zbornik radova-ikt bezbednost 2015 (ict security), kladovo, republika srbija

ICT Securiy 2015

IKT BEZBEDNOST 2015

Zbornik radova

Kladovo, 2015. godine

5

S A D R A J

dr Dragan . urevi, profesor; Miroslav D. Stevanovi

UTICAJ BRZINE, KAO ODLIKE INFORMACIONOG DOBA, NA KAPACITET PERCEPCIJE BEZBEDNOSNOG IZAZOVA VISOKO FREKVENTNE TRGOVINE

1. U V O D ............................................................................................................................................ 122. BRZINA TRANSMISIJE, KAO FAKTOR VISOKOFREKVENTNE TRGOVINE ..................... 123. NETRANSPARENTNOST, KAO UZROK RIZIKA VISOKOFREKVENTNE TRGOVINE ....... 134. RAUNARSKI I HUMANI MULTITASKING KAO POSLEDICA PRIMENE INFORMACIONIH TEHNOLOGIJA .............................................................................................. 145. POSLEDICE INFORMACIONOG DOBA NA DRUTVENU ORGANIZACIJU ........................ 156. PROBLEM PERCEPCIJE BEZBEDNOSNIH IZAZOVA INFORMACIONIH TEHNOLOGIJA 167. ZAKLJUAK ................................................................................................................................... 17 LITERATURA .................................................................................................................................. 18

dr Viktor Kaniai OTKRIVANJE I RAZJANJAVANJE VANREDNIH IT

BEZBEDNOSNIH DOGAAJA U BANCI

1. U V O D ............................................................................................................................................ 222. POJAM INCIDENTA I VANREDNOG DOGAAJA .................................................................... 22

2.1. IZVORI SAZNANJA ................................................................................................................ 222.2. FAKTORI RIZIKA ................................................................................................................... 22

3. UPRAVLJANJE INCIDENTIMA .................................................................................................... 234. INTERNE PROVERE ....................................................................................................................... 23

4.1. ZNAAJ I CILJ INTERNIH PROVERA ................................................................................. 234.2. DOKUMENTOVANJE SPROVEDENIH ISTRAGA ............................................................. 244.3. OBEZBEIVANJE DOKAZA ................................................................................................. 24

5. ALATI DIGITALNE FORENZIKE ................................................................................................. 256. ZAKLJUAK ................................................................................................................................... 26 LITERATURA .................................................................................................................................. 27

Mr.sc , Gorjan Damjanovi; Mr.sc; Ilhan Muratovi; Mr.sc; Alma Damjanovi IT SECURITY IN GOVERNMENT

AND INTERGOVERNMENTAL ORGANIZATION

Abstract (Introduction) .......................................................................................................................... 29Difference between Business and Private use of the Internet and Introduction to a Local Network ....................................................................................... 29External threats ...................................................................................................................................... 30Internal threats: ...................................................................................................................................... 30Resources required for the safe operation and the Internet use ............................................................. 30

Material resources ............................................................................................................................ 30

6

Human resources .............................................................................................................................. 30Material resources and expectations ................................................................................................ 31Human resources and expectations .................................................................................................. 31

Sub factor: IT managers ........................................................................................................................ 31Basic methods of protection and safeguarding ...................................................................................... 32Conclusion ............................................................................................................................................. 32References: ............................................................................................................................................ 33

MBA, Danijel Bara; mr.sc. Sanja ori; dipl.oecc, Goran Jurii THE ROLE OF CYBER UNSURANCE IN MANAGING

AND MITIGATING CYBER SECURITY RISK

WITH SPECIAL EMPHASIS ON THE POTENTIAL OF CROATIA AND SERBIA CYBER INSURANCE MARKET ............................................................................... 35PREFACE ............................................................................................................................................. 35CYBER-INCIDENTS AND THEIR IMPACTS ................................................................................... 36CYBER THREATS IN CROATIA AND SERBIA .............................................................................. 37CYBER RISK ....................................................................................................................................... 38CYBER INSURANCE .......................................................................................................................... 39CONCLUSION ..................................................................................................................................... 42LITERATURE ...................................................................................................................................... 43

Zoran Vasi, PhD, main tax advisr NEOPHODNOST ZATITE PODATAKA

KOJIMA RASPOLAU PORESKE ADMINISTRACIJE

UVOD ................................................................................................................................................... 471. PODACI KOJIMA RASPOLAU PORESKE ADMINISTRACIJE .............................................. 47

1.1. Materijalni resursi ..................................................................................................................... 491.2. Ljudski resursi ........................................................................................................................... 491.3.Poreski obveznici ....................................................................................................................... 49

2. Informacije od javnog znaaja .......................................................................................................... 503. Poreski postupak i poreska administracija ........................................................................................ 51

3.1. Organizacija i nain rada ........................................................................................................... 513.2. Dostupnost datotekama koje se vode u poreskim administracijama ......................................... 533.3. uvanje slubene tajne u poreskom postupku .......................................................................... 53

4. Prelazak sa papirnog na elektronsko poslovanje ............................................................................... 535. Zatita podataka i prenosa podataka .................................................................................................. 54 Zakljuak .......................................................................................................................................... 54

dr.sc. Zdenko Adelsberger IMPLEMENTACIJA ISO/IEC 27001

PREMA REVIZIJI 2013

1. UVOD ............................................................................................................................................... 562. USPOREDBA ISO/IEC 27001 IZ 2013 I 2005 GODINE ................................................................ 56

7

3. ZNAAJKE IMPLEMENTACIJE ISMS-a PREMA ISO/IEC 27001:2013 ................................... 584. Projekt implementacije ISMS-a prema ISO/IEC 27001:2013 ......................................................... 615. ZAKLJUAK ................................................................................................................................... 62 LITERATURA .................................................................................................................................. 63

Mane Piperevski, Master of Science; Filip Simeonov, Bachelor of Science HACKER ATTACKS

Undetectable Attacks from Trojans with Reverse Communication ...................................................... 65Introduction ........................................................................................................................................... 65Basic Trojan characteristics ................................................................................................................... 65

Trojan definition ............................................................................................................................... 65Trojans Communication channels ................................................................................................... 66Trojan targets ................................................................................................................................... 66

Trojan Construction ............................................................................................................................... 66Creating shellcode ........................................................................................................................ 67Techniques for Trojan camouflage .................................................................................................. 67

Scenarios for Trojan hacking attacks .................................................................................................... 68Generating "Shell Code" .................................................................................................................. 68Encryption of previous step generated "ShellCode" ........................................................................ 68Preparing to capture reverse communication ................................................................................... 70Bypassing Windows Security User Access Control UAC ............................................................ 70

Used literature .................................................................................................................................. 70

Dr Dragana amilovi OTKRIVANJE PREVARA POMOU DATA MINING-A

1. UVOD ............................................................................................................................................... 712. DATA MINING ................................................................................................................................ 723. DATA MINING TEHNIKE I METODE .......................................................................................... 734. KORIENJE DATA MINING-A ZA OTKRIVANJE PREVARA U PRAKSI ............................ 755. ZAKLJUAK ................................................................................................................................... 77 LITERATURA .................................................................................................................................. 78

MSc EE, C|EH Darko Mihajlovski; MSc PM, Kiril Buhov; MSc.B, Jani Nikolov IMPLEMENTATION OF TRANSPARENT DATA ENCRYPTION (TDE)

AND ADDITIONAL COMPENSATIONAL CONTROLS AS ALTERTATIVE METHOD REGARDING ENCRYPTION OF PAN NUMBERS IN MICROSOFT SQL DATABASE

(PCI DSS V3.0, SECTION 3.4)

1. INTRODUCTION ............................................................................................................................. 792. PCI AND THE ART OF THE COMPENSATING CONTROL ...................................................... 80

2.1. WHERE ARE COMPENSATING CONTROLS IN PCI DSS? ............................................... 802.2. WHAT A COMPENSATING CONTROL IS NOT ................................................................. 812.3. HOW TO CREATE GOOD COMPENSATING CONTROL .................................................. 82

8

3. APPROACH TO THE PROBLEM ................................................................................................... 824. SQL SERVER 2008 TRANSPARENT DATA ENCRYPTION OFFERS FULL DATA ENCRYPTION ........................................................................................... 83

4.1 USING MANUAL KEY MANAGEMENT .............................................................................. 83 LITERATURA ........................................................................................................................... 85

Prof. dr Igor Pejovi SPECIFINE VRSTE SAJBER KRIMINALA CARD SKIMMING

UVOD ................................................................................................................................................... 88TA JE SKIMMING I KAKO FUNKCIONIE? ........................................................................... 88SKIMMING SA STANOVITA KORISNIKA .............................................................................. 90SKIMMING SA STANOVITA BANAKA ................................................................................... 91

ZAKLJUAK ....................................................................................................................................... 93 Reference: ......................................................................................................................................... 94

Matea Nagli, mag.ing.log.; doc.dr.sc. Edvard Tijan; dr.sc. Saa Aksentijevi POSLOVNI INFORMACIJSKI SUSTAVI

KONTEJNERSKIH TERMINALA

1. UVOD ............................................................................................................................................... 952. TEORIJSKE OSNOVE POSLOVNIH INFORMACIJSKIH SUSTAVA ........................................ 96

2.1. FUNKCIJA POSLOVNIH INFORMACIJSKIH SUSTAVA .................................................. 982.2. ORGANIZACIJSKI POGLED NA POSLOVNE INFORMACIJSKE SUSTAVE ................. 99 2.2.1. Transakcijski informacijski sustav .................................................................................. 99 2.2.2 Upravljaki informacijski sustav .................................................................................... 100 2.2.3. Sustav za potporu odluivanju ...................................................................................... 100

3. INFORMACIJSKI SUSTAVI LUKA I TERMINALA .................................................................. 1013.1. ULOGA INFORMACIJSKIH TEHNOLOGIJA U PROMJENI LOGISTIKE USLUGA U LUKAMA ............................................................ 103 3.1.1. Uvjeti primjene informacijskih tehnologija u luci ........................................................ 103 3.1.2. Integralni luki informacijski sustav (Port Community system) ................................... 103 3.1.3. Sadraj podataka u bazi i pristup podacima .................................................................. 1043.2. VANOST INFORMACIJSKE SIGURNOSTI I PRIMJENE ISO STANDARDA .............. 105 3.2.1. PKI (Public Key Infrastructure) .................................................................................... 1063.3. PREDNOSTI KORITENJA INFORMACIJSKOG SUSTAVA U LUKOM POSLOVANJU ............................................................................. 106

4. PRIMJENA INTELIGENTNIH SUSTAVA NA KONTEJNERSKOM TERMINALU ................ 1074.1. INFORMACIJSKI I KOMINIKACIJSKI ASPECT INTELIGENTNIH TRANSPORTNIH SUSTAVA NA KONTEJNERSKOM TERMINALU ............................. 1084.2. SUSTAVI ZA UPRAVLJANJE KONTEJNERSKIM TERMINALIMA .............................. 1104.3. VIRTUALNA LOGISTIKA NA KONTEJNERSKIM TERMINALIMA ............................. 112

5. ZAKLJUAK ................................................................................................................................. 113 LITERATURA ................................................................................................................................ 114

9

Klara Metrovi, mag.ing.log.; dr.sc. Saa Aksentijevi; doc.dr.sc. Edvard Tijan MODELIRANJE PROCESA PRI IZGRADNJI POSLOVNIH INFORMACIJSKIH SUSTAVA

1. UVOD ............................................................................................................................................. 1152. TEMELJNE ZNAAJKE POSLOVNIH PROCESA ..................................................................... 116

2.1. UPRAVLJANJE POSLOVNIM PROCESIMA ..................................................................... 1182.2. FAZE UPRAVLJANJA POSLOVNIM PROCESIMA .......................................................... 1192.3. SUSTAV ZA UPRAVLJANJE POSLOVNIM PROCESIMA ............................................... 120

3. MODELIRANJE POSLOVNIH PROCESA ................................................................................. 1213.1. METODE MODELIRANJA POSLOVNIH PROCESA ........................................................ 1223.2.. NAELA I PRISTUPI MODELIRANJU POSLOVNIH PROCESA ................................... 1303.3. ALATI ZA MODELIRANJE POSLOVNIH PROCESA ....................................................... 131 3.3.1. Programski alati za modeliranje i analizu poslovnih procesa ....................................... 131 3.3.2. Programski alati za upravljanje poslovnim procesima .................................................. 132

4. POBOLJANJE I REINENJERING POSLOVNIH PROCESA .................................................. 1324.1. POBOLJANJE POSLOVNIH PROCESA ............................................................................ 132 4.1.1. Metoda est sigma - 6 ................................................................................................. 133 4.1.2. Integralni informacijski sustavi .................................................................................... 1344.2. REINENJERING POSLOVNIH PROCESA ....................................................................... 1344.3. ODNOS I RAZLIKE IZMEU POBOLJANJA POSLOVNIH PROCESA I REINENJERINGA POSLOVNIH PROCESA .................................................................. 135

5. ZAKLJUAK ................................................................................................................................. 136 LITERATURA ................................................................................................................................ 138

Jasmina Trajkovski; Ana Meskovska

RISK BASED BALANCING OF ORGANIZATIONAL AND TECHNICAL CONTROLS FOR LEVERAGING EFFECTIVENESS OF INFORMATION SECURITY

1. INTRODUCTION ......................................................................................................................... 142 2. IMPORTANCE OF BALANCING INFORMATION SECURITY CONTROLS ........................ 143 3. RISK BASED APPROACH FOR INFORMATION SECURITY ................................................ 144 4. RISK BASED BALANCING OF ORGANIZATIONAL AND TECHNICAL CONTROLS FOR ENHANCED INFORMATION SECURITY ................................................... 145 5. CONCLUSION .............................................................................................................................. 146 REFERENCES ................................................................................................................................ 147

11

UTICAJ BRZINE, KAO ODLIKE INFORMACIONOG DOBA, NA KAPACITET PERCEPCIJE BEZBEDNOSNOG IZAZOVA

VISOKO FREKVENTNE TRGOVINE

THE IMPACT OF SPEED, AS A CHARACTERISTIC OF

INFORMATION AGE, ON THE CAPACITY FOR PERCEPTION OF SECURITY CHALENGE OF HIGH FREQUENCY TRADING.

dr Dragan . urevi, profesor1

Miroslav D. Stevanovi2

Sadraj: Najvei generator kapitala na globalnom finansijskom tritu je raunarska visokofrekventna trgovina derivativima. Ove finansijske operacije poivaju na: korienju informacionih tehnologija, brzim komunikacijama, apstraktnim matematikim formulama, neprilago- enosti nacionalnih pravnih poredaka potrebama informacionog doba i birokratizaciji nacionalnih organizacionih modela.

U osnovi visokofrekventne trgovine ne postoji realna ekonomska vrednost, ve finansijski derivativi. Kao sredstvo obrta apstraktnog novca, koji desetostruko nadilazi vrednost svetskog bruto proizvoda, visokofrekventna trgovina predstavlja i izazov za ekonomsku stabilnost drava.

Cilj ovog rada je da se analizira uticaj brzine i multitaskinga, kao odlika informacionih tehnologija, na smanjen kapacitet nacionalnih obavetajno-bezbednosnih sistema da percipiraju visokofrekventnu trgovinu kao bezbednosni izazov.

Kljune rei: visokofrekventna trgovina, multitasking, finansijski derivativi, obavetajni sistem

Abstract: The largest generator of capital in the global financial market is the computerised high-frequency derivatives trading. These financial operations are based on: the use of information technologies, fast communications, abstract mathematical formulas, maladj- ustment of national legal systems to the needs of the information age and the bureaucra- tization of national organizational models.

In the basis of high-frequency tradig is no real economic value, but - financial derivatives. As a means of rapid turnover of abstract money, which has reached tenfold the value of gross world product, high-frequency trading poses a challenge to the economic stability of the country.

The aim of this article is to analyze the consequences of speed and multitasking, as the characteristics of information technology, on the lack of capacity of national intelligence systems to perceive high-frequency trading as a security challenge.

Keywords: high-frequency trading, multitasking, financial derivatives, intelligence system 1 Akademija za nacionalnu bezbednost, Kraljice Ane bb, [email protected] 2 Bezbednosno-informativna agencija, Kraljice Ane bb, [email protected]

Uticaj brzine, kao odlike informacionog doba, na kapacitet percepcije bezbednosnog izazova vidoko frekventne trgovine

Zbornik radova Dragan urevi, Miroslav Stevanovi

12

1. U V O D

Danas, komunikacione kompanije sve vie postavljaju mrenu opremu blizu sedita vladinih ustanova, a neki berzanski trejderi dobijaju izvetaje neposredno od administracija drava, umesto da podaci prvo budu objavljeni u javnim finansijskim medijima. Ovi detalji se ne doivljavaju kao indikator dublje promene, koja predstavlja izazov za nacionalnu bezbednost. Percepcija bezbednosnih pretnji u sektoru informacionih tehnologija svodi se uglavnom na kompjuterski kriminal, kiber-terorizam i pranje novca. Kao pretnja globalnoj bezbednosti i nacionalnoj bezbednosti drava najee se apostrofira kiber-terorizam. Ova vrsta pretnji potie od nesistemskog korienja informacionih tehnologija (egzotine pretnje) za prodor i podrivanja globalne ili nacionalne funkcije informacionih mrea. Kao takve se navo- de: ad hoc mree, senzorske mree, mree otporne na odlaganje [1], hvatanje i sluanje informacija koje se konstantno i nenamerno emituju unutar elektronskog ureaja [2]. Neki autori smatraju da su egzotine pretnje, pojam koji je teko odrediti i da je rizik od njih preuvelian [3]. ini se da kiber-terorizam, kako god da se shvati njegova sadrina i opasnost, obuhvata pretnje koje primena informacionih tehnologija moe da izazove po informativne operacije, odnosno nacionalne informacione sisteme [4].

U navedenom kontekstu, postavlja se pitanje percepcije ove vrste izazova za nacionalne drave u okviru globalnih sistema, poput finansijskog. Naime, analiza problema sa kojima se suoava IT sektor u suzbijanju pranja novca ukazuje da su nacionalni obavetajni, pravni i knjigovodstveni sistemi, pod uticajem globalizacije, postali instrumentalizovani u sistemu globalnih finansija i da se razvijaju kao preobimni birokratizovani sistemi koji onemoguavaju smisaono tumaenje pokazatelja. Ukoliko izazov potie od nepercipiranog i neinkriminisanog izazova, administracije ne mogu da deluju racionalno ukoliko ne ostvare kontrole rizinih sektora. Stoga, u informacionom dobu, uspenost drave zavisi od istraivanja i analize faktora rizika, to uz obavetajni rad, poiva i na racionalnoj primeni informacionih tehniologija [5].

2. BRZINA TRANSMISIJE, KAO FAKTOR VISOKOFREKVENTNE TRGOVINE

Brz prenos signala moe se vriti putem razliitih veza, zavisno od potreba. Bakarni vodovi su upotrebljivi na kratkim razdaljinama, ali su na veim distancama inferiorni u odnosu na optika vlakna, zbog manje funkcionalnosti i pojasnog (propusnog) opsega. Mikrota- lasne mree (i milimetarski talasi visoke frekvencije) nemaju veliki propusni opseg, ali se postavljaju namenski i, otuda, najkraom distancom, ime im se smanjuje latencija u odnosu na prerairene i uglavnom prezaguene optike mree. Laserske mree imaju sve prednosti kao i mikrotalasne, ali i vei propusni opseg, kao i opciju da su, uz optike adaptacije, otporne na vremenske uticaje.

Visoko frekventnu trgovinu Njujorke berze (NYSE) omoguava mikrotalasni primarni relej njenog raunskog centra. Uprkos tome to Trezor SAD ocenjuje visoko frekventnu trgovinu (HFT) kao kljuni izvor operativnog rizika irom svih trita [6], nakon to je 2014. godine uspostavljena laserska veza izmeu londonske i frankfurtske berze, febru-



13

ara 2015. godine na relej NYSE je dograen ureaj [7], koji bi trebalo da dodatno podstakne HFT u SAD.

Taj podsticaj trebalo bi da prui laserska veza izmeu NYSE i Automatizovanih ko- tacija Nacionalnog udruenja dilera hartija od vrednosti (NASDAQ), koja bi trebalo da omogui bru transmisiju od postojeih, zasnovanih na mikrotalasima i optikim kablovima. Lasersko povezivanje izmeu vodeih berzi izvela je kompanija Anova, koja ugrauje opremu firme Aoptix, proizvoaa sistema za komunikaciju zemlja vazduhoplov za potrebe amerike armije. Prema tehnikoj specifikaciji Aoptix, bazna stanica ovog sistema predstavlja uvod u 5G tehnologiju. Ona ima kapacitet dostupnosti nosioca (carrier-grade availability) 99.999% na razdaljini od 10 kilometara. Brzina veze iznosi oko 2Gb/s, to nije veliko u odnosu na standarde fiber-optike, ali je dovoljno za prenos nekoliko hiljada trgovina u sekundi [8].

Postojea mikrotalasna mrea izmeu ikaga (berza fjuersa i opcija) i Njujorka (NYSE i NASDAQ), duine 1280 kilometara u pravoj liniji, ima latenciju od oko 15 ms [9]. Proporcionalno, na oko 58 km udaljenosti izmeu NYSE i NASDAQ, latencija bi trebalo da iznosi 0,7 ms. Kako transmisija mikrotalasima kroz vazduh putuje blizu brzine svetlosti, na 58 km razdaljine nisu mogua drastina poboljanja, iz ega proistie da na tritu HFT prednost predstavlja ak i nekoliko nanosekundi. injenica da te nepojmljivo male vremenske utede mogu da obezbede dobit, indikator je stanja na berzama, na kojima se posredstvom HFT stvara novac ni iz ega [10].

3. NETRANSPARENTNOST, KAO UZROK RIZIKA VISOKOFREKVENTNE TRGOVINE

Danas je raunarsko poslovanje sredite globalnih finansija i odluujue deluje na kapacitet moi u meunarodnim ekonomskim odnosima. Sve drave prinuene su da svoju privrednu aktivnost i razvoj podvrgnu nivou pristupa investicionom kapitalu, koji kontroliu nosioci raunarskog finansijskog poslovanja. Ove operacije zasnivaju se na matematikim formulama, bez uporita u realnoj ekonomiji, te ih je zato teko razlikovati od kompjuterskih prevara (Ponzie schemes).

Okvir za obraun vrednosti opcija [11], kao derivativnog finansijskog instrumenta, je Blek-olsova diferencijalna jednaina. Racionalizacija odreivanja cene nedospelog ugovora omoguila je sve kompleksnije finansijske operacije, to je preraslo u ogromnu globalnu industriju. Rizik ovakvog poslovanja eskalirao je 2007. godine, kada se ispostavilo da meunarodni finansijski sistem, raunarski obre sumu deset puta veu od vrednosti svetskog bruto proizvoda, na osnovu naduvanih vrednosti nepokretnosti, to je proizvelo usisavanje raspoloivog realnog novca.

Ova jednaina omoguila je, mehanizam da se trguje instrumentima ija se vrednost zasniva na nedospelim obavezama (finansijskim derivativima) [12], a posredno da i derivativi postanu imovina, kojom se moe trgovati suo ipso. Sutina njene vrednosti je da obezbeuje sistemski nain da se opcijom moe trgovati u svako doba. Vodei subjekti meunarodnog finansijskog sistema su, koristei ekskluzivnu dostupnost naprednih informacionih tehnologija, doli u poziciju globalne finansijske dominacije. Da bi se primat odrao, uvode se sve apstra- ktnije finansijske operacije, za iju racionalizaciju se angauju vrhunski matematiari i fiziari. Te kalkulacije zasnivaju se na matematikim formulama i slue za raunarski promet, te zanemaruju promene uslova na tritu [13]. Nain da se ostvari zarada jeste da se kupi deri- vativ koji e se prodavati po sve vioj ceni. Procenjuje se da do 90% trgovaca opcijama izgube



14

novac [14]. Kada je, 2007. godine, kulminirala nenaplativost hipoteka u podlozi, izgubile su i vodee svetske banke. Tada su, vodee drave, u kojima je njihovo sedite, nacionalizovale gubitke privatnih banaka, parama poreskih obveznika. Posledica za ostale drave bila je nemogunost da prikupe sredstava na finansijskom tritu, izdavanjem dravnih hartija od vrednosti.

Blek-olsovom jednainom izraunava se preporuena cena opcije, na osnovu etiri veliine, od kojih se mogu kvantifikovati tri: vreme, vrednost imovine u podlozi i teorijska kamata (kamata bez rizika). etvrta veliina, stabilnost imovine, koja izraava nivo moguih promena na tritu nije kvantitativno odrediva, ve je spekulativna, pri emu njena nepro- menljivost predstavlja nuan uslov vaenja jednaine. Ideja se zasniva na ekonomskoj tezi da se berza moe oblikovati sluajnim procesom, opisanom parcijalnom diferencijalnom jednainom, koja dinamiku promene cene izraava na osnovu dinamika po kojima se menjaju razne druge veliine (Braunovo geometrijsko kretanje). Tako je, na apstraktan nain, omogueno da se u finansijskom sektoru razvijaju druge jednaine i modeli za sve spekulativnije operacije. Posledice, kako se ispostavilo, snose graani i drave, prinuene da se zaduuju na finansijskom tritu.

Svaki model stvarnosti zasniva se na uproavanju i pretpostavkama. Blek-olsova jednaina polazi od proizvoljnog shvatanja cene i nepromenljivosti otklona i rizika, to moe da koristi u teoriji finansija, ali ne vai za realna trita. Uz to, apstrahuje transakcijske tro- kove i pretpostavlja neogranienost dostupnosti novca i mogunosti prodaje bez stvarnog posedovanja (ort seling). Naknadni algoritmi, jednofaktorskog i dvofaktorskog modeliranja, razvijaju nove formule za raunarski promet finansijskih derivativa, i dalje spekulativno. Rezultat je da trite derivativa ostaje zavisno od stalnog rasta vrednosti imovine u podlozi, ili od dravne zatite.

4. RAUNARSKI I HUMANI MULTITASKING KAO POSLEDICA PRIMENE INFORMACIONIH TEHNOLOGIJA

Informacione tehnologije imaju kapacitet obavljanja vie radnih aktivnosti istovremeno (multitasking). Multitasking predstavlja uvoenje vremenske komponente u multipro- gramiranje, tako to raunar izvodi procese sa preklapanjem, bez svesti operatera [15]. U praksi, aplikativni softver obuhvata sve informatike alate za pomo korisnicima raunara u izvravanju zadataka (ne nuno i za reavanje problema), a operativni sistem je automatski posrednik izmeu programa korisnika i hardvera raunara. Bezbednost informacija obuhvata i bezbednost operativnih sistema, te podrazumeva, izmeu ostalog, saradnju programa sa ope- rativnim sistemom, kao i raunarski multitasking. Operativni sistem raunara moe da pro- cesira zahteve korisnika u prvom planu, dok se istovremeno odvijaju druge operacije u poza- dini. Raunarski multitasking obuhvata: deobu istog resursa za obradu vie poslova; ra- sporeivanje vremena za izvrenje jednog posla; red ekanja na izvrenje, sa prioritetom; i privid paralelizma [16].

Mogunost raunarskog multitaskinga dovela je do utiska da je i za individuu mogue da vie ciljeva budu paralelni prioriteti. Meutim, ljudsko bie ne moe istovremeno da se koncentrie na izvravanje dva posla, odnosno da se brzo prefokusira sa jednog cilja na drugi. Utvreno je da je prosenoj osobi, nakon to proveri novu elektronsku potu, potrebno 64 sekunde da efektivno nastavi rad na prethodnom cilju [17]. Ovaj prekid u performansi mozga prilikom suoavanja sa takvom tranzicijom u psihologiji se naziva cena iskljuenja. Kod ljudskih bia, izbegavanje multitaskinga spreava gubitak vremena u realizaciji ciljeva [18].



15

Postizanje boljih rezultata vodi obavljanje posla kvalitetnije i strunije, odnosno na najbolji mogui nain. Opredeljenje za prioritet usmerava ponaanje, tako to namee organizaciju oko odgovornosti, a cilj dri organizaciju rada individue i omoguava fokusiranje, jer eliminie dileme ta je potrebno, hitno i vano raditi [19]. U eri informacionih tehnologija, upravljanje ljudskim resursima i organizacija sistema trebalo bi da budu usmereni na prev- azilaenje ove prepreke ciljnoj efikasnosti. Meutim, irenje njihove primene dovelo je do razvoja kodeksa da se kao smisaoni rad smatra zauzetost i iscrpljivanje. Posledica je, da smi- sao rada esto ne proistie iz doprinosa neega to ima vrednost [20]. U delovanju strunjaka visokog profila i onih koji rade najvrednije poslove uoena je izraena volja da se odbaci svaka distrakcija. Shodno tome, odlika uspenog nosioca rada je volja, da se odri optimalan nivo posveenosti i usmerenja.

5. POSLEDICE INFORMACIONOG DOBA NA DRUTVENU ORGANIZACIJU

Informaciono drutvo uvodi niz osobenosti: centralnu uloga informacionih tehnologija u proizvodnji i irenju informacija; znaaj informacije i kreativnog znanja; upotrebu informacionih mrea za distribuiranje informacija; radikalne promene u ivotu pojedinca kao posledica integracije informacionih tehnologija u sve sfere ivota; neophodnost sticanja potre- bnih iskustva i vetina i pristupa bankama informacija. U informacionom drutvu, najvanije aktivnosti postaju stvaranje, distribucija i manipulacija informacijama [21].

Praktine posledice brzine informacionih tehnologija su njihova prijemivost i dru- tvena strukturna jednakost - rekurzivnost. S jedne strane, one uslovljavaju promene u organi- zaciji drutva, a s druge, porast moi pojedinca. U cilju racionalizacije obrade informacija i odluka, lojalnost izvrilaca se pomera od funkcionera ka funkciji, a posledice toga su deperso- nalizacija poslova i tenja ka efikasnosti. Otuda, informaciono doba odlikuje izrastanje birokratije u dominantnu drutvenu strukturu. U sreditu novih modela organizacije je vebe- rijanska birokratija [22], zasnovana na strogoj hijerarhijskoj kontroli i stoga neprilagodljiva situacijama koje iziskuju disperziju vlasti. Suprotnost i izazov takvom modelu predstavlja glo- balna mrea, koja takoe poiva na visokoj tehnologiji, ali nije centralizovana. Tako, dolazi do dominacije nacionalnih birokratija u pitanjima stratekog usmerenja, nasuprot individua- lnom pristupu globalnoj i lokalnoj situacionoj svesti, odnosno - do paralelizma znanja.

Birokratije ostaju privrene ustaljenim procedurama, to ih vodi u potrebu za centra- lizovanim odluivanjem i decentralizovanim sprovoenjem, to je u suprotnosti kibernetskim naelima, po kojima efikasan sistem kumulativno odlikuju: balans (decentralizovanost), cirkularnost (dvosmernost komunikacija), samoregulisanje (sposobnost ispravljanja odluka) i kontrola (centar odluivanja) [23]. Za razliku od modernog drutva, koje poiva na energiji, pokree ga plaeni rad, kontrolie birokratija, a dominantne vetine su prisustvo, centraliza- cija i efikasnost, u postmodernom drutvu organizacija poiva na raunarima, pokreta su informacije, kontroliu ga protokoli, a dominantne vetine postaju vernost, obrasci i algoritmi [24]. Vizije o moguoj digitalnoj demokratiji postmodernog doba, negiraju nalazi da, u ko- mpleksnom drutvu, digitalni mediji ubrzavaju deliberalizaciju, umanjuju obzir za politiku reprezentativnost, podstiu populizam, uveavaju informativnu nejednakost i ne podstiu politiku motivaciju graana [25].

Informacione tehnologije su, po nastanku i funkciji, strateka tehnoloka inicijativa koja prua mogunost za inovacije, ukljuujui i pretnje. Pogonska sila iza promena koje nosi



16

informaciono doba je korisnost tehnologija, kao unapreenog oblika ratovanja, u vidu mogunosti fleksibilnijeg organizovanja pojedinaca na mrei i imanentnog rizika umreenih raunara [26]. Otuda, nosioci izazova po nacionalnu bezbednost postaju viedimenzioni: drave, subjekti iza kojih su prikrivene drave i mree [27]. Bezbednosna implikacija je pomeranje cilja ka odvraanju. Shodno tome, u suoavanju sa izazovima po nacionalnu bezbednost HFT-a prioritet je preventivna efikasnost. To podrazumeva institucionalnu i operativnu usklaenost i angaovanost organa i institucija drave, kojima se onemoguavaju formalno legitimne aktivnosti koje predstavljaju bezbednosni izazov. To iziskuje adekvatnu usredsreenost, koja omoguuje da delatnost koja predstavlja izazov za nacionalnu bezbednost bude pravovremeno prepoznata [28]. Nedostatak svesti o novim potencijalnim rizicima, namee potrebu za institucionalnom mreom koja bi delovala na planu osposobljavanja za nove tehnologije i za percepciju rizika [29]. Mree mogu biti delotvorne za razmenu informacija, ali i da propuste ili pogreno obrade neke oblike informacija, to potom kompromituje njihovu efikasnost. U kvalitativnom smislu, postoji raskorak izmeu unutranje dinamike mrea koje se koriste u obavljanju bezbednosnih poslova u odnosu na njihovu efikasnost [30].

U dananje vreme, bremenito novim vrstama i pojavnim oblicima pretnji i izazova, nastojanje da se one smanje, nosiocu poslova omoguava kontrolu nad izborom opcija, kako bi vreme, energiju i napore kanalisao tako da ostvari optimalan doprinos u realizaciji ciljeva i aktivnostima od relevantnog znaaja. Nakon analiza okolnosti teroristike akcije u Njujorku 2001. godine, spoznaja neracionalnosti troenja energije na stvari nad kojima se nema kontrola, dupliranje poslova i meusobnih i meuresornih sukoba dovela je do uvoenja metoda kretanja primarnih informacija u informatizovanom sistemu bezbednosti zasnovanog na kancelariji porekla (Office of origin), koja se primenjuje u amerikom Federalnom istra- nom birou (FBI) [31].

6. PROBLEM PERCEPCIJE BEZBEDNOSNIH IZAZOVA INFORMACIONIH TEHNOLOGIJA

Percepcija bezbednosnog izazova HFT, odnosno prometa finansijskih derivativa, za koji u nacionalnom zakonodavstvu nisu zapreene sankcije, predstavlja sutinski problem. Da bi se dolo do percepcije, neophodno je neposredni objekat ugroavanja, svesti na problem funkcionisanja posebnog informacionog sistema. Tako bi privredni sistem drave obuhvatao meupovezana institucionalna reenja, mere, instrumente i mehanizme koja determiniu me- usobne odnose privrednih subjekata proizvodnje, raspodele, razmene i potronje. U tom smislu, tranzicioni privredni sistem, kao specifian privredni sistem, podrazumeva ostvarivanje liberalizacije, makroekonomske stabilnosti, restrukturiranja i privatizacije, kao i promene u politikom sistemu, kao determinante [32].

Obavetajni model i filozofija poivaju na problemskoj orijentaciji (u policiji modi- fikovan izraenim hijerarhijskim komandnim modelom), u kojoj su analiza podataka i primarni podaci kljuni za ostvarivanje cilja i proces odluivanja. Ovaj model deluje u okviru mree upravljanja informacijama i omoguava uticaj analitiara na donosioce odluka, a predstavlja metod dugoronijeg preventivnog reavanja problema [33]. Sektor bezbednosti je zatvorena i hijerarhijski ustrojena struktura, koja pociva na nacelu tajnosti u radu, a ija organizaciona struktura omoguava funkcionalnu sposobnost istovremenog obavljanja vis e poslova odje- dnom, a kljucni cilj svake organizacije je pravovremeno prilagoavanje promenama i sopstve- ni opstanak. U tom okviru, prikupljanje i analiza primarnih podataka, iziskuje fleksibilnost,



17

prilagodljivost, pa ak i istovremenu usmerenost ka vie ciljeva, zbog ega iziskuju vii individualni domet i inicijativu [34]. Naime, promenom percepcije o prirodi pojave kao bezbednosnog izazova, ne menjaju se injenice, ve njihovo znaenje. Zato, za novu percepciju, u uslovima oslanjanja na informacione tehnologije koje su bez moi logikog rasuivanja, problem predstavlja tajming, odnosno da se neko mora prvi suoiti sa definisanjem uskog i konkretnog segmenta koji bi injenicama dao novo znaenje [35]. Uspenost organizacije determiniu ljudski resursi, koji realizuju zadatke neophodne za ostvarivanje cilja, to podrazumeva kompetentnost ljudi i njihovo motivisanje.

Dodatni problem predstavlja nemogunost drave da u globalnom kontekstu, tj. u okviru jae i dublje prekogranine saradnje i drutvene integracije, obezbedi unutranju kohe- ziju i javna dobra (slabost drave). Kljuna odlika slabosti drave je nefunkcionalnost, u okviru koje nacionalne elite iscrpljuju resurse. Slabost drave se obnavlja pod uticajem meu- narodnih mrea, koje su proizvod novih ratova, [36] nerazdvojno povezanih sa procesom globalizacije. Transnacionalne mree, koje deluju kao globalni inioci, predstavljaju interio- rizaciju globalizacije, a posledica je oseaj kolektivne nacionalne nebezbednosti, delom i zbog funkcionalnosti slabe drave [37].

7. ZAKLJUAK

Potreba da drave istrauju aktivnost svojih kreditora i svojih hartija od vrednosti proistie iz iskustva. Na primeru Grke i panije ispostavilo se da se velike investicione banke pojavljuju kao kreditori, a paralelno i kao trgovci dravnim instrumentima na seku- ndarnom tritu.

U matematici i fizici je mogue da se veliine beskonano dele, da vreme tee konstantno i da se vrednosti menjaju ravnomerno, ali u svetu finansija to nije sluaj. Uprkos naizgled visoke strunosti i tehnologije iza HFT-a, modeli na kojima se zasniva ne preva- zilaze nagaanje, to sistem globalnih finansija ini nestabilnim. Problem da se HFT prepozna kao bezbednosni izazov proizilazi iz pouzdanja u informacione tehnologije kao zamenu za zdrav razum i zakon [38].

Da bi se informacione tehnologije podvrgle ostvarivanju korisnih ciljeva, neophodno je informatiki obrazovati kadrove i kontinuirano edukovati zaposlene, kako bi se postigla kritina masa kompetentnosti i sposobnosti percepcije, koja nee nekritiki primenjivati apstraktne tehnoloke mogunosti koje ne moraju uvek voditi ostvarenju racionalnih ciljeva.

Informaciona vetina nije dovoljna da se obezbedi zatita drutva od individualnih slabosti, neizbenih ak i uz najkvalitetnije kadrove. Dobit koju omoguava HFT ostavlja prostor za rairenu korupciju, zbog ega je teko motivisati napore da se iznau unutranji izvori kreditiranji, mimo globalnog finansijskog sistema. Posledica je uruavanje vrednosti uteevina, penzionih i zdravstvenih fondova, koji u jednom trenutku mogu da eskaliraju u nezadovoljstvo.

Informacione tehnologije omoguuju da se jednim pritiskom na taster ostvari prenos milijardi, ali i da do kraha doe iznenadno. Stoga je nuan institucionalni razvoj organizacionih oblika administranja javnih poslova, koji bi bili adaptirani da, u skladu sa pra- vilima konkretne struke, blagovremeno percipiraju efekte i posledice primene novih informacionih tehnologija.



18

LITERATURA

[1] Farell Stephen; Signeuer, Jean Mark; Jensen, Christian, Security in Exotic Wireless Networks, u: Security and Privacy in Advanced Networking Technologies, Jerman-Blai, Borka; Schneider, Wolfgang; Klobuar, Toma (Eds), Amsterdam: IOS Press, 2003, pp. v.

[2] Salomon, David, Elements of Computer Security, New York: Springer, 2010, pp. 17-18. [3] Smith, Sean, Hardware Security Modules, u: Handbook of Financial Cryptography and Security,

Rosenberg, Burton (Ed.), Boca Raton: CRC Press, pp. 258-259; takoe, Green, Thomas, Computer Security for the Home and Small Office, 2004, pp. 255.

[4] Statement of Wilson Thomas, director Defence Intelligence Agency, Global Security Envoirment, 02.02.2000, Current and Projected National Security Threats to the U.S: Hearing Before the Select Committee on Intelligence, U.S. Senate, Shelby, Richard (Ed), Diane Publishing, 2000, pp. 24.

[5] urevi, Dragan; Stevanovi Miroslav, Problemi sa kojima se suoava IT sektor u borbi protiv pranja novca u Srbiji, FBIM Transactions 3:1 (2015), str. 185.

[6] Office of Financial Research 2013 Annual Report, U.S. Department of Treasury, 2013, pp. 2-3. [7] Patterson, Scott, High-Speed Stock Traders Turn to Laser Beams, The Wall Street Journal,

http://www.wsj.com/articles/SB10001424052702303947904579340711424615716 11.02.2014. [8] AOptix Intellimax MB2000. Pristup: http://www.aoptix.com/technology/mb2000/, 05.03.2014. [9] Vaananen, Jay, Dark Pools and High Frequency Trading For Dummies, John Wiley & Sons,

2015, pp. 90. [10] Anthony, Sebastian, New Laser Network Between NYSE and NASDAQ Will Wllow High-

frequency Traders To Make Even More Money, Extremetech, 14.02.2014. Pristup: http://goo.gl/uvyHB2, 05.03.2014.

[11] Myron, Scholes; Black, Fischer, Pricing of Options and Corporate Liabilities, Political Journal, 81:3 (1973). Ovaj rad prethodno je odbijen od vie uglednih ekonomskih asopisa, sa obrazloenjem da nisu u mogunosti da provere tanost njihovih navoda. Termin odreivanje vrednosti opcija naknadno je uveo Robert Merton, Theory of Rational Option Pricing, Bell Journal of Economics and Management Science, 4:1 (1973). ols i Merton su dobili Nobelovu nagradu za ekonomiju 1997. godine (Blek je ranije umro).

[12] Detalnjije: Durbin, Michael, All About High-Frequency Trading, New York: McGraw Hill Professional, 2010.

[13] Aldridge, Irene, High-Frequency Trading: A Practical Guide to Algorithmic Strategies and Trading Systems, II Edition, Wiley, 2013, pp. 3-4.

[14] Kaeppel, Jay, The Four Biggest Mistakes in Option Trading, New York: John Wiley & Sons, 2012, pp. 1.

[15] Fof, Richard, Information Technology: An Introduction for Todays Digital World, Boca Raton: CRC Press, 2013, pp. 108-109.

[16] Blie: Cvetkovi, Dragan, Informatika: Osnove softvera, Beograd: Fakultet za informatiku i menadment Univerziteta Singidunum, 2009.

[17] Jacksona, Thomas; Dawsona, Ray; Wilsonb, Darren, Reducing the effect of email interruptions on employees, International Journal of Information Management, No. 23 (2003), pp. 5565.

[18] Schwalbe, Kathy, Information Technology Project Management, VII Edition, Andover: Cengage, 2013, pp. 249.

[19] McKeown, Greg, Essentialism: The Disciplined Pursuit of Less, London: Random House UK Limited, 2014.



19

[20] Costas Jana; Grey, Christopher, Outsourcing Your Life: Exploitation and Exploration in the 4-Hour Workweek, u: Managing 'Human Resources' by Exploiting and Exploring People's Potentials, Holmqvist, Mikael; Spicer, Andre (Eds), Bingley: Emerald Group Publishing, 2013, pp. 227, 232.

[21] orevi, Gordana, Uticaj informacionog drutva na drutveno ekonomski razvoj, Socioeconomica, 1/2 (2012), pp. 198.

[22] Analiza drutvene strukture i dinamike zapadne civilizacije u: Weber, Max, The Theory of Social and Economic Organization, New York: Free Press, 2012 (Original: Wirtschaft und Gesellschaft, Oxford University Press, 1947).

[23] Wiener, Norbert, The Human Use of Human Beings: Cybernetics and Society, New York: Da Capo, 1950, pp. 24, 34. Po Vineru, ljudska drutva i maine tee da se odupru entropiji kroz organizaciju sistema, koji naziva komunikativni organizmi (u savremenoj terminologiji informacioni sistemi), koji su sposobni da prilagode budue ponaanje, na osnovu prolih performansi. On prepoznaje rizik koncentracije moi u rukama beskrupuloznih.

[24] Galloway, Alexander, Protocol: How Control Exists After Decentralization, Cambridge: MIT Press, 2004, pp. 114.

[25] Hindeman, Matthew, prema: Dijk Jan van, Digital Democracy: Vision and Reality, u: Public Administration in the Information Age: Revisited, Snellen, Ig; Thaens, Marcel; Donk, Wim van de (Eds.), IOS Press, 2012, pp. 50-51.

[26] tambuk, Vladimir, Communico ergo sum ili Internet: kako je nastao i kuda smera, Beograd: Akademska misao, 2010, str. 137. Pre Interneta bio je ARPAnet, koji je amerika vojska 1981. godine pretvorila u javnu mreu za prenos podataka dostupnu za besplatno korienje svakog ko je zainteresovan. EU je 2005. godine inicirala da se za upravljanje Internetom ovlasti Meunarodna telekomunikaciona unija (ITU), ili UN, ali je ameriki predstavnik u ITU je ovakav predlog odbio. Nakon bega Edvarda Snoudena postalo je jasno i zato.

[27] Harknett, Richard, Integrated Security: A Strategic Problem to Anonimity and the Problem of the Few, u: National Security in the Information Age, Goldman, Emily (Ed), London: Psychology Press, 2004, pp. 18-28.

[28] Mijalkovaki, Milan, Protivteroristika prevencija drave, Meunarodni problemi, 59:1-4 (2007), str. 579, 581.

[29] Pandya, Jayshree, The Global Age: NGIOA @ Risk, New York: Springer Science & Business, 2012, pp. 255.

[30] Whelan, Chad, Networks and National Security: Dynamics, Effectiveness and Organisation, Farnham: Ashgate Publishing, 2013, pp. 39-44, 85.

[31] Final Report of the National Commission on Terrorist Attacks Upon the United States, pp. 74 [32] erovi, Slobodan, Makroekonomija, Beograd: Singidunum, 2009. [33] Ratcliffe, Jerry, Intelligence-led Policing, New York: Routledge, 2008, pp. 89. [34] Bailes, Alyson, Terrorism and International Security Agenda Since 2001, u: Combating

Terrorism and Its Implications for the Security Sector, Winkler, Theodor; Ebnther, Anja; Hansson, Mats (Eds), Geneva: DCAF, 2005, pp. 23.

[35] Drucker, Peter, Innovation and Entrepreneurship, New York: Routledge, 2012 , pp. 94-97. [36] Kaldor, Mary, New and Old Wars: Organised Violence in a Global Era, Oxford: Oxford Polity, 2001. [37] Kostovicova, Denisa, Slabost drzave na Zapadnom Balkanu kao pretnja bezbednosti: Pristup

Evropske unije i perspektiva globalne politike, Bezbednost Zapadnog Balkana, Br. 7-8 (2008), str. 10-16.

[38] Stewart, Ian, In Pursuit of the Unknown: 17 Equations That Changed the World, New York: Profile, 2012, pp. 306-316

21

OTKRIVANJE I RAZJANJAVANJE VANREDNIH IT BEZBEDNOSNIH DOGAAJA U BANCI

DETECTING AND RESOLVING EXTRAORDINARY IT SECURITY EVENTS IN BANKS

Dr Viktor Kaniai3

Abstract: Information Technologies (IT) represent the basis of modern banking infrastructure - databases, communication flows, current data processing, always available access to the services and products of the bank. Taking into account the fact that extraordinary events in the functioning of IT can cause direct material and reputation losses, the usage of IT infrastructure in banking carries a high degree of risk. It is necessary to establish an adequate model for detecting and resolving extraordinary IT security events in the bank to always know the actual facts and take preventive measures in order to avoid breaches of confidentiality, integrity and availability of data in the future. The author in this paper explored the possible sources of knowledge and methodology of incident management and conducting internal investigations, and examples are given of forensic tools that are used in practice.

Key words: extraordinary IT security events, data protection, internal investigations, digital forensics

Sadraj: Osnovu savremenog bankarskog poslovanja predstavlja infrastruktura Informa- cionih Tehnologija (IT) neophodne su baze podataka, komunikacioni tokovi, trenutana obrada podataka, uvek dostupan pristup servisima i proizvodima banke. Uzimajui u obzir i injenicu da vanredni dogaaji u funkcionisanju IT-a mogu prouzrokovati direktne materijalne i reputacione gubitke, upotreba IT infrastrukture u bankarstvu nosi veliki stepen rizika. Neophodno je uspostaviti adekvatan model otkrivanja i razjanjavanja IT bezbednosnih vanrednih dogaaja u banci kako bi se uvek znalo stvarno injenino stanje i preduzele preve- ntivne mere kako do naruavanja poverljivosti, integriteta i dostupnosti podataka u budue ne bi dolo. Autor je kroz ovaj rad sagledao mogue izvore saznanja i metodologiju upravljanja incidentima i sprovoenja internih istraga, a dati su i primeri forenzikih alata koji se u praksi koriste.

Kljune rei: vanredni IT bezbednosni dogaaji, zatita podataka, interne istrage, digitalna forenzika

3 OTP banka Srbija a.d. Novi Sad, Novi Sad, [email protected]

Otkrivanje i razjanjavanje vanrednih IT bezbednosnih dogaaja u banci

Zbornik radova Viktor Kaniai

22

1. U V O D

Banka kao finansijska institucija danas predstavlja neophodnost i potrebu svakog su- bjekta u drutvu, bilo fizikih ili pravnih lica. Savremeni bankarski sistem neminovno podrazumeva razvoj i primenu informacionih tehnologija, jer gotovo da u dananje vreme nema nijednog procesa koji se u banci odvija, a da to ne iziskuje upotrebu raunara i raunarskih sistema.

Sa druge strane vanredni dogaaji u funkcionisanju informacionih tehnologija mogu prouzrokovati direktne materijalne i reputacione gubitke, pa tako upotreba informatike infrastrukture u bankarstvu nosi veliki stepen rizika. Potrebno je obratiti posebnu panju na priro- du poverljivosti, verodostojnosti i bezbednosti podataka kojima informacioni sistem banke upravlja, ba kao i na njihovu raspoloivost i opasnosti koje prete njihovoj funkcionalnosti. Samim tim, neophodno je uspostaviti adekvatan model otkrivanja i razjanjavanja IT bezbednosnih vanrednih dogaaja u banci.

2. POJAM INCIDENTA I VANREDNOG DOGAAJA

Neophodno je jasno definisati ta je IT bezbednosni incident, a ta vanredni dogaaj, kao i ukazati koji su mogui izvori saznanja istih. U literaturi se ova dva pojma esto meaju i istovetuju, a ovde su date definicije na osnovu bezbednosnih standarda i sprovedenih istraivanja u vezi upravljanja incidentima u bankarskom sektoru:

IT bezbednosni incident: Nepovoljna promena u bezbednosti IT sistema koja moe naruiti ili ve naruava poverljivost, integritet, autentinost, funkciona- lnost ili raspoloivost podataka. Npr. pojava virusa na raunaru koji je automatski odstranjen antivirusnom zatitom, neuspeli pokuaj napada na web sajt banke putem interneta koji je spreen sistemom za prevenciju upada, itd.

IT bezbednosni vanredni dogaaj: Svaki IT bezbednosni incident koji rezultuje tetu za banku, koji ukazuje na osnove sumnji na kriminalno ugroavanje banke, koji zahteva preduzimanje dodatnih, neautomatizovanih mera, ili koji je visoko rizian predstavlja IT bezbednosni vanredni dogaaj. Npr. pojava virusa na raunaru koji nije uklonjen antivirusnom zatitom, uspeno izveden napad na web sajt banke, povreda odredbi pravilnika iz oblasti IT bezbednosti, itd.

2.1. IZVORI SAZNANJA

Izvori saznanja o IT bezbednosnom incidentu mogu biti posredni ili neposredni. Svaki zaposleni moe saznati za IT bezbednosni incident, bilo prouzrokovanjem, ili uoavanjem istog, kao i tako to je zaposleni video da drugo lice prouzrokuje incident ili je posredno obaveten o takvom sluaju. Takoe, IT bezbednosni incident moe uoiti nadleni zaposleni rasporeen na poslove iz oblasti IT bezbednosti, monitoringom IT bezbednosnih sistema, kontrolom sistema, analizom logova, putem prijave od drugih lica, kao i zaposleni u Sektoru za IT monitoringom svih IT sistema.

2.2. FAKTORI RIZIKA

Nijedan IT sistem nije bez rizika i ne mogu sve implementirane mere eliminisati rizik, ali mogu smanjiti rizik na prihvatljiv nivo.



23

Sa fokusom na izvore pretnje, moe se zakljuiti da oni sa jedne strane mogu biti: interni, eksterni i kombinovani.

Sa druge strane mogu se svrstati u tri grupe:

Ljudski (namerni ili ne: nemar, sabotaa, pijunaa, neznanje, itd.). Izvori pretnji iz okruenja (dugoroni nestanak struje, ratno stanje, kvar na

hardveru, itd.). Prirodni izvori pretnji (poplava, zemljotres, itd.). Najvei rizik u banci predstavljaju interni faktori, tj. sami zaposleni banke. Oni su ti

koji imaju konstantan pristup podacima i koji te podatke mogu zloupotrebiti za pribavljanje pro- tivpravne materijalne koristi sebi ili drugima i/ili nanoenje materijalne tete za banku. Najveu tetu mogu naneti kombinovani izvori pretnji (saradnja kriminalaca sa zaposlenim banke).

3. UPRAVLJANJE INCIDENTIMA

Postupci vezani za uoavanje, otklanjanje i spreavanje incidentnih situacija moraju biti razraeni i definisani kako bi zatita podataka i IT sistema banke bila i metodoloki odreena na sistematizovan nain.

Generalno, bez obzira na veliinu banke i broj zaposlenih, svako saznanje o IT bezbednosnom incidentu treba da se prijavi nadlenoj OJ, koja procenjuje da li se radi o IT bezbednosnom vanrednom dogaaju, ili samo o incidentu. Ukoliko se radi o IT bezbednosnom incidentu, a ne i vanrednom dogaaju, tada nadlena OJ registruje dogaaj i prikuplja podatke potrebne za redovno izvetavanje manedmenta banke o istim. Ukoliko se radi o IT bezbednosnom vanrednom dogaaju, nadlena OJ o sluaju obavetava nadlene rukovodioce i nala-e se otklanjanje uoenog problema (prestanak trajanja vanrednog dogaaja), odreuju se mere interne istrage u cilju utvrivanja stvarnog injeninog stanja. Nakon zavrene interne istrage sastavlja se izvetaj o vanrednom dogaaju i daju se predlozi mera za trajno otklanjanje problema i spreavanje ponavljanja takvih i slinih dogaaja u budunosti. Izvetaj se dostavlja nadlenim rukovodiocima, i zavisno od teine ispitanog dogaaja, i predstavnicima vieg mena- dmenta. Takoe, u teim oblicima ugroavanja banke, potrebno je oformiti u lokalni CERT.

4. INTERNE PROVERE

Interno istraivanje prevashodno ima za predmet utvrivanja injenica o pretnji nekog IT bezbednosnog dogaaja ili je on ve nastao usled propusta na internom planu zatite banke.

4.1. ZNAAJ I CILJ INTERNIH PROVERA

Internim istranim delatnostima se utvruje stvarno injenino stanje, odnosno mate- rijalna istina, povodom IT bezbednosnog vanrednog dogaaja ili pretnji od tete, odnosno gubitka za banku.



24

Za izvravanje ovih zadataka neophodni su struni i specijalizovani kadrovi u banci. To dalje namee potrebu novih zapoljavanja, novih investicija kako bi se poslovni procesi banke na adekvatan nain zatitili.

4.2. DOKUMENTOVANJE SPROVEDENIH ISTRAGA

Interna istraga ima iri i sveobuhvatniji karakter, odnosno nije ograniena iskljuivo na otkrivanje IT bezbednosnih vanrednih dogaaja, nego se ona vri i radi prikazivanja stvarnog stanja menadmentu banke, ali i za utvrivanje pitanja radne odgovornosti zaposlenih u banci zbog eventualnih propusta koje su uinili pa je zbog toga dolo do vanrednog dogaaja. Da bi izvetaj o sprovedenoj internoj istrazi sadrajno bio sveobuhvatan i odraavao stvarno injenino stanje najprihvatljivije je da se tokom internog istraivanja odgovori na devet zlatnih pitanja kriminalistike (ta se desilo?, Gde se desilo?, Kada se desilo?, Kako se desilo?, ime je izvreno?, Sa kime je izvreno?, Zato je izvreno?, Nad kime (ime) je izvreno?, Ko je izvrilac?). Svakako je vano dati odgovor na svih devet zlatnih pitanja kriminalistike, i ne samo dati odgovor, nego je za svaku utvrenu injenicu neophodno obezbediti dokaze ili ukazati na put koji vodi do istih.

4.3. OBEZBEIVANJE DOKAZA

Da bi se dokazalo delo neophodno je prikupiti dokaze, a oni generalno mogu biti: Lini i Materijalni

Digitalni dokaz mora ukazati na CIA trojstvo podataka (CIA Confidentiality, Integrity, Availability; Poverljivost (autentinost), integritet i dostupnost).

Za zatitu i verifikaciju integriteta digitalnih dokaza koristi se jednosmerna matema- tika funkcija, ili algoritam he (eng: hash) fajlova. Ova se funkcija lako rauna u jednom, ali teoretski nikakao u drugom smeru. Ako se izrauna he jednog fajla dobije se vrednost he- a, koja je istovetna vrednosti dobijenoj kod verifikacije hea istim algoritmom, samo ako se fajl nije menjao. Svaka, pa i najmanja promena u sadraju fajla, menja vrednost hea, to ukazuje da je integritet naruen. Najvie se koriste dva algoritma za heiranje: MD5 i SHA1. Verovatnoa da dva fajla sa razliitim sadrajem imaju isti MD5 he je 2128[1].

Generalno, opti koraci obezbeivanja digitalnih dokaza su: Snimanje zapisa Snima se zapis koji predstavlja podatke od interesa. U sluaju potrebe snimanja

celokupnog medija sa podacima, pristupa se imidovanju4. Analiza podataka Vri se analiza snimljenog zapisa, tj. podataka na tom zapisu u cilju pronalaenja

potencijalnih dokaza. Tumaenje informacija Analizom podaci postaju informacije, i one se tumae u smislu ukazivanja na

injenice povodom ispitivanog dogaaja. 4 Imidovanje predstavljanje ili reprodukcija objekta, uzimanje fizike slike (imida) ispitivanog raunara, tj. generisanje dulpikata bit po bit.



25

Predstavljanje dokaza Na kraju procesa obezbeivanja dokaza dolazi se do samog predstavljanja tih

dokaza, menadmentu banke ili nadlenim dravnim organima, zavisno od sluaja. Treba imati na umu i da postoje anti-forenziki alati koji oteavaju posao nadlenog

lica koji sprovodi internu istragu. Kriminalci esto maksimalno koriste prednosti nove tehnologije i usavravaju svoje ilegalne aktivnosti, prevazilazui znanja operativca istrage.

Naalost u Republici Srbiji nije pravno regulisana materija digitalnih dokaza, tako da predstavljanje ovakvih dokaza zavisi od sluaja do sluaja: banke ureuju to pitanje interno, a kod nadlenih dravnih organa ovo pitanje zavisi od sudije datog procesa da li e prihvatiti iskaz o izvrenoj analizi logova, prihvatiti logove u formi Excel tabele bez verifikacije integriteta podataka, preuzeti raunar, itd.

5. ALATI DIGITALNE FORENZIKE

Uopteno, alate kojima se mogu vriti forenzika istraivanja na raunarima za koje se sumnja da su bili predmet, objekat ili sredstvo izvrenja zloupotreba iz oblasti visokotehnolokog kriminala moemo grupisati na one koji se pokreu npr. sa CD-a, bez podizanja operativnog sistema, i na one koji se pokreu iz operativnog sistema.

Primeri alata koji se u praksi koriste, a koji se pokreu bez prethodnog podizanja operativnog sistema su:

Hirens Boot CD Caine Backtrack

Slika 1: Skup forenzikih alata u Backtrack



26

Primeri alata iz prakse, a koji se pokreu iz operativnog sistema su: OSForensics WinHex DiskDigger FocaPro

Slika 2: Osnovni meni alata OSForensics

6. ZAKLJUAK

Poslovni procesi banke sve vie zavise od ispravnog funkcionisanja informacionog sistema banke. Vanredni dogaaji iz oblasti IT bezbednosti mogu naneti velike direktne materijalne i reputacione tete banci.

Neophodno je uspostaviti adekvatan model otkrivanja i razjanjavanja IT bezbednosnih vanrednih dogaaja u banci.

Vanredne dogaaje ne treba zatakavati, ve ih otkriti i razjasniti, jer se samo tako moe utvrditi stvarno injenino stanje i dati predlog mera kako se takvi i slini dogaaji ne bi ponovili u budunosti.

Za otkrivanje i razjanjavanje vanrednih IT bezbednosnih dogaaja u banci neophodni su struni i specijalizovani kadrovi u banci, kao i odgovarajui tehniko tehnoloki alati. To namee potrebu za novim zapoljavanjima, novim investicijama, ali to ne treba da predstavlja dodatni troak, ve investiciju za banku.



27

LITERATURA

[1] Prof. dr. Milan Milosavljevi, Doc. dr. Gojko Grubor, Digitalna forenzika raunarskog sistema,

Univerzitet Singidunum, Beograd, 2009. [2] Doc. dr Marinko Kresoja, Zlatko Kirkov, Kriminalistike i krivino procesne karakteristike

internih istraga u banci, Meunarodna nauno-struna konferencija Kriminalistiko-forenzika istraivanja, Banja Luka, Bosna i Hercegovina, Volumen 4, broj 1, ISBN 978-99955-691-1-2, 2011.

[3] Aleksi ., kuli M., Kriminalistika, Pravni fakultet Univerziteta u Beogradu, Centar za izdavatvo i informisanje, 2011.

[4] Doc. dr Marinko Kresoja, Viktor Kaniai, Kriminalistiko operativni karakter dokaza pravljenja i unoenja kompjuterskih virusa u informacioni sistem banke, Meunarodna nauno-struna konferencija Kriminalistiki i krivino procesni aspekti dokaza i dokazivanja, Sarajevo, Bosna i Hercegovina, Volumen 6, Broj 1., ISBN 978-99955-691-8-1, 2013.

[5] Krivokapi V., Uvod u kriminalistiku, Nadedesign, Narodno delo Beograd, 2008. [6] Petrovi R. S., Kompjuterski kriminal, II izdanje, Ministarstvo unutranjih poslova Srbije,

Beograd, 2001.

29

IT SECURITY IN GOVERNMENT AND INTERGOVERNMENTAL ORGANIZATION

Mr.sc , Gorjan Damjanovic, OPCW, Johan de Wittlaan 32, Den Haag, [email protected] Mr.sc , Ilhan Muratovic, Srednja skola Novi Pazar, Ulica Save Kovacevica bb, [email protected] Mr.sc , Alma Damjanovic, The International School of The Hague, Wijndaelerduin 1, Den Haag, [email protected]

Abstract (Introduction)

Cyber security in today's age of Internet is the biggest challenge faced by all Internet users as well as government institutions and organizations, and international organizations, founded by the countries, or to be more specific, member states of the organization, regardless if organized at the regional, international or global level.

Being that Internet a live matter that changes and improves on a daily basis, and that base could extend to a longer period of time, ensuring the safe use of the Internet and IT networks, is a major challenge for the professional IT Security Department of any organization.

Unfortunately, the legislation of organizations and institutions, which are expected to follow the challenges of todays safe use of the Internet, is quite slow by the mode or method of implementation of its decisions, and is mostly known as firefighting. (mostly reactive instead of active)

Dynamics and development of the Internet and IT technology, its benefits and risks, must be taken seriously in the same way and pace, by the leaders of those organizations and institutions, which, mostly, has not been the case so far. We will address these cases further below.

Difference between Business and Private use of the Internet and Introduction to a Local Network

Unlike private Internet users, where each and every individual user, bears the responsibility and consequences of Internet use, Internet in the organizations and institutions, represents, as with any business system, a challenge, which requires economic and political will and understanding by the governing body of the same organization or institution. The understanding primarily consists of awareness that the Internet and all communications being carried over require resources.

In addition to IT managers, who should adequately, present to Executive Mana- gement, Internet and the complete network system of the organization, that usually represent a whole system, should be understood by the management as a separate and complex system, and not a one-time expense, i.e. " buy and forget", hoping it will work itself out.

Unfortunately, quite often, due to the lack of knowledge from all parties, and lack of proper presentation of their complex system, the IT managers are often misunderstood. Again, there is need to stress the potential consequences of such misunderstanding that can lead, at the end, to organizational disaster.

IT security in government and intergovernmental organization Zbornik radova Goran Damjanovi; Ilhan Muratovi; Alma Dajmanovi

30

External threats

The threats that come from outside of the network, or the Internet, have usually been classified, into the three main groups:

1. Spam 2. Viruses and Malware 3. Phishing Scams

Solution as firewall, for example, is one of the security systems, but serious organization cannot rely only on it or on one type of a security system only. Firewall will block sniffing attacks, but in other hand, if there is no encryption of the data that fluctuate on the network, there is a risk of their interception.

Each of these threats to the network and users is a separate topic, so we are only going to mention them here.

Internal threats:

Example of potential problems Intentional and not intentional internal attacks Example of potential problems (The Human Contribution to Network Breach) Adoption of any form of portable memory devices in the organization is a major risk

for the network. Although this specific issue is mentioned many times before, it seems that it will never be enough. Regardless of the constant warnings, same mistakes and omissions occur on daily basis.

These are the two most common problems that arise in almost all institutions: 1. End user returns the USB memory card and easily plugs into a computer / network. 2. The user brings a laptop and connects to the network. Intentional and not intentional internal attacks Also, except for the two most common issues, persistent problems are 'emerging'

peripheral devices that behave as multi machines and present a major risk to the network.

Resources required for the safe operation and the Internet use

Material resources

In this case we are talking, of course, about the Hardware and Software solutions, which require constant monitoring, maintenance, upgrade and replacement, if necessary.

Human resources

Represent loyal professionals who possess safety certificates such as CISSP (Certified Information Systems Security Professional) and CISM (Certified Information Security Manager).


31

It should be noted that the state, government and international organizations should avoid the popular outsourcing, as they are generally in possession of sensitive, classified and secret information that are not meant for public and certainly not for other countries.

Outsourcing in this case would potentially represent an additional risk to the system.

Material resources and expectations

Manufacturers of hardware and software solutions, in general, are private companies. That does not mean that we should absolutely rely on them, primarily for two reasons.

First, that the company engaged in writing computer codes, hardware production on which these codes work, companies that provide information data, and those that build and hold" or monitor and deal with the prevention of attacks on the internal network, do not give a guarantee or insurance on usage, as strange as it may sound. This legal restriction (protection) goes so far as they do not take the responsibility for the loss of data, even if they should, as a responsible company, as these same codes may be written carelessly, and in the whole process of production these deficiencies may not be detected and corrected.

All costs incurred at the end are on the end user's expense. Secondly, although the companies private entities, they may not be completely

independent from the influence of government and state institutions, in which they are operating. The easiest examples to mention are the two leading companies engaged in the production of an anti-virus solution, McAfee and Kaspersky.

In any case, products like security solutions and equipment should be selected as the most stable, with highest quality and most optimal, without favoritism, but also avoiding semi-solutions and unknown companies. IT managers should have the main role in management presentations. Primary consideration in presentation should be Interest and wellbeing of the institution, and consistently pose of security system, as a whole.

Human resources and expectations

Here we have to look again at IT professionals who in any case have to be an integral part of the institution or organization, and represent the first and the last line of defense, protection of data and information, or electronic flow of information. It should be emphasized how the information that exist in government and international institutions are important and, in vast majority, the sensitive nature for the particular country or countries.

In the selection of solutions, it is important to avoid surplus security solutions and reli- ance on one company only, or in the case of international organizations on companies that arrive from only one Member State. In most cases, we can surely say that such solution will re- ceive resistance from other Member States, as a result of political as well as economic reasons.

As mentioned above, we can conclude that IT professionals must consider political aspect of its security solutions that certainly represents an additional challenge.

Sub factor: IT managers

One of the key factors in any security system is understanding of the needs by the IT manager, his/her awareness and familiarity with the complete system, as well as basic knowledge. Basic knowledge is fundamental IT knowledge, which is prerequisite for potential problems


32

understanding. Unfortunately, few IT managers possess those. They usually tend to focus on the application layer. Wrong focus leads them, almost unconsciously, to the level of the end user.

Also, keeping their focus on the economic aspect only, and not understanding all aspects of the department, very important in today's world, produce fatal errors which may reflect to the entire company / organization.

As any new manager in new environment, trying to bring the new ideas to impress the executive management, without full evaluation of the current situation and potential opportunities first, often ends their potentially successful career before it began.

A solution to these potential issues may be instituting a position of a CIO (Chief Information Officer) as a person responsible and accountable for decision-making, as well as proposing a road map for the organization.

Basic methods of protection and safeguarding

All governmental organizations or internal institutions should uphold these eight basic protection methods:

Policy Physical security Identification and authentication Authorization Network access control Communication Monitor and audit Secure management

Conclusion

It is noteworthy that one of the important factors to prevent possible incidents on the network is human factor, shaped of qualified IT professionals, as well as awareness, education and training of users and themselves in periodic cycles and depending on the estimation of potential danger evaluated by IT manager of institution or organization.

Taking Internet for granted, especially from the end users' perspective, and in organizations where these same users rely on the security systems of its organization often leads to surprises when problems arise because of no familiarity, no knowledge, no information or lack of training.

Blaming the IT experts by the end users is not uncommon, and is often seen. They are right only in case that they are not informed, trained. It is better to prevent then repair, even in case that you look bad in eyes of the end users. The end users, in eyes of IT professionals, are quite often presented as potentially unconscious, or deliberate internal attackers.

Although Internet is a relatively young, a bit more than 20 years, the speed of its development and expansion, as well as dangers that represent side effect for users, are unprecedented in human history.

To conclude, the latch is still on the beneficial side of the scale for the mankind, but for how long - the time will tell.


33

References:

The White House, International Strategy for Cyberspace: Prosperity, Security, and Openness in a Networked World, May 2011, http://www.whitehouse.gov/sites/default/files/rss_viewer/international_strategy_for_cyberspace.pdf

Sue Talley, Cyber Warfare, Education is Our Most Powerful Weapon, The Huffington Post, December 12, 2012, http://www.huffingtonpost. com/sue-talley-edd/in-cyber-warfare-education_b_2244950.html

BACKGROUNDER | NO. 2785 March 28, 2013 Council of Europe, Action Against Economic Crime,

http://www.coe.int/t/DGHL/cooperation/economiccrime/cybercrime/default_en.asp

The Open Group Trusted Technology Forum, Open Trusted Technology Provider Framework: Industry Best Practices for Manufacturing Technology Products that Facilitate Customer Technology Acquisition Risk Management Practices and Options for Promoting Industry Adoption, February 2011,

John D. Villasenor, Ensuring Hardware Cybersecurity, Issues in Technology Innovation, No. 9 (May 2011)

Internet Corporation for Assigned Names and Numbers, http://www.icann.org/en/groups, and Internet Society, http://www.internetsociety.org/

Information Technology Industry Council, ITI Recommendation: Addressing Liability Concerns Impeding More Effective Cybersecurity Information Sharing, January 2012, http://www.itic.org/dotAsset/fae2feab-7b0e-45f4-9e74-64e4c9ece132.pdf

Rosenzweig, Cyber Warfare Bellamy, C., & Taylor, A. J. (1998). Governing in the information age. Buckingham:

Open Univ. Press.

Brown, M. M., & Brudney, J. L. (2001, October). Achieving advanced electronic government services: An examination of obstacles and implications from an international perspective.

Cohen, S., & Eimicke, W. (2001). The use of Internet in government service delivery. In M. Abramson & G. E. Oxford: Rowman & Littlefield Publishers, Inc.

Danziger, J. N. (2004). Innovation in innovation: The technology enactment framework. Social Science Computer

Garson, G. D. Information systems, politics, and government: Leading theoretical perspectives. In G. D.

35

THE ROLE OF CYBER UNSURANCE IN MANAGING AND MITIGATING

CYBER SECURITY RISK

WITH SPECIAL EMPHASIS ON THE POTENTIAL OF CROATIA AND SERBIA CYBER INSURANCE MARKET

MBA, Danijel Bara5 mr.sc., Sanja ori6

dipl.oecc, Goran Jurii7

Abstract: This article explores the impact that cybercrime has on businesses, with a focus on small and large businesses, as well as proactive measures that can mitigate the risks of cyber threats and specifically deals with cyber risk insurance as an extra tool to transfer risk. I argue that companies need to adopt a proactive strategy for managing cyber-attacks to protect their infrastructure and ensure its viability in the market. If this is achieved, cyber insurance can be a part of the overall business strategy for risk reduction.

Key words: Cyber insurance, cyber security, cyber insurance market

PREFACE

In todays highly informatics and electronic dependency age, corporations are becoming more and more exposed to various types of cyber-attacks. Fraudulent and other cybercrime events like cyber espionage, cyber warfare , cyber terror, cyber bullying caused by both internal or external breaches, have devastating consequences and great impact on companies, their employees, customers and third parties. Such actions may lead to intellectual property theft, compromising corporate strategy, pilfering or manipulating confidential and regulated data and could even threaten a companys very existence. As cybercrime events have increasingly impacted organizations, cyber security has transformed from just a problem of companies IT department but rather one of strategic risk where the executive management must take ownership. In its Global Risks Report for 2011, the World Economic Forum (WEF)

5 Jadransko osiguranje Ltd, Listopadska 2, Zagreb, Hrvatska, [email protected] 6 Jadransko osiguranje Ltd, Listopadska 2, Zagreb, Hrvatska, [email protected] 7 Jadransko osiguranje d.d., Listopadska 2, Zagreb, Hrvatska, [email protected]

The role of cyber unsurance in managing and mitigating cyber security risk

Zbornik radova Danijel Bara; Sanja ori; Goran Jurii

36

reported that concerns about cyber-security were one of the top five global risks along-side demographic challenges and weapons of mass destruction identified by senior executives and decision-makers [1].

CYBER-INCIDENTS AND THEIR IMPACTS

There are three main compelling motivational factors behind the rising tide of cybercrime: first, it is anonymous; second, there is a low risk of getting caught; and third, there can be big rewards. Drive-by exploits, worms, code injections, exploit kits and botnets are all rising in prominence. It is now perfectly possible to buy toolkits from the darknet8 that enable criminals to commit fraud, some of which can even be purchased with IT support. They are not expensive and are commonly available. Obviously these are not purchased using traditional methods of payment which is one of the reasons behind the rise of alternative forms of commerce such as Bitcoin9. There is a growing interest in the darknet, such as Tor (The Onion Router), where is virtually impossible to trace users [4].

In 2011 cyber-attacks on Sony involved the theft of personal data that include names, passwords and addresses from more than 100 million accounts on its PlayStation Network and Sony Online Entertainment services [5]. Expected cleanup costs reached 171 mil $ [6], but the full costs of data breach could reach billions of dollars [7]. Despite having cyber liability coverage through CGL (Commercial General Liability) policy at Zurich American Insurance Company, Sony did not received compensation for the damages caused by the breach. The CGL policy covered actions taken by Sony. Since the breach was caused by third-party hackers, therefore Zurich American was not obliged to reimburse Sony. The judgment is pronounced as acts done by a third party hackers which do not constitute oral or written publication in any manner of the material that violates a persons right of privacy in the Coverage B (personal and advertising injury coverage) under the CGL policy issued by Zurich [8].

In December 19, 2013, Target Corporation announced a data breach resulting from a cyber-attack on its systems. The breach affected two types of data: payment card data, which affected approximately 40 million Target customers, and certain personal data, which affected up to 70 million Target customers [9], [10]. To date, Target has reported data breach costs of $248 million. Independent sources have made back-of-the-envelope esti- mates ranging from $240 million to $2.2 billion in fraudulent charges alone. This does not include additional potential costs to consumers concerned about their personal information or credit histories; potential fines or penalties to Target, financial institutions, or others; or any costs to Target related to a loss of consumer confidence. The breach was among the largest in U.S. history [11].

8 Darknet is private network where connections are made only between trusted peers using non-standard protocols and ports. These include what others might term the deep web, consisting of unindexed web pages that you can find only by knowing about them [2]. 9 Bitcoin is an innovative payment network and a new kind of money. Bitcoin uses peer-to-peer technology to operate with no central authority or banks; managing transactions and the issuing of bitcoins is carried out collectively by the network. Bitcoin is open-source; its design is public, nobody owns or controls Bitcoin and everyone can take part. Through many of its unique properties, Bitcoin allows exciting uses that could not be covered by any previous payment system [3].

The role of cyber unsurance in managing and mitigating cyber security risk

Zbornik radova Danijel Bara; Sanja ori; Goran Jurii

37

In 2014 Sony suffered another powerful cyber-attack. Attackers released confidential data belonging to Sony Pictures Entertainment. The data included personal information about Sony employees and their families, e-mails between employees and customers, information about executive salaries at the company, copies of unreleased

zbornik radova-ikt bezbednost 2015 (ict security), kladovo, republika srbija

Documents