Nekdo je brskal po mojem računalniku…

Avtor: Andrej Zupan in Maša Kralj, Eudace d.o.o.

Združene države Amerike kraja podatkov s strani zaposlenih letno stane do 200 milijard dolarjev. Ste se že kdaj vprašali kako učinkovito upravljate z vašimi podatki? Kakšen je vaš postopek za varovanje podatkov ob odhodu sodelavca? Ali spremljate dostope vaših kolegov do podatkov? Kako ravnati v primeru suma kraje oz. nepooblaščenega kopiranja podatkov?

Z današnjimi tehnologijami, ki lajšajo vsakdanje delo posameznikov, so podatki postali dostopni na vsakem koraku, v vsakem trenutku. To so lahko osebni podatki, slike, gesla ali podatki podjetja. Doseganje primerne agilnosti podjetja in s tem povezana optimizacija časa nas nezavedno vodi v uporabo programske opreme, ki omogoča vpogled v podatke iz praktično vseh naprav, ki se povezujejo s svetovnim spletom. Programska oprema, ki je na voljo brezplačno, omogoča dostop do podatkov vsem – tudi tistim, ki s področja IT nimajo širokega znanja.

Kako si zaposleni odprejo vrata do podatkov?
Najbolj pogost (in tudi preprost) način, glede na naša opažanja v praksi, za nepooblaščen vstop v informacijski sistem, je uporaba enega od programov za oddaljeni dostop. Najbolj razširjen program te vrste je vsem dobro poznan TeamViewer. Slednji je dandanes nameščen na kopico računalnikov, saj ga tehniki često uporabljajo za dostop do računalnika stranke v primeru težav. TeamViewer med drugim omogoča tudi vzpostavitev t.i. računa, ki omogoča dostop do računalnika brez potrditve oz. omogočanja dostopa na oddaljenem računalniku. Podobne rešitve za oddaljen dostop so tudi: VNC, ISL Light, Windows remote desktop, itd.

Dostop do omrežja podjetja je velikokrat omogočen tudi preko VPN kanala. VPN je virtualni kanal, ki ga uporabnik vzpostavi iz oddaljene lokacije preko spleta in se poveže v lokalno omrežje podjejta. S tem dobi vse dostope, kot če bi sedel v pisarni (dostop do intraneta, datotek v skupni rabi, tiskalniki, računalniki, nadzorni sistemi,…).

Pri uporabi B2B ali druge spletne platforme za sodelovanje z našimi kupci, moramo biti še posebej previdni. Nenadzorovano dodeljevanje dostopov lahko omogoči zaposlenim, da si kreirajo dostop za lažnega kupca, ki ga kasneje uporabljajo sami.

Na spletu so na voljo različne skripte, ki bodisi pošiljajo podatke na oddaljeno mesto ali omogočajo dostop do podatkov v določenem časovnem terminu.

Konkretni primer nepooblaščenega vstopa

V tem tednu smo bili svetovalci podjetja Eudace d.o.o priča kraje podatkov iz računalnika ene od naših strank. Po preučitvi primera smo ugotovili, da je podatke iz računalnika pobrisal eden od bivših zaposlenih v podjetju (z izbrisom je bilo delo v podjetju za kratek čas močno oteženo), ki se je med vikendom povezal iz domačega računalnika (IPji so izsledljivi!). Do računalnika je dostopal v nočnih urah med vikendom in sicer z uporabo prej omenjene rešitve TeamViewer. V kolikor bi nekdo onesposobil omenjeno aplikacijo, sta bila na računalniku nastavljena še VPN dostop in skripta, ki bi jo lahko aktiviral na daljavo in na ta način upravljal s podatki.

Kako ukrepati ob sumu kraje ali neupravičenega prenosa podatkov?

Najprej vam svetujemo da nemudoma zavarujete svoje omrežje. V kolikor nimate lastne IT službe, bo najboljši način, da izključite internetno povezavo dotičnega računalnika, najbolje pa kar celotne mreže podjetja. Preverite kateri procesi tečejo na računalniku in odstranite tiste, ki se vam zdijo sumljivi (v kolikor jih ne poznate, si pomagajte z Googlom). Ne brišite ali spreminjajte podatkov na disku.

Kaj o tem govori zakonodaja?

V primeru suma, da je nekdo neupravičeno vstopil ali vdrl v informacijski sistem ali neupravičeno prestregel podatke ob nejavnem prenosu v informacijski sistem ali iz njega, o tem obvestite policijo, kajti s tem je oseba izvršila zakonske znake napada na informacijski sistem. Za tako ravnanje je zagrožena je zaporna kazen do enega leta. Če je podatke v informacijskem sistemu neupravičeno uporabila, spremenila, preslikala, prenašala, uničila ali v informacijski sistem neupravičeno vnesla kakšen podatek, ovirala prenos podatkov ali delovanje informacijskega sistema, se kaznuje z zaporno kaznijo do dveh let. V primeru, da bi bila s takim dejanjem povzročena velika škoda, se kaznivo dejanje kaznuje z zaporno kaznijo od treh mesecev do petih let (221. člen Kazenskega zakonika, Uradni list RS, št. 50/12 – uradno prečiščeno besedilo, v nadaljevanju KZ-1). Zloraba informacijskega sistema je podobno kaznivo dejanje, ki pa se ga izvrši ob gospodarskem poslovanju.

Z denarno kaznijo ali zaporom do enega leta se kaznuje oseba, ki vdre ali nepooblaščeno vstopi v računalniško vodeno zbirko podatkov z namenom, da bi sebi ali komu drugemu pridobila kakšen osebni podatek (143. člen K-1).

Če tako ravna zaposleni, stori kršitev pogodbenih obveznosti iz delovnega razmerja, ki imajo znake kaznivega dejanja, zaradi česar je podan razlog za izredno odpoved pogodbe o zaposlitvi (1. alinea 1. odstavka 110. člena Zakona o delovnih razmerjih, Uradni list RS, št. 21/13, 78/13 – popr. in 47/15 – ZZSDT).

Skladno s 306. členom KZ-1 pa se lahko z zaporno kaznijo do enega leta kaznuje tudi tistega, ki z namenom storitve kaznivega dejanja poseduje, izdeluje, prodaja, daje v uporabo, uvaža, izvaža ali kako drugače zagotavlja pripomočke za vdor ali neupravičen vstop v informacijski sistem.

Kako se lahko zavarujete?

Če želite trdno spati, vam svetujem, da v podjetju vzpostavite sistem varovanja informacij ISO 27001. Pripravite politiko upravljanja s podatki, kjer specificirajte potrebne posege v IT sistem ob prihodu novega zaposlenega in še bolj pomembno ob odhodu zaposlenega. Pripravite seznam potrebnih aktivnosti, da ne izpustite pomembnega dela pri zavarovanju vaših informacij ob tovrstnih dogodkih. Bolj konkretno in nekaj načinov za zagotavljanje osnovnega nivoja varnosti IT sistema si bomo pogledali v eni od naslednjih številk.

Več podatkov s področja informacijske varnosti je na voljo na spletni strani Varnost podatkov.