6 odstotkov,
g) upad zlorab elektronskih sporočil z 21 na 7,6 odstotkov.
Slika 6: Gibanje števila varnostnih incidentov od leta 1999 do leta 2005
Legenda: abscisna os predstavlja leta, ordinatna os predstavlja gibanje varnostnih incidentov v odstotkih
Vir: CSI/FBI Computer Crime and Security Survey, 2005, str. 13.
18
Slika 6 na strani 17 prikazuje raziskavo CSI/FBI Computer Crime and Security Survey
(2005, str. 13) gibanja različnih varnostnih incidentov med leti 1999 in 2005 v
Združenih državah Amerike. Iz slike je sklepati, da se je po letu 2003 povečalo število
zlorab brezžičnih omrežij in število izmaličenj spletnih strani. Število varnostnih
incidentov, ki jih povzročajo virusi, je po letu 2000 začelo naraščati in je tudi v letu
2005 doseglo višje vrednosti kot pred letom 2000. Podobno gibanje varnostnih
incidentov je zaslediti pri vdorih v sistem in pri sabotažah. Ostale vrednosti primerov
varnostnih incidentov so se do leta 2005 znižale.
Slika 7: Oblike varnostnih incidentov od leta 2005 do leta 2009
Legenda: abscisna os predstavlja leta, ordinatna os predstavlja gibanje varnostnih incidentov v odstotkih
Vir: CSI Computer Crime and Security Survey, 2009, str. 7.
19
Slika 7 na strani 18 pa prikazuje gibanje varnostnih incidentov med leti 2005 in 2009 v
Združenih državah Amerike (CSI Computer Crime and Security Survey, 2009, str. 7). Iz
slike je sklepati, da so zlorabe brezžičnih omrežij do leta 2009 nekoliko upadle in da je
število primerov nedosegljivosti storitve po letu 2008 ponovno začelo naraščati, prav
tako pa tudi število primerov škodljive programske opreme, prisluškovanj za gesli ter
finančnih prevar.
Po raziskavi Ernest & Young (2009, str. 5) so se zunanji izvori napadov povečali za 41
odstotkov v primerjavi z letom poprej, oblike notranjih napadov pa za 25 odstotkov v
primerjavi z letom poprej.
V Sloveniji se varnostni incidenti prijavljajo zelo redko. Na SI-CERT-u (angl.
Slovenian Computer Emergency Response Team, v nadaljevanju SI-CERT), ki je center
za posredovanje pri internetnih incidentih, in ki koordinira obveščanje in reševanje
varnostnih problemov v računalniških omrežjih v Sloveniji, so zasledili, da je večina
prijav varnostnih incidentov s strani fizičnih oseb, pravne osebe se zelo redko odločijo
za ta korak. SI-CERT obravnava varnostne incidente, tj. obvestila o zlorabah, okužbah
in vdorih v računalniške sisteme. Predstavlja kontaktno točko, ki opravlja posredniško
in svetovalno vlogo.
Tudi v svetu stanje ni boljše, saj so v raziskavi CSI/FBI Computer Crime And security
survey (2005, str. 20) raziskovali, kateri so razlogi, da podjetja ne prijavljajo varnostnih
incidentov. Na prvem mestu je s 43 odstotki dejavnik zmanjšanje ugleda podjetja in
vrednosti delnic, s 33 odstotki sledi izkoriščanje pomanjkljivosti podjetja s strani
konkurenčnih podjetij in civilne tožbe (rešitev brez vpletanja oblasti), vprašanje na
kateri organ kazenskega pregona se obrniti pa s 16 odstotki.
V nadaljevanju navajam vire, kamor se lahko podjetja v Sloveniji obrnejo po
informacije ali prijavijo varnostni incident:
a) http://www.cert.si/prijava-incidenta.html
b) http://www.varninainternetu.si
c) http://www.ip-rs.si/varstvo-osebnih-podatkov/pravice-posameznika/kako-vlozim-
prijavo/
d) https://www.spletno-oko.si/
e) http://www.policija.si/
f) osebno, na policijski postaji
g) na telefonskima številkama 113 in 080 1200
20
2.2 Politika managementa varnostnih incidentov
Standard ISO 18044 (2004, str. 4) govori, da bi morala podjetja sprejeti politiko
managementa varnostnih incidentov in pridobiti vidno podporo višjega vodstva ter
drugih interesnih skupin. Politika managementa varnostnih incidentov je prvi in
najpomembnejši del prve faze procesa načrtovanja in priprave na varnostne incidente.
2.3 Procesi managementa varnostnih incidentov
Standard ISO 18044 (2004, str. 2) definira 5 faz managementa varnostnih incidentov, ki
so podobne PDCA modelu skladno s standardom ISO/IEC 9001:2008 (v nadaljevanju
ISO 9001):
a) načrtovanje in priprava na varnostne incidente,
b) uporaba,
c) odgovor na varnostne incidente,
d) pregled in izboljšave managementa varnostnih incidentov ter
e) izvedba izboljšav.
2.3.1 Načrtovanje in priprava na varnostne incidente
Učinkovito izvajanje managementa varnostnih incidentov (Standard ISO 18044, 2004,
str. 4) zahteva primerno načrtovanje in pripravo. Da bo odgovor na varnostne incidente
primeren, je potrebno izvesti naslednje:
a) načrt managementa varnostnih incidentov, ki predstavlja dokumentacijo v zvezi s
procesom managementa varnostnih incidentov in komunikacijo v zvezi z
varnostnimi incidenti;
b) vzpostavitev ISIRT-a (angl. Information Security Incident Response Team) skupine
strokovnjakov, ki ji podjetje zaupa, in ki skrbi za pravilno obravnavo varnostnih
incidentov;
c) programe ozaveščanja o varnostnih incidentih, ki so pomembni predvsem z vidika
pristopa k reševanju varnostnih incidentov in naj bi bili del ozaveščanja o varovanju
informacij;
d) preverjanje delovanja načrtov managementa varnostnih incidentov, ki naj bi jih
podjetja izvajala redno in bi s tem preprečevala morebitne napake pri izvajanju
načrtov managementa varnostnih dogodkov in incidentov.
2.3.2 Uporaba
V fazi uporabe (Standard ISO 18044, 2004, str. 4) je potrebno izvesti naslednje:
21
a) odkrivanje varnostnih dogodkov (ročno ali avtomatizirano) in poročanje v skladu z
navodili za poročanje različnih varnostnih dogodkov ali varnostnih incidentov;
b) zbiranje, ocenjevanje in odločanje v zvezi z varnostnimi dogodki ali varnostnimi
incidenti, kar izvaja za to pooblaščena oseba na podlagi dokazil.
V primeru, da gre za varnostni incident, se proces nadaljuje z naslednjo fazo, v
nasprotnem primeru pa se proces zaključi v tej točki.
2.3.3 Odgovor na varnostne incidente
V fazi odgovora na varnostne incidente se izvaja dejanski odgovor na varnostne
incidente vključno s forenzično analizo. Običajno za ta del procesa skrbi skupina ISIRT,
ki izvaja potrebne korake za odpravljanje varnostnih incidentov, preprečevanje škode,
zbiranje dokaznega materiala ter obveščanje pooblaščenih oseb. Podjetja naj bi imela
pripravljene scenarije za primere različnih tipov varnostnih incidentov in odgovore na te
varnostne incidente v realnem času.
2.3.4 Pregled in izboljšave managementa varnostnih incidentov
Ko podjetje odgovori na varnostni incident, je potrebno izvesti naslednje postopke:
a) nadaljnja strukturirana forenzična obdelava varnostnih incidentov s primernimi
tehnikami in orodji, podprta s podrobnim dokumentiranjem postopka;
b) učenje iz preteklih varnostnih incidentov, na osnovi katerega se posodobi načrt
managementa varnostnih incidentov in programi ozaveščanja zaposlenih o
informacijski varnosti;
c) identifikacija izboljšav v zvezi z varnostjo na podlagi varnostnih incidentov;
d) identifikacija izboljšav načrta managementa varnostnih incidentov na podlagi
varnostnih incidentov, ki pove, kateri deli načrta izvajanja managementa varnostnih
incidentov so bili uspešno izvedeni in katere je potrebno posodobiti.
2.3.5 Izvedba izboljšav
Proces managementa varnostnih incidentov je nenehen proces izboljševanja številnih
varnostnih elementov:
a) izboljšave ocene tveganja in vodstvenih pregledov, ki naj bi upoštevale nenehne
trende varnostnih groženj in ranljivosti;
b) izboljšave v zvezi z varnostjo na nivoju tehničnih izboljšav ali navodil za ravnanje v
primeru varnostnih incidentov;
c) izboljšave v zvezi z načrtom managementa varnostnih incidentov in pripadajoče
dokumentacije, na podlagi prejšnje točke identifikacije pomanjkljivosti.
22
Pred izvajanjem izboljšav naj bi podjetja izvedla temeljito testiranje izboljšav.
Slika 8: Shema življenjskega cikla managementa varnostnih incidentov
Vir: NIST, Computer Security Incident Handling Guide, 2008, str. 3−1.
Slika 8 prikazuje proces managementa varnostnih incidentov po navodilih inštituta
NIST (2008, str. 3−1). Proces managementa varnostnih incidentov po ISO 18044, ki je
opisan v točkah od 2.3.1 do 2.3.5, je vsebinsko primerljiv s procesom managementa
varnostnih incidentov po navodilih inštituta NIST.
2.4 Prednosti managementa varnostnih incidentov
Pri vzpostavljanju učinkovitega SVVI je potrebno najprej vzpostaviti učinkovit sistem
za poročanje o varnostnih dogodkih, ki mora biti zavezujoč za vse zaposlene,
pogodbenike in tretje stranke. Eden glavnih ciljev sistema za poročanje o varnostnih
dogodkih in slabostih pri varovanju informacij je zagotovitev, da se nezaželeni ali
nepričakovani dogodki v zvezi z varovanjem informacij sporočajo na način, ki omogoča
pravočasno sprejetje preventivnih ukrepov. Poleg sistema za poročanje o varnostnih
dogodkih je potrebno vzpostaviti tudi postopke za odzivanje na varnostne incidente in
tako imenovane stopnjevalne postopke, s katerimi se določi, kako ukrepati ob prejemu
varnostnega poročila o varnostnem dogodku. V kolikor je cilj učinkovitost sistema, je
potrebno zagotoviti, da bodo vsi zaposleni, pogodbeniki in uporabniki tretje stranke
beležili in poročali o vsaki opaženi ali sumljivi varnostni slabosti sistema ali storitve
(Saksida, 2008, str. 2 ).
Standard ISO 18044 (2004, str. 5) navaja naslednje prednosti managementa varnostnih
incidentov:
a) izboljšanje informacijske varnosti,
b) zmanjšanje škodljivih vplivov na poslovanje kot posledica varnostnih incidentov,
c) okrepitev preventivnih ukrepov,
d) okrepitev procesa prednostnih obravnav varnostnih incidentov ter zbiranje dokazov,
e) prispevek k upravičljivi rabi proračuna ter ostalih virov za management varnostnih
incidentov,
f) izboljšanje ocene tveganja ter rezultatov vodstvenih pregledov,
23
g) večja ozaveščenost o informacijski varnosti ter zagotavljanje več gradiva za
izobraževanje,
h) zagotavljanje vhodnih podatkov za politiko varovanja informacij ter povezanih
dokumentov za izvajanje presoj.
NIST (2008, str. 2−2) navaja naslednje prednosti managementa varnostnih incidentov:
a) sistematično odzivanje na varnostne incidente,
b) pomoč zaposlenim k hitrejšemu okrevanju po varnostnih incidentih, minimiziranje
poslovne škode ali kraje podatkov ter motenje delovanja storitev,
c) uporaba pridobljenih informacij v zvezi z varnostnimi incidenti za bodoče odzivanje
na varnostne incidente in za zagotavljanje večje zaščite in varnosti podatkov,
d) obravnavanje varnostnih incidentov v skladu z veljavno zakonodajo.
2.5 Stroški povezani z varnostnimi incidenti
V nadaljevanju prikazujem stroške podjetij, ki so doživela varnostni incident ali
varnostne incidente. Polega tega predstavljam tudi primerjavo stroškov varnostnih
incidentov po izvoru, med notranjimi in zunanjimi varnostnimi incidenti.
Patel in Zaveri (2010, str. 352) sta ugotovila, da podjetja težje ovrednotijo finančne
izgube povzročene zaradi kibernetskih napadov (angl. Cyber attacks). Na področju
finančnih izgub, ki jih utrpijo podjetja zaradi kibernetskih napadov, je narejenih zelo
malo raziskav, predvsem zaradi težavnosti ocenjevanja.
Slika 9: Stroški namernih in nenamernih varnostnih incidentov znotraj podjetja
Vir: CSI Computer Crime and Security Survey, 2009, str. 12.
24
CSI Computer Crime and Security Survey je v raziskavi ameriških podjetjih (2009, str.
12, slika 9) o stroških varnostnih incidentov, ki izvirajo znotraj podjetja prikazala, da
neškodoželjni zaposleni povzročijo več škode kot pa škodoželjni zaposleni, in sicer
neškodoželjni zaposleni povzročijo 65,8 odstotkov škode, medtem ko škodoželjni
zaposleni povzročijo 43,8 odstotkov škode.
Liginlal, Sim in Khansa (2009, str. 215) so v raziskavi zapisali, da je informacijska
varnost problem ljudi. Tehnologijo razvijajo in upravljajo ljudje, s tem pa se odpirajo
priložnosti za človeške napake. Naivne napake ljudi, kot sta na primer politika gesel in
slaba ozaveščenost zaposlenih o informacijski varnosti, lahko imajo velik vpliv na
varnostne incidente in izpostavljanje podatkov podjetij javnosti. V raziskavi so
ugotovili, da je bilo v ameriških podjetjih med letoma 2007 in 2008, ko so le-ta utrpela
krajo podatkov, število nenamernih kraj precej višje kot pa število namernih kraj
podatkov.
Slika 10 prikazuje upad stroškov varnostnih incidentov na zaposlenega med leti 2005 in
2009 v Združenih državah Amerike, vendar raziskovalci opozarjajo, da je potrebno s
previdnostjo interpretirati rezultate, saj se je število anketirancev znižalo v primerjavi s
prejšnjimi leti, tako da obstaja možnost, da o finančni škodi zaradi varnostnih
incidentov niti niso poročali (CSI Computer Crime and Security Survey, 2009, str. 10).
Slika 10: Stroški varnostnih incidentov na zaposlenega po letih
Vir: CSI Computer Crime and Security Survey, 2009, str. 10.
25
Slika 11 prikazuje stroške kraje podatkov v ameriških podjetjih na podlagi benchmark
raziskave inštituta Ponemon (2010, str. 13). Viden je trend povečevanja stroškov kraje
podatkov v zadnjih treh letih.
Slika 11: Stroški kraje podatkov v Združenih državah Amerike po letih
Vir: Ponemon, 2010 Annual Study:U.S. Cost of a Data Breach, 2011, str. 13.
Letna raziskava podjetja Javelin Strategy & Research o internetnih prevarah pri
poslovanju je pokazala, da je skupni prijavljeni znesek ukradenega denarja s 56 milijard
dolarjev v letu 2009 upadel na 37 milijard dolarjev v letu 2010. Povprečni ukradeni
znesek pa je s 387 dolarjev iz leta 2009 lani zrasel na 631 dolarjev, kar predstavlja 63-
odstotni porast (Siol, 2011).
CSI Computer Crime and Security Survey (2009, str. 2) poroča, da je v Združenih
državah Amerike povprečna škoda, ki jo povzročijo varnostni incidenti, nižja za leto
2009 (od $289,000 do $234,244 na anketiranca), vendar so rezultati še zmeraj nad
rezultati raziskave za leto 2005 in 2006.
Slika 12 prikazuje rezultate raziskave CSI/FBI Computer Crime and Security Survey
(2005, str. 15) o stroških varnostnih incidentov po oblikah varnostnih incidentov v
Združenih državah Amerike. Prve tri oblike varnostnih incidentov, katerih stroški
močno odstopajo od ostalih, so: virusi, nepooblaščen vstop in kraja intelektualne
lastnine.
26
Sledijo naslednji stroški varnostnih incidentov: onemogočanje storitve, notranje zlorabe
omrežja, kraja prenosnikov, finančne goljufije ali prevare, nepravilna uporaba spletnih
aplikacij, vdori v sistem, zloraba brezžičnega omrežja, sabotaža, zlorabe
telekomunikacij in izmaličenje spletnih strani.
Slika 12: Stroški varnostnih incidentov po oblikah varnostnih incidentov
Vir: CSI/FBI Computer Crime and Security Survey, 2011, str. 15.
Slika 13 prikazuje raziskavo CSI/FBI Computer Crime and Security Survey (2005, str.
5) o odstotku IT proračuna, ki ga podjetja v Združenih državah Amerike namenijo za
zagotavljanje informacijske varnosti. Tako 24 odstotkov podjetij vlaga od 1 do 2
odstotka IT proračuna za zagotavljanje informacijske varnosti, enak odstotek IT
proračuna vlaga od 3 do 5 odstotkov podjetij, 15 odstotkov anketiranih podjetij o tem
nima podatka, 11 odstotkov podjetij vlaga manj kot 1 odstotek, enak odstotek podjetij
pa vlaga od 8 do 10 odstotkov za zagotavljanje informacijske varnosti.
Slika 14 prikazuje odstotke IT proračuna za zagotavljanje informacijske varnosti v
slovenskih podjetjih. Delež, koliko podjetja porabijo za zagotavljanje informacijske
varnosti, je odvisen od narave posla, s katerim se ukvarjajo podjetja. Podjetja, ki so zelo
odvisna od različnih informacijskih tehnologij, v povprečju porabijo več denarja za
zagotavljanje informacijske varnosti kot druga (Židanik, Šinigoj, Pahor & Kranjc, 2004,
str. 41).
27
Slika 13: Odstotek IT proračuna za zagotavljanje informacijske varnosti
Vir: CSI/FBI Computer Crime and Security Survey, 2011, str. 5.
Slika 14: Odstotek IT proračuna za zagotavljanje informacijske varnosti
Vir: Židanik et al, Raziskava o informacijski varnosti – RIV2004, 2004, str. 41.
28
Skoraj 34 odstotkov slovenskih podjetij vlaga v zagotavljanje informacijske varnosti 1
odstotek ali manj proračuna za IT, skoraj 28 odstotkov podjetij vlaga med 2 in 10
odstotki proračuna za IT, 16 odstotkov podjetij nima podatka, skoraj 12 odstotkov
podjetij pa ne vlaga v zagotavljanje informacijske varnosti.
Po primerjavi raziskav RIV2004 in CSI/FBI Computer Crime and Security Survey so
vlaganja slovenskih podjetij v zagotavljanje informacijske varnosti primerljiva z
ameriškimi podjetji.
3 OBVLADOVANJE TVEGANJ
Škornik in Škornik (2010, str. 2) razlagata pomen obvladovanja tveganj kot ukvarjanje z
negotovostjo. Je nenehni proces, ki poteka v podjetju in se sestoji iz prepoznavanja
negotovosti (tveganj in priložnosti), ocenjevanja tveganj z vidika verjetnosti,
pomembnosti in časa njihovega nastajanja ter vrednotenja možnih posledic in s tem
povezanega določanja prednosti tveganj (razvrščanje in prednostno obravnavanje
tveganj), odločanja o tem, kako ravnati in nadzorovati prepoznana tveganja. Tveganje je
verjetnost za morebitno škodo, ki lahko nastane zaradi nekaterih trenutnih procesov ali
dogodka v prihodnosti. Tveganja so prisotna v vsakem vidiku našega življenja. Z vidika
informacijske varnosti je obvladovanje tveganj proces razumevanja in odzivanja na
dejavnike, ki lahko vodijo do okvare pri zaupnosti, celovitosti ali razpoložljivosti
informacijskega sistema. Tveganje je tako verjetnost škode v procesu informacijske
pridobitve oziroma izgube le-te.
Mednarodna organizacija za standardizacijo je razvila standard ISO/IEC 27005:2008 (v
nadaljevanju ISO 27005). Standard opisuje proces obvladovanja tveganj in njegove
aktivnosti, s katerimi se zagotavlja informacijska varnost v okviru splošnih konceptov,
ki jih podaja ISO 27001. Ta posreduje splošna priporočila za analizo in ocenjevanje
tveganj tako, da ne predpisuje posamezne metode ali orodja, ki bi bilo primerno za
uporabo v nekem podjetju. Podjetja morajo sama prepoznati metodologijo, ki najbolj
ustreza njihovemu SVVI in ugotovljenim zahtevam za varovanje poslovnih informacij
ter pravnim in zakonskim zahtevam. Prav tako morajo podjetja sama razviti kriterije za
sprejem tveganj in določiti sprejemljive ravni tveganj. Izbrana metodologija mora
zagotoviti, da bo ocena tveganj dala primerljive rezultate, ki jih bo mogoče v
prihodnosti reproducirati.
Poglavitni razlog za obvladovanje tveganj v podjetju je zaščititi poslanstvo in
informacijska sredstva. Zato je smiselno, da ima obvladovanje tveganj upravljavsko
funkcijo in ne tehnične funkcije. Dejstvo je, da imajo podjetja omejene vire in da ni
mogoče tveganja popolnoma izničiti. Razumevanje tveganja, še posebej njegove
magnitude, je v pomoč pri organiziranju prioritet virov (Elky, 2006, str. 3).
29
Slika 15: Proces obvladovanja tveganj
Vir: U.Škornik in V Škornik,Proces upravljanja informacijskih tveganj, 2010, str. 4.
Obvladovanje tveganj po ISO 27005 sestavljajo naslednje aktivnosti (povzeto po
Škornik, Škornik, 2010, str. 3, slika 15):
a) določitev konteksta, v katerem se definira okvir obvladovanja tveganj;
b) oceno tveganja, kjer se ovrednoti nivo tveganja; ta sklop vsebuje še aktivnosti:
1. analizo tveganja, ki se deli na prepoznavanje tveganja in okvirno oceno
tveganja;
2. vrednotenje tveganja;
c) obravnavanje tveganja, kjer je potrebno sprejeti ustrezne ukrepe, tako da se podjetja
tveganjem izognejo, jih zmanjšajo, prenesejo na druge ali se odločijo, da jih v
danem trenutku sprejmejo takšne, kot so;
d) sprejetje tveganja: odločitve za sprejetje ukrepov, povezanih s tveganji, in določitev
odgovornosti za identifikacijo tveganj z utemeljitvami;
30
e) obveščanje o tveganjih, kjer se zagotavlja stalna kakovostna izmenjava informacij
med vsemi zainteresiranimi javnostmi in managerji tveganj o obstoju, naravi, obliki,
verjetnosti, resnosti, sprejemljivosti in podobnimi dejavniki tveganj;
f) spremljanje in pregled tveganja: dejavnike se spremlja in pregleduje ter vzdržuje
celosten pogled nad tveganji.
Po raziskavi Ernest & Young (2009, str. 4) je obvladovanje tveganj največja varnostna
prioriteta podjetij v naslednjih nekaj letih. Podjetja prav tako nameravajo vlagati več
denarja v to področje.
Po mnenju Elky (2006, str. 1) je z vidika informacijske varnosti obvladovanje tveganj
proces razumevanja in odzivanja na dejavnike, ki lahko privedejo do napak pri
zaupnosti, celovitosti ali razpoložljivosti informacijskega sistema.
3.1 Ocena tveganja
Standard ISO 27001 (2005, str. 6) govori v poglavju o vzpostavitvi SVVI o tveganjih,
ki jih podjetje prepozna, analizira in vrednoti ter izbira cilje za obravnavanje. Tveganja,
ki so nesprejemljiva, želi podjetje znižati do tistih preostalih tveganj, ki jih podjetje
enostavno sprejme. Ocena tveganja zajema popis vseh informacijskih sredstev, ki so za
podjetje pomembna, prepoznavanje ranljivosti in potencialnih groženj, ukrepe za
zniževanje teh tveganj in pa odločitve v zvezi z nivojem sprejemljivosti tveganja, kar
pa je povezano tudi z investicijskimi odločitvami oziroma s finančno oceno potencialne
finančne izgube, če pride do varnostnih incidentov. Vendar je med raziskovalci še
zmeraj zaslediti, da so ocene finančnih izgub za podjetja neznanka.
Patel in Zaveri (2010, str. 353) trdita, da je ocena tveganja prvi, najtežji in z največ
napakami narejen korak v procesu ravnanja s tveganji.
Škornik in Škornik (2010, str. 2) navajata za ocenjevanje in obvladovanje tveganj
naslednje metode in orodja:
a) NIST (angl. National Institute of Standards and Technology),
b) OCTAVE (angl. Operationally Critical Threat, Asset, and Vulnerability
Evaluation),
c) FRAP (angl. The Facilitated Risk Analysis Process),
d) COBRA (angl. The Consultative, Objective and Bi-functional Risk Analysis),
e) Risk Watch,
f) CRAMM in
g) FMEA (angl. Failure Mode And Effects Analysis).
31
Vsaka od naštetih metodologij vsebuje nabor orodij, tehnik in metod za izvajanje ocene
tveganja.
Običajno podjetja izberejo eno ali dve metodologiji za prepoznavanje tveganj. Model za
prepoznavanje tveganj je pripomoček ocenjevalcem tveganja z vidika razumevanja
narave groženj (Ruf, Thorn, Christen, Gruber, Portmann, str. 1).
3.2 Varnostne grožnje
Varnostna grožnja je zgolj možnost za izkoriščanje posamezne ranljivosti. Varnostne
grožnje same po sebi niso aktivnost, ampak morajo biti v tandemu z virom varnostnih
groženj, da privedejo do varnostnega dogodka ali incidenta (Elky, 2006, str. 2).
Po modelu OSA (2011, slika 16) se povzročitelje varnostnih groženj lahko razdeli v tri
dimenzije, ki se med sabo prepletajo:
1. z vidika povzročitelja:
precej očitne varnostne grožnje, ki jih povzroča človek, kot so prevare, kraje,
vohunjenje, vdori in drugo;
tehnološke grožnje povzročajo fizikalni in kemični procesi na material; primer
tehnoloških nevarnosti je proces staranja materiala, visoka vlažnost, prah in
drugo;
višja sila so v prvi vrsti okoljske varnostne grožnje, kot na primer potres, strela,
veter, poplava, visoka temperatura in drugo; v kombinaciji z ostalima dvema
povzročiteljema groženj ta oblika grožnje eskalira grožnjo; primer je udar strele
v drevo, ki pretrga električne žice, kar povzroči izpad električne energije;
2. z vidika motivacije:
dimenzija motivacije opisuje kategorizacijo varnostnih groženj in se osredotoča
na motivacijo teh varnostnih groženj; ta razlikuje med namerno in nenamerno;
gre za razvrstitev vseh varnostnih groženj vzdolž osi motivacije za odgovor na
vprašanje, zakaj varnostna grožnja nastane;
3. z vidika lokacije ali vira:
dimenzija lokacije ali vira varnostnih groženj sama po sebi govori o prostoru,
kjer varnostna grožnja nastane, torej zunaj ali znotraj nekega obsega.
32
Slika 16: Klasifikacija varnostnih groženj po OSA modelu
Vir: OSA, Threat Classification Method, 2011.
Slika 17 prikazuje potek napada na informacijsko sredstvo. Napadalec poskuša z
različnimi tehnikami napadov zlorabiti ranljivost informacijskega sredstva, zaobiti
varnostne kontrole s ciljema vplivanja na informacijsko sredstvo in vplivanja na
poslovanje podjetja. Uspešnost napadalca je odvisna od varnostnih ukrepov vsakega
posameznega podjetja.
Slika 17: Diagram poteka napada
Vir: OWASP, Diagram poteka, 2011.
33
Poti zlorabe so trivialne in ni nujno, da bo napadalec uspel zlorabiti ranljivost
informacijskega sredstva. Prav tako škoda, ki jo lahko povzroči napadalec, rangira od
nič pa do uničenja poslovanja podjetja.
Ayoub (2011, str. 9) deli grožnje po pogostosti. Izpostavljam prvih pet: aplikacijske
ranljivosti, mobilne naprave, virusi in črvi ter notranji zaposleni, na petem mestu pa so
hekarji (Slika 18).
Slika 18: Delitev varnostnih groženj po pogostosti
Vir: R. Ayoub, The 2011 (ISC)² Global Information Security Workforce Study, 2010.
Po raziskavi NarrowCast Group (2011) je trend varnostnih groženj za leto 2011
naslednji:
a) napad z USB-ključki (angl. Attack via USB);
b) širokopasovni ciljani botnet napadi (angl. Large-scale targeted bootnet attacks);
c) porazdeljena nedosegljivost storitve (angl. DDoS Attacks);
d) povečanje napadov na in preko socialnih omrežij (angl. Increase attacks on and via
social netwoks);
e) click jacking in XSS napad (angl. click jacking and cross-site scripting); napada se
uporabljata v povezavi s socialnimi omrežji z namenom prevare uporabnikov, da
razkrijejo zaupne podatke ali za prevzem nadzora nad računalnikom uporabnika,
medtem ko bodo kliknili na na videz nedolžno spletno stran;
f) spletno ribarjenje zaupanja vrednih tretjih strank (angl. Phishing attacks from
trusted« third parties); zaradi povečanega obsega uporabe pametnih telefonov za
pregledovanje e-pošte prihajajo najpogostejši napadi v obliki e-pošte iz
prepoznavnih podjetij, ki vabijo bralca, da odpre povezavo;
g) internetne prevare in posredništvo (angl. Online fraud and money mules); zaradi
porasta spletnega ribarjenja in kraj identitete prihaja do aktivnih poskusov
nezakonitega prenosa sredstev iz ukradenih kreditnih kartic;
34
h) računalništvo v oblaku (angl. Cloud computing concerns); le-to sicer omogoča
prihranke pri stroških, vendar odpira pot spletnemu kriminalu;
i) odtekanje informacij in notranje varnostne grožnje (angl. Data exfiltration and
insider threats), ki je tehnologija sama po sebi ne bo rešila; nezanesljivi ljudje
vedno najdejo način anonimnega odtekanja osebnih informacij;
j) napadi na mobilne naprave in brezžična omrežja (angl. Attacks on mobile devices
and wireless networks); medtem ko računalniška omrežja ostajajo cilj spletnih
napadov, prav tako postajajo tarča napada spletnih napadalcev zmogljivejši
računalniki in pametni telefoni z brezžično povezavo; mobilne računalniške naprave
vsebujejo iste ranljivosti kot prenosni in namizni računalniki in so prav tako
dovzetni DDoS napadom izdelanim za brezžične naprave; aplikacije po meri
uporabnika, kot so digitalne denarnice in žepni bankomati, so še posebej privlačni
za napadalce; poleg tega brezžična omrežja ogrožajo celotno podjetje.
Po Gartnerju (Litan, 2011) naj bi v letu 2011 srečevali naslednje varnostne grožnje:
a) kraja osebnih identifikacijskih nastavitev (prstni odtis ...) na osebnih računalnikih,
b) ponarejanje identitete klicateljev,
c) ukinitev možnosti sledenja spletnega iskanja in storitev v spletnih brskalnikih,
d) prevare na mobilnih napravah,
e) več bančnih prevar,
f) prevzemanje sej na delovnih postajah,
g) posredništvo pri kraji denarja z bančnih računov in
h) več ciljanih napadov na zaposlene.
Dlamini, Eloff in Eloof (2009, str. 194) navajajo najkritičnejše varnostne probleme na
področju zagotavljanja informacijske varnosti za leti 2010 in 2011:
a) zaščita podatkov,
b) skladnost z zakonskimi zahtevami,
c) virusi in črvi,
d) zavezanost vodstva in obvladovanje tveganj,
e) kontrola dostopa,
f) izobraževanje in ozaveščanje uporabnikov,
g) varnost brezžičnega omrežja,
h) varnost notranjega omrežja,
i) spywere,
j) socialni inženiring in
k) mobilne naprave.
35
Zaščita podatkov, skladnost z zakonskimi zahtevami ter kraja identitete in osebnih
podatkov so po raziskavi SANS inštituta prav tako najbolj pereči varnostni problemi za
leti 2010 in 2011 (Dlamini et al., 2009, str. 195).
3.3 Ranljivosti
Ranljivost je lahko napaka ali slabost v katerem koli pomenu sistema. Ranljivosti niso
samo napake v tehničnem smislu zagotavljanja informacijske varnosti. Pomembnejše
ranljivosti so pogosto v standardnih operativnih postopkih, ki jih izvajajo sistemski
administratorji, kot na primer procesi ponastavitve gesla ali neustrezna analiza dnevnika
prijav ter pomanjkanje jasno opredeljene varnostne politike preverjanja ranljivosti
(Elky, 2006, str. 3).
Ranljivost je presečišče treh elementov: pomanjkljivosti sistema, dostop napadalca do
pomanjkljivosti sistema in možnost uporabe pomanjkljivosti sistema. Napadalec mora
imeti vsaj eno uporabno orodje ali tehniko, s katero se poveže na ranljivost sistema. V
primeru uspešnosti povezave se sistem izkaže za ranljivega.
Standard ISO 27005 (2010, str.) razvrsti ranljivosti glede na povezanost z
informacijskimi sredstvi podjetja, ki so:
a) strojna oprema: dovzetnost za vlago, prah in zemljo ter nezaščiteno hranjenje strojne
opreme;
b) programska oprema: pomanjkljivo testiranje in pomanjkanje revizijskih sledi;
c) omrežje: nezaščitene komunikacijske povezave in nezaščitena arhitektura omrežja;
d) zaposleni: neustrezno izvajanje procesov zaposlovanja in neprimerni programi
ozaveščanja o informacijski varnosti;
e) lokacija opravljanja dejavnosti: nevarnost poplav in nezanesljivi viri električne
energije;
f) organizacijske ranljivosti: pomanjkanje presoj ali revizij in pomanjkanje načrtov
neprekinjenega delovanja.
Elky (2006, str. 6) govori o metodah odkrivanja ranljivosti:
a) programska oprema za pregledovanje ranljivosti operacijskega sistema, omrežja,
aplikacije in programske kode (angl. Vulnerability Scanners);
b) penetracijsko testiranje kot metoda izvajanja varnostne grožnje nad sistemom s
strani strokovnjaka za varnost (angl. Penetration Testing);
c) revizija kontrol, ki primerja dokumentacijo z dobrimi praksami (kot na primer ISO
27002) in s primerjanjem usklajenosti izvajanja procesa z dokumentiranim
izvajanjem procesa.
36
Ena izmed najtežjih nalog v procesu obvladovanja tveganj je povezati varnostno
grožnjo z ranljivostjo. Kljub temu je vzpostavitev tega odnosa obvezna aktivnost, sicer
je tveganje opredeljeno kot uresničevanje varnostne grožnje zoper ranljivost.
Pomembno je tudi razumeti, da na ranljivost ne deluje vsaka varnostna grožnja (Elky,
2006, str. 6).
4 EMPRIČNA RAZISKAVA
Na osnovi sekundarnih podatkov, tj. podatkov, ki so bili predstavljeni v prejšnjih
poglavjih magistrske naloge, sem oblikovala spletni anketni vprašalnik, s katerim sem
pridobila primarne podatke, ki jih uporabljam pri interpretiranju raziskovalnega
vprašanja. S pomočjo elektronske pošte sem k sodelovanju povabila slovenska
certificirana podjetja v skladu s standardom ISO 27007 in necertificirana podjetja,
primerljiva po prihodkih. Spletni anketni vprašalnik je skupno obsegal 22 vprašanj in je
bil sestavljen iz dveh sklopov vprašanj.
Prvi sklop vprašanj je zajemal splošna vprašanja v zvezi z informacijsko varnostjo in
načinom, kako se podjetja lotevajo vpeljave SVVI ali nekaterih elementov iz družine
standardov. Namen prvega sklopa vprašanj je bil ustvariti podobo o anketirancih in o
anketiranih podjetjih, predvsem z vidika managementa informacijske varnosti.
Drugi sklop pa je zajemal vprašanja v zvezi s stališči do informacijske varnosti ter
pogostostjo varnostnih dogodkov in varnostnih incidentov v zadnjem poslovnem letu.
Drugi sklop vprašanj je bistvenega pomena pri iskanju odgovora na raziskovalno
vprašanje.
Vprašanja v obeh sklopih so bila tako odprtega kot tudi zaprtega tipa, pri nekaterih
vprašanjih pa sem smiselno uporabila Likertovo 7-stopenjsko lestvico. Spletno
anketiranje sem izvajala od 1. 6. 2011 do 30. 6. 2011, s tem da je bila spletni anketni
vprašalnik ponovno dosegljiv še od 1. 8. 2011 do 22. 8. 2011, saj sem k sodelovanju
ponovno povabila vsa certificirana slovenska podjetja, s ciljem, da povečam vzorec
certificiranih slovenskih podjetij.
Osrednji vir primarnih podatkov predstavlja 19 izpolnjenih spletnih anketnih
vprašalnikov. Dve anketirani podjetji sta odgovorili samo na prvi sklop vprašanj, od
tega je bilo eno podjetje certificirano, druga pa ne. Dva anketiranca sta zapisala
teoretično nemogoče odgovore na zadnji dve vprašanji v drugem sklopu vprašanj.
Delna odgovora podjetij, ki sta odgovorili samo na prvi sklop vprašanj, sem izločila iz
nadaljnje statistične obdelave podatkov. Teoretično nemogoče odgovore podjetij na
zadnji dve vprašanji v drugem sklopu vprašanj sem prav tako izločila iz statistične
obdelave podatkov teh dveh vprašanj. Zato v prvem sklopu vprašanj zajemam 17
37
odgovorov anketiranih podjetij, od tega 8 certificiranih in 9 necertificiranih podjetij, v
drugem sklopu sicer zajemam odgovore skupno 17 podjetij, razen pri zadnjima dvema
vprašanjema, ko zajemam odgovore samo 15 anketiranih podjetij, od tega 7
certificiranih in 8 necertificiranih podjetij.
Pri vzorčenju nisem postavljala demografskih omejitev, saj je bila povezava na spletni
anketni vprašalnik poslana vsem 22 certificiranim slovenskim podjetjem ter 22
necertificiranim slovenskim podjetjem primerljivim po prihodkih v preteklem
poslovnem letu, skupaj 44 slovenskim podjetjem.
Analiza rezultatov prvega sklopa vprašanj:
1. Vseh 17 anketirancev, ki so odgovarjali na spletni anketni vprašalnik, deluje na
delovnih mestih vodij oddelkov ali direktorjev oddelkov informacijskih tehnologij,
varnostnih inženirjev in svetovalcev za informacijsko varnost. Struktura
anketirancev je pomembna z vidika poznavanja področja informacijske varnosti in
problematike v podjetju.
2. Slika 19 prikazuje odgovore na vprašanje v zvezi z izkušnjami na področju
informacijske varnosti. Na vprašanje so odgovarjala vsa anketirana podjetja. Več
kot 41 odstotkov anketirancev deluje na področju informacijske varnosti več kot 10
let, od 5 do 10 let izkušenj na področju informacijske varnosti ima več kot 29
odstotkov anketirancev, več kot 17 odstotkov anketirancev deluje na področju
informacijske varnosti od 2 do 5 let, slabih 6 odstotkov jih deluje na področju
informacijske varnosti do 2 leti in slabih 6 odstotkov anketirancev nima izkušenj na
področju informacijske varnosti.
Slika 19: Izkušnje na področju informacijske varnosti
3. Slika 20 prikazuje strukturo anketiranih podjetij z vidika certificiranosti v skladu z
zahtevami standarda ISO 27001. Od 17 podjetij, ki so odgovorila na spletni anketni
vprašalnik, je 7 podjetij certificiranih v skladu z ISO 27001, kar predstavlja več kot
38
41 odstotni delež vseh anketiranih podjetij, 8 podjetij je necertificiranih, to je slabih
59 odstotkov vseh anketiranih podjetij.
Slika 20: Ste certificirani v skladu z zahtevami standarda ISO 27001
4. Na vprašanje, kdaj so certificirana podjetja zadnjič obnovila certifikat ISO 27001, je
5 od 8 podjetij certifikat obnovilo v letu 2011, kar predstavlja več kot 62 odstotkov
podjetij, 3 podjetja od 8 pa so certifikat obnovila v letu 2010, kar predstavlja več kot
37 odstotkov podjetij. Sklepam, da so slednji certifikati še veljavni, saj so na
vprašanje odgovarjala samo certificirana podjetja.
5. Na vprašanje, kateri so razlogi za certificiranje v skladu z zahtevami standarda ISO
27001, je bilo možnih več odgovorov. Odgovarjala so samo certificirana podjetja.
Slika 21 prikazuje strukturo odgovorov anketiranih podjetij. Na prvem mestu se s
100 odstotki pojavljata dva razloga: zagotavljanje informacijske varnosti in
preprečevanje varnostnih problemov. S skoraj 86 odstotki se pojavlja razlog večje
zaupanje v podjetje, z več kot 71 odstotki so anketiranci navedli razlog večji ugled
podjetja, nato z več kot 28 odstotki sledita razloga pogoji poslovnih partnerjev in
zakonodaja.
Slika 21: Razlogi za certificiranje v skladu z zahtevami standarda ISO 27001
39
6. Na vprašanje, ali so anketiranci na kakršen koli način sodelovali pri vpeljavi SVVI
(pri pripravi dokumentacije, varnostnih kontrol, oceni tveganja, predlogih za
izboljšave ...) so odgovarjala samo certificirana podjetja. Slika 22 prikazuje
strukturo odgovorov. Več kot 57 odstotkov anketirancev je odgovorilo, da so
aktivno sodelovali, slabih 29 odstotkov jih je sodelovalo občasno, več kot 14
odstotkov pa jih sploh ni sodelovalo pri vpeljavi SVVI.
Slika 22: Ali ste na kakršen koli način sodelovali pri vpeljavi SVVI
7. Na vprašanje, ali imajo podjetja organizirano posebno organizacijsko enoto za
informacijsko varnost, je odgovarjalo vseh 17 anketiranih podjetij. Slika 23
prikazuje strukturo odgovorov. Več kot 82 odstotkov anketiranih podjetij nima
organizirane posebne organizacijske enote za informacijsko varnost, kar predstavlja
14 od 17 anketiranih podjetij. Slabih 18 odstotkov anketiranih podjetij ima
organizirano posebno organizacijsko enoto za informacijsko varnost, kar predstavlja
3 od 17 anketiranih podjetij. Med slednjimi podjetji se ne pojavlja nobeno
certificirano podjetje. Možen razlog, da podjetja nimajo organizirane posebne
organizacijske enote za informacijsko varnost, je v optimiziranju stroškov podjetja.
Slika 23: Ali imate organizirano posebno organizacijsko enoto za informacijsko varnost
40
8. Na vprašanje, ali imajo podjetja skupino strokovnjakov (angl. Information security
incident response team), ki se ukvarja z managementom varnostnih incidentov, so
odgovarjala vsa anketirana podjetja. Slika 24 prikazuje, da 8 od 17 anketiranih
podjetij nima organizirane skupine strokovnjakov, kar predstavlja več kot 47-
odstotni delež vseh anketiranih podjetij, 9 od 17 anketiranih podjetij, kar predstavlja
skoraj 53-odstotni delež, ima organizirano posebno skupino strokovnjakov, ki se
ukvarjajo samo z managementom varnostnih incidentov. Med podjetji, ki imajo
organizirano posebno skupino strokovnjakov, ki se ukvarjajo samo z
managementom varnostnih incidentov, je 5 certificiranih podjetij.
Slika 24: Ali imate skupino strokovnjakov, ki se ukvarja z managementom varnostnih
incidentov
9. Na vprašanje, ali imajo podjetja sprejeto politiko varovanja informacij, so
odgovarjala vsa anketirana podjetja. Na Sliki 25 je viden več kot 88-odstotni delež
vseh pritrdilnih odgovorov, kar predstavlja 15 od 17 anketiranih podjetij, medtem ko
2 od 17 podjetij nimata sprejete politike varovanja informacij, kar predstavlja skoraj
12 odstotni delež. Med podjetji, ki so odgovorila pritrdilno, je 8 certificiranih
podjetij.
41
Slika 25: Ali imate sprejeto politiko varovanja informacij
10. Na vprašanje, ali imajo podjetja sprejeto politiko managementa varnostnih
incidentov, so odgovarjala vsa anketirana podjetja. Na Sliki 26 je viden skoraj 59-
odstotni delež pritrdilnih odgovorov, kar predstavlja 10 od 17 anketiranih podjetij.
Več kot 41 odstotkov anketiranih podjetij nima sprejete politike managementa
varnostnih incidentov, kar predstavlja 7 od 17 anketiranih podjetij. Med podjetji, ki
so odgovorila pritrdilno, je 8 certificiranih podjetij.
Slika 26: Ali imate sprejeto politiko managementa varnostnih incidentov
11. Na vprašanje, ali anketirana podjetja izvajajo management varnostnih dogodkov in
incidentov, so odgovarjala vsa anketirana podjetja. Na Sliki 27 je prikazan več kot
88-odstotni delež vseh anketiranih podjetij, kar predstavlja 15 od 17 anketiranih
podjetij, ki izvajajo management varnostnih dogodkov in incidentov, 2 od 17
anketiranih podjetji, kar predstavlja skoraj 12 odstotkov vseh anketiranih podjetij,
ne izvajata managementa varnostnih dogodkov in incidentov. Med podjetji, ki so
odgovorila pritrdilno, je 8 certificiranih podjetij.
42
Slika 27: Ali izvajate management varnostnih dogodkov in incidentov
12. Na vprašanje, ali anketirana podjetja merijo kontrolo management varnostnih
incidentov, so odgovarjala vsa anketirana podjetja. Slika 28 predstavlja strukturo
odgovorov. Od 17 anketiranih podjetij jih 9 izvaja merjenje kontrole management
varnostnih incidentov, kar predstavlja skoraj 53-odstotni delež vseh podjetij, 8 od 17
podjetij ne meri kontrole management varnostnih incidentov, kar pa predstavlja več
kot 47-odstotni delež vseh odgovorov. Med podjetji, ki so odgovorila pritrdilno, je 8
certificiranih podjetij.
Slika 28: Ali merite kontrolo management varnostnih incidentov
13. Na vprašanje, ali podjetja prijavljajo varnostne incidente, so odgovarjala vsa
anketirana podjetja. Slika 29 prikazuje strukturo odgovorov.
43
Slika 29: Ali prijavljate varnostne incidente
Podjetja imajo različna stališča v zvezi s prijavami varnostnih incidentov. Tako 9 od 17
podjetij, kar predstavlja skoraj 53 odstotkov anketiranih podjetij, ne prijavlja varnostnih
incidentov, 6 podjetij od 17, kar predstavlja več kot 35 odstotkov anketiranih podjetij,
prijavlja varnostne incidente različnim organom, kot npr. SI-CERT-u, eno podjetje od
17 je odgovorilo, da nima podatka in prav tako eno podjetje od 17 anketiranih podjetij
občasno prijavlja varnostne incidente, kar skupaj predstavlja skoraj 17 odstotkov vseh
anketiranih podjetij. Med razlogi za prijavo varnostnega incidenta anketiranih podjetij
se pojavljajo mnenja, da je prijava varnostnega incidenta odvisna od vrste varnostnega
incidenta, nekatera podjetja ne vidijo smisla v prijavi varnostnega incidenta ali pa
prijava ni zahtevana po zakonu, nekatera anketirana podjetja pa varnostne incidente
prijavljajo v statistične namene in v opozorilo drugim podjetjem. Vsa certificirana
podjetja so na vprašanje odgovorila negativno.
14. Na vprašanje, ali imajo podjetja sprejet načrt managementa varnostnih incidentov so
odgovarjala vsa anketirana podjetja, in sicer je 11 od 17 podjetij odgovorilo
pritrdilno, kar predstavlja več kot 64-odstotni delež vseh podjetij, 6 od 17 podjetij
nima sprejetega načrta managementa varnostnih incidentov, kar predstavlja več kot
35-odstotni delež. Med podjetji, ki imajo sprejet načrt managementa varnostnih
incidentov, so vsa certificirana podjetja.
44
Slika 30: Načrt managementa varnostnih incidentov
15. Na vprašanje, ali podjetja izvajajo izboljšave managementa varnostnih incidentov,
so odgovarjala vsa anketirana podjetja. Slika 31 predstavlja strukturo odgovorov.
Pritrdilno je odgovorilo 15 od 17 anketiranih podjetij, kar predstavlja več kot 88
odstotkov vseh anketiranih podjetij, 2 od 17 anketiranih podjetij, kar predstavlja več
kot 11odstotkov anketiranih podjetij, ne izvaja managementa varnostnih incidentov.
Anketirana podjetja izvajajo izboljšave managementa varnostnih incidentov
večinoma enkrat letno, nekatera večkrat letno ali po varnostnem incidentu. Med
podjetji, ki so odgovorila pritrdilno, so vsa certificirana podjetja.
Velika večina anketiranih podjetij se zaveda prednosti, ki jih prinašajo izboljšave
managementa varnostnih incidentov, predvsem z vidika preprečevanja varnostnih
dogodkov in varnostnih incidentov, ter v povezavi s tem zmanjšanja škodljivih vplivov
na poslovanje podjetja. Rezultat je pričakovan glede na teoretične izsledke o prednostih
managementa varnostnih incidentov organizacij ISO ter NIST.
45
Slika 31: Ali izvajate izboljšave managementa varnostnih incidentov
16. Na vprašanje, koliko kontrol v skladu s standardom ISO 27002 so podjetja uvedla,
so odgovarjala vsa anketirana podjetja. Slika 32 prikazuje, da je več kot 47
odstotkov anketiranih podjetij uvedlo nekaj novih kontrol, več kot 23 odstotkov
anketiranih podjetij je uvedlo vse kontrole v skladu s standardom ISO 27002 in več
kot 29 odstotkov anketiranih podjetij nima uvedenih kontrol. Iz rezultatov je
razvidno, da podjetja implementirajo poleg kontrol standarda ISO 27001 tudi druge
kontrole, smiselno glede na varnostna tveganja, ki jih v podjetju z oceno tveganja
prepoznajo.
Slika 32: Koliko kontrol v skladu s standardom ISO 27002 ste v podjetju uvedli
17. Na vprašanje, ali podjetja izvajajo programe ozaveščanja o informacijski varnosti za
zaposlene, so odgovarjala vsa anketirana podjetja. Slika 33 prikazuje strukturo
46
odgovorov. Več kot 88 odstotkov anketiranih podjetij, kar predstavlja 15 od 17
anketiranih podjetij, izvaja programe ozaveščanja o informacijski varnosti za
zaposlene, skoraj 12 odstotkov anketiranih podjetij, kar predstavljata 2 od 17
anketiranih podjetij, ne izvaja programov ozaveščanja o informacijski varnosti za
zaposlene. Z vidika pogostosti izvajanja programov ozaveščanja o informacijski
varnosti za zaposlene so podjetja odgovarjala različno: enkrat letno, mesečno v
obliki obvestil po elektronski pošti, na vsakih 6 mesecev ali pa ob večjem
varnostnem incidentu. Vsa certificirana podjetja izvajajo programe ozaveščanja o
informacijski varnosti za zaposlene vsaj enkrat letno.
Slika 33: Izvajanje programov ozaveščanja za zaposlene
Izvajanje programov ozaveščanja o informacijski varnosti za zaposlene je del
managementa varnostnih incidentov, v kolikor je strategija podjetja ozaveščati
zaposlene o novostih varnostnih groženj in ranljivosti, varnostnih incidentih ali pa
utrpelih varnostnih incidentih. Dokazano je, da je večina varnostnih incidentov po
izvoru nenamernih varnostnih incidentov, ki se zgodijo znotraj podjetja, oziroma so
zaposleni tisti, ki povzročijo največ poslovnih stroškov zaradi varnostnih incidentov.
Zato je še toliko pomembnejše, da se programi ozaveščanja o informacijski varnosti za
zaposlene izvajajo čim pogosteje.
18. Na vprašanje, kolikšen odstotek proračuna za IT je bil v zadnjem poslovnem letu
namenjen za zagotavljanje informacijske varnosti, so odgovarjala vsa anketirana
podjetja. Slika 34 prikazuje, da skoraj 65 odstotkov anketiranih podjetij namenja za
zagotavljanje informacijske varnosti do 10 odstotkov proračuna za IT, več kot 29
odstotkov anketiranih podjetij ni imelo podatka, skoraj 6 odstotkov anketiranih
47
podjetij pa je odgovorilo, da za to namenja do 25 odstotkov proračuna. V skoraj
zgoraj omenjenih 64 odstotkov anketiranih podjetij se uvršča tudi večina
certificiranih podjetij.
Glede na raziskavo o informacijski varnosti, ki je bila izvedena leta 2004, je več kot 61
odstotkov anketiranih podjetij vlagalo v zagotavljanje informacijske varnosti do 10
odstotkov proračuna za IT, več kot 8 odstotkov anketiranih podjetij je vlagalo do 25
odstotkov, 16 odstotkov anketiranih podjetij pa ni imelo podatka. Po raziskavi CSI/FBI
Computer Crime and Security Survey je več kot 67 odstotkov anketiranih podjetij
vlagalo v zagotavljanje informacijske varnosti do 10 odstotkov proračuna za IT, 8
odstotkov podjetij je vlagalo več kot 10 odstotkov proračuna za IT, 15 odstotkov
anketiranih podjetij ni imelo podatka.
Slika 34: Kolikšen odstotek proračuna za IT je bil v zadnjem poslovnem letu namenjen
za zagotavljanje informacijske varnosti
Primerjava izsledkov raziskave, ki sem jo izvedla v slovenskih podjetjih, z zgoraj
omenjenima raziskavama pokaže, da se vlaganje v zagotavljanje informacijske varnosti
v slovenskih podjetjih ni dosti spremenilo od leta 2004, Slovenija niti ne odstopa od
vlaganj v zagotavljanje informacijske varnosti v primerjavi z ameriškimi podjetji.
V Tabeli 3 prikazujem izsledke prvega sklopa vprašanj certificiranih in necertificiranih
podjetij, ki se navezujejo na elemente informacijske varnosti ter družino standardov ISO
27000.
48
Tabela 3: Povzetek prvega sklopa vprašanj
Certificirana podjetja Necertificirana podjetja
Izkušnje na področju
informacijske varnosti
37,5 % ima izkušnje
od 2 do 5 let
37,5 % ima izkušnje
od 5 do 10 let
25 % ima izkušnje
nad 10 let
22,2 % ima izkušnje
do 2 leti
22,2 % ima izkušnje
od 5 do 10 let
55,6 % ima izkušnje
nad 10 let
Posebna organizacijska enota
za informacijsko varnost
100 % 33,3 % 66,7 %
Skupina strokovnjakov za
management varnostnih
incidentov
62,5 % 37,5 % 44,4 % 55,6 %
Politika varovanja informacij 100 % 77,8 % 22,2 %
Politika managementa
varnostnih incidentov
100 % 22,2 % 77,8 %
Izvajanje managementa
varnostnih dogodkov in
incidentov
100 % 77,8 % 22,2 %
Merjenje kontrole management
varnostnih incidentov
100 % 11,1 % 88,9 %
Prijava varnostnih incidentov 100 % 87,5 % 12,5 %
Načrt managementa varnostnih
incidentov
100 % 33,3 % 66,7 %
Izvajanje izboljšav
managementa varnostnih
incidentov
100 % 77,8 % 22,2 %
Izvajanje programov
ozaveščanja o informacijski
varnosti za zaposlene
100 % 77,8 % 22,2 %
Odstotek proračuna za IT za
zagotavljanje informacijske
varnosti
62,5 % podjetij
vlaga do 10 %
proračuna za IT
12,5 % podjetij
vlaga do 25 %
proračuna za IT
25 % podjetij nima
podatka
77,8 % podjetij vlaga
do 10 % proračuna za
IT
22,2 % podjetij nima
podatka
Legenda: % odstotek
49
Na podlagi Tabele 3 izvajam statistično sklepanje za anketirana podjetja, certificirana v
skladu z zahtevami standarda ISO 27001:
a) več kot 37 odstotkov anketirancev, ki so odgovarjali na spletni anketni vprašalnik,
ima od 2 do 5 let izkušenj, več kot 37 odstotkov anketirancev ima od 5 do 10 let
izkušenj, 25 odstotkov anketirancev pa ima nad 10 let izkušenj na področju
informacijske varnosti;
b) več kot 62 odstotkov podjetij ima skupino strokovnjakov za management varnostnih
incidentov, več kot 37 odstotkov podjetij pa nima skupine strokovnjakov za
management varnostnih incidentov;
c) niti eno podjetje nima organizirane posebne organizacijske enote za informacijsko
varnost;
d) vsa podjetja imajo sprejeto politiko varovanja informacij;
e) vsa podjetja imajo sprejeto politiko managementa varnostnih incidentov;
f) vsa podjetja izvajajo management varnostnih dogodkov in incidentov;
g) vsa podjetja merijo kontrolo management varnostnih incidentov;
h) niti eno podjetje ne prijavlja varnostnih incidentov;
i) vsa podjetja imajo načrt managementa varnostnih incidentov;
j) vsa podjetja izvajajo izboljšave načrta managementa varnostnih incidentov;
k) vsa podjetja izvajajo programe ozaveščanja o informacijski varnosti za zaposlene;
l) več kot 62 odstotkov podjetij vlaga v zagotavljanje informacijske varnosti do 10
odstotkov proračuna za IT, več kot 12 odstotkov podjetij vlaga v zagotavljanje
informacijske varnosti do 25 odstotkov proračuna za IT, 25 odstotkov podjetij pa
nima podatka, koliko vlagajo v zagotavljanje informacijske varnosti.
Na podlagi Tabele 3 izvajam statistično sklepanje za anketirana podjetja, ki niso
certificirana v skladu z zahtevami standarda ISO 27001:
a) več kot 22 odstotkov anketirancev, ki so odgovarjali na spletni anketni vprašalnik,
ima do 2 leti izkušenj, več kot 22 odstotkov anketirancev ima od 5 do 10 let
izkušenj, več kot 55 odstotkov anketirancev pa ima nad 10 let izkušenj na področju
informacijske varnosti;
b) v večji ali manjši meri izvajajo zahteve v skladu s standardom ISO 27001;
c) več kot 33 odstotkov podjetij ima organizirano posebno organizacijsko enoto za
informacijsko varnost, medtem ko več kot 66 odstotkov podjetij nima organizirane
posebne organizacijske enote za informacijsko varnost;
d) več kot 44 odstotkov podjetij ima skupino strokovnjakov za management varnostnih
incidentov, več kot 55 odstotkov podjetij pa te skupine strokovnjakov nima;
e) skoraj 78 odstotkov podjetij ima sprejeto politiko varovanja informacij, več kot 22
odstotkov podjetij nima sprejete politike varovanja informacij;
50
f) več kot 22 odstotkov podjetij ima sprejeto politiko managementa varnostnih
incidentov, skoraj 78 odstotkov podjetij pa nima sprejete politike managementa
varnostnih incidentov;
g) skoraj 78 odstotkov podjetij izvaja management varnostnih dogodkov in incidentov,
več kot 22 odstotkov podjetij pa le-tega ne izvaja;
h) več kot 11 odstotkov podjetij meri kontrolo management varnostnih incidentov,
skoraj 89 odstotkov podjetij pa te kontrole ne meri;
i) varnostne incidente prijavlja več kot 87 odstotkov podjetij, več kot 12 odstotkov
podjetij ne prijavlja varnostnih incidentov;
j) več kot 33 odstotkov podjetij ima načrt managementa varnostnih incidentov, skoraj
67 odstotkov podjetij pa nima načrta managementa varnostnih incidentov;
k) izboljšave managementa varnostnih incidentov izvaja skoraj 78 odstotkov podjetij,
več kot 22 odstotkov podjetij pa tovrstnih izboljšav ne izvaja;
l) programe ozaveščanja o informacijski varnosti za zaposlene izvaja skoraj 78
odstotkov podjetij, več kot 22 odstotkov podjetij pa ga ne izvaja;
m) skoraj 78 odstotkov podjetij vlaga v zagotavljanje informacijske varnosti do 10
odstotkov proračuna za IT, več kot 22 odstotkov podjetij nima podatka, koliko
vlagajo v zagotavljanje informacijske varnosti.
Iz Tabele 3 je razvidno, da certificirana podjetja v primerjavi z necertificiranimi podjetji
sistematično izvajajo SVVI in da k področju informacijske varnosti pristopajo z vso
resnostjo in odgovornostjo z vidika izvajanja zahtev v skladu s standardom ISO 27001
in ozaveščanja zaposlenih o informacijski varnosti. Opaziti je, da ima 75 odstotkov
kadra na delovnih mestih, ki skrbijo za informacijsko varnost, manj kot 10 let delovnih
izkušenj z informacijsko varnostjo in ne delujejo v samostojnem oddelku za
informacijsko varnost. Varnostnih incidentov ne prijavlja niti eno certificirano podjetje,
kar ni v nasprotju s trditvami g. Božiča s SI-CERT-a, da večina slovenskih podjetij ne
prijavlja varnostnih incidentov.
Iz Tabele 3 je razvidno, da nizek odstotek necertificiranih podjetij izvaja nekatere
zahteve v skladu s standardom ISO 27001 in da kažejo interes zagotavljanja
informacijske varnosti. Večina podjetij ima sprejeto politiko varovanja informacij,
izvajajo management varnostnih dogodkov in incidentov ter izboljšave le-tega,
varnostne incidente prijavljajo in izvajajo programe ozaveščanja o informacijski
varnosti za zaposlene. Večina podjetij nima posebej organizirane enote za informacijsko
varnost, nima skupine strokovnjakov za management varnostnih incidentov, nimajo
sprejete politike managementa varnostnih incidentov, ne merijo kontrole management
varnostnih incidentov, niti nimajo sprejetega načrta managementa varnostnih
incidentov. Opaziti je, da ima več kot 44 odstotkov kadra na delovnih mestih, ki skrbijo
za informacijsko varnost, manj kot 10 let delovnih izkušenj z informacijsko varnostjo in
so v več kot 33-odstotnem deležu samostojen oddelek za informacijsko varnost.
51
Področje SVVI je v necertificiranih podjetjih, v primerjavi s certificiranimi podjetji,
urejeno nesistematično.
Analiza rezultatov drugega sklopa vprašanj
19. V Tabeli 4 prikazujem odgovore na vprašanje, kaj dela po mnenju anketirancev
podjetja ranljiva. Na vprašanje so odgovarjala vsa anketirana podjetja.
Kar 72 odstotkov anketiranih meni, da na ranljivost podjetij najbolj vplivajo ljudje
(stopnja strinjanja 7) s 72 odstotki dejavnik ljudje. Temu sledijo ranljivosti
nenadzorovane spremembe sistema s 35 odstotki, še posebej v primerih, ko ni zadostnih
revizijskih sledi, nato pa z 18 odstotki sledita ranljivosti programske opreme ter
vzdrževanje informacijskega sistema. Na lestvici strinjanja (stopnja strinjanja 6) se z 71
odstotki pojavlja dejavnik programska oprema, z 59 odstotki sledi vzdrževanje
informacijskega sistema, s 35 odstotki pa sledita fizično varovanje ter nenadzorovane
spremembe sistema. Na stopnji strinjanja 5 se s 53 odstotki nahaja dejavnik okvare
strojne opreme, sledi dejavnik strojna oprema s 44 odstotki ter dejavnika s 29 odstotki
pojavljanja, to sta fizično varovanje in višja sila (potres, poplava, udari strele, veter ...).
Če osvetlim odgovore anketiranih podjetij iz prvih treh skupin lestvice strinjanja od
najmočnejšega strinjanja do bolj se strinjam, kot se ne strinjam, je na prvem mestu
odgovor, da so za ranljivosti podjetij odgovorni ljudje, sledijo ranljivosti programske
opreme ter ranljivosti zaradi okvare strojne opreme.
Tabela 4: Ranljivost podjetij dela (v odstotkih)
Trditve/stopnja strinjanja 1 2 3 4 5 6 7 Skupaj
Strojna oprema 5 17 17 0 44 17 0 100
Ljudje 5 0 0 0 6 17 72 100
Programska oprema 0 0 6 0 5 71 18 100
Vzdrževanje informacijskega sistema 0 0 0 5 18 59 18 100
Okvare strojne opreme 0 5 18 12 53 0 12 100
Fizično varovanje 0 0 18 12 29 35 6 100
Nenadzorovane spremembe sistema 0 0 6 0 24 35 35 100
Dejavniki višje sile (potres, poplava, udari
strele, veter ...)
0 6 24 12 29 29 0 100
Legenda: 1 Sploh se ne strinjam, 2 Ne strinjam se, 3 Bolj se ne strinjam, kot se strinjam, 4 Ne vem, 5
Bolj se strinjam, kot se ne strinjam, 6 Strinjam se, 7 Zelo se strinjam
20. V Tabeli 5 prikazujem mnenja anketirancev v zvezi z dejavniki, ki vplivajo na
informacijsko varnost. Na vprašanje so odgovarjala vsa anketirana podjetja.
52
Tabela 5: Na informacijsko varnost vpliva (v odstotkih)
Trditve / stopnja strinjanja 1 2 3 4 5 6 7 Skupaj
Strojna oprema 0 6 29 0 41 18 6 100
Upravljanje z varnostnimi incidenti 0 0 0 0 28 44 28 100
Skladnost s standardom ISO/IEC 27001:2005 0 6 12 6 35 41 0 100
Izvajanje programov ozaveščanja za
zaposlene
0 0 0 0 11 22 67 100
Prepoznavanje varnostnih groženj 0 0 0 0 6 29 65 100
Prepoznavanje ranljivosti 0 0 0 0 12 29 59 100
Izvajanje ocene tveganja 0 0 0 6 22 44 28 100
Ozaveščanje zaposlenih o trendih varnostnih
groženj
0 0 0 0 18 23 59 100
Sistemi za prepoznavanje in preprečevanje
varnostnih dogodkov ter incidentov
0 0 0 12 6 47 35 100
Poročanje o varnostnem dogodku 0 0 12 0 47 18 23 100
Poročanje o ranljivostih IS ali storitve 0 0 6 0 41 35 18 100
Hitrost odziva na varnostni dogodek 0 0 0 0 35 35 30 100
Pravilnost odziva na varnostni dogodek 0 0 0 0 12 17 71 100
Pravilnost odziva na varnostni incident 0 0 0 0 12 29 59 100
Identificiranje varnostnega dogodka, ki lahko
postane varnostni incident
0 0 0 0 12 23 65 100
Hitrost odziva na varnostni incident 0 0 0 0 1 23 59 100
Število varnostnih incidentov je pokazatelj
stopnje informacijske varnosti
6 6 17 0 41 18 12 100
Število varnostnih dogodkov je pokazatelj
stopnje informacijske varnosti
12 12 17 0 29 18 12 100
Testiranje delovanja načrta upravljanja z
varnostnimi incidenti
0 0 5 39 39 17 100
Pripadnost zaposlenih ter tretjih oseb podjetju 0 0 0 0 18 35 47 100
Odgovornost zaposlenih ter tretjih oseb 0 0 0 0 12 35 53 100
Pravilno delovanje sistemov za prepoznavanje
in preprečevanje varnostnih incidentov
0 0 0 6 24 41 29 100
se nadaljuje
53
nadaljevanje
Trditve / stopnja strinjanja 1 2 3 4 5 6 7 Skupaj
Natančno opredeljen postopek poročanja o
varnostnem dogodku
0 6 12 6 35 35 6 100
Natančno opredeljen postopek poročanja o
varnostnem incidentu
0 12 6 6 23 41 12 100
Zakonodaja države (zakoni, akti, pravilniki ...) 0 12 23 6 18 29 12 100
Legenda: 1 Sploh se ne strinjam, 2 Ne strinjam se, 3 Bolj se ne strinjam, kot se strinjam, 4 Ne vem, 5
Bolj se strinjam, kot se ne strinjam, 6 Strinjam se, 7 Zelo se strinjam
Na lestvici strinjanja (stopnja strinjanja 6) se nahaja z 71-odstotnim deležem dejavnik
pravilnost odziva na varnostni dogodek, na drugem mestu je s 67 odstotki dejavnik
izvajanje programov ozaveščanja za zaposlene, tretje mesto si delita dejavnika s 65
odstotki prepoznavanje varnostnih groženj ter identificiranje varnostnega dogodka, ki
lahko postane varnostni incident. Vsi najvišje odstotkovno izbrani dejavniki napeljujejo
na zaključen krog dejavnikov, ki pomembno vplivajo na informacijsko varnost, tj. na
ljudi. Na lestvici strinjanja (stopnja strinjanja 6) se s 47 odstotki nahaja dejavnik sistemi
za prepoznavanje in preprečevanje varnostnih dogodkov ter incidentov, s 44-odstotnim
deležem sledita dejavnika upravljanje z varnostnimi incidenti in izvajanje ocene
tveganja. Dejavniki skladnost s standardom ISO 27001, pravilno delovanje sistemov za
prepoznavanje in preprečevanje varnostnih incidentov in natančno opredeljen postopek
poročanja o varnostnem incidentu predstavljajo 41-odstotni delež. Odgovori namigujejo
na nekoliko bolj tehnično zagotavljanje informacijske varnosti, saj je najpomembnejši
dejavnik v tej skupini tehnologija. Na lestvici strinjanja 5 se z 47 odstotki pojavlja
dejavnik poročanje o varnostnem dogodku. Na drugem mestu so s 41 odstotki strojna
oprema, poročanje o ranljivostih IS ali storitve in število varnostnih incidentov kot
pokazatelj stopnje informacijske varnosti. Z 39 odstotki sledi dejavnik testiranje
delovanja načrta upravljanja z varnostnimi incidenti.
Če osvetlim odgovore anketiranih podjetij iz prvih treh skupin na lestvici od
najmočnejšega strinjanja do bolj se strinjam, kot se ne strinjam, je na prvem mestu
odgovor pravilnost odziva na varnostni dogodek z 71 odstotki. Na drugem mestu sledi s
47 odstotki dejavnik sistemi za prepoznavanje in preprečevanje varnostnih dogodkov in
incidentov, na tretjem mestu je s 47 odstotki poročanje o varnostnem dogodku. Dva od
treh dejavnikov, ki po mnenju anketirancev vplivata na informacijsko varnost, lahko
obravnavam kot nov dejavnik človek, to sta pravilnost odziva na varnostni dogodek in
poročanje o varnostnem dogodku. Tretji dejavnik pa lahko obravnavam kot dejavnik
tehnologija, ker gre za sisteme za prepoznavanje in preprečevanje varnostnih dogodkov
in incidentov, ob predpostavki, da so ti sistemi pravilno konfigurirani, nameščeni in
vzdrževani. Na dejavnik človek lahko podjetja vplivajo s programi ozaveščanja, ki jih
slovenska podjetja večinoma izvajajo. Na dejavnik tehnologija pa ima vpliv tudi
54
vlaganje proračuna za IT, posodabljanje programske in strojne opreme ter izobraževanje
kadra, ki bo izvajal management programske in strojne opreme. Dejavnika pravilen
odziv na varnostni dogodek ter poročanje o varnostnem dogodku sta še posebej
pomembna z vidika, da varnostni dogodek ne postane varnostni incident in kot tak
vpliva na poslovanje podjetja. Oba dejavnika sta povezana s programi ozaveščanja
zaposlenih ter z managementom varnostnih incidentov. Na eni strani morajo zaposleni
prepoznati varnostne dogodke, na drugi strani pa morajo zaposleni vedeti, kaj narediti,
ko varnostni dogodek prepoznajo, kar namiguje na procesni pristop k reševanju
problematike. Primerjava izsledkov raziskave, ki sem jo izvedla v slovenskih podjetjih,
s tujimi raziskavami pokaže, da na informacijsko varnosti v slovenskih podjetjih v
največjem deležu vpliva človek, saj so dokazano v tujih raziskavah v varnostne grožnje
v največji meri vpleteni ljudje in Slovenija pri tej trditvi ni izjema.
V nadaljevanju prikazujem rezultate odgovorov na vprašanji, koliko poskusov
varnostnih dogodkov in varnostnih incidentov so certificirana in necertificirana podjetja
zaznala v preteklem poslovnem letu.
Tabela 6 prikazuje varnostne grožnje, ki jih imenujem spremenljivke. Opazujem 22
spremenljivk v necertificiranih podjetjih (skupina 0) in v certificiranih podjetjih
(skupina 1) ter izvajam analizo števila poskusov varnostnih dogodkov in števila
varnostnih incidentov v obeh skupinah podjetij.
Tabela 6: Spremenljivke
Oznaka Spremenljivka Oznaka Spremenljivka
S1 nedosegljivost sistema S12 zlorabe brezžičnih povezav
S2 nenadzorovane spremembe
sistema
S13 spletno ribarjenje
S3 preobremenitev sistema S14 širokopasovni ciljani botnet
napadi
S4 izgube storitev S15 click jacking in XSS napadi
S5 nepooblaščeni vstopi v IS S16 zlorabe računalništva v oblaku
S6 strojne in programske okvare S17 odtekanje informacij
S7 višja sila S18 ponarejanje identitete
klicateljev
S8 človeške zlorabe S19 bančne prevare
S9 zlorabe socialnega omrežja S20 kraja identitete
S10 zlorabe z USB ključki S21 prevzemanje sej na delovnih
postajah
S11 zlorabe mobilnih naprav S22 škodljiva programska oprema
55
Varnostne grožnje oziroma spremenljivke vsebinsko razdelim v tri skupine glede na
dimenzijo povzročitelj ali agent po OSA modelu (OSA, 2011). Razvrstitev spremenljivk
v posamezne skupine uporabljam pri analizi podatkov na vprašanji 21 in 22, z razlogom
iskanja odgovora na raziskovalno vprašanje.
V skupino človek dodelim spremenljivke S1-S5, S8-S2.
V skupino tehnologija dodelim spremenljivko S6.
V skupino višja sila dodelim spremenljivko S7.
21. Tabela 7 prikazuje primerjavo med certificiranimi in necrtificiranimi podjetji pri
odgovoru na vprašanje, kolikšno je število poskusov varnostnih dogodkov v
zadnjem poslovnem letu. Na vprašanje je odgovarjalo 15 anketiranih podjetij.
Tabela 7: Poskusi varnostnih dogodkov po skupinah
Skupina
podjetij
Število vseh varnostnih
poskusov
Tehnologija Človek Višja
sila
0 0 0 0 0
0 0 0 0 0
0 18 2 16 0
0 4 0 4 0
0 1 0 1 0
0 0 0 0 0
0 4 3 1 0
0 0 0 0 0
1 4 3 1 0
1 12 6 6 0
1 2 0 2 0
1 8 0 8 0
1 0 0 0 0
1 0 0 0 0
1 0 0 0 0
Skupaj: 15 53 14 39 0
Iz Tabele 7 je razvidno, da je bilo v preteklem poslovnem letu v skupini necertificiranih
podjetij (skupina 0) 27 poskusov varnostnih dogodkov od 53, medtem ko je bilo v
skupini certificiranih podjetij (skupina 1) 26 poskusov varnostnih dogodkov od 53.
Po izvoru varnostnih groženj človek je bilo v skupini necertificiranih podjetij (skupina
0) skupaj 22 poskusov varnostnih dogodkov od 39, kar predstavlja v tej skupini podjetij
več kot 56 odstotkov vseh poskusov varnostnih dogodkov povzročenih s strani človeka.
Po izvoru varnostnih groženj človek je bilo v skupini certificiranih podjetij (skupina 1)
56
skupaj 17 poskusov varnostnih dogodkov od 39, kar predstavlja več kot 43 odstotkov
vseh poskusov varnostnih dogodkov povzročenih s strani človeka v tej skupini podjetij.
Po izvoru varnostnih groženj tehnologija je bilo v skupini necertificiranih podjetij
(skupina 0) skupaj 5 poskusov varnostnih dogodkov od 14, kar predstavlja več kot 35
odstotkov vseh poskusov varnostnih dogodkov povzročenih zaradi tehnologije v tej
skupini podjetij. Po izvoru varnostnih groženj tehnologija je bilo v skupini certificiranih
podjetij (skupina 1) skupaj 9 poskusov varnostnih dogodkov od 14, kar predstavlja več
kot 64 odstotkov vseh poskusov varnostnih dogodkov povzročenih zaradi tehnologije v
tej skupini podjetij.
Od 53 poskusov varnostnih dogodkov jih je 39 povzročenih s strani človeka, kar
predstavlja več kot 73 odstotkov vseh poskusov varnostnih dogodkov. Od 53 poskusov
varnostnih dogodkov je 14 poskusov varnostnih dogodkov povzročenih zaradi
tehnologije, kar predstavlja več kot 26 odstotkov vseh poskusov varnostnih dogodkov.
Po izvoru varnostnih groženj višja sila ni nobena skupina podjetij zasledila poskusov
varnostnih dogodkov.
Tabela 8 prikazuje poskuse varnostnih dogodkov v skupini certificiranih podjetij
(skupina 1) in necertificiranih podjetij (skupina 0). Iz tabele je razvidno, da so 4
certificirana podjetja od 7 (več kot 57 odstotkov) zabeležila poskus varnostnega
dogodka, medtem ko so poskus varnostnega dogodka zabeležila 4 necertificirana
podjetja od 8 (50 odstotkov). Na podlagi Fisherjevega eksaktnega preizkusa ne morem
potrditi, da se delež certificiranih podjetij, ki so utrpela poskus varnostnega dogodka,
statistično značilno razlikuje od deleža necertificiranih podjetij.
Tabela 8: Poskusi varnostnih dogodkov
Poskusi varnostnih dogodkov Crosstabulation
Skupina
Skupaj 0 1
Poskusi varnostnih dogodkov
ne število 4 3 7
odstotek 50 % 42,9 % 46,7 %
da Število 4 4 8
odstotek 50 % 57,1 % 53,3 %
Skupaj število 8 7 15
odstotek 100 % 100 % 100 %
Fisherjev eksaktni preizkus 1
Legenda: % odstotek
57
Med verjetna razloga, ki certificirana podjetja po številu varnostnih dogodkov ne
razlikujejo od necertificiranih podjetij, uvrščam merjenje kontrole management
varnostnih incidentov, saj samo dobrih 11 odstotkov necertificiranih podjetij izvaja
meritve. V certificiranih podjetjih ima merjenje kontrole management varnostnih
incidentov za posledico natančno spremljanje poskusov varnostnih dogodkov, česar pa
ne morem trditi na podlagi statističnih sklepanj v necertificiranih podjetjih. Kot drugi
razlog navajam nesistematično izvajanje SVVI v necertificiranih podjetjih, ki večinoma
nimajo sprejete politike managementa varnostnih incidentov in večinoma nimajo načrta
managementa varnostnih incidentov. Od certificiranih podjetij se ločijo še v nižjih
odstotkih podjetij, ki so sprejela politiko varovanja informacij in politiko managementa
varnostnih incidentov, ki merijo kontrolo management varnostnih incidentov, imajo
načrt managementa varnostnih incidentov, izvajajo izboljšave managementa varnostnih
incidentov in izvajajo programe ozaveščanja o informacijski varnosti za zaposlene.
Necertificirana podjetja sicer v večini primerov izvajajo management varnostnih
incidentov, vendar pa hkrati v večini primerov nimajo načrta za tovrstni management,
nimajo skupine strokovnjakov za management varnostnih incidentov in ne merijo
njegove kontrole. Podatki kažejo na neurejeno spremljanje področja informacijske
varnosti. Sklepam, da zaradi slednjega lahko prihaja do napačnega razumevanja
varnostnih groženj in neažurnega spremljanja le-teh. G. Božič s SI-CERT-a navaja, da
gre med vsemi prijavami varnostnih incidentov večinoma za vprašanja s področja
informacijske varnosti, kar lahko pomeni, da so podjetja premalo ozaveščena o trendih
varnostnih groženj in ranljivosti.
Tabela 9 prikazuje primerjavo med certificiranimi in necrtificiranimi podjetji pri
odgovoru na vprašanje, kolikšno je število varnostnih incidentov v zadnjem poslovnem
letu. Na vprašanje je odgovarjalo 15 anketiranih podjetij.
Tabela 9: Varnostni incidenti po skupinah
Skupina
podjetij
Število vseh varnostnih
incidentov
Tehnologija Človek Višja
sila
0 0 0 0 0
0 0 0 0 0
0 11 3 8 0
0 4 0 4 0
0 1 0 1 0
0 0 0 0 0
0 0 0 0 0
0 0 0 0 0
1 1 0 1 0
1 6 5 1 0
se nadaljuje
58
nadaljevanje
Skupina
podjetij
Število vseh varnostnih
incidentov
Tehnologija Človek Višja
sila
1 2 0 2 0
1 2 0 2 0
1 0 0 0 0
1 0 0 0 0
1 0 0 0 0
Skupaj: 15 27 8 19 0
Iz Tabele 9 je razvidno, da je bilo v preteklem poslovnem letu v skupini necertificiranih
podjetij (skupina 0) 16 varnostnih incidentov od 27, kar predstavlja več kot 59-odstotni
delež vseh varnostnih incidentov. V skupini certificiranih podjetij (skupina 1) je bilo 11
varnostnih incidentov od 27, kar predstavlja več kot 40 odstotni delež vseh varnostnih
incidentov.
Po izvoru varnostnih incidentov človek je bilo v skupini necertificiranih podjetij
(skupina 0) skupaj 13 varnostnih incidentov od 19, kar predstavlja v tej skupini podjetij
več kot 68-odstotni delež vseh varnostnih incidentov po izvoru človek. V skupini
certificiranih podjetij (skupina 1) je bilo 6 varnostnih incidentov od 19, kar predstavlja v
tej skupini podjetij več kot 31-odstotni delež vseh varnostnih incidentov po izvoru
človek.
Po izvoru varnostnih groženj tehnologija so bili v skupini necertificiranih podjetij
(skupina 0) 3 varnostni incidenti od 8, kar predstavlja več kot 37-odstotni delež vseh
varnostnih incidentov po izvoru tehnologija v tej skupini podjetij. V skupini
certificiranih podjetij (skupina 1) je bilo skupaj 5 varnostnih incidentov, kar predstavlja
več kot 62 odstotni delež vseh varnostnih incidentov po izvoru tehnologija v tej skupini
podjetij.
Od skupaj 27 varnostnih incidentov je bilo 19 varnostnih incidentov povzročenih s
strani človeka, kar predstavlja več kot 70 odstotkov vseh varnostnih incidentov. Od
skupaj 27 varnostnih incidentov je bilo 8 varnostnih incidentov povzročenih zaradi
tehnologije, kar predstavlja več kot 29 odstotkov vseh varnostnih incidentov.
Po izvoru varnostnih groženj višja sila nobeno podjetje ni prepoznalo varnostnega
incidenta.
Tabela 10 prikazuje varnostne incidente skupaj v skupinama certificiranih podjetij
(skupina 1) in necertificiranih podjetij (skupina 0). Iz tabele je razvidno, da so 4
certificirana podjetja od 7 (več kot 57 odstotkov) zabeležila varnostni incident, medtem
ko so varnostni incident zabeležila 3 necertificirana podjetja od 8 (več ko 37 odstotkov).
59
Na podlagi Fisherjevega eksaktnega preizkusa ne morem potrditi, da se delež
certificiranih podjetij, ki so utrpela poskus varnostnega dogodka, statistično značilno
razlikuje od deleža necertificiranih podjetij.
Tabela 10: Varnostni incidenti
Varnostni incidenti Crosstabulation
Skupina Skupaj
0 1
Varnostni incidenti ne število 5 3 8
odstotek 62,5 % 42,9 % 53,3 %
da število 3 4 7
odstotek 37,5 % 57,1 % 46,7 %
Skupaj število 8 7 15
odstotek 100 % 100 % 100 %
Fisherjev eksaktni preizkus 0,619
Legenda: % odstotek
Tabela 11 prikazuje primerjavo števila poskusov varnostnih dogodkov s številom
varnostnih incidentov. V obeh skupinah je prišlo do zmanjšanja varnostnih problemov,
ki bi lahko iz varnostnega dogodka postali varnostni incident, za skoraj 60 odstotkov,
kar prepoznam kot pozitiven prispevek k informacijski varnosti, saj stanje odraža
delovanje na področje informacijske varnosti obeh skupin podjetij, ki sta tovrstne
varnostne probleme preprečili. Certificirana podjetja so za več kot 42 odstotkov
preprečila, da bi varnostni dogodki postali varnostni incidenti, necertificirana podjetja
so za več kot 59 odstotkov preprečila, da bi varnostni dogodki postali varnostni
incidenti.
Tabela 11: Primerjava poskusov varnostnih dogodkov z varnostnimi incidenti
Skupina
podjetij
Število vseh varnostnih
poskusov
Število vseh varnostnih
incidentov
Odstotek
Necertificirana
(0)
27 16 ↓ 59,3
Certificirana (1) 26 11 ↓ 42,3
Skupaj 53 27 ↓ 50,9
Legenda: ↓ znižanje
Tabela 12 prikazuje primerjavo števila poskusov varnostnih dogodkov s številom
varnostnih incidentov po izvoru tehnologija. V obeh skupinah je prišlo do zmanjšanja
60
varnostnih dogodkov, ki bi lahko postali varnostni incident, za več kot 57 odstotkov, kar
prepoznam kot pozitiven prispevek k informacijski varnosti, saj stanje odraža delovanje
na področju informacijske varnosti obeh skupin podjetij, ki sta preprečili, da bi poskusi
varnostnih dogodkov postali varnostni incidenti. Certificirana podjetja so za skoraj 56
odstotkov preprečila, da bi varnostni dogodki postali varnostni incidenti, necertificirana
podjetja so za 60 odstotkov preprečila, da bi varnostni dogodki postali varnostni
incidenti.
Tabela 12: Primerjava dejavnika Tehnologija
Skupina
podjetij
Število vseh varnostnih
poskusov Tehnologija
Število vseh varnostnih
incidentov Tehnologija
Odstotek
Necertificirana
(0)
5 3 ↓ 60,0
Certificirana (1) 9 5 ↓ 55,6
Skupaj 14 8 ↓ 57,1
Legenda: ↓ znižanje
Tabela 13 prikazuje primerjavo števila poskusov varnostnih dogodkov s številom
varnostnih incidentov po izvoru človek. V obeh skupinah je prišlo do zmanjšanja
varnostnih dogodkov, ki bi lahko postali varnostni incident, za skoraj 49 odstotkov, kar
prepoznam kot pozitiven prispevek k informacijski varnosti, saj stanje odraža delovanje
na področje informacijske varnosti obeh skupin podjetij, ki sta preprečili, da bi poskusi
varnostnih dogodkov postali v varnostni incidenti. Certificirana podjetja so za več kot
35 odstotkov preprečila, da bi varnostni dogodki postali varnostni incidenti,
necertificirana podjetja so za več kot 59 odstotkov preprečila, da bi varnostni dogodki
postali varnostni incidenti po izvoru človek.
Tabela 13: Primerjava dejavnika Človek
Skupina
podjetij
Število vseh varnostnih
poskusov Človek
Število vseh varnostnih
incidentov Človek
Odstotek
Necertificirana
(0)
22 13 ↓ 59,1
Certificirana (1) 17 6 ↓ 35,3
Skupaj 39 19 ↓ 48,7
Legenda: ↓ znižanje
Tabela 14 prikazuje primerjavo števila poskusov varnostnih dogodkov s številom
varnostnih incidentov po izvoru višja sila. V nobeni od skupin ni prišlo ne do
varnostnega dogodka ne do varnostnega incidenta.
61
Tabela 14: Primerjava dejavnika Višja sila
Skupina
podjetij
Število vseh varnostnih
poskusov Višja sila
Število vseh varnostnih
incidentov Višja sila
Odstotek
Necertificirana
(0)
0 0 0
Certificirana (1) 0 0 0
Skupaj 0 0 0
Kazalci primerjav med podjetji z vidika povzročitelja varnostnega dogodka in
varnostnega incidenta kažejo na večjo uspešnost in delovanje na področju informacijske
varnosti v necertificiranih podjetjih. V certificiranih podjetjih kazalci kažejo ravno
nasprotno, kljub temu da bi v skladu s teoretičnimi izsledki prispevka standarda ISO
27001 k informacijski varnosti morala izboljšati informacijsko varnost predvsem zaradi
sistematičnega spremljanja in odzivanja na varnostne dogodke in varnostne incidente.
Tabela 15 prikazuje primerjavo varnostnih groženj med skupina anketiranih podjetij v
številu poskusov varnostnih dogodkov in številu varnostnih incidentov.
Certificirana podjetja so zabeležila naslednje poskuse varnostnih dogodkov:
a) nedosegljivost sistema,
b) nenadzorovane spremembe sistema,
c) preobremenitev sistema,
d) nepooblaščeni vstopi v IS,
e) strojne in programske okvare,
f) človeške zlorabe,
g) zlorabe socialnega omrežja,
h) zlorabe brezžičnih povezav in
i) odtekanje informacij.
62
Tabela 15: Primerjava varnostnih groženj med skupinama
Poskus
varno-
stnega
dogodka
Skupina podjetij / Število Varnostni
incident
Skupina podjetij / Število
Certificirana
(1)
Necertificirana
(0)
Certificirana
(1)
Necertificirana
(0)
S1 5 1 S1 4 1
S2 1 0 S2 1 0
S3 1 0 S3 0 0
S4 0 0 S4 0 0
S5 1 0 S5 0 0
S6 9 5 S6 5 3
S7 0 0 S7 0 0
S8 2 0 S8 1 0
S9 2 0 S9 0 0
S10 0 3 S10 0 4
S11 0 1 S11 0 0
S12 3 2 S12 0 2
S13 0 0 S13 0 0
S14 0 0 S14 0 0
S15 0 2 S15 0 0
S16 0 0 S16 0 0
S17 2 4 S17 0 0
S18 0 0 S18 0 0
S19 0 0 S19 0 0
S20 0 0 S20 0 0
S21 0 0 S21 0 0
S22 0 9 S22 0 6
Skupaj 26 27 Skupaj 11 16
Legenda: (1) certificirano podjetje, (0) necertificirano podjetje, S1-S22 spremenljivke
Certificirana podjetja so zabeležila naslednje varnostne incidente:
a) nedosegljivost sistema,
b) nenadzorovane spremembe sistema,
c) strojne in programske okvare in
d) človeške zlorabe.
Necertificirana podjetja so zabeležila naslednje poskuse varnostnih dogodkov:
a) nedosegljivost sistema,
63
b) strojne in programske okvare,
c) zlorabe z USB ključki,
d) zlorabe mobilnih naprav,
e) zlorabe brezžičnih povezav,
f) click jacking in XSS napadi,
g) odtekanje informacij in
h) škodljiva programska oprema.
Necertificirana podjetja so zabeležila naslednje varnostne incidente:
a) nedosegljivost sistema,
b) strojne in programske okvare,
c) zlorabe z USB ključki,
d) zlorabe brezžičnih povezav in
e) škodljiva programska oprema.
Slika 35 prikazuje primerjavo števila poskusov varnostnih dogodkov v certificiranih in
necertificiranih podjetjih po spremenljivkah.
Slika 35: Poskusi varnostnih dogodkov v skupinama podjetij
Legenda: S1-S22 spremenljivke
Slika 36 prikazuje primerjavo števila varnostnih incidentov v certificiranih in
necertificiranih podjetjih po spremenljivkah.
64
Slika 36: Varnostni incidenti v skupinama podjetij
Legenda: S1-S22 spremenljivke
Glede na primerjavo anketiranih skupin podjetij ter realizacijo števila poskusov
varnostnih incidentov opazim, da obe skupini podjetij aktivno delujeta na področju
zagotavljana informacijske varnosti. Med varnostnimi incidenti v obeh skupinah
podjetij v večini primerov prednjačijo varnostni incidenti, ki jih povzroča človek. Glede
na poročilo SI-CERT-a za leto 2010 in raziskave CSI/FBI Computer Crime and
Security Survey, CSI Computer Crime and Security Survey, Hone in Eloff, standard
ISO 18044, raziskave NarrowCast Group je rezultat realiziranih varnostnih groženj
pričakovan in slovenska podjetja niso imuna na razvoj najaktualnejših varnostnih
groženj.
SKLEP
V slovenskem prostoru sta bili po letu 1990 v slovenskih podjetjih izvedeni dve
raziskavi na področju informacijske varnosti. Objavljenih pa je več empiričnih raziskav
ali študij primera v sklopu diplomskih ter magistrskih nalog na primerih podjetij, ki
vpeljujejo SVVI v podjetje ali del podjetja.
V magistrskem delu sem izsledke različnih domačih ter tujih avtorjev povezovala z
izsledki svoje empirične raziskave, izvedene na slovenskih podjetjih, ki so certificirana
v skladu z zahtevami standarda ISO 27001, in necertificiranih podjetjih, primerljivimi
po prihodkih. Na podlagi statističnega sklepanja ugotavljam naslednje:
65
vsa certificirana podjetja izvajajo zahteve, ki jih določa standard ISO 27001,
področje informacijske varnosti je urejeno sistematično;
večji delež necertificiranih podjetij ima interes preprečevanja varnostnih incidentov;
iz rezultatov empirične raziskave je opaziti, da je področje informacijske varnosti
nesistematično urejeno;
večji delež obeh anketiranih skupin podjetij se strinja, da delajo podjetja ranljiva v
največji meri ljudje, na drugem mestu se pojavljata programska oprema in okvare
strojne opreme;
v največji meri vpliva na informacijsko varnost pravilen odziv na varnostni
dogodek, sledi dejavnik sistemi za prepoznavanje in preprečevanje varnostnih
dogodkov in incidentov, na tretjem mestu pa je dejavnik poročanje o varnostnem
dogodku; skupna značilnost prvemu in tretjemu dejavniku je neposreden vpliv
človeka na informacijsko varnost;
vsa certificirana podjetja enkrat letno izvajajo programe ozaveščanja za zaposlene,
ki vsebujejo tudi izobraževanja in treninge, necertificirana podjetja izvajajo
programe v zelo različnih intervalih;
na informacijsko varnost vplivajo po mnenju anketiranih podjetij tudi naprave za
zaznavanje in preprečevanje varnostnih dogodkov in incidentov, kar pa lahko
opišem z vplivom delovanja tehnologije na informacijsko varnost;
certificirana podjetja testirajo delovanje načrtov managementa varnostnih
incidentov, necertificirana podjetja pa ne testirajo delovanja načrtov managementa
varnostnih incidentov, niti ne merijo kontrole management varnostnih incidentov,
vendar izvajajo management varnostnih incidentov; zaradi navedenega je vprašljiva
verodostojnost pridobljenih rezultatov preko spletnega anketnega vprašalnika o
številu varnostnih dogodkov in številu varnostnih incidentov;
kot pomembni dejavniki, ki vplivajo na informacijsko varnost v obeh skupinah, so
se izkazali še poročanje o ranljivostih IS ali storitve, hitrost odziva na varnostni
dogodek, skladnost s standardom ISO 27001, pripadnost zaposlenih ter tretjih oseb
podjetju, odgovornost zaposlenih ter tretjih oseb podjetju, pravilno delovanje
sistemov za prepoznavanje in preprečevanje varnostnih incidentov ter natančno
opredeljen postopek poročanja o varnostnem incidentu;
večji delež necertificiranih podjetij in niti eno certificirano podjetje nima
organizacijske enote za informacijsko varnost;
certificirana podjetja ne prijavljajo varnostnih incidentov, medtem ko jih večina
necertificiranih podjetij prijavlja.
Na podlagi izsledkov empirične raziskave ne morem sklepati, da v slovenskih podjetjih
standard ISO 27001 statistično značilno prispeva k zagotavljanju informacijske
varnosti. Kot možne dejavnike, ki vplivajo na rezultate empirične raziskave, navajam:
66
velikost populacije certificiranih in necertificiranih podjetij, na katerih sem izvajala
empirično raziskavo;
poznavanje področja managementa informacijske varnosti in ažurno sledenje
trendom varnostnih groženj ter ranljivostim s strani anketirancev, ki so odgovarjali
na spletni anketni vprašalnik;
politika varovanja informacij v podjetjih.
Glede na dejstvo, da ni statistično značilnih razlik med skupinama podjetij, lahko na
informacijsko varnost vplivajo poleg certificiranosti v skladu z zahtevami standarda
ISO 27001 tudi drugi dejavniki, kot na primer:
sistematično spremljanje in izvajanje managementa informacijske varnosti,
ozaveščanje zaposlenih o informacijski varnosti,
prijavljanje varnostnih incidentov,
zavezanost vrhnjega vodstva podjetij,
vlaganje sredstev ter virov v zagotavljanje informacijske varnosti,
razvoj tehnologije,
in drugo.
Empirična raziskava, ki sem jo izvedla na slovenskih certificiranih podjetjih, je
preliminarna raziskava v slovenskem prostoru in odpira nova vprašanja s področja
informacijske varnosti. Zaradi velikosti populacije in vzorca podjetij izsledkov
raziskave ni mogoče posploševati na vso populacijo. Potrebno bo izvesti več
primerljivih raziskav na večji populaciji podjetij, še posebej takrat, ko bo število
certificiranih podjetij narastlo. Tovrstne raziskave bodo ustvarile natančnejše statistične
izsledke o prispevkih standarda ISO 27001 k zagotavljanju informacijske varnosti.
67
LITERATURA IN VIRI
1. 2010 Annual Study: U.S. Cost of a Data Breach. Najdeno 14. junija 2011 na
spletnem naslovu
http://msisac.cisecurity.org/resources/reports/documents/symantec_ponemon_
data_breach_costs_report2010.pdf
2. Albrechtsen, E., & Hovden, J. (2009). The information security digital divide
between information security managers and users. Computers&Security, 28,
476−490.
3. Albrechtsen, E., & Hovden, J. (2010). Improving information security awareness
and behaviour through dialogue, participation and collective reflection. An
intervention study. Computers&Securit, 29, 432−445.
4. Arora, A., Nandkumar, A., & Telang, R. (2006). Does information security attack
frequency increase with vulnerabilities disclosure? Inf Syst Front, 8, 350–362.
5. Ayoub, R. (2011). The 2011 (ISC)² Global Information Security Workforce Study.
ISC 2. org. Najdeno 23. marca 2011 na spletnem naslovu
https://www.isc2.org/uploadedFiles/Industry_
Resources/FS_WP_ISC odstotkov20Study_020811_MLW_Web.pdf
6. Begunović, D. (2004). Vpeljava sistema za informacijsko podporo uporabnikom z
uporabo standardnih priporočil (magistrsko delo). Ljubljana: Ekonomska fakulteta.
7. Computer crime and security survey. Najdeno 15. junija 2011 na spletnem naslovu
http://www.cpppe.umd.edu/Bookstore/Documents/2005CSISurvey.pdf
8. CSI Computer Crime & Security Survey. Najdeno 23. marca 2011 na spletnem
naslovu http://www.pathmaker.biz/whitepapers/CSISurvey2009.pdf
9. Diagram poteka napada. Najdeno 22. decembra 2011 na spletnem naslovu
https://www.owasp.org/images/8/86/2010-T10-ArchitectureDiagram.png
10. Dlamini, M. T., Eloff, J. H. P., & Eloff, M. M. (2009). Information security: The
moving target. Copmuters&Securit, 28, 189−198.
11. Elky S. (2006, 31. april). An Introduction to Information System Risk Management.
Docstoc.com. Najdeno 10. junija 2011 na spletnem naslovu
http://www.docstoc.com/
docs/35308886/introduction-information-system-risk-management-1204
12. Everett, C. (2011). Is ISO 27001 worth it? Computer Fraud&Security, 2011(1),
5−7.
13. Fernandez, E. B., Yoshioka, N., Washizaki, H., & VanHilst, M. (2010). Measuring
the level of security introduced by security patterns. IEE Computer Society,
565−568.
14. Global Research on Data Leaks in 2009. Najdeno 22. decembra 2010 na spletnem
naslovu http://www.securelist.com/en/analysis/204792108/
Global_Research_on_Data_Leaks_in_2009
15. Hone, K., & Eloff, J. H. P. (2009). Information security governance: Business
requirements and research direction. Corporate Ownership&Control, 7(1), 309-317.
68
16. Horjak, M. (2007).Vpliv varne informacijske tehnologije na ekonomsko uspešnost
podjetja.Mfc-l-si. Najdeno 10. marca 2011 na spletnem naslovu http://www.mfc-
2.si/uploads/news/id32/horjak_vpliv_varne_informacijske_tehnologije_na_ekonoms
ko_uspesnost_podjetja.pdf
17. How to raise information security awareness. Najdeno 13. junija 2011 na spletnem
naslovu http://www.enisa.europa.eu/act/ar/deliverables/2010/new-users-guide
18. Hudoklin, A., & Šmitek, B. (1994). Computer Systems Security in Slovenia.
Computers&Security, 13, 30−33.
19. Informacjska varnost. (b.l.) V Wikipedia. Najdeno 10. marca 2011 na spletnem
naslovu http://sl.wikipedia.org/wiki/Informacijska_varnost
20. ISO. (2004). Information tehnology-Security tehniques-Information security
incident management. Geneva: International Organization for Standardization.
21. ISO. (2006). Information tehnology-Security tehniques-Information security
management-Requirements. Ljubljana: Sloveski inštitut za standardizacijo.
22. ISO. (2008). Information tehnology-Security tehniques-Code of practice for
information security management. Ljubljana: Sloveski inštitut za standardizacijo.
23. ISO. (2009). Information technology — Security techniques — Information security
management systems — Overview and vocabulary. Geneva: International
Organization for Standardization.
24. ISO/IEC 27001 certifications increasing by ~1,000 per year. Najdeno 24. marca
2011 na spletnem naslovu http://www.iso27001security.com/html/27001.html
25. ISO/IEC 27001:2005. Najdeno 13. junija na spletnem naslovu http://www.e-
standard.si/27001
26. Justin, T. (2010). Vpliv IKT na urejenost in poslovanje podjetja (diplomsko delo).
Koper. Fakulteta za management Koper.
27. Kazenski zakonik RS in vdori v računalniški sistem. Najdeno 23. marca 2011 na
spletnem naslovu http://www.cert.si/zakonodaja/kazenski-zakonik.html
28. Kriminalistična preiskava računalniške kriminalitete slovenske policije v
sodelovanju z ameriškim FBI. Najdeno 11. marca 2011 na spletnem naslovu
http://policist.si/content/view/746/67/
29. Liginlal, D., Sim., & Khansa, L. (2009). How significant is human error as a cause
of privacy breaches?. Computers&Security, 28, 215−228.
30. Litan, A. (2010, 15. december). Top Ten 2011 Threats and Trends. Gartner.com.
Najdeno 23. marca 2011 na spletnem naslovu http://blogs.gartner.com/avivah-
litan/2010/12/15/2011-threats-and-trends/
31. Niekerk, J. F., & Von Solms, R. (2010). Information security culture: A mangement
perspective. Computers&Security, 29, 476−486.
32. Number of ISO/IEC 27001(or equivalent) certificates. Najdeno 25. julija 2011 na
spletnem naslovu http://www.iso27001security.com/html/27001.html
33. O centru. Nadeno 9.junija2011 na spletnem naslovu http://www.cert.si/o-
centru.html
69
34. Obravnavani varnostni incidenti v letu 2010. Najdeno 23. marca 2011 na spletnem
naslovu http://www.cert.si/fileadmin/dokumenti/si-cert/SI-
CERT_obravnavani_incidenti_2010.pdf
35. Outpacing change. Najdeno 23. marca 2011 na spletnem naslovu
http://www.ey.com/Publication/vwLUAssets/12th_annual_global_information_secu
rity_survey_brochure/$FILE/12th odstotkov20annual odstotkov20global
odstotkov20information odstotkov20security odstotkov20survey.pdf
36. Ovire pri uporabi interneta. Najdeno 25. aprila 2011 na spletnem naslovu
http://www.ris.org/db/13/11521/RIS_poro odstotkovC4
odstotkov8Dila/Digitalni_razkorak_2009:_Ovire_pri_uporabi_interneta/?&p1=276
&p2=285&p3=1318
37. Park, C-S., Jang, S-S., & Park, Y-T. (2010). A study of Information Security
Management System [ISMS] Certification on Organization Performance.
International Journal of Computer Science and Network Security, 10(3), 10−21.
38. Patel, S., & Zaveri, J. (2010). A Risk-Assessment Model for Cyber Attacks on
Information Systems. Journal of Computer, 5(3), 352−359.
39. Primožič, Rok. (2007). Pomen zasebnosti in varnosti pri ustvarjanju zaupanja na
internetu (magistrsko delo). Ljubljana. Ekonomska fakulteta.
40. Respected—but still restrained. Najdeno 4. marca 2011 na spletnem naslovu
http://www.pwc.com/gx/en/information-security-survey/pdf/giss-2011-survey-
report.pdf
41. Ruf, L., Thorn, A., Christen, T., Gruber, B., Portmann, R. Najdeno 4. marca 2011 na
spletnem naslovu http://www.isss.ch/fileadmin/publ/agsa/ISSS-AG-Security-
Architecture__Threat-Modeling_Lukas-Ruf.pdf
42. Saksida, M. (2008). Upravljanje incidentov pri varovanju informacij. Enaa.com.
Najdeno 23. marca 2011 na spletnem naslovu http://dne.enaa.com/Internet-in-
programi/Internet/Upravljanje-incidentov-pri-varovanju-informacij.html
43. Saksida, M. (2010). Politika varovanja informacij s poudarkom na upravljanju s
človeškimi viri (magistrsko delo). Ljubljana: Fakulteta za varnostne vede.
44. Scarfone, K., Grance, T., Masone, K. (2008). Computer Security Incident Handling
Guide. Najdeno 14. junija 2011 na spletnem naslovu
http://csrc.nist.gov/publications/nistpubs/800-61-rev1/SP800-61rev1.pdf
45. Škornik, M., & Škornik, V.(2010). Proces upravljanja informacijskih tveganj.
Najdeno 22. marca 2011 na spletnem naslovu http://fl.uni-mb.si/lab_inf/wp-
content/uploads/2010/11/konferenca_Skornik_2010.pdf
46. Threat Classification Method. Najdeno 5. novembra 2010 na spletnem naslovu
http://www.opensecurityarchitecture.org/cms/library/threat_catalogue
47. Top 10 Cyber Security Threats of 2011 and Beyond. Najdeno 24. marca 2011 na
spletnem naslovu http://www.itbusinessedge.com/slideshows/show.aspx?c=87289
48. V ZDA za 27 odstotkov manj primerov kraje identitete. Najdeno 11. marca 2011 na
spletnem naslovu http://www.siol.net/tehnologija/racunalnistvo/2011/02/v
_zda_za_27_odstotkov_manj_primerov_kraje_identitete.aspx
70
49. What State Business and Technology Managers Need to Know. Najdeno 15. junija
2011 na spletnem naslovu http://www.oregon.gov/DAS/SCD/docs/csifbi.ppt
50. Wright, S. (2006). Measuring the Effectiveness of Security using ISO 27001.
Iwar.org. Najdeno 16. marca 2011 na spletnem naslovu
http://www.iwar.org.uk/comsec/resources/iso-27001/measuring-effectiveness.pdf
51. Žagar, G. (2006). Metode in tehnike napadov na informacijsko-komunikacijske
sisteme. (diplomsko delo). Ljubljana: Fakulteta za računalništvo in informatiko.
52. Židanik, M., Šinigoj, A., Pahor, M., & Kranjc, M. (2004, oktober). Raziskava o
informacijski varnosti – RIV2004. Ministrstvo za informacijsko družbo RS. Najdeno
25. aprila 2011 na spletnem naslovu http://mid.gov.si/mid/
mid.nsf/V/K27E5C33FBE14DDD0C1256FF60023AE20/$file/RIV2004.pdf
PRILOGE
KAZALO PRILOG
Priloga 1: Seznam pojmov in kratic ...................................................................................... 1
Priloga 2: Vprašalnik o informacijski varnosti ...................................................................... 3
1
Priloga 1: Seznam pojmov in kratic
Cyber attack Kibernetski napad
DDoS napad DDOS napad (angl. Distributed Denial of Service) je oblika napada, ki
je podobna DoS napadu z razliko, da napadalec uporablja več
nezakonito prilaščenih podračunalnikov, imenovane »DoS
boxe« ali »zombije«. Z DoS računalnikom izvaja ukaze napadov na
tarče. Pri tem napadu je podatkov bistveno več kot pri DoS napadu saj
več računalnikov pošlje več podatkov.
DoS napad DoS napad (angl. Denial of Service) je oblika napada, ki povzroči
okvaro operacijskega sistema na računalniku ali ga tako obremeni z
informacijami, da ne more več učinkovito delovati.
ENISA The European Network and Information Security Agency
Grožnja Je vir možnega varnostnega incidenta pri varovanju informacij, ki ima
za posledice nasprotne učinke na sredstva ali podjetje.
Heker Pogosto uporabljen izraz za osebo, ki se ukvarja z računalniškimi vdori
- se priključi na računalnik nezakonito ali brez pooblastila (tudi
vdiralec).
Informacijsko
sredstvo
Je karkoli predstavlja vrednost podjetju (vir: Standard ISO/IEC
27000:2009).
IS Informacijski sistem je urejen in organiziran sistem, ki uporabnike
oskrbuje z vsemi potrebnimi informacijami za odločanje. Osnovne
aktivnosti informacijskega sistema so zbiranje, shranjevanje, obdelava
in posredovanje rezultatov končnim uporabnikom.
ISIRT Information Security Incident Response Team
ISMS Information Security Management System
ISO International Organization for Standardization
IT Informacijska tehnologija
Ranljivost Je slabost sredstva ali varnostne kontrole, ki se jo da zlorabiti z grožnjo
(vir: Standard ISO/IEC 27000:2009).
Ribarjenje S tem pojmom se opredeljuje kraja podatkov, ki storilcu omogočijo
dostop do spletnih storitev v našem imenu. V običajnem scenariju nas
skuša storilec z elektronskim sporočilom zvabiti na lažno stran,
običajno pod pretvezo, da se moramo zaradi preverjanja podatkov ali
dodatnih ugodnosti prijaviti in "preveriti podatke". Če na tej lažni,
"phishing" strani vpišemo geslo za dostop, se le-to posreduje storilcu
(vir: http://www.cert.si/varnostne-groznje/phishing.html).
Sistem Katera koli skupina komponent (funkcij, ljudi, aktivnosti, dogodkov
itd.), ki so v medsebojni interakciji za doseganje predhodno definiranih
ciljev.
2
Spyware Program, ki je namenjen (prikritemu) zbiranju osebnih podatkov,
pogosto pa tudi prikazovanju oglasov, preusmerjanju spletnih
brskalnikov oziroma različnim nezakonitim dejavnostim.
SQL injection Vrsta napada na slabo sprogramirano spletno aplikacijo, ki ne preverja
vhodnih podatkov od uporabnika ter omogoča direktno izvajanje SQL
ukazov za delo s podatkovnimi bazami (npr. vstavlja napačne
informacije, spreminja ali briše podatke). Z uspešnim vdorom preko
SQL injection je možno dostopati do vseh podatkov v bazi, do katerih
ima dostop tudi aplikacija, torej tudi do podatkov, ki niso namenjeni
javnosti ali drugim uporabnikom.
SVVI Sistem vodenja varovanja informacij
Škodljiva
programska
oprema
(malware)
Gre za programsko opremo, ki se brez lastnikovega vedenja ali
privoljenja vtihotapi v računalniški sistem in ga poškoduje: virusi, črvi,
trojanci, vohunski programi, sleparski reklamni programi in druga
škodljiva in neželena programska oprema.
Varnostni
dogodek
Pojav ali dogodek, ki kaže na kršitev politike varovanja informacij ali
varnostnih kontrol ali neznana situacija, ki lahko ogrozi varnost
podjetja (vir: Standard ISO/IEC 27000:2009).
Varnostni
incident
Je en ali več neželenih varnostnih dogodkov, za katere je zelo verjetno,
da bi ogrozili poslovanje podjetja in ogrožali informacijsko varnost
(vir: Standard ISO/IEC 27000:2009).
Vdor Kdor pri gospodarskem poslovanju neupravičeno uporabi, spremeni,
preslika, prenaša, uniči ali v informacijski sistem vnese kakšen svoj
podatek, ovira prenos podatkov ali delovanje informacijskega sistema
ali kako drugače vdre v informacijski sistem, da bi sebi ali komu
drugemu pridobil protipravno premoženjsko korist ali drugemu
povzročil premoženjsko škodo (povzeto po kazenskem zakoniku RS).
XSS napad XSS (angl. Cross-Site Scripting) je oblika napada, ko aplikacija
sprejme podatke, ki niso vredni zaupanja, in jih pošlje v spletni
brskalnik brez ustrezne potrditve. Napadalcu omogoča izvajanje skript,
katerih cilj je prevzemanje uporabniških sej, izmaličenje spletnih strani
ali preusmeritev uporabnika na zlonamerne strani.
3
Priloga 2: Vprašalnik o informacijski varnosti
Spoštovani!
Sem podiplomska študentka na Ekonomski fakulteti v Ljubljani ter mlada raziskovalka iz
gospodarstva v podjetju Viris, varnost in razvoj informacijskih sistemov, d. o. o.
Področje mojega raziskovalnega programa pokriva učinke certificiranosti v skladu z
ISO/IEC 27001:2005, natančneje se bom v okviru magistrske naloge osredotočila na
prispevke standarda ISO 27001 k informacijski varnosti v slovenskih podjetjih.
Podatke bom uporabila anonimno in izključno za potrebe svojega magistrskega dela. V
kolikor bi želeli elektronsko različico magistrskega dela, vas naprošam, da pošljete
elektronsko sporočilo na [email protected].
Vprašalnik vam bo vzel največ 10 minut časa.
Vljudno vas naprošam za vaše odgovore, ki mi bodo v pomoč pri pripravi empiričnega
dela magistrske naloge.
Polona Novak Vodopivec,
mlada raziskovalka iz gospodarstva
v podjetju Viris d. o. o.
4
1. SKLOP VPRAŠANJ
1. Delovno mesto
__________________________________
2. Izkušnje na področju informacijske varnosti.
a) Do 2 leti.
b) Od 2 do 5 let.
c) Od 5 do 10 let.
d) Nad 10 let.
e) Nimam izkušenj.
3. Ste certificirani v skladu s standardom ISO/IEC 27001:2005? Izberite samo en
odgovor.
a) Da.
b) Ne.
4. Kdaj ste certifikat ISO/IEC 27001:2005 zadnjič obnovili? Izberite samo en odgovor. V
primeru, da niste certificirani v skladu s standardom ISO/IEC 27001:2005, pojdite na
vprašanje št. 7.
a) Pred letom 2008.
b) Leta 2008.
c) Leta 2009.
d) Leta 2010.
e) Leta 2011.
f) Certifikata nismo obnovili.
5. Kateri so razlogi za certificiranje v skladu z zahtevami standarda ISO/IEC
27001:2005? Možnih je več odgovorov.
a) Zagotavljanje informacijske varnosti.
b) Večji ugled podjetja.
c) Večje zaupanje v podjetje.
d) Pogoji poslovnih partnerjev.
e) Preprečevanje varnostnih problemov.
f) Zakonodaja.
g) Drugo: __________
5
6. Ali ste na kakršen koli način sodelovali pri vpeljavi sistema vodenja varovanja
informacij (pri pripravi dokumentacije, varnostnih kontrol, oceni tveganja, predlogih za
izboljšave ...)? Izberite samo en odgovor.
a) Aktivno sem sodeloval.
b) Občasno sem sodeloval.
c) Sploh nisem sodeloval.
7. Ali imate organizirano posebno organizacijsko enoto za informacijsko varnost?
a) Da.
b) Ne.
8. Ali imate skupino strokovnjakov (angl. Information security incident response team),
ki se ukvarja z managementom varnostnih incidentov)?
a) Da.
b) Ne.
c) Sodelujemo z zunanjimi izvajalci.
9. Ali imate sprejeto politiko varovanja informacij?
a) Da.
b) Ne.
10. Ali imate sprejeto politiko managementa varnostnih incidentov?
a) Da.
b) Ne.
11. Ali izvajate management varnostnih dogodkov in incidentov?
a) Da.
b) Ne.
12. Ali merite kontrolo management varnostnih incidentov?
a) Da.
b) Ne.
6
13. Ali prijavljate varnostne incidente organom kot so policija, SI-CERT …?
a) Da.
b) Ne. Navedite razlog:_______________
14. Ali imate sprejet načrt managementa varnostnih incidentov?
a) Da.
b) Ne. Navedite razlog:_______________
15. Ali izvajate izboljšave v zvezi z managementom z varnostnimi incidenti? Navedite
pogostost izvajanja izboljšav oziroma razlog, zakaj izboljšav ne izvajate.
a) Da. Pogostost:____________
b) Ne. Pogostost:____________
16. Koliko kontrol v skladu s standardom ISO/IEC 27002:2008 ste v podjetju uvedli?
a) Kontrol nimamo uvedenih. Razlog:__________
b) Uvedli smo vse kontrole.
c) Uvedli smo nekaj novih kontrol
17. Ali izvajate programe ozaveščanja o informacijski varnosti za zaposlene?
a) Da. Pogostost:________________
b) Ne. Navedite razlog:____________________
18. Kolikšen odstotek proračuna IT je bil v zadnjem poslovnem letu namenjen za
zagotavljanje informacijske varnosti?
a) Nič.
b) Do 10 odstotkov.
c) Do 25 odstotkov.
d) Več kot 25 odstotkov.
e) Ne vem.
2. SKLOP VPRAŠANJ
Na vprašanja odgovarjajte v skladu z vašimi prepričanji ter stališči do problematike.
1 pomeni, da se s trditvijo sploh ne strinjate, 7 pomeni, da se s trditvijo popolnoma
strinjajte.
7
19. Ranljivost podjetij dela:
Trditve / Nivo strinjanja 1 2 3 4 5 6 7
a) strojna oprema
b) ljudje
c) programska oprema
d) vzdrževanje informacijskega sistema
e) okvare strojne opreme
f) fizično varovanje
g) nenadzorovane spremembe sistema
h) dejavniki višje sile (potres, poplava, udari strele, veter ...)
20. Na informacijsko varnost vpliva:
Trditve / Nivo strinjanja 1 2 3 4 5 6 7
a) strojna oprema
b) management varnostnih incidentov
c) skladnost s standardom ISO/IEC 27001:2005
d) izvajanje programov ozaveščanja za zaposlene
e) prepoznavanje varnostnih groženj
f) prepoznavanje ranljivosti
g) izvajanje ocene tveganja
h) ozaveščanje zaposlenih o trendih varnostnih groženj
i) sistemi za prepoznavanje in preprečevanje varnostnih
dogodkov ter incidentov
j) poročanje o varnostnem dogodku
k) poročanje o ranljivostih IS ali storitve
l) hitrost odziva na varnostni dogodek
m) pravilnost odziva na varnostni dogodek
n) pravilnost odziva na varnostni incident
o) identificiranje varnostnega dogodka, ki lahko postane
varnostni incident
p) hitrost odziva na varnostni incident
q) število varnostnih incidentov je pokazatelj stopnje
informacijske varnosti
r) število varnostnih dogodkov je pokazatelj stopnje
informacijske varnosti.
s) testiranje delovanja načrta managementa varnostnih
incidentov
t) pripadnost zaposlenih ter tretjih oseb podjetju
u) odgovornost zaposlenih ter tretjih oseb
v) pravilno delovanje sistemov za prepoznavanje in
preprečevanje varnostnih incidentov
w) natančno opredeljen postopek poročanja o varnostnem
8
dogodku
x) natančno opredeljen postopek poročanja o varnostnem
incidentu
y) zakonodaja države (zakoni, akti, pravilniki ...)
21. Kolikšno je število poskusov varnostnih dogodkov v zadnjem poslovnem letu:
a) nedosegljivost sistema
b) nenadzorovane spremembe sistema
c) preobremenitev sistema
d) izgube storitev
e) nepooblaščeni vstopi v IS
f) strojne in programske okvare
g) višja sila
h) človeške zlorabe
i) zlorabe socialnega omrežja
j) zlorabe z USB ključki
k) zlorabe mobilnih naprav
l) zlorabe brezžičnih povezav
m) spletno ribarjenje
n) širokopasovni ciljani botnet napadi
o) click jacking in XSS napadi
p) zlorabe računalništva v oblaku
q) odtekanje informacij
r) ponarejanje identitete klicateljev
s) bančne prevare
t) kraja identitete
u) prevzemanje sej na delovnih postajah
v) škodljiva programska oprema
22. Kolikšno je povprečno število varnostnih incidentov v zadnjem poslovnem letu:
a) nedosegljivost sistema
b) nenadzorovane spremembe sistema
c) preobremenitev sistema
d) izgube storitev
e) nepooblaščeni vstopi v IS
f) strojne in programske okvare
g) višja sila
h) človeške zlorabe
i) zlorabe socialnega omrežja
j) zlorabe z USB ključki
9
k) zlorabe mobilnih naprav
l) zlorabe brezžičnih povezav
m) spletno ribarjenje
n) širokopasovni ciljani botnet napadi
o) click jacking in XSS napadi
p) zlorabe računalništva v oblaku
q) odtekanje informacij
r) ponarejanje identitete klicateljev
s) bančne prevare
t) kraja identitete
u) prevzemanje sej na delovnih postajah
v) škodljiva programska oprema
ZAHVALA
Za izkazano dobro voljo se Vam zahvaljujem.
Polona Novak Vodopivec,
mlada raziskovalka iz gospodarstva
v podjetju Viris d. o. o.
