Rīks IDRE (Informācijas Drošības Risku Eksperts)

Datorlietotājiem bez padziļinātām IT (informācijas tehnoloģiju) zināšanām nereti ir grūti orientēties plašajā drošības padomu klāstā un izvērtēt, vai un ko vajag tieši man? Cilvēkiem ir arī dažāda attieksme pret riskiem – kas vienam liekas sīkums, citam ir liela problēma. Neskaidrās situācijās nereti meklējam padomu pie draugiem, bet arī draugiem ne vienmēr ir pietiekami zināšanu.

Rīks IDRE izveidots ar mērķi palīdzēt orientēties katram būtiskajos informācijas drošības riskos, sniedzot padomus, ko varbūt vajadzētu uzlabot, lai samazinātu riska iestāšanās iespējamību. Tas paredzēts datorlietotājiem, kas nav IT profesionāļi.

Lai rīks būtu pietiekami vienkāršs, tas ar vienas aptaujas palīdzību vērtē situāciju "viens lietotājs lieto vienu datoru". Ja datoru izmanto vairāki lietotāji vai Tu pats lieto vairākus datorus, tad jautājumi jāatbild katram lietotājam un par katru datoru atsevišķi.

Rīks IDRE nepēta lietotāja datoru, bet uzdod jautājumus, kādiem mērķiem dators tiek lietots, kādu operētājsistēmu un tīkla pieslēguma veidu izmanto. Lietotājam jāatbild arī uz jautājumiem par izmantotajiem drošības risinājumiem, zināšanām un prasmēm. Dažiem jautājumiem ir iespējama arī atbilde 'Nezinu', kas tālākā novērtēšanā līdzvērtīga 'Nav'.

Tālāk lietotājs pats nosaka, cik liela ietekme ir katram no riskiem, ko IDRE atzinusi par iespējamiem konkrētajam lietotājam. Jāatbild uz jautājumu: "Iedomājies, ka minētais notikums būtu noticis. Cik svarīga Tev ir tā negatīvā ietekme: (1 – nemaz neuztrauc, 2 – gan jau pārdzīvošu, 3 – būtiska negatīva ietekme)?". Lai lietotājam būtu vieglāk, eksperti ir novērtējuši riskus, sniedzot biežāk lietotas vērtības ieteikumu, taču lietotājs ir aicināts to mainīt, ja viņa attieksme ir citāda.

Risku vērtības aprēķins notiek sistēmā automātiski, riska vērtība var būt augsta, vidēja vai zema. Katram augstam vai vidējam riskam tiek sniegts padoms, ko vajadzētu darīt tā samazināšanai, ja šobrīd īstenotie drošības pasākumi neatbilst Tev vēlamajam drošības līmenim elektroniskajā vidē.

Portāla esidross.lv apmeklētāji ir aicināti aizpildīt anketu, lai iegūtu sev noderīgu informāciju par to, kas IT drošības jomā būtu jāpilnveido. Ja vēlies palīdzēt rīka uzlabošanā, sniedz savus ieteikumus vai jautājumus kā atsauksmi vai komentāru.

Novērtēt riskus

Kas lācītim vēderā

Rīks IDRE ir viens no pētījuma "Informācijas drošības apzināšanās sistēma ikdienas datorlietotājam" rezultātiem. Turpinājumā pavisam īss ieskats rīka uzbūves pamatos, tomēr, lai piedalītos aptaujā un saņemtu padomus, bez tālāk rakstītās informācijas var iztikt.

Būtiska loma rīkā IDRE ir ekspertu sagatavotai informācijai, balstoties uz statistikas datiem, publicētiem materiāliem un savu pieredzi. Ir sagatavoti jautājumu saraksti ar atbilžu variantu izvēli. Saraksts ietver datora izmantošanas mērķus, izmantotās tehnoloģijas. Ir apkopota informācija par iespējamiem datorlietotāju zaudējumiem, biežākajiem apdraudējumiem un tehnoloģiju ievainojamībām saskaņā ar publicētiem apskatiem un pieredzi.

Balstoties uz apdraudējumu un ievainojamību pārskatu, tiek sagatavots ikdienas datorlietotājam būtisku risku saraksts. Konkrētam lietotājam aktuālo risku sarakstu nosaka, izmantojot iespējamo risku matricu, piemēram, ja lietotājs izmanto datoru mērķim M1, tad viņam aktuāli var būt riski R1, R2, R3, R4, R7, R8, ja lietotājs izmanto tehnoloģiju IP1, tad viņam aktuāls var būt risks R11. Katram riskam ir noteikta pieredzē balstīta biežāk iespējamā ietekmes vērtība (augsta – 3, vidēja – 2,
zema – 1).

Informāciju par iespējamām vadīklām (controls) (tehniskām, organizatoriskām) apkopo saskaņā ar publicētiem apskatiem, piemēram, programmatūras ražotāju vietnēs, un pieredzi. Ir sagatavots jautājumu saraksts ar atbilžu variantu izvēli, t.sk. noteikts, kuras vadīklas ir aktuālas konkrētām lietotām tehnoloģijām, piemēram, dažām operētājsistēmām daļa apdraudējumu nav aktuāli. Balstoties uz informāciju par izmantotajiem rīkiem un drošības pasākumiem, katram riskam tiek aprēķināta iespējamības vērtība (augsta – 3, vidēja – 2, zema – 1).

Riska vērtība tiek veidota kā ietekmes vērtības un iespējamības vērtības reizinājums (augsta – 9, vidēja – 4,6, zema – 1,2,3). Katram riskam ir sagatavots ieteikumu pāris, ja konkrētā riska vērtība ir augsta vai vidēja. Piemēram, ieteikums, ja risks ir ar augstu ietekmi: "R3 Ieteikums: Noziedznieki ne vienmēr uzreiz sabojā vai nozog datus no zombētiem datoriem, tomēr nekad nevar zināt, kad tas notiks. Turklāt ir iespējams, ka zombētais dators tiek iesaistīts uzbrukumā citiem datoriem, un izmeklēšanas gaitā var rasties problēmas tā īpašniekam. Noteikti jāpilnveido aizsardzības programmas (antivīruss, ugunsmūris) un jāuzstāda labākas paroles, tas jāveic cik vien iespējams drīz.". Ieteikums, ja risks ir ar vidēju ietekmi "R7 Ieteikums: Nevienas darbības Internetā nav anonīmas un pēdas paliek arī izdzēstai informācijai, bet aizvien biežāk cilvēki publisko informāciju, "parakstot" to ar savu vārdu. Ir iespējams izmantot informāciju, ko pats esi publicējis, piemēram, par ieradumiem, hobijiem utml., lai iegūtu uzticību un izkrāptu naudu. Ir vērts atcerēties parunu "septiņreiz nomēri pirms nogriez" arī attiecībā uz informācijas publicēšanu Internetā (sociālajos tīklos). Ja labprāt publisko daudz informācijas, uzmanies no nepazīstamiem saziņas partneriem, kas daudz zina par Tevi."

Novērtēt riskus