Uvod

Razvojem računala i računalnih tehnologija život je čovjeku uvelike olakšan. Mnoge poslove koje je do tada obavljao čovjek sada obavljaju i kontroliraju računala. Na sve pozitivno što pruža računalna tehnologija sjenu baca njena negativna strana, a to je računalni kriminal. Računalni kriminal danas je jedan od najznačajnijih i najbrže rastućih vrsta kriminala uopće i stoga mu se pridodaje sve veća pažnja.

Shvativši ozbiljnost problema stručnjaci za sigurnost od samog nastanka računalnog kriminala počeli su razmišljati na koji način zaštiti računala i računalne sustave od zlonamjernih korisnika, tzv. hakera. Tražeći adekvatna rješenja razvili su mnoge danas poznate metode zaštite, no zanemarili su jednu činjenicu, a to je ljudski faktor.

Sigurnost informacijskih sustava danas se u tehničkom pogledu za relativno malo novaca (i puno znanja) može dovesti praktički do savršenstva. Usprkos tome u IT svijetu sve je veći problem sigurnost informacijskih sustava. Što je uzrok ove kontradikcije? Godinama su se ogromne količine novca ulagale u poboljšanje tehničke komponente zaštite sustava kao što su sigurnosne stijene (eng. firewall), izrade sigurnosnih kopija podataka, siguran fizički smještaj opreme itd. Svi ti elementi zaštite itekako su bitni, bez njih informacijski sustav zasigurno ne bi mogao biti siguran, no činjenica je da se u edukaciju korisnika ulagalo vrlo malo, ponekad i ništa. Navedeni propust prepoznali su zlonamjerni korisnici te su svoje napade počeli temeljiti na način da od ovlaštenih korisnika prikupljaju informacije koje im uvelike olakšavaju izvršavanje zlonamjernih radnji.

Danas je broj korisnika računala, Interneta i informacijskih sustava vrlo velik. Velik dio njih moglo bi se nazvati needuciranim i nemarnim korisnicima. Budući se ne znaju koristiti računalom (Internetom), rad za računalom svodi im se na unaprijed „naštrebane“ radnje ili čine ono što im netko savjetuje. Navedenu „vrlinu“ prepoznali su zlonamjerni korisnici kao mogućnost jednostavnog pribavljanja podataka o sustavu ili čak zaporke za prijavu na sustav. Iskorištavanjem naivnosti korisnika hakeri elegantno dolaze do podataka do kojih su u prošlosti morali dolaziti mukotrpnim traženjem propusta u operacijskim sustavima, programima i sigurnosnim zaštitama, te je stoga ovaj način napada postao vrlo popularan.

Stručnjaci za sigurnost sve više shvaćaju veličinu ovog problema, koja nije u njegovoj kompleksnosti ili ne postojanju rješenja. Ono što problem čini velikim je enorman broj korisnika koje treba educirati i potaknuti da razmišljaju „svojom glavom“. Relativno jednostavnom edukacijom korisnika i poticanjem na razmišljanje broj sigurnosnih napada izvedenih na ovaj način višestruko bi se smanjio. Dodatnu veličinu ovom problemu zadaju rukovoditelji organizacija. Često su i oni sami u onoj skupini needuciranih korisnika, te im nije jasno zašto je potrebno izdvajati sredstva za educiranje korisnika „da ne pružaju hakerima povjerljive informacije“.

Iako moderni načini ugrožavanja sustava od strane hakera trenutno zadaju najviše problema sigurnosnim stručnjacima, prilikom razmatranja sigurnosti informacijskih sustava nikako se ne smije zaboraviti na ustaljene načine zaštite. Hakeri su osobe koje će pokušati ugroziti naš sustav na svaki mogući način, bilo da se radi o „normalnom“, „modernom“ ili nekom trećem načinu osmišljenom od strane samog hakera.

Bez obzira na djelovanja hakera, cilj osobe odgovorne za sigurnost informacijskog sustava jest poduzeti niz radnji s ciljem smanjenja ranjivosti sustava i povećanju njegove sigurnosti. Informacijski sustav ne može se u potpunosti zaštiti i to je činjenica koje mora biti svjestan svaki korisnik. Radnje odgovornih osoba u cilju povećanja sigurnosti sustava vrlo su individualne zbog individualnosti samih informacijskih sustava i stoga se ne mogu definirati univerzalne radnje prema kojima bi se gradila sigurnost sustava. Individualnost je u planiranju sigurnosti i vrlo preporučljiva, jer se na taj način otežava planiranje i izvršavanje napada od strane zlonamjernih korisnika.

Sigurnost informacijskih sustava vrlo je kompleksna i široka tema u kojoj je jasna jedino činjenica da bez kvalitetnog programa sigurnosti sustav nije moguće u cijelosti zaštiti. Kvalitetan program omogućava uspostavu sigurnosti na svim kritičnim točkama sustava, u bilo kojem segmentu sigurnosti, a jedan od najboljih programa za postizanje navedenog cilja zasigurno je definiranje sigurnosne politike.