OZ 2015/2

102 ORGANIZACIJA ZNANJA 2015, LETN. 20, ZV. 2 Predstavil je tudi nekaj njihovih izkušenj z napadi, saj sami opravljajo simulacije napadov z uporabo socialnega inženiringa. Poudaril je, da se večina podjetij pri nas ne odloča zanje, saj so mnenja, da preizkusa ne bodo uspeš- no opravili ali da bodo odkrili precejšnje pomanjkljivosti. Pri simulacijah napadov je uspešnost kar 50-odstotna. Kot dobra praksa se je izkazalo združevanje usposablja- nja in ozaveščanja s predhodno simulacijo napada, saj so uporabniki v takšnih primerih bolj dovzetni za težave in nevarnosti. Zavedati se moramo, da 100-odstotne varnosti ni, lahko pa se pred socialnim inženiringom zaščitimo z izobraževanjem o nevarnostih v kombinaciji s simula- cijami napadov. Za konec je podal še nekaj nasvetov in priporočil za uporabnike glede: • gesel (dolžina je pomembna, morajo biti večnivojska in različna za posamezne dostope), • certifikatov in pametnih kartic ter njihove uporabe (ne smemo jih puščati v terminalih), • ozaveščanja zaposlenih o napadih z uporabo social- nega inženiringa (zaposleni naj ne odpirajo vseh e- sporočil, ne posredujejo podatkov preko telefona in ne vpisujejo gesel na sumljivih straneh). Še zanimivost: spletna stran na spodnji povezavi prikazu- je napade v realnem času: http://map.ipviking.com/?_ga= 1.106938115.1477390587.1388686673. Tomaž Klobučar, Dušan Gabrijelčič, Institut Jožef Stefan Vseevropska infrastruktura STORK 2.0 in čezmejne e-storitve na podlagi e-identitet Leta 2014 je bila sprejeta nova pravna podlaga za uvedbo varnih elektronskih transakcij med državami Evropske unije STORK 2.0, ki je nadgradnja že prej sprejete infras- trukture STORK (Secure idenTity acrOss boRders linKed) in je razširila mehanizme overjanja digitalnih potrdil tudi na pravne osebe. Infrastruktura temelji na ogrodju SAML (Security Assertion Markup Language) in združuje ponud- nike identitete, storitev in atributov preko nacionalnih voz- lišč. Omogoča, da se npr. kandidat iz Slovenije, ki je študi- ral v eni od držav EU, prijavi na razpis ponudnika znotraj EU. Najprej sporoči ime matične države. Z digitalnim potrdilom se preko nacionalnega centra za overitev poveže s centrom države gostiteljice, ki preveri atribute v državi, kjer je študiral (nacionalni ponudnik atributov) in glede na to odobri priložene podatke (kvalifikacije). Zagotovljeni sta zasebnost in varnost, ker se vsi zahtevani podatki posre- dujejo z vednostjo kandidata. V Sloveniji kot nacionalni center za overjanje nastopa Ministrstvo za javno upravo, od ponudnikov akademskih atributov pa je trenutno vključena Fakulteta za računalni- štvo in informatiko Univerze v Ljubljani, v pripravi pa je tudi vključitev Evidenčnega in analitskega informacijske- ga sistema za visoko šolstvo (eVŠ). Sistem eVŠ vsebuje informacije o vseh študijskih programih in vpisanih štu- dentih na slovenskih visokošolskih organizacijah. Glavni koordinator aktivnosti je Institut Jožef Stefan, ki je vzpo- stavil tri od petih čezmejnih pilotskih storitev STORK 2.0 na področju e-izobraževanja: virtualno učno okolje, ano- nimne e-ankete in portal za objavo prostih delovnih mest. Storitve so dostopne na naslovu http://www.e5.ijs.si/ stork-services/. Pričakujejo, da se bodo v bližnji prihod- nosti v infrastrukturo vključile tudi druge visokošolske ustanove iz Slovenije. Infrastruktura je uporabna tudi na drugih področjih. Podjetjem bodo preverjena elektronska dokazila študentov in iskalcev zaposlitve olajšala admi- nistrativne postopke, študentje in diplomanti pa lahko s svojimi digitalnimi potrdili dostopajo do storitev v kateri koli državi EU. Boris Ovčjak, Mitja Krajnc, Marjan Heričko, Univerza v Mariboru, Fakulteta za elek- trotehniko, računalništvo in informatiko mBaaS – prihodnost mobilnega razvoja Predstavili so enega od pristopov selitve poslovne logike iz mobilnih naprav v oblak, mBaaS (mobile Back-end as a Service). Ponudniki omogočajo storitve, ki temeljijo na specifičnih knjižnicah za posamezne mobilne platforme; na voljo je tudi fleksibilni vmesnik REST API (Represen- tational State Transfer Application Programming Interfa- ce) za izdelavo povezanih mobilnih aplikacij. Ne glede na način ponujanja storitev je skupna točka ponudnikov mBaaS lajšanje razvoja z možnostjo neposredne integra- cije različnih tehnologij, ki so na voljo preko prilagojenih programskih vmesnikov (API) ali programskih ogrodij (SDK). Ponudniki storitev večinoma ponujajo dostop do njih tudi preko protokola REST. Izbrali so Microsoftovo platformo Azure Mobile Servi- ces, ki omogoča razvoj mobilnih aplikacij za platforme iOS, Android in Windows. Podprte so funkcionalnosti upravljanja s podatki v oblaku, avtentikacija uporabnikov z zunanjimi storitvami in pošiljanje potisnih sporočil. Sis- tem ni omejen samo na Microsoftove tehnologije, ampak omogoča tudi razvoj z uporabo skriptnega jezika JavaScript. Podobno velja tudi za shranjevanje podatkov, za kar je omogočena uporaba podatkovne baze Azure SQL in dru- gih. Izdelali so vzorčno aplikacijo (zaledje je platforma .NET), do katere je bilo možno dostopati s platform iOS in Windows Phone8. Aplikacija je zbirala prispevke s konference, jih objavljala in omogočala sporočanje preko potisnih sporočil (angl. push notifications ), če se je poja- vila kakšna sprememba. Omogočala je tudi avtentikacijo posameznih udeležencev z določitvijo opravil, ki so jim na voljo (branje, spreminjanje). POROČILO