Skladba rizikových faktorov ovplyvňujúcich dôvernosť, dostupnosť a integritu informačných systémov v procese ich prevádzkovania je premenlivá. Nepopierateľne však najzávažnejším rizikovým faktorom, ktorý predstavuje pre informačné aktíva potenciálne riziko je práve jeho používateľ. Používatelia využívajúci informačné technológie predstavujú podľa celosvetových prieskumov vážnu riziko prevádzkovania IT a to či z pohľadu spoľahlivej prevádzky alebo z pohľadu dodržiavania platnej legislatívy. Príkladom môže byť prieskum realizovaný na území Slovenskej republiky v roku 2004.
Základné formy hrozieb, ktoré pre jednotlivé komponenty IT predstavuje používateľ je možné zhrnúť do nasledovných kategórií:
- neznalostné riziká
- nedbalostné riziká
- zneužívanie aktív
- cielené útoky zo strany používateľov
- snaha o zámerné poškodenie technického vybavenia
- snaha o zámerné poškodenie programového vybavenia
- snaha o modifikáciu programového vybavenia
- snaha o neoprávnený prístup k dátam za účelom vytvorenia nepovolenej kópie
Je nutné podotknúť, že na poslednú zo zmienených kategórií t.j. cielené útoky zo strany používateľov informačného systému je nutné pozerať z pohľadu trestno-právnej legislatívy, nakoľko sa jedná o činnosť
POTENCIÁLNE NETECHNICKÉ ÚTOKY Z VONKAJŠIEHO PROSTREDIA
Za rizikové chovanie zo strany interných používateľov informačných systémov je nesporne možné považovať aj neznalosť dodržiavania základné opatrenia a návyky smerujúce k zachovaniu dôvernosti citlivých informácií súvisiacich s prevádzkovaním jednotlivých súčastí informačného systému, bezpečnostných systémov a mechanizmov a podobne. Do tejto kategórie je možné zaradiť nutnosť zachovávania dôvernosti :
- spracovávaných údajov podliehajúcich režimu určitej ochrany (osobné údaje, údaje tvoriace predmet obchodného tajomstva a pod.
- prihlasovacích mien, hesiel, PIN-kódov
- šifrovacích kľúčov pokiaľ sú tieto používané v otvorenom tvare t.j. používateľ pozná ich hodnotu a nie sú generované a uložené na čipovej karte alebo tokene
Pritom je nutné si uvedomiť, že práve získavanie týchto informácií je často realizovanými technikami na ktoré sú používatelia zvyknutý z iných procesov tvoriacich štandardnú súčasť občianskeho života a teda jej neprikladajú patričnú dôležitosť. Pre tieto metódy získavania citlivých údajov sa ujalo v praxi hneď niekoľko názvov, spomeňme napríklad: sociálne inžinierstvo, manipulačné techniky, sociotechnika alebo netechnické metódy získavania informácií.
Spomeňme len niekoľko základných techník bežne využívaných pre vyššie spomínané formy manipulačných techník:
- získanie dočasnej dôvery
- vzbudenie súcitu – vyvolanie potreby poskytnúť určitú formu pomoci
- snaha o vyvolanie súcitu vyplývajúceho z navodenia stresovej situácie
- útočník nebude schopný bez pomoci „obete“ dokončiť pracovnú úlohu za ktorú zodpovedá
- stimulovanie emočných pocitov
- strach
- vzrušenie
- súcit
Základným a teda typickým znakom takéhoto útočníka (sociotechnika) je skutočnosť, že nikdy „neútočí“ nepripravený. Medzi základné rysy je možné zaradiť nasledovné:
- autoritatívnosť
- sebaistota
- znalosť žargónu – odborného prípadne slangového typického pre danú odbornosť
- znalosť dôverných interných informácií, ktoré vopred zistil – minimálne mená osoôb, zaradenie a podobne
Opatrenia – ich účinnosť, efektivita
Je teda zrejmé, že pre minimalizáciu rizík, ktoré pre prevádzku informačného systému a jeho jednotlivých súčastí predstavuje používateľ je potrebné do života organizácie zavádzať odpovedajúce opatrenia. Najzákladnejšou úrovňou opatrení bežne využívaných v praxi (nie len v súvislosti s informačnými technológiami) sú organizačné opatrenia zavádzané vo forme nariadení, smerníc...
Zásadným problémom organizačných opatrení je ich „úmrtnosť“ – po určitom čase ich platnosti dochádza k ich porušovaniu, odmietaniu, zanedbávaniu. Prečo?
- nepochopenie
- neochota akceptácie
- cielené sabotovanie
- rutiny vedúce k zjednodušovaniu
Aké dôvody môžu viesť zo strany používateľov k vyššieuvedenému postoju?
- administratívna náročnosť
- neinformovanosť
- nedokonalosť zavádzaných opatrení
- časté zmeny opatrení (update)
- právna negramotnosť
- osobné motivačné faktory jednotlivca
Vybudovanie účinnej spätnej väzby, ktorá by vhodnou formou umožňovala kontrolovanie dodržiavania opatrení zavedených vo vzťahu k využívaniu výpočtovej techniky je teda vhodným riešením zvyšovanie bezpečnosti. Jednou z takýchto foriem spätnej väzby je monitorovanie aktivít na pracovnej stanici (PC) používatelia informačného systému. Realizácia monitorovania je možná v zásade dvoma základnými formami:
- vykonávaním náhodných kontrol dodržiavania zavedených opatrení
- zavedením monitorovania dostupnými technológiami
Vykonávanie náhodných kontrol však prináša rad problémových okruhov, ktoré znižujú účinnosť tejto formy spätnej väzby – medzi najzásadnejšie patria:
- časové limity – periodicita kontrol
- osobné väzby zamestnancov
- nízka operatívnosť
- personálna náročnosť
V súčasnej dobe sú však pre zavedenie oplikovateľného monitorovania využiteľné rôzne aplikácie, pracujúce na rôznych úrovniach podrobnosti monitorovaných aktivít. Medzi aktivity vykonávané používateľom na pracovnej stanici, ktoré z pohľadu analýzy rizikového správania môžu byť využiteľné, môžu patriť napríklad:
- prihlásenie a odhlásenie používateľa
- spúšťané aplikácie
- surfovanie po WEB serveroch
- elektronická korešpondencia
- tlač súborov
- modifikácia nastavení OS a aplikácií
- a ďalšie
monitorovanie aktivít ako nástroj merania efektivity využívania aktív
Informácie získané monitorovaní aktivít vykonávaných používateľom-zamestnancom pri práci s komponentami informačného systému poskytujú základnú bázu dát pre následné vyhodnocovanie ďalších faktorov
Pomerne štandardným prípadom je situácia kedy organizácia potrebuje získať reálny pohľad na využívanie výpočtovej techniky a jej softvérového vybavenia napríklad za účelom rozhodnutia o investovaní do rozširovania IT. Podobným bývajú úvahy o investícií do upgradu softvérového vybavenia. Získať reálny pohľad na vyťaženosť súčasného vybavenia nie je triaviálna záležitosť, ale v prípade prevádzkovania systému monitorujúceho aktivity na lokálnej pracovnej stanici je možné nazbierané údaje využívať aj v rámci podobných rozhodovacích procesov.
Přehled aplikací | |||
na popředí | soubor | cesta | procent |
31 m 33 s | winoncd.exe | c:\program files\cequadrat\winoncd\ | 40.70 % |
23 m 51 s | excel.exe | c:\program files\microsoft office\offic\ | 30.77 % |
7 m 9 s | amon.exe | c:\program files\eset\ | 9.22 % |
5 m 20 s | explorer.exe | c:\windows\ | 6.88 % |
Obr. Príklad výstupu analýzy využívanosti softvérového vybavenia |
Využiteľnosť výstupov získaných monitorovaním aktivít
- informácia o vyťaženosti pracovných staníc, dodržiavaní pracovného času, ..
- podklad pri rozhodovaní o investíciách do nákupu ďalšieho HW/SW
- podklad pri optimalizácii nákladov na upgrade SW
- kontrola efektivity využívania IT organizácie
Monitorovanie aktivít ako nástroj personálneho riadenia
Úvahy o využiteľnosti výstupov monitoringu ako nástroja personálneho riadenia vždy vyvolávajú polemiky vyplývajúce z z dvoch uhlov pohľadu – z uhla zamestnanca (ktorý prirodzene namieta voči podobným metódam) a na druhej strane z uhla zamestnávateľa, ktorý prirodzene bráni svoje záujmy). Pri podobných úvahách je však samozrejme nutné brať do úvahy, že sa jedná o pracovno-právny vzťah, ktorý sa riadi platným zákonníkom práce a teda určuje isté práva i povinnosti obom stranám.
Zákonník práce
Zamestnávateľ
- vytváranie podmienok pre bezpečné fungovanie
- vytváranie pracovných podmienok
- zabezpečovať zvyšovanie odbornej úrovne
- riadiť a kontrolovať prácu zamestnancov
- zabezpečovať opatrenia na ochranu majetku
Zamestnanec
- pracovať svedomite a riadne
- dodržiavať právne a ostatné predpisy (oboznámený??)
- hospodáriť s prostriedkami, chrániť majetok
Zamestnanec musí byť oboznámený
§81 ZP ods. (c) Základné povinnosti zamestnanca
„dodržiavať právne predpisy a ostatné predpisy vzťahujúce sa na prácu ním vykonávanú, ak bol s nimi riadne oboznámený.“
§84 ZP ods. (4) Pracovný poriadok
„Každý zamestnanec musí byť s pracovným poriadkom oboznámený. Pracovný poriadok musí byť každému zamestnancovi prístupný“
Zamestnávateľ teda má právo v súvislosti s využívaním výpočtovej techniky a programového vybavenia prevádzkovaného na tejto výpočtovej technike vydať smernicu, ktorá má charakter záväznej internej normy a teda zamestanec je povinný ju dodržiavať. Je prípadné porušovanie môže byť považované za porušovanie pracovnej disciplíny so všetkými dôsledkami v súlade so zákonníkom práce.
Rozsah monitorovateľných aktivít
Pomerne častou diskusnou témou je otázka do akej úrovne podrobnosti monitorovania môže zamestnávateľ ísť. Zjavne najdiskutovanejšou témou v poslednom období je otázka monitorovania elektronickej pošty a prístupu na internet (navštívené WEB stránky, download súborov). Sporným bodom je určite otázka monitorovania elektronickej pošty (najmä obsahu e-mailových správ prijímaných v zamestnaní), kde je možné dnes pozorovať dva názorové prúdy:
- z pohľadu ústavnej garancie zachovania dôvernosti prepravovaných správ – dôvernosť prepravovaných správ je garantovaná ústavou SR
- z pohľadu práv zamestnávateľa kontrolovať využívanosť aktív a chrániť obchodné tajomstvo
Nesporne a jednoznačne prospešnou by bola jednoznačná právna definícia podmienok a rozsahu monitorovania elektronickej pošty v pracovno-právnych vzťahoch vo forme platného zákona. Rad krajín túto problematiku má ošetrených práve existenciou právnej normy, ktorá jasne určuje aké podmienky musí zamestnávateľ splniť pre to, aby mohol monitorovať aj obsahovú stránku elektronickej pošty prijímanej zamestnancami na počítačoch prevádzkovaných ich zamestnávateľom.
Jaroslav Oster