Da bo policija prišla ravno k nam domov in nam zasegla računalnik je, če nismo ravno kak velepirat ali pa smo (po novi praksi BSA-ja) kupili računalnik z nelegalno programsko opremo, je malo verjetno. Zato si običajno ne belimo glave s potencialno »zgovornostjo« podatkov, ki jih imamo shranjene v računalniku ali na pomnilniških napravah. Pa mi si morali? Si naši podatki res nedolžni? Imamo morda shranjene kakšne fotografije, ki bi nas ob javnem razkritju spravile v kočljiv položaj? Okrnile naš ugled? Tudi če v računalniku ni podatkov, ki so povezani z nedovoljenimi stvarmi, ni neumno razmišljati o tem, kaj bi se zgodilo, če bi prišli v roke osebi, ki ji niso namenjeni. Pri tem ne gre (le) za represivne organe, ki pregledujejo računalnike in iščejo dokaze za morebitna kriminalna dejanja. Možni so tudi vdor v računalnik, kraja podatkov ali »odlaganje« obremenilnih dokazov vanj. Bodisi zato, da vas potem z njimi izsiljujejo ali pa da jih javno objavijo in vam poskusijo s tem škoditi.

Da ne bo pomote, pričujoč članek ni namenjen kriminalcem, ki se bi tako seznanili z načini zakrivanja sledi. Verjemite, velike »ribe« to zelo dobro znajo. Zato jih tudi zelo redko polovijo. Namenjen je uporabnikom, ki ne želijo postati naključne žrtve in biti postavljeni v položaj, ko morajo zagovarjati svojo nedolžnost, zaradi dejanja nekoga drugega ali svojega neznanja in naivnosti.

UPRAVLJANJE S TVEGANJI

Varnost ne pomeni imeti najboljše ključavnice ali najboljšega protivirusnega programa. Pomeni veščino tako imenovanega upravljanja s tveganji (risk management). Izraz se sliši dokaj zapleteno, a je stvar precej preprosta, saj jo podzavestno počnemo vsak dan, ko se odločamo, ali naj prečkamo cesto na kraju, kjer ni prehoda za pešce, ali na nekoliko oddaljenem prehodu, ko tehtamo med verjetnostjo, da nas bo zato povozil avto (ali ujel policist) in zoprno hojo do oddaljenejšega, a varnejšega prehoda. Če odtehtamo (vidimo), da nas avto ne more povoziti (verjetnost za to je blizu ničle), skočimo čez cesto tudi na mestu, ki velja za manj varno.

Pri ocenjevanju tveganja je treba najprej ugotoviti, kaj je predmet oziroma kaj je tisto, kar je pomembno, ima vrednost in kar je treba varovati. V kontekstu tega članka so to informacije, ki so lahko elektronska sporočila, fotografije, filmi, dokumenti in še kaj, vse skupaj pa je shranjeno v računalniku oziroma na različnih podatkovnih nosilcih. Vse informacije za nas nimajo enakega pomena oziroma vrednosti. Ene so bolj pomembne, druge manj. Dokumenti z osebnimi podatki, gesla za dostop do elektronskih storitev, dokumenti s poslovnimi podatki in elektronske komunikacije vsekakor sodijo v skupino pomembnih podatkov, medtem ko kakšna pesem v formatu MP3 ni ravno nekaj, brez česar ne bi mogli ali pa bi nam ob izgubi pomenila težave. Bistveno je torej, da znamo oceniti, katere informacije so za nas pomembne, da so naše informacijsko »premoženje«, in katere ne. Ko vemo, kaj moramo ščititi, se moramo seveda tudi zavedati groženj oziroma vedeti, kaj vse se lahko pripeti našemu informacijskemu premoženju.

Vse skupaj se sliši zelo »študiozno« in kot nekaj, kar morajo storiti podjetja, ne pa tudi domači uporabniki računalnikov. Res je, da imamo domači uporabniki v svojih računalnikih manj pomembne podatke, ki so tako manj zanimivi za posameznike, ki nam želijo škodovati, vendar to še ne pomeni, da lahko varnost popolnoma zanemarimo. Tudi v zasebnih računalnikih obstajajo podatki, ki so še kako pomembni. Nekateri imajo za nas sentimentalno vrednost, drugi nam lahko škodujejo, če bi prišli v javnost, tretji pa so lahko osnova za spletne prevare in krajo identitete. Za te podatke velja, da jih je na eni strani potrebno imeti varno shranjenem, na drugi pa, da morajo biti na dosegu roke. Veliko ne bi storili, če bi vse podatke zapekli na DVD, tega pa zakopali na skrivni lokaciji, deset metrov pod zemljo. Bili bi morda res varni, a popolnoma neuporabni.

ŠEST ENAKOVREDNIH NAČEL

Varnostni strokovnjaki delijo načine, kako lahko grožnje škodujejo informacijskemu premoženju, v šest različnih kategorij, ki morajo biti med seboj v ravnotežju. To pomeni, da so vse te kategorije enako pomembne in jim je treba posvetiti enako pozornosti in naporov, če želimo, da so informacije varne.

Zaupnost pomeni, da imamo informacije daleč od oči ljudi, ki jim niso namenjene in za katere nočemo, da bi jih videli. Integriteta pomeni, da imamo informacije shranjene tako, da so nepoškodovane in tudi nespremenjene. Morda je za nekatere nespremenjenost ključnega pomena, kajti razmišljati moramo tudi o preprečevanju podtikanja informacij zaradi različnih namenov. Naše informacijsko premoženje pa more biti dosegljivo, torej na voljo osebam, katerim je namenjeno. Nam ali pa ljudem, ki jim to dovolimo. Še tri načela velja omeniti. Doslednost, ki pomeni, da dobimo od informacij vedno tisto, kar pričakujemo, nadzor pomeni možnost nadziranja dostopa do informacij, prav tako pa moramo imeti v vsakem trenutku možnost prepričati se, da so naše informacije dejansko na varnem.

Grožnje lahko klasificiramo glede na to, katere vrste informacij ogrožajo. Če nam nekdo poskuša prebrati datoteko brez dovoljenja, s tem ogroža zaupnost in nadzor nad informacijami. Integriteto in dosegljivost pa ogroža, če jo želi izbrisati ali spremeniti.

Moj mikro, december 2010 | Marjan Kodelja | Zoran Banovič |