Drošība virtuālajā vidē

Principi, kas jāievēro, nodrošinot informācijas aizsardzību, pamatā neatšķiras no principiem, kas darbojas citos drošības pasākumos. Tos var ilustrēt ar sadzīves piemēriem: pat vislabākā materiāla durvis ar visrežģītāko atslēgu nepaglābs no iekļūšanas telpā, ja atslēga būs brīvi pieejama arī svešiniekiem; tāpat vislabākās riepas nepalīdzēs, ja automobilim kārtīgi nedarbosies bremžu sistēma. Tādus piemērus varētu uzskaitīt daudz.

Rūpējoties par informācijas sistēmu aizsardzību, organizācijas galvenokārt fokusējas uz ārējiem apdraudējumiem, piemēram, datorvīrusiem, hakeriem, kibernoziedzniekiem, aizmirstot vai par zemu novērtējot iekšējos riskus. Vadība daudz labprātāk tērē naudu dažādu tehnoloģiju iegādei, nevis savu darbinieku atbilstošai sagatavošanai. Kaut arī viss liecina par to, ka lielāku postu nodara tieši darbinieku neatbilstoša uzvedība, pārskatīšanās, nepietiekama uzmanība un organizācijas kultūra, kas ir pretrunā ar esošajiem standartiem.

Pat visdārgākie ugunsmūri, aizsardzības sistēmas un labākās antivīrusu programmas nespēj garantēt Jūsu tīkla un informācijas sistēmu 100% drošību, jo visa šī procesa būtiska sastāvdaļa ir cilvēks. Jebkura drošības pasākuma ieviešana nozīmē neērtību, papildu darbību, papildu pienākumu. Piemēram, ierīkojot dzīvoklī signalizāciju ir jārēķinās ar to, ka katru reizi, ejot prom no mājas vai pārnākot mājās, signalizācija ir jāpieslēdz vai jāatslēdz. Un ir tikai cilvēciski aizmirst signalizāciju ieslēgt – tas ir cilvēka faktors.

Drošība jeb, precīzāk, drošības sajūta cilvēkam ir būtiski nepieciešama. Turklāt nav nozīmes, vai runa ir par drošību reālā vidē vai par drošību virtuālā vidē jeb kibertelpā. Taču prakse parāda, ka kibertelpā jeb virtuālā vidē cilvēki nereti kļūst daudz vieglprātīgāki. Šodien Latvijā praktiski jebkurš izmanto vai tam ir iespēja izmantot mūsdienu tehnoloģiju sasniegumu priekšrocības: mobilo telefonu, e-pastu, Skype, internetu informācijas meklēšanai, interneta banku naudas pārskaitījumiem. Tomēr jebkurā no šīm darbībām, kuras nu jau ir pierastas, mēs pakļaujam sevi riskam – riskam, ka mūsu sarunas tiks noklausītas vai e-pasta vēstules pārtvertas, mūsu naudai bankas kontā piekļūs kāda nepiederoša persona, mūsu datorā esošos slepenos dokumentus izzags konkurentu nolīgts hakeris. Ja savu rokassomiņu un kabatu saturu piepildītā trolejbusā esam iemācījušies sargāt, tad pilnībā aizmirstam par nepieciešamo uzmanību, kad runa ir par tādu elementāru piesardzības pasākumu kā paroles aizsardzību, lai tā nebūtu viegli uzminama un nenonāktu nepiederošas personas rīcībā.

Drošības politikas pamatprincipi nosaka, ka parolei jābūt grūti uzminamai, tā ir jāmaina pēc noteikta laika sprīža, tai jāsatur noteikts simbolu un ciparu skaits. Turklāt ieteicams katram resursam izmantot citu paroli. Protams, daudzas sarežģītas paroles ir grūti atcerēties, tāpēc daži lietotāji savas paroles pieraksta uz lapiņām, kuras pēc tam mētājas pa galdu, stāv pielīmētas pie monitora vai plānotājos. Lietotājvārdus un paroles mēdz glabāt failā uz sava datora, vai flash diskā. Pats par sevi fakts, ka parole tiek pierakstīta, nav nekas slikts. Taču ir slikti, ja ir skaidrs, kam tā parole ir paredzēta. Līdzīgi ir ar PIN kodu. Ja pierakstāt maksājuma kartes PIN kodu uz lapiņas un tad to lapiņu pielīmējat kartei otrā pusē, tad gadījumā, ja pazaudēsiet karti, atradējam nebūs grūti piekļūt uz kartes esošajiem naudas līdzekļiem, jo rīks, kā to izdarīt – PIN kods – ir pakalpīgi pievienots kartei.

Bieži cilvēku nevēlēšanos ievērot visus drošības pasākumus sekmē arī tas, ka ieviestās drošības procedūras ir tik sarežģītas, ka neērtības, kas rodas no to ievērošanas, būtiski pārsniedz cilvēku bailes no draudiem. Ja uz papīra pierakstītās ikdienā nepieciešamās paroles tiek glabātas seifā, kuru atslēgt var tikai trīs cilvēki, vienlaicīgi slēdzenēs ievietojot atslēgas, kuras glabājas citā seifā, kuram pieeja ir citiem trim cilvēkiem, kuriem, lai atslēgtu seifu, katram jāievada 21 ciparu kombināciju, tad varbūtība, ka papīrs ar parolēm tiks glabāts galda atvilktnē, ir diezgan liela. Tāpēc, ieviešot drošības politiku attiecībā uz pieejas tiesībām, nevajadzētu no viena grāvja nonākt otrā, bet atrast savam uzņēmumam vispiemērotāko modeli.

Jo nozīmīgāka ir sistēma, jo stingrāka drošības politika jāpielieto un jo vairāk laika un līdzekļu jāiegulda cilvēku sagatavošanā. Ikvienas sistēmas darbu un aizsardzību nodrošina cilvēks un nevis sistēma pati par sevi.