Prošle je godine šteta od krađe identiteta u SAD-u iznosila pet milijardi dolara. Analize pokazaju da je prosječna šteta on-line korisnika 551 dolara godišnje
Piše: Miho Pitarević
S globalnim umreženjem svijet se posljednjih desetljeća suočio sa sve izraženijom i agresivnijom novom vrstom kriminala, s kiber lopovima koji kradu sjedeći za kompjutorom kilometrima udaljeni od objekta svoje krađe. Dva su osnovna tipa virtualnih nasrtaja: industrijska špijunaža i krađa identiteta.
U dijelu industrijske špijunaže obično se krade e-mail i povjerljive informacije. U pravilu, napada se konkurencija i drugi takmaci na tržištu te čak i vladine institucije. Izvještaj US Government Accountability Officea pokazao je zanimljiv podatak, naime da je čak 11 od 24 agencije bilo zaraženo spywareom!
Ugroženost on-line krađama
13 postokorisnika intreneta bilo je žrtvom krađe identiteta
54,1 posto rekonstruiranih krađa
12 postokrađa dogodilo se tijekom on-line aktivnosti
63 postokrađa učinjeno je tradicionalnim metodama (krađom kartica, izvoda i sl.)
Fizičkim osobama u pravilu se kradu podaci o identitetu, koji se potom koriste za najrazličitije vrste karađa. Kradu se osnovni matični podaci, razne lozinke, brojevi kreditnih kartica, matični brojevi itd., a onda se ‘kupuje‘, ‘prebacuje novac s računa‘ ili naprosto krade identitet. Kradu se povjerljive informaci-je, mail liste... U digitalnom svijetu konvencionalna krađa prešla je na kiber prostor, a među najugro-ženijima su on-line bankarstvo, on-line trgovina, e-mail...
- No, krađe identiteta nisu isključivo vezane uz internet i informatičke tehnlogije - kaže Ivica Ostojić iz IBM-u Hrvatska. Već samo podizanje novca na bankomatu lopovi mogu iskoristiti za krađu identiteta, čega smo, uostalom nedavno bili svjedoci. Internet je možda nešto ‘podobniji‘ medij za ovu vrstu krađe i zlouporaba jer je područje djelovanja gotovo neograničeno.
Primjeri lažnih lančanih pisama, poslovnih prijedloga, dobitaka na lutriji, obavijesti banke da putem interneta potvrdite svoje podatke kako biste mogli pristupiti svojim računima, primjer su spoja socijalnog inženjeringa i elementarne tehnologije.
Još prednjače konvencionalne metode
Stoga je izvjesno da se u budućnosti može očekivati daljnja ekspanzija ovog oblika kriminalnih djelat-nosti, ali istodobno se razvija i područje koje bi ovakve radnje trebalo onemogućiti - zaštita identiteta i upravljanje identitetom, odnosno identity menadžment.
- Identity menadžment se može pojednostavljeno opisati kao skup procesa, procedura, hardverskih i softverskih komponenti koje osiguravaju cjelovitu kontrolu identiteta u informatičkom smislu, od prid-ruživanja ‘digitalnog identiteta’ određenom korisniku, njegova utvrđivanja tijekom pristupa pojedinim informatičkim ili fizičkim resursima, do njegove kvalitetne administracije - kaže Dražen Pehar iz Logo-sa.
Hrvatska je među prvim zemljama u Europi prihvatila Konvenciju o kiber kriminalu i provela dopune svoga Krivičnog zakona, a prošle je godine Vlada donijela Nacionalni program informacijske sigurnosti
Opće je uvjerenje da se najveći broj krađa identiteta zbiva putem interneta, ali to nije posve točno. Istraživanje što ga je Javelin Strategy & Research proveo među žrtavama krađa identiteta pokazuje da se od 54,1 posto rekonstruiranih krađa samo 12 njih posto dogodilo za vrijeme on-line aktivnosti, a čak 63 posto putem tradicionalnih kanala.
Prošle je godine šteta od krađe identiteta u SAD-u iznosila pet milijardi dolara. Analize pokazaju da je prosječna šteta on-line korisnika 551 dolara, za razliku od štete koju trpe žrtve u konvencionalnim kanalima interakcije (primjerice, krađom kartica) koja iznosi 4.543 dolara. Štoviše, prema studiji Federal Trade Commissiona dvije trećine krađa identiteta događaju se putem kreditnih kartica.
Ipak, sretna je okolnost što su od ukupnog broja krađa identiteta samo dva posto predmet kriminalnih zloporaba. No tome je tako za sada. Može se očekivati porast ‘efektivnosti‘ zloporabe, jer lopovi se vrlo brzo prilagođavaju novim zahtjevima, pa su u tom smislu među najugroženijima oni koji kupuju putem interneta.
Kompanije jamče sigurnost kupcu
Upravljanje identitetom ponajprije je biznis problem, smatra John Sherwood, jedan od vodećih eu-ropskih autoriteta za ovo područje. Kompanije moraju promicati i jamčiti sigurnost kupcu. U tom smis-lu upozoravaju podaci izneseni u studiji Gartnera, koji je ispitao pet tisuća web kupaca.
Tri četvrtine internet kupaca izjasnilo se da jako paze gdje kupuju i od koga kupuju. Tako od poznatog prodavača kupuju i onda kad su im proizvodi skuplji nego drugdj. Važnije od cijene im je uvjerenje da su podaci o njihovu identitetu zaštićeni.
Posjećujte sajtove kojima vjerujete, ne downloadajte nepoznate i besplatne softvere, ne ostavljajte svoje podatke uz ‘nagrade‘, koristite ‘posrednike‘ pri uspostavljanju veze, koristite alate zaštite
Strah od krađe već je toliki da većina ispitanih kaže kako ne otvara e-mail od nepoznatih primatelja, a broj takvih phising e-mailova prošle je godine porastao 28 posto u odnosu na prethodnu. Čak dva i pol milijuna web kupaca izvijestilo je da su pretrpjeli novčanu štetu od phising prevara.
Povjerenje je poljuljano, raste sumnjičavost u zaštitu, privatnost i etičnost. Studija The Conference Boarda od prošle godine iznosi podatak da je 54 posto ispitanika potvrdilo zabrinut za sigurnost svojih osobnih podataka zbog krađe ili drugih oblika zloporabe.
Također, 13 posto internet korisnika potvrdilo je da su oni i netko od njihove obitelji bili žrtvom krađe identiteta, 70 instaliralo je dodatni sigurnosni softver, 54 posto odbija sve posebne (dodatne) ponude, 60 posto je zabrinuto dok obavlja financijske transakcije, a 50 posto sa strahom obavlja e-kupnje.
Osnovna je poruka ovih istraživanja da kompanije moraju brzo povećati sigurnost on-line komunikacija i zaštiti podatke kupaca i korisnika. Ne učine li to, ni niži troškovi ni ulaganja u marketinške aktivnosti neće biti dovoljni da zadrže kupce.
Nije lako biti žrtva
Jedan od četiri Amerikanca koji su bili žrtve krađe identiteta suočili su se s teškoćama u otklanjanju posljedica krađe. Istraživanje National Mutual Insurancea obuhvatilo je 1.100 takvih žrtava, a ispada da ‘krađe identiteta mogu biti skupe, stresne i teške, a žrtva, unatoč osobnog angažmana, vremena i novca koje uloži, u pravilu teško stiže do pravde‘.
Čak jedna trećina neuspješno pokušava vratiti ugled, dok ih je više od polovine otkrilo da postali žrtvom krađe identiteta tek kad otkriju ispražnjene račune ili nepoznata terećenja svojih kreditnih kartica. Samo u 17 posto slučajeva banka ili izdavač kreditne kartice upozorili su ih na ‘sumnjive‘ aktivnosti po računu.
Kradu se osnovni matični podaci, lozinke, brojevi kreditnih kartica, pinovi... a onda se ‘kupuje‘, ‘prebacuje novac s računa‘ ili naprosto krade identitet. Kradu se povjerljive informacije, mail liste...
Sve se dodatno komplicira spoznajom da u prosjeku žrtva ustanovi nasrtaj tek pet i pol mjeseci kasni-je. Utvrđeno je također da je prosječno terećenje po kreditnoj kartici žrtve iznosilo 3.968 dolara, te da je taj iznos u cijelosti ili dijelom morala sama pokriti. Još više zabrinjava podatak da je 40 posto žrtava izjavilo je kako imalo teškoća u rješavanju svog statusa s policijom, bankom ili izdavačem kartica.
U Europi bolji zakonski okvir
Povjerenje korisnika ključni je element izgradnje cjelovitog odnosa prema prodavaču proizvoda, ispo-ručitelju servisa ili javnom sektoru. Ako većina korisnika smatra da nema ‘kontrole‘ nad informacijama i da se njihovi podaci koriste na neprimjereni način, cijeli će sustav takvog načina komunikacije postati upitan. Posljedice takvih sumnji razvijeni svijet već osjeća.
Dioničari i investitori postaju naime sve svjesniji da upravljanje identitetom i privatnost postaju jedan od rizika poslovanja ali i prigoda da se na tome ojača korporativni brand, prihod i udjel na tržištu.Na sreću EU i Hrvatska imaju mnogo ‘jasniji‘ regulacijski okvir. Zakon o zaštiti osobnih podataka i pra-teće uredbe, Zakon o elektroničkom dokumentu, Zakon o digitalnom potpisu, Zakon o elektroničkoj trgovini, Zakon o bankama samo su dio pravnog okvira koji se bavi tom materijom.
Hrvatska je među prvim zemljama u Europi prihvatila Konvenciju o kiber kriminalu i zatim provela do-pune svog Krivičnog zakona. Prošle godine Vlada je donijela Nacionalni program informacijske sigur-nosti i Operativni program 2005. - 2008.
MUP Hrvatske ima vrhunske stručnjake i dosad je na djelu potvrdio svoju uspješnost. No najvažnija je činjenica da javnost, struka i akademska zajednica u Hr-vatskoj ozbiljno pristupaju ovoj temi. Potkraj prošle godine u Hrvatskoj je održana prva Konferencija o upravljanju identitetom. ____________________________Kako se zaštititi
Anti-spyware alati sigurna su pomoć i manje-više nužni. Ipak glavno oružje protiv spyware napadaja (krađa) je edukacija. Korisnik mora upravljati i smanjivati rizik ‘infekcije‘, razumjeti, znati i prakticirati sigurnu internet praksu i izbjegavati razne zamke. Kada se ipak zarazi, ‘dezinfekcija‘ se provodi profe-sionalnim alatima. Kada surfate nepoznatim predjelima (adresama), kada klikate ‘yes‘ za razne software koje ‘ne znate‘ ili nemate dosta elemenata za povjerenje, kada niste svjesni veličine rizika i štete koju možete pretrpjeti, šanse da vam se ‘useli‘ spyware rastu. Budite oprezni, posjećujte sajtove kojima vjerujete, ne downloadajte svaki nepoznati i besplatni softver, ne ostavljajte svoje podatke ni uz nikakve ‘nagrade‘, mijenjajte ponašanje u komunikacijama, koristite ‘posrednike‘ pri uspostavljanju veze ‡ anonimizirajte svoju prisutnost na mreži i koristite osnovne alate zaštite. I stalno učite. Jer, napadi na identitet rastu i dalje će rasti. Nove tehnologije i alati ohrabruju snažniji ulazak kriminala u segment svih oblika kiber kriminala. Jedan od prvih načina zaštite je pouzdano utvrđivanja digitalnog identiteta, što je i kamen temeljac cjelokupnog zdanja identity menadžment infrastrukture. Autentifikacija osigurava pouzdanost i sigur-nost rješenja u cijelosti
_____________________________
JMBG je zasad neizbježan u sustavuZa rad elektroničke uprave i komunikaciju s građanima potrebno je jedinstveno, jednoznačno određi-vanje osoba u virtualnom svijetu, kaže Leda Lepri, neovisna konzultantica. Jedinstven matični broj građana je dosad služio za jedinstvenu identifikaciju, ali on može služiti i kao identifikator u virtualnom svijetu i nikako se ne može koristiti za autentifikaciju. Način rada i tokovi podataka unutar državne i javne uprave takvi su da se podaci moraju prenositi iz jednog u drugi informacijski sustav. Prijenos je posljedica zakonom propisanih procedura. U situacija-ma kada nema drugog sustavnog rješenja, jednostavno se koristi jedinstven matični broj jer je on je-dino jamstvo za točan prijenos podataka odnosno za prijenos podataka vezanih uz pravu osobu. U slu-čaju da se iznađu neka neka druga rješenja, mogao bi, dakako izostati sada neizbježan jedinstveni matični broj građana.Leda Lepri, neovisna konzultantica______________________________
Bez zaštite identiteta nema razvoja odnosa s kupcima
Od samih početaka, upravljanje identitetom ‘potajna je briga‘ poslovnog područja koje nazivamo ‘upravljanjem odnosa s klijentima‘ (CRM). To se nadasve odnosi na korisničke profile, premještanje klijenata iz jednog segmenta u drugi, upravljanje pravilima proizašlih iz marketinga na osnovi dopušte-nja ili definiranja podobnosti korisničkog pristupa određenim resursima. Privatnost klijenata i povjerlji-vost osobnih podataka jedan je od činitelja moguće manipulacije od strane djelatnika u CRM organiza-ciji, a koji su istodobno preduvjet za uspješno vođennje CRM strategije, kaže Alan Gojčeta iz IBM-a Hrvatska. U budućnosti vidim snažan razvoj rješenja upravljanja identitetom u CRM-u na području upravljanja profilima klijenata. Kako će se to dogoditi već pokazuju nedavne akvizicije velikih proizvođača identity menadžment softvera od raznih CRM dobavljača i obratno...Alen Gojčeta, IBM Hrvatska_______________________________
Jedno od pouzdanih rješenja je biometrija
Klasične metode identifikacije temelje se na metodama fizičke i logičke identifikacije pri čemu se poje-dinac identificira s onim što posjeduje (ključ, značka, identifikacijska kartica pa i osobna iskaznica, pu-tovnica) ili onime što zna (lozinka, pin, korisničko ime), ali te metode identifikacije postaju sve manje pouzdane. Sve se to, naime može izgubiti, zaboraviti, prepustiti nekom drugom ili odati. Nasuprot to-me, kod biometričkih metoda identifikacije pojedinac se identificira onim što posjeduje odnosno onime što jest (otiskom prsta, otiskom i geometrijom šake, karakteristikama lica, karakteristikama šarenice ili mrežnice oka i dr.) ili onime što ga ili kako ga čini različitim od sviju ostalih (karakteristikama vlastoru-čnog potpisa, glasom, načinom hoda, načinom pisanja po tastaturi i dr.). Biometrijske karakteristike jedinstvene su, pojedinac ih ‘nosi‘ sa sobom, samo on ih posjeduje, njima raspolaže i ne može ih preni-jeti na drugu osobu. U tome je snaga i budućnost biometričkih metoda identifikacije, kaže prof. dr. Željka Požgaj s Katedre za informatilku Ekonomskog fakulteta u Zagrebu. No uz tu se metodu javljaju i neka otvorena pitanja poput narušavanja privatnosti, time što se tjelesna osobina koristi u procesu identifikacije, mjesta pohranjivanja identificirajućeg biometrijskog uzorka (u centralizirane baze uzoraka ili na pametnu karticu kojom raspolaže pojedinac), potom pitanje odgovor-nosti i autorizacije pristupa pohranjenim biometričkim uzorcima, standardizacije uređaja za uzimanja uzoraka, pohranjivanje uzoraka u medijima i slično. prof. dr. sc. Željka Požgaj, Ekonomski fakultet Zagreb_____________________________
U Hrvatskoj ima industrijske špijunaže Informacija je roba. Na osnovi informacija donosimo sve odluke u životu, poslovne, privatne, političke ili bilo koje druge. Industrijska špijunaža danas je prisutna na svim razinama, u Hrvatskoj kao i drug-dje na svijetu, kaže Ivica Ostojić iz IBM-a Hrvatska. Industrijska špijunaža je trend koji ima vrlo strmu uzlaznu krivulju kako u svijetu, tako i kod nas. Kriminal se vrlo brzo adaptira i usvaja nove tehnologije i taj će se trend zacijelo u budućnosti nastaviti. Ne trebba paničariti, ali valja biti na oprezu.Ivica Ostojić, IBM Hrvatska_____________________________Incident response za otkrivanje upada
Incident response je multidisciplinarno upravljanje računalnim sigurnosnim incidentima unutar organi-zacije, a uključuje proaktivne mjere poput određivanja poslovnog rizika (poslovna reputacija, povjerlji-ve poslovne informacije, identificirajući osobni podaci), uspostave strategije, postupaka i sigurnosnih alata te uspostave CSIRT-a (Computer Security Incident Response Team), objašnjava Simona Str-mečki s Visoke policijske škola MUP-a Hrvatske. Nadalje, incident response uključuje samu detekciju incidenta, inicijalnu reakciju (istraživanje, eviden-tiranje bitnih detalja i obavještavanje svih osoba koje trebaju biti upoznate s incidentom), uspostavlja-nje strategije odgovora na incident, samo istraživanje incidenta (prikupljanje i pregled podataka koji pružaju odgovore na pitanja što se dogodilo, kada, gdje, tko je počinitelj, sredstva i metode počinjenja neprihvatljivih radnji i na koje načine se takav incident u budućnosti može spriječiti). Simona StrmečkiVisoka policijska škola, MUP Hrvatske