UNIVERZA V MARIBORU EKONOMSKO-POSLOVNA FAKULTETA

DIPLOMSKO DELO

VARNOST E-POSLOVANJA V SLOVENSKIH PODJETJIH

Security of electronic business in Slovenian

companies

Kandidatka: Nataša Golčman Študentka rednega študija Številka indeksa: 81629680 Program: visokošolski strokovni Študijska smer: finance in bančništvo Mentor: dr. Samo Bobek

Maribor, september 2008

2

PREDGOVOR Uveljavljanje elektronskega poslovanja ponuja gospodarstvu veliko poslovnih priložnosti. Omogoča zmanjševanje stroškov poslovanja, izboljšanje odzivnega časa pri izvajanju poslovnih procesov ter pridobivanje novih virov dohodkov. E-poslovanje ni nova oblika poslovanja, je avtomatizacija in posledično tudi prenova poslovnih procesov, ki delovne postopke močno pospeši in avtomatizira ter sprosti dragocene človeške resurse, da se posvetijo opravilom, ki jim računalnik ni kos. Na ta način podjetje postane bolj prilagodljivo in bolj konkurenčno. Razvoj e-poslovanja temelji v veliki meri na zaupanju in varnosti, ki ju čutijo uporabniki do elektronskih komunikacij. Z načinom izmenjave podatkov se spreminja tudi način varovanja teh podatkov. Elektronska pošta, elektronsko poslovanje, dostop do baz podatkov itd., zahtevajo visoko stopnjo varnosti, ki mora zagotavljati: zaupnost, overjanje uporabnikov, kontrolo dostopa, neokrnjenost podatkov in nezmožnost zanikanja. Obstajajo številne aplikacije, ki so povezane z elektronskimi podpisi oziroma potrebujejo le-tega za delovanje. Na tak način potekajo plačila, sklepanje pogodb, dostop do različnih storitev podjetij ali državne administracije, varne komunikacije med različnimi subjekti, nabava in podobno. Zato se uporaba digitalnih potrdil, elektronsko podpisovanje in šifriranje z javnimi ključi pojavljajo kot najpogostejši način uvajanja visoke stopnje varnosti. Sodobne tehnologije so v vsakdanje življenje vnesle izjemno lahkost obdelave podatkov, posebej tistih, ki so shranjeni v elektronski obliki. To pomeni, da so v vsakdanje življenje posameznikov vnesle tudi nevarnost, da je možno podatke hitreje in lažje zlorabiti in jih ob pravi kombinaciji narediti enostavno uporabne za krajo identitete, zlorabe bančnih računov in kreditnih kartic. Nihče ni imun na zlorabe osebnih podatkov, kljub dokaj strogi zakonski ureditvi, ki se nanaša na zavarovanje osebnih podatkov. Vendar pa noben zakon ne more nadomestiti tistega, kar je pri varovanju osebnih podatkov najpomembnejše - zavedanja prav vsakega posameznika o pomembnosti lastnih osebnih podatkov. Če sami (torej tudi v gospodarskih družbah) ne bomo poskrbeli za zadostno zavarovanje, bomo lahko kmalu ostali z izpraznjenim transakcijskim računom, tožbami z astronomskimi odškodninami, s kriminalisti in inšpektorji pred vrati... Sodobni informacijski tokovi postavljajo pred uporabnike računalniške opreme nove varnostne izzive. Uporabniki tako fizične kakor tudi pravne osebe zaradi pomanjkanja časa in neznanja tovrstnim varnostnim izzivom že dolgo niso kos, zato postajajo njihovi informacijski sistemi vedno bolj ranljivi. Prisotnost varnostnih ranljivosti povečuje možnosti za nastanek nepričakovanih varnostnih dogodkov, zaradi katerih lahko podjetje utrpi finančno škodo, izgubi ugled ali pa se zaradi nedostopnosti sistemov zgodi še kaj hujšega.

3

KAZALO 1 UVOD ......................................................................................................................................5

1.1 Opredelitev področja in opis problema ............................................................................5 1.2 Namen, cilji in osnovne trditve ........................................................................................5 1.3 Predpostavke in omejitve raziskovanja ............................................................................6 1.4 Predvidene metode raziskovanja ......................................................................................6

2 OPREDELITEV E-POSLOVANJA.....................................................................................8

2.1 Oblike e-poslovanja..........................................................................................................9 2.2 Vrste e-poslovanja..........................................................................................................13 2.3 Prednosti in pomanjkljivosti e-poslovanja .....................................................................15

3 TVEGANJE E-POSLOVANJA..........................................................................................19

3.1 Vdori v računalniški sistem............................................................................................19 3.1.1 Vrste napadalcev ....................................................................................................21

3.2 Škodljivi programi..........................................................................................................23 3.2.1 Računalniški virusi .................................................................................................23 3.2.2 Računalniški črvi....................................................................................................24 3.2.3 Trojanski konji .......................................................................................................24 3.2.4 Logične bombe.......................................................................................................24

3.3 Nevarnosti pri varovanju informacij ..............................................................................25 4 TEHNOLOŠKI IN OPERATIVNI VIDIKI E-POSLOVANJA ......................................28

4.1 Načini varovanja in zaščite ............................................................................................28 4.2 Protivirusni programi .....................................................................................................30 4.3 Metode za zagotovitev varnosti v e-poslovanju.............................................................31

4.3.1 Šifriranje.................................................................................................................31 4.3.2 Digitalni podpis ......................................................................................................33 4.3.3 Digitalno potrdilo ...................................................................................................35 4.3.4 Infrastruktura javnih ključev ..................................................................................36 4.3.5 Protokol za varni prenos.........................................................................................37

4.4 Varovanje podatkov in informacij..................................................................................37 4.5 Požarni zid......................................................................................................................39 4.6 Varen elektronski arhiv ..................................................................................................40 4.7 Varno spletno nakupovanje............................................................................................41 4.8 Varna elektronska pošta .................................................................................................42 4.9 Varnostna politika ..........................................................................................................42

5 VARNOST E-POSLOVANJA V SLOVENSKIH PODJETJIH .....................................44

5.1 E-poslovanje v slovenskih podjetjih ..............................................................................44 5.2 Informacijska varnost v slovenskih podjetjih.................................................................46 5.3 Varnostni incidenti v slovenskih podjetjih.....................................................................47

6 SKLEP...................................................................................................................................53 7 POVZETEK..........................................................................................................................54

4

8 LITERATURA .....................................................................................................................55 9 VIRI .......................................................................................................................................57

5

1 UVOD

1.1 Opredelitev področja in opis problema V diplomskem delu bom predstavila, kako lahko razna podjetja, organizacije in navsezadnje tudi vsi posamezniki varno elektronsko poslujejo. Elektronsko poslovanje je v zadnjem desetletju močno napredovalo, vendar pa si večina ljudi elektronsko poslovanje vseeno razlago napačno oziroma preveč ozko. Večina ljudi si pojem elektronsko poslovanje razlaga kot elektronska prodaja, pojem pa je v resnici precej širši. Elektronsko poslovanje ni samo računalniško izmenjevanje podatkov, ampak obsega številna področja, kot so elektronsko bančništvo, zavarovalništvo, trženje, trgovanje, spletno trgovino, svetovanje, delo ali študij na daljavo itd. Uvajanje elektronskega poslovanja je omogočila intenzivnejša informatizacija, ki prinaša številne prednosti. Toda ob vsakem novem koraku v tej smeri nastanejo novi problemi. Z vpeljavo informacijske tehnologije, se spreminja tudi način dela. Tradicionalno pisarniško poslovanje izpodrivajo elektronske podatkovne baze in dokumenti v elektronski obliki, elektronska pošta nadomešča pošiljanje papirnatih dopisov, papirnate obrazce in vloge nadomeščajo elektronske vloge itd. Rokovanje s takšnimi dokumenti lahko odpira nekatere nove probleme in postavlja številna vprašanja, saj zahteva drugačen pristop, kot smo ga sicer vajeni. Največje vprašanje pa se pri vsem tem pojavi glede varnosti, saj varnosti pri elektronskem poslovanju ne moremo jemati zlahka.

1.2 Namen, cilji in osnovne trditve Namen diplomskega dela je analizirati varnost elektronskega poslovanja, ki je v današnjem času zelo pomembno, saj se vse pogosteje srečujemo z različnimi nevarnostmi, ki pretijo na nas. Namen diplomskega dela je tudi prikazati, kako se slovenska podjetja soočajo z varnostnimi incidenti in predvsem, kaj so pripravljeni storiti, da takšne probleme preprečijo. Cilji diplomskega dela so naslednji:

• opredeliti elektronsko poslovanje s poudarkom na oblikah in vrstah elektronskega poslovanja ter opozoriti na prednosti in pomanjkljivosti elektronskega poslovanja;

• proučiti tveganja elektronskega poslovanja, kot so razni vdori v računalniški sistem, virusi, črvi itd.;

• proučiti na kakšen način lahko zavarujemo elektronsko poslovanje, predvsem pa kakšne metode vse lahko uporabljamo za takšno zaščito;

• proučiti varnost e-poslovanja v slovenskih podjetjih in s kakšnimi varnostnimi incidenti se srečujejo slovenska podjetja.

V diplomskem delu bom izhajala iz trditev:

• elektronsko poslovanje ima številne prednosti in pomanjkljivosti, ki jih je potrebno upoštevati pri uvajanju elektronskega poslovanja v podjetjih;

• nevarnosti, ki pretijo na nas pri uporabi elektronskega poslovanja so vsak dan večje, da jih preprečimo se moramo ustrezno zaščititi;

6

• podjetja se ponavadi ne zavedajo nevarnosti, ki jim grozijo z uporabo elektronskega poslovanja;

• obstaja veliko metod za zagotovitev varnosti pri elektronskem poslovanju, vendar lahko te hitro zastarijo;

• za varnost morajo poskrbeti podjetja, prav tako vsak posameznik oziroma uporabnik; • največ varnostnih incidentov v podjetjih se zgodi zaradi okužb z računalniškimi virusi; • slaba informiranost zaposlenih in premajhna vlaganja v varnostno tehnologijo, lahko v

podjetjih povzročijo veliko škode.

1.3 Predpostavke in omejitve raziskovanja Predpostavljam, da ima varnost elektronskega poslovanja velik vpliv na samo poslovanje. Predvsem podjetja se morajo zavedati nevarnosti, se jim prilagajati in hitro reagirati nanje. S pojavom novih tehnologij, se bodo pojavile nove grožnje in tveganja, ki lahko negativno vplivajo na podjetje. Elektronsko poslovanje se bo vseskozi razvijalo, pojavljale se bodo nove metode, ki bodo omogočile učinkovito zagotavljanje varnosti elektronskega poslovanja. Predpostavljam tudi, da mora biti za varnost vseskozi poskrbljeno. Razna podjetja, organizacije in posamezniki morajo varovati in zaščititi svoj računalniški sistem na najboljši način. Pri tem si lahko pomagajo z različnimi metodami, kot so protivirusni programi, digitalna potrdila, digitalni podpisi, šifriranje itd. Omejitve raziskave:

• v diplomski nalogi se bom omejila na varnost elektronskega poslovanja na splošno oziroma kako preprečiti, da bi nevarnosti vplivale na samo poslovanje;

• omejila se bom na metode, ki zagotavljajo varnost; • omejila se bom predvsem na slovenska podjetja oziroma varnost e-poslovanja v

slovenskih podjetjih in njihove varnostne incidente.

1.4 Predvidene metode raziskovanja Pri obravnavanju varnosti elektronskega poslovanja v slovenskih podjetjih, bo potrebno proučiti domačo in tujo strokovno literaturo, internetne vire in članke, ki proučujejo to temo in njene spremembe. Uporabila bom dinamično metodo, kar pomeni, da bom proučila sedanje stanje elektronskega poslovanja, kakšne načine varovanja elektronskega poslovanja uporabljamo in s kakšnimi varnostnimi incidenti so se slovenska podjetja srečevala v preteklosti. V okviru deskriptivnega pristopa bom uporabila naslednje metode:

• metoda deskripcije, s pomočjo katere bom opisovala teorijo in pojme ter ugotovljena dejstva;

• metoda klasifikacije, kjer bom definirala pojme;

7

• metoda kompilacije, kjer bom s povzemanjem stališč drugih avtorjev v zvezi z izbranim raziskovalnim problemom prišla do oblikovanja novih stališč.

8

2 OPREDELITEV E-POSLOVANJA

Pojem elektronsko poslovanje je širok izraz in različni avtorji ga opredeljujejo različno. V slovenskem jeziku poznamo samo en izraz – elektronsko poslovanje, ta pa izhaja iz izrazov v angleškem jeziku. V angleščini uporabljajo dva pojma, ki označujeta elektronsko poslovanje (Gradišar 2003, 20):

• E-commerce, ki se je pojavil prvi, in • E-business, ki se v zadnjem času vse bolj uveljavlja.

Elektronsko poslovanje obsega veliko več kot le navadno računalniško izmenjavo podatkov in delovanje spletne trgovine. Elektronsko poslovanja obsega: elektronsko bančništvo, elektronsko trženje, elektronsko trgovanje, spletno trgovino, svetovanje na daljavo, elektronsko zavarovalništvo, računalniško podprto skupinsko delo, delo na daljavo, pouk na daljavo in avkcije na daljavo ( Jerman Blažič 2001, 11). Pomembni elementi teh dejavnosti so (prav tam, 11-12):

• Način dela: gre za računalniško izmenjavo podatkov ob uporabi odprtih omrežij, kot je Internet;

• Vsebina poslovanja: prodaja blaga in storitev, plačevanje, prodaja informacij, bančne transakcije, izmenjava dokumentov in listin, itd.;

• Udeleženci poslovanja: posamezniki, podjetja, bolnišnice, muzeji, galerije, univerze, izobraževalne ustanove in državne ustanove.

Ključne tehnološke sestavine vsakega elektronskega poslovanja so: računalnik, programska rešitev (aplikacija) in komunikacije. Tem sestavinam pa je potrebno dodati še organizacijo poslovanja, saj šele skupaj z njo osnovne tehnološke sestavine podpirajo cilje poslovnega sistema (Toplišek 1998, 3). Po mnenju Evropske komisije je elektronsko poslovanje katera koli oblika poslovne transakcije, v kateri stranke delujejo elektronsko, namesto da bi si pošiljale »telesna« sporočila (physical exchanges) ali da bi bile v neposrednem stiku. Hkrati pravijo, da je težko zajeti v definicijo dogajanje, ki je v tako kratkem času povzročilo toliko sprememb v načinu poslovanja (prav tam, 4). Bobek (2007, 2) je opredelil elektronsko poslovanje kot elektronsko izmenjavo podatkov (informacijske tokove) med podjetji, posamezniki in državno upravo; vsebine e-poslovanja so skoraj neomejene in vključujejo vse poslovne aktivnosti, ki se med navedenimi udeleženci pojavljajo. E-poslovanje dodaja »klasičnemu« poslovanju nove možnosti, ki jih ponujajo informacijske in komunikacijske tehnologije; pomeni spremembo odvijanja poslovnih procesov in organiziranosti podjetij (prav tam, 2).

9

Greenstein in Feinman (2000, 2) opredeljujeta e-commerce, kot uporabo elektronskih prenosnih medijev (telekomunikacij) za menjavo izdelkov in storitev, ki terjajo fizičen ali digitalen transport, iz ene lokacije na drugo, vključujoč kupovanje in prodajo. Avtorji knjige Skrivnosti elektronskega poslovanja ugotavljajo, da splošno priznana definicija elektronskega poslovanja ne obstaja. V glavnem pa elektronsko poslovanje obsega: distribucijo, trženje, prodajo in dobavo blaga in storitev z elektronskimi sredstvi (Osojnik, et al. 2002, 5). Avtorica knjige Elektronsko poslovanje na Internet-u, Borka Jerman Blažič (2001, 13) je elektronsko poslovanje opredelila s preprostim izrazom »poslovati elektronsko«. Tovrstno poslovanje je pomembno predvsem na štirih področjih, in sicer :

1. povezovanju med potrošniki in organizacijami, 2. notranjem poslovanju organizacije, 3. poslovanju med organizacijami 4. in poslovanju državne administracije med seboj in z občani.

Elektronsko poslovanje (electronic business) se nanaša na izvajanje poslovnih transakcij, na upravljanje odnosov s strankami in na komuniciranje tako znotraj podjetja kot med različnimi podjetji, kupci in državno upravo. Izvaja se lahko preko privatnih ali pa javnih omrežij. Najpomembnejši področji elektronskega poslovanja sta poslovanje med podjetji (business to business - B2B ali medpodjetniško poslovanje) ter poslovanje med podjetji in končnimi kupci (business to consumer - B2C) (Skrt 2002a).

2.1 Oblike e-poslovanja Glede na to, katere udeležence povezuje, ločimo naslednje oblike elektronskega poslovanja (Bobek 2007, 2):

• organizacija (podjetje) – organizacija (podjetje); Business to business B2B; • organizacija (podjetje) – posameznik (potrošnik); Business to Consumer B2C; • organizacija (podjetje) – državna uprava; Business to Government B2G; • državna uprava – državljan; Government to Citizen G2C; • državna uprava – državna uprava; Government to Government G2G; • posameznik – posameznik; Citizen to Citizen C2C.

Glede na interakcije subjektov v elektronskem poslovanju so se v literaturi in na samem področju oblikovale tri glavne vrste poslovanja (Jerman Blažič 2001, 17):

1. podjetje – podjetje (B2B) 2. podjetje – potrošnik (B2C) 3. državna uprava – državljan (G2C).

Elektronsko poslovanje med podjetji (B2B) po ocenah različnih raziskav predstavlja največji del elektronskega poslovanja. Zajema vse, od vzpostavljene povezave med prodajalci na drobno in dobavitelji (naročila, plačila,…) ter elektronskega bančništva do sodelovanja na skupnih projektih. Elektronsko poslovanje s končnimi porabniki (B2C) zajema veliko področij, ki večinoma temeljijo na poslovanju z uporabo internetnih spletnih strani. Potrošniku omogočajo

10

opravljanje raznovrstnih opravil preko domačega računalnika: od bančništva in nakupovanja do izobraževanja in dela. Pri poslovanju z državno upravo ločimo njeno poslovanje s podjetji in poslovanje s prebivalci. Prav poslovanje državne uprave s prebivalci je eno najzahtevnejše področje, ker zahteva lokalni dostop do teh storitev vseh državljanov in članov skupnosti. Napovedi kažejo, da bo ta ločitev odpravljena, ker ne bo možno neposredno ločiti, kdo je stranka in kdo poslovni partner. Stranka je lahko posameznik, ki nakupuje v spletni trgovini, poslovni partner, posameznik ali podjetje v interakciji z državno upravo. Elektronsko poslovanje je obstajalo v mnogih oblikah, še preden se je pojavil Internet. Te oblike še vedno obstajajo. Vključujejo RIP1, ki poteka večinoma po posebnih omrežjih, ki večinoma ne delujejo po protokolu TCP/IP2. Nekateri menijo, da je RIP poslovanje med podjetji (B2B) pomembnejše od Internet-a (Osojnik et al. 2002, 5). Elektronsko poslovaje podjetje - podjetje (B2B) Začetki elektronskega poslovanja med podjetji (business to business ali B2B) segajo slaba štiri desetletja nazaj, ko so se začeli uporabljati prvi EDI (Electronic Data Interchange) sistemi. Z velikim vlaganji v informacijsko tehnologijo so podjetja dosegla visoko stopnjo avtomatizacije internega poslovanja, vendar je njihova komunikacija s poslovnim okoljem še vedno temeljila na klasičnih načinih sporazumevanja (Skrt 2002a). Elektronsko poslovanje podjetje – podjetje (B2B) na tri načine (Bobek 2007, 5-8):

1. internetni RIP 2. elektronske tržnice 3. e-poslovanje z vidika poslovnega procesa.

Internetni RIP so z vidika informatike informacijski sistemi, ki omogočajo izmenjavo elektronskih poslovnih listin med partnerskimi podjetji s pomočjo internetnih tehnologij. Takšni informacijski sistemi potekajo ponavadi preko ekstraneta; zaradi tega jih imenujemo tudi internetni RIP. Ekstranet preko Interneta poveže intranet-e različnih podjetij. V internetnem RIP-u se poleg že omenjenih standardov, ki opredelijo vsebino poslovnih dokumentov pojavlja standard XML. Nekatere značilnosti RIP-a (Turban et al.1999, 245):

• omogoča pošiljanje in prejemanje velike količine podatkov širom sveta, • RIP zagotavlja poslovanje brez papirja in predstavlja precejšen prihranek denarja, • prejeti podatki so lahko takoj uporabljeni, • podjetjem je omogočen dostop v baze podatkov poslovnih partnerjev, • glede na velika potrebna vlaganja v RIP, se oblikujejo strateška partnerstva, • pri prenosu podatkov med dvema računalnikoma obstaja relativno malo napak.

Elektronske tržnice so z vidika informatike informacijski sistemi, ki pomenijo navidezni prostor, na katerem lahko elektronsko trgujejo prodajalci in kupci; omogočajo elektronsko evidentiranje in informiranje o ponudbi in povpraševanju ter elektronsko sklepanje poslov. 1 RIP- računalniška izmenjava podatkov. 2 TCP/IP- Transmition control protocol/Internet protocol- protokol za nadzor prenosa/internetni protokol.

11

Poznamo več vrst tržnic, in sicer e-tržnice z vidika lastništva, e-tržnice z vidika usmerjenosti, e-tržnice glede na področje delovanja in e-tržnice z vidika mehanizmov oblikovanja cen. E-tržnice z vidika lastništva:

• javne e-tržnice: njihov lastnik je podjetje, ki se na tržnici ne pojavlja niti kot kupec niti kot prodajalec;

• e-tržnice konzorcijev: njihov lastnik je skupina (konzorcij) podjetij, ki so izven tržnice sicer lahko konkurenti, vendar jih pri tržnici povezujejo skupni interes;

• zasebne e-tržnice: lastnik tržnice je eno podjetje, ki se pojavlja v vlogi kupca in prodajalca.

E-tržnice z vidika usmerjenosti:

• usmerjene e-tržnice: te tržnice so lahko usmerjene v nabavo (nabavne e-tržnice) ali prodajo (prodajne e-tržnice);

• nevtralne e-tržnice.

E-tržnice glede na področje delovanja: • vertikalne e-tržnice: usmerjeno so v vse procese znotraj posamezne panoge; • horizontalne e-tržnice: niso usmerjene v eno panogo.

E-tržnice z vidika mehanizmov oblikovanja cen: • e-katalogi: cene so relativno fiksne (in objavljene) z običajnimi možnimi popusti; • e-dražbe: kupci ceno dvigujejo z novim povpraševanjem; • e-obratna družba: podajalci (ponudniki) ceno nižajo z novimi ponudbami; • e-borze: ceno določa elektronski (avtomatizirani) algoritem, ki uparja ponudbo in

povpraševanje.

E- poslovanje z vidika poslovnega proces: • e-oskrbovalna veriga (angl. e-Supply Chain Management – e-SCM) je mreža podjetij, ki

se po elektronski poti povezujejo med seboj z namenom oskrbovanja nekega podjetja; • e-odnosi s kupci (angl. e-Customer Reletionship Management – e-CRM) sistemi

omogočajo elektronsko odzivanje tržnih aktivnosti. Prednosti in slabosti B2B poslovanja Razloge za hitro rast B2B poslovanja gre iskati v številnih prednostih, ki jih tovrstna oblika poslovanja prinaša podjetjem in v vse večjem prenosu B2B poslovanja na Internet. Med poglavitne prednosti sodijo predvsem nižji transakcijski in administrativni stroški, hitrost opravljanja transakcij, avtomatizacija različnih poslovnih procesov, možnost hitrejšega prilagajanja spremembam na tržišču in dostopa do globalnega trga, nove tržne priložnosti, ki se z uvedbo B2B poslovanja odpirajo podjetjem in učinkovitejše poprodajne storitve. Z uporabo sodobnih tehnologij lahko podjetja tudi bolje optimizirajo zaloge, spremljajo njihovo stanje, oblikujejo učinkovit sistem naročanja, sledijo izdelkom na njihovi distribucijski poti, itd. E-poslovanje, ki poteka skozi odprta omrežja zahteva učinkovite mehanizme, ki zagotavljajo zasebnost in varnost. Raziskava kažejo, da so v podjetjih najbolj zaskrbljeni glede varnosti

12

finančnih podatkov in zasebnosti transakcij. Opazno je tudi pomanjkanje zaupanja kupcev do elektronskih transakcij. Pogostokrat se pri e-poslovanju omenja problem znanja, ki se nanaša na pomanjkanje usposobljenega in izobraženega kadra. Udeležence B2B poslovanja skrbijo tudi težave, ki so povezane s pravno obveznostjo in pogodbami. Potencial, ki ga prinaša e-poslovanje, lahko podjetje izkoristi le, če prilagodi poslovne procese novim tehnologijam. Ker lahko prinese koristi le spremenjen način dela, ne pa tehnologija sama, se lahko ob uvedbi e-poslovanja pojavijo organizacijske težave znotraj podjetja (Skrt 2002a). Elektronsko poslovanje podjetje – potrošnik (B2C) E-poslovanje med podjetjem in potrošnikom (B2C; Business to Consumer) se odvija na e-trgu, kjer se podjetja pojavijo kot ponudniki blaga in storitev, potrošniki pa kot kupci. Potrošniki so se v e-poslovanje lahko vključili šele z uporabo Internet-a za poslovne namene, saj je bilo e-poslovanje, ki se je odvijalo preko zasebnih omrežij oziroma omrežij z dodano vrednostjo, zaradi prevelikih vstopnih pregrad, dostopno le velikim podjetjem. Aktivnosti, ki so značilne za e-poslovanje tipa B2C (Sulčič, Lesjak 2001b, 2):

• Elektronsko oglaševanje: je najobširnejša aktivnost na Internet-u; • Elektronsko založništvo: je namenjeno objavi časopisov, revij, novic, knjig in drugih

informacij na Internet-u; • Potisna tehnologija: je rešitev, ki omogoča lažje iskanje in razvrščanje želenih podatkov; • Elektronsko trgovanje: je najbolj razširjena oblika elektronskega poslovanja, ki podpira

trgovanje na veliko in malo; • Elektronsko bančništvo: s primernimi računalniškimi rešitvami omogočimo uporabnikom,

da bančne storitve opravljajo od doma ali iz službe, s čimer prihranimo čas in denar; • Finančno posredovanje in trgovanje z vrednostnimi papirji: z različnimi računalniškimi

rešitvami lahko načrtujemo in stimuliramo naložbe finančnih sredstev; • Elektronski trg delovne sile: Internet je primerno okolje za iskanje primernih

strokovnjakov kot tudi za iskanje delodajalcev: • Potovanja: s pomočjo Internet-a potrošniki pridobimo informacije o potovanjih in si s tem

znižamo stroške; • Prodaja in nakup nepremičnin: nepremičnine si ogledamo na zaslonu, s čimer prihranimo

čas in denar za dejanske oglede; • Elektronsko pravo: označuje pravno svetovanje, elektronsko arbitražo, pravno

posredovanje, pomiritvene postopke, sodne postopke in ostale pravne postopke, ki se običajno odvijajo preko Internet omrežja;

• Elektronske vloge: vključujejo večpredstavitvene samopostrežne avtomate npr. za oddajo vlog (dokumentov) za državne organe, sodstvo, upravo, itd.;

• Elektronsko zavarovalništvo: podpira vedno večjo ponudbo zavarovalniških storitev preko Internet omrežja;

• Delo na daljavo: omogoča zaposlenim opravljanje dela od doma; • Elektronsko izobraževanje.

13

2.2 Vrste e-poslovanja Toplišek (1998, 15-21) je v svoji knjigi Elektronsko poslovanje, vrste elektronskega poslovanja segmentiral v naslednje vrste: Elektronsko trgovanje V elektronski obliki so izvedljive vse vrste trgovanja: na veliko, na drobno in ne glede na vrsto blaga. Poslovanje se lahko izpelje s posamičnimi naročili, s sukcesivnimi dobavami, lahko je avtomatizirano na način RIP-a, izvedljiva so borzna blagovna trgovanja, samodejno trgovanje (po načelu kdor prej pride…ali kdor ponudi najvišjo ceno…) ipd. Čeprav imamo ustaljeno predstavo o tem, kaj pomeni izraz trgovina, se pri elektronskem trgovanju srečujemo z najrazličnejšimi izrazi. To je posledica dejstva, ker se globalno elektronsko poslovanje ne uveljavlja enakomerno v vseh tradicionalnih poslovanjih, pojavljajo pa se tudi povsem nove oblike, ki v t.i. »predelektronskem času« doslej še sploh niso bile izvedljive. Globalno elektronsko trgovanje ima za ponudnike številne prednosti: omogoča povečan trg, nižje zagonske in obratovalne stroške, vstop na neomejeno velik trg brez fizične prisotnosti, poceni distribucijo, obsežne dobave ob nižjih stroških, učinkovitejše trženjske premije. K elektronskemu trgovanju spada tudi vrsta pred in poprodajnih dejavnostih, ki so se prav tako morale prilagoditi novim informacijskim in komunikacijskim tehnikam. Z internetom se odpirajo posebne priložnosti za iskanje novih trgov. Zanimivo je, da so se izenačili nekateri pogoji poslovanja za velike in male podjetnike in da velikost organizacije ali bližina potrošniškim središčem ne pomeni več posebne prednosti. Te ugotovitve so zanimive tudi za slovenska podjetja. Elektronsko bančništvo V širšem smislu obsega elektronsko bančništvo vse bančne storitve, ki se opravljajo po elektronski poti (tudi po telefonu, prek avtomatov, terminalov…). Del teh storitev je tak, da ne potrebujejo posebnega varovanja (npr. splošne informacije), večinoma pa gre za varovane storitve s posamezno osebo. Elektronski finančni prenosi v ožjem pomenu besede so le medbančni elektronski prenosi, medtem ko gre pri finančnem RIP-u za elektronsko izmenjavanje podatkov med podjetjem in njegovo banko (npr. dajanje nalog za elektronski finančni prenos). Izkušnje samodejnega plačevanja kažejo, da je elektronsko plačevanje lahko izjemno učinkovito. Razvoj bo šel v tej smeri, da bodo komercialna plačila avtomatizirali tako, da bo plačilo le končni del samodejno izpeljane verige poslovnih postopkov. Pri tem včasih ne bo potrebno posredovanje finančne hiše ali pa njena udeležba ne bo neposredno očitna.

14

Elektronsko borzništvo Udeleženci borznega poslovanja so kaj kmalu spoznali, da jim elektronski način dela lahko zagotovi učinkovitejše delo. In to kljub temu, da tak način dela prinaša tudi določena tveganja oz. možnosti za zlorabe. Vlagateljem so na voljo sprotne izčrpne informacije o položaju njihovih naložb. Hitrost poslovanja ugodno vpliva na učinkovitejše delo in ne ovira kakovosti poslovanja. To je pomembno zlasti za investicijske družbe. Storitve na zahtevo (conditional access services) V širšem smislu spadajo sem vsa poslovanja, pri katerih potrošnik/uporabnik iz oddaljenega mesta prikliče storitev. Plačuje se glede na čas, vrsto porabe, količino ipd. Možne bodo različne vrste storitev na zahtevo, vendar danes v ožjem pomenu mednje štejejo predvsem ogledovanje filmov in videa. Elektronsko poslovanje na domu Poslovanje se seli med stene domačega stanovanja. Še do nedavnega sta se zaradi elektronske storitve morala ponudnik in potrošnik srečati fizično. Zato se pri mnogih vrstah poslovanja uporabljata izraza homeshopping in telebanking. Na elektronski način poslovanja so se lažje preusmerile tiste vrste poslovanja, ki jih je bilo možno že prej opraviti po telefonu ali telefaksu (karte za letalske in druge prevoze, turistične rezervacije, naročila borznim posrednikom…). Informacijski avtomati – kioski Deloma so naprave namenjene zgolj informiranju, razvijanju pa tudi takšne, ki bodo v pogovoru z uporabnikom svetovale ali ponujale pisne izdelke (npr. vloge za državne organe). Elektronsko založništvo Izdajajo vzporedne elektronske »tiske« ali pa izvirna dela v digitalni obliki. Deloma so te izdaje v sprotni obliki (on-line). E-založništvo v širšem smislu posega tudi na področje klasičnih medijev obveščanja, kar prinaša posebne pravne zaplete. Elektronsko zavarovalništvo Sklepanje zavarovalnih pogodb je razmeroma formularno, tj. s pomočjo vnaprej pripravljenih obrazcev in splošnih pogojev. To je idealno okolje za razvoj elektronskega načina dela. Kadar je sklenitev zavarovanja eden izmed poslovnih dogodkov v verigi, se z zavarovanjem dogaja tako, kot z drugimi povezanimi deli poslovanja: elektronsko izvedeni dogodki pritiskajo na neelektronske, ki s svojo počasnostjo ovirajo druge. Komunikacijsko – informacijske storitve To so vse storitve, ki so se pojavile zaradi nemotenega elektronskega poslovanja: npr. zagotavljanje komunikacij, povezljivost, pomožne storitve za rabo omrežij, storitve v zvezi z digitalnim popisovanjem, časovnim žigosanjem, hrambo in upravljanje s podatki…

15

Delo na daljavo Delo na daljavo je po eni strani samostojna oblika poslovanja, po drugi pa način dela, ki izrablja še druge vrste elektronskega poslovanja. Prinaša zanimive novosti na področjih, kot so: zaposlenost, organizacija dela, visoka učinkovitost pri nekaterih dejavnostih… Elektronsko poslovanje državnih in javnih služb Tretja, največja skupina v elektronskem poslovanju je poleg komercialnih udeležencev in potrošnikov (uporabnikov) javni sektor (v najširšem pomenu: uprava, sodstvo, zakonodajalec, zdravstvo, socialne in druge javne službe). Država je velik sistem in pomemben partner pri elektronskem poslovanju. Del pobud za elektronsko poslovanje javnega sektorja prihaja iz gospodarstva, saj se mora tudi država vključiti v verige nastajajočih elektronskih poslovanj (carina, davčne službe, statistika, razpisi za javna naročila). Pravne in druge javne informacije so po elektronski poti dostopne na preprost način; še zlasti, če tudi izvorno nastajajo v e-obliki. Sestavljene oblike elektronskega poslovanja Večina elektronskih poslovanj bo sestavljena tako, kot je v neelektronski obliki: naročilo - dobava - plačilo, nakup - svetovanje - vzdrževanje, trženje - oglaševanje - naročilo, itd. To so primeri zaporedij, ki jih vedno bolj zajema tudi elektronsko poslovanje. Splošne (vrstne, generične) oblike elektronskega poslovanja Nemogoče bi bilo našteti vse oblike, v kakšnih se pojavlja elektronske poslovanje. Če bi se omejili zgolj na gospodarske vrste poslovanja, bi izpustili mnoge druge. Razen tega so nekatere vrste poslovanj splošne, kar pomeni, da so kot oblika dela uporabne na katerem koli področju (RIP, avtomati, informacijski kioski, storitve na zahtevo, sestavljene oblike poslovanj…).

2.3 Prednosti in pomanjkljivosti e-poslovanja Prednosti e-poslovanja Prednosti na področju trženja Z nastankom svetovnega spleta je oglaševanje na Internet-u dobilo nov zagon. Spletne strani vsebujejo bolj neposredne informacije zaradi možnosti uporabe slik in logotipov podjetij. Ponujajo možnost oblikovanja informacij in bolj dinamično predstavitev podjetja. Pri trženju preko Internet-a moramo upoštevati, da mora biti tržno sporočilo vedno združeno s kakovostno informacijo o določeni temi ali o podjetju (Sulčič in Lesjak 2001c, 4).

16

Prednosti e-poslovanja preko Internet-a so naslednje: • Informacijo za trženje oblikujemo glede na izkazane potrebe uporabnikov – potrošnikov,

ki izhajajo iz interaktivnega načina trženja. • Potrebe strank lažje razumemo zaradi neposredne komunikacije preko omrežja. • Promocija izdelka in obdelava transakcij tečeta vzporedno, ker se ves proces trženja

izvaja na Internet-u. • Povratna zveza s strankami posreduje informacijo tudi o tem, kaj stranke kupujejo in česa

ne. • Tržna informacija nima časovne razsežnosti, ker je ves čas na omrežju (ni časovno

omejena, kot na primer na televiziji). • Ažuriranje informacije je preprosto in hitro. • Tržnikom ni treba niti imeti prodajaln in s tem povezanih stroškov (najemnina, oprema,

zavarovanje itd.). lahko pripravijo digitalni katalog z veliko nižjimi stroški kot bi ga imeli s klasičnim katalogom.

• Kupci lahko od kjerkoli naročajo izdelke 24 ur na dan. Ni jim treba sedeti v gostem prometu, iskati parkiranega prostora in hoditi mimo številnih polic, da bi našli predrago blago. Ni se jim treba peljati v prodajalno zgolj zato, da bi ugotovili, da je blago pošlo (Kotler 1996, 783).

• Odjemalci lahko dobijo veliko primerljivih informacij o podjetjih, izdelkih in tekmecih, ne da bi jim bilo treba oditi iz pisarne ali od doma. Lahko se osredotočijo na objektivne kriterije, kot so cene, kakovost, delovanje in razpoložljivost (Kotler 1996,783).

• Pri elektronskih storitvah se odjemalcem ni treba srečati s prodajalci ali se izpostaviti prepričevanju in čustvenim dejavnikom (Kotler 1996, 783).

Prednosti za podjetje Medtem, ko so v času tradicionalne RIP med seboj sodelovala le velika podjetja, se v e-poslovanje, ki temelji na spletni tehnologiji, lahko vključujejo številna majhna podjetja, ki tako preko IT prihajajo v stik z velikimi podjetji, sodelujejo pri proizvodnji/zagotavljanju zahtevnih izdelkov/storitev, s čemer pridobivajo tudi nova znanja in izkušnje. S tem jim seveda povečujejo možnosti zaslužka, saj so udeleženi na veliko ali več trgih kot brez e-poslovanja (Sulčič in Lesjak 2001c, 5). Takšno povezovanje velikih in majhnih podjetij vpliva na znižanje stroškov poslovanja na obeh straneh (Turban 1999, 216). Prednosti e-poslovanja (Turban 1999, 216-217), (Greenstein in Feinman 2000, 3):

• Nižji stroški oblikovanja, obdelave, posredovanja, shranjevanja in iskanja informacij na papirju.

• Nižji stroški skladiščenja, saj se proizvodnja sproži šele na osnovi naročila kupca (podpora koncepta »just in time« oz. »poslovanje brez zalog«.

• Hitrejše obračanje vloženega kapitala, zaradi hitrejšega odvijanja poslovnih aktivnosti. • E-poslovanje podpira prizadevanja po prenovi poslovnih procesov (BPR – business

process reengineering ali redesing), saj se s spremembo poslovnih procesov povečuje produktivnost dela v vseh fazah poslovnega procesa.

17

• Zniževanje stroškov telekomunikacij, saj je Internet veliko cenejši od omrežij z dodatno vrednostjo (VAN).

• Možnost konkuriranja majhnih podjetij velikim podjetjem. • Z minimalnimi stroški je možno pridobiti poslovne partnerje izven svojega geografskega

okolja poslovanja. • Podjetja lahko dosežejo tudi potrošnike izven meja države. • Zaradi možnosti dostopa velikega števila ponudnikov, se znižujejo stroški naročanja. • Nižji prodajni stroški in stroški marketinga. • Zaradi razvoja računalniških rešitev, omogoča spletna tehnologija povezavo podjetij s

podjetji, ki uporabljajo tradicionalno RIP.

Prednosti za potrošnika Prednosti e-poslovanja za potrošnike so (Turban 1999, 217-218):

• Velika možnost izbire prodajalcev in proizvodov/storitev ter s tem primerjava ponudbe. • V nekaterih primerih je možna hitra dostava proizvodov/storitev. • Boljše servisiranje kupcev. • Delovanje e-trgovin 24 ur na dan 7 dni v tednu, ne glede na lokacijo. • Hitro pridobivanje podrobnih informacij o proizvodih/storitvah. • Potrošnik lahko sestavlja proizvod po lastnih željah (osebni računalniki, avtomobili). • Možnost sodelovanja v virtualnih dražbah. • Možnost medsebojnega sodelovanja potrošnikov in izmenjava (primerjava) njihovih

izkušenj.

Prednosti za družbo Prednosti e-poslovanja za družbo so (Turban 1999, 218):

• Vse več ljudi dela doma, kar pomeni manj potovanja oz. manj prometa in s tem manjše onesnaževanje okolja.

• Zaradi pregleda nad cenami, ljudje kupujejo ceneje in s tem se povečuje življenjski standard tudi manj premožnih ljudi.

• Sodobne proizvode/storitve lahko pridobijo prebivalci držav »tretjega sveta« in prebivalci izven mestnih središč.

• E-poslovanje olajšuje dostop do javnih storitev in s tem znižuje stroške distribucije in povečuje kakovost storitev.

Pomanjkljivosti e-poslovanja

Tehnične pomanjkljivosti e-poslovanja so (Turban 1999, 218-219):

• še vedno pomanjkljivi sistemi varnosti in zaupnosti, neustreznost standardov in protokolov;

• nezadostna telekomunikacijska infrastruktura; • še vedno razvijajoča se programska orodja; • težave v povezovanju internetnih računalniških rešitev z obstoječimi računalniškimi

rešitvami podjetja;

18

• dodatni stroški, povezani z nabavo specializirane opreme za e-poslovanje; • tveganje, povezano z nezdružljivostjo računalniških rešitev e-poslovanja z računalniško

opremo ali z nekaterimi operacijskimi sistemi; • dostop do Interneta je za marsikaterega potencialnega kupca še predrag ali neprimeren.

Netehnične pomanjkljivosti e-poslovanja (Turban 1999, 219): • nerešena pravna vprašanja; • zakonodaja in standardi še ne predvidevaj vseh možnih okoliščin; • koristi e-poslovanja (npr. oglaševanja) so težko merljive, ker je metodologija vrednotenja

še v razvoju; • e-poslovanje se hitro razvija in marsikdo še čaka, da se razvoj nekoliko umiri, preden bi

se sami vključili v e-poslovanja; • nadaljnji razvoj e-poslovanja ovira nepripravljenost kupcev na spremembe; • obstaja prepričanje, da je e-poslovanje drago in tvegano; • še ni doseženo zadostno število kupcev in prodajalcev (t.i. kritična masa), ki je potrebno

za donosno e-poslovanje; • e-poslovanje lahko pomeni spremembo v medsebojnih človeških odnosih.

19

3 TVEGANJE E-POSLOVANJA Z razvojem računalništva in informatike ter s povezovanjem v Internet je problem varnosti postal še bolj pomemben kot včasih. Razlogi za to so (Fakulteta za računalništvo in informatiko 2007):

1. Napadalci so bolj usposobljeni in izobraženi ter imajo boljša orodja. 2. Bolj smo odvisni od informacijskih tehnologij, zato več izgubimo kot nekdaj. 3. Implementacija in upravljanje varnostne tehnologije je cenejše. 4. Svet postaja manj vreden zaupanja.

Pred nadaljevanjem moramo spoznati osnovno terminologijo (prav tam 2007): • Gostiteljski računalniški sistem (host) je računalnik, ki ga moramo varovati. To je lahko

strežni računalnik, ali pa odjemalec, ki komunicira s strežnikom. • Storitev (Service) je program v uporabniškem prostoru, ki izvaja kakšno uporabno nalogo. • Ranljivost (vulnerability) je pomanjkljivost, hiba v programu, kritična z vidika varnosti.

Napadalec išče take pomanjkljivosti v programih s ciljem, da si poviša pravice oziroma dostopnost v našem sistemu.

• Sistem za odkrivanje vdorov – IDS (intrusion detection system) poskuša odkriti oziroma preprečiti napade.

• Napad (attack) je metoda izkoriščanja ranljivosti. • Grožnja (threat) pomeni napadanje s strani motiviranega in sposobnega nasprotnika.

Lesjak in Sulčič (2003,1) sta tveganja e-poslovanja opredelila kot vsakodnevne nevarnosti, ki pretijo na nas z uporabo e-poslovanja. Te nevarnosti so lahko:

• vdor v računalniški sistem, • računalniški virusi, • onemogočanje dostopa, • zanikanje, • kraja podatkov in informacij, • vohljanje, • maskiranje, • prevzem povezav, • načrtno usmerjanje mišljenja, • …

Vsa ta tveganja pretijo na nas vsak dan, ko uporabljamo e-poslovanje. Najbolj pogosta oblika tveganja so vdori v računalniški sistem in razni škodljivi programi kot so: računalniški virusi, črvi in trojanski konji, zato bomo ti dve vrsti tveganja e-poslovanja podrobneje spoznali.

3.1 Vdori v računalniški sistem Kadar heker pridobi skrbniško geslo, lahko govorimo o vdoru. Ko ima enkrat to geslo in če ga ne odkrijemo, preden ga začne uporabljati, smo pretežno nemočni (razen če računalnik izključimo iz

20

omrežja). Začeti moramo z reševanjem podatkov iz vdrtega računalnika, formatirati disk in znova naložiti izvršilne programe iz originalnih medijev. Če vdora nismo opazili, se stvari dogajajo po naslednjem scenariju: napadalec si bo nastavil daljinski dostop do ukazane vrstice (cmd.exe) ali celo orodje za daljinsko upravljanje z grafičnim vmesnikom s skrbniškimi pooblastili, izključil spremljanje (auditing), če je vključeno, izvlekel preostale uporabniške račune in gesla ter jih skušal razbiti, namestil razne trojanske programe, programe za prisluškovanje omrežnemu prometu, iz tega računalnika vršil napade na tretje sisteme ter prikril ali odstranil sledi svojega vdora (Bratuša in Verdonik 2005, 69). Kazenski zakonik RS (2004, 28) opredeljuje neupravičen vstop v informacijski sistem:

• kdor neupravičeno vstopi v informacijski sistem ali kdor neupravičeno prestreže podatke ob nejavnem prenosu;

• kdor podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, uniči ali v informacijski sistem neupravičeno vnese kakšen podatek, ovira prenos podatkov ali delovanje informacijskega sistema.

Vdor v informacijski sistem pa kazenski zakonik RS (2004, 30) opredeljuje:

• kdor pri gospodarskem poslovanju neupravičeno uporabi, spremeni, prenaša, uniči ali v informacijski sistem vnese kakšen svoj podatek, ovira prenos podatkov ali delovanje informacijskega sistema, ali kako drugače vdre v informacijski sistem, da bi sebi ali komu drugemu pridobil protipravno premoženjsko korist ali drugemu povzročil premoženjsko škodo.

Predvsem računalniško nepooblaščeno vdiranje predstavlja glavno jedro informacijske nevarnosti. Kljub vednosti, da so ta dejanja nezakonita, pa kazenski zakonik omili kazen kršiteljev pri njegovem ravnanju, saj jih ne demotivira pri teh dejanjih, kazni so smešno nizke četudi se že sami poskusi opredeljujejo kot kaznivi. Za neupravičene vstope in vdore je zagrožena kazen do treh let, le v primeru povzročitve velike premoženjske škode je predpisana kazen do pet let. Z izredno težko možnostjo odkritja kršiteljev ter majhno verjetnostjo, da bodo kaznovani z nizkimi kaznimi, se trend nepooblaščenih vdorov dviguje in se bo dvigal še naprej (Akademska in raziskovalna mreža Slovenije 2004). Da bi lahko zaznali vdore v sistem, je potrebno razmisliti o nakupu programske opreme, ki nam bo omogočila nadzor. Pri tem se ne sme pozabiti na redno osveževanje podatkovne baze programa. Vzpostavimo učinkovite dogodkovne dnevnike (»log file«), iz katerih bo razvidno delovanje omrežja. Zapisi v teh dnevnikih nam bodo omogočili, da bomo prepoznali napade v sistem in znali nanje odgovoriti. Nadzorujemo tudi vse komunikacijske kanale, skozi katere pritekajo informacije v podjetje ali odtekajo iz njega – pozorni moramo biti predvsem na nenavadno visok promet, večkratne poskuse logiranja neznancev ali nenavadno velike količine podatkov, ki se prenašajo neznanemu uporabniku. Izdelati je potrebno tudi plan v primeru vdora v sistem (Mišič in Tomšič 2007, 16).

21

Primeri vdorov v računalniške sisteme v Sloveniji 1. Tatvina uporabniških imen in gesel za dostop do Internet-a Ponudnik internetnih storitev podjetje Siol, d. d. je leta 1998 na Policijsko upravo Ljubljana podal prijavo o zlorabi uporabniških imen in gesel za dostop v Internet. Ugotovili so, da je hekerska organizacija v spletnem strežniku, ki je bil nameščen v ZDA, uporabnikom Internet-a, ki so v obrazec vpisali svoje podatke, za 2.000 tolarjev po navadni pošti z odkupnino pošiljala ukradena uporabniška imena in gesla uporabnikom Siola. Kmalu so odkrili, da je heker, s pomočjo programa TBL preusmerjal elektronske komunikacije Siol-ovega poštnega strežnika na drugo lokacijo in zapisoval osnovne podatke o komunikaciji, med drugimi tudi ime in gesla uporabnikov. Siol je uporabnikom, katerih računi so znatno odstopali od povprečij, terjatve odpisal in sam kril stroške okoli 17,5 milijona tolarjev. 2. Neupravičen vstop v zaščiten zbirko ginekološke klinike

Ginekološka klinika Ljubljana je leta 2000 podala prijavo vdora v zaščiteno računalniško zbirko podatkov, oziroma spletni strežnik klinike. Kmalu so razkrili, da je neznani storilec vdrl v spletni strežnik klinike. Storilec naj bi prenesel vse podatke, ki so bili v spletnem strežniku ginekološke klinike. Ti podatki so vsebovali uradno spletno stran klinike, telefonski in elektronski imenik zaposlenih, podatkovne zbirke podatkov o zdravnikih in pacientkah, knjige v elektronski obliki in različno testno programsko opremo. 3. Klik NLB Eden odmevnejših dogodkov pri nas je bil prav gotovo tudi primer Klik NLB. Slovenski heker je razvil program, natančneje trojanskega konja, s katerim je obšel varnostno zaščito Klika NLB in vstopil v sistem. Tam se je igral s prenosom na svojih dveh računih in torej ni naredil nobene škode (Bratuša in Verdonik 2005, 221-224).

3.1.1 Vrste napadalcev Učinki groženj so lahko namerni ali nenamerni. Subjekt lahko nenamerno povzroči škodo zaradi svoje nesposobnosti ali pa namerno iz škodoželjnosti, zaradi pričakovanih finančnih koristi ali le zaradi publicitete. Najpogostejši napadi oziroma načini realizacije groženj v javnih omrežjih so:

• prisluškovanje komunikacijskemu kanalu in prestrezanje informacij, • ponarejanje informacij, • pretvarjanje, • nepooblaščena uporaba virov, • nepooblaščeno razkritje informacij, • zanikanje sodelovanja pri določenih dejavnostih, • onemogočanje dela oziroma uporabe virov in • analiza prometa.

22

Obravnavane napade delimo med seboj tudi glede na okolje, od koder grozijo virom. Podjetja, ki so priključena v javna omrežja, se še vedno najbolj bojijo zunanjih groženj oziroma groženj, ki prežijo nanje zunaj njihovega lokalnega omrežja. V nasprotju s pričakovanji se je v praksi pokazalo, da je večina primerov nepooblaščene uporabe virov ali razkritja zaupnih informacij posledica nedovoljenih dejavnosti subjektov znotraj lokalnega omrežja, na primer zaposlenih v podjetju (Jerman Blažič 2001, 100-101). Storilci tovrstnih napadov so najpogosteje programerji, uradniki, študentje, managerji, sistemski analitiki, operaterji in drugi uporabniki informacijskih sistemov. Razvrstimo jih lahko v tri skupine:

• zaposlene v institucijah, • storilci izven institucij (krekerji), • računalniški zagnanci (hekerji).

Več kot polovica nedovoljenih dostopov do podatkov zagrešijo uslužbenci v podjetjih. Dogaja se, da je večina varnosti namenjena zunanjim grožnjam, medtem ko na notranje napade vse pogosteje pozabljajo. Zaposleni v institucijah poznajo način poslovanja in imajo dostop do informacijskih sistemov, ki jih nepooblaščeno izkoriščajo za svoja nelegalna dejanja. Storilcem izven institucij je težje, ker morajo prodreti v informacijski sistem, za katerega ne vedo, kako deluje. Beseda heker (hacker) je izraz za računalniškega entuziasta. Običajno besedo heker povezujemo z osebo, ki želi nepooblaščeno dostopati do tujih računalnikov z namenom uničiti ali zlorabiti podatke. Mnogi hekerji se rajši imenujejo krekerji (crackers). Krekerji so hekerji, ki svoje znanje uporabljajo za dejanja brezciljnega vandalizma in tudi v sami hekerski kulturi veljajo za »ne-prave« hekerje. Varnostni sistem pa mora upoštevati dve vrsti napadalcev in sicer zunanje in notranje. Pri čemer so lahko notranji napadalci tudi naši zaposleni (Fakulteta za računalništvo in informatiko 2007). Zunanji napadalec:

• potrebuje dostop do sistema, • deluje hitro, da ga nebi odkrili, • vgradi »zadnja vrata« (trapdoors) za nadaljnji dostop in • deluje hitro v okolju, ki ga ne pozna.

Med aktivnosti zunanji napadalcev sodijo napadi virusov, črvov in drugih vsiljivcev, spam in kraja računalnikov. Notranji napadalec:

• ima dostop do sistema, • deluje lagodno, • ima zagotovljen dostop v prihodnosti, • dela v znanem okolju in, • ve, kaj je pomembno.

23

Notranji napadalci nas lahko ogrožajo na naslednje načine: • Finančne goljufije, sabotaže, posredovanje privilegiranih podatkov izven organizacije; • Zavračanje in pomanjkanje odgovornosti (»Tega nisem storil jaz!«, »Te e-pošte nisem

nikoli prejel…«) • Pretirano zaupanje v informacijsko tehnologijo (telefon in faks sta bolj zanesljiva).

3.2 Škodljivi programi

Virusi, črvi in trojanski konji so škodljivi programi, ki lahko poškodujejo računalnik in podatke v njem, upočasnijo delovanje Internet-a in uporabijo računalnik za širjenje med lastnikove prijatelje, sorodnike, sodelavce in drugam po spletu. Dobra novica je, da lahko z malo pazljivosti in razmišljanja zmanjšamo verjetnost, da bi postali žrtev teh nevarnosti (Microsoft 2004).

3.2.1 Računalniški virusi Računalniški virus je računalniški program, ki se je sposoben sam razširiti preko drugih računalniških programov ali dokumentov. Zaradi tega se računalniški virus obnaša zelo podobno biološkemu virusu, ki se širi tako, da okuži celice. Podobno kot se okužimo z biološkim virusom, se tudi računalniški program okuži z virusom. Pogosto potem rečemo, da je računalnik dobil virus. Računalniški program je v tem primeru gostitelj virusa (Fakulteta za računalništvo in informatiko 2007). Računalniški virus je sprogramiran tako, da vrine kopijo samega sebe v program, ki z njim še ni okužen ali v datoteko. Proces se ponavlja in virus se hitro širi. Seveda pa ni cilj virusa samo razmnoževanje. Ko so izpolnjeni določeni pogoji, povzroča virus tudi bolj ali manj neprijetne in škodljive nepričakovane dogodke: od padanja znakov iz zaslona, kar je lahko prav smešno, do uničenja podatkov in programov, kar lahko povzroči veliko škodo. V zadnjih letih se virusi najpogosteje širijo kot priloge (angl. Attachments) k elektronski pošti. Računalnik, ki se okuži z virusom, avtomatično pošlje elektronsko sporočilo s pripetim virusom na vse naslove v imeniku naslovnikov (angl. Address book). Primer tovrstnih virusov sta Melissa in Loveletter (Gradišar 2003, 259). Čeprav je lahko namen virusov, da uničujejo podatke, so pogosto samo nadležni. Nekateri virusi se sprožijo šele po tem, ko mine določen čas od prvotne okužbe računalnika, ob določenih časih ali ko okužijo zadostno število drugih računalnikov. Večina virusov je kljub temu usmerjena v lastno nekontrolirano reprodukcijo, kar troši računalniška sredstva, kot so procesorska moč, pomnilnik ali količina prostega trdega diska. Pred virusi se bojujemo s pomočjo protivirusnih programov, požarnih zidov in pravočasnih popravkov programa. Danes ti programi niso več namenjeni samo boju proti virusom, ampak služijo tudi preprečevanju prisotnosti vohunskega programa. Računalniški virusi so lahko sprogramirani tako, da se aktivirajo na določen datum. Tak je na primer virus Michelangelo, ki se je sprožil šestega marca 1992 (obletnica rojstva italijanskega

24

umetnika Michelangela) in na ta dan brisal vsebino trdih diskov. Ocenili so, da je virus napadel 5000-10000 PC-jev (Fakulteta za računalništvo in informatiko 2007).

3.2.2 Računalniški črvi

Črv je program ali algoritem, ki ne spreminja datotek, ampak se zasidra v dejavnem pomnilniku in se razmnožuje po računalniškem omrežju. Tako zaseda računalniške pomnilnike in omrežna sredstva ali onemogoči delovanje sistema (Gradišar 2003, 259). Črv je prav tako kot virus zasnovan z namenom širjenja v druge računalnike, vendar to naredi samodejno, tako da prevzame nadzor nad računalniškimi funkcijami za prenos datotek in podatkov. Ko se črv naseli v sistemu, lahko potuje sam. Nevaren je prav zaradi izjemne sposobnosti hitrega širjenja: svoje kopije lahko na primer pošlje na vse naslove, ki jih imate v imeniku, računalniki naslovnikov pa bi naredili isto, kar povzroči učinek domin. Velik omrežni promet, ki je posledica širjenja črva, lahko upočasni poslovna omrežja in celo Internet kot celoto. Ko se pojavijo novi črvi, se razširijo zelo hitro in zasitijo omrežja, zato moramo včasih do dvakrat dlje čakati za ogled posameznih spletnih strani (Microsoft 2004). Najbolj znani so primeri okužb svetovnih omrežij s črvom Cristmas Tree Worm (črv božičnega drevesca – december 1987) ali s t. i. Črvom INTERNET (1988), ki je uspel prodreti zelo globoko v omrežje, saj je vstopil celo v računalnike NASE in ameriške vojske ter ohromil njihovo delovanje (Hribar 1995, 21).

3.2.3 Trojanski konji

Trojanski konj je program, ki je sicer uporaben in koristen, vendar vsebuje skrite ukaze. Ti ukazi se izvršijo le, kadar je izpolnjen določen pogoj. Izvršijo se na primer, kadar je v obdelavi zapis z določeno matično številko ali z določenim bančnim računom. Takrat pride do nepričakovanih posledic, ki lahko ostanejo skrite (Gradišar 2003, 259). Trojanski konj vsekakor ne spada med prave viruse, saj se ne more sam razmnoževati in širiti po računalniku. Najdemo ga namreč v obliki uničujočega programa, ki ga programer skrije v drug, najpogosteje zelo priljubljen program, z namenom škodovati uporabnikom. Trojanski konj se od tu ne more prenesti na preostale programe v računalniku – vedno torej ostane v istem programu (Hribar 1995, 18).

3.2.4 Logične bombe Logična bomba je škodljivi program, ki ga mnogi napačno zamenjujejo z virusom. Podobno kot trojanski konj se namreč tudi ta program ne more samostojno razmnoževati po računalnikih. Logična bomba je, kakor nam že samo ime pove, program, ki ob določenem pogoju oziroma logičnem zaključku »eksplodira«. Tedaj prične s svojim uničujočim delovanjem – brisanjem

25

podatkov, formatiranjem diskov in podobnimi nevšečnostmi. Najpogosteje se sproži ob določenem datumu ali kakšnem drugem izpolnjenem pogoju. Logična bomba je lahko vključena v drug program, včasih pa deluje povsem samostojno. Primer logične bombe: programer je za neko podjetje izdelal program in vanj vključil logično bombo. Ta je nadzirala plačilne liste uslužbencev in preverjala, če je na njih tudi programerjevo ime. Ko so kasneje programerja odpustili, njegovo ime pa odstranili s plačilne liste, se je logična bomba sprožila in pričela s svojim delovanjem. Mimogrede je uničila vse pomembne podatke, ki so bili shranjeni v računalniku podjetja (Hribar 1995, 19).

3.3 Nevarnosti pri varovanju informacij Podjetja se morajo zavedati šestih pomembnih nevarnosti pri varovanju informacij in jih upoštevati (Egan 2005, 6-22): 1. Zahteve pri e-poslovanju Zaradi povečanega obsega e-poslovanja se podjetja srečujejo tudi z novimi težavami, ki jih morajo odpraviti, če želijo ostati uspešna:

• Podjetja so pod velikim pritiskom, ker morajo nove sisteme izdelati čim prej, saj lahko nova zmožnost na trgu pomeni veliko konkurenčno prednost;

• Pravočasnega in natančnega dostopa do podatkov si zaposleni, stranke in partnerji ne samo želijo, ampak ga tudi pričakujejo;

• Podjetja morajo svoje storitve ponujati na preprost in hkrati popolnoma varen način, ker hranijo zaupne podatke, kot so domači naslovi in številke kreditnih kartic;

• Sistemi morajo delovati ves čas (24 ur na dan in 7 dni na teden), ker želijo stranke imeti dostop do izdelkov in storitev kadar koli in ne samo med delovnimi urami podjetja.

IT-organizacije morajo te sisteme za e-poslovanje narediti hitre in varne, kar je precejšen zalogaj. Skupaj s pričakovanji se povečujejo tudi zahteve po zmogljivosti sistemov in tehnologije. 2. Napadi na varovanje informacij Napadi, kot so črvi, trojanski konji in virusi, lahko vsako leto povzročijo škodo v višini več milijard dolarjev. Zato podjetja takih nevarnost ne morejo več prezirati. Kraja informacijske lastnine je veliko tveganje pri varovanju informacij. Če je intelektualna lastnina v elektronski obliki, jo je veliko lažje ukrasti. Če so ti podatki shranjeni v računalnikih, ki so povezani v Internet, jih lahko tatovi ukradejo od koder koli po svetu. Za povečanje števila varnostnih incidentov so krivi trije razlogi: povečano število ranljivih točk, odpravljanje ranljivih točk, ki zahteva veliko število delovnih ur in zapletenost napadov. Ranljive točke so luknje ali pomanjkljivosti v sistemih, ki jih hekerji lahko izkoristijo za napad na sistem. Zapletenost varnostnih napadov pa se je v zadnjih letih precej povečala. Zgodnji virusi so vplivali samo na produktivnost posameznikov, niti slučajno pa niso imeli takega vpliva, kot ga imajo mešane grožnje.

26

3. Nezrelost trga varovanja informacij Trg varovanja informacij je še v povojih, sprejeta je samo peščica uradnih standardov za izdelke in storitve. Ta trg najlažje opišemo, če ga primerjamo s trgom načrtovanja porabe sredstev podjetja (enterprise resource planning – ERP), ki se je izoblikoval v zgodnjih 80. letih. Podjetja so takrat kupovala finančne sisteme, sisteme za obdelavo naročil in proizvodne sisteme od ločenih ponudnikov. Njihovo IT-osebje pa je moralo te sisteme povezati. Industrija varovanja informacij je danes v podobnem stanju. Veliko podjetij ponuja posamezne rešitve, na primer požarne zidove, ki izpolnijo samo del varnostnih potreb podjetja. Tako morajo stranke same združiti vse te rešitve. Obstajajo samo osnutki standardov in podjetja so prisiljena nameščati posamezne rešitve, ki so samo del varnostnega sistema. 4. Pomanjkanje strokovno usposobljenega osebja za varovanje informacij Zaposlitev strokovnjakov za varovanje informacij je težka naloga, ki bo po vsej verjetnosti ostala taka tudi v prihodnosti. To težavo povzročajo nezrelost rešitev varnostnih ponudnikov, omejeno število strokovno usposobljenih oseb in edinstvena prepletenost znanja, potrebnega za varovanje informacij. Podjetja bodo morala v to področje vlagati več, če bodo želela rešiti omenjeno težavo. Izobraževanje osebja je težavno zaradi nezrelega trga, pomanjkanja standardov in velikega števila ozko usmerjenih rešitev. Industrija še ni imela časa za usposabljanje osebja, ki bi lahko opravljalo te naloge. Poleg tega število nevarnosti hitro narašča, zato pa narašča tudi število potrebnih vrst tehnologije. Osebje za varovanje informacij pa temu ne more slediti. Vse to pomeni več časa in denarja za izobraževanje osebja. 5. Vladna zakonodaja in industrijski pravilniki Varnostni incidenti in povečano zanašanje na Internet so spodbudile vlade po vsem svetu, da so sprejele dodatno zakonodajo za uravnavanje tehnološkega ekosistema. Ta zakonodaja pokriva več področij: od zasebnosti potrošnikov do specifičnih pravilnikov za posamezne industrije, kot je zdravstvo in finančne storitve. Ker je Internet dostopen po vsem svetu, je treba te pravilnike nujno razumeti in jih upoštevati. Podjetja, ki pravilnike upoštevajo in tako strankam ponujajo varne načine poslovanja, se prav po tem razlikujejo od konkurentov. 6. Mobilna delovna sila in brezžična omrežja Pojav prenosnih računalnikov je zelo spremenil naš vsakdan. Število prenosnih računalnikov že presega število namiznih računalnikov. S prenosnim računalnikom lahko zaposleni delajo kjer koli in kadar koli. Z vidika varnosti pa obstajata dve težavi: vso zaščito, ki je na voljo v pisarni, je treba prestaviti tudi v prenosni računalnik in na druge prenosne naprave. Poleg pomanjkanja varnostnih orodij v prenosnih napravah, obstaja pri prenosnih napravah z intelektualno lastnino s podatki o strankah ali z drugimi občutljivimi informacijami, tudi nevarnost kraje ali izgube naprave.

27

Pri varovanju informacij se pojavljajo vsa večja tveganja, vendar si podjetja tveganja ne morejo privoščiti, ker imajo v sistemih pomembne podatke, ki bi v napačnih rokah lahko povzročili prekinitev poslovanja. Zato morajo dobro premisliti, preden začnejo uporabljati brezžično tehnologijo.

28

4 TEHNOLOŠKI IN OPERATIVNI VIDIKI E-POSLOVANJA

4.1 Načini varovanja in zaščite

Bistvo varnosti v elektronskem poslovanju je preprečevanje nepooblaščenega zmanjševanja vrednosti virov. Viri so lahko zaupni podatki, na primer poslovne skrivnosti, številke kreditnih kartic in elektronski dokumenti o zdravstvenem stanju pacienta, ali pa strojna in programska oprema sistemov, povezanih v javno omrežje. Način zagotavljanja varnosti je odvisen od vrednosti virov, potencialnih groženj in učinka teh groženj. Pri obravnavi varnosti v elektronskem poslovanju je zato vedno treba upoštevati:

• vire, ki imajo za njihove lastnike določeno vrednost, • nevarnosti, ki pretijo virom, • možne ranljivosti, • napade oziroma načine realizacije groženj, • učinke realizacije groženj na vire, • varnostne ukrepe za zaščito virov.

Osrednja točka varovanja pri elektronskem poslovanju so torej viri in njihova vrednost. Splošne kategorije virov, ki jih mora varnostna infrastruktura zaščititi pred zmanjševanjem vrednosti, so podatki oziroma informacije pri prenosu in hranjenju, strojna in programska oprema, uporabniki in odnosi med njimi ter dokumentacija o postopkih, strojni in programski opremi v sistemu ali omrežju. Nevarnosti, ki grozijo omenjenim skupinam virov je več vrst, prav tako je več učinkov in načinov realizacije groženj. Lokalni sistemi in viri, ki so dostopni skozi javno omrežje, morajo biti zaščiteni pred uničenjem ali nepooblaščeno uporabo. Zaupne informacije je treba zaščititi pred razkritjem, podatke pri prenosu ali med hranjenjem pa pred nepooblaščenimi spremembami (Jerman Blažič 2001, 99-100). Poznamo več načinov, da zavarujemo in zaščitimo razne podatke oziroma informacije ter strojno in programsko opremo. Ti načini so fizično varovanje in tehnično varovanje. Zaščitimo pa se lahko tudi z sistemom za odkrivanje vdorov - IDS, ki poskuša odkriti oziroma preprečiti napade, ki pretijo na nas. Fizično varovanje Fizična varnost je prvi korak pri zaščiti računalniških in komunikacijskih naprav. Ukrepi za fizično varnost zmanjšujejo tveganje, da bo prišlo do okvar občutljivih naprav in nesreč zaradi neposrednega fizičnega delovanja okolja. Povečevanje fizične varnosti se začne z enostavnimi ukrepi, kot je prepoved uživanja hrane in pijače ter kajenja v bližini računalniške opreme. Naslednji korak pri povečevanju fizične varnosti je preprečevanje dostopa v prostore, kjer so računalniki, komunikacijski centri in podatki, osebam, ki za to niso pooblaščene. Fizična zaščita naprav in podatkov je zlasti pomembna v organizacijah, kjer bi izpad sistema ali izguba podatkov povzročila še posebej veliko škodo, kot so letalski prevozniki, banke itd. (Gradišar 2003, 263-264).

29

Najboljše fizično varovanje osebnih podatkov je zaklepanje, ki je še vedno relativno staromodno. Zlorabo osebnih podatkov tako najpogosteje preprečijo zaklenjena vrata in predali ali pozoren uslužbenec. Kartoteke, dokumente, zgoščenke, DVD-je in druge medije, ki vsebujejo osebne podatke je potrebno shraniti v ognjevarno omaro, prostore v katerih se nahajajo osebni podatki pa zakleniti. Omejimo tudi dostop zaposlenim do osebnih podatkov. Naj imajo dostop zgolj tisti zaposleni, ki osebne podatke potrebujejo pri svojem delu. Zaposlene posebej opozarjamo, da ne puščajo dokumentov z osebnimi podatki na mizah, ko v pisarni ne bo nikogar, ali ko jih ne bodo uporabljali. Od svojih zaposlenih zahtevamo, da po končanem delu zaklepajo omare in pisarne, računalnike pa zaklenejo z geslom. Zaščitimo objekt, v katerem opravljamo dejavnost, tako z alarmom kot tudi z izobraževanjem delavcev. Ti naj vedo, kako ravnati, če ugotovijo, da se v objektu nahaja nepooblaščena oseba. Omejimo dostop do določenih osebnih podatkov in poskrbimo za sledljivost obdelave osebnih podatkov. Dobra sledljivost pomeni, da nam ta omogoči ugotavljanje, kdo je zbiral osebne podatke, kdo jih je obdeloval, kdaj in s kakšnim namenom (Mišič in Tomšič 2007, 11 ). Tehnično varovanje Za zagotovitev varnostnih storitev so na voljo različne metode. Njihova izbira je odvisna od zahtevanih varnostnih storitev, stopnje zaščite in oblike sistema. Poleg fizičnih varnostnih sistemov se v elektronskem poslovanju za zaščito pogosto uporabljajo kriptografski mehanizmi. Kriptografija je veda o zakrivanju sporočil. V preteklosti je bila predvsem domena vojaških krogov, z razvojem računalniških omrežij pa je doživela velik razmah tudi v vsakdanjem življenju. Kriptografija je namreč za šifriranje, elektronsko podpisovanje, postopke za preverjanje identitete, nadzor dostopa, zagotavljanje neokrnjenosti ter beleženja in nadzora. Šifriranje se uporablja predvsem za zagotovitev zaupnosti, elektronski podpisi so nadomestek običajnih podpisov, namen ostalih varnostnih mehanizmov pa povejo že njihova imena. Za preverjanje identitete subjektov so na primer na voljo navadna gesla, enkratna gesla in različni kriptografski protokoli, nadzor dostopa pa je mogoče zagotoviti na podlagi seznamov za nadzor dostopa ali pooblastil. Preprečevanje zanikanja običajno dosežemo z digitalnimi podpisi, v kombinaciji z ostalimi mehanizmi (Jerman Blažič 2001, 101-102). Tabela 1: Tehnološke rešitve pri zagotavljanju varnosti elektronskega poslovanja

Nevarnost Rešitev Funkcija rešitve Prestrezanje podatkov,

njihovo branje in spreminjanje.

Šifriranje (entkripcija)

S šifriranjem onemogočimo ponarejanje podatkov, tudi

če jih kdo prestreže. Uporabnik uporablja tujo

identiteto in nekoga ogoljufa.

Verodostojnost (digitalni podpis)

Preveri se identiteta pošiljatelja in prejemnika.

Neavtoriziran uporabnik na enem omrežju dobi dostop

do drugega omrežja.

Požarni zid (firewall)

Filtrira promet oz. preprečuje dostop določeni

vrsti prometa. Vir: Kosiur 1997, 178

30

Zaščita z IDS IDS je kratica angleškega izraza »Intrusion Detection System«, kar pomeni programsko opremo za pridobivanje podatkov o okolju, potrebnih za analizo obnašanja sistema in odkrivanja varnostnih lukenj, poskusov vdorov, odprtih ranljivosti, ki bi lahko pripeljale do potencialnih vdorov. Sistem IDS temelji na spremljanju vrste podatkov o varovanem računalniškem sistemu. Ti so:

• dolgoročni podatki – baza znanja o napadih (statično), • podatki o konfiguraciji – model trenutnega stanja (statično) in • revizorski podatki – opisujejo dogodke (dinamično).

Pri zaščiti z IDS moramo biti pozorni na:

• sumljive vzorce aktivnosti - na primer večkratno vnašanje napačnih gesel kaže na ugibanje gesel;

• zapisovanje dogodkov (Audit log) - zapisovanje časa, uporabnika, tipa vseh dostopov do objekta, kar olajša obnavljanje in razvoj boljših varnostnih mer;

• periodično skeniranje sistema za odkrivanje varnostnih lukenj - to delamo, ko je računalnik manj obremenjen;

• kratka gesla, ki jih je lahko uganiti; • neavtorizirane programe; • nepričakovane stalno tekoče programe; • napačne zaščite direktorijev; • napačne zaščite sistemskih podatkovnih datotek; • spremembe v sistemskih programih;

Slabosti oziroma omejitve varovanja s sistemom IDS so naslednje:

• obstoječe tehnike odkrivanja vdorov so usmerjene v nizkonivojsko opazovanje; • oprema je enostavna, imamo pa ogromne količine podatkov; • potrebno je veliko računanja; • difuzen pomen aktivnosti uporabnika; • odkrivanje vdora terja sintezo teh podatkov; • največkrat ugotovimo napad po dejanju.

4.2 Protivirusni programi Protivirusna programska oprema pomaga preprečiti okužbe računalnikov z virusi, s črvi in trojanskimi konji. Strokovnjaki tem »elektronskim boleznim« pravijo zlonamerna koda. Hekerji izdelajo na stotine virusov vsak mesec, kar pomeni, da moramo protivirusno programsko opremo redno posodabljati z novimi opisi virusov. Le tako si zagotovimo najnovejše »zdravilo« (Egan 2005, 37). Protivirusni programi pa vseeno niso vsemogočna zaščita, saj je na prvem mestu še vedno uporabnikova osveščenost (Bratuša in Verdonik 2005, 203).

31

Protivirusni programi uporabljajo dva načina za zaščito sistemov pred zlonamerno kodo: podpise virusov in hevristiko. Podpisi virusov so podobni človeškim podpisom. Temu načinu pravimo »reaktiven«, ker moramo podpis virusa poznati vnaprej, če ga želimo zaznati in se zaščititi pred njim. Ker so virusi tako dinamični je protivirusna industrija razvila bolj »proaktiven« način, ki mu rečemo hevristika. V tem načinu protivirusni program išče vzorec, ki lahko zazna morebitne viruse. Pri tem se zanaša na zbirko podatkov o znanih vrstah virusov. Protivirusni programi so obvezen sestavni del programa za varovanje informacij, ker število virusov narašča in ker jih čedalje več za širjenje uporablja e-pošto (Egan 2005, 37-38). Kot smo že omenili je računalniški virus posebna vrsta računalniškega programa, ki se širi s kopiranjem samega sebe v skrivni obliki. Ta okužba se širi od računalnika do računalnika in od organizacije do organizacije na veliko načinov. Da se pred virusi zaščitimo moramo upoštevati naslednje korake (Osojnik et al. 2002, 123-124):

• Priprava: izdelava varnostnih kopij za vso programsko opremo, vključno z operacijskim sistemom in izdelava načrta obnove.

• Preprečitev: dvig uporabniške kulture in namestitev ustrezne programske opreme. • Odkritje: uporaba protivirusne programske opreme za odkrivanje in odpravljanje

računalniških virusov. • Odstranitev: brisanje okuženih datotek in reševanje okvarjenih podatkov.

Da se izognemo okužbi z virusom je zelo pomembno, da se upoštevajo nekatera osnovna pravila (prav tam 2002, 124):

• Ne smemo odpirati priponk, ki smo jih prijeli od nepoznanih pošiljateljev in ne poznamo vsebine;

• Skrbimo za redno posodabljanje protivirusnih programov; • Še posebej moramo biti pozorni, če je priponka izvajalni program (ima končnico.exe,

.vbs, .cmd, .bat,…); • Bodimo pozorni v primerih, ko ima priponka podvojene končnice; • Če nimamo avtomatskega odkrivanja virusov priponko prepišemo v posebno mapo in jo

preverimo z najnovejšim protivirusnim programom;

4.3 Metode za zagotovitev varnosti v e-poslovanju

V tem poglavju bomo spoznali nekaj metod za zagotovitev varnosti v elektronskem poslovanju, kot so: šifriranje, digitalni podpis, digitalno potrdilo, infrastruktura javnih ključev in protokol za varni prenos. Šifriranje in elektronsko podpisovanje sta najpomembnejša, saj lahko z njuno pomočjo zagotovimo zaupnost, overjenost, neokrnjenost podatkov in preprečevanje zanikanja (Jerman Blažič 2001, 102).

4.3.1 Šifriranje Koncept varovanja sporočil s šifriranjem je precej star, saj je že Julij Cezar iznašel algoritem, s katerim je šifriral sporočila, ki jih je pošiljal svojim generalom. Skozi vso zgodovino uporabe

32

šifrirnih algoritmov se je vedno pojavljal problem izmenjave in vzdrževanja ključev za šifriranje. Algoritmi, ki so se uporabljali v preteklosti, sodijo v skupino tako imenovanih simetričnih šifrirnih algoritmov. Velik napredek v šifriranju je pomenila iznajdba asimetričnega šifriranja sredi 70-ih let (Osojnik et al. 2002, 125). Transformacijo podatkov v obliko (tajnopis), ki onemogoča njihovo razumevanje in tako ohranja tajnost, imenujemo šifriranje, nasprotni proces pa dešifriranje. Pri šifriranju in dešifriranju sta pomembna postopka zakrivanja in razkrivanja podatkov, imenovan tudi kriptografski algoritem, in šifrirni ključi, ki določajo delovanje algoritma. V preteklosti so bili postopki tajni, saj je že njihovo poznavanje zadostovalo za razkritje zaščitenih podatkov. Modernejši algoritmi so večinoma znani do podrobnosti vsakomur, skriti morajo ostati le šifrirni ključi (Jerman Blažič 2001, 102). Verjetnost, da bi nekdo na nedovoljen način prišel ne samo do podatkov, ampak tudi do metode šifriranja, se zelo zmanjša. To ne velja, če je metoda preveč preprosta in jo je mogoče hitro odkriti, kot na primer zamenjava črk ali izpis besed v obratnem vrstnem redu. Bolj zapletene metode, kjer se na primer pravila šifriranja menjavajo pa je skoraj nemogoče razvozlati. Danes se najpogosteje uporabljata simetričen sistem zasebnih ključev in asimetričen sistem javnih ključev. Pri tem je ključ skrivni podatek, ki se uporabi pri šifriranju ali dešifriranju. Ključ je parameter šifre, v katerem je zajeta vsa skrivnost pri šifriranju (Gradišar 2003, 267). Simetrično šifriranje Simetričen sistem uporablja en sam sorazmerno kratek zasebni ključ, ki ga poznata pošiljatelj in prejemnik. Preden pošiljatelj pošlje sporočilo, ga šifrira s tem ključem. Prejemnik pa s tem istim ključem potem sporočilo dešifrira (slika 1). Pomanjkljivost simetričnega šifriranja je, da ključ poznata najmanj dva in da za vsakega, s katerim komuniciramo, potrebujemo drugačen ključ. Poleg tega lahko ključ kdo ukrade, medtem ko ga pošiljatelj pošilja prejemniku (Gradišar 2003, 268). Šifriranje je torej podobno zaklepanju s ključavnicami v vsakdanjem življenju. Običajno lahko namreč ključavnico odklenemo le s tistim ključem (ali z njegovo kopijo), s katerim smo jo prej zaklenili (Jerman Blažič 2001, 102). Slika 1: Simetrično šifriranje

Vir: Gradišar 2003, 268

33

Problem uporabe simetrične kriptografije v javnih omrežjih je, kako skupni šifrirni ključ varno razdeliti pooblaščenim subjektom. Vsak naslovnik šifriranega sporočila mora namreč imeti pri sebi ključ, s katerim je bilo sporočilo zaščiteno, da bi lahko sporočilo dešifriral in razbral vsebino. Vsaj pred začetkom prve vzpostavitve zveze si morajo zato subjekti ključ izmenjati osebno, če želijo ohraniti skrivnost zase. V današnjem času, ko komuniciramo z ljudmi po vsem svetu, je tak postopek seveda nesprejemljiv, če ljudi nadomeščajo računalniki, pa celo nemogoč. Simetrični algoritmi se zato uporabljajo v kombinaciji z drugimi algoritmi, ki omogočajo varno izmenjavo ključev, ali pa v manjših skupinah ljudi, kjer problem upravljanja ključev ni tako velik (Jerman Blažič 2001,103). Asimetrično šifriranje Pri asimetričnem šifriranju ključa za šifriranje in dešifriranje nista enaka (Jerman Blažič 2001, 103). Zasebni ključ je zaupen, tako da ga pozna samo lastnik. Javni ključ pa je na voljo vsem možnim dopisnikom. Sporočilo šifrirano z zasebnim ključem lahko dešifriramo z javnim in obratno. Navadno pošiljatelj šifrira sporočilo s prejemnikovim javnim ključem. Samo prejemnik ga lahko dešifrira. S tem je pomanjkljivost simetričnega sistema odpravljena. Poleg tega pa sistem javnih ključev omogoča tudi elektronski podpis (Gradišar 2003, 268). Slika 2: Asimetrično šifriranje

Vir: Gradišar 2003, 269 Slabosti asimetričnih kriptosistemov v primerjavi s simetričnimi sta predvsem hitrost šifriranja in dešifriranja ter overjanja javnih ključev. Asimetrični kriptoalgoritmi so veliko počasnejši od simetričnih, zato jih le redko uporabljamo za šifriranje daljših sporočil. Običajno šifriramo podatke s simetričnim kriptoalgoritmi, ključe za te algoritme pa z asimetričnimi. Kriptosisteme javnih ključev torej uporabljamo pri šifriranju večinoma le za razdeljevanje ključev (Jerman Blažič 2001, 104).

4.3.2 Digitalni podpis V svetu se je pričelo uveljavljati razlikovanje, ki uporablja pojem elektronski podpis za vse možne oblike podpisa, dobljene z elektronsko tehnologijo, medtem ko naj bi bil digitalni podpis le tisti, ki ga dobimo s šifrirnimi postopki. Ali še ožje: digitalni podpis je šifriran na način

34

asimetričnega dvojnega ključa, in sicer s sistemom javnega potrjevanja ključev (Toplišek 1998, 30). Elektronski podpis je nadomestek lastnoročnega podpisa v elektronskem poslovanju in je namenjen preverjanju prisotnosti podatkov ter identifikaciji podpisnika. Za elektronsko podpisovanje obstaja več metod. Primeri zelo enostavnih so vključevanje slike lastnoročnega podpisa v dokument, podpisovanje z elektronskim peresom ali metode na podlagi simetričnih kriptografskih algoritmov, na primer MAC (Message Authentication Code). Enostavne metode ne zagotavljajo tako visoke stopnje varnosti kot digitalno podpisovanje, ki temelji na asimetrični kriptografiji. Prednost slednjih metod v primerjavi z lastnoročnim podpisom je v tem, da zagotavljajo neokrnjenost podpisanega dokumenta (Jerman Blažič 2001, 106). Elektronski podpis lahko uporabljamo zgolj kot dodaten varnostni mehanizem, ki poviša nivo varnosti v računalniški aplikaciji. Vendar pa ne gre samo za tehnični ampak tudi pravni termin. Elektronski podpis je namreč tisti varnostni element, ki zagotavlja dokumentu v elektronski obliki pravno veljavo, npr. račun v elektronski obliki ima status verodostojne knjigovodske listine (Lesjak 2005). Elektronski podpis je torej elektronski ekvivalent lastnoročnega podpisa. Podobno kot »tradicionalni« podpis zagotavlja v povezavi z osebno izkaznico avtentikacijo podpisnika. Dodatno zagotavlja elektronski podpis tudi celovitost (nespremenljivost) sporočila, podpisnik pa ne more zanikati, da je prav on dokument podpisal (nezatajljivost). Poenostavljen prikaz izvedbe elektronskega podpisa je prikazana na sliki 3. Izvorno sporočilo, ki se nahaja v levem delu slike, podpiše njegov pošiljatelj. Pri tem uporabi svoj zasebni ključ, elektronski podpis pa skupaj s svojim digitalnim potrdilom in izvornim sporočilom združi v podpisano sporočilo. Na desni strani slike prejemnik s pomočjo javnega ključa, ki ga dobi iz pošiljateljevega digitalnega potrdila, preveri veljavnost podpisa, s čimer potrdi njegovo celovitost. Iz podatkov v digitalnem potrdilu lahko identificira podpisnika (Lesjak 2005). Slika 3: Poenostavljen prikaz izvedbe elektronskega podpisa

Vir: Lesjak 2005

35

Seveda pa elektronski podpis ne bi veljal, če ne bi bilo možno dokazati, da je par javnega in zasebnega ključa pripada točno določeni osebi. Zato obstajajo posebne agencije za overjanje, ki dodeljujejo pare ključev določeni osebi na osnovi dokumentov, s katerimi ta dokaže svojo istovetnost (Gradišar 2003, 269). 15. člen zakona o elektronskem poslovanju in elektronskem podpisu določa, da je varen elektronski podpis, overjen s kvalificiranim potrdilom, enakovreden lastnoročnemu podpisu ter ima zato enako veljavnost in dokazno vrednost (ZEPEP). Obstajajo že številne aplikacije, ki imajo vgrajen mehanizem elektronskega podpisovanja in overjanja tega elektronskega podpisa. Vendar je potrebno določiti podpisano vsebino, ki bo zagotovila pravno veljavnost elektronsko podpisanega dokumenta (tudi za njegovo dolgotrajno hrambo oziroma arhiviranje). Ena od osnovnih zahtev je, da mora biti dokument, ki se podpisuje, podpisniku ustrezno predstavljen. Dokument ne sme vsebovati skritih dodatkov, ki se jih podpisnik ne zaveda oziroma jih ne vidi, format dokumenta pa mora biti natančno določen (Zupančič 2003). Za večjo varnost je priporočljivo, da zasebni ključ hranimo na pametni kartici. Pametna kartica je plastična kartica velikosti kreditne kartice, ki vsebuje čip. Pomembna lastnost pametnih kartic je v tem, da zasebni ključ ne zapusti pametna kartice, zato tudi ni nevarnosti, da bi bil razkrit. Šifriranje in digitalno podpisovanje namreč potekata na sami kartici. Dostop do kartice je zaščiten z geslom, sodobnejše kartice pa imajo vgrajene tudi čitalnike prstnih odtisov, s čimer kartico res lahko uporablja sam njen lastnik (Jerman Blažič 2001, 109).

4.3.3 Digitalno potrdilo Digitalno potrdilo je računalniški zapis, ki povezuje javni ključ z njegovim lastnikom in predstavlja sodobno alternativo osebnim identifikatorjem. Digitalno potrdilo tako sestoji iz: javnega ključa lastnika, osebnih podatkov o lastniku, podatkov o izdajatelju in podatkov o obdobju veljavnosti digitalnega potrdila. Digitalno potrdilo je digitalno podpisano z zasebnim ključem izdajatelja. Lastnik digitalnega potrdila je lahko oseba, aplikacija, informacijski sistem, podatkovna baza itd. (Osojnik et al. 2002, 127). Digitalno potrdilo (angl. Digital Certificate) je sodobna alternativa klasičnim osebnim dokumentom (osebna izkaznica, potni list, bančna kartica…) za legitimno in varno e-poslovanje. Overitelj oziroma izdajatelj digitalnih potrdil je ustanova, kateri imetniki digitalnih potrdil zaupajo in jo pooblaščajo, da upravlja z njihovimi digitalnimi potrdili (Grobelnik et al. 2002, 11). Pred uporabo javnih ključev, na primer pri šifriranju ali digitalnem podpisovanju, moramo biti povsem prepričani, da ključ res pripada naslovniku šifriranega sporočila oziroma domnevnemu podpisniku podpisanega sporočila. Overjanje javnih ključev je zato temeljni pogoj za uporabo varnostnih mehanizmov, ki temeljijo na asimetrični kriptografiji. Preverjanje povezave med uporabnikom in njegovim ključem omogočajo v elektronskem poslovanju posebne ustanove, imenovane overitelji oziroma agencije za certificiranje javnih ključev (AC). Overitelj izda lastniku javnega ključa digitalno podpisano potrdilo (digitalni certifikat), s katerim zagotavlja

36

drugim uporabnikom avtentičnost ključa. S pomočjo tega potrdila lahko lastnik dokaže lastništvo ključa in s tem tudi svojo identiteto (Jerman Blažič 2001, 109). V Sloveniji so trenutno v skladu z zakonom registrirani štirje kvalificirani izdajatelji digitalnih potrdil: CVI SIGEN-CA3 (SIGEN-CA4 za državljane in pravne osebe ter SIGOV-CA5 za upravo Republike Slovenije), Halcom, Nova ljubljanska banka in Pošta Slovenije. Vendar trenutno v Sloveniji ni mogoče uporabiti enotnega digitalnega potrdila za povezovanje z različnimi skupinami organizacij in ustanov, uporabljajo se digitalna potrdila posameznih izdajateljev le v posameznih okoljih. Posledica tega je, da mora podjetje uporabljati različna digitalna potrdila za elektronsko poslovanje z drugimi podjetji, finančnimi institucijami in državno opravo (Zupančič 2003). Delovanje izdajateljev je določeno z Zakonom o elektronskem poslovanju in elektronskem podpisu ter politiko delovanja, ki določa razmerja med imetniki in izdajateljem digitalnih potrdil (Dobnikar 2002).

4.3.4 Infrastruktura javnih ključev Na začetku je večina podjetij upravljala ključe in digitalna potrdila ročno na nivoju posamezne aplikacije. Takšen pristop je popolnoma zadovoljiv v primeru zmernega števila uporabnikov in malega števila aplikacij. Z rastjo uporabe javnih ključev postaja vzdrževanje takšnega sistema kompleksnejše. V ta namen se danes večina podjetij odloča za uvajanje avtomatiziranega in združenega upravljanja s ključi, ki večinoma temelji na infrastrukturi javnih ključev (Public Key Infrastructure – PKI). Termin »infrastruktura javnih ključev« je posledica para ključev - javnega in zasebnega, ki pripadata digitalnemu potrdilu. Ker izmenjava ključev pri velikem številu uporabnikov oz. lastnikov digitalnih potrdil ni enostavna ali celo možna (kjer ni možno, da vsi uporabniki osebno izmenjajo javne ključe), je potrebna neka javno dostopna baza podatkov oz. imenik, ki hrani potrdila z javnimi ključi. Običajni izraz za organizacijo, ki omogoča dostop in skrbi za imenik z digitalnimi potrdili je overitelj ( Certification Autrority – CA) (Osojnik et al 2002, 127). Poleg agencij za overjanje javnih ključev, lastnikov certifikatov in uporabnikov certifikatov imajo pomembno vlogo agencije oz. uradi za registracijo (AR). Ti uradi ne izdajajo certifikatov, lahko pa registrirajo naročnika, ki zaprosi za certifikat, preverijo njegovo identiteto in poznavanje javnemu ključu pripadajočega zasebnega ključa. Pomembnejše storitve infrastrukture so dodeljevanje imen posameznikom in institucijam, registracija in identifikacija naročnikov certifikatov, podpisovanje javnih ključev, podaljšanje veljavnosti javnega ključa, zamenjava para ključev, objava certifikatov, preklic certifikata oziroma javnega ključa in objava seznama preklicanih certifikatov. Veljavnost javnega ključa lahko njegov lastnik ali izdajetelj tudi prekličeta, podobno kot prekličemo veljavnost kreditnih kartic ali izgubljenih osebnih listin (Jerman Blažič 2001, 111-112).

3 CVI SIGEN-CA: Center vlade Republike Slovenije za informatiko 4 SIGEN-CA: Slovenian General Certification Authority 5 SIGEN-CA: Slovenian Governmental Certification Authority

37

Tri najpomembnejše komponente pri PKI so (Osojnik et al 2002, 127-128): • CA, katerega naloga je izdajanje in podpisovanje digitalnih potrdil. • Banka digitalnih potrdil in preklicev digitalnih potrdil (Certificate Revocation List -

CRL). • Nadzorna postaja.

4.3.5 Protokol za varni prenos Najbolj znana metoda za zaščito podatkov na omrežni ravni je standard IPSec6. IPSec lahko poleg vzpostavitve navideznega zasebnega omrežja uporabimo tudi za varen dostop do omrežja. Bistveno za IPSec je, da varujemo vse podatke na ravni IP, ne glede na to, ali uporabljamo aplikacije, ki imajo vgrajene varnostne mehanizme, ali ne. Prednost takega načina varovanje podatkov pri prenosu je tudi v tem, da je transparent za uporabnike (Jerman Blažič 2001, 118). Varnost na ravni IP zagotavlja v IPSec dva mehanizma: AH (Authentication Header) in ESP (Encapsulating Security Payload). Prvi zagotavlja neokrnjenost in overjanje podatkov, ESP pa vedno zagotavlja neokrnjenost in zaupnost, po izbiri pa tudi overjanje. Pomemben del standarda IPSec je izmenjava ključev. Upravljanje ključev je lahko ročno, ko administrator sistema ročno vstavi potrebne ključe v sistem za komunikacijo, ali avtomatično, ko se računalniki sami dogovorijo za skupni ključ (Jerman Blažič 2001, 118-119).

4.4 Varovanje podatkov in informacij Varovanje podatkov postaja v sodobni informacijski družbi vse pomembnejše. Če je še pred leti med laiki veljalo prepričanje, da je šifriranje podatkov nekaj, kar uporabljajo obveščevalne službe, banke in paranoiki, se danes tudi v splošni javnosti vse več govori o programih za omejevanje dostopa do občutljivih podatkov. Slednji niso nujno le finančni in drugi poslovni podatki - tudi fotografija, video posnetek ali elektronsko sporočilo lahko povzročijo veliko škodo, če se znajdejo v nepravih rokah (Marn 2007). Končni namen varovanja osebnih podatkov je varovanje informacijske zasebnosti. To pomeni, da je varovanje podatkov eden od vidikov splošne človekove pravice do zasebnosti. Vsakdo ima pravico, da sam odloča, kdaj, komu in v kakšni obliki bodo sporočeni podatki, ki se nanašajo nanj. Pri varovanju podatkov in informacij ne gre le za varstvo elektronskih podatkov ampak govorimo tudi o varstvu podatkov, zbranih in hranjenih na kateri koli način. Zanimivo pa je, da večina ljudi pri omenjanju varstva osebnih podatkov pomisli na elektronske zbirke podatkov in ne na katere druge. To kaže na razširjeno mnenje, da so ogroženi še zlasti podatki v elektronski obliki. Gre namreč za strukturirane podatke, ki jih je možno učinkovito obdelovati. Nasprotno pa so mnogi ročno pripravljeni podatki manj strukturirani (Toplišek 1998, 104).

6 IPSec: Internet Protocol Security

38

Varstvo osebnih podatkov je mednarodno priznana in posebna ustanovna pravica, ki je v Sloveniji podrobneje obdelana v Zakonu o varstvu osebnih podatkov (Toplišek 1998, 103). Zakon o varstvu osebnih podatkov (ZVOP) opredeljuje, da se z varstvom osebnih podatkov preprečujejo nezakoniti in neupravičeni posegi v zasebnost posameznika pri obdelavi osebnih podatkov, varovanju zbirk osebnih podatkov in uporabi le-teh (Uradni list RS 59/1999). Osnova zavarovanja osebnih podatkov mora temeljiti na petih osnovnih načelih (Mišič in Tomšič 2007, 5-24):

1. Ugotavljanje katere osebne podatke posedujemo v svojih datotekah in v računalnikih. Osnova učinkovitega zavarovanja osebnih podatkov se v prvi vrsti začne z ugotavljanjem, katere osebne podatke sploh obdelujemo. Pri tem moramo ugotoviti tudi, kako smo jih pridobili in zakaj, kakor tudi, kdo vse ima dostop do osebnih podatkov, ki jih obdelujemo. Preveriti moramo tudi, kolikšen obseg obdelave osebnih podatkov imajo osebe, ki obdelujejo osebne podatke. Če še nimamo izdelanega postopka svojega poslovanja, moramo izdelati tudi učinkovito preglednico (»workflow«).

2. Zmanjševanje števila osebnih podatkov, ki jih ne potrebujemo. Od svojih strank moramo zbirati samo tiste osebne podatke, ki jih pri svojem delu potrebujemo, oziroma tiste, ki jih resnično potrebujemo za izvrševanje pogodbenih določil. V vseh ostalih primerih se moramo zbiranju osebnih podatkov izogniti, saj sicer lahko storimo prekršek po ZVOP-1. Pri določanju, katere osebne podatke pravzaprav potrebujemo, se držimo načela sorazmernosti iz ZVOP-1: Osebni podatki, ki se obdelujejo, morajo biti ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in nadalje obdelujejo. Če ugotovimo, da obdelujemo osebne podatke, ki jih ne bi smeli oz. za njihovo obdelavo nimamo podlage v zakonu ali osebni privolitvi posameznika, takšne osebne podatke raje nemudoma uničimo oz. izbrišemo.

3. Zaščita osebnih podatkov. Nedvomno je mogoče reči, da bomo morali občutljive osebne podatke (to so npr. zdravstveno stanje, versko prepričanje, članstvo v sindikatu,...), če smo jih upravičeni imeti, varovati skrbneje kot ostale osebne podatke, ki jih še obdelujemo. Prav tako bomo morali osebne podatke varovati na bistveno višjem nivoju, če smo večji upravljavec osebnih podatkov ali če delujemo v panogi, ki ima dostop do že omenjenih občutljivih osebnih podatkov. Glavne smernice zavarovanja osebnih podatkov pa se vendarle da predstaviti v štirih korakih: fizično varovanje, elektronsko varovanje, izobraževanje zaposlenih, striktno izvrševanje pogodbene obdelave.

4. Uničenje osebnih podatkov, za katere nimamo več pravne podlage za njihovo obdelavo. Zavedati se moramo, da so dokumenti, ki so morda za nas neuporaben kos smeti, za iskalce informacij rudnik zlata in odlična priložnost za krajo identitete. Malomarno »pozabljanje« računov, ki vsebujejo številke kreditnih kartic, na lahko dostopnih mestih, metanje ne uničenih zgoščenk v smeti in podobne »malomarnosti« povečujejo nevarnost goljufij in kraje identitete. Zato je pravilno uničenje dokumentov in medijev bistvenega pomena za zavarovanje vaše identitete in premoženja.

5. Planiranje nepredvidenih prihodnjih dogodkov, ki utegnejo vplivati na zavarovanje. Ne glede na varnostne ukrepe, ki sicer bistveno zmanjšajo nevarnost zlorab osebnih podatkov, se še vedno lahko zgodi, da pride do vdora v računalniški sistem ali da osebni podatek »spolzi« (npr. zaradi malomarnosti ali celo naklepa zaposlenih) iz zbirke osebnih podatkov. Zato je potrebno, da se upoštevajo naslednji nasveti, s katerimi bomo zmanjšali možnost zlorab:

39

• izdelajmo načrt, kako postopati v primeru zlorab in vdorov, njegovo izdelavo in izvajanje zaupamo osebi v podjetju, ki ji zaupamo;

• če je računalnik kakorkoli okužen ali mu preti nevarnost vdora, ga takoj izključimo z Internet-a in z internega omrežja;

• takoj moramo začeti s preiskavo in ugotoviti, kako je do kršitve sploh prišlo in sprejeti ustrezne ukrepe, da do teh v prihodnje, v enakih ali podobnih primerih, ne bo več prihajalo.

4.5 Požarni zid Kljub napredku na področju varnostnih sistemov vdiralcem pogosto uspe preko Internet-a vdreti na spletne strani ali v informacijski sistem. Zato je potrebno informacije na spletnih straneh in poslane podatke zaščiti z varnostnim sistemom, ki je dovolj prožen, da se lahko prilagodi novim potrebam. Vdiralce je potrebno odvrniti tako, da se jim ne bo zdelo vredno porabiti časa in sredstev, da bi nas ogoljufali. Obstaja več načinov preventive in metod za zmanjševanje varnostnih tveganj, med njimi tudi požarni zidovi. Požarni zid je računalnik z ustrezno programsko opremo, ki omogoča zaščito notranjega omrežja pred vdori iz prostranega omrežja – Internet-a. Požarni zid razmeji in logično loči Internet in notranje omrežje organizacije ter prepušča dovoljeni omrežni promet. Sistem požarnega zidu omogoča tudi višjo raven funkcionalnosti, kot je npr. protivirusna zaščita, njegova postavitev pa je enostavnejša (Osojnik et al 2002, 122). Požarni zidovi sestavljajo »elektronsko« ogrado okoli računalniškega okolja. Vsebuje filtre, ki samo določenim vrstam omrežnega prometa dovolijo vstop v omrežje in zavrnejo vse podatke, ki ne izpolnjujejo določenih meril. Požarni zidovi so podobni ključavnicam na vratih in oknih, saj dostop omogočijo samo pooblaščenim uporabnikom oziroma podatkom, druge pa zadržijo zunaj. Požarni zidovi žrtvujejo hitrost na račun varnosti. Lahko jih razvrstimo v naslednje kategorije (Egan 2005, 35-36):

• Požarni zidovi, ki filtrirajo paketke; paketni požarni zidovi varujejo tako, da pregledajo glavo ali informacije o naslovu paketa ali sporočila. Tam iščejo morebitne nevarnosti, ne pregledajo pa telesa paketa.

• Požarni zidovi s tehnologijo stateful inspection; ti nadzorujejo stanje transakcije paketa in preverijo, ali se naslov prejemnika paketa ujema z virom predhodne izhodne zahteve.

• Požarni zidovi na ravni aplikacij ali strežnikov proxy; so najvarnejši, preberejo in ponovno napišejo vsak paket. Tako zagotavljajo prehod skozi omrežje samo veljavnim sporočilom.

Požarni zid uporabljamo na vseh računalnikih, ki so povezani na Internet. Lahko izberemo tako programski kot tudi strojni požarni zid. Bistveno je, da ga pravilno nastavimo, saj le pravilno nastavljen požarni zid nepridipravom otežuje dostop do računalnika in njegovo vidnost v svetovnem spletu. Razmisliti moramo o uvedbi »mejnega« požarnega zidu (»border«), ki bo ločil omrežje od Internet-a. V njem omogočimo dostop samo tistim uporabnikom, za katere je nujno, da dostopajo do potrebnih podatkov. Prav tako uporabnikom omejimo možnosti dostopa. Če

40

določeni računalniki v omrežju hranijo osebne podatke, drugi pa ne, razmislimo o uvedbi dodatnih požarnih zidov pri računalnikih, ki hranijo takšne podatke (Mišič in Tomšič 2007, 16).

4.6 Varen elektronski arhiv Elektronsko arhiviranje predstavlja najpomembnejši del sistema za celovito upravljanje z dokumenti. Osnovni namen elektronskega arhiva je urejena hramba dokumentov, ki so že od svojega nastanka izključno v elektronski obliki ali pa so bili kasneje digitalizirani. Varnost in zaščito objektov v elektronskem arhivu lahko zagotavljamo s sistemom avtentikacije ter avtorizacije uporabnikov, ki se lahko izvaja na različnih ravneh - od celotnega arhiva do posameznega dokumenta. Pri samem upravljanju arhiva je tako potrebno opredeliti tudi, kdo ima pravico dostopa do posameznega dokumenta, koliko časa se bo posamezen dokumenta hranil v arhivu in na kakšen način se bo kasneje izločil iz arhiva. Elektronski arhiv ima veliko prednosti pred klasičnim sistemom arhiviranja, saj med drugim omogoča učinkovitejšo kontrolo nad uporabo dokumentov (beleži se lahko vsak vpogled, sprememba ali izpis dokumenta, kar zagotavlja revizijsko sledljivost skozi ves čas hrambe), časovno in krajevno neodvisno dostopnost do dokumentov in njihovo varno hranjenje. Ker lahko zaposleni dostopajo do dokumentov prek spletnega vmesnika odpadejo stroški posredovanja, razmnoževanja in razpošiljanja dokumentov, ki so povezani s klasičnim načinom arhiviranja dokumentov. Elektronsko arhiviranje dokumentov zagotavlja podjetju tudi ogromne prihranke časa in denarja, saj se lahko zaposleni zaradi učinkovitejšega dostopa do dokumentov in preprostega ter hitrega iskanja informacij, posvečajo pomembnejšim opravilom ter tako posledično povečujejo tudi učinkovitost celotnega poslovanja podjetja. Če so papirni dokumenti tudi po nekaj deset letih v arhivu popolnoma berljivi, pa na žalost tega za elektronske dokumente ne moremo trditi. Zaradi omejene obstojnosti računalniških medijev in spreminjajočih se standardov, se pri elektronskem arhivu zahteva nenehna skrb in vzdrževanje. Ker se za dokumente, ki se nahajajo na začetku življenjske poti pričakuje večje število dostopov oziroma vpogledov v njihovo vsebino, je zaželeno, da se nahajajo na hitrih magnetnih medijih (npr. računalniški diski). Po določenem časovnem obdobju, ko se zmanjša njihova »popularnost«, pa jih lahko prenesemo na počasnejše medije (npr. na optične diske), ki zagotavljajo daljšo obstojnost zapisanih objektov (Skrt 2006). Problem hranjenja elektronskih dokumentov in elektronskih podpisov je večdimenzionalen. Jedro problema se navezuje na zagotavljanje celovitosti oziroma preprečevanje nespremenljivosti čez poljubna časovna obdobja. Elektronski dokumenti zaradi svoje narave dopuščajo lažje brisanje sledi, ki nastanejo pri morebitnem spreminjanju vsebine. Ker lahko s spreminjanjem vsebine škodujemo poslovanju, mora varni arhiv zagotavljati zaščito hranjenega gradiva. Zato mora varen elektronski arhiv vključevati takšne metode, ki omogočajo hranjenje elektronskih dokumentov, vključno s pripadajočimi atributi (elektronskimi podpisi) (Jerman Blažič 2003). Sodoben elektronski arhiv posveča veliko pozornosti zagotavljanju visoke ravni računalniške varnosti poslovnih dokumentov. Avtentičnost, celovitost, nezatajljivost in zaupnost dokumentov je treba zagotoviti trajno, skozi celotno obdobje hranjenja. Sodobni elektronski arhiv mora zagotoviti preverjanje istovetnosti (avtentikacijo) vseh uporabnikov in zalednih rešitev, ki dostopajo do arhiva. Vsebuje varovalne mehanizme, ki preprečujejo nepooblaščeni dostop do

41

arhiviranih dokumentov. V varni revizijski sledi mora spremljati življenjski cikel poslovnega dokumenta: kdaj je dokument nastal, kdaj je bil podpisan ali žigosan, kdaj je bil odobren ali plačan, kdaj je bil časovni žig obnovljen in podrobno. Papirna oblika dokumentov iz poslovnega sveta še dolgo ne bo izrinjena. Sodobni elektronski arhiv bo moral zato obvladovati in varno hraniti tako izvorno papirne kot tudi izvorno elektronske dokumente. Varno hranjenje vseh poslovnih dokumentov na enem mestu podjetju ne sme predstavljati končnega cilja. Poleg prihrankov na področju hranjenja dokumentacije omogoča elektronsko arhiviranje tudi naslednji pomemben korak: upravljanje in avtomatizacijo poslovnih procesov, v katerih ti dokumenti nastopajo (Lesjak 2006).

4.7 Varno spletno nakupovanje Prodajalci najrazličnejših izdelkov in storitev si skorajda ne morejo več privoščiti, da svoje ponudbe ne bi raziskovali tudi na Internet-u. Na Internet-u je tako mogoče kupiti skoraj vse, od glasbe, avtomobila, hiše, do vsakodnevnih malenkosti. Upravljavci slovenskih spletnih trgovin so zelo optimistični glede njihove rasti v prihodnosti, kljub temu, da nekatere tuje agencije menijo, da bo zanimanje za njih sčasoma upadlo (Zupančič 2008). Glede na raziskavo se je Internet uveljavil kot prodajni medij. Obstajajo pa razlike med državami. Po pričakovanjih največ nakupov preko Internet-a opravijo v državah, kjer je velik delež internetnih priključkov. V Sloveniji ima internetni priključek doma 52 odstotkov anketirancev, nakup preko spleta pa je opravilo 24 odstotkov anketirancev. Sicer pa je ljudem ljubše nakupovati preko spleta pri ponudniku iz lastne države, kot pa pri ponudniku iz tuje države, saj je nakup izven svoje države preko spleta opravilo le 6 odstotkov sodelujočih (Eurobarometer 2006). Prednost spletne trgovine je predvsem prihranek časa in denarja. Poleg neomejenega odpiralnega časa in dostopnosti so navadno tudi cene ugodnejše, kupec pa jih tudi laže primerja med sabo. Največ dvomom v e-nakupovanje se še vedno sklicuje na varnost osebnih podatkov in bančnih transakcij. Temu se je mogoče izogniti, če smo previdni, beremo »drobni tisk« in se pred spletnim nakupom pozanimamo, kakšne pravice in dolžnosti imamo (Delo FT 2007). Zaradi številnih zlorab, si veliko ljudi ne upa sporočiti številko svoje kreditne kartice preko omrežja. Zaradi nezaupanja ljudi so številna podjetja, ki se ukvarjajo s prodajo na Internet-u, posvetila ogromno časa in energije, da bi ustvarila čim večjo varnost in kar najbolj učinkovite mehanizme za preprečevanje zlorab. Postopki za šifriranje podatkov se nenehno izboljšujejo prav tako pa tudi programski paketi, ki skrbijo da je prenos informacij varen pred morebitnim prestrezanjem. Za uspešno elektronsko trgovanje je potrebna primerna infrastruktura, predvsem strežniška programska oprema, ki omogoča povezavo med kupcem in internim informacijskim sistemom podjetja. Kupcu je na ta način omogočeno brskanje po prodajnem katalogu, naročanje izdelkov ter plačevanje. Ko kupec odda naročilo, pripravi strežnik posredovane podatke za nadaljnjo obdelavo v podjetju (sprejem naročil, verifikacija plačil, odprema ipd.) (Skrt 2002b).

42

Kakovostne spletne trgovine ne odlikujejo le dobro oblikovanje, ampak tudi temeljni varnostni ukrep. Ker se večina spletnih trgovin zaveda mogočnih zlorab spletnega plačevanja, poskušajo svojim uporabnikom zagotoviti čim večjo varnost. To zagotavljajo tudi ponudniki informacijskih storitev, saj večina brskalnikov SSL (Secure Sockets Layer) spletni protokol - njegova prednost je, da podatke med prenosom premeša in prepreči, da bi ji v roke dobile nepooblaščene osebe. Pogosto se uporabljata tudi protokola TLS (Transport Layer Security) in WTLS (Wireless Transport Layer Security) za poslovanje po brezžičnih povezavah. Ti protokoli vzpostavljajo varen kanal med strežnikom in odjemalcem, naši podatki pa so zaščiteni že pred odpošiljanjem z našega računalnika (Delo FT 2007b).

4.8 Varna elektronska pošta Elektronska pošta je postala popolnoma nepogrešljiv del vsakodnevnega poslovanja. Preko elektronske pošte zaposleni znotraj podjetja izmenjujejo informacije, sodelujejo z zunanjimi sodelavci ter komunicirajo s strankami in partnerji. Z razširitvijo elektronske pošte v zadnjem desetletju pa so se pojavile tudi številne grožnje, zaradi katerih lahko elektronska pošta za poslovno okolje pomeni tveganje (Delo FT 2007b). Varna izmenjava elektronskih sporočil je osnova vsakršne oblike elektronskega poslovanja. Znotraj podjetja je mogoče varnost sporočil zagotoviti relativno enostavno, saj v celoti nadzorujemo okolje, hkrati pa lahko tudi določimo, kakšno opremo bodo zaposlen uporabljali. Problem nastane, ko si želimo varno izmenjavati sporočila tudi z našimi strankami ali drugimi podjetji in institucijami. Zaupnost sporočil dosežemo s šifriranjem, ostale storitve pa z digitalnim podpisovanjem. Dodatne zahteve varne elektronske pošte mora izpolniti sistem za prenos pošte, saj jih ni mogoče zagotoviti v aplikaciji sami. Pošiljatelj mora na primer dobiti potrdilo, da je sporočilo res poslal ali da je bilo izročeno naslovniku (Jerman Blažič 2001, 120-121).

4.9 Varnostna politika Varnostna politika neke organizacije je formalni zapis varnostnih mehanizmov in drugih pravil, ki jih morajo upoštevati vsi posamezniki z dostopom do opreme in informacij. Hudomalj (2003) navaja, da varnostna politika:

• Podrobno določa varnostne zahteve in mehanizme v neki organizaciji. • Mora temeljiti na obstoječih in objavljenih rešitvah (skrivajo se samo ključi). • Visoka varnost posameznih členov še ne zagotavlja visoke stopnje varnosti (npr.

kriptografija je potrebna, ni pa zadostna). • Izgradnja varnostne politike je proces, ki se nikoli ne konča.

Varnostno politiko sestavlja: • Tehnološki del (strojna, programska, omrežna oprema). • Komunikacijski del (kriptografski primitivi in protokoli).

43

• Organizacijski in pravni del (delovni postopki, zakonodajna podlaga itd.). Varnostna politika mora biti pozitivno sprejeta in podprta na slehernem nivoju organizacije, če želimo da se bo učinkovito in pravilno izvajala. Varnostna politika za informacijsko tehnologijo mora izpolnjevati tri osnovne principe varovanja, ki so zaupnost, neoporečnost in razpoložljivost. Dobra varnostna politika mora:

• Dovoliti pooblaščen dostop in preprečevati nepooblaščen dostop do informacij. • Biti implementirana skozi skrbniške postopke, smiselne smernice, ali druge primerne

metode. • Omogočiti uvajanje varnostnih mehanizmov in orodij oziroma implementirane sankcije,

kjer preventivni postopki tehnično niso izvedljivi. • Jasno opredeliti področja odgovornosti uporabnikov, skrbnikov in vodilnih. • Biti predstavljen vsem v okviru organizacije. • Biti prilagodljiv spremembam okolja informacijske tehnologije, saj je živ dokument.

Hudomalj (2003) razvršča med varnostne zahteve pri poslovanju z informacijami: • Verodostojnost je storitev, ki omogoča ugotavljanje istovetnosti osebe ali izvora

podatkov. Oseba je določena z geslom, PIN7, kartico, ključem, prstnim odtisom ipd. • Zaupnost podatkov omogoča zaščito podatkov pred nedovoljenimi vpogledi. • Celovitost podatkov je zagotovilo, da podatek ni bil spremenjen. • Nezmožnost zanikanja omogoča dokazovanje storjenega dejanja, zlasti pri zanikanju ali

tajenju. • Nadzor dostopa je ugotavljanje, ali ima neka entiteta (oseba, računalnik) pravico za nek

poseg. • Razpoložljivost pomeni možnost uporabe virov in njihovo zanesljivo delovanje.

Varnostni mehanizmi pri varnostni politiki so (Hudomalj 2003):

• osveščanje uporabnikov (izobraževanje za uporabo storitev, predstavitev možnih zlorab),

• fizična zaščita, • kriptografija, • kontrola dostopa, • beleženje aktivnosti, • zaposlovalna politika, • podvajanje (redundanca), • požarni zid, • protivirusna zaščita.

7 PIN: Personal Identification Number

44

5 VARNOST E-POSLOVANJA V SLOVENSKIH PODJETJIH Razlogov, zakaj uvajati sisteme varovanja poslovnih informacij, je več, npr. preprečevanje vdorov v strogo varovane računalniške sisteme in preprečevanje kraje pravic intelektualne lastnine ter zaščita sistema pred virusi. Z uvedbo sistema varovanja pa podjetje lahko ohranja konkurenčno prednost in obstoj na svetovnem trgu, zato je pomembno, da podjetja v sistemu varovanja vidijo poslovno priložnost. Obvladovanje tveganj, povezanih s človeškimi dejavniki, računalniškimi sistemi in tehnologijo, naravnimi vplivi okolja in obvladovanje tveganj izvedbe poslovnih procesov, so dovolj tehtni razlogi, da bi odločitev o uvedbi sistema varovanja moralo sprejeti vsako podjetja, katerega cilj je poslovati kakovostno, uspešno in učinkovito, predvsem pa dolgoročno. Pomembno je, da varnostne zahteve podjetij nastanejo kot posledica poslovnih zahtev in zagotavljajo učinkovito poslovanje, sledijo zakonskim in pogodbenim zahtevam in zagotavljajo zmanjševanje tveganj v podjetju (Horjak 2004). V nadaljevanju si bomo ogledali, kako poteka elektronsko poslovanje v slovenskih podjetjih, podali podatke o raziskavi informacijske varnosti med slovenskimi podjetji iz leta 2004 - RIV 2004, ki jo je izvedel Inštitut za informacijsko varnost (IZIV) in bivše Ministrstvo za informacijsko družbo. Opredelili se bomo tudi na varnostne incidente, ki so bili največ prisotni v slovenskih podjetjih.

5.1 E-poslovanje v slovenskih podjetjih To poglavje bomo namenili predstavitvi stanja elektronskega poslovanja v slovenskih podjetjih, saj vemo da se je elektronsko poslovanje v zadnjih letih zelo razvilo in da čedalje več podjetij uporablja to obliko poslovanja. Pogledali si bomo, koliko podjetij je v obdobju od leta 2004 do leta 2007 že uporabljalo Internet, v kakšne namene in koliko podjetij uporablja e-poslovanje. Uporaba Internet-a v slovenskih podjetjih Po zadnjih podatkih Statističnega urada RS je imelo dostop do Internet-a, v prvem četrtletju 2007, 96 odstotkov podjetij z 10 ali več zaposlenimi osebami, kar je enako kot v enakem obdobju zadnjih dveh let. Podjetja uporabljajo Internet predvsem za e-upravo, saj ta omogoča podjetjem, da številne storitve opravijo preko spleta in jim tako poenostavijo stik z državno upravo. To možnost je v prvem četrtletju 2007 uporabilo 83 odstotkov podjetij, kar je za 8 odstotnih točk več kot v enakem obdobju lanskega leta. 78 odstotkov podjetij je prek Internet-a pridobivalo informacije, 76 odstotkov podjetij je po tej poti pridobivalo le obrazce, 61 odstotkov podjetij pa je izpolnjene obrazce tudi vračalo prek spletnih strani e-uprave. 92 odstotkov podjetij je Internet uporabljalo tudi za opravljanje bančnih in finančnih storitev, to je za 3 odstotne točke več kot v prvem četrtletju 2006. Povečal se je tudi delež podjetij, ki so Internet uporabila za izpopolnjevanje in izobraževanje svojih zaposlenih, in sicer na 47 odstotkov (42 odstotkov podjetij v enakem obdobju 2006) (SURS 2008).

45

Tabela 2: Uporaba Internet-a v slovenskih podjetjih z 10 ali več zaposlenimi osebami, 1. četrtletje 2004 – 1. četrtletje 2007

1. četrtletje 2004 1. četrtletje 2005 1. četrtletje 2006 1. četrtletje 2007 delež (%) delež (%) delež (%) Delež (%)

Dostop do Internet-a 93 96 96 96

Vir: SURS 2008 Uporaba e-poslovanja v slovenskih podjetjih Po zadnji raziskavi, ki jo je izvedel RIS (Raba Internet-a v Sloveniji) v juniju in juliju 2005 med velikimi, srednjimi, majhnimi in mikro podjetji, ugotavljamo v kolikšni meri slovenska podjetja uporabljajo e-poslovanje V manjših podjetjih so na vprašanja ankete odgovarjali predvsem direktorji, v večjih podjetjih pa vodstveni delavci na področju informatike. Podjetja, ki imajo dostop do Internet-a so vprašali: »Ali uporabljajo e-poslovanje?« S pojmom e-poslovanje razumemo komercialne aktivnosti, ki se izvajajo preko elektronskih omrežij, pogosto preko Internet-a, ki vodijo k prodaji ali nakupu blaga ali storitev. Slika 4: Uporaba e-poslovanja

Ali uporabljete e-poslovanje?

62%

75%

80%

74%

3%

4%

2%

10%

5%

4%

13%

28%

17%

12%

11%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

velika

srednja

mala

mikro

da, uporabljamo načrtujemo v 12 mesecih smo že razmišljali še nismo razmišljali

Vir: RIS 2005 Zgornja slika kaže nekoliko presenetljive rezultate. Najvišji delež podjetij, ki uporabljajo e-poslovanje najdemo med majhnimi podjetji (80 odstotkov), najnižjega pa med velikimi (62 odstotkov). E-poslovanje uporablja približno tri četrtine mikro in srednjih podjetij. Delež podjetij, ki o uvedbi e-poslovanja še niso razmišljala, pada z manjšanjem velikosti podjetja in tako znaša 28 odstotkov za velika ter 11 odstotkov za mikro podjetja. Analiza torej kaže, da je e-poslovanje najbolj razširjeno med majhnimi podjetji, med katerimi se utegne uporaba v prihodnosti še nekoliko povečati, najmanj pa je razširjeno med velikimi podjetji, ki tudi skoraj v tretjini odgovarjajo, da o uvedbi e-poslovanja še niso razmišljala.

46

Ko se omejimo samo na podjetja, ki e-poslovanje uporabljajo, pa se vendarle pokaže, da so najbolj intenzivni uporabniki velika podjetja. Raven na kateri podjetja največ poslujejo je za notranje poslovanje, sledi ji raven s podjetji/organizacijami in z državno upravo, najmanj pa e-poslovanje uporabljajo na ravni s končnimi potrošniki. Področje poslovanja z drugimi podjetji oz. organizacijami sicer izstopa, saj najdemo najvišji delež med srednjimi podjetji, sledijo mikro, velika in majhna podjetja. Ne opazimo torej nobene zakonitosti, ki bi povezovala e-poslovanje z velikostjo podjetja. Pri ostalih treh področjih e-poslovanja namreč delež upada z manjšanjem velikosti podjetja. Povzamemo lahko torej, da je delež podjetij, ki e-poslovanje uporabljajo sicer res najnižji med velikimi podjetji, tista velika podjetja, ki pa e-poslovanje uporabljajo, ga uporabljajo za mnogo različnih namenov, kar za manjša podjetja drži v manjši meri (RIS 2005).

5.2 Informacijska varnost v slovenskih podjetjih Čeprav so številne mednarodne raziskave pokazale, da nastop informacijske nesreče lahko za podjetje pomeni tudi prenehanje poslovanja, si številna slovenska podjetja pred to nevarnostjo še vedno zatiskajo oči. Neodvisne raziskave so tudi pokazale, da se le dve tretjini podjetij po svetu zaveda nevarnosti, ki jo prinaša elektronsko poslovanje in uporaba Internet-a. Od tega jih samo ena tretjina intenzivno dela na učinkovitem izvajanju informacijske varnosti. Razloge za to gre iskati predvsem v napačnem razumevanju področja informacijske varnosti s strani vodstva in popolnega ignoriranja posledic, ki bi lahko nastale ob nastopu informacijske nesreče. Številna slovenska podjetja še vedno raje vlagajo na sto tisoče evrov v fizično zaščito objekta, namesto da bi primaknila kakšen evro za informacijsko varnost. Še huje je v podjetjih, kjer služba informatike z nekaj nastavitvami varnostnih pravic in s postavitvijo osnovnih zaščit slepi sebe in vodstvo, kako dobro je poskrbela za informacijsko varnost informacijskega sistema. Povsem drugače je v tistih podjetjih, ki na informacije gledajo kot na sredstvo, ki ima podobno kot druga pomembna poslovna sredstva, določeno vrednost in jih je potrebno ustrezno zaščititi. Varnost informacij je zaščita informacij pred raznimi vrstami groženj z namenom, da se zagotovi neprekinjeno poslovanje, zmanjša poslovno tveganje in doseže kar največji dohodek iz naložb in poslovnih možnosti. Informacijski viri, ki sestavljajo posamezne temeljne poslovne procese, so izpostavljeni tveganjem glede zaupnosti, celovitosti ter razpoložljivosti. Tu gre za aktivne poslovne groženje (vdiralci, konkurenca, nezadovoljni zaposleni) in pasivne (naravne nesreče, okvare strojne in programske opreme, človeške napake in komunikacijske ter energetske prekinitve). Ustrezno varnost informacij lahko dosežemo le z vpeljavo ustreznih kontrol, vključno s politikami, procesi, postopki, organizacijskimi strukturami ter funkcijami programske in strojne opreme. Te kontrole je potrebno vzpostaviti, vpeljati, spremljati, pregledovati in kjer je potrebno, izboljšati za zagotovitev, da so izpolnjeni specifični varnostni in poslovni cilji organizacije. Ključna oseba, ki vse to lahko poveže v eno celoto je vodja informacijske zaščite. Osnovna naloga vodje informacijske zaščite je organiziranje, vodenje in koordiniranje aktivnosti za zagotavljanje varovanja informacij v skladu s sprejetimi politikami varovanja informacij. To pomeni, da vodji informacijske zaščite še zdaleč ni potrebno do potankosti poznati delovanja programske in strojne opreme računalnikov, operacijskih sistemov, nastavitev zaščitnih sistemov

47

in podobno. Vsekakor pa je pomembno, da ima vodja celovit pregled nad celotnim področjem računalništva, informatike in informacijske zaščite. Podjetje, ki v svojih vrstah nima kompetentne osebe za vodenje aktivnosti informacijske varnosti, enostavno ne more zagotoviti optimalne informacijske varnosti informacijskega sistema in kaj kmalu se lahko pripeti informacijska katastrofa (Saksida 2008). Inštitut za informacijsko varnost (IZIV) in bivše Ministrstvo za informacijsko družbo sta izvedla raziskavo o informacijski varnosti med slovenskimi podjetji v letu 2004 - RIV 2004. Raziskava RIV 2004 je prva tovrstna raziskava v Sloveniji. Pokazala je, da človeške napake še vedno predstavljajo največji delež varnostnih pomanjkljivosti. Vzpostavljena varnostna politika, ki je bila podprta s strani najvišjega vodstva, je zagotovo ključni vzvod, ki povečuje zavedanje o skrbi za informacijsko varnost med zaposlenimi. Formalno definirano in napisano varnostno politiko je imelo 32,8 odstotka slovenskih organizacij, pripravljalo pa jo je še 18 odstotkov. Naložbe so se v informacijsko varnost povečale za 47,9 odstotka vprašanih organizacijah, zmanjšalo pa jih je 2,5 odstotka. V 33,6 odstotka vprašanih organizacijah so naložbe v informacijsko varnost znašale do 1 odstotka IT-proračuna, med 2-10 odstotkov proračuna je namenilo 27,7 odstotka vprašanih, od 11 do 25 odstotkov 8,4 odstotka, več kot 25 odstotkov vprašanih pa je namenilo 2,5 odstotka IT-proračuna (Delo FT 2007a).

5.3 Varnostni incidenti v slovenskih podjetjih E-poslovanje je v Sloveniji dobro razvito, zato Slovenija ne spada med informacijsko najslabše razvite države, kjer bi uporabniki morali živeti v stalnem strahu pred internetnimi in drugimi vrstami zlorab. Vendar pa tudi vemo, da Slovenija ni imuna na varnostne incidente. Nove vrste groženj, kot so teroristični napadi, kriminalna dejanja, povezana z internetom in računalniškimi goljufijami, računalniškimi virusi, nove potrebe po neprekinjenem poslovanju, porajajo vprašanja, kako varovati informacije, kje začeti, kakšne smernice in standarde pri tem uporabljati. Zato je Inštitut za informacijsko varnost IZIV leta 2004, izvedel prvo resno raziskavo o informacijski varnosti v Sloveniji. Namen te raziskave je bil oceniti stanje informacijske varnosti v slovenskih organizacijah, podjetjih in državnih ustanovah ter kako slovenska podjetja rešujejo težave, povezane z varovanjem informacij. Baza podatkov za raziskavo je bila vzeta iz poslovnega imenika, kjer so bila zajeta vsa podjetja in organizacije v Sloveniji, ki imajo vsaj 70 zaposlenih. Poleg te baze, ki je štela 933 organizacij, so vključili še vsa ministrstva in vse denarne ustanove, ki so po njihovem mnenju bolje poznala osnovne koncepte varovanja informacij. Torej je bilo vseh skupaj 1262 podjetij. Podjetja so odgovarjala na več vprašanj v zvezi z varnostnimi incidenti, ki so jih doživeli. V nadaljevanju si bomo ogledali, če so podjetja imela kakšen varnostni incident, koliko varnostnih incidentov so imela, zaradi česa je prišlo do varnostnih incidentov, kakšno škodo je podjetje utrpelo zaradi varnostnih incidentov in kako je vodstvo odpravilo pomanjkljivosti.

48

Število varnostnih incidentov v slovenskih podjetjih Slika 5: Število varnostnih incidentov do leta 2004

7,8%

38,8%

4,3%0,9%

48,3%

1

2 do 10

11 do 100

več kot 100

nič

Vir: Delo FT Več kot polovica (51,7 odstotkov) vprašanih je že imelo varnostni incident. Največ podjetij (38,8 odstotkov) je imelo od 2 do 10 varnostnih incidentov, od 11 do 100 varnostnih incidentov je imelo 4,3 odstotkov slovenskih podjetij, več kot 100 varnostnih incidentov pa je imelo 0,9 odstotka podjetij, le eden varnostni incident pa je imelo 7,8 odstotkov slovenskih podjetij. Povprečno polovica slovenskih podjetij ni imelo varnostnih incidentov predvsem zato, ker so imeli formalno definirano varnostno politiko. Vzroki za največje varnostne incidente Slika 6 prikazuje, da so najpogostejši vzroki za največje varnostne incidente računalniški virusi, ki povzročijo največ ali kar 75,6 odstotkov varnostnih incidentov. Na drugem mestu so bile s 26,9 odstotki odpovedi sistema ali poškodbe podatkov, sledila pa je zloraba Internet-a zaposlenih z 10,9 odstotki. Varnostne incidente med drugimi lahko povzročijo tudi razne kraje računalniške opreme, goljufije, neavtorizirana razkritja zaupnih informacij, zunanji vdori ali prekinitve delovanja sistema. Vendar pa se ti vzroki pojavljajo v bistveno manjšem številu, kot prej omenjeni vzroki. Podjetja so začela razmišljati o celovitem sistemu upravljanja varnosti šele potem, ko so utrpela znatno škodo zaradi varnostnih incidentov.

49

Slika 6: Vzroki za največje varnostne incidente

75,6%

26,9%

10,9%5,9%3,4%2,5%2,5%

0,0%

10,0%

20,0%

30,0%

40,0%

50,0%

60,0%

70,0%

80,0%Okužba z računalniškimvirusom

Odpoved sistema alipoškodba podatkov

Zloraba interneta s stranizaposlenih

Kraja računalniškeopreme

Kraja ali goljufija

Kraja ali neavtoriziranorazkritje zaupnihpodatkovZunanji vdor v omrežje aliprekinitev delovnegasistema

Vir: Delo FT Poznamo še veliko drugih vzrokov, zaradi katerih pride do incidentov. Ti nastanejo zaradi človeške napake (doletele so 97 odstotkov podjetij), izpadi telekomunikacijskih povezav (96 odstotkov) in nedostopnost informacij (85 odstotkov). Razmeroma redko je prestrezanje komunikacij (zaznalo jih je le tri odstotke podjetij), namerno uničenje podatkov (5 odstotkov) in vdori v informacijski sistem (8 odstotkov). Finančne izgube ob najhujših varnostnih incidentih Na sliki 7 se vidi, da je večina podjetij za odpravljanje največjega incidenta porabila manj kot tisoč evrov. Ugled podjetja se zaradi incidenta ni nič zmanjšal, polovica podjetij pa je imela pripravljene postopke za spremljanje in ukrepanje ob incidentu. Do deset tisoč evrov škode je imelo 9,2 odstotka podjetij, do 50 tisoč evrov pa 1,7 odstotka podjetij. Več kot 70 odstotkov vprašanih ni izvedlo analize tveganj pri pripravi varnostne politike. Pri izvedbi IT projektov so podjetja zanemarjala vidik varnosti in v projekte niso vgradila nobenih varnostnih kontrol.

50

Slika 7: Finančne izgube ob najhujših varnostnih incidentih

52,9%

27,7%

9,2%

1,7% 0,0% 0,0%0,0%

10,0%

20,0%

30,0%

40,0%

50,0%

60,0%

nič

manj kot 1000 €1000 € do 9999 €

10.000 € do 49.000 €

50.000 € do 99.999 €več kot 100.000 €

Vir: Delo FT Podjetja imajo na leto v povprečju skoraj 2000 evrov škode zaradi človeških napak ter izpadov telekomunikacij. Nekateri drugi incidenti povzročijo zelo veliko škodo in so zato nevarni, čeprav so manj verjetni. Podjetja, ki so doživela naravno nesrečo, navajajo skoraj 40.000 evrov povzročene škode, vendar gre pri tem za razmeroma redek dogodek. Med »najdražjimi« incidenti podjetja navajajo še izgubo podatkov v celoti, ki pa doleti le malo podjetij. Zanimivo je, da podjetja uporabe nelicenčne opreme (pri čemer so zasačena) ne ocenjujejo za resen problem; če se zgodi incident, podjetja v povprečju ocenjujejo, da imajo dobrih 5000 evrov škode, tovrsten incident pa je prijavilo dobrih 10 odstotkov podjetij. Ukrepi za preprečitev varnostnih incidentov Slika 8 prikazuje, kako je vodstvo ukrepalo ob pojavu varnostnega incidenta oziroma kaj vse je vodstvo pripravljeno narediti, da prepreči varnostni incident. Podjetja se lahko pred varnostnimi incidenti zaščitijo na različne načine in sicer:

• dodatna varnostna tehnologija, • varnostne kopije in plan ukrepanja, • izobraževanje zaposlenih, • konfiguracija obstoječih sistemov in • vpeljava varnostne politike in pravil.

Iz raziskave je vidno, da kar 28,2 odstotka podjetij ni ukrepalo, ko so zaznali varnostni incident. 19,8 odstotka podjetij je vzpostavilo dodatno varnostno tehnologijo, 17,6 odstotkov podjetij se je zaščitilo z varnostnimi kopijami, 15,3 odstotka podjetij z dodatnim izobraževanjem zaposlenih, sledil je ukrep konfiguracije obstoječih sistemov, najmanj podjetij 9,2 odstotka pa je vpeljalo varnostno politiko.

51

Slika 8: Ukrepi za preprečitev varnostnih incidentov

28,2%

19,8%17,6%

15,3%

9,9%9,2%

0,0%

5,0%

10,0%

15,0%

20,0%

25,0%

30,0%Ni ukrepalo

Dodatna varnostnatehnologijaVarnostne kopije in planukrepanjaIzobraževanje zaposlenih

Konfiguracija obstoječihsistemovVpeljava varnostnepolitike in pravil

Vir: Delo FT Eden od zelo pomembnih ukrepov, da podjetje prepreči varnostni incident je tudi to, kako podjetje seznani zaposlene z dolžnostmi varovanja informacij. Največ podjetij (44,5 odstotkov) zaposlene seznani kar preko priročnika za zaposlene ali preko brošure o varovanju informacij, 43,7 odstotkov podjetij zaposlene seznani že v pogodbi o zaposlitvi, 38,7 odstotkov pri zaposlitvi ali med uvajanjem, 22,7 odstotkov pa z izobraževanjem zaposlenih. Nekaj podjetij zaposlenih niso seznanili z njihovimi dolžnostmi, zato pri teh podjetjih obstaja večja nevarnost zlorabe informacij (slika 9). Slika 9: Kako so zaposleni seznanjeni z dolžnostmi varovanja informacij

44,5%43,7%

38,7%

22,7%

4,2%

0,0%

5,0%

10,0%

15,0%

20,0%

25,0%

30,0%

35,0%

40,0%

45,0%

50,0%Preko priročnika zazaposlene, prekobrošure o varovanjuinformacijV pogobi o zaposlitvi

Pri zaposlitvi ali meduvajanjem

Z izobraževanjemzaposlenih

Vir: Delo FT Raziskovalci opozarjajo, da je kontrola dostopa do različnih sistemov ključna za vzpostavitev ustrezne informacijske varnosti. Zato morajo biti podjetja prepričana, da imajo pravi ljudje dostop do pravih informacij ob pravem času. Zelo pomembno je, da preprečujemo dostop nepooblaščenim osebam. Upravljanje identitete je ključno za uspešno varovanje informacij. To zahteva vzpostavitev ustreznih kontrol za preverjanje uporabnikov in njihovega dostopa do informacij in sistemov.

52

Metoda ocenjevanja in upravljanja informacijskih tveganj, temelji na tem, da poskuša na podlagi preteklih incidentov, vrste in tipa organizacije, zrelostnega modela organizacije in varnostnih kontrol, napovedati kakšna je verjetnost, da se bo incident pri njih zgodil in koliko denarja organizacija nameni za upravljanje s temi varnostnimi tveganji. Raziskava je pokazala, da z uporabo zaščite lahko podjetja v povprečju zmanjšajo pričakovano škodo, ki nastane zaradi namernega spreminjanja ali uničenja podatkov s strani zaposlenih ali zunanjih ljudi, najmanj za 2600 in več kot 5000 evrov. Preprečitev razkritja informacij zaposlenim, vnosa zlonamerne programske opreme, zaščita pred ponarejanjem oziroma spreminjanjem komunikacij podjetju in pred prisluškovanjem ali prestrezanjem informacij pa v povprečju zmanjša škodo za dobrih 1600 do 8000 evrov (Delo FT 2007a, 10-12).

53

6 SKLEP Kljub temu, da je danes sodobno poslovanje vse bolj povezano z informacijskimi sistemi (IS) in komunikacijskimi potmi, so ljudje še vedno najpomembnejši vir uspešnosti poslovanja podjetja. Varnost v podjetjih predstavlja sestavljen pojem, ki zajema več komponent: zaupnost, celovitost, avtentičnost, fizična varnost in drugo. Povsod pa ima človeški faktor oz. ljudje ključno vlogo in predvsem od njihovega ravnanja je odvisen nivo varnostni podatkov in s tem povezana tveganja. Ustrezna raven varovanja je odvisna od posameznih dogodkov in morebitne škode, ki lahko nastane pri e-poslovanju. Varovanje mora biti teoretično tolikšno, da je ocenjena škoda sprejemljiva, korist pa večja od potrebnega vložka. Z odpiranjem podjetja in njegovih aplikacij navzven je ključnega pomena, da vgradimo v rešitev za elektronsko poslovanje najsodobnejše in najpopolnejše mehanizme računalniške varnosti. Tehnologija, s katero lahko danes zagotovimo najvišjo raven varnosti, temelji na asimetrični kriptografiji in tehnologiji PKI. Z uporabo digitalnih potrdil zagotovimo avtentikacijo vseh udeležencev v poslovanju in tajnost komunikacijske povezave. Elektronski podpis je tisti varnostni element, ki zagotovi nezatajljivost pošiljatelja dokumenta o začetku poslovne transakcije, celovitost (nespremenljivost) dokumenta in avtentikacijo podpisnika. Z uporabo varne elektronske pošte, pa lahko dosežemo varno dostavo dokumentov tudi po e-pošti. Pred uvajanjem e-poslovanja je potrebno torej poskrbeti za varnostno politiko, fizično zaščito, varstvo osebnih podatkov (skladno z zakonodajo), sicer je kriptografska zaščita e-poslovanja brez pomena. Še tako močna zaščita pri e-poslovanju nam ne bo pomagala, če ne bomo pazili na pomembne podatke (izgubljali dokumente) ali celo uporabljali računalnik brez ustrezne protivirusne zaščite. Tudi če smo zbrali vsa potrebna namenska varovalna sredstva in jih uporabljamo, se nam splošna nepazljivost in pretirana izpostavljenost osnovnim tveganjem lahko hitro maščuje. Namen diplomske naloge je bil dosežen. Spoznali smo pomen varovanja e-poslovanja in hkrati ugotovili, kaj pomeni izpostavljanje nevarnostim v poslovanju podjetja. Spoznali smo v kolikšni meri slovenska podjetja uporabljajo Internet in s tem povezano e-poslovanje. Ugotovili smo, da se z leti uporaba Internet-a in e-poslovanja povečuje, zato na podjetja preti vedno več nevarnosti. Za podjetje je zelo pomembno, da uporabljajo ustrezno varnostno politiko, ki v najširšem smislu ureja področja varnosti, opredeljuje tveganja, rizike in ranljivosti, nato pa poda rešitve v obliki standardov, postopkov in navodil. Pri tem pa je dolžnost podjetja, da seznani vse zaposlene z vsebino varnostne politike.

54

7 POVZETEK Elektronsko poslovanje je dandanes zaradi mnogih prednosti že zelo razširjena oblika poslovanja. Vsako podjetje, ki uporablja elektronsko poslovanje mora poskrbeti za varnost le tega. Varnost pri e-poslovanju je zelo pomembna, saj so podjetja z uporabo e-poslovanja izpostavljena različnim nevarnostim. V diplomski nalogi smo zato predstavili škodljive programe, kot so virusi, črvi, trojanski konji in logične bombe. Ti programi predstavljajo vsakodnevno grožnjo poslovanju podjetja, verjetnost izgube informacij pa s tem narašča, zato je podjetje prisiljeno, da jemlje varnost resno in se z njo ukvarja vsak dan. Da se zaščitimo pred škodljivimi programi in drugimi nevarnostmi, moramo uporabljati protivirusne programe in razne metode za zagotovitev varnosti kot so: šifriranje, digitalni podpis, digitalno potrdilo, infrastruktura javnih ključev in protokol za varni prenos. Vsako podjetje mora imeti tudi učinkovito varnostno politiko, ki jo morajo zaposleni sprejeti in dobro upoštevati. Kljub učinkoviti zaščiti in varnostni politiki, pa lahko vseeno pride do varnostnih incidentov. Zato se bodo morala podjetja v prihodnosti še dodatno zaščititi in nenehno spremljati novosti, saj se tudi načini in vrste zlorab nenehno spreminjajo. Ključni pojmi: elektronsko poslovanje, varnost, tveganje, varovanje informacij, protivirusni programi, šifriranje, digitalni podpis, digitalno potrdilo, požarni zid, elektronski arhiv, elektronska pošta, varnostna politika, informacijska varnost, varnostni incident. SUMMARY Electronic business is because of its advantages nowadays very common way of making business. Companies that are using electronic business must ensure its protection. That is very important because this specific way of business is very exposed to different kinds of threats. In my paper I will describe harmful programs such as viruses, worms, Troyans and logic bombs. This software represent everyday threat to e-business and the probability of information loss in that case is largely increased. According to that the protection must be taken very seriously. To protect our business from different kinds of harmful programs we have to use different anti-virus programs and different methods to ensure protection such as encryption, digital signatures and certificates, public key infrastructure and protocols for safe transmission of information. Every company must have efficient security policy that must be embraced and respected by its employees. Despite all the protection and security policy the incidents are very frequent. Because of that companies will have to use extra security measures in order to protect their business from new kinds of threats. Keywords: electronic business, security, risk, protection of informations, antivirus software, encryption, digital signature, digital certificate, firewall, electronic archives, electronic mail, security policy, information security, security incident.

55

8 LITERATURA

1. Bobek, Samo. 2007. Zapiski predavanj pri predmetu Informacijski sistemi e-poslovanja. 2. Bratuša, Tomaž. Verdonik, Ivan. 2005. Hekerski vdori in zaščita. Ljubljana: Pasadena. 3. Dobnikar, Aleš. 2002. Digitalna potrdila. Glas gospodarstva februar 2002. 92. 4. Egan, Mark. 2005. Varovanje informacij: grožnje, izzivi in rešitve: vodnik za podjetja.

Ljubljana: Pasadena. 5. Delo FT. 2007a. Slovenska podjetja premalo skrbijo za e-varnost. Gospodarsko-finančni

tednik št.34. 10-12. 6. Delo FT. 2007b. E-poslovanje. Gospodarsko-finančni tednik št. 72. 19-26. 7. Gradišar, Miro. 2003. Uvod v informatiko. Ljubljana: Ekonomska fakulteta. 8. Greenstein, Marilyn, Todd M. Feinman. 2000. Electronic Commerce: Security, Risk

Management and Control. Boston: Irwin McGraw-Hill. 9. Grobelnik, Ariana. Zupančič, Dušan. Dobnikar, Aleš. 2002. Priročnik za uporabo

digitalnih potrdil. Ljubljana: Gospodarska zbornica Slovenije. 10. Hribar, Peter. 1995. Računalniški virusi: opisi, preventiva in odprava. Nova Gorica:

Flamingo. 11. Jerman Blažič, Borka. 2001. Elektronsko poslovanje na Internetu. Ljubljana: Gospodarski

vestnik. 12. Jerman Blažič, Aleksej. 2003. Varen elektronski arhiv. Glas gospodarstva september

2003. 52-53. 13. Kotler, Philip. 1996. Marketing management - trženjsko upravljanje, analiza, načrtovanje,

izvajanje in nadzor. Ljubljana: Slovenska knjiga. 14. Kosiur, David. 1997. Understanding electronic commerce 15. Lesjak, Igor. 2006. Varno elektronsko arhiviranje po novem. Glas gospodarstva april

2006. 43-45. 16. Mišič, Klemen. Tomšič, Andrej. 2007. Zavarujmo osebne podatke - priročnik za

upravljavce osebnih podatkov. Ljubljana: Informacijski pooblaščenec RS. 17. Osojnik, Mojca. Grčman, Ariana. 2002. Skrivnosti elektronskega poslovanja: priročnik za

mala in srednje velika podjetja. Ljubljana: Gospodarska zbornica Slovenije. 18. Sulčič, Viktorija. Lesjak, Dušan. 2001a. Elektronsko poslovanje podjetje-podjetje (B2B):

študijsko gradivo. Maribor: Ekonomsko poslovna fakulteta. 19. Sulčič, Viktorija. Lesjak, Dušan. 2001b. Elektronsko poslovanje podjetje-potrošnik

(B2C): študijsko gradivo. Maribor: Ekonomsko poslovna fakulteta. 20. Sulčič, Viktorija. Lesjak. Dušan. 2001c. Prednosti in pomanjkljivosti elektronskega

poslovanja: študijsko gradivo. Maribor: Ekonomsko poslovna fakulteta. 21. Sulčič, Viktorija. Lesjak, Dušan. 2001d. Uvod v elektronsko poslovanje: študijsko

gradivo. Maribor: Ekonomsko poslovna fakulteta. 22. Toplišek, Janez. 1998. Elektronsko poslovanje. Ljubljana: Atlantis. 23. Turban, E., E. McLean, J. Wetherbe. 1999. Information Technology for Management –

Marking Connections for Strategic Advantage. New York: John Wiley & Sons, Inc. 24. Westland, J. Cristopher, Clark H.K. Theodor. 1999. Global Electronic Commerce: Theory

and Case Studies. MIT Press. 25. Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP). Ljubljana: Uradni

list RS št. 57/2000. 26. Zakon o varovanju osebnih podatkov. Ljubljana: Uradni list RS 59/1999.

56

27. Zupančič, Dušan. 2003. Elektronski podpis v podjetju. Glas gospodarstva april 2003. 48-49.

57

9 VIRI 1. Akademska in raziskovalna mreža Slovenije. [2004]. Kazenski zakonik RS in vdor v

računalniški sistem. [online]. Dostopno na: http://www.arnes.si/si-cert/kz.html [18.4.2008].

2. Bizjak, Miran. [2007]. Varovanje v telekomunikacijah – upravljavski proces. [online]. Dostopno na: http://www.ltfe.org/pdf/Varovanje%20v%20telekomunikacijah.pdf. [6.5.2008].

3. COLOS- Fakulteta za računalništvo in informatiko. [2007]. Vdor v računalniški sistem. [online]. Dostopno na: http://colos.fri.uni-lj.si/ERI/RACUNALNISTVO/ZASCITA_ PODATKOV/Vdor_racSistem.html [10.4.2008].

4. COLOS- Fakulteta za računalništvo in informatiko. [2007]. Računalniški virusi in črvi. [online]. Dostopno na: http://colos.fri.uni-lj.si/ERI/INFORMATIKA/RACUNALNISKA_ OMREZJA/virusi_crvi.html [10.4.2008].

5. Eurobarometer. [2006]. Preko spleta nakupuje 27% Evropejcev. [online]. Dostopno na: http://www.ris.org/index.php?fl=2&lact=1&bid=6389&menu=0 [28.4.2008].

6. Horjak, Marjeta. [2004]. Vpliv varne informacijske tehnologije na ekonomsko uspešnost podjetja. [online]. Dostopno na: http://www.mfc-2.si/pdf/vpliv_varne_informacijske_ tehnologije_na_ekonomsko_uspesnost_podjetja.pdf. [15.5.2008].

7. Hudomalj, Emil. [2003]. Varnost informacij. [online]. Inštitut za biomedicinsko informatiko. Dostopno na: http://www2.mf.uni-lj.si/~emil/pred/varnost.ppt#263,5, Tehnike napadov - primeri. [6.5.2008].

8. Lesjak, Dušan. Sulčič, Viktorija. [2003]. Zapiski predavanj pri predmetu Digitalna ekonomija in elektronsko poslovanje. [online]. Dostopno na: http://www1.fm-kp.si/studijski_programi/dodiplomski_studij/management/vsebine/predmetnik/2001/predmeti/lesjak/Dig_ekonomija_in_elek_poslovanje/gradiva/eP_P5_Varnost.pdf. [10.4.2008].

9. Lesjak, Igor. [2005]. Varen elektronski podpis kot temelj elektronskega poslovanja. [online]. Dostopno na: http://www.ris.org/uploadi/editor/1132053545Varen_el_podpis. pdf [2.5.2008].

10. Marn, Aljaž. [2007]. Kako zavarovati občutljive podatke?. [online]. Dostopno na: http://dne.enaa.com/prikaziCL.asp?ClID=13878 [10.5.2008].

11. Microsoft. [2004]. Predstavitev računalniških virusov, črvov in trojanskih konjev. [online]. Dostopno na: http://www.microsoft.com/slovenija/doma/varnost/virusi/ predstavitev_virusov.mspx [10.4.2008].

12. RIS. [2005]. Informacijsko-komunikacijske tehnologije v podjetjih. [online]. Dostopno na: http://www.ris.org/uploadi/editor/1136280583RIS05_podjetja_ikt_final.pdf. [20.5.2008].

13. Saksida, Matej. [2008]. Pomen in vloga vodje informacijske zaščite. [online]. Dostopno na: http://www.gambit.si/izm/2008/izm150208/clanek_6_IZM.htm. [21.5.2008].

14. Skrt; Radoš. (2002a). B2B poslovanje. [online]. Dostopno na: http://www.nasvet.com/ b2b-poslovanje/#more-97 [20.4.2008].

15. Skrt, Radoš. [2002b]. Varno nakupovanje v spletnih trgovinah. [online]. Dostopno na: http://www.nasvet.com/varnost-nakupovanje/ [28.4.2008].

16. Skrt, Radoš. [2006]. Elektronski zajem in arhiviranje dokumentov. [online]. Dostopno na: http://www.nasvet.com/elektronsko-arhiviranje/#more-48 [5.5.2008].

58

17. SURS. [2007]. Uporaba Internet-a v podjetjih z 10 ali več zaposlenimi osebami, Slovenija 1. četrtletje 2007. [online]. Dostopno na: http://www.stat.si/novica_prikazi.aspx?id=1182. [15.5.2008].

18. Uradni list RS. [2004]. Kazenski zakonik RS. [online]. Dostopno na: http://www.uradni-list.si/1/objava.jsp?urlid=200495&objava=4208 [13.4.2008].

19. Zupančič, Jana. [2008]. Spletne trgovine. Delo. [online]. Dostopno na: http://www.ris.org/ index.php?fl=2&lact=1&bid=8575&menu=0 [28.4.2008].

59

SEZNAM TABEL Tabela 1: Tehnološke rešitve pri zagotavljanju varnosti elektronskega poslovanja…….……..29 Tabela 2: Uporaba Internet-a v slovenskih podjetjih z 10 ali več zaposlenimi osebami, 1. četrtletje 2004 – 1. četrtletje 2007……………….……………………………….45 SEZNAM SLIK Slika 1: Simetrično šifriranje..................................................................................................... 32 Slika 2: Asimetrično šifriranje .................................................................................................. 33 Slika 3: Poenostavljen prikaz izvedbe elektronskega podpisa .................................................. 34 Slika 4: Uporaba e-poslovanja .................................................................................................. 45 Slika 5: Število varnostnih incidentov leta................................................................................ 48 Slika 6: Vzroki za največje varnostne incidente ....................................................................... 49 Slika 7: Finančne izgube ob najhujših varnostnih incidentih.................................................... 50 Slika 8: Ukrepi za preprečitev varnostnih incidentov ............................................................... 51 Slika 9: Kako so zaposleni seznanjeni z dolžnostmi varovanja informacij .............................. 51