Tęsinys. Pradžia Nr.42
Naudojantis internetu kyla tam tikrų grėsmių, pagrindinės jų:
1) konfidencialios informacijos skleidimas;
2) duomenų sunaikinimo galimybė;
3) finansiniai nuostoliai;
4) tinklų perkrovimo rizika;
5) įmonės reputacijos smukimo rizika (žr. lentelę).
Jas aptarsime plačiau.
Tuo metu, kai kompiuteris yra prijungtas prie interneto, jis būna atviras visam pasauliui. Jei kompiuterio bylos arba spausdintuvas pasiekiamas iš tinklo, įsilaužėliai gali padaryti žalos. Kokios nors bylos perskaitymas, nusikopijavimas ar ištrynimas – tai patys paprasčiausi įsilaužėlių veiksmai.
Didžiausi pavojai susiję su piniginiais nuostoliais, pvz., atskleidus atsiskaitymų su banku slaptažodžius, įsilaužėlis gali pinigus iš įmonės sąskaitos pervesti į jam pageidaujamą. Lietuvoje nėra atlikta tyrimų, kurie atskleistų įmonių patirtus nuostolius dėl įsilaužimų į kompiuterinius jų tinklus.
2001 m. JAV kompiuterių saugumo instituto ir Federalinio tyrimo biuro atlikti tyrimai atskleidė gana grėsmingą situaciją.
90 proc. JAV įmonių yra pastebėjusios įsilaužimo į savo sistemas atvejus. Iš jų 70 proc. buvo rimti (tokie kaip vagystė, finansiniai sukčiavimai ir sabotažas), dauguma įsilaužimų (71 proc.) atlikti tos pačios įmonės darbuotojų.
Taip pat atskleista, kad dėl kompiuterių saugumo problemų patirta 1,5 trilijono JAV dolerių nuostolių.
Pagrindinės rizikos, atsirandančios naudojantis internetu
|
Rizika
|
Rizikos pasireiškimas
|
Priemonės rizikai sumažinti
|
|
Konfidencialios informacijos skleidimas
|
– Įsilaužimų į kompiuterius pavojus
– Darbuotojų atskleista informacija
|
Duomenų kodavimas. Ši teisė suteikiama tik įgaliotiems asmenims
Paprasčiausias būdas apsiginti nuo įsilaužėlių – įdiegti tinklo apsaugos programą. Ugniasienė – programa, stebinti išeinančius ir įeinančius į kompiuterį interneto duomenų paketus
Įmonės vadovas turi numatyti:
– kokios informacijos apskritai negalima siųsti internetu;
– jei numatoma, kad tam tikra konfidenciali informacija gali būti siunčiama elektroniniu paštu kitiems įmonės darbuotojams, būtina įdiegti tam tikras techninės apsaugos priemones, pvz., duomenų kodavimą.
– kompiuterių darbo stebėjimo programų įdiegimas
|
|
Duomenų praradimo rizika
|
Virusai
|
– Kiekviena į kompiuterį įdiegiama programa turi būti tikrinama, ar neapkrėsta virusu
– Neskaičius trinti elektroninius laiškus, gautus iš nežinomų siuntėjų
|
|
Finansiniai nuostoliai
|
Neteisėti piniginių sumų pervedimas iš įmonės atsiskaitomosios sąskaitos
|
Šiuo metu mokėjimo pavedimus galima surašyti ne tik ranka, galima atlikti ir elektroninius pavedimus. Įmonei naudojantis šia atsiskaitymo priemone, turi būti įdiegtos papildomos kontrolės:
– priėjimas prie terminalų, kurie naudojami autorizuojant elektroninius pervedimus, turi būti griežtai kontroliuojamas. Daugiapakopiai slaptažodžiai, jų dažnas keitimas turi būti papildomi „atgalinio ryšio“ procedūromis, kurių tikslas – patikrinti pervestų lėšų tikrumą;
– elektroninių pervedimo priemonių kodavimas. Tai turi apsaugoti nuo trečiųjų asmenų įsikišimo perduodant informaciją.
|
|
Tinklų perkrovimo rizika
|
Lėtas tinklų darbas
|
Siunčiamų duomenų maksimalaus kiekio nustatymas
|
|
Įmonės reputacijos smukimo rizika
|
Interneto naudojimas pažeidžiant LR teisės aktus:
– sukčiavimas, šmeižimas,
– neteisėtas prisijungimas prie kitų vartotojų tarnybinių stočių
– autorių teisių pažeidimai
|
– Kompiuterių darbo stebėjimo programų įdiegimas
– Uždrausti darbuotojams, kuriems nesuteikta tokia teisė, koduoti kompiuteriuose esančią informaciją
– Siunčiant asmenines žinutes elektroniniu paštu, būtina nurodyti, kad pateikta informacija nėra oficiali įmonės nuomonė
– Draudimas internete lankytis su darbu nesusijusiuose tinklalapiuose, pvz., erotiniuose
– Reikalavimas naudoti tik licencijuotas programas
|
Siekiant užkirsti kelią neteisėtoms veikoms, įmonėje būtina sudaryti išsamias naudojimosi kompiuteriais ir internetu taisykles.
Jose turi būti aiškiai reglamentuota, kokio pobūdžio informacijos skleidimas ar naudojimas netoleruotinas.
Pateiksime kelis pavyzdžius.
Būtina nustatyti laiką, kada galima naudotis internetu asmeniniais tikslais, neleisti pašto dėžute naudotis kitam asmeniui ir siųsti elektroninį paštą, naudojantis kito darbuotojo elektroninio pašto dėžute.
Taip galima lengviau nustatyti, kas pažeidė taisykles.
Siekiant racionaliai išnaudoti turimus žmogiškuosius ir kompiuterinius išteklius, taip pat apsaugoti įmonės turtą nuo nepageidaujamo informacijos nutekėjimo, yra galimybė naudotis kompiuterių darbo vietų ir elektroninio pašto stebėjimo programine įranga.
„American Managiment Association“ atliktų tyrimų duomenimis, 2001 m. tokia stebėjimo įranga naudota 74 proc. JAV įmonių.
Ši programinė įranga stebi įmonės kompiuterių sistemas: kokiomis programomis, kokiu metu ir kaip ilgai darbuotojas naudojasi, kokiuose tinklalapiuose jis lankosi.
Ji taip pat gali parodyti, ar darbuotojas naudojasi tik licencijas turinčiomis programomis ir t. t. Įdiegiant tokią programą, būtinas reikalavimas – darbuotojas turi būti informuotas apie stebėjimą.
Paminėsime dar vieną svarbią kompiuterių informacijos apsaugos priemonę.
Atleidžiant darbuotoją iš darbo, su darbuotojo atleidimo iš darbo įsakymu pasirašytinai turi būti supažindintas asmuo, atsakingas už kompiuterinių tinklų saugumą.
Šiuo veiksmu jis įpareigojamas išjungti visas atleidžiamo darbuotojo prieigas prie įmonės kompiuterių tinklo.
Norint išvengti tiek dokumentų, tiek kompiuterių informacijos netekimo, turi būti numatytos duomenų išsaugojimo procedūros, t. y. pagrindinės duomenų bylos turi būti kopijuojamos. Tvarkant apskaitą rankiniu būdu, suvestinių žurnalų kopijavimas sukelia sunkumų.
Tačiau jei apskaita kompiuterizuota, turėti kelias buhalterinių duomenų kopijas tiesiog būtina.
Patartina turėti ir pagrindinių įmonės dokumentų kopijas.
