INFORMACIONI SISTEMI ETIKA PRIVATNOST I ZATITA INFORMACIJA Branko
INFORMACIONI SISTEMI ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA Branko Latinović
POGLAVLJE 3 ETIKA, PRIVATNOST I ZAŠTITA INFORMACIJA (Rainer, Turban, str. 58 -101) 2
Pregled sadržaja poglavlja 3. 1 Etička pitanja 3. 2 Pretnje zaštiti informacija 3. 3 Zaštita informacionih resursa 3
Ciljevi učenja §Definisati glavna etička pitanja vezana za informacionu tehnologiju i utvrditi u kojim se situacijama javlja. §Ustanoviti koje su glavne pretnje zaštiti informacijama. §Opisati različite mehanizme odbrane koje se koriste za zaštitu informacionih sistema. §Objasniti reviziju informacione tehnologije i planiranje oporavka od katastrofe. 4
3. 1 Etička pitanja Etika. Grana filozofije koja se bavi razmatranjem principa ispravnog i neispravnog. Etički kod skup principa koji članovima organizacije služe kao odrednice prilikom donošenja odluke. 5
Četiri kategorije etičkih pitanja 1. Pitanje privatnosti obuhvata sakupljanje, čuvanje i distribuciju podataka o pojedincima. 2. Pitanje tačnosti obuhvata autentičnost, vernost i tačnost informacija koje su skupljene i koje se obrađuju. 3. Pitanje svojine obuhvata vrednost i vlasništvo nad informacijama. 4. Pitanje dostupnosti odnosi se na to ko treba da ima pristup informacijama i da li treba da plati za pristup. 6
Zaštita privatnosti Privatnost. Pravo svakog pojedinca da ne bude uznemiravan i da bude oslobođen od uplitanja u lične stvari. Dva pravila primenjuju se u mnogim zemljama: § Pravo privatnosti nije apsolutno. Privatnost mora biti usklađena sa potrebama društva. § Pravo javnosti je preče od prava pojedinca na privatnost. Elektronski nadzor. Praćenje aktivnosti ljudi pomoću računara. Lične informacije u bazama podataka. Informacije o pojedincima čuvaju se u mnogim bazama podataka: banke, kompanije, vladine agencije, kreditni biro. Informacije na internet grupama kao što su elektronske oglasne table, diskusione grupe i sajtovi socijalnog umrežavanja. Facebook – život na dlanu! Reputation Defender (zaštita reputacije) Kodeks privatnosti i politika. Su smernice jedne organizacije u zaštiti privatnosti kupaca, klijenata i zaposlenih. Međunarodni aspekt privatnosti. Pitanja privatnosti sa kojima se međunarodne organizacije suočavaju kada se informacije prenose van granica 7 zemlje.
3. 2 Pretnje zaštiti informacija Pretnja informacionom sistemu je bilo koja opasnost kojoj je sistem izložen. Izloženost informacionog resursa je narušavanje, gubitak ili oštećenje koje može da se dogodi ukoliko pretnja kompromituje taj resurs. Ranjivost je mogućnost da sistem bude narušen pretnjom. Rizik je verovatnoća da će se pretnja pojaviti. Kontrola IS su sve procedure, uređaji ili softver koji su nabavljeni sa ciljem da preventivno deluju i zaštite sistem. 8
Pretnje - Nehotični postupci Ljudska greška može nastati i u konstrukciji i radu hardvera kompanija. Takođe može nastati prilikom programiranja, testiranja, prikupljanja podataka, unosa, autorizacije i procedura. Predstavljaju više od 50% problema vezanih za kontrolu u organizaciji. 9
Pretnje - Nehotični postupci Elementarne nepogode obuhvataju poplave, zemljotrese, uragane, tornada, udar groma, požar… Tehnički kvarovi obuhvataju probleme sa hardverom i softverom (najčešći problem je hard disk). 10
Pretnje - Nehotični postupci Greške menadžemnta nerazumevanje značaja teme ili nedostatak sredstava. Direktor ne želi da se uključi u problem zaštite podataka i sistema. Treba uložiti novac, a rezultat je – ne desi se ništa! 11
Namerni postupci U osnovi, to su kriminalne radnje. Cyber kriminal su aktivnosti kojima se ugrožavaju mreže, a posebno Internet mreža, upotrebom računara. Prosečna vrednost jedne cyber kriminalne aktivnosti, prema podacima FBI, je oko $600, 000. Haker. Osoba koja je “upala” u računar, obično bez kriminalnih pobuda. Cracker. Maliciozni haker. Socijalni inženjering. Kompjuterski kriminalci ili korporativni špijuni koji prevare vrše tako što grade poverenje i relacije sa zaposlenima. Insajderi. 12
Informaciono iznuđivanje Kada napadač ili bivši zaposleni krade informacije iz kompjuterskog sistema, a zatim zahteva kompenzaciju da bi ih vratio ili da ih ne bi obelodanio. 13
Sabotaža ili vandalizam Popularan vid online vandalizma su aktivnosti tzv. hacktivist ili cyberactivist. Hacktivist ili cyberactivist koriste hi-tech tehnologiju da bi vršili izmenu sadržaja sajtova neke organizacije ili vladine institucije. 14
Krađa identiteta Kriminalna rada kojom neka osoba koristi lične podatke druge osobe, obično sa namerom da kreira lažni identitet i počini prevaru. Najbrže rastući kriminal belih kragni. Najveći problem je obnavljanje rejtinga žrtve. 15
Ugrožavanje intelektualne svojine To je pitanje od suštinskog značaja za ljude koji za život zarađuju svojim znanjem u određenoj stručnoj oblasti. Poslovna tajna. Autorska prava. 16
Softverski napadi Zlonamerni softver kreiran je da ošteti, uništi ili onemogući rad ciljanih sistema. Najčešći tipovi ovih softvera su virusi, crvi, trojanski konji, logičke bombe, back doors, denial-of-service, alien software, phishing i pharming. 17
Softverski napadi Virusi. Segment računarskog koda koji izvršava zlonamerne akcije vezujući se za drugi računarski program. Crvi. Destruktivni programi koji izvršavaju zlonamerne akcije i sam se umnožava i širi (nije mu potreban drugi program - host). Trojanski konji. Softverski program koji se skriva u drugom programu i ispoljava svoje ponašanje samo kad je aktiviran. 18
Softverski napadi Logičke bombe. Aktivira se u određenom trenutku i izvrši destruktivnu radnju. Back doors ili trap doors. To je obično lozinka koju zna napadač, a ona mu omogućava pristup sistemu, bez prethodnih bezbednosnih procedura. Denial-of-service. Napadač šalje toliko mnogo zahteva za informacijama ciljnom računaru da sistem ne može da ih obradi i često zbog toga sistem “padne”. 19
Alien Softveri Pestware. Tajni softver koji je u stanju da očitava sa računara lične podatke i Web surfing history. Adware. Reklamni programi – pop-ups. Spyware. Prikuplja lične podatke korisnika, bez njegovog znanja i pristanka. Kradljivci ekrana. Keystroke loggers. 20
Alien Softveri Spamware. Koristi nečiji računar kao lansirnu rampu za spam. Spam. Neželjeni e-mail, najčešće reklame. Cookies. Male datoteke koje veb-sajtovi čuvaju na računarima, privremeno ili stalno. 21
Alien Softveri Web bugs. Mali, obično nevidljivi, grafički objekti koji se dodaju na Web stranu ili e-mail da bi pratili aktivnosti. Phishing. Izvlačenje podataka od korisnika na obmanu. Pharming. Program koji vrši redirekciju Web stranica. 22
3. 3 Zaštita informacionih resursa Rizik. Verovatnoća da će se pretnja zaista ugroziti informacioni resurs. Upravljanje rizikom. Otkrivanje, kontrola i što je moguće u većoj meri umanjivanje opasnosti. Analiza rizika. Proces kojim organizacija određuje vrednost svih zaštićenih sredstava, procenjuje verovatnoću da će neko sredstvo biti ugroženo i upoređuje moguće troškove zaštite. 23
3. 3 Zaštita informacionih resursa Ublažavanje rizika podrazumeva da organizacija preduzme konkretne mere protiv rizika. Ima dve funkcije: (1) primena sistema kontrole koji sprečava da se pojave poznate pretnje, i (2) razvoj sredstava za povraćaj informacija ukoliko se pretnja obistini. 24
Strategije ublažavanja rizika Prihvatanje rizika. Prihvatanje potencijalnog rizika, nastavak poslovanja bez kontrolisanja i prihvatanje štete koja se pojavi. Ograničavanje rizika sprovođenjem kontrole koja smanjuje dejstvo pretnje. Prenos rizika. Proces u kome organizacija koristi neka sredstva da bi nadoknadila eventualni gubitak. 25
Kontrole Procena kontrole. Identifikuje nedostatke bezbednosti i računa troškove sprovođenja adekvatne mere kontrole. Opšta kontrola. Fizička kontrola. Sprečava neovlašćena lica da pristupe objektima kompanije. Kontrola pristupa. Sprečava neovlašćene osobe da koriste informacione resurse; koristi biometrijske metode i lozinke. 26
Kontrole Komunikacione (mrežne) kontrole. Omogućavaju da se podaci bezbedno kreću kroz mreže. Firewalls. Sistemi koji sprečavaju da se specifični tipovi informacija kreću između nepouzdanih mreža (Internet) i privatnih mreža (Intranet jedne kompanije). Kriptografska zaštita. Proces konverzije originalne poruke u formu koju niko ne može pročitati osim primaoca kome je 27 namenjena.
Kontrole Svi sistemi kriptografije koriste ključ. Simetrična kriptografija. Pošiljaoc i primaoc imaju isti ključ. Asimetrična kriptografija. Koristi dva različita ključa – javni i tajni ključ. Sertifikaciono telo. Ima ulogu posrednika od poverenje između kompanija. Ono izdaje digitalne sertifikate (digitalne dokumente). 28
Kontrole Virtuelne privatne mreže. Privatna mreža koja koristi javnu mrežu (obično internet) za povezivanje korisnika. Ovakva mreža ima domet interneta, a bezbednost privatne mreže (tuneliranje paketa). Aplikativne kontrole. Podrazumevaju bezbednosne kontramere koje štite specifične aplikacije (kontrola ulaza, kontrola procesiranja i kontrola izlaza). 29
Kontrole Nadzor informacionih sistema. Potrebno je vršiti nezavisan i nepristrasan nadzor informacionih sistema da bi se videlo da li oni funkcionišu dobro. Tip nadzora. Interni. Obavljaju je interni kontrolori. Eksterna. Kontrolišu interne revizore koji m oraju da obezbede dobre inpute, procesiranje i output-e. 30
Planiranje oporavka od havarije Oporavak od havarije. Potreban je plan oporavka od havarije. Izbegavanje havarije. Orijentacija prema prevenciji (uninterrupted power supply - UPS). Vruće lokacije. Kopija originalne lokacije - backup lokacija. 31
Utvrđivanje gradiva Definisati glavna etička pitanja vezana za informacione tehnologije i utvrditi u kojim se situacijama javljaju. Ustanoviti koje su glavne pretnje zaštiti informacija. Opisati različite mehanizme odbrane koji se koriste za zaštitu informacionih sistema. Objasniti reviziju IT i planiranje oporavka od havarije. 32
- Slides: 32