U domenu zastite informacija u privredi, posebno u odredjenim vrstama poslovanja, postoje zakoni, standardi, uredbe, instrukcije metodike i norme koje se doradjuju i preciziraju, polazeci od zahteva vremena, drzavne strukture i savremenog nivoa nauke i tehnike.

Pojam poslovna tajna koristi se da se oznaci informacija, dostupna ogranicenom broju korisnika, koja nosi poverljivi karakter. Zastita takve informacije briga je samih poslovnih ljudi, rukovodilaca banaka, raznih firmi i dr. komercijalnih struktura. Za zastitu poverljive informacije ne postoje stroga zakonska pravila, zahtevi i norme, niti su postojece nesto posebno postovane, a oni koji su odavali poslovne tajne uglavmom su nikako ili samo uslovno zakonski sankcionisani.

Nazalost, mora se konstatovati cinjenica da mnogi biznismeni, rukovodioci komercijalnih struktura, banaka i drugi privrednih subjekata, ne poklanjaju pitanju zastite informacije dovoljno paznje i pocinju da brinu tek kad se primeti oticanje informacije u ruke neovlascenih lica.

Svi su vec odavno shvatili da je na savremenom nivou razvoja drustva informacija mozda najskuplja roba. Po misljenju stranih specijalista, pri potpunom otkrivanju svih informacionih sistema, samo 20% preduzeca srednje velicine opstalo bi jos nekoliko sati, gotovo polovina - svega nekoliko dana, ostali - do nedelju dana. Ista sudbina zadesila bi i banke. Informacija je jedan od najvaznijih izvora blagostanja svake firme. Ne kaze se uzalud: "Ko poseduje informaciju, poseduje svet". Svaka administrativna odluka zasniva se i vredi kao informacija na osnovu koje je doneta.

Problem nije samo u tome sto se kriminalni elementi ili grupe bogate na racun objekata kriminalnih aktivnosti, vec u tome sto to na kraju dovodi do podrivanja celokupne privrede drzave.

Prema idejama mnogih poslovnih ljudi treba brinuti za moguce oticanje informacija samo u slucaju kada se radi o nepostenim, kriminalnim radnjama u biznisu koje treba "sakriti" od drugih. U stvari to nije tako.

Sta moze da predstavlja opasnost za biznismene ili trgovce, zainteresovane za cuvanje poslovne tajne?

Po pravilu, to je:

• obavestajna delatnost konkurencije;
• nesankcionisane aktivnosti saradnika sopstvene firme;
• nepravilna politika firme u oblasti bezbednosti.

Informacija koja predstavlja interes pri sakupljanju i analizi podataka:

a) Informacije komercijalne sadrzine:

• podaci o konkurenciji, njihove slabe strane;
• podaci o dobavljacima;
• podaci o trzistu;
• uslovi finansijskog poslovanja;
• tehnoloske tajne;
• mere koje preduzima konkurencija prema svojim protivnicima;
• podaci o potencijalnim partnerima, provera njihovog postenja;
• informacija o mestu cuvanja tereta, vremenu i marsruti prevoza;
• otkrivanje osetljivih odnosa medu saradnicima; otkrivanje lica, pogodnih za vrbovanje putem otkupa, ucene ili na drugi nacin;
• veze i mogucnosti rukovodstva;
• utvrdjivanje kruga stalnih posetilaca.

b) Informacije licne prirode:

• izvori prihoda;
• pravi odnosi prema ovim ili onim drustvenim dogadjajima, prema vladajucim strukturama;
• nacin licnog zivota rukovodioca i clanova njegove porodice;
• raspored i mesta susreta - poslovnih i licnih;
• podaci o velicini finansijskog blagostanja;
• informacija o ljudskim slabostima;
• opasne sklonosti;
• stetne navike;
• seksualna orijentacija;
• podaci o prijateljima, prijateljicama, mestima odmora, putanjama kretanja;
• informacije o mestima cuvanja dragocenosti;
• adresa prebivalista;
• bracna neverstva;
• problemi izmedju roditelja i dece.

Treba podvuci da bezbednost kao sistem mera zahteva obezbedjivanje neophodnog nivoa zasticenosti u vise pravaca:

• zastita od organizovanog kriminala;
• zastita od narusavanja zakona;
• zastita od nesavesne konkurencije;

Ovi pravci realizuju se na nivoima:

• proizvodne delatnosti;
• komercijalne delatnosti;
• informacionog obezbedjenja;
• kadrovskog obezbedjenja;
• osiguranja;
• drugim nivoima.

Dobijanje pouzdane informacije o radu firme nezakonitim putem je malo verovatno ako se firma s paznjom odnosi prema cuvanju komercijalne tajne i stvaranju odgovarajuceg sistema zastite.

U isto vreme mnogi pod bezbednoscu shvataju, pre svega fizicku zasticenost, ukljucujuci ponekad posebne zahteve informacione zastite komercijalnih interesa, sto ne omogucava resavanje problema bezbednosti u celini. Mere koje predlazu neki strucnjaci omogucavaju resavanje samo pojedinih zadataka na stvaranju bezbednosti, ali ne iskljucuju neophodnost kompleksnog prilaza organizaciji mera bezbednosti, posebno informacione bezbednosti.

Nije potrebno navoditi primere ekonomske stete koju trpe preduzeca, banke i slicne ustanove zbog gubitaka, deformisanja ili oticanja informacija u sistemima njihove obrade. O tome se vec mnogo pisalo u svetskoj strucnoj i dnevnoj stampi.

Zakljucak je jedan - neophodno je omoguciti bezbednost informacije, i zahvaljujuci tome subjekti preduzetnicke delatnosti postaju ucesnici korisne unutrasnje i medjunarodne razmene roba i znanja, ostvarujuci od toga profit. Pri tom, svaki komercijalni objekat mora graditi svoj sistem zastite informacija na konceptualnoj osnovi, polazeci od namene objekta, njegove velicine, uslova razmestaja, tipa delatnosti i t.d. Pri razradi koncepcija zastite neophodno je poci od detaljne analize pravaca aktivnosti preduzetnicke strukture i kompleksnih zahteva zastite, posebno ako se u radu primenjuju sredstva informatike.

Imajuci u vidu raznovrsnost potencijalnih pretnji informaciji u sistemu obrade podataka, slozenost strukture i funkcija, kao i ucesce coveka u tehnoloskom procesu obrade informacije, ciljevi zastite informacija mogu biti postignuti samo stvaranjem sistema zastite informacija na osnovu kompleksnog pristupa. Takav sistem treba graditi pocev od ocene pretnji bezbednosti rada poslovnog objekta a na osnovu dobijenih rezultata analize donoeti odluku o stvaranju celog sistema zastite i izboru odgovarajucih sredstava.

c) Klasifikacija pretnji

Prostorije obicne savremene firme ili banke pretrpane su elektronskim uredjajima, i informacija koja predstavlja poslovnu tajnu moze se nalaziti na papirnim nosiocima, na masinskim, moze se prenositi telefonom, telefaksom, teleksom, moze se obradjivati, cuvati i prenositi sredstvima racunarske tehnike, snimati i reprodukovati na magnetofonima, diktafonima, video-magnetofonima. Najzad, informacija prisustvuje u vazduhu u vidu akustickih signala ili kao razgovor. Dalje u tekstu, sve aktivnosti usmerene na dobijanje, obradu, snimanje, cuvanje i prenos poverljive informacije nazivacemo obrada podataka.

Postoje pretnje ostecivanja sistema obrade podataka, izazvane fizickim delovanjem stihijskih prirodnih pojava, koje ne zavise od coveka. Ipak, mnogo je siri i opasniji krug vestackih pretnji, izazvanih ljudskom aktivnoscu, medju kojima se prema motivima mogu izdvojiti:

• nehoticne (nenamerne) pretnje, izazvane greskama u projektovanju, u radu sluzbenog personala, u programskom snabdevanju, slucajnim prekidima u radu sredstava racunarske tehnike i linija veze, energosnabdevanja, greskama korisnika, delovanjem na aparaturu fizickih polja i t.d.;
  
• smisljene (namerne) pretnje, uslovljene nesankcionisanim aktivnostima sluzbenika i nesankcionisanim pristupom (NSP) informaciji stranih lica.

Rezultat realizacije pretnji informaciji moze biti:

• njeno gubljenje (unistenje);
• njeno oticanje (preuzimanje, kopiranje, prisluskivanje);
• deformacija (modifikacija, falsifikovanje);
• blokiranje.

d) Pretnje koje nisu vezane za ljudsku aktivnost

Najtipicnija prirodna pretnja sistemima obrade podataka koja nije uvek vezana s ljudskom aktivnoscu je pozar. Zato pri projektovanju i koriscenju sistema obrade podataka obavezno se resavaju pitanja protivpozarne bezbednosti. Posebnu paznju pri tome treba pokloniti zastiti od pozara nosilaca kompjuterskih podataka, fajl-servera, posebnih racunara, centara veze, arhiva i druge opreme i prostorija ili specijalnih kontejnera, gde su skoncentrisani ogromni masivi veoma vazne informacije. U te svrhe mogu biti iskorisceni specijalni negoreci sefovi, kontejneri i dr. U Zapadnoj Evropi, se posebno dobro pokazala oprema za zastitu nosilaca informacija i informaciono-racunarskih kompleksa nemacke firme LAMPERTC, koja se najcesce primenjuje u bankama, gde gubljenje informacija moze dovesti do katastrofalnih posledica.

Druga pretnja za sistem obrade podataka u kompjuterskim sistemima su udari gromova. To nije cest problem, ali naneta steta moze biti veoma velika. I to ne samo materijalna steta, vezana za popravku ili zamenu ostecene tehnike i obnavljanje izgubljene informacije, koja cirkulise u kompjuterskoj mrezi, vec, pre svega, ako nisu primenjene neophodne tehnicke mere zastite od jakih elektromagnetnih zracenja gromova, kvare se posebne radne stanice ili serveri mreze, i na duze vreme paralise se rad objekta, sve operacije se obustavljaju. Firma, a posebno banka u takvim situacijama gubi svoj imidz pouzdanog partnera a, kao posledica, dolazi do osipanja klijenata. Za vecinu organizacija gubitak imena, pojavljivanje bilo kakvih glasina o unutrasnjim problemima mnogo je neprijatnije od finansijskih gubitaka, cak i onih dovoljno velikih.

Za objekte u kojima su smestena tehnicka sredstva obrade informacija, koja se nalaze u dolinama reka ili na obali, vrlo verovatna je i pretnja poplave. U takvim slucajevima aparatura ne bi trebalo da se drzi na nizim spratovima, a potrebne su i neke druge mere predostroznosti.

Steta medju resursima sistema obrade podataka moze takode biti izazvana zemljotresima, uraganima, eksplozijama gasa i t.d. Gubici mogu biti i od tehnickih kvarova, naprimer, prilikom iznenadnog nestanka struje i t.d.

e) Pretnje vezane za ljudsku aktivnost

Ovaj vid pretnji moze se podeliti na:

• pretnje sistemu obrade informacija kao rezultat nesankcionisanog koriscenja redovnih tehnickih i programskih sredstava, kao i njihova kradja, kvar, unistenje;
• pretnje kao rezultat koriscenja specijalnih sredstava koja ne ulaze u sastav sistema obrade podataka (dopunsko zracenje, nazracivanje po napojnom kolu, koriscenje aparature za pojacavanje zvuka, prijem signala iz komunikacijskih linija, akusticki kanali);
• pretnje koriscenjem specijalnih metoda i tehnickih sredstava (fotografisanje, elektronski dodaci koji unistavaju ili deformisu informaciju, kao i oni koji prenose obradjivanu ili govornu informaciju);
• ozracivanje tehnickih sredstava sondiranim signalima, sto kao rezultat moze imati deformaciju ili unistenje informacije, a pri velikoj snazi ozracivanja i ostecenje aparature.

f) Kanali oticanja informacija

Moguci kanali oticanja informacija mogu se podeliti na cetiri grupe:

1. grupa - kanali, povezani s pristupom elementima sistema obrade podataka, koji ne zahtevaju promenu komponenata sistema. U tu grupu spadaju kanali koji se obrazuju putem:

1. Racunara s neophodnim ali sasvim dostupnim resursima
2. Programskog paketa
3. Standardnog audio-kontrolora (Sound Blaster)
4. Uredjaja za prikljucivanje na liniju (adapter).

Ovi kompleksi obezbedjuju automatsku detekciju (odredjivanje govorne ili faks-poruke), snimanje faks-poruke na hard-disk s mogucnoscu naknadne automatske demodulacije, deskremblovanja registrovanih poruka, njihovo pojavljivanje na displeju i stampanje.

Presretanje razgovora preko radio-telefona i mobilne veze

Presretanje razgovora preko radio-telefona ne predstavlja teskocu. Dovoljno je podesiti prijemnik (pretrazivac) na nosecu frekvenciju radio-telefona, koji se nalazi u zoni prijema i utvrditi odgovarajuci rezim modulacije. Za presretanje razgovora koji se vode preko mobilnih veza koristi se nesto slozenija aparatura. Postoje razliciti kompleksi kontrole mobilnog sistema veza AMPS, DAMPS, NAMPS, NMT-450, NMT-450 standarda proizvedenih u zemljama Zapadne Evrope. Ovi kompleksi omogucavaju da se preko frekvencije pronalaze i prate ulazni i izlazni pozivi abonenata mobilne mreze, da se odredjuju ulazni i izlazni brojevi telefona abonenata, da se preko frekvencije prate po kanalu telefonski razgovori i slicno.

Broj abonenata koji se kontrolisu odredjuje se sastavom aparature i verzijom programskog obezbedjenja i moze biti 16 i vise.

Postoji mogucnost automatskog snimanja razgovora na diktafon, na hard-disk sa protokolom snimanja na diktafonu, potpunog monitoringa svih poruka koje se prenose preko sluzbenog kanala, kao i odredjivanja cujnosti svih baznih stanica u tacki njihovog prijema s ranziranjem po nivoima primanih signala iz baznih stanica.

Vrednost ovih kompleksa, u zavisnosti od standarda kontrolisanog sistema veze i velicine postavljenog zadatka, moze biti od 5000-60000 dolara.

Presretanje GSM mreze znatno je slozenije; najkvalitetniji kompleksi za presretanje mobilne GSM mreze su nemacke i britanske proizvodnje. Vrednost ovih kompleksa je od 350000-650000 dolara.

Koriscenje naponske mreze od 220 V za prenos akusticke informacije iz prostorije

Za ovo se koriste tzv. mrezni prisluskivaci. Tu, pre svega, spadaju uredjaji ugradjeni u aparate koji se napajaju preko naponske mreze od 220 V ili ugradjeni u mreznu armaturu (prikljucnice, produznici itd.). Predajnik se sastoji od mikrofona, pojacivaca i samog predajnika nosece niske frekvencije. Noseca frekvencija obicno je u dijapazonu od 10-350 kHz. Prenos i prijem ostvaruju se preko iste faze ili, ako su faze razlicite, vezuju se na visoku frekvenciju preko razdelnog kondenzatora. Prijemni uredjaj moze se specijalno izraditi, ali ponekad se koriste doradjeni blokovi obicnih uredjaja koji se danas prodaju u svim specijalizovanim prodavnicama elektromaterijala. Mrezni predajnici iz ove klase lako se kamufliraju u razlicite elektricne aparate, ne zahtevaju dodatno napajanje preko baterija i tesko se pronalaze savremenom tehnikom.

Presretanje pejdzing-poruka

U sastav tih sistema ulaze: kompjuter, specijalno programsko obezbedjenje, uredjaj za transformaciju i prijemni uredjaj. Kao prijemni uredjaji obicno se koriste doradjeni pretrazivaci (AR3000, AR8000, IC-7100 i dr.), radio-stanice ili pejdzing-prijemnici.

Sistem ostvaruje prijem i dekodiranje tekstualnih i numerickih poruka koje se prenose u sistemu radio-pejdzing veze, cuva sve primljene poruke sa vremenom prenosa na hard-disku PC-a u arhivskom fajlu. Pri tom se moze vrsiti filtracija toka informacija, izdvajanje podataka adresiranih na jednog ili nekoliko abonenata po a priori poznatnim ili eksperimentalno odredjenim kep-kodovima. Parametri spiskova kontrolisanih abonenata mogu se operativno menjati.

Lasersko prisluskivanje govorne informacije

Za distanciono presretanje informacije (govora) iz prostorije ponekad se koriste laserski uredjaji. Iz punkta za pracenje u pravcu izvora zvuka salje se sondirajuci zrak. On se obicno usmerava na prozorska stakla, ogledala i druge reflektujuce povrsine.

Svi ovi predmeti vibriraju pod dejstvom govornih signala koji cirkulisu u prostoriji i svojim vibracijama moduliraju laserski zrak koji se posle prihvata u punktu za pracenje jednostavnim transformacijama pretvara u govorni signal iz kontrolisane prostorije.

Danas postoji veliki broj laserskih sredstava za prisluskivanje. Ovi uredjaji sastoje se od izvora zracenja (helijumsko-neonski laser), prijemika ovog zracenja s blokom filtracije zvukova, dva para naglavnih telefona, akumulatora napajanja i stalka. Navodjenje laserskog zracenja na prozorsko staklo prostorije vrsi se pomocu teleskopskog vizira. Prikupljanje kvalitetne govorne informacije s prozorskih okvira s duplim staklom vrsi se na rastojanju do 250 m. Ovakve mogucnosti, na primer, ima sistem SIPE LASER 3-DA SUPER americke proizvodnje. Ipak, na kvalitet primljene informacije, osim sistemskih parametara, uticu i sledeci faktori:

• atmosferski parametri (rasejanje, apsorpcija, turbulentnost, nivo brujanja)
• kvalitet obrade sondirane povrsine (hrapavosti i neravnine nastale iz tehnoloskih razloga ili pod uticajem sredine - prljavstina, ogrebotine i sl);
• nivo brujanja akustiskih sumova
• nivo presretanog govornog signala.

Osim toga, primena ovih sredstava trazi velike izdatke ne samo za sam sistem, vec i za opremu za obradu dobijene informacije. Primena ovako slozenog sistema zahteva visoku kvalifikovanost i ozbiljnu pripremu operatera.

Iz svega navedenog moze se izvuci zakljucak da je koriscenje laserskog prikupljanja govorne informacije skupo zadovoljstvo, prilicno slozeno i zato treba dobro razmisliti o neophodnosti zastite informacije od ovog vida prisluskivanja.

Putevi oticanja informacije u racunarskim sistemima

Pitanja bezbednosti obrade informacije u kompjuterskim sistemima za sada u nasoj zemlji brinu samo uski krug strucnjaka. To je, naravno, u velikoj meri uslovljeno nasim zaostajanjem u primeni kompjuterske tehnike. Ipak, zivot nas je sve stavio u takve uslove da je sveopsta kompjuterizacija odavno prestala da bude inostrana egzotika. To inspirise. Ali, treba shvatiti da kompjuterizacija, osim ociglednih i siroko reklamiranih koristi, sa sobom nosi, kao prvo, znacajan utrosak napora i resursa, a kao drugo, mnogobrojne probleme razumljive jos uvek samo nekim nasim sunarodnicima.

Jedan od tih problema, pri cemu i jedan od najvecih, jeste problem obezbedjenja sigurne obrade poverljive informacije u kompjuterskim sistemima.

Do sada se ovaj problem vise-manje ozbiljno pojavljivao kod nas samo u drzavnim i vojnim sluzbama, kao i u naucnim krugovima. Prelaz nase zemlje na trzisnu privredu sa sobom neizbezno nosi pojavu mnogobrojnih firmi i banaka ciji efikasan rad - kako pokazuje inostrano iskustvo - biva prakticno nezamisliv bez koriscenja kompjutera. Cim rukovodioci ovih i drugih organizacija to shvate, pred njima ce se kao prva pojaviti upravo pitanja zastite kriticne informacije koju poseduju.

Zato, dok jos za to ima vremena, treba se ozbiljno zamisliti nad postojecim stranim iskustvom kako se ne bi izmisljao "domaci bicikl". Za pocetak bice korisno upoznati se s klasifikacijom i principima ocene bezbednosnih sistema koji se koriste u SAD.

Razlikuju se dva tipa nekorektnog koriscenja kompjutera:

1. Nedozvoljeni pristup kompjuteru lica koja na to nemaju pravo
2. Nepravilni postupci lica koja imaju pravo pristupa kompjuteru (tzv. sakcionirani pristup).

• preuzimanje od strane distancionih tehnickih sredstava tajnih podataka sa monitora kompjutera, sa printera (presretaje elektromagnetnih zracenja);
• dobijanje obradjene informacije preko mreze napajanja kompjutera;
• akusticko ili elektro-akusticko oticanje unosene informacije;
• presretanje poruka u kanalu veze;
• podmetanje pogresnog podatka;
• ocitavanje (izmena) kompjuterske informacije pri nesankcionisanom pristupu;
• kradja nosilaca informacije i proizvodnih otpada;
• citanje zaostale informacije u memoriji sistema posle ispunjenja sankcionisanih zahteva;
• kopiranje nosilaca informacije;
• nesankcionisano koriscenje terminala registrovanih korisnika;
• simuliranje registrovanog korisnika kradjom lozinke i drugih rekvizita ogranicavanja pristupa;
• maskiranje nesankcionisanih zahteva u zahteve operativnog sistema (mistifikacija);
• koriscenje programskih nedostataka;
• dobijanje zasticenih podataka pomocu serije dozvoljenih zahteva;
• koriscenje nedostataka programskog jezika i operativnih sistema;
• namerno ubacivanje u datoteke specijalnih blokova tipa "trojanskog konja";
• zlonamerno izbacivanje iz rada mehanizama zastite.

Pogledajte i druge preporucene tekstove