Datu drošība uzņēmumā

Attīstoties telekomunikācijas tehnoloģijām, cilvēkiem paveras neskaitāmas iespējas, kā sazināties. Tas atvieglo arī dažādu uzņēmumu darbību, tomēr tajā pašā laikā rada tiem jaunas problēmas. Kibernoziedznieki atklāj arvien jaunus paņēmienus, kā gūt labumu no nelieliem uzņēmumiem, to darbinieku nezināšanas, kā arī kaitēt uzņēmumu reputācijai, izmantojot to vārdu, lai piekļūtu klientiem.

Tādēļ šoreiz dziļāk apskatīsim iespējamās problēmas tieši no uzņēmumu skatu punkta, kaut arī visus padomus, protams, ir vērts ņemt vērā jebkuram.

Uzņēmuma rīcībā esošie dati

Reizēm kompānijas, it īpaši nelielas, neiedomājas, ka tās rīcībā atrodas klientu privātie dati, kas nedrīkst nākt atklātībā. Tādi ir, piemēram, klientu vārds, personas kods, dzīves vieta un it īpaši finanšu informācija. Bieži vien šiem datiem spēj piekļūt vairāki darbinieki no dažādiem datoriem. Situācija, kad uzņēmuma dati vai to klientu informācija nonāk nepareizās rokās, var radīt gan finansiālus zaudējumus, gan arī sabojāt firmas reputāciju. Turklāt fizisko personas datu aizsardzības likums paredz to, ka ikvienai fiziskajai personai ir  tiesības uz savu personas datu aizsardzību. Jebkāda personu datu izplatīšana ir likumpārkāpums, ja tam nepiekrīt datu īpašnieki. To uzrauga Datu Valsts Inspekcija un par to var piešķirt naudas sodu līdz pat desmit tūkstošiem latu.

Protams, ikvienam datoram, ar ko strādā darbinieki, ir jābūt aprīkotam ar ugunsmūri un pretvīrusu programmatūru, kā arī nepieciešams regulāri atjaunot operētājsistēmu. Vislabāk ir, ja datorus regulāri pārbauda un atjaunina datortīkla administrators, bet, ja nav iespējams nodrošināt šādu speciālistu, tad būtu vismaz vēlams atgādināt par nepieciešamajiem drošības pasākumiem darbiniekiem.

Privātuma aizsardzības politika

Vai Jūsu uzņēmums ir izveidojis datu privātuma aizsardzības politiku? Vai ar to tiek iepazīstināti visi klienti? Vai pašiem uzņēmuma darbiniekiem ir skaidrs, kuri dati ir konfidenciāli, kurus var izpaust?

Šie ir daži no jautājumiem, uz kuriem būtu vēlams rast atbildi, ja vēlaties saprast, par kuru datu drošību būtu īpaši jārūpējas un kā to darīt. Apskatīsim pāris ieteikumus svarīgāko datu aizsardzībai.

  • Apdomājiet, vai visiem, kas spēj piekļūt konkrētiem datiem, šī piekļuve ir vajadzīga. Jo mazāks skaits cilvēku spēs apskatīt, rediģēt un darboties ar konkrētiem datiem, jo mazāks ir risks, ka ar tiem var notikt kaut kas nevēlams.
  • Veidojiet datu rezerves kopijas! Par datu rezervju kopiju vairāk varat izlasīt mūsu rakstā „Backup jeb datu rezerves kopijas”. Īsumā var teikt, ka regulāra datu kopiju veidošana var glābt uzņēmumu no ļoti nepatīkamām situācijām, piemēram, no datu pazaudēšanas failu neatgriezenisku bojājumu rezultātā. Nozīmējiet firmā vienu cilvēku, kurš ir atbildīgs par to, lai visu svarīgāko datu kopijas tiktu regulāri atjauninātas (no uzņēmuma darbības atkarīgs, cik biežs Jūsu firmai šis process ir nepieciešams).
  • Izveidojiet paroli vai cita veida aizsardzību svarīgiem datiem. Ja tiek veidota parole, tai, kā vienmēr, jābūt pēc iespējas drošākai – vismaz 10 simbolu garai, sastāvošai no burtiem un cipariem, randomizētai. Vēl pastāv iespēja izmantot kaut ko, kas ir tikai konkrētiem darbiniekiem – pirkstu nospiedumu, ID karti.  www.idksistemas.lv ir viena no mājas lapām, kur var vairāk izlasīt par veidiem kā nodrošināt datu drošību – autorizācijas veidiem, viedkaršu sistēmām, utt.
  • Šifrējiet konfidenciālos datus! Šifrējot datus, Jūs tos padarīsiet neizlasāmus nepiederošām personām, kurām nav attiecīgās šifrēšanas atslēgas. Arī ja datorā būs ļaundabīga programmatūra, tā visdrīzāk nespēs identificēt šos datus. 10 populārāko šifrēšanas programmatūru cenas un salīdzinājumu varat apskatīt http://encryption-software-review.toptenreviews.com/. Šīs programmatūras gan ir maksas, bet ir iespējams atrast arī dažādas bezmaksas šifrēšanas programmatūras, piemēram, http://www.truecrypt.org/

Diemžēl jāsaka, ka bieži vien lielākais drauds datu drošībai ir uzņēmuma darbinieku neuzmanība un nezināšana. Tādēļ ir nepieciešams visus darbiniekus informēt par to, cik svarīgi dati ir viņu rīcībā. Kā arī ir nepieciešams darbiniekus iepazīstināt un likt uzmanīties no tāda uzbrukuma veida kā sociālās inženierijas.

Izglītojiet darbiniekus par sociālo inženieriju

Sociālā inženierija ir manipulēšana ar cilvēkiem, lai tie veiktu zināmas darbības vai izpaustu konfidenciālu informāciju, tehniski nepiekļūstot datoram. Sociālās inženierijas paņēmieni var būt visdažādākie, jo tos ierobežo tikai uzbrucēju iztēle.

Sociālā inženierija bieži sastopama tieši biznesa vidē, jo tur uzbrucēji saskata lielākās iespējas gūt peļņu. Ļoti bieži uzņēmumu darbinieki nav gana apmācīti un informēti par šādiem draudiem, tādēļ tieši caur tiem paveras iespējas piekļūt uzņēmuma iekšējiem resursiem.

Šāda veida uzbrukumi ļoti bieži notiek internetā, telefoniski, kā arī aci pret aci. Uzbrucēji bieži vien izmanto cilvēku dabisko vēlmi būt izpalīdzīgiem, kā arī ziņkārību. Tiešsaistē izmantotie paņēmi visbiežāk ir aptuveni šādi :

  • Inficēta e-pasta pielikuma atsūtīšana, kurā ir kāda interesanta informācija vai reklāma. Atverot to, tiek inficēts darba dators, kas var radīt problēmas uzņēmumam – pārsūtīt trešajai personai datorā esošus datus, vai arī apskatīt visu, kas tiek uz datora darīts. Pastāv arī iespēja, ka inficētā e-pasta uzbrukums ir vērts pret konkrētu darbinieku – tad tas var būt ATP jeb uzlaboto pastāvīgo draudu uzbrukums. Šis uzbrukums būtībā atšķiras ar to, ka ir vērsts uz konkrētu cilvēku, turklāt šo uzbrukumu arī izpilda cilvēks, kas ļauj veikt izpēti, kas savukārt labāk palīdz veikt sistēmas kompromitēšanu. Par šo uzbrukuma veidu vairāk varat lasīt Viktorijas Almazovas prezentācijā „Advenced Persistant Threat”  no „Esi drošs-2” semināra.
  • Mēģināšana panākt, lai darbinieks ievada kādu svarīgu informāciju internetā (saukta par pikšķerēšanu – par to vairāk nedaudz vēlāk).
  • Situācijas izspēlēšana, uz kuru reaģējot, darbinieks izpauž privātu informāciju. Mērķa sasniegšanai sociālais inženieris var manipulēt ar darbinieku motivāciju (bailēm pazaudēt darbu, vēlmi tikt novērtētam utt.) ka arī sociālajām vērtībām – cilvēki pieņem uzvedību, kas viņuprāt piemīt lielākai daļai cilvēku, kā arī ir izpalīdzīgi.

Telefoniski un dzīvē šie paņēmieni var vēl vairāk variēties. Zvanītājs var izlikties par klientu, kuram ir radušās kādas problēmas, vai arī personu no augstākstāvošām iestādēm, utt.

Kā nodrošināties pret sociālo inženieriju?

Lai pēc iespējas izvairītos no situācijām, kad sociālā inženierija rada zaudējumus uzņēmumam, ir nepieciešams informēt darbiniekus par to, kā izmantojama privātā un uzņēmuma informācija – tā ir konfidenciāla un nav izpaužama it ne vienam, ja vien nav pilnīga pārliecība par situācijas patiesumu.

Nepieciešams arī informēt gan darbiniekus, gan klientus, ka nekāda privāta informācija pa telefonu vai e-pastu netiek prasīta! Tas garantēs arī to, ka Jūsu uzņēmuma vārdu nevarēs izmantot, lai piekļūtu klientiem, tādējādi arī nebūs iespējams šādā veidā bojāt firmas reputāciju.

Pikšķerēšana un baidatūra

Gan pikšķerēšanas, gan baidatūras izmantošana ir divi diezgan populāri sociālās inženierijas izmantošanas paveidi. Par pikšķerēšanu  un kā no tās izvairīties varat izlasīt dažādos mūsu rakstos, piemēram, „Kā atpazīt pikšķerēšanu” un „Pikšķerēšana jeb kā atdot naudu katram gribētājam”.

Īsumā par to jāatceras, ka nekādā gadījumā internetā nedrīkst sniegt informāciju par saviem finansiālajiem instrumentiem, kā arī neuzticēties uz e-pastu atsūtītai reklāmai, kurā atrodama interneta saite uz, piemēram, banku vai interneta veikalu.

Baidatūra atkal ir it kā draudzīgs aicinājums aprīkot datoru ar papildus pretvīrusu programmatūru, lai padarītu datoru vēl drošāku. Tomēr, ļaujoties šim aicinājumam, dators tiks „aprīkots” ar vīrusu, un sākotnējās pretvīrusu programmatūras darbība tiks destabilizēta. Par baidatūru vairāk varat izlasīt rakstā „Viltus drošības programmatūra”.

Secinājums

Veiksmīgai un drošai kompānijas darbībai drošības noteikumus ir kārtīgi jāpārzina ikvienam darbiniekam. Galu galā, viens darbinieks, kura datorā ieperinājusies ļaundabīga programmatūra, vai kurš neuzmanīgi izpauž svešiniekam konfidenciālu informāciju, var apdraudēt visus uzņēmuma klientus un darbiniekus, kā arī radīt lielus finansiālus zaudējumus.