Рачунарска безбедност

Рачунарска безбедност је процес заштите рачунара и рачунарских система од нежељене употребе, угрожавања система и уљеза.^[1] Под угрожавањем се сматра вид употребе рачунара у циљу наношења штете подацима, програмима или рачунарским процесима. Недостаци у рачунарској безбједности се јављају због рањивости или слабости рачунарског система, али чешће због људских фактора, односно људске грешке у подешавању система. Агент који има намјеру да угрози неки рачунарски систем, било да се ради о особи, догађају, или одређеним околностима, искориштава те слабости. Рачунарска безбједност обухвата заштиту од недоступности рачунарског система (такође: ускраћивање услуга, енгл. ), заштиту интегритета података и програма и повјерљивости и приватности података и информација.

Поље постаје значајније због повећаног ослањања на рачунарске системе, интернет^[2] и стандарде бежичне мреже као што су Блутuт и вај-фај, као и због раста заступљености „паметних「 уређаја, укључујући паметне телефоне, телевизоре и разни уређаји који чине „интернет ствари「. Захваљујући својој сложености, како у погледу политике, тако и технологије, сајбербезбедност је такође један од главних изазова у савременом свету.^[3]

Рањивости

Главни чланак: Рањивост (рачунарство)

Рањивост је слабост у дизајну, имплементацији, раду или унутрашњој контроли. Већина откривених рањивости документована је у бази заједничких рањивости и изложености (). Рањивост која се може искористити јесте она рањивост за коју постоји барем један напад који ради.^[4] Контролисање рањивости система је циклус идентификовања и отклањања или ублажавања рањивости,^[5] посебно у софтверу и фирмверу. То је саставни део рачунарске сигурности и сигурности рачунарске мреже.

Рањивости се могу открити помоћу скенера рањивости који анализира рачунарски систем у потрази за познатим рањивостима,^[6] као што су отворени портови, несигурна конфигурација софтвера и подложност злонамерном софтверу. Претње се у правилу могу сврстати у једну од следећих категорија:

Бекдор

Бекдор у рачунарском систему, криптосистему или алгоритму јесте свака тајна метода заобилажења нормалне провере аутентичности или сигурности. Могу се налазити у систему по дизајну или због слабе конфигурације или бити постављени од неког нападача. Без обзира на мотиве њиховог постојања они стварају рањивост система.

напад

или (енгл. ) napad, je pokušaj napadača da učini računar nedostupnim korisnicima kojima je on namijenjen. On onesposobljava mrežu, računar ili neki drugi dio infrastrukture na taj način da ih korisnici ne mogu koristiti

Физички приступ

Неовлаштени корисник који има физички приступ рачунару најверојатније може директно копирати податке са њега. Они такође могу угрозити сигурност тако што ће направити модификације оперативног система, инсталирати софтверске црве, килогере, прикривене уређаје за слушање. Чак и када је систем заштићен стандардним сигурносним мерама, могуће их је заобићи покретањем другог оперативног система или алата са -а, меморије, или других средстава за покретање. Šifriranje diska i стандард за сигурни криптопроцесор (Trusted Platform Module) осмишљени су да спрече овакве нападе.

Вишевекторски, полиморфни напади

Од 2017. године се појављује нова класа мултивекторских^[7] и полиморфних^[8] претњи које комбинују некоилико врста напада истовремено. Полиморфни малвер мења своје карактеристике које би могле да постану препознатљиве како би избегао познате технике идентификације претњи. Те су претње класификоване као цајбер-напади пете генерације.^[9]

Пецање

Пријем лажне поруке е-поште, прерушен у службену е-пошту (измишљене) банке. Пошиљалац покушава да превари приматеља у откривању поверљивих података тако што ће га „потврдити」 на лажној wеб страници.

Пецање је покушај добивања осетљивих података попут корисничких имена, лозинки и података о кредитној картици директно од корисника обмањивањем корисника.^[10] Лажно представљање обично се врши преварама путем е-поште или директним слањем порука, а корисници се често упућују на уношење детаља на лажну веб страницу чији је изглед готово идентичан стварној wеб страници. Ово се може окарактерисати као пример друштвеног инжењеринга.

Добијање привилегија

Нападач може са неким нивоом ограниченог приступа без ауторизације, да повиси своје привилегије или ниво приступа. На пример, стандардни корисник рачунара може бити у могућности да искористи рањивост у систему да добије приступ ограниченим подацима или чак постати „роот」 и имати потпуно неограничен приступ неком систему.

Социјални инжењеринг

Социјални инжењеринг има за циљ да увјери корисника да открије тајне попут лозинки, бројева картица итд. На пример, лажним представљањем банке или купца.^[11]

Спуфинг

Спуфинг је чин представљања као ваљаног субјекта фалсифицирањем података (попут ИП адресе или корисничког имена), како би се добио приступ информацијама или ресурсима.^[12] Постоји неколико врста спуфинга, укључујући:

• Е-маил спуфинг, где је нападач кривотвори адресу пошиљатеља е-поште
• Спуфинг ИП адресе, где нападач мења изворну ИП адресу у мрежном пакету како би сакрио свој идентитет или лажно представљао неки други рачунарски систем.
• спуфинг, где нападач модификује (енгл. ) адресу свог мрежног интефејса како би се представио као ваљан корисник на мрежи.
• Биометријски спуфинг, где нападач произведе лажни биометријски узорак да би се представљао као други корисник.

Смањивање рањивости

Мултифактор аутентикацијска метода може смањити могућност неовлаштеног приступа систему. Захтева нешто „што корисник зна」 као што лозинка или ПИН и „нешто што има」 као што су картице, мобител или други хардвер. То повећава сигурност, јер је неовлаштеној особи потребно и једно и друго да би добили приступ. Социјални инжињеринг и физички напади на рачунар могу се спречити само нерачунарским методама. Обука је често укључена како би се ублажио овај ризик, али чак и у високо дисциплинираним срединама напади социјалног инжењеринга и даље могу бити тешко предвидљиви.

Механизми заштите хардвера

Иако сам хардвер може представљати извор несигурности, као што је рањивост микрочипа који је злонамјерно испрограмиран током производног процеса,^[13][14] hardverski bazirana ili потпомогнута рачунарска сигурност може бити алтернатива софтверском приступу. Кориштење уређаја и метода попут кључева^[15], -а^[16], онемогућавања УСБ портова и приступа мобилним уређајима^[17], iskopčavanja nekih komponenti (kao što su web kamera ili GPS)^[16] могу се сматрати сигурнијим због тога што је онда потребан физички приступ или софистицирани бекдор како би нападач успео.

Правни питања и регулатива

Међународна правна питања везана за сајбер нападе су сложена по својој природи.^[18][19] Не постоји глобална основа за заједничка правила за процену и, на крају, кажњавање сајбер криминала и сајбер криминалаца, а тамо где безбедносне фирме или агенције идентификују сајбер криминалца који стоји иза стварања одређеног злонамерног софтвера или облика сајбер напада, локалне власти често не могу да предузму мере због недостатка закона према којима би могли да гоне.^[20] Доказивање умешаности у сајбер криминал и сајбер нападе такође је озбиљан изазов за све органе за спровођење закона. „Компјутерски вируси се крећу из једне земље у другу, из једне јурисдикције у другу — померајући се по целом свету, користећи чињеницу да нема могућности за глобалну контролу таквих операција.「

У САД, 1986. године 18 USC § 1030, Закон о компјутерским преварама и злоупотребама је кључни закон.^[21] Он забрањује неовлашћен приступ или оштећење заштићених рачунара, како је дефинисано у 18 USC § 1030(e)(2). Године 2013. потписана је уредба 13636 „О побољшању сајбербезбедности критичне инфраструктуре「, која је послужила као подстицај за стварање оквира за сајбербезбедност НИСТ.

14. априла 2016. године Европски парламент и Савет Европске уније усвојили су Општу уредбу о заштити података (GDPR).^[22] GDPR, који је ступио на снагу 25. маја 2018. године, пружа појединцима унутар Европске уније (ЕУ) и Европске економске зоне (ЕЕЗ) право на заштиту личних података. Уредба захтева да сваки субјект који обрађује личне податке укључује заштиту података по подразумеваној вредности и по дизајну. Она такође захтева да неке организације именују службеника за заштиту података (DPO).

У 2017. години Кина је усвојила Закон о сајбер безбедности, камен темељац правног оквира за јачање националне сајбер инфраструктуре. Он је објединио претходне законе и прописе везане за информационе технологије и сајбер безбедност.^[23]

Од 2010. године у Канади је на снази стратегија сајбер безбедности. Она делује као аналог Националној стратегији и плану акција за критичну инфраструктуру. Стратегија је заснована на три основна принципа: осигурање безбедности државних система, осигурање безбедности виталних приватних сајбер система и помагање Канађанима да осигурају своју безбедност на интернету.^[24]