Upravljanje zaporkama je ključno za cyber sigurnost

14.8.2025.

Autor: Mike Mullane

IEC vijest na engleskom jeziku možete pročitati ovdje

U parodiji Mela Brooksa na „Ratove zvijezda“, „Svemirskim šejtanima“ (Spaceballs), „12345“ je kombinacija koja štiti „zračni štit“ planeta Druidija. Kada se to otkrije, nespretni zlikovac filma Dark Helmet eksplodira u nevjerici: „To je najgluplja kombinacija koju sam ikada čuo u životu! To je stvar koju bi samo idiot stavio na svoj prtljag!“

Ta scena iz „Svemirskih šejtana“ naglašava vrlo realan i uporan problem ljudske lijenosti i predvidljivosti pri izboru zaporki. Iznenađujuće, „12345“ i njezin rođak „password“ i dalje su među najčešće korištenim zaporkama danas.

U „Svemirskim šejtanima“ je ozračje izmišljenog planeta u opasnosti. U stvarnom životu, to su naši bankovni računi, poslovni sustavi i osobni podatci.

Pa ipak, mnogi sigurnost zaporki tretiraju kao nešto sporedno, ne shvaćajući koliko je toga u igri dok ne bude prekasno. To je bio slučaj prošlog mjeseca, primjerice, kada je jedna slaba zaporka dovela do zatvaranja jedne britanske kompanije i gubitka 700 radnih mjesta.

Prema izvješćima, hakeri su iskoristili jednu ranjivu zaporku, dobivši pristup osnovnoj IT infrastrukturi kompanije. Pošto je osoblju bio blokiran pristup ključnim podatcima, operacije su obustavljene.

Nemajući mogućnost da plati otkupninu i bez pristupa podatcima, kompanija je propala.

Cyber sigurnost za IT sustave

Međunarodni standard ISO/IEC 27002[1] nudi mnoštvo praktičnih savjeta o upravljanju zaporkama u IT sustavima. On naglašava važnost jakih, jedinstvenih zaporki, sigurne distribucije i redovite promjene zaporki radi zaštite korisničkih naloga.

ISO/IEC 27002 identificira tri ključne oblasti za upravljanje zaporkama: kreiranje i distribucija zaporki, odgovornosti korisnika i sistemi za upravljanje zaporkama:

Kreiranje i distribucija zaporki

  • Zaporke trebaju biti složene, jedinstvene i ne smiju se lako pogoditi.
  • Zaporke se moraju sigurno prenositi korisnicima.
  • Identitet korisnika treba se provjeriti prije nego što mu se daju podatci o zaporci.
  • Podrazumijevane zaporke koje daju dobavljači moraju se odmah promijeniti.

Odgovornosti korisnika

  • Korisnici moraju čuvati zaporke u tajnosti i ne smiju ih dijeliti s drugima.
  • Zaporke treba brzo promijeniti ako su kompromitirane.
  • Korisnici bi trebali kreirati složene zaporke koristeći kombinaciju karaktera.

Sustav za upravljanje zaporkama

  • Korisnici bi trebali moći birati i mijenjati svoje zaporke.
  • Preporučuje se višefaktorska autentifikacija.
  • Zaporke bi trebale redovito isteći, naročito nakon sigurnosnih incidenata ili promjene zaposlenih.
  • Trebalo bi spriječiti ponovnu uporabu prethodnih zaporki.
  • Zaporke bi se trebale skladištiti i prenositi sigurno.

Vrijedi istaknuti da savjeti u međunarodnim standardima uvijek teže biti realistični i praktični. Primjerice, ISO/IEC 27002 upozorava na opasnosti „zamora od zaporki“, napominjući da prečeste promjene zaporki mogu biti frustrirajuće i mogu dovesti do slabijih zaporki.

Cyber sigurnost za operativnu tehnologiju (OT)

IEC 62443[2] je najpoznatiji svjetski standard za cyber sigurnost kritične infrastrukture i drugih industrijskih sustava za automatizaciju i kontrolu (IACS). Ova operativna tehnologija (OT) je nekada bila izvan mreže, ali je sada povezana s nizom monitora, senzora i drugih uređaja putem industrijskog interneta stvari (IIoT).

IEC 62443-3-3[3] je mjesto gdјe se može pronaći većina savjeta o mjerama za osiguranje integriteta i sigurnosti zaporki. On uključuje smjernice za složenost, jedinstvenost, sigurno skladištenje i redovito ažuriranje.

Razine sigurnosti opisane u IEC 62443 izravno utječu na upravljanje zaporkama. Jednostavno rečeno, što je viša razina sigurnosti, to su strožiji zahtjevi za upravljanje zaporkama.

Načelo najmanje privilegije

Jedan od najvažnijih savjeta, koji se nalazi i u obitelji standarda ISO/IEC 27000 i u seriji IEC 62443, odnosi se na „načelo najmanje privilegije“. Ideja je da korisnici trebaju imati pristup mreži i mrežnim uslugama samo onoliko koliko je neophodno za obavljanje njihovog posla.

Ali čak i ako su IT profesionalci vaše organizacije primijenili načelo najmanje privilegije, i dalje morate izabrati pravu zaporku. Samo zapamtite da ako bi Dark Helmet to nazvao „najglupljom kombinacijom koju je ikada čuo“, vrijeme je da izaberete bolju.

 


[1] Institut za standardizaciju Bosne i Hercegovine je objavio standard BAS EN ISO/IEC 27002:2024 Informacijska sigurnost, kibernetička sigurnost i zaštita privatnosti - Kontrole informacijske sigurnosti, putem Tehničkog komiteta BAS/TC 1, Informaciona tehnologija.

[2] Institut za standardizaciju Bosne i Hercegovine je objavio standarde iz serije IEC 62443.

[3] Institut za standardizaciju Bosne i Hercegovine je objavio:

·         standard BAS EN IEC 62443-3-3:2020 Industrijske komunikacijske mreže – Sigurnost mreže i sustava – Dio 3-3: Zahtjevi za sigurnost sustava i razine sigurnosti, putem Tehničkog komiteta BAS/TC 51, Automatika;

·         korigendum  BAS EN IEC 62443-3-3/Cor1:2021 Industrijske komunikacijske mreže - Sigurnost mreže i sustava - Dio 3-3: Sigurnosni zahtjevi za sustav i razine sigurnosti, putem Tehničkog komiteta BAS/TC 51, Automatika.