Upravljanje lozinkama je ključno za cyber sigurnost

14.8.2025.

Autor: Mike Mullane

IEC vijest na engleskom jeziku možete pročitati ovdje

U parodiji Mela Brooksa na „Ratove zvijezda“, „Svemirskim šejtanima“ (Spaceballs), „12345“ je kombinacija koja štiti „zračni štit“ planete Druidija. Kada se to otkrije, nespretni zlikovac filma Dark Helmet eksplodira u nevjerici: „To je najgluplja kombinacija koju sam ikada čuo u životu! To je stvar koju bi samo idiot stavio na svoj prtljag!“

Ta scena iz „Svemirskih šejtana“ naglašava vrlo realan i uporan problem ljudske lijenosti i predvidljivosti pri izboru lozinki. Iznenađujuće, „12345“ i njen rođak „password“ i dalje su među najčešće korištenim lozinkama danas.

U „Svemirskim šejtanima“ je atmosfera izmišljene planete u opasnosti. U stvarnom životu, to su naši bankovni računi, poslovni sistemi i lični podaci.

Pa ipak, mnogi sigurnost lozinki tretiraju kao nešto sporedno, ne shvatajući koliko je toga u igri dok ne bude prekasno. To je bio slučaj prošlog mjeseca, naprimjer, kada je jedna slaba lozinka dovela do zatvaranja jedne britanske kompanije i gubitka 700 radnih mjesta.

Prema izvještajima, hakeri su iskoristili jednu ranjivu lozinku, dobivši pristup osnovnoj IT infrastrukturi kompanije. Pošto je osoblju bio blokiran pristup ključnim podacima, operacije su obustavljene.

Nemajući mogućnost da plati otkupninu i bez pristupa podacima, kompanija je propala.

Cyber sigurnost za IT sisteme

Međunarodni standard ISO/IEC 27002[1] nudi mnoštvo praktičnih savjeta o upravljanju lozinkama u IT sistemima. On naglašava važnost jakih, jedinstvenih lozinki, sigurne distribucije i redovne promjene lozinki radi zaštite korisničkih naloga.

ISO/IEC 27002 identificira tri ključne oblasti za upravljanje lozinkama: kreiranje i distribucija lozinki, odgovornosti korisnika i sistemi za upravljanje lozinkama:

Kreiranje i distribucija lozinki

  • Lozinke trebaju biti složene, jedinstvene i ne smiju se lako pogoditi.
  • Lozinke se moraju sigurno prenositi korisnicima.
  • Identitet korisnika treba se provjeriti prije nego što mu se daju podaci o lozinci.
  • Podrazumijevane lozinke koje daju dobavljači moraju se odmah promijeniti.

Odgovornosti korisnika

  • Korisnici moraju čuvati lozinke u tajnosti i ne smiju ih dijeliti s drugima.
  • Lozinke treba brzo promijeniti ako su kompromitovane.
  • Korisnici bi trebali kreirati složene lozinke koristeći kombinaciju karaktera.

Sistem za upravljanje lozinkama

  • Korisnici bi trebali moći da biraju i mijenjaju svoje lozinke.
  • Preporučuje se višefaktorska autentifikacija.
  • Lozinke bi trebale redovno isteći, naročito nakon sigurnosnih incidenata ili promjene zaposlenih.
  • Trebalo bi spriječiti ponovnu upotrebu prethodnih lozinki.
  • Lozinke bi se trebale skladištiti i prenositi sigurno.

Vrijedi istaći da savjeti u međunarodnim standardima uvijek teže da budu realistični i praktični. Naprimjer, ISO/IEC 27002 upozorava na opasnosti „zamora od lozinki“, napominjući da prečeste promjene lozinki mogu biti frustrirajuće i mogu dovesti do slabijih lozinki.

Cyber sigurnost za operativnu tehnologiju (OT)

IEC 62443[2] je najpoznatiji svjetski standard za cyber sigurnost kritične infrastrukture i drugih industrijskih sistema za automatizaciju i kontrolu (IACS). Ova operativna tehnologija (OT) je nekada bila van mreže, ali je sada povezana s nizom monitora, senzora i drugih uređaja putem industrijskog interneta stvari (IIoT).

IEC 62443-3-3[3] je mjesto gdјe se može pronaći većina savjeta o mjerama za osiguranje integriteta i sigurnosti lozinki. On uključuje smjernice za složenost, jedinstvenost, sigurno skladištenje i redovno ažuriranje.

Nivoi sigurnosti opisani u IEC 62443 direktno utiču na upravljanje lozinkama. Jednostavno rečeno, što je viši nivo sigurnosti, to su strožiji zahtjevi za upravljanje lozinkama.

Princip najmanje privilegije

Jedan od najvažnijih savjeta, koji se nalazi i u porodici standarda ISO/IEC 27000 i u seriji IEC 62443, odnosi se na „princip najmanje privilegije“. Ideja je da korisnici trebaju imati pristup mreži i mrežnim uslugama samo onoliko koliko je neophodno za obavljanje njihovog posla.

Ali čak i ako su IT profesionalci vaše organizacije primijenili princip najmanje privilegije, i dalje morate da izaberete pravu lozinku. Samo zapamtite da ako bi Dark Helmet to nazvao „najglupljom kombinacijom koju je ikada čuo“, vrijeme je da izaberete bolju.

 


[1] Institut za standardizaciju Bosne i Hercegovine je objavio standard BAS EN ISO/IEC 27002:2024 Informaciona sigurnost, kibernetička sigurnost i zaštita privatnosti - Kontrole informacione sigurnosti, putem Tehničkog komiteta BAS/TC 1, Informaciona tehnologija.

[2] Institut za standardizaciju Bosne i Hercegovine je objavio standarde iz serije IEC 62443.

[3] Institut za standardizaciju Bosne i Hercegovine je objavio:

·         standard BAS EN IEC 62443-3-3:2020 Industrijske komunikacione mreže – Sigurnost mreže i sistema – Dio 3-3: Zahtjevi za sigurnost sistema i nivoi sigurnosti, putem Tehničkog komiteta BAS/TC 51, Automatika;

·         korigendum BAS EN IEC 62443-3-3/Cor1:2021 Industrijske komunikacijske mreže – Sigurnost mreže i sistema – Dio 3-3: Sigurnosni zahtjevi za sistem i nivoi sigurnosti, putem Tehničkog komiteta BAS/TC 51, Automatika.