Kas jāzina par IT drošību?

Aizvien biežāk publiskā telpā nonāk informācija par kādas amatpersonas uzlauztiem e-pastiem, nelikumīgi publiskota informācija par klientu datiem, kā arī svešu cilvēku vārdā izsūtītiem e-pastiem. Informācija, kas tiek pasniegta masu mēdijos, ir tikai aisberga redzamā daļa, bet patiesību par nelikumīgām darbībām ar organizāciju rīcībā esošo informācijas varam tikai nojaust. Šādi fakti tiek rūpīgi slēpti.

Tā notiek

Saņēmu "nenormatīvā leksikā rakstīta satura" e-pastu no sava bijušā kolēģa e-pasta adreses. Kad līdzīgu e-pastu saņēmu atkārtoti vēl pēc nedēļas, sazinājos ar bijušo kolēģi, un manas bažas apstiprinājās – kāds ir izmantojis viņa autorizācijas datus un tagad sūta rupjības it kā viņa vārdā. Tā kā e-pasta domēnā figurēja cienījama Latvijas uzņēmuma nosaukums un, pieņemot, ka līdzīga satura mēstules nonāca gan pie bijušajiem darbiniekiem, gan klientiem, partneriem un piegādātājiem, iespējams, šī uzņēmuma reputācija tagad ir apdraudēta.

Sekas

Reputācijas iedragāšana ir mazākais ļaunums, kas var notikt autorizācijas datu noplūdes dēļ. Izmantojot autorizācijas datus, nereti tiek veiktas arī krāpnieciskas darbības, kuru konsekvences ir mērāmas tiešā finansiālā izteiksmē – tiek veikti fiktīvi pasūtījumi, deleģētas nelikumīgas pilnvaras un darīts jebkas cits, kas ietilpst personas kompetencē, kuras autorizācijas dati ir nozagti. Ne mazāk svarīgi ir pasargāt organizācijas informāciju sistēmā uzglabāto fizisko personu datus. Atbildība par Fizisko personu datu aizsardzības likuma (FPDAL) pārkāpumiem saskaņā ar šā likuma 25.pantu ir jāuzņemas informācijas sistēmas pārzinim, kas parasti ir juridiskā persona. Šīs juridiskās personas vadītājs ir tas, kas atbild par to, lai organizācijā tiktu ievērotas normatīvo aktu prasības. Savukārt Krimināllikuma 145. pants nosaka atbildību par prettiesiskām darbībām ar personas datiem. Par šajā pantā minētajām darbībām likums nosaka sodu no 6 minimālajām mēnešalgām līdz pat 5 gadiem brīvības atņemšanas.

Kā sargājam savus datus?

Pieredze liecina, ka vairākums Latvijas uzņēmēju savas un savu darbinieku piekļuves nodrošināšanai uzņēmuma serveriem kā autorizācijas mehānismu izmanto lietotājvārdu un paroli. Visbiežāk lietotāja vārds ir darbinieka e-pasts, kas ir vārds, punkts, uzvārds @ uzņēmuma nosaukums, bet parole – bērnu, suņu un kaķu vārds vai, vēl vienkāršāk, ciparu virkne augošā secībā. Uzņēmumos ar augstāk attīstītu IT izpratnes un infrastruktūras līmeni parolēs tiek izmantoti cipari, lielie un mazie burti, simboli un paroles tiek mainītas reizi kvartālā. Bet vai tas ir pietiekami?

Droša piekļuve uzņēmuma serverim

Pastāv daudz drošākas datu aizsardzības metodes, kuras aizvien vairāk izmanto daudzi uzņēmumi un organizācijas. Viens no populārākajiem un arī vienkāršākajiem risinājumiem ir t.s. divfaktoru jeb divu līmeņu aizsardzība, kas sastāv: pirmkārt, no tā, ko zina cilvēks – lietotāja vārds, parole vai pinkods, otrkārt, no tā, kas cilvēkam pieder – čips jeb visbiežāk viedkarte, kurā šis čips ir ieintegrēts. Sistēmas lietotājam datorā redzamajos autorizācijas logos ir jāievada pierastie dati – parole vai pinkods, bet papildus sistēmai ir jāpievieno karšu lasītājs ar jau minēto viedkarti, kas satur informāciju par lietotāju un autorizē to. Turklāt pastāv vairāki veidi čipa savienošanai ar darbstaciju vai portatīvo datoru – bez viedkartes, kurai būtu nepieciešams speciāls lasītājs, kā čipa nesēju var izmantot arī lasītāju, kas izmēra ziņā līdzinās zibatmiņai, vai arī zibatmiņu ar iebūvētu čipu. Tas ir vēl ērtāk, jo ar USB ligzdām ir aprīkoti pilnīgi visi datori. Tādējādi šāda sistēma padara vienkāršāku autorizācijas procesu, bet, pats svarīgākais, izslēdz iespēju, ka bez darbinieka ziņas (ar speciālu rīku palīdzību nolasīti vai pārtverti lietotāja vārdi un paroles vai neapzināti uz līmlapiņām uzrakstītas paroles) tiek izmantoti viņa dati. Būtiski, ka viedkaršu izmantošana vienlaikus arī ļauj veikt gan datu šifrēšanu, gan e-pasta parakstīšanu un virkni citu darbību, kas uzlabo datu drošību un atvieglo uzņēmumu un organizāciju ikdienas darbu. Ļoti bieži šīs viedkartes apvieno vienā plastikāta kartē, ko uzņēmuma darbinieki izmanto telpu piekļuvei, kas vēl jo vairāk pastiprina uzņēmuma drošību.

Kā pasargāt datus portatīvajā datorā un zibatmiņās?

Ne mazāk svarīgi ir pasargāt datus, kas glabājas zibatmiņās vai portatīvajos datoros. Droši vien pazīstam vismaz kādu, kam ir pazudusi vai nozagta zibatmiņa vai pat portatīvais dators. Arī šādos gadījumos riskus, ka līdz ar zibatmiņas nozaudēšanu tiek pazaudēti arī dati, var mazināt, ja izmanto risinājumus, kur zibatmiņa ir kopā ar čipu (čips no viedkartes, kas iebūvēts zibatmiņā). Visi dati, kas atrodas zibatmiņā, tiek šifrēti. Tādējādi atradējs vai ļaunprātīgais ieguvējs (lasi – zaglis) nevarēs atvērt zibatmiņā esošo saturu bez papildu autorizācijas – paroles vai pinkoda. Tieši tāpat iespējams aizsargāt arī savu portatīvo datoru. Būs iespējams vien ieslēgt, bet tas sāks darboties tikai tad, kad USB ligzdā tiks ievietota zibatmiņa un ievadīti prasītie autentifikācijas parametri.

Par drošu drukāšanu!

Par interneta drošību (vīrusiem u.c.) un datu aizsardzību masu medijos tiek runāts ik pa laikam, taču drošības aspekts pilnībā tiek ignorēts, kad runa ir par tik elementāru un pierastu lietu kā dokumentu drukāšanu. Ļoti bieži, sevišķi lielākās organizācijās un uzņēmumos, kas drukāšanai izmanto t.s. tīkla printeri (vairākas struktūrvienības dokumentu izdruku veic ar vienu drukas iekārtu), dokuments tiek "palaists" uz druku, bet darbinieks aizmirst aiziet un paņemt to. Vai arī drukai beidzies toneris vai tinte, ir iestrēdzis papīrs vai iekārta vienkārši ir "uzkārusies", drukājamie dokumenti ir sakrājušies ierīces atmiņā, un, iekārtas darbībai atjaunojoties, tiek izdrukāti visi uzreiz. Tā rezultātā tie pazūd, īpašnieks nevar atrast savējos utt., bet, galvenais, izdrukātais materiāls var saturēt konfidenciālu informāciju, kas nav paredzēta svešām acīm. Lai šo problēmu risinātu, racionāli ir izmantot jau minētās viedkartes, kas, izmantojot atbilstošu programmatūru, nodrošina, ka vajadzīgais dokuments no drukas iekārtas "iznāks" tikai tajā brīdī, kad autorizētais lietotājs būs klāt. Turklāt ar šo programmatūru paralēli ir iespējams kontrolēt arī drukas apjomus, novērst nelietderīgas izdrukas un tādējādi pārvaldīt uzņēmuma un organizācijas darbinieku darba efektivitāti. Divfaktoru autentifikācija šobrīd ir viens no drošākajiem datu drošības un aizsardzības veidiem, kas ne tikai minimizē iespējas, ka jūsu uzņēmuma vai organizācijas dati nokļūs konkurentu vai nelabvēļu rokās, bet arī ievērojami samazina uzņēmuma darbības izmaksas. _____________ * Autors: Raitis Škutāns, datu drošības uzņēmuma SIA "IDK Sistēmas" valdes priekšsēdētājs ** Raksts pārpublicēts no žurnāla "Bilance"