KOMPJUTORSKI KRIMINALITET I INFORMACIJSKI SUSTAVI-Skripta-Pravna informatika-Pravo, Skripte' predlog Pravna informatika. University of Belgrade
zoe.r
zoe.r

KOMPJUTORSKI KRIMINALITET I INFORMACIJSKI SUSTAVI-Skripta-Pravna informatika-Pravo, Skripte' predlog Pravna informatika. University of Belgrade

PDF (666 KB)
100 str.
11broj preuzimanja
1000+broj poseta
100%od1broj ocena
1broj komentara
Opis
KOMPJUTORSKI KRIMINALITET I INFORMACIJSKI SUSTAVI,Skripta,Pravna informatika,Pravo,INFORMACIJSKI SUSTAVI U PROCESU IZGRADNJE INFORMACIJSKOG DRUŠTVA,Informacijski trendovi i dosezi,stimulirati formiranje teoretskih modela...
20 poeni
poeni preuzimanja potrebni da se preuzme
ovaj dokument
preuzmi dokument
pregled3 str. / 100
ovo je samo pregled
3 prikazano na 100 str.
preuzmi dokument
ovo je samo pregled
3 prikazano na 100 str.
preuzmi dokument
ovo je samo pregled
3 prikazano na 100 str.
preuzmi dokument
ovo je samo pregled
3 prikazano na 100 str.
preuzmi dokument
Pravna informatika

Pravna informatika

KOMPJUTORSKI KRIMINALITET I INFORMACIJSKI SUSTAVI PRIVATNOST U VIRTUALNOM SVIJETU

ZAKON O ZAŠTITI OSOBNIH PODATAKA PITANJA

2 Pravna informatika

KOMPJUTORSKI KRIMINALITET I INFORMACIJSKI SUSTAVI

1. INFORMACIJSKI SUSTAVI U PROCESU IZGRADNJE INFORMACIJSKOG DRUŠTVA

1.1 Informacijski trendovi i dosezi

Vodeće mjesto u nastanku i razvoju čovjeka ima nagon i interes za slanje poruka. Čovjekov urođen talent, inteligencija i obrazovanje dolaze do izražaja tek kroz komunikaciju s drugim ljudima. Dugo se vremena odvijala ta povezanost među ljudima u jednostavnim oblicima mimike, gestikuliranja, neartikuliranog sporazumijevanja, slikovitog izražavanja, dimnih signala, govora, dovikivanja i pisanja. Sredinom 15. stoljeća dolazi do povijesnog zaokreta u komuniciranju među ljudima i njihovim organizacijama i zajednicama izazvan određenim tehnološkim pronalaskom ili nizom tehničkih otkrića i odgovarajućih tehnoloških postupaka koji se naziva informacijska revolucija. Uži pojam od informacijske revolucije je informatička revolucija koja se odnosi na tehnološka rješenja koja se ostvaruju korištenjem modernih informatičkih i komunikacijskih postrojenja, strojeva, uređaja i mreža kojima se unose, obrađuju i pohranjuju podaci, prenose slike, glas, zvuk i signali u digitalnom obliku.

1440. godine nakon pronalaska Gutenbergova stroja započinje prva informacijska revolucija. 1445. tiska se prva knjiga i započinje širenje pismenosti. Druga informacijska revolucija započinje 1840. izumom telegrafa (Morse), zatim je 1875. izumljen telefon (Bell), 1891. prva filmska predstava, 1909. radio, 1926. Zworkynov ikonoskop koji je otvorio put razvoju suvremene televizije, javljaju se masovni mediji i uvodi obvezno obrazovanje. Usporedno se stvaraju preduvjeti koji će dovesti do mikroelektroničke revolucije (prvi računski stroj – W. Schichard, stroj za zbrajanje i oduzimanje – B. Pascal, stroj sa četiri računske operacije – W. Leibnitz, mehanički računski stroj za komercijalnu upotrebu – Braun, pisaći stroj – C. L. Sholes). Sredinom prošlog stoljeća počinje treća informacijska revolucija izumom i primjenom kompjutora. Veliki pomak donijela je primjena elektromotora i elektromehanička obrada podataka, a još veći i brži elektronička tehnologija digitalnom obradom podataka. 1833. C. Babbage razvija Analitički stroj i postavlja teorijske osnove za rad suvremenih kompjutora. 1944. H. Aicken konstruira kompjutor Mark 1 golemih razmjera s mnoštvom releja koji se brzo pregrijavaju. Istovremeno C. Zuse razvija Z3. Eckert, Mauchly i von Neumann konstruiraju prvo elektronički kompjutor - ENIAC (Electronic Numerical Integrator and Calculator) koji je služio za znanstvene svrhe od 1946. do 1955. S UNIVAC-om (Universal Automatic Computor) počinje proizvodnja kompjutora za komercijalnu obradu podataka. Šest generacija kompjutora:  Prva generacija (1951.-1958.) koristi elektronske cijevi i kablovske veze u obradi podataka  Druga generacija (1959.-1963.) postiže više upotrebom tranzistora i tiskanih krugova s

magnetskim jezgrama  Treća generacija (1964.-1970.) uvodi i razvija tehnologiju integriranih krugova i počinje s

korištenjem viših programskih jezika  Četvrta generacija (1971.-1987.) postiže najviše integriranjem poluvodičkih sklopova

3Pravna informatika

Peta generacija (1989.-1992.) razvija kompjutore na osnovi paralelne arhitekture i arsenid čipova

Šesta generacija (od 1993.) usavršavaju se neurokompjutori na osnovi neuronske mreže, primjene umjetne inteligencije i iskorištavanja ekspertnih sustava u ostvarivanju postavljenih ciljeva.

Razvoj modernog društva sve više ovisi o sprezi znanosti i tehnike. Nastoje se stvoriti uvjeti za kontinuirani tehnički progres koji omogućava gospodarski rast i razvoj. Budući da tehnički progres ima za pretpostavku stalnu primjenu znanstvenih otkrića i inovacija i ponajviše ovisi o tome čovječanstvo ulazi u razdoblje permanentne znanstveno-tehnološke revolucije.

Središnje mjesto i vodeću ulogu u znanstveno tehnološkom razvoju ima čip – sićušni komadić kristala poluvodiča (ponajviše silicija) na koji se utiskuje sklop ili niz sklopova što čine elektronički integrirani krug. Na površinu od nekoliko milimetara utiskuju se tisuće i tisuće tranzistora, kondenzatora i drugih elemenata. Porast moći integriranih kola dovodi do pojave mikroprocesora – jednog ili nekoliko povezanih čipova koji djeluju kao samostalan kompjutor. 1964. izumio ga je za M. Hoff za tvrtku Intel koja je i danas vodeći proizvođač mikroprocesora.

Danas se teži nevidljivom čipu kojeg će dizajnirati kompjutori i proizvoditi roboti utiskivanjem submikronskih elementa i linija rendgenskim zrakama i razvoju biočipa gdje je cilj u biološkim laboratorijima od živih bakterija uzgojiti mreže kompjutorskih logičkih kola, samoobnovljivih, posve nevidljivih, s milijun puta povećanim kapacitetom memorije i djelovanjem poput ljudskog mozga.

Dostignuta informatička i telekomunikacijska tehnologija već uvelike omogućava primjenu kompjutorskih mreža i njihovo globalno povezivanje u jedinstven informacijsko-komunikacijski sustav poznat pod nazivom Internet. Informacije postaju sve dostupnije pa se na taj način stvara i širi prostor za mnoge zloupotrebe – prije svega kompjutorski kriminalitet. Pogoduje mu rascjepkanost svijeta na mnoštvo nacionalnih država, užih i širih regija koje vode samostalnu politiku. Čak i kada manji broj zemalja donosi odluke o zajedničkom djelovanju redovito dolazi do sporenja zbog različitih interesa i stavova do konsenzusa se dolazi nakon dugih pregovora i raznih kompromisa. Istovremeno, tehnološki razvoj se odvija tolikom brzinom da je nemoguće sagledati posljedice novih rješenja dok ne počne njihovo korištenje. Otvaraju se mogućnosti stvaranja podatkovnih rajeva (data heaven) i kriminalnih rajeva (criminal heaven) u zemljama s nepostojećom ili nedostatnom pravnom regulativom na području kompjutorskog kriminaliteta. Pratećim problemima se pristupa i kreće u potragu za rješenjima tek nakon što ugroze važne interese. Svaki takav post festum pristup nanosi velike štete čovječanstvu.

Alvin Toffler zagovara potrebu da se promjenama upravlja. Uz znanstvena predviđanja, sagledavanja ciljeva i usmjeravanja prema njima, promjenama treba upravljati kako bi se zadaci ove faze razvoja ostvarili što brže sa što manje žrtava. Za upravljanje modernim društvenim promjenama sposobna je jedino znanost – afirmirani znanstvenici probleme unaprijed sagledavaju te ih pravodobno i efikasno rješavaju kibernetikom kaosa i moći.

U visokotehnološkom razvoju i društvenom mijenjanju čovjek je usko grlo zbog svog starog, sporog, nesavjesnog i nedovoljno učinkovitog djelovanja. Sporo se mijenja njegov unutarnji svijet i ne dolaze do izražaja unutarnji motivi, interesi i ciljevi njegova djelovanja – razvoj njegovih ljudskih snaga i svestrano korisnog komuniciranja s drugima. Iako je zaokret od vanjskog prema unutarnjem čovjekovom svijetu započeo ljudi su još uvijek ponajviše vođeni u svojim stavovima i djelovanjima vanjskim motivima, vanjskim interesima i vanjskim ciljevima.

Kompjutori postaju dijelom naše svakodnevice u planiranju, djelovanju, zabavi i sveukupnom životu. Sve više postajemo kiborzi – hibridi tehnologije, biologije i informatičkih kodova. Issac Asimov

4 Pravna informatika

predvidio je mogućnost da u evoluciji čovječanstva ljude naslijede roboti. Sadašnji čovjek je ograničen fizičkim zahtjevima svoga tijela i nije sposoban za osvajanje svemira. Kiborgizacija ljudi vodi stvaranju čovjeka koji će manje vremena trošiti na zadovoljavanje svojih prirodno nastalih potreba ostavljajući mu više slobodnog vremena za zadovoljavanje povijesno nastalih potreba i obogaćivanje unutarnjeg svijeta. Najviše se očekuje od genetičkog inženjeringa i kloniranja – postupaka koji bi mogli dovesti do stvaranja ljudi lišenih egoističkih poriva i sklonosti da nasiljem, zloupotrebama i kriminalom ostvare svoje interese na štetu drugih. Istraživanja te vrste treba omogućiti, kontrolirati i ne dopustiti da izađu van unaprijed određenih granica.

1.2. Pojam, svrha i struktura informacijskog sustava

U drugoj polovici dvadesetog stoljeća započinje prijelaz iz industrijskog društva u postindustrijsko društvo, iz društva zemlje, rada i kapitala u društvo informacija i znanja.

U to razdoblje spada i zaokret od analitičkog ka sustavnom pristupu i metoda znanstvenog istraživanja i izlaganja. Američka asocijacija za unapređenje znanosti 1954. godine osnovala je društvo za opću teoriju sustava. Imanentno mu je znanstveno predviđanje sutrašnjice pa stari teoretski obrazac koji je uzimao u obzir prošlo i sadašnje zamjenjuje moderniji obrazac koji povezuje sadašnje s budućim. Svaka znanost bavi se određenim sustavom čimbenika, sredstava, djelovanja, odnosa i učinaka na području koje proučava. Opća teorija sustava bavi se onim što im je zajedničko i što treba svima olakšati pristup i metode proučavanja pojedinih sustava. Osnovni ciljevi opće teorije sustava su:

a) istražiti izomorfiju (podudaranje) raznih koncepcija, doktrina i teorija, modela i zakonitosti na pojedinim znanstvenim područjima

b) stimulirati formiranje teoretskih modela u sustavnim istraživanjima c) otkloniti paralelna istraživanja na raznim znanstvenim područjima d) unaprijediti komuniciranje među različito specijaliziranim znanstvenicima e) poticati i unaprjeđivati organiziranje timskog rada na njihovim zajedničkim projektima

Posebno mjesto i sve veću važnost imaju informacijski sustavi koji su na različite načine i u različitoj funkciji međusobno povezani. Oni tvore lanac djelatno isprepletenih nadsustava, sustava i podsustava ovisno o mjestu što ga zauzimaju i ulozi koja im pripada u međusobnom odnosu i ukupnom zbivanju. Njihovu materijalnu građu čine informacije i informacijski tokovi koji su u stalnom gibanju i transformiranju obradom i oplemenjivanjem podataka.

Definiranje informacijskog sustava najpotpunije se može postići odgovorom na tri pitanja: što mu je cilj, koje su mu funkcije i od čega se sastoji (V. Srića i A. Klement).

Cilj informacijskog sustava je dostaviti pravu informaciju na pravo mjesto u pravo vrijeme uz minimalne troškove. Za prepoznavanje prave informacije potreban je uz opću i visok stupanj specijalizirane informacijske pismenosti. Ako nema zahtjeva onda voditelj informirajućeg sustava sam odlučuje koja su informacije prave, a jesu li doista prave vidi se po tome kako ih informirani sustav prima.

Svaki sustav ima svoju okolinu, a on ujedno spada u okolinu nekog drugog sustava ili čitavog niza drugih sustava. Svaki sustav ima četiri elementa: ulaz, izlaz, proces i spregu (vezu). Teoretski gledajući informacijski sustav se može zateći u tri stanja: informirani sustav – ima samo ulaz, informirajući

5Pravna informatika

sustav – ima samo izlaz i cjeloviti informacijski sustav koji ima i ulaz i izlaz. U praksi nema ograničenih informiranih i informirajućih sustava. Postoje samo informacijski sustavi.

Upravljanje je bitna odlika svakog informacijskog sustava i zato o njegovoj djelotvornosti ovisi skladnost funkcioniranja i učinkovitost svih komponenti sustava. Svaka manjkavost i promašenost u formiranju i djelovanju sustava ili nedostatak informacija o tome ima za posljedicu nedovoljnu organiziranost što omogućava razne zloupotrebe i pogoduje kompjutorskom kriminalitetu, a može dovesti u pitanje i opstanak samog sustava. Izostanak energije na održavanju sustava i prerastanje funkcionalne sređenosti sustava u stanje manje sređenosti nazivamo entropija sustava. Što je bolja organiziranost i veća sređenost sustava to je manja mogućnost da se ugrozi njegova cjelovitost, a veća vjerojatnost potpunijeg ostvarivanja normalnog, očekivanog i željenog.

Funkcioniranje svakog sustava neposredno ovisi o ulaznim i izlaznim varijablama. S obzirom na to informacijski sustavi mogu biti upravljani – kada je ulaz veći od izlaza, neutralni – kada je ulaz jednak izlazu i upravljački – kada je ulaz manji od izlaza. Upravljački je najvažniji, a samim time i najugroženiji od kompjutorskog kriminaliteta. Obično se naziva integralnim (integriranim) informacijskim sustavom i ima četiri aktivnosti:

a) prikupljanje informacija i podataka b) obrada informacija i podataka te proizvodnja potrebnih informacija c) memoriranje informacija i podataka d) distribucija informacija prema krajnjem korisniku

Nerazdvojna i nezaobilazna funkcija informacijskih sustava u suvremenim uvjetima rada je komunikacija. Sve češći zahtjevi za daljinskim načinom rada, elektroničkom razmjenom podataka te pojava i širenje Interneta stavljaju pred informacijske sustave nove zadatke tako da se postojeće funkcije (a-d) proširuju svestranom komunikacijom unutar sustava, sustava s nadsustavom čiji je dio i njihove komunikacije s okolinom.

Kako bi ispunio funkcije i zadatke informacijski sustav mora biti izgrađen i organiziran tako da posjeduje sve dijelove i elemente koji su za to potrebni, a oni zajedno čine sređenu strukturu informacijskog sustava. Šest glavnih dijelova informacijskog sustava su:

a) hardware – materijalna osnovica koji čini informatička tehnologija b) software – nematerijalni elementi u obliku programskih rješenje i paketa rutina i

metoda u primjeni hardvera c) lifeware – informacijski djelatnici koji rade s informacijskim tehnologijama kao

profesionalni informatičari ili korisnici sustava d) orgware – organizacijski postupci, metode i načini povezivanja hardvera, softvera i

lifevera u skladnu i funkcionalnu cjelinu e) netware – koncepcija i realizacija komunikacijskog povezivanja elemenata sustava u

skladnu cjelovitu informatičku mrežu f) dataware – koncepcija i organizacija baza podataka i svih raspoloživih informacijskih

resursa

Za uspješno funkcioniranje potrebno je da svi ti dijelovi imaju podjednaku razinu kvalitete i međusobne usklađenosti.

1.3. Načela informacijskog sustava

6 Pravna informatika

Informacijski sustav u tehničkom smislu čine kompjutori, komunikacijski uređaji, kompjutorske i komunikacijske mreže te podaci i informacije koje se mogu pohraniti, obraditi, ponovo koristiti ili njima prenijeti, uključujući programe, dokumentaciju i postupke za njihov rad, korištenje ili održavanje.

Informacijski sustav u funkcionalnom smislu je sustav koji nam omogućava da prikupljanjem i obradom podataka dobijemo i pohranimo informacije koje će poslužiti ovlaštenim osobama da na osnovi njih odlučuju i upravljaju, komuniciraju i razmjenjuju podatke unutar organizacije i s okolinom.

Informacijski sustav u širem smislu je podsustav nekog šireg sustava, a čine ga ljudi sredstva, podaci, postupci i metode koje se koriste radi dobivanja valjanih informacija na osnovi kojih će krajnji korisnici moći pravovremeno donijeti odluke.

Sastav, djelatnost i cilj informacijskog sustava određuju tri temeljna načela: načelo efikasnosti, načelo ekonomičnosti i načelo sigurnosti.

Načelo efikasnosti

Načelo efikasnosti odnosi se na pravovremenost, dostupnosti i valjanost informacija. Danas više nije pitanje kako doći do informacija već kako iz tog mnoštva informacija odabrati one prave. Od informacijske krize na početku 20-og stoljeća došli smo do informacijskog zagađenja. Izlaz se traži u novim tehničkim rješenjima. No na ovom stupnju razvoja pravih rješenja još nema. Velike nade polažu se u programska rješenja koja se u većoj ili manjoj mjeri zasnivaju na umjetnoj inteligenciji. Jedan takav kompjutorski program su i tzv. inteligentni agenti koji za korisnika prikupljaju informacije iz njegovog okruženja, najčešće s Interneta.

Inteligentni agent je programski modul koji može izvršavati određene izdvojene zadatke pri čemu je samostalan u ostvarenju ciljeva odnosno izvršavanju postavljenih zadataka. Reagira na prethodno definirana stanja u okruženju u skladu s prikupljenim informacijama, svom ugrađenom znanju i pretpostavkama te danim zahtjevima i uvjetima koje postavlja korisnik ili neki drugi agent.

On je: a) samostalan – može preuzeti inicijativu i provoditi kontrolu izvršavanja svojih radnji b) orijentiran ciljnoj aktivnosti – prihvaća upute i namjere korisnika, pri čemu utvrđuje što

korisnik želi i traži te odlučuje o tome kako i gdje će ispuniti te zahtjeve c) samopokretajući – promatra okruženje i promjene u njemu te u skladu s primljenim

informacijama sam odlučuje o tome kada će krenuti u provođenje aktivnosti d) vremenski stalan – ne prestaje djelovati po završetku nekog skupa aktivnosti odnosno

postizanja trenutnog cilja, stalno je prisutan u svojem okruženju e) komunikativan – može stupiti u složene komunikacijske procese s drugim agentima

uključujući tu i ljude u svrhu dobivanja potrebnih informacija za postizanje traženog cilja f) pokretljiv – sposoban je prenijeti sebe s jednog računala, mjesta u okruženju na drugo

kroz različite strojne i programske platforme g) prilagodljiv – automatski se prilagođava zahtjevima svojih korisnika temeljem

prethodnog iskustva, a prilagođava se i promjenama u okruženju h) spreman na suradnju – nije zatvoren i jednoznačno usmjeren na izvršavanje svojih

zadataka već je sposoban prihvatiti promjene zahtjeva, tražiti dodatne upute odnosno odbaciti suvišne ili neprihvatljive upite kako bi uspješno izvršio prethodno utvrđene zadatke

7Pravna informatika

Usporedimo li ih s kompjutorskim virusima, njihova obilježja su u mnogo čemu istovjetna. Pogotovo se to odnosi na samostalnost, orijentiranost ciljnoj aktivnosti, samopokretanje, vremensku stalnost, pokretljivost i prilagodljivost. Njihovim djelovanjem može doći do neželjenih efekata: 1. neovlaštenog pribavljanja poslovnih tajni; 2. narušavanja zakona o autorskom pravu; 3. narušavanja prava na privatnost; 4. neovlaštenog pristupa tuđim kompjutorskim sustavima i presretanja komunikacija.

Načelo ekonomičnosti

Načelo ekonomičnosti proizlazi iz zahtjeva da ulaganja u razvoj, održavanje i rad informacijskog sustava budu razmjerni koristima koje od njihovog rada imaju korisnici odnosno nadsustav čiji su sastavni dio. To proizlazi iz činjenice da je uvođenje, održavanje i korištenje informatičke tehnologije vrlo skupa, dok ona istovremeno u iznimno kratkom razdoblju zastarijeva.

Neposredne troškove same implementacije, održavanja i korištenja informacijskog sustava jednostavno je utvrditi uvidom u izdatke učinjene u tom pogledu što nije slučaj s procjenom koristi koju od njihovog rada imaju korisnici, odnosno organizacija čiji je on dio. Koristi mogu imati neposredne i posredne učinke. Neposrednu korist moguće je procijeniti jer izravno utječe na samo poslovanje organizacije. Posredni učinci su teško mjerljivi jer ih je teško sagledati i kvantificirati, a mogu djelovati kroz neko kraće ili duže razdoblje.

Načelo sigurnosti

Prelaskom na daljinski rad, kasnije na mrežni, a poslije i na korištenje Interneta u radu, informacijski sustavi se sve više otvaraju prema okolini. S obzirom da se unutar njih sve više prikupljaju, obrađuju, pohranjuju i razmjenjuju podaci i informacije od vitalnog interesa za organizaciju čiji su dio, a nerijetko i od šireg društvenog interesa, njihov nesmetan rad postaje preduvjet ne samo njihovog funkcioniranja već i cijelog društva koji se na njih sve više oslanja. Budući da je to moguće postići samo ako postoji zadovoljavajući stupanj njihove sigurnosti, načelo sigurnosti jedan je od temelja njihovog rada. 1992. godine Organizacija za ekonomsku suradnju i razvoj (OECD) donijela je Smjernice za sigurnost informacijskih sustava.

Cilj Smjernica: 1. podići svijest o opasnostima za informacijske sustave i dostupnim zaštitnim mjerama 2. stvoriti opće okvire koji će u javnom i privatnom sektoru podići odgovornost za razvoj i

implementaciju povezanih mjera, radnji i postupaka za sigurnost informacijskih sustava 3. promicati suradnju javnog i privatnog sektora u razvoju i implementaciji takvih mjera,

radnji i postupaka 4. unaprijediti povjerenje u informacijske sustave i načine na koji se oni koriste 5. olakšati razvoj i korištenje informacijski sustava na nacionalnom i međunarodnom planu 6. promicati međunarodnu suradnju u postizanju sigurnosti informacijskih sustava.

Smjernice se odnose na sve informacijske sustave u javnom i privatnom sektoru, a temelje se na devet principa:

1. princip odgovornosti – odgovornost i obveze vlasnika, dobavljača i korisnika informacijskih sustava i drugih osoba glede sigurnosti informacijskih sustava trebaju biti jasne

8 Pravna informatika

2. princip svjesnosti – vlasnici, dobavljači i korisnici trebali bi odmah biti sposobni i odlučni održavati sigurnost

3. princip etičnosti – informacijski sustavi trebaju biti osigurani i korišteni na način da se poštuju prava i legitimni interesi drugih

4. princip multidisciplinarnosti – mjere, radnje i postupci glede sigurnosti informacijskih sustava trebaju uzeti u obzir sva relevantna razmatranja i stajališta (tehnička, administrativna, organizacijska, operacijska, komercijalna, edukacijska i pravna)

5. princip proporcionalnosti – sigurnosni nivoi, troškovi, mjere, radnje i postupci trebaju biti razmjerni i odgovarati vrijednosti i stupnju očekivanja od informacijskog sustava

6. princip integracije – mjere, radnje i postupci glede sigurnosti informacijskih sustava moraju biti usklađeni i spojeni međusobno i s drugim mjerama, radnjama i postupcima organizacije tako da čine povezan sustav sigurnosti

7. princip pravodobnosti – javne i privatne stranke na nacionalnoj i međunarodnoj razini moraju postupati na pravodoban i usklađen način kako bi se spriječile povrede sigurnosti informacijskih sustava i odgovorilo na njih

8. princip ponovne procjene – sigurnost informacijskih sustava treba periodično preispitati 9. princip demokratičnosti ̶ sigurnost informacijskih sustava treba biti sukladan

legitimnom korištenju i kolanju podataka i informacija u demokratskom društvu

1.4. Mjesto i uloga informacijskih sustava u izgradnji informacijskog društva

Informacijsko društvo je nova ljudska zajednica izrasla na postindustrijskom tehnološkom revolucioniranju, s načinom proizvodnje i odnosima proizvodnje i komuniciranja koji u svakom pogledu donose radikalan zaokret u povezivanju, organiziranju i sve među zavisnijem nastupu i djelovanju društvenih subjekata u lokalnim, nacionalnim, širim regionalnim i globalnim razmjerima.

U doba brzog informacijskog transformiranja sve se mijenjanjem čvršće povezuje i sjedinjuje, integrira u jedinstveni informacijski sustav na svim razinama i u svim sredinama. Njegovi se elementi i dijelovi mogu shvatiti i objasniti samo proučavanjem i izlaganjem koje od samog početka uzima u obzir i stalno ima u vidi cjelinu i njezinu okolinu, radi čega se primjenjuje sistemska metoda, a za polazište ima holističku paradigmu (=cjelina je drugačija od dijelova koji je čine). Značajna osobina informacijskog društva koja zahtjeva da se umjesto propitivanja prošlosti i sadašnjosti pređe na kibernetičko proučavanje sadašnjosti i budućnosti je činjenica kako tehnološke, gospodarske i društvene promjene postaju permanentne. Promjene su sve radikalnije i događaju se u kratkim razdobljima pa je proučavanje cjeline sistemskom metodom jedini put kojim se ona može sagledati i mijenjati po želji i potrebi.

Razvoj informacijskog društva započeo je u najrazvijenijim sredinama 1954. godine kada je u SAD-u broj zaposlenih uslužnih i umnih radnika nadmašio broj zaposlenih rutinskih radnika. 1991. godine oblikuje se dominantno informacijsko društvo, jer su izdaci za informatičku i komunikacijsku tehnologiju prešli izdatke za proizvodnu tehnologiju. 1991. godina se uzima kao godina razgraničenja između starog industrijskog i novog informacijskog društva.

Razvoj nije jednak u svim zemljama. Jedni brzo napreduju, a drugi stagniraju i zaostaju pa se suvremeno čovječanstvo sastoji od agrarnih, industrijskih i informacijskih društava. U gospodarskim i društvenim odnosima je prisutno nastojanje da se razvojem visoke tehnologije i njenim širenjem ostvare interesi jednih na štetu drugih grupa, društvenih skupina i čitavih naroda. Istovremeno,

9Pravna informatika

starim oblicima metoda i iskorištavanja, zakidanja i zloupotrebljavanja međusobnih transakcija, priključuju se i novi, teži i opasniji oblici kompjutorskog kriminaliteta. Sve se globalizira, pa tako i kompjutorski kriminal. Utvrđene granice u fizičkom svijetu za njega ne vrijede pa zaštita od njega mora biti u najvećoj mjeri internacionalizirana. Problemi postaju zajednički i jedino ih se zajednički može rješavati.

Kompjutorski program je sistem digitalnih instrukcija zabilježenih na nekom materijalnom nosaču koje primijenjene u uređaju za elektronsku obradu podataka omogućuju njegovo funkcioniranje i rješavanje određenih zadataka. Srž programa je algoritam – apstraktno matematičko pravilo za rješavanje određenog misaono-logičkog problema.

1.5. Internet i sigurnost informacijskih sustava

Pretpostavke razvoja

Svjedoci smo stvaranja i razvoja novog, globalnog informacijskog društva što zahtjeva sveobuhvatne promjene u našem društvu sukladno europskim i svjetskim kretanjima i kriterijima. Novo društvo počiva na znanju i informacijama. Informacija kao osnovni resurs i temelj svakog odlučivanja, djelovanja i upravljanja postaje u 21. stoljeću preduvjet i osnova svekolikog napretka i razvoja svake društvene zajednice.

Suvremeni način poslovanja i komuniciranja putem globalnih informatičkih mreža doveo je od sve veće povezanosti ne samo ljudi nego i informacijskih sustava. Podaci i informacije koji se unutar takvih sustava obrađuju, memoriraju i distribuiraju, kao i tehnička osnovica koja to omogućuje sve su češće cilj raznih zloupotreba pa se zahtjeva njihova efikasna i cjelovita zaštita. Pitanjima zaštite informacijskih sustava treba pristupiti s jednog šireg, globalnog aspekta – aspekta globalnih informacijskih mreža koje ih sve više objedinjuju.

Što je Internet?

Internet je globalno informacijsko-komunikacijski sustav koji povezuje i spaja kompjutorske mreže pojedinih zemalja i organizacija te tako omogućava posjednicima kompjutora diljem svijeta da putem svojih lokalnih mreža i telefonskih veza međusobno komuniciraju, razmjenjuju informacije i koriste brojne druge usluge. Za razliku od ostalih informacijskih sustava, informacijsko- komunikacijski sustavi kao otvoreni sustavi bave se prikupljanjem, obradom i distribucijom različitih informacijskih sadržajnih formi u cjelokupnom fizičkom komunikacijskom prostoru. Fizički komunikacijski prostor su komunikacijske mreže koje omogućuju pretraživanje bilo koje lokacije u mreži s bilo koje druge lokacije u mreži.

U fizičkom smislu, Internet je niz međusobno povezanih kompjutorskih mreža, organiziranih na jedinstven način sa zajedničkim komunikacijskim protokolima i mrežnim uslugama.

Iako je hijerarhijski organiziran, Internet je s obzirom na upravljanje i odlučivanje o daljnjem razvoju i širenju u najvećoj mjeri decentraliziran jer je najveći dio poslova i odluka prepušten državnim institucijama koje brinu o razvoju mreže na svom području. Za rješavanje globalnih pitanja zajedničkih cijeloj mreži nadležan je WWW konzorciji ili W3C kojem je osnivač Tim Berners-Lee, otac World Wide Weba. Zadatak ove organizacije je uspostaviti standarde u pogledu World Wide Weba –

10 Pravna informatika

najkomercijalnijeg dijela Interneta, kojih se moraju pridržavati svi proizvođači hardwarea i softwarea ako žele svoje proizvode koristiti na Internetu.

Zainteresirani mogu koristiti različite mrežne servise za komunikaciju s drugim korisnicima ili pristup resursima drugih kompjutora na mreži: sustavi za pronalaženje i pretraživanje mrežnih resursa i baza podataka (Gopher), za prijenos datoteka (FTP), komuniciranje s drugim korisnicima putem tematskih konferencija (Usenet), slanje i primanje elektroničke pošte (e-mail), hypertext sustav za pretraživanje i pronalaženje informacija (WWW), pretraživanje FTP poslužitelja (Archie). Osim toga Internet pruža mogućnost interaktivnog rada na udaljenom kompjutoru, a sve se više koristi i za potrebe telebankinga, elektroničkog poslovanja, telekonferencija, telefonije, itd.

Internet je najvažnija suvremena globalna infrastruktura za obrazovanje, informiranje, istraživanje i razvoj u javnim djelatnostima i gospodarstvu. U tom sustavu je i Hrvatska akademska i istraživačka mreža CARNET (Croatian Academic and Research Network), dio svjetske kompjutorske mreže Internet u Republici Hrvatskoj. Osnovana je Uredbom Vlade RH 1995. godine. Osnutkom te ustanove stekli su se pravni, organizacijski i financijski preduvjeti za nastavak aktivnosti započete 1991. godine projektom Ministarstva znanosti i tehnologije RH pod nazivom CARNet.

Ciljevi ove ustanove su: a) izgradnja i podrška kompjutorske i informacijske strukture znanosti i visokog školstva b) implementacija i podrška eksperimentalnom radu najnovijih računalno-komunikacijskih i

informacijskih tehnologija i sustava c) eksperimentalna primjena informacijskih tehnologija u različitim djelatnostima d) popularizacija i poticanje masovne primjene informacijskih tehnologija u različitim

područjima i djelatnostima RH

Veza Hrvatske s Internetom ostvarena je u početku preko CarNeta, a kasnije preko komercijalnih pružatelja pristupa (Internet access provider). Veza CARNeta s Internetom zasniva se na TCP/IP protokolu (Transmission Control Protocol = skup komunikacijskih protokola koje koriste kompjutori pri radu i komuniciranju putem Interneta, bez obzira na hardversku i softversku platformu koja se koristi), a ostvaruje se putem kompjutora u ustanovama koje su članice CARNeta, putem javnih kompjutora ili putem modemskih izlaza.

Nastanak i razvoj Interneta

1962. godine J.C.R. Licklider serijom bilješki na MIT-u je postavio koncept tzv. Galaktičke mreže, globalne mreže preko koje će svatko moći brzo pristupiti kompjutorskim podacima i programima.

1969. godine počinje razvoj Interneta kao projekt agencije ARPA (Advanced Research Projects Agency) pod nazivom ARPANET s ciljem da se stvori pouzdana kompjutorska mreža koja će moći funkcionirati i onda kada se jedan njen dio, zbog napada ili tehničke neispravnosti, ne može koristiti. Počeo je razvoj mrežnog protokola koji bio omogućio da se komunikacija putem mreže automatski preusmjerava mimoilazeći mjesto na kojem je problem nastao i time omogući dobivanja informacija bez obzira na nastale probleme. Protokoli su pravila po kojima kompjutori međusobno komuniciraju unutar kompjutorske mreže. Njima se određuje oblik i način prenošenja podataka putem mreže te kontrola integriteta prenesenih podataka i način obavještavanja o eventualnim greškama u tijeku prijenosa. Iste godine započinje rad prvog host kompjutora mreže ARPANET na Sveučilištu UCLA. Host kompjutor je središnji, glavni kompjutor na kojem se nalaze podaci i na kojeg se spajaju ostali kompjutori i/ili terminali koji su povezani u kompjutorsku mrežu.

11Pravna informatika

1970. godine uspostavlja se NCP (Network Control Protocol) kao službeni protokol za mrežnu komunikaciju.

ARPANET je bio namijenjen znanstvenim i vojnim potrebama. Činili su ga kompjutori vladinih i sveučilišnih institucija koji su se koristili za razmjenu elektroničke pošte (e-mail), elektroničku razmjenu novosti (netnews) te pristup udaljenim kompjutorima (remote access).

1973. godine uspostavlja se međukontinentalna veza s host kompjutorima u Engleskoj i Norveškoj.

1982. godine počinje se primjenjivati protokol za komunikaciju različitih vrsta kompjutorskih mreža TCP/IP (razvijen sredinom sedamdesetih) koji zamjenjuje NCP. Iz sigurnosnih razloga iz mreže se izdvaja MILNET, a po prvi puta upotrebljava se naziv Internet.

1984. uvodi se sustav domena i Internet adresa. Domena je dio veće kompjutorske mreže koji čini jednu cjelinu i nalazi se u nadležnosti nekog tijela ili organizacije ili taj autoritet određuje tko i pod kojim uvjetima može imati pristup mreži. Granice domene najčešće se podudaraju s teritorijalnim granicama država. Postoje i domene koje su određene prema djelatnosti kojom se bave različite organizacije, tvrtke i društva. Svaka domena ima jedan središnji kompjutor (DNS – Domain Name Server) na koji se povezuju svi ostali kompjutori koji čine tu mrežu. Budući da je Internet hijerarhijski organiziran unutar domena određuju se druge poddomene. Svaki kompjutor na Internetu ima svoju Internet adresu po kojoj se razlikuje od drugih kompjutora spojenih na mrežu. Internet adresa sastoji se od naziva kojeg čine naziv domene, naziv poddomene (ako je ima) i naziv same radne stanice, te brojčane oznake (IP adrese) kao ekvivalenta. Sustav dvostrukih adresa – brojčanih i simboličkih uveden je radi lakšeg pamćenja simboličkog naziva.

1989. godine ARPANET službeno postaje Internet i postaje otvoren za druge korisnike. 1992. godine Tim Berners-Lee razvio je u Švicarskoj World Wide Web koji se počinje

komercijalno koristiti za razne oblike elektroničkog poslovanja. Koristeći novi komunikacijski protokol HTTP i novi standardni format dokumenata HTML World Wide Web je omogućio korisnicima da na lakši i jednostavniji način pristupe resursima drugih umreženih kompjutora i dođu do informacija sa svih područja ljudskog interesa.

HTTP (HyperText Transfer Protocol) je komunikacijski protokol pomoću kojeg se ostvaruje veza sa serverima kojima se koristi WWW na Internetu. Zadatak tog protokola je da uspostavi i održava vezu sa serverima te da osigura nesmetan prijenos HTML stranica do Internet pretraživača koji se nalazi na kompjutoru korisnika.

HTML (HyperText Mark-up Language) je standardni format dokumenta koji se koristi na WWW- u. Njime se određuje izgled stranice, fontovi i grafički prikazi kao i hipertekst veze s drugim dokumentima kojima se može pristupiti putem WWW-a na Internetu. Svaka od veza koja se na taj način postavi sadrži URL – adresu koja upućuje na mjesto gdje se taj dokument nalazi. HTML se razvio iz SGML (Standard Generalized Mark-up Language) koji se koristi u elektroničkom izdavaštvu. Načinom korištenja podsjeća na programski jezik iako to nije.

Uloga Interneta danas

Pet osnovnih funkcija ili aktivnosti koje se odvijaju putem Interneta:  prikupljanje, pohranjivanje i dohvat informacija s gotovo svih područja ljudskog interesa te

jednostavnija i brža razmjena podataka i programa (WWW, Gopher, FTP)  veliki prostor oglašavanja preko kojeg korisnici razmjenjuju iskustva u tisućama različitih

tematskih skupina (UseNet)

12 Pravna informatika

 elektronička pošta (e-mail) preko koje jeftino i brzo komuniciraju međusobno udaljeni korisnici

 neposredna interaktivna komunikacija između korisnika putem IRC (Internet Relay Chat) konferencija i Internet telefonije

 obavljanje različitih poslovnih aktivnosti – poduzeća se putem Interneta mogu oglašavati, reklamirati i prodavati svoje proizvode i usluge, povezivati s kupcima, pružati im neposrednu podršku, povezivati udaljene dijelove poduzeća – na jednostavniji i jeftiniji način

Internet i sigurnost informacijskih sustava

Prvotna namjena Interneta nije bila komercijalna niti usmjerena na ono za što se te mreža danas koristi niti se očekivala tako velika rasprostranjenost pa se sigurnosti nije poklanjala dovoljna pažnja. Protokoli su rađeni za osiguravanje efikasnosti, fleksibilnosti i otvorenosti sustava, a ne sigurnosti komuniciranja i razmjene podataka. Danas je to jedna od najvećih slabosti Interneta osobito kad se radi o njegovom korištenju u komercijalne svrhe i za potrebe državnih institucija.

Kada se ARPANET koristio između užeg kruga ljudi, vojnih i znanstvenih institucija, događale su se manje, bezazlenije povrede sigurnosti koje su se više svodile na šale i smicalice ljudi koji su se u pravilu poznavali i vjerovali jedni drugima.

Prvi ozbiljniji napad na mrežu je upad Cliffa Stolla 1986. u mrežu ARPANET koji se zbog greške u podacima o kompjutorima povezanim u mrežu uspio spojiti na mrežu i kopirati podatke sa sveučilišnih, vojnih i vladinih kompjutora širom SAD-a. Stoll nije zloupotrijebio podatke.

1988. godine dogodio se prvi automatizirani mrežni sigurnosni napad pod nazivom Morris Worm ili Internet Worm. Robert T. Morris napisao je program uz pomoć kojeg se mogao spojiti na drugi kompjutor, naći i iskoristiti jednu od njegovih slabosti da bi se s njega kopirao na drugi kompjutor u mreži i na taj način samostalno reproducirao između i unutar njih. Svaka je naredna kopija programa ponavljala istu radnju beskonačno do se program ne bi proširio diljem mreže. Taj program dobio je naziv self-replicating automated network attack tool – samoumnožavajući automatizirani mrežni napadački alat. Crv je zahvatio gotovo 10 posto svih kompjutora povezanih u mrežu ARPANET. Na zaraženim bi hostovima koristio resurse sustava u tolikoj mjeri da oni više nisu mogli funkcionirati što je onemogućilo njihovo daljnje korištenje. Robert Morris je prva osoba osuđena po američkom Zakonu o kompjutorskoj prevari i zloupotrebi iz 1986. Budući da u zakonu nisu bili izričito navedeni maliciozni programi niti je bilo moguće utvrditi točan iznos prouzročene štete, Morris je osuđen na tri godine uvjetno, 400 sati rada i novčanu kaznu od 10 500 dolara.

1989. godine programski crv WANK/OILZ napao je VMS sustave priključene na mrežu šireći se preko rasprostranjenog programa za slanje i primanje pošte.

1994. godine javlja se program packet sniffer namijenjen kopiranju podataka iz paketa koji putuju mrežom, a sadrže korisnička imena i lozinke za pristup sustavu. Razmjenjuju se putem Interneta, a moguće ih je kopirati s hakerskih Web stranica i BBS-ova.

1995. godine razvijaju se programski alati za otkrivanje i simulaciju veza povjerenja (relationship trust) između kompjutorskih sustava na Internetu kako bi se osigurao nesmetan pristup takvom sustavu.

Izmjenom sadržaja Web stranica nastoji se nanijeti šteta tvrtkama i institucijama koji ih koriste za svoju promidžbu ili elektroničko poslovanje. Na te stranice se često postavljaju razni nemoralni, nezakoniti i štetni sadržaji.

13Pravna informatika

Internetom se koriste kriminalci koji na taj način međusobno komuniciraju, nude robu i čine druga kaznena djela. Meta napada su i osobni podaci građana kao i važni i povjerljivi poslovni podaci organizacija.

Elektroničko poslovanje i sigurnost informacijskog sustava

Elektroničko poslovanje omogućuje nove oblike poslovne komunikacije, suradnje i razmjene informacija uz istodobno unapređenje postojećih poslovnih procesa.

Začetke suvremenog elektroničkog poslovanja nalazimo već u elektronskom prijenosu novca (electronic fund transfer). Već krajem 19. stoljeća zabilježeni su prvi primjeri takvih poslovnih transakcija, a prije toga razvili su se i drugi sustavi za elektronsko poslovanje, osobito na području trgovanja dionicama. Krajem 60-ih godina prošlog stoljeća za potrebe državne uprave, financijskog sektora i gospodarstva počinje se razvijati i širiti elektronička razmjena podataka (Electronic Data Interchange – EDI) – izravan prijenos strukturiranih poslovnih podataka i poruka između računala elektroničkim putem, odnosno prijenos poslovne i pravno relevantne dokumentacije bez korištenja papira. Ona se ograničava na razmjenu poslovnih podataka i isprava koje se razmjenjuju među pravnim osobama u određenoj, unaprijed propisanoj formi o čemu između njih postoji ugovor. Takva razmjena odvijala se neposrednom vezom između računala korisnika ili putem njihovih privatnih mreža ili Interneta. Tijekom vremena počeli su se primjenjivati drukčiji standardi elektroničke razmjene podataka (X12, TRADACOMS, EDIFACT), ali niti jedan nije opće prihvaćen. Troškovi implementacije i nepostojanje jedinstvenog standarda razlog su malog broja korisnika.

Krajem 80-ih prošlog stoljeća javlja se elektronička trgovina uvođenjem Interneta u poslovanje gospodarstvenih subjekata. Subjekti poslovanja nisu više samo pravne osobe nego i građani.

Često se pojam elektroničko poslovanje koristi kao sinonim za elektroničku razmjenu podataka ili elektroničko trgovanje. Međutim, elektroničko poslovanje je puno širi pojam koji osim razmjene podataka i elektroničke trgovine obuhvaća i niz drugih aktivnosti unutar i između organizacija. Elektroničko poslovanje i ne mora nužno biti povezano s korištenjem Interneta nego se može odvijati unutar zatvorenih, privatnih mreža između ograničenog kruga korisnika.

Internet danas predstavlja temeljnu infrastrukturu elektroničkog poslovanja. Čak i onda kada se ono ne odvija posredstvom Interneta nego putem lokalnih ili rasprostranjenih mreža njihovo se funkcioniranje temelji na istim načelima i na istoj internetskoj tehnologiji putem koje se odvija. Zato se elektroničko poslovanje definira kao suvremeni oblik organizacije poslovanja koji podrazumijeva intenzivnu primjenu informatičke i internetske tehnologije.

Projekt ESPRIT Europske unije obuhvaća sve oblike poslovnih transakcija ili razmjene informacija koje se provode uz pomoć informatičke i komunikacijske tehnologije između organizacija, između organizacija i kupaca ili između organizacija i državne administracije. Ovom određenju nedostaju dva segmenta koja se odnose ne komunikaciju i poslovanje organizacija sa zaposlenicima i ono koje se odvija u javnom sektoru.

Područja primjene elektroničkog poslovanja su iznimno široka te se podjednako odnose na javni i privatni sektor, kao i na primjenu različitih informatičkih i komunikacijskih tehnologija. Tome su pridonijeli tehnološki razvoj, globalizacija, demokratizacija, internetizacija, konvergencija različitih tehnologija, digitalizacija podataka, mobilnost i minijaturizacija uređaja za pristup i korištenje novih informacijskih usluga i servisa.

14 Pravna informatika

Elektroničko trgovanje (e-Commerce)

Elektronička trgovina je svaki oblik trgovine koja obuhvaća sve trgovačke transakcije, bilo da je riječ o onima između individualnih fizičkih osoba ili trgovačkih društava ili s njima izjednačenih subjekata, koja se provodi kroz elektronske mreže. Jedini važan čimbenik je da se komunikacija odvija preko elektroničkog medija.

Ovisno o dobrima kojima se trguje na elektroničkom tržištu razlikuje se indirektno (neizravno) elektroničko trgovanje koje obuhvaća elektroničku nabavu tjelesnih dobara koja se dalje isporučuju na tradicionalan način, i direktno (izravno) elektroničko trgovanje koje podrazumijeva elektroničku narudžbu, plaćanje i isporuku netjelesnih dobara i usluga poput softvera ili drugih nematerijalnih proizvoda u digitalnom obliku.

Ovisno o subjektima između kojih se odvija, razlikuje se elektroničko trgovanje između:  gospodarskih subjekata (B2B – business to business)  gospodarskih subjekata i njihovih kupaca (B2C – business to costumer)  gospodarskih subjekata i njihovih zaposlenika (B2E – business to employee)  gospodarskih subjekata i javne vlasti (B2G – business to governance)

Konvergencijom tehnologija nastaju i novi oblici elektroničkog trgovanja, poput mobilnog trgovanja (m-commerce) – ponude, prodaje i kupnje roba i usluga korištenjem ručnih bežičnih uređaja kao što su mobilni telefoni ili osobni digitalni pomoćnici.

Elektronička vlast (e-Government)

Demokratski procesi kao i potreba za učinkovitijom i ekonomičnijom javnom upravom dovode do inicijativa za što širim uvođenjem novih oblika komunikacije i ponude javnih usluga. Akcijski plan e-Europe 2005. obvezuje sadašnje i buduće članice EU da uvedu nove informacijske usluge za građane i gospodarstvo.

Najčešće se elektronička vlast spominje kao mogućnost pružanja tradicionalnih usluga građanima na nov način koji podrazumijeva primjenu odgovarajućih postupaka, metoda i tehnologija pogodnih za rad i elektroničko pružanje usluga i online komunikaciju s građanima, poslovnim subjektima i drugim tijelima i institucijama državne vlasti.

Primjena novih tehnologija može utjecati na svakodnevni život građana pružajući im mogućnost da s bilo kojeg mjesta pristupe javnim podacima, elektronički glasuju, predaju poreznu prijavu, plate račune ili na brži i djelotvorniji način ostvare neko svoje pravo ili ispune neku obvezu. Na taj način se smanjuju troškovi, povećava učinkovitost, postiže veća transparentnost, a posredno utječe i na uklanjanje negativnih posljedica koje prate svaku vlast poput korupcije i neučinkovitosti. U javnim ustanovama povećava se efikasnost, kvaliteta i dostupnost usluga te se proširuju mogućnosti rada i komunikacije. Internetizacijom i digitalizacijom zakonodavne, sudske i izvršne vlasti njihov rad postaje javno dostupan građanima i gospodarskim subjektima. To istodobno omogućuje unutarnju racionalizaciju radnih procesa i izvođenje tradicionalnih poslova na znatno učinkovitiji i ekonomičniji način.

Ciljevi elektroničke vlasti su:  komunikacija s drugim državnim organima i institucijama unutar zemlje kao i s institucijama

drugih zemalja i međunarodnih organizacija  poticanje gospodarskog razvoja i ubrzavanje gospodarskih aktivnosti komunikacijom i

pružanjem usluga i poslovnih informacija gospodarskim subjektima

15Pravna informatika

 poticanje digitalne demokracije  pružanje online usluga i omogućavanje online pristupa javnim i drugim informacijama od

interesa za građane i gospodarstvo

Elektronička vlast obuhvaća poslovanje između:  vlasti i lokalnih i drugih državnih organa i institucija, kao i prema van (government to

government – G2G)  vlasti i građana (government to citizen – G2C)  vlasti i gospodarskih subjekata (government to business – G2B)  vlasti i svih njezinih službenika (government to employees – G2E)

U širem smislu ono obuhvaća i elektroničko poslovanje, odnosno komunikaciju između građana (citizen to citizen - C2C) u onom dijelu u kojem se to odnosi na rad vlasti i pitanja od općeg interesa.

Unatoč svim prednostima i koristima elektroničkog poslovanja, dosadašnji razvoj i njegova primjena su ispod očekivanja. Razloge tome treba tražiti u naglom razvoju Interneta i nedovoljnoj svijesti o koristima, neusklađenosti standarda i protokola, digitalnoj podjeli, nedostatku stručnih kadrova, nedovoljnim ulaganjima u zaštitu informacijskih sustava i pravnim nedorečenostima. Osim toga glavne zapreke razvoju elektroničkog poslovanja proizlaze iz sigurnosnih slabosti Interneta, bežičnih mreža i informacijskih sustava organizacija koje posluju na taj način, nepovjerenja korisnika, pravnih problema u vezi s korištenjem kriptografskih proizvoda, nepostojanja međunarodnog konsenzusa glede oporezivanja elektroničkog tržišta i nedostatne pravne regulative i neusklađenosti zakonodavstva na području kompjutorskog kriminala i pravne valjanosti elektroničkih dokumenata i potpisa.

Iako u Hrvatskoj postoji zanimanje za elektroničko poslovanje, strah od velikih troškova, sigurnosnih problema i nedostatak znanja i kadrova uzroci su kašnjenja Hrvatske na tom području.

Unatoč kašnjenju, u relativno kratkom razdoblju doneseni su:  Zakon o elektroničkom potpisu Zakon o zaštiti osobnih podataka Zakon o zaštiti potrošača Zakon o elektroničkim komunikacijama Zakon o elektroničkim medijima Zakon o autorskom pravu i srodnim pravima

Poduzete su i institucionalne promjene. Početkom 2004. Središnji državni ured za e-Hrvatsku je preuzeo i nastavio rad bivšeg Ureda za internetizaciju Vlade RH na provedbi projekta e-Hrvatska, koji se temelji na smjernicama akcijskog plana e-Europe 2005.

Rast Interneta i broja napada

Eksponencijalni rast Interneta pratio je usporedno i rast incidenata i zloupotreba koje su se na njemu, odnosno putem njega događale. Točan, pa ni približan broj stvarnih napada nemoguće je utvrditi. Kada su u pitanju veliki informacijski sustavi (banaka, osiguravajućih društava, vojnih i vladinih institucija i drugih velikih pravnih osoba) razumljiv je njihov interes da se ti napadi i njihove štetne posljedice prešute zbog tajnosti takvih podataka i mogućnosti gubljenja povjerenja svojih korisnika i stranaka.

16 Pravna informatika

Najveći broj incidenata povezanih sa sigurnošću kompjutorskih sustava nikada se ne otkrije ili ne prijavi. Napadi na razna poduzeća, vojne, vladine i druge institucije i organizacije gotovo se svakodnevno bilježe. Mogućnost zloupotrebe od strane raznih militantnih i terorističkih grupa je veća što društvo postaje ovisnije o nesmetanom korištenju informatičke tehnologije pa se predviđa kako bi se svijet uskoro mogao suočiti s infoterorizmom.

1.6. Ciljevi i vrste napada

Rastom Interneta raste i broj počinitelja napada. Njihovo sve veće tehničko znanje i naprednija informatička oprema omogućili su im stvaranje naprednih softverskih alata namijenjenih lakšem i bržem izvođenju napada. Time je omogućeno i počiniteljima s malim tehničkim znanjem da jednostavno i brzo izvedu napade na sustav i učine ga ranjivijim. Tome pridonosi i pad cijene informatičke opreme, veća međusobna povezanost i razmjena informacija te sve bolja tehnička obrazovanost.

Dostupnost izvornih programa omogućava počiniteljima da uvidom u njih otkriju slabe strane i nedostatke takvih programa što kasnije koriste u poduzimanju napada. Najnovije inačice poznatih programa koji se koriste za pristup i pretraživanje Interneta imaju brojne sigurnosne bugove (bug=hardverska ili softverska greška do koje je došlo krivnjom proizvođača) koje hakeri lako otkriju i u vrlo kratkom roku obavještavaju jedni druge.

Ciljevi napada

Najčešći ciljevi napada koji se izvode na Internetu ili putem njega su:  korisničke lozinke – omogućavaju da se pomoću njih nesmetano pristupi kompjutorskom

sustavu  podaci i informacije – pohranjeni u memoriji kompjutora ili se razmjenjuju putem

komunikacijskih kanala; cilj napada je usmjeren na uvid, izmjenu ili brisanje  kompjutorski programi – napad usmjeren na njihovo neovlašteno brisanje ili mijenjanje,

neovlašteno kopiranje radi osobnog korištenja ili daljnje distribucije; posebno je opasna krađa izvornog koda programa koja se može iskoristiti za pribavljanje imovinske koristi

 Web stranice i News grupe – neovlašteno mijenjanje sadržaja najčešće kako bi se promovirali neki ciljevi ili uvrijedili/izrugali oni čije se stranice napada ili neke druge fizičke ili pravne osobe

onemogućavanje korištenja kompjutorskog sustava – ovlaštenom korisniku se nastoji onemogućiti korištenje kompjutorskog sustava bez ugrožavanja integriteta podatkovne, programske ili tehničke osnovice

materijalni (tehnički) resursi informacijskog sustava – neposredan fizički pristup tehničkim resursima s ciljem da se oni otuđe, unište ili oštete kako bi se onemogućilo njihovo daljnje korištenje

Kada dolazi do napada

17Pravna informatika

Do napada dolazi u trenutku:  neovlaštenog pristupa tuđem kompjutorskom sustavu  neovlaštenog mijenjanja podataka i/ili programa  neovlaštenog brisanja podataka i/ili programa  presnimavanja malicioznog programa  korištenja tuđeg kompjutora na mreži za pristup drugom sustavu  stvaranja uvjeta za nastanka, odnosno nastajanje štete na infrastrukturi koja može dovesti ili

je dovela do sprječavanja ili otežavanja daljnjeg rada sustava  krađe, oštećenja ili uništenja tehničke osnovice ili medija za pohranu podataka

Vrste napada

S obzirom na volju napadača: - namjerni napad – napadač svjesno i hotimično poduzima radnje za koje zna da mogu dovesti

do štetnih posljedica bez obzira na motiv napadača i na posljedice napada - slučajni napad – napad poduzima osoba koja nije znala ili nije mogla znati, s obzirom na

njeno stručno znanje, da će njene radnje na bilo koji način ugroziti sigurnost informacijskog sustava

S obzirom na učinke radnje napadača: - aktivni napad – dolazi do promjene objekta koji se napada - pasivni napad – objekt napada ostaje nepromijenjen

S obzirom na mjesto odakle dolazi napad: - unutarnji napad – napad izvodi osoba ovlaštena za pristup informacijskom sustavu - vanjski napad – napad izvodi osoba koja nije ovlaštena za pristup informacijskom sustavu

S obzirom na informacijske resurse koji se napadaju: - napad na podatkovne resurse – usmjeren na podatkovne resurse kako bi se ugrozila njihova

povjerljivost, cjelovitost ili dostupnost - napad na programsku osnovicu informacijskog sustava - obuhvaća neovlašten pristup i

izmjenu i/ili brisanje sistemskog, aplikativnog ili komunikacijskog softvera - napad na tehničku osnovicu (infrastrukturu) informacijskog sustava – usmjeren na

ometanje ili onemogućavanje daljnjeg rada informacijskog sustava

S obzirom na cilj napada: - maskiranje – lažno predstavljanje - neovlašteno korištenje resursa - uskraćivanje usluga - neovlašteno pribavljanje informacija - neovlaštena izmjena informacija

Radnje koje počinitelj mora poduzeti kako bi ostvario svoj cilj: 1. osigurati pristup kompjutorskom sustavu 2. proširiti pristup kako bi mogao djelovati 3. poduzeti druge radnje ovisno o svojim motivima 4. ukloniti dokaze o svojem prisustvu i poduzetim radnjama

18 Pravna informatika

Pristup kompjutorskom sustavu

Da bi osigurali neovlašten, a u najvećem broju razvijenih zemalja, i nezakonit pristup tuđem kompjutorskom sustavu počinitelji se koriste raznim metodama pribavljanja podataka o samom sustavu ili načinu na koji se on koristi:

Društveni inženjering (Human engineering, Social engineering) - obuhvaća brojne i raznovrsne načine pribavljanja lozinki za neovlašten pristup sustavu: Shoulder Surfing – otkrivanje lozinke neposrednim fizičkim uvidom prilikom upisa lozinke čega žrtva nije svjesna; strvinarenje (Scavenging, Dustbin Diving, Dumpster Diving) – traženje po tuđem smeću, bačenim papirima ili tuđim bilješkama kako bi se našla lozinka za pristup sustavu ili drugi podaci koji se mogu iskoristiti pri neovlaštenom pristupu kompjutorskog sustava; ovlašteni korisnici mogu nesvjesnim ponašanjem ili nepažnjom dati na uvid lozinku neovlaštenim osobama; praćenjem ovlaštenog korisnika koji je napustio radno mjesto, a nije se odjavio, može se nastavi rad pod njegovim korisničkim računom.

Maskiranje ili varanje (Masquerading, Deception) – lažno predstavljanje, preuzimanje identiteta druge osobe ili uloge nekog drugog kompjutorskog sustava; lažno predstavljanje - npr. putem telefona kao da je u pitanju ovlašteni serviser kako bi se iskoristila trenutačna nepažnja žrtve i došlo do lozinke ili telefonskog broja za daljinski pristup sustavu; zloupotreba povjerenja (Exploitation od Trust) – neovlašten pristup sustavu putem drugog kompjutorskog sustava simuliranjem kao da je u pitanju neki sustav s kojim ovaj ima vezu povjerenja.

Spoofing – obuhvaća više različitih metoda uz pomoć kojih napadači dolaze do željenih podataka koristeći se slabostima Internet protokola i nedovoljnom pažnjom korisnika:  Login Spoofing – lažno predstavljanje putem sličnih maski za upis korisničkih lozinki pri

pristupu nekom kompjutorskom sustavu ili nekom njegovom servisu, a da korisnik ne zna da nije pristupio željenom sustavu i da su njegovi podaci nakon toga dostupni napadaču

Web Spoofing – korisnik zabunom odabirom pogrešnog hiperlinka dolazi na neželjenu stranicu da pri tome nije niti svjestan da se ne nalazi tamo gdje je želio doći (npr. amazom.com umjesto amazon.com)

E-mail Spoofing – hakeri se koriste slabostima SMTP protokola za slanje pošte; neposrednom promjenom podataka od koga je pošta poslana kako bi dobili odgovor od primatelja

DNS Spoofing – hakeri se koriste načinom na koji se na Internetu traže brojčane adrese kompjutora pomoću njihovog simboličkog ekvivalenta. DNS (Domain Name Service) omogućava traženje brojčanih Internet adresa putem njihovog simboličkog ekvivalenta preko DNS-servera na kojem se nalazi datoteka s tim podacima. U trenutku komunikacije između ovlaštenog kompjutorskog sustava i DNS-servera napadač nastoji presresti komunikaciju i poslati lažne podatke na kompjutorski sustav koji namjerava napasti. Nakon što u tome uspije komunikacija se preusmjerava na njegov kompjutor i on je u mogućnosti prikupiti potrebne podatke.

IP Spoofing – koristi se da bi se ostvario daljinski neovlašteni pristup kompjutorima ili kompjutorskim mrežama. Sustavu se pristupa izvana, daljinski kao da je u pitanju ovlašteni kompjutor unutar mreže kojoj se pristupilo. Radi se o presretanju i modifikaciji IP adresa u zaglavlju paketa koji se prenose unutar mreže. Premda je lažna IP adresa valjana samo unutar mreže stari ruteri nisu u stanju prepoznati je li riječ o podacima koji se prenose

19Pravna informatika

unutar mreže ili oni stižu izvana. (ruter – uređaj koji usmjerava prijenos podataka od jedne kompjutorske mreže drugoj, vodeći računa da se to izvede na što efikasniji način)

Ispitivanje ili pogađanje (Probe ili Guessing) – pokušaj da se pristupi sustavu nasumičnim pogađanjem lozinke koristeći metodu pokušaja i pogreške.

Pretraživanje (Scanning) – veći broj neovlaštenih pokušaja da se pristupi sustavu ili pribave informacije o njemu uz pomoć nekog automatiziranog alata. Često se ovom metodom koriste početnici jer je program lako nabaviti s Interneta i BBS-ova. Poznato i pod nazivom War Dialing ili Demon Dialing po programima napravljenima za tu svrhu. Naziv potječe od filma War Games koji je ima utjecaj na razvoj hakinga.

Prisluškivanje (Wiretapping, Eavesdropping) – prisluškivanje telefonskih linija za prijenos podataka radi pribavljanja lozinki ili ugrađivanje prislušnih uređaja na telefonske linije unutar samog kompjutorskog centra.

Optičko špijuniranje (Optical Spying) - promatranje ili snimanje iz obližnje zgrade. Presretanje elektromagnetskog zračenja s kompjutorskog ekrana je jedan oblik optičke špijunaže.

Druženje (Socializing) – neformalno druženje sa zaposlenicima poslije radnog vremena kako bi se od njih dobile informacije o samom sustavu, mjerama zaštite i drugim okolnostima koje se mogu iskoristit za pristup sustavu

Kompromitiranje – kompromitiranje, ucjenjivanje, podmićivanje ili iskorištavanje drugih ljudskih slabosti ovlaštenih korisnika kako bi se došlo do potrebnih informacija za ostvarivanje nezakonite nakakne

Programske manipulacije – počinitelji se mogu služiti raznim kompjutorskim rješenjima uz pomoć kojih mogu doći do korisničkih lozinki kompjutorskom sustavu.  Packet Sniffer ili Password Sniffer – kompjutorski program namijenjen kopiranju podataka iz

paketa u kojima oni putuju kompjutorskom mrežom, a sadrže korisnička imena i lozinke za pristup sustavu ili druge informacije koje se mogu zloupotrijebiti. Pri tome se ne treba kopirati cijeli paket jer se podaci koji ih zanimaju nalaze u prvih 128 bajtova prvog paketa koji se šalje pri uspostavljanju veze. Tako dobiveni podaci omogućuju pristup kompjutorskom sustavu putem Interneta ili neku drugu zloupotrebu.

trojanski konji – program koji imaju neku skrivenu funkciju

Proširenje pristupa

Nakon što neovlašteno pristupi kompjutorskom sustavu počinitelj mora proširiti prava ovlaštenja kako bi se neometano mogao koristiti resursima sustava i ostvariti svoje namjere:

Pregledavanje (Browsing) – pregledavanje sadržaja dostupnih datoteka i direktorija kako bi se vidjelo za što se kompjutor koristi i jesu li mu dostupne druge datoteke koje omogućuju proširenje prava te promatranje memorije kompjutora da bi se vidjelo koji se programi na sustavu koriste.

Stražnja vrata ili zamke (Back Doors ili Trap Doors) – intervencije u programima kojima je cilj omogućiti onome koji ih je napravio neovlašten pristup kompjutorskom sustavu zaobilaženjem redovnog postupka identifikacije i autorizacije kod pristupa. Najčešće ih koriste programeri tijekom razvoja softvera kako bi mimoišli postupak provjere pristupa, no ako ih nakon toga ne uklone njima se mogu koristiti i kada više nisu ovlašteni za pristup, a mogu ih otkriti i drugi napadači.

Backdoor – mogućnost da se središnjem kompjutorskom sustavu pristupi neovlašteno s udaljenog kompjutora. Zaposlenici se putem osobnih kompjutora povezuju s kompjutorom u tvrtki.

20 Pravna informatika

Osobni kompjutori najčešće nemaju nikakvu ili imaju vrlo slabu zaštitu što omogućava neovlaštenim osobama da putem njih pristupe kompjutorskom sustavu tvrtke.

Programi za analizu i nadzor rada sustava – kompjutorski program namijenjen analizi rada kompjutorskih mreža sa ciljem da se pronađu slabosti u sigurnosti. Razvijeni su s namjerom da pomognu ovlaštenim korisnicima da lakše i efikasnije pronađu sigurnosne slabosti kompjutorske mreže. Hakeri ga koriste kako bi neovlašteno pristupili sustavu. Neki od takvih softverskih alata su ISS (Internet Security Scanner), PINGWARE, SATAN (Security Administrator Tool For Analyzing Networks), SPI (Security Profile Inspector), itd.

Superzapping – zloupotreba ovlaštenja na velikim sustavima. Naziv dolazi od pomoćnog programa Superzap koji se koristi na većini IBM-ovih mainframe kompjutora. On omogućava sistem- administratoru ili nekoj drugoj osobi s visokim ovlaštenjima da zaobiđe sigurnosni sustav kako bi što prije izvršili popravke ili intervencije u programima. Ovaj program stavlja izvan funkcije zaštitne mjere i kontrole pa se može vrlo učinkovito zloupotrijebiti.

Greške u programima – programi gotovo uvijek imaju određene greške koje u tijeku razvoja ili provjere nisu uočene u njihovom radu. Zbog brzine kojom se hardveri i softveri razvijaju, utrke proizvođača i sve većih mogućnosti koje se nude takve greške mogu ugroziti ne samo osobnu sigurnost nego i sigurnosti velikih informacijskih sustava.

Cookie (Client-side persistent information) – informacija pohranjena u kompjutoru korisnika prenesena putem Internet pretraživača na zahtjev Web stranice koju je posjetio. S jedne strane tim informacijama se nastoji učiniti pretraživanje što efikasnijim, a s druge strane ti se podaci najčešće upotrebljavaju u marketinške svrhe jer se njima koriste prilikom narednog posjeta istoj Web stranici kako bi se unaprijed znalo područje zanimanja i sklonosti korisnika. Prilikom posjeta bilo kojoj drugoj stranici postoji mogućnost da se ti podaci iskoriste za dobivanje informacija o korisniku koje se mogu zloupotrijebiti. Međutim, taj postupak sam po sebi nije način zloupotrebe.

Daljnje radnje napadača

Nakon što ostvari neovlašten pristup i proširi svoja prava, daljnje radnje počinitelja ovisit će o njegovim namjerama i motivima.

Manipulacije podacima tehnika salame (Salami) – korištenjem nekog od programa za rad s bazama podataka ili

izmjenom postojeći podataka počinitelj s većeg broja računa skida manje iznose novca i prebacuje ih na svoj račun

francusko zaokruživanje (French Round-off) prebacivanje iznosa nakon druge decimale pri obavljanju financijskih transakcija (npr. obračun kamata)

promjena podataka (Data Diddling) ili pogrešan unos podataka (False Data Entry) – nije manipulacija digitalnih podataka; do izmjene podataka dolazi prije ili nakon što su uneseni u kompjutor

Uskraćivanje usluge (Denial of Service) – cilj ovog napada je onemogućavanje ovlaštenog korisnika da se koristi kompjutorskim ili mrežnim uslugama i servisima. Može se izvesti istovremenim slanjem velikog broja upita ili količine podataka da se resursi glavnog kompjutora u tolikoj mjeri iskoriste da više ne može raditi, ili onesposobljavanjem neke od fizičkih komponenti sustava.  Spamming – slanje velikog broja istih ili različitih poruka putem elektroničke pošte s

namjerom da se zaguši stroj primatelja kako bi iz tog razloga sustav pao. Spam predstavlja

21Pravna informatika

neželjenu poštu ili priopćenja koja primamo mimo naše volje. Najčešće su to razne reklamne ili marketinške aktivnosti tvrtki koje na taj način putem Interneta reklamiraju i obavještavaju velik broj korisnika o novim proizvodima i uslugama. Oni pronalaze e-mail adrese na raznim mjestima od novinskih grupa, Web stranica do informacijskih servisa koji takve informacije imaju. Bez obzira na to je li došlo do rušenja sustava ili ne radi se o zloupotrebi jer neželjene poruke ometaju svakodnevno korištenje elektroničke pošte.

Maliciozni programi – kompjutorski programi ili dijelovi programskog koda čije pokretanje dovodi do neželjenih posljedica za korisnika i njegov kompjutorski sustav, njegove podatke ili programe ili do uskraćivanja mrežnih servisa i usluga.  Kompjutorski crv (Worm) – kompjutorski program koji se nakon pokretanja sam umnožava

na kompjutoru korisnika ili širom kompjutorske mreže sa ciljem da iskoristi resurse sustava u tolikoj mjeri da on ne može dalje funkcionirati. Dolazi do pada kompjutorskog sustava i nemogućnosti njegova korištenja sve dok se sadržaj multipliciranog programa ne ukloni. Od virusa se razlikuju po tome što funkcioniraju kao potpuno nezavisni programi i gotovo nikad ne ugrožavaju integritet podatkovne ili programske osnovice. Vrstu kompjutorskih crva predstavljaju bakterije (Bacteria), zečevi (Rabbits), rakovi (Crabs) i gmizavci (Creepers).

Trojanski konj (Trojan Horse) – kompjutorski program koji osim svoje vidljive namjene ima i neku drugu skrivenu i korisniku nepoznatu funkciju. O trojanskom konju se radi samo kada je ta skrivena funkcija namjerno umetnuta u program, a ne onda kada je to posljedica greške u programiranju. Otkriti takve umetnute funkcije je teško kada se nema uvid u izvorni kod. Jedna od funkcija je i davanje autoru programa neograničene ovlasti nad sustavom (Back Door). Aktiviranje trojanskog konja može biti bezazleno ili može dovesti do brisanja, mijenjanja ili krađe podataka, brisanja programa, a može se iskoristiti i za krađu korisničkih lozinki ili neovlašteno daljinsko preuzimanje kontrole nad kompjutorskim sustavom. Trojanski konji se ne razmnožavaju. Podvrste trojanskog konja su softverske bombe koje se aktiviraju samim pokretanjem programa, logičke bombe koje se aktiviraju ispunjenjem određenih uvjeta unutar samog sustava i vremenske bombe koje aktiviraju ili u određeno vrijeme ili nakon isteka određenog vremena. Leteći holandez (Flying Dutchman) je trojanski konj koji služi za skrivanje trgova nakon što počinitelj završi s nezakonitom djelatnošću kako bi se otežalo ili onemogućilo provođenje istrage.

Kompjutorski virusi – kompjutorski program ili dio kompjutorskog programa koji se nakon aktiviranja samog programa samostalno razmnožava i širi na resursima kompjutora i/ili kompjutorskim mrežama. Najčešće je napisan u asembleru, a samo rijetko u nekom višem programskom jeziku. Prenosi se preko nositelja podataka, povezivanjem kompjutora putem mreže i sl. Prema načinu djelovanja dijele se na četiri osnovne grupe:

boot sector virusi – aktiviraju se samim pokretanjem operativnog sustava DOS  parazitski virusi – aktiviraju se pokretanjem zaraženog programa, a rade samo

pod operativnim sustavom DOS  multi-partite virusi – kombinacija boot sector i parazitskih virusa  macro virusi – aktiviraju se pokretanjem makroa, sastavnog dijela nekih

programa koji rade pod Windowsima (Word, Excel…)

22 Pravna informatika

Virusi se mogu aktivirati u određeno vrijeme, određenog dana, na određeni datum ili nakon što su kopirani određeni broj puta. Aktiviranje može izazvati neki efekt u obliku zvuka, slike ili poruke, a može dovesti i do uništenja podataka i/ili programa. Izrazito su opasni polimorfni virusi – mijenjaju svoj oblik (kod) kako bi zavarali antivirusni program; koriste se enkripcijom kako bi prikrili svoje postojanje i otežali svoje pronalaženje i uklanjanje i Sealth virusi – teško se otkrivaju jer se u trenutku pokretanja antivirusnog programa odvajaju od zaraženog programa da bi se nakon toga ponovo spojili s njim. Vrlo često se nalaze u šifriranom obliku i neaktivni su do ponovnog ulaska njegovog autora kroz stražnja vrata, aktiviranja trojanskog konja ili logičke bombe. Nakon aktiviranja mogu ostati rezidentni (stalno prisutni) u memoriji kompjutora ili ne (završetkom rada zaraženog programa prestaje i njihova aktivnost). Virusi se danas najčešće prenose elektroničkom poštom.

Spyware programi – koriste resurse kompjutora ili mreže bez znanja korisnika, a s ciljem da nadgledaju njegove navike, posebno na Internetu, o čemu šalje podatke prema određenom poslužitelju.

Adware programi – vrsta parazitskih programa koji ovisno o sadržaju neke Web stranice pokazuju reklame, ankete ili nude proizvode, a ponekad sadrže i maliciozni kod različite namjene.

Hoaxe – lažne poruke, upozorenja koja se nalaze u elektroničkoj pošti poslanoj s namjerom da prevari, zastraši, kompromitira, dezinformira ili odvrati primatelja od korištenja nekih usluga.

Kompjutorski vandalizam – namjerno oštećivanje ili uništavanje resursa informacijskog sustava. Poznati i kao napadi na infrastrukturu. Posebno težak oblik ovakvog napada je kompjutorska sabotaža.

Izvorni kod – kompjutorski program napisan u nekom od programskih jezika koji je potrebno prevesti u strojni jezik da bi se mogao izvoditi. Prevođenje je moguće izvesti na dva načina, ovisno o tome je li program pisan za izvođenje putem interpretera ili kompajlera. Sam izvorni kod pohranjen je u obliku tekstualne, neformatirane datoteke i u oba slučaja ostaje nepromijenjen, ali ga je u slučaju izmjena potrebno ponovo prevesti.

Asembler – program koji prevodi izvorni program napisan u asemblerskom programskom jeziku u strojni kod (strojni jezik). Razlikuje se od kompajlera po tome što se kompajliranjem prevodi izvorni kod napisan u nekom višem programskom jeziku prvo u asemblerski jezik a tek potom u strojni jezik.

Boot sektor – prvi sektor svakog diska i diskete čak i kad nema podatka na njima i kada se sa tog diska ili diskete ne može pokrenuti kompjutor. U tom sektoru se nalazi kratak program koji se učitava kao prvi od strane BIOS-a računala kako bi taj program dalje mogao učitati datoteke operativnog sustava.

Uklanjanje dokaza

Anonimnost je jedna od temeljnih karakteristika kompjutorskog kriminaliteta i osnovni razlog zašto ga je teško spriječiti i suzbiti. Da bi ostali anonimni oni moraju ukloniti tragove svog pristupa i prisustva na kompjutorskom sustavu. Svaka aktivnost se bilježi u log datotekama koje možemo promatrati kao dnevnik rada o pristupu i korištenju sistemskih resursa koji vodi sam kompjutor/operativni sustav. Napadači će nastojati iz log datoteke ukloniti podatke o svom pristupu i korištenju sistemskih resursa ili ih izmijeniti kao da je u pitanju neki korisnik ovlašten za poduzimanje takvih aktivnosti.

23Pravna informatika

Napadači nastoje sebi ili drugima omogućiti nesmetan pristup i korištenje sustava i nakon što su to već jednom učinili pa u tu svrhu ostavljaju Back Doors ili koriste Trap Doors. Iznimno ih je važno otkloniti nakon što se otkrije neovlašteno korištenje kako se zloupotreba ne bi ponovila.

1.7. Motivi i profili napadača

O napadačima

Istovremeno sa staranjem tehničke osnovice stasala je i nova generacija mladih ljudi koji su prihvatili i usvojili sve blagodati koje pružaju nove tehnologije, a među njima i oni kojima to nije dovoljno pa se iz raznoraznih pobuda žele njome koristiti i za ostvarivanje nemoralnih, koristoljubivih i štetnih ciljeva. Počinitelji takvih zloupotreba nazivaju se hakeri, a njihovo djelovanje – hakerstvo.

Hakerskim zloupotrebama prethodile su zloupotrebe telefonskih sustava/telekomunikacija. Počinitelji su firkeri (phreaking=phone+breaking) koji su već 60-ih godina uz pomoć različitih uređaja nastojali pronaći načine za besplatno korištenje telefonskih usluga. Kasnije su se njihovim iskustvima koristili hakeri, a neki su to i sami postali.

Začeci hakerstva datiraju od 70-ih godina kada se počinje masovnije koristiti informatička tehnologija. Hakeri su uglavnom s terminala na radnim mjestima unutar tvrtki i organizacija u kojima su radili nastojali doprijeti do podataka na centralnom kompjutoru s kojim su bili povezani. Razvojem i širenjem kompjutorskih mreža i osobnih kompjutora početkom 80-ih njihova se aktivnost počinje širiti.

Hakerstvo se danas svodi na neovlašten pristup informacijskim resursima s namjerom da se kopiraju podaci, prenesu maliciozni programi, promijene ili izbrišu postojeći podaci i/ili programi ili onemogući daljnje korištenje sustava. To se postiže različitim metodama od Shoulder Surfinga do socijalnog inženjeringa.

Složeniji i kompliciraniji način otkrivanja lozinki je kraking koji se svodi na kopiranje datoteka u kojim su pohranjene lozinke. Kako su te lozinke najčešće kriptografski zaštićene hakeri se koriste kompjutorskim programima kako bi napravili 50 000 do 200 000 usporedbi u sekundi i na taj način nasumice došli do lozinke za pristup sustavu. Pri tome se koriste tuđim telefonskim linijama kako bi ostvarili vezu sa sustavom bez vlastitih troškova.

Događaji koji su odigrali ključnu ulogu u širenju hakerstva: 1. zloupotrebe komunikacijskih sredstava i usluga koje su prethodile kompjutorskom kriminalu 2. razvoj i sve veće korištenje kompjutorskih mreža što je omogućilo pristup neovlaštenim

osobama dotad zatvorenim sustavima 3. pojava osobnih kompjutora početkom 80-ih 4. razvoj i širenje telekomunikacijskih uređaja i veza namijenjenih radu s udaljenim

kompjutorima 5. pojava hakerskih BBS-ova koji su im omogućili tajno komuniciranje i razmjenjivanje iskustava

i programa namijenjenih provalama u kompjutorske sustave 6. pojava i rast Interneta 7. uloga medija koji veličaju njihove »uspjehe«

Profili napadača

24 Pravna informatika

Hakeri smatraju da su članovi elitne klase, spretni pronalazači i borci za slobodu informacija i demokraciju. To su u pravilu muškarci, najčešće bijelci u dobi od 15 do 35 godina, arogantni i nepristojni, nekulturni, neorganizirani i neuredni. Čine takve nedozvoljene radnje zbog stjecanja imovinske koristi, ali i želje za publicitetom. Njihova aktivnost sva češće je usmjerena na ucjene i špijunažu. Prikupljanjem i prodajom tajnih informacija s raznih područja nastoje ostvariti imovinsku korist. Informacijski brokeri su hakeri koji putem Interneta kupuju i prodaju informacije do kojih su došli neovlašteno.

Motivi napadača

Motivi napadača se kreću od plemenitih i bezazlenih do zlih i opasnih. Svojem djelovanju nastoje dati političku dimenziju (film Hackeri). Polazište nalaze u slobodi informacija što koriste kao opravdanje za svoje nezakonite djelatnosti. Smatraju informacije općim dobrom te se bore protiv informacijskog monopola. Smatraju se borcima za znanje, braniteljima ljudskih prava i sloboda, demokracije, zaštitnicima okoliša, ali upravo oni sami svojom djelatnošću često narušavaju i ograničavaju tuđe slobode, pravo čovjeka na privatnost i druga temeljna prava i općeprihvaćene norme suvremenog društva.

Neosporno je da njihova aktivnost često teži ostvarivanju nekog plemenitog cilja ili je rezultat puke radoznalosti, a da su pritom poduzete radnje bezazlene. No čak i tad su njihove aktivnosti nezakonite, a znaju i dovesti da štetnih i opasnih posljedica za one protiv kojih nije bila usmjerena, pa i za društvo u cjelini.

Često su to asocijalne osobe, zatvorene u sebe kojima takva aktivnost služi za samodokazivanje, pokazivanje svoje moći i superiornosti. Mladi sve više vremena provode za kompjutorom, a manje u društvu, što dovodi do gubitka veze sa stvarnošću i rezultira takvim ponašanjem.

Postoje i oni čije radnje i motivi nisu nimalo bezazleni. Oni namjerno i svjesno krše pravne i druge norme kako bi ostvarili svoje ciljeve. Koriste se prijevarom, ucjenom, sabotažom i drugim nedozvoljenim i opasnim sredstvima kako bi zadovoljili svoje osobne interesne. Koristoljublje je sve češći motiv hakerske djelatnosti.

Tipovi napadača

S obzirom na motive koji ih potiču i stupanj opasnosti koju ima njihova aktivnost: - hakeri – osobe koje iz radoznalosti, neznanja, zbog dokazivanja ili nesvjesno upadaju u tuđe

sustave bez namjere da nanesu štetu, kopiraju ili mijenjaju programe i podatke ili na neki drugi način utječi na funkcioniranje sustava.

- krakeri – opasne osobe s većim stupnjem tehničkog znanja i sredstvima koji im omogućuju da prodru u velike i relativno dobro zaštićene kompjutorske sustave. Svjesno i namjerno provaljuju u tuđe sustave zbog koristoljublja. Krakerstvo označava osobito teške zloupotrebe sa vrlo štetnim posljedicama po građane, pravne osobe i društvo u cjelini. U praksi se krakeri često nazivaju hakerima.

S obzirom na cilj napada i stručno znanje kojim raspolažu:

25Pravna informatika

- hakeri – osobe koje iznimno zanima kako funkcioniraju kompleksni, a posebno kompjutorski sustavi. Posjeduju visoko stručno znanje iz tog područja. Cilj njihovog napada su složeni visoko kompjutorizirani informacijski sustavi.

- frikeri – osobe koje izučavaju telefonske sustave i raspolažu znanjem iz tog područja što im omogućava da se neograničeno i besplatno koriste telefonskim uslugama

Cornwall razlikuje unutarnje hakere – osobe zaposlene u organizacijama na čijim kompjutorima rade sabotažu i vanjske hakere koji djeluju izvan organizacija, tvrtki ili institucija čije kompjutorske sustave ugrožavaju.

Haker B. Landreth razlikuje pet kategorija hakera: - početnici – mladi počinitelji koji se time bave iz dosade - studenti – bave se time iz intelektualne znatiželje o sigurnosti kompjutorskih sustava - turisti – provaljuju u kompjutorske sustave i nastavljaju svoju aktivnost samo ako naiđu na

nešto zanimljivo - razbijači – uživaju u izazivaju pada sustava - lopovi – ozbiljni počinitelji, obrazovani i napadački raspoloženi, kriminalni krakeri

Agenti FBI Computer Crime Squad razlikuju pet grupa napadača: - čisti hakeri – nastoje biti uočljivi i privući na sebe pažnju javnosti kako bi zadovoljili svoje

egoističke potrebe. U ovu grupu spada većina otkrivenih hakera. Koriste jeftinu opremu i ne ulaze u zone visokog rizika, ali ipak čine najviše problema.

- unutrašnji hakeri – najmanja, ali i najopasnija grupa hakera zbog opasnosti za tvrtke u kojima rade. Najčešće su motivirani koristoljubljem.

- hakeri kriminalci – sposobni koristiti anonimnost i brzinu komunikacija za ostvarenje svojih nezakonitih aktivnosti (trgovci narkoticima i međunarodni kriminalci).

- hakeri industrijski špijuni – koriste se ranjivošću informacijskih sustava tvrtki kako bi došli do informacija koje će ponuditi na tržištu

- hakeri u funkciji stranih obavještajnih službi – sposobni su iz velikih udaljenosti probiti komunikacijske barijere i ući u informacijske sustave s podacima od interesa za strane obavještajne službe.

S obzirom na kriminalno ponašanje Icove, Seger i VonStorch razlikuju: - kakeri – nezakonito ponašanje potaknuto intelektualnim izazovom - kompjutorski kriminalci – potaknuti ostvarivanjem financijskih ili političkih ciljeva - vandali – potaknuti nezadovoljstvom i ljutnjom prema nekoj organizaciji ili životu uopće;

ovisno o tome jesu li ovlašteni ili neovlašteni korisnici kompjutorskog sustava dijele se na korisnike i strance.

S obzirom na pojavne oblike kompjutorskog kriminala Kramarić i Martinis razlikuju: - umnožavatelji (bit-napperi, softverski gusari) – umnožavaju, a zatim prodaju ili dijele

kompjutorske programe - računalni lopovi – prepravljaju podatke ili programe kako bi se obogatili - krijumčari – suradnici tajnih službi i industrije koji trguju s oružjem, računalima i računalnim

programima - hakeri – neovlašteno upadaju u tuđe kompjutorske sustave - saboteri – uništavaju ili oštećuju uređaje - osvetnici – podvrsta sabotera; bivši zaposlenici koji se žele osvetiti

komentari (1)
ovo je samo pregled
3 prikazano na 100 str.
preuzmi dokument