Želite saznati više?

Kontaktirajte nas

Svijet IT-a prepun je uzbudljivih događaja koji pune naslovnice: virus WannaCry prekinuo je proizvodnju u Renault-Nissanu, dok su hakeri zaustavili rad elektrana u Ukrajini i pročitali elektroničku poštu Hillary Clinton. I Emmanuel Macrona, pri čemu se taj napad osobito ističe u odnosu na ostale.

Za razliku od drugih udara, za taj smo svi znali da se sprema. Nakon što je hakirana elektronička pošta Hillary Clinton, postalo je jasno da će hakeri pokušati diskreditirati sve kandidate koji stoje na putu njihovim populističkim protukandidatima. Najviši francuski stručnjaci za sigurnost znali za to i imali su se vremena pripremiti. Kad je napad započeo, TrendMicro, dobavljač sigurnosne opreme, odmah ga je otkrio. Međutim, hakeri su ipak bili bolji: zajedno s lažnim podacima procurili su i dokumenti te elektronička pošta Macronovog tima. Stoga, ako ni tim francuskog predsjednika koji je bio do zuba naoružan najnovijom sigurnosnom opremom nije mogao zaustaviti očekivani napad, može li obična osoba ili organizacija koja ništa ne sumnja biti sigurna? Možemo li vjerovati računalima?

Računala upravljaju našim životima i stoga im moramo vjerovati. Kad bi netko pritisnuo gumb kojim se mogu isključiti sva računala u svijetu, nestalo bi svjetla, banke bi se paralizirale i mobilni bi telefoni prestali raditi. Došlo bi do nereda i stradavanja ljudi. Zapravo, mi tek ulazimo u doba u kojem će svaka „stvar” imati ugrađeno računalo. 

Potraga za propustima

Zašto je tome tako? Svi stručnjaci za sigurnost upiru prstom u istog krivca, softversku pogrešku. Postoje znanstvene studije u kojima je prilično precizno kvantificiran taj problem. Steve McConnel, autor udžbenika o softverskom inženjeringu, procjenjuje da stopa pogreške standardna za industriju iznosi između 15 i 50 pogrešaka na tisuću programskih linija. Nije svaka pogreška sigurnosna pogreška, ali ipak takva matematika ne sluti na dobro: Firefoxov preglednik, primjerice, ima 16 milijuna linija kodova, dok operativni sustav Windows ima čak 50 milijuna.

Jesu li pogreške neizbježne? Kod može biti napisan tako da je sa znanstvenog stajališta u potpunosti zaštićen od pogreške. Primjerice, SPARK je računalni jezik koji je posebno razvijen u tu svrhu: upotrebljava se, primjerice, za kontrolu zračnog prometa u Engleskoj tako da se ne morate brinuti kad slijećete u zračnu luku Heathrow.

Ako softverske pogreške nisu neizbježne, zašto do njih dolazi? Jedan je od odgovora da timovi za razvoj softvera često prednost daju vremenu potrebnom za plasman na tržište u odnosu na kvalitetu. Testiranjem se ne mogu pronaći sve pogreške jednostavno zato jer se ne mogu testirati svi scenariji. Pri potrazi za pogreškama razvojni timovi traže funkcionalne, a ne sigurnosne pogreške. Možda je problem u tome da danas svatko može napisati kod – u modernim razvojnim okruženjima omogućeno je stvaranje softvera klikom miša. Na neki način razvoj softvera više nije znanost: mnogi se ljudi koji se njime bave više ne oslanjaju na znanje, pravila ili najbolje prakse koje su razvile tisuće znanstvenika na terenu jer ih jednostavno nisu naučili. Drugi je odgovor da je IT star svega nekoliko desetljeća. Za usporedbu, u građevinarstvu, području koje je staro tisuću godina, ne događa se da se od tisuću cigli njih 15 do 50 sustavno pogrešno postavlja.

Rezultat je zlatni rudnik sigurnosnih propusta. Riječ „zlatni” upotrijebljena je u doslovnim značenju jer se takozvani zlonamjerni „0-day” kodovi u pravilu prodaju za desetke tisuća eura kupcima koji navodno uključuju subjekte kao što je vlada SAD-a.

sigurnost-cloud

Spas u oblaku i brojevima

Nada ipak postoji. Kao prvo, sigurnost IT-a treba postati prioritet. Prioritet nisu ni dostupnost sustava, ni značajke, ni uspješnost, ni zahtjevi korisnika. Nesumnjivo nema ništa gore od krađe ili oštećenja korisničkih podataka. Zbog sve veće složenosti i brzine promjena u području sigurnosnih rješenja vrlo je malo organizacija koje same mogu izgraditi potrebnu infrastrukturu i upravljati njome. Poduzeća trebaju pronaći ne samo dobavljače sigurnosnih rješenja, već i pružatelje sigurnosnih usluga koji mogu preuzeti dio tereta i pružiti ga kao uslugu.

Računalstvo u oblaku obično se ne smatra sigurnosnom uslugom iako je u svaku njegovu ponuda nesumnjivo ugrađena snažna sigurnosna komponenta. Primjerice, Office 365 mail i skup programa za suradnju („collaboration suite”) obično se ne smatraju sigurnosnom uslugom, ali oni su upravo to: pružatelj usluga u oblaku pokriva fizičku sigurnost i sigurnost sustava uz kontinuirano upravljanje neželjenom poštom i prijetnjama zlonamjernog softvera.

Postoji jedan alat koji je svjetlo na kraju tunela i koji je prisutan od nastanka svemira: matematika, odnosno njezina primjena. Kriptografijom se na pouzdan način može osigurati privatnost komunikacija zahvaljujući enkripciji. Ona omogućuje da se s pomoću digitalnih potpisa i certifikata provjeri identitet, s pomoću ključeva i potpisa osigura integritet i s pomoću lanca blokova zaštite informacije od kopiranja. Da je Macronov tim primijenio kriptografiju, ne samo da napadači ne bi mogli pročitati datoteke koje su procurile, već bi se i krivotvoreni dokument s lakoćom mogli identificirati.

Vraćanje izgubljenog povjerenja u računala nije samo dužnost softverskih inženjera i stručnjaka za sigurnost. To je posao za svakog pojedinačnog korisnika jer ti alati i procesi omogućuju svakom pojedincu da sam ponovno izgradi povjerenje u računalstvo. Tek tada ćemo u potpunosti moći uživati u svijetu računala kao u privatnom, sigurnom prostoru i alatu koji taj svijet, kao što svi znamo, može biti.

Autor: Miroslav Pikus,
stručnjak za usluge u oblaku

ICT I CLOUD USLUGE

POKRENITE VAŠE POSLOVANJE I POSLUJTE U OBLAKU

Saznajte više

Komentirajte