Šiandien papildžiau “WEB HACKING: įveikti internetą” mokymų medžiagą pavyzdžiais iš blogas.lt. Pirmasis jų - anksčiau aprašytas paliktas trūkumas. Antrasis - sistemos programerio tinkama reakcija. Vienas blogas pavyzdys, kitas - geras. O vėliau perskaičiau delfyje straipsnį “Lietuvos įmonėms nerūpi informacijos saugumas“. Ir sugalvojau šį kartą pabūti nepopuliarus, nuobodus ir parašyti apie informacijos apsaugą kiek iš sudėtingesnės pusės. Taip pasielgti nusprendžiau dėl pakankamai primityvaus informacijos apsaugos suvokimo Lietuvoje. Saugi informacija, tai ne tik nepavogta informacija, bet taip pat nepakitusi ir laiku prieinama informacija. Organizacijų informacijos apsauga skirstoma į tam tikrus brandos lygius. Jų yra kiek daugiau nei čia surašysiu, tačiau pagrindines grupes galima išskirti tokias:

Lygis 0. Informacijos apsaugos nėra.

Lygis 1. Informacijos apsauga – tai “techninė problema”.

Lygis 2. Informacijos apsauga – organizacinių ir techninių priemonių kompleksas.

Lygis 3. Informacijos apsauga – organizacijos kultūros dalis.

Lietuvoje dažniausiai sutinkamas 0 ir 1 lygis. Dėl nulinio lygio nieko pasakoti nereikia, patys suprantat. Tokiais atvejais viskas visiems vienodai. Krizių atveju įmonės patiria didelius nuostolius ir jei yra labiau priklausomos nuo IT sistemų - sėkmingai bankrutuoja.

Pirmas lygis pasireiškia, kai informacijos apsauga atiduodama rūpintis tik IT personalui ir į tai dėmesio visiškai nekreipia vadovai. Tada viskas priklauso tik nuo konkretaus IT žmogaus žinių ir noro. Dažnai viskas apsiriboja antivirusinėm sistemom, ugniasienėm ir panašiais žaisliukais. Šie dalykai nebūna pigūs ir reikalauja nuolatinės IT personalo priežiūros (t.y. nemažai kainuoja kiekvieną mėnesį). Tai vienas labiausiai paplitusių informacijos apsaugos suvokimų Lietuvoje. Krizių atveju įmonę iš vėžių gali išmušti bet kokia ne techninė smulkmena, o viskas taip pat priklauso tik nuo IT žmogaus. Teoriškai, jei jis darbingas, gerai gaudosi situacijoje, problemas gali pašalinti vienas ir be kitų pagalbos, tuomet organizacija į įprastos veiklos vėžias gali sugrįžti gan greitai. Čia dažnai dirbama gaisrų gesinimo principu ir lenvai susitvarkoma tik su nedidelėm problemom. Praktikoje ne viskas taip gražu, nes žmonės serga, daro žmogiškas klaidas, keičia darbą (naujas IT'išnikas dar nežino kas ir kaip), technika genda ir t.t. Kaip viena dažniau sutinkamų problemų čia galėtų būti ta, kad iš backup'ų nepavyksta atstatyti duomenų. O pagal statistiką to padaryti neišeina 60% atvejų (išbandyta savo kailiu). Tuomet atrodo, kad nieko nebegalima buvo padaryti, IT'išnikas stengėsi išvengti būsimos duomenų praradimo problemos, bet va tas brokuotas dvd diskas viską pakiaulino. Ir kas galėjo žinoti? O tai žino ir tam ruošiasi sekančiame lygyje esančios organizacijos.

Antrame lygyje atsiranda jau tokie dalykai kaip pvz. bendra visos organizacijos saugumo politika. Tai yra tam tikri principai, tarsi konstitucija valstybėje, kurios pagrindu kuriamos visos kitos taisyklės. Vertinant efektyvumo ir kainos santykį, organizacinės priemonės yra pigesnės ir žymiai efektyvesnės nei techninės priemonės, tačiau turi egzistuoti ir vienos, ir kitos. Tinkamai sutvarkius organizacinius informacijos apsaugos procesus, dalies techninių sprendimų galima atsisakyti. Šiame informacijos apsaugos lygyje jau dalyvauja ir aukščiausio lygmens įmonės vadovai. Jie supranta, kad informacijos apsauga = nuolat be trikdžių veikiančios IT sistemos = stabili įmonės veikla. Vadovai pasirūpina tam tikromis procedūromis ir atsarginu planu, kad dėl bet kokių priežasčių sustojus ar tinkamai neveikiant IT sistemoms, organizacija galėtų tęsti savo darbą (nebūtinai tokiu pačiu tempu) naudodama kitas priemones. Čia su krizėmis susidorojama be didelio streso, greitai atstatoma įmonės veikla ir patiriami minimalūs nuostoliais. Tokie paprasti dalykai, kaip nauji ir dar mažai ką žinantys darbuotojai beveik neturi įtakos, nes jie net ir tinkamai nežinodami sistemos ir veiklos prinicipų jau gali spręsti kilusias problemas. Šiuo metu antrą lygį yra pasiekusios tik nedidelė dalis Lietuvos įmonių.

Trečiasis - aukščiausias informacijos apsaugos lygis. Čia informacijos apsauga yra organizacijos kultūros dalis. Tai tiesiog yra visiems suprantamas dalykas, darbuotojai puikiai moka atpažinti incidentus ir apie juos pranešti atsakingiems asmenims, vadovybė tiems incidentams skiria pakankamą dėmesį ir imasi priemonių, kad jie ne tik nepasikartotų, bet ir neįvyktų kiti. Šio lygmens organizacijose nebūna krizių arba jos būna labai minimalios ir greitai pašalinamos. Beveik arba visiškai nesibaiminama kompiuterinių įsilaužėlių, nes jie gali padaryti tik minimalią žalą. Šiuo metu Lietuvoje nėra nei vienos įmonės, pasiekusios tokį apsaugos lygį. Tą puikiai parodo situacija bankuose. O jei to neturi bankai, tai ką kalbėti apie kitas? Taigi, dar vienas, tik kiek senesnis VŽ straipsnis “Slapti Hansabanko klientų duomenys - šiukšlių maišuose” arba delfio straipsnis “Šiukšlių maišuose prie Hansabanko – klientų pasų kopijos (foto)“. Šis atvejis parodo, kad banke nebuvo ir vis dar nėra (nes ji nepasiekiama baudomis, gasdinimais ir šiaip per porą mėnesių) informacijos apsaugos kultūros. Taip pat aprašoma banko atstovės reakcija. Tai, ką ir kaip ji kalba, tik dar kartą patvirtina, kad ta kultūra ugdoma nebus, o tokie ar panašūs atvejai po kurio laiko vėl pasikartos. Kaip viskas turėtų vykti, jei banke būtų buvusi informacijos apsaugos kultūra? Pvz. valytoja, pamačiusi, kad šiukšliadėžėje yra nesunaikinti klientų duomenys, turėtų tuos duomenis išimti, juos sunaikinti ir tik tuomet išmesti. Taip pat informuoti už tai atsakingą asmenį apie tame skyriuje įvykusį incidentą (netinkamą kai kurių procesų veikimą). Atsakingas asmuo turėtų imtis priemonių priežastims šalinti, pvz. papildomų mokymų to skyriaus darbuotojams surengimo. Dabar bankas gavo kokių 500 Lt baudą iš ADA (baisi bauda bankui, ane?), tačiau patyrė žymiai didesnių netiesioginių nuostolių, t.y. sugadinta reputacija, kilęs nepasitikėjimas banku ir dėl šio incidento prarasti klientai (tokių tikrai buvo). O to juk buvo galima taip paprastai išvengti ir šią istoriją pabaigti laimingai.

» Temos: Uncategorized
» Žymėtis: kaip.tik.ten :: topix.lt :: del.icio.us