Kibernetička sigurnostPrvo poglavlje: što je kibernetička sigurnost? Uvod

I.

Uvod

Mnogim je ljudima pojam „kibernetička sigurnost“ barem donekle poznat. Na kraju krajeva, čini se da su vijesti prepune priča o tvrtkama i pojedincima koji su bili žrtve mrežnih prijetnji kao što su virusi, pokušaji phishinga, zlonamjerni pokušaji hakiranja i ostalog. Većina nas koristi svakodnevne usluge putem mobilnih aplikacija, a naši se podaci često pohranjuju u okruženjima oblaka te ih korporacije i vlade smještaju u svoje podatkovne centre. Prijetnje povezane s kibernetičkom sigurnosti za svaku od tih lokacija su različite, a zakonodavstvo (npr. za privatnost) varira.

Ali što to sve znači u praksi i što morate znati da biste zaštitili svoj digitalni život? Premda je kibernetička sigurnost složena tema za čije su potpuno razumijevanje potrebne godine iskustva, naš je cilj naučiti vas osnove kibernetičke sigurnosti kako biste mogli naučiti osnovne digitalne vještine za zaštitu svoje prisutnosti na mreži.

Iako će tečaj biti prikazan u obliku lako razumljivih isječaka informacija, dodat ćemo i vanjske poveznice koje možete pogledati za više informacija. Dakle, započnimo najprije s definicijom kibernetičke sigurnosti.

Definiranje kibernetičke sigurnosti

Prema rječniku Merriam-Webster, kibernetička sigurnost su: „mjere koje se poduzimaju kako bi se računalo ili računalni sustav (npr. na internetu) zaštitio od neovlaštenog pristupa ili napada“.

Iako ta definicija govori samo o neovlaštenom pristupu ili napadu na računalne sustave, Wikipedija smatra da je ta tema malo šira. Wikipedijina definicija je sljedeća:

„Računalna sigurnost, kibernetička sigurnost ili sigurnost informacijskih tehnologija (IT sigurnost) je zaštita računalnih sustava i mreža od krađe ili oštećenja hardvera, softvera ili elektroničkih podataka, kao i od prekida ili pogrešnog usmjeravanja usluga koje pružaju.“

Dakle, u suštini, kibernetička sigurnost je umijeće zaštite računalnih sustava od zlonamjernih hakera, kao i slučajnih prijetnji ili prijetnji koje nisu uzrokovane ljudskim čimbenikom (kao što su pogreška sustava, prirodne nepogode ili nezgode). To je definicija koju ćemo koristiti u ovom tečaju.

Evo kako Wikipedija definira hakera:

„Računalni haker (engl. hacker) je računalni stručnjak koji koristi svoje tehničko znanje za postizanje određenog cilja ili svladavanje određene prepreke u računalnom sustavu. Iako pojam „haker“ može označavati bilo kojeg vještog računalnog programera, u popularnoj kulturi povezuje se sa „sigurnosnim hakerom“. To je netko tko koristi svoje tehničke vještine i znanje o pogreškama ili ih iskorištava za upad u računalne sustave i pristup podacima koji mu inače ne bi bili dostupni. Policija ponekad koristi tehnike hakiranja za prikupljanje dokaza o zločincima i drugim zlonamjernim akterima. To može uključivati uporabu alata za anonimnost (kao što je VPN, virtualna privatna mreža, ili tamni web, engl. dark web), pri čemu prikrivaju svoj identitet na mreži, a predstavljaju se kao zločinci. Hakiranje i kibernetičke napade koriste i državni akteri kao sredstvo ratovanja.“

Kratka povijest hakiranja

Pogledajmo malo bolje što je to hakiranje. Pojam „hakiranje“ potječe od MIT-ovog kluba Tech Model Railroad Club, gdje se koristio za opisivanje postupka stvaranja inovativnog rješenja za tehnološki problem. Članovi kluba Tech Model Railroad Club bili su motivirani jer su željeli razumjeti kako stvari funkcioniraju te vješto koristiti to znanje. S vremenom se hakiranje počelo smatrati mnogo širim pojmom. Većinom se pretpostavlja da je hakiranje zlonamjerno.

Međutim, to nije oduvijek bilo tako. Hakiranje se tek nakon određenog vremena počelo povezivati sa zlim namjerama. Računalni vizionari poput Billa Gatesa i Stevea Jobsa bili su hakeri u duši. Započeli su svoje karijere u hakerskim krugovima koji su se u to vrijeme bavili kućnim računalstvom (i hakiranjem telefona (engl. phone phreaking), ali to je druga priča). S vremenom su tvrtke koje su ti hakeri osnovali u 1970-ima postale neke od najvećih tvrtki na svijetu. Bez hakerskog duha svijet bi najvjerojatnije bio neprepoznatljiv.

Note

Desetljećima je hakiranje bilo stigmatizirano kao štrebersko područje. Hakeri su se zamišljali kao usamljeni tinejdžeri koji rade na svojim računalima u podrumu. Holivudski prikaz hakera u filmovima zasigurno nije bio od velike pomoći. No istina je daleko više od toga, a i danas bilo tko može biti haker. Također valja napomenuti da je hakiranje alat koji koriste čak i obavještajne službe diljem svijeta, kao i organizirane zločinačke skupine. Svi važni igrači na globalnoj političkoj sceni koriste hakiranje kao alat za dobivanje više informacija o sposobnostima svojih protivnika ili učvršćivanje vlastitog položaja.

Neki od najpoznatijih hakerskih napada tijekom 2020. izveli su državni akteri. Obično imaju potporu države i pristup državnim resursima. Iako većinu zlonamjernih hakerskih napada ipak izvode pojedinačni zločinci ili manje skupine, najviše utjecaja obično imaju napadi zločinačkih organizacija ili APT (engl. advanced persistent threat, napredna stalna prijetnja) skupina.

Izvrstan izvor o povijesti hakiranja i hakerima je knjiga Hackers: Heroes of the computer revolution autora Stevena Levyja.

Hrpa crnih, sivih i bijelih šešira
Hrpa crnih, sivih i bijelih šešira

Vrste hakera

Hakeri se obično dijele na tri skupine: bijeli šeširi (engl. white hats), sivi šeširi (engl. grey hats) i crni šeširi (engl. black hats). Boja šešira koristi se za opisivanje njihovih namjera.

  • Hakeri bijelih šešira smatraju se etičkim hakerima koje zanima pronalaženje sigurnosnih ranjivosti s namjerom popravljanja sigurnosti računalnog sustava. Obično odgovorno otkrivaju informacije koje su pronašli i ne pokušavaju zlorabiti otkrivene pogreške. Neki hakeri bijelih šešira zapravo mogu zaraditi poprilično mnogo novca sudjelovanjem u programima koji se zovu lovovi na pogreške, gdje tvrtke koje pružaju usluge plaćaju za otkrivanje sigurnosnih problema.

  • Hakeri crnih šešira smatraju se zlonamjernim zločincima. Motivacija hakera crnih šešira je osobna dobit. Takvi hakeri stoje iza napada kao što je ucjenjivački softver (engl. ransomware). Mogu koristiti informacije koje su pronašli za osobnu dobit ili mogu prodati ranjivosti kupcima koji su spremni platiti za njih. Hakere crnih šešira zvat ćemo zločincima da bismo ih razlikovali od onih poput istraživača sigurnosti i hobista.

  • Hakeri sivih šešira uključuju one koji trolaju druge ili one koji hakiraju samo radi zabave ili stjecanja ugleda. Ponekad tvrde da napade rade „iz zafrkancije“ i obično svima otkrivaju informacije koje su pronašli da bi pokazali svoje vještine. Ponekad pokušavaju profitirati od svojih hakerskih napada, ali ne nužno, jer uglavnom to čine zbog ugleda.

Povjerljivost, integritet i dostupnost (engl. confidentiality, integrity and availability)

Klasifikacija koja se često koristi za koncept kibernetičke sigurnosti jest ono što se zove CIA trijada softverske sigurnosti. Pojmovi povjerljivost, integritet i dostupnost često se smatraju trima temeljnim aspektima sigurnosti. Kao i kod svih vrsta klasifikacija, ponekad se smatra da CIA trijadi nedostaju neki ključni aspekti softverske sigurnosti, kao što je neopovrgavanje (engl. non-repudiation). Bez obzira na to, CIA trijada vrlo je koristan alat za razmišljanje o različitim aspektima sigurnosti.

Pojmovi se općenito opisuju kao:

  • Povjerljivost – podaci i resursi čuvaju se i zaštićeni su od neovlaštenog pristupa.

  • Integritet – podaci su zaštićeni od neovlaštenih promjena, tj. osigurana je njihova cjelovitost i točnost.

  • Dostupnost – ovlašteni korisnici imaju pristup podacima ili resursima.

Povjerljivost se može zaštititi šifriranjem ili zaštitom pristupa podacima kada su pohranjeni u nešifriranom obliku. Ukradeni laptop predstavlja prijetnju povjerljivosti podataka koji su na njemu pohranjeni.

Integritet znači da bi legitimni korisnici trebali moći vjerovati da su podaci točni. Nijedan neovlašteni korisnik ne smije mijenjati podatke niti se podaci smiju mijenjati slučajno, čak i ako je riječ o ovlaštenim korisnicima (kao što je zaštita od krivotvorenja bankovnih transakcija za podizanje novca s računa i otklanjanja svih načina da se uđe u trag podizanju novca).

Dostupnost je aspekt o kojemu se često ne vodi dovoljno računa. Ako legitimni korisnici ne mogu pristupiti podacima, oni su praktički beskorisni. Ako se baza podataka u kojoj je pohranjena samo kopija podataka obriše ili je zlonamjerni softver (engl. malware) šifrira, to je problem dostupnosti. Napad uskraćivanjem usluga (engl. denial of service, DOS ili distributed denial of service, DDOS, odnosno distribuirano uskraćivanje usluga) koji sprečava legitimne korisnike da pristupe podacima još je jedan aspekt dostupnosti. Za osobne uređaje, stvaranje sigurnosnih kopija podataka iznimno je važno za pitanje dostupnosti. Većina dobavljača telefona pruža plaćenu uslugu za čuvanje šifrirane sigurnosne kopije vaših podataka u oblaku. Osobna računala mogu koristiti mrežne usluge, umreženi uređaj za sigurnosno kopiranje ili USB pogon za potrebe sigurnosnog kopiranja.

Next section
II. Procjena rizika

Follow us

#digitalskillup
About UsHelp CenterTerms & ConditionsPrivacy PolicyContact us

Tečaj je nastao u okviru inicijative Digital SkillUp, što je brendirani naziv za izlazne proizvode u sklopu projekta Europska digitalna akademija, koji financira Europska komisija uz potporu Europskog parlamenta. Projekt je posvećen tome da osnovno znanje o novim tehnologijama učini dostupnim i pristupačnim svim građanima te malim i srednjim poduzetnicima. Nastoji stvoriti prostor za izobrazbu putem interneta koji će svima ponuditi obrazovni sadržaj i mogućnosti u vezi s temama kao što su umjetna inteligencija, blockchain, robotika, kibernetička sigurnost i IoT.

Ovaj projekt financira Europska unija. Ova obavijest odražava samo autorovo stajalište. Ona ne predstavlja stajalište Europske komisije i Europska komisija nije odgovorna za bilo kakvu moguću uporabu informacija koje ona sadrži.