Apžvalgos tema

  • Deramo elgesio elektroninėje erdvėje taisyklės

  • Data: 2016-12-29
    Autorius: Marius Laurinaitis

    Dėl elektroninės erdvės specifikos galima išskirti būdus, kuriais elektroniniai nusikaltimai ar teisės pažeidimai gali būti atliekama tik elektroninėje erdvėje, į pagalbą pasitelkiant informacines ir ryšio technologijas bei specialią programinę įrangą ar atitinkamus įrenginius.

    Su elektroniniai nusikaltimais ar teisės pažeidimais dažniausiai susiduriama tada, kai elektroninės erdvės naudotojai dalyvauja autentifikavimo procese. Šiame procese vartotojai, norėdami gauti prieigą prie atitinkamų informacinių sistemų, turi patvirtinti savo tapatybę. Tada ir kyla grėsmė tapti nusikaltimo auka, nes ne visi asmenys laikosi būtinų asmens duomenų apsaugos principų ir taisyklių, dažnai elgiasi neapdairiai, neatidžiai ar nesuvokia, kokią žalą gali padaryti internetinis sukčius, pasinaudojęs vartotojo neatsargumu ir gavęs jo asmens duomenis ar kitą asmeninę informaciją. Be to, turi būti užtikrinamas atsiskaitymų, duomenų tvarkymo (t. y. bet kokio veiksmo, atliekamo su duomenimis) ir ryšio kanalų saugumas. Galima paminėti galimus tokių nusikaltimų ar pažeidimų įvykdymo būdus ir jų klasifikaciją:

    Galimos tapatybės vagystės: Tie­sioginė ryšio, siejančio asmenį ir autentifikavimo duomenis, ataka, atliekant vieną ar kelis tolesnius žingsnius:

    naudojant kompiuterinius kirminus, kurie įdiegia kenkėjiškas programas (pavyzdžiui, key logger). Autentifikavimo duomenys yra tiesiogiai paimami iš asmens, manipuliuojant jo įvesties įrenginiais (dažniausiai vietiniu kompiuteriu). Tokia ataka vykdoma nesiremiant jokiais atrankos metodais ir yra nukreipta prieš daugelį įvesties įrenginių be tiesioginio kreipimosi į asmenį;

    socialinė inžinerija: naudojantis ryšio priemonėmis (pavyzdžiui, telefonu, elektroniniu paštu), autentifikavimo duomenys iš vartotojo gaunami tiesiogiai, vartotojui pateikiant įtikinamą priežastį atskleisti prašomus duomenis, tarkim, nurodant, kad tokie duomenys reikalingi įmonės informacinių technologijų departamento administraciniam personalui tikrinimo tikslais. Tokia ataka yra nukreipta prieš konkretų asmenį;

    Trojos arkliai ir kitos kenkėjiškos programos, siunčiamos elektroniniu paštu kaip priedai (angl. attachments): pirmiausia neapibrėžtam vartotojų skaičiui išsiunčiama nepageidaujama elektroninio pašto žinutė, kurios priede yra kenkėjiška programa. Vartotojui perskaičius minėtą laišką ir atidarius laiško priedą, kenkėjiška programa automatiškai įdiegiama į vartotojo kompiuterį ir pradeda rinkti autentifikavimo duomenis;

    apgaulės taktika prieš (biometrinius) jutiklius (angl. spoofing of (biometric) sensors): veiksmai atliekami be asmens, su kuriuo tokie jutikliai susieti, žinios. Pirmiausia iš asmens gaunami reikalingi biometriniai duomenys, pavyzdžiui, akių nuotrauka, kuri po to atspausdinama ir neteisėtai panaudojama. Ataka yra nukreipta prieš konkretų asmenį.

    netiesioginė ataka, nukreipta prieš duomenis: su asmeniu susijusių identifikatorių, duomenų, suteikiančių asmeniui tam tikras teises atlikti kai kuriuos veiksmus duomenų apdorojimo sistemoje, nuorodų paieška: ataka gali būti nukreipta prieš visą duomenų bazę arba tik prieš tam tikrus duomenų įrašus;

    manipuliavimas nuorodų duomenimis, susijusiais su asmeniu: autentifikavimo duomenų perdavimas peradresuojamas taip, kad juos gautų internetinis sukčius, o ne informacinių technologijų sistemos, prie kurių turi teisę prisijungti teisėtas vartotojas;

    duomenų vagystė (angl. phishing): daugeliui vartotojų, pavyzdžiui, banko klientams, išsiunčiamos nepageidaujamos elektroninio pašto žinutės, kurios atrodo taip, tarsi būtų gautos iš patikimos (šiuo atveju – banko) institucijos. Dažniausiai žinutėje raginama paspausti ant pateiktos nuorodos, kuri nukreipia į suklastotą internetinį tinklalapį, iš pirmo žvilgsnio atrodantį lygiai taip pat kaip originalus institucijos tinklalapis. Tokia ataka yra nukreipta prieš ryšį tarp informacinės sistemos ir autentifikavimo duomenų (žr. 2 schemą, Ryšys 3). Suklastotame tinklalapyje vartotojas apgaulės būdu įtikinamas įrašyti savo autentifikavimo duomenis.

    „Žmogus – viduryje“ atakos: leidžia atlikti ir tiesiogines, ir netiesiogines atakas. Šios rūšies atakų metu perimami duomenys, kuriais keičiasi vartotojas ir sistema. Atakos yra labai veiksmingos ir, be kita ko (pavyzdžiui, duomenų pakeitimo galimybės), suteikia galimybę įvairiais būdais atlikti tapatybės vagystę:

    tapatybės vagystė, atliekama ieškant autentifikavimo duomenų, kai asmuo komunikacijos procese dalyvauja nesilaikydamas saugumo reikalavimų;

    atsakomosios atakos: manipuliuojama interneto protokolo paketu, kuriame yra autentifikavimo duomenys su siuntėjo adresu. Toks protokolas persiunčiamas gaunančiajai sistemai. Ataka nukreipta prieš specialių įvesties įrenginių naudotoją;

    tapatybės vagystė, atliekama peradresuojant pranešimą į suklastotą interneto tinklalapį (pavyzdžiui, naudojant apgaulės taktiką domenų vardų sistemos atžvilgiu (angl. DNS-spoofing): suklastotame interneto tinklalapyje vartotojas apgaulės būdu įtikinamas įrašyti savo autentifikavimo duomenis;

    Tapatybės perdavimas turint nesąžiningą tikslą arba apsikeitimas tapatybėmis nesąžiningu tikslu: šiuo atveju asmuo bendrininkauja su internetiniu sukčiumi, sąmoningai duoda jam savo autentifikavimo duomenis, suvokdamas, kad jie bus naudojami neteisėtai;

    Tapatybės sukūrimas: internetinis sukčius paprastai pasinaudoja tam tikrais registracijos aspektais ir manipuliaciniais veiksmais tam, kad suardytų jo, kaip fizinio asmens, ir duomenų, suteikiančių asmeniui tam tikras teises atlikti kai kuriuos veiksmus duomenų apdorojimo sistemoje, veiksmų grandinę. Taip internetinis sukčius, neturėdamas tam teisės, kurį laiką gali naudotis informacine sistema.

    Visi sutinkame, kad siekiant maksimaliai sumažinti elektroninių nusikaltimų elektroninėje erdvėje tikimybę, būtina apsaugoti savo asmeninę informaciją1. Atlikti moksloniai tyrimai rodo, kad patys vartotojai bene daugiausia prisideda prie elektroninių nusikaltimų prevencijos2, todėl prevencija konkretaus asmens lygmeniu yra labai svarbi.

    Prevencijos konkretaus asmens lygmeniu atveju paminėtina 21 taisyklė, kuri padėtų sumažinti elektroninių nusikaltimų grėsmę asmenims. Šias taisykles Martinas T. Biegelmanas savo knygoje Identity Theft Handbook: Detection, Prevention and Security3 pristato kaip kiekvienam vartotojui žinoti privalomas taisykles, tačiau jos labiausiai pritaikomos yra JAV praktikoje. Šį taisyklių rinkinį galima adaptuoti taip, kad  būtų galima pritaikyti ir Lietuvoje, atsižvelgiant į naudojamas finansines paslaugas, teisinę sistemą ir kitus svarbius aspektus. Paminėtina, kad tokių taisyklių rinkinių pateikiama ir kitoje literatūroje.

    Taigi, kiekvienas vartotojas Lietuvoje, norėdamas apsisaugoti nuo  dalies galimų elektroninių nusikaltimų rizikos, turėtų atkreipti dėmesį į šias taisykles.

    Reikia apsaugoti kitą asmeninę informaciją

    Asmens identifikavimo numerių apsauga yra pirmas žingsnis asmeninės informacijos apsaugos link. Prie tokių apsaugos priemonių būtina priskirti elektroninių mokėjimo kortelių numerius, banko sąskaitų duomenis ir kt. Negalima pateikti kreditinės kortelės numerio ar kitos asmeninės informacijos asmenims, kurie skambina, net jei prisistato kaip oficialūs asmenys ir vilioja įvairiais pasiūlymais. Būtina maksimaliai susiaurinti ratą subjektų, kuriems suteikiame savo asmeninę informaciją, taip pat reikia maksimaliai sumažinti asmeninės informacijos kiekį, kurį nešiojamės su savimi. Rekomenduojama nesinešioti užsirašytų savo kortelių asmens identifikavimo numerių (PIN). Taip pat nesaugoti svarbios asmeninės informacijos, PIN kodų, slaptažodžių mobiliuosiuose įrenginiuose, jei tokia informacija nėra apsaugota kriptografiniu būdu. Reikia nuolatos tikrinti sąskaitų išrašus, ypač kredito kortelių, po kiekvieno naudojimo ir apsipirkimo tiek fizinėje, tiek elektroninėje erdvėje. Neduoti kortelių į rankas, jei atsiskaitinėjama lustinėmis kortelėmis. Perkant internetu iš mažmenininkų reikia pasidomėti, kas ir kiek laiko saugos finansinę informaciją – kuo mažiau informacijos leista laikyti, tuo mažesnė rizika, kad ji bus neteisėtai panaudota.

    Pasirūpinti tinkama kompiuterio apsauga

    Kompiuteryje turi būti įdiegta ugniasienė ir antivirusinė programa. Būtina imtis prevencinių priemonių dėl galimų kenkėjiškų programų ar virusų. Reikia laiku atnaujinti visą apsaugos programinę įrangą, įtariai vertinti neprašytus laiškus, kuriuose prašoma pateikti asmeninės ar finansinės informacijos. Teisėti prašymai pateikti asmeninę informaciją paprastai nėra siunčiami elektroniniu paštu. Negalima naudotis viešais kompiuteriais tokiose vietose, kaip viešbučiuose, kavinėse ar kt., ir atlikti finansinius sandorius ar tvarkyti kitą svarbią asmeninę informaciją. Minėtose vietose esantys kompiuteriai gali būti užkrėsti šnipinėjimo programomis arba virusais. Niekada neatidarinėkite nežinomų elektroninių laiškų priedų arba atsisiųstos abejotinos programinės įrangos. Nusikaltėliai gali siūlyti nemokama muziką, antivirusinę apsaugą ar kitas programas. Būtina apsaugoti ir koduoti namų bevielį kompiuterinį tinklą, taip nusikaltėliams bus sunkiau rasti neapsaugotą prieigą. Visada naudokite sunkius slaptažodžius, nenaudokite žodžių, pavadinimų, ar frazių, kurios gali būti lengvai atspėjamos. Kuo ilgesnis slaptažodis, tuo geriau. Dažnai rekomenduojama, kad slaptažodis turėtų būti bent aštuonių simbolių, raidės būtų atsitiktinės, o skaičiai yra stipriausi slaptažodžio elementai. Taip pat reikia nustatyti slaptažodžio keitimo tvarką ir jos laikytis.

    Būtinas atsargumas naudojantis bankomatais

    Dažna vieta, kur bandoma pasisavinti mokėjimo duomenis, yra bankomatas. Būtina atkreipti dėmesį į įtartinus prietaisus. Apžiūrėkite, ar bankomatas techniškai tvarkingas, ar nematyti atvirų laidų, jungčių, paslėptų kamerų, kurias nusikaltėliai naudoja PIN slaptažodžiams įrašyti. Jei bankomatas atrodo įtartinai, pavyzdžiui, per daug iškilusi klaviatūra, prie kortelės įkišimo lizdo primontuotas neaiškus įrenginys, rekomenduojama nesinaudoti ir, esant galimybei, pranešti apie tai atitinkamam bankui ir teisėsaugos institucijai. Būtina atkreipti dėmesį į žmones, kurie pernelyg ilgai atlieka paprastas operacijas ar įdėmiai stebi kitų žmonių veiksmus prie bankomatų. Tokie žmonės gali naudoti paprasčiausius žiūrėjimo per petį metodus tam, kad pamatytų PIN kodą, pinigų likutį sąskaitoje, o tai gali paskatinti juos įvykdyti apiplėšimą, o vėliau, gavus mokėjimo kortelę, ištuštinti sąskaitą. PIN kodą geriau įrašyti viena ranka, kitą naudojant kaip skydą PIN kodui apsaugoti nuo galimo pamatymo. Ypač reikia būti atsargiems naudojantis bankomatais užsienyje, nes jų modeliai atskirose šalyse skiriasi, tad nepažįstami bankomatai visada kelia didesnę riziką. Taip pat iki minimumo bankomatuose reikėtų naudotis kvitais ir iš karto juos sunaikinti, kad jais negalėtų pasinaudoti galimi nusikaltėliai, rinkdamiesi potencialią auką.

    Uždrausti platinti asmeninę informaciją

    Vartotojai gali rinktis, kiek ir kokią informaciją jie nori pateikti prekybos įmonėms, kitoms bendrovėms, tam tikroms vyriausybinėms organizacijoms elektroninėje erdvėje. Informacija apie asmenis dažnai dalijamasi, tai daro daugelis verslo atstovų, ypač siūlydami naujas paslaugas ir prekybines akcijas. Galima nesutikti, kad asmeninė informacija būtų atskleista tretiesiems asmenims, būtina reikalauti pašalinti asmeninius duomenis iš komercinės rinkodaros duomenų bazių, atsisakyti nepageidaujamų laiškų, įskaitant katalogus ir kt.

    Reikia pasidaryti asmens duomenų atsarginę kopiją

    Dažnai patys asmenys net nežino savo asmens dokumentų numerių, jų galiojimo laiko, išdavimo datos ir t. t. Rekomenduojama padaryti dokumentų, kuriuos nešiojamasi su savimi, aprašą. Užsirašyti arba padaryti kopijas sąskaitų numerių, kredito kortelių, užfiksuoti dokumentų galiojimo datas, emitentų pavadinimus ir reikiamus telefono numerius, kad pranešus būtų galima atšaukti prarastų dokumentų galiojimą. Toks sąrašas padės susiorientuoti, kokie dokumentai prarasti nelaimės atveju, sutikrinti, kokie buvo kartu ir kokių jau nėra. Žinoma, negalima laikyti šio sąrašo piniginėje ar rankinėje, jį reikia paslėpti saugioje vietoje, kur pasiektų tik pats savininkas, tai galėtų būti namų seifas, kurį šiais laikais privalu turėti.

    Kiekvieną mėnesį būtina peržiūrėti gaunamas sąskaitas

    Reikia įsitikinti, kad visos gautos sąskaitos yra pagrįstos, paslaugų teikėjai žinomi ir pateikti jų sąskaitų duomenys taip pat. Dažnai pasitaiko, kad aptinkamos fiktyvios sąskaitos už paslaugas, vartotojai nieko neįtardami jas apmoka, vėliau paaiškėja, kad už jiems įprastas paslaugas jie sumokėjo sukčiams. Reikia tinkamai sekti mokėjimus, skirti keletą minučių jiems peržiūrėti, jei kyla įtarimas, kad pateiktos sąskaitos ir mokėjimo tvarka skiriasi nuo įprastos. Būtina atkreipti dėmesį, jeigu mokėjimo gavėjo pavadinimas pasikeitė arba pakeista pastovi mokėtina suma. Tokią grėsmę gerokai sumažintų elektroninės sąskaitos, gaunamos iš  paslaugų teikėjų, ir tinkamai suformuoti atskaitymų šablonai elektroninės bankininkystės sistemoje – taip bet kokie pakeitimai būtų iškart pastebimi.

    Rekomenduojama prieš išmetant ar keičiant sunaikinti duomenis seno kompiuterio4 kietajame diske

    Kai asmuo perka naują kompiuterį ar keičia senojo kietąjį diską, ką daro su senuoju? Daugelis žmonių tiesiog jį išmeta. Tačiau jau nebeveikiantis kietasis diskas dar gali būti nuskaitytas, iš jo įmanoma ištraukti visą ar dalį buvusios informacijos.  Būtina ištrinti visą informaciją, jei planuojama keisti diską ar išmesti seną. Net jei diskas neveikia, reikia pasirūpinti, kad jo niekas nebandytų nuskaityti. Dažniausiai siūlomi sprendimai – tai diską fiziškai sunaikinti  (smūgiu plaktuku, įrenginį pergręžti, neatstatomai pažeidžiant standžius diskus). Jei diskas geras ir ketinama jį parduoti ar kt., reikia pasirūpinti, kad visi ten esantys duomenys tikrai būtų pašalinti. Jį reikia paprasčiausiai suformatuoti, o jei diske buvo tikrai svarbios informacijos, galima atlikti vadinamąjį nulinį formatavimą (angl.  Zero-filling), kai visa disko talpa užpildoma nuliais, neatstatomai panaikinant bet kokį buvusį įrašą. Tokie patys sunaikinimo veiksmai turėtų būti atliekami ir su kitomis laikmenomis (USB kištukinėmis atmintinėmis, optinėmis laikmenomis).

    Galima naudoti privatumą saugančias priemones

    Jei kompiuteris naudojamas keliaujant, kavinėse ir kitose viešose vietose ir būtinai tenka naudotis elektroninėmis finansinėmis paslaugomis, reikia pasirūpinti priemonėmis, kurios užtikrintų privatumą. Kaip vienas iš siūlymų – specialios ekrano apsaugos, klijuojamos plėvelės, kurios užtikrina  ekrano duomenų privatumą, kai matoma tik sėdint tiesiai prieš ekraną. Tokie ekranai gali apsaugoti nuo smalsių akių, kai keliaujama ankštose erdvėse, tokiose kaip lėktuvas, traukinys, autobusas. Nors vadinamieji privatumo ekranai yra labai veiksmingi, tačiau jų nėra standartiniame komplekte, todėl tenka pirkti atskirai.

    Negalima lengvai tikėti atsitiktine sėkme ir laimėjimais, taip pat nelaimėmis ir problemomis elektroninėje erdvėje

    Sukčiai dažnai naudoja laiškus, telefonus, internetą, kad apgautų. Jie gali pranešti, kad asmuo laimėjo puikų prizą, ar siekti sukelti nerimą pranešdami apie menamą nelaimę, gali prisistatyti valstybės pareigūnu, banko atstovu, įmonių vadovu, taikyti tam tikrus psichologinius metodus. Rekomenduojama neatsakinėkite į laiškus, kuriuose prašoma mokesčių ar verslo susitarimų, į raginimus pateikti informaciją apie banko sąskaitą, siekiant perduoti didelę pinigų sumą. Dažnai sukčiai bando išvilioti pinigus pirkdami prekes, už kurias neva per daug sumoka, dažnai atsiunčia fiktyvius tarptautinių mokėjimo kvitus, taip pat bando išvilioti pinigų menamoms advokato išlaidoms, kurios atsiranda dėl didelio laimėjimo dokumentų tvarkymo ir t. t.

    Reikia stengtis išvengti duomenų pažeidimų

    Dėl galimų duomenų pažeidimų būtina imtis reikiamų priemonių:

    •                  Riboti svarbių duomenų saugojimą kompiuteriuose. Per daug asmeniškos ir identifikuojančios informacijos nelaikyti nešiojamame kompiuteryje, nes jį galima prarasti.

    •                  Įdiegti šifravimo programinę įrangą, jei yra naudojami svarbūs duomenys.

    •                  Nuolatos atnaujinti informacinės sistemos elementus.

    •                  Naudoti saugų interneto prisijungimą keliaujant.

    Jei asmuo tapo auka

    Jei asmuo tapo elektroninių nusiklatimų auka, būtina nedelsiant kreiptis į banką, jei vagys pasinaudojo asmens finansiniais instrumentais, – ir į policiją. Jei pastebėjote, kad kažkas naudoja asmens duomenis be asmens sutikimo, reikia kreiptis į Valstybinę duomenų apsaugos inspekciją.  Atsiminkite svarbiausią taisyklę – pirmiausia pats asmuo turi saugoti savo duomenis ir tik  pasirūpinęs tinkama apsauga, jis galės tikėtis tinkamos pagalbos, nes jei asmuo kontroliuos visus savo duomenis, žinos, kur ir kiek jų yra palikęs, labiau padės tyrėjams atskleisti įvykusią tapatybės vagystę.

    Be šių  taisyklių, būtina laikytis ir asmeninės informacijos valdymo kontrolės. Asmeninės informacijos skelbimas, pavyzdžiui, socialiniame tinkle, padidina elektroninių nusikaltimų tikimybę. Todėl asmenys turi kontroliuoti asmeninės informacijos apie save skelbimą viešai. ■

    www.wikimedia.org, (Trojos Arklys. Šiuo principu sudaryti virusai Trojan tapo viena populiariausių kenkėjiškų programų)

  • ATGAL
    Išmanieji elektros tinklai: problemos ir perspektyvos. Enisa studijos apžvalga
    PIRMYN
    Apie elektroninį balsavimą paprastai
  • Mūsų draugai:
  • ELP grupė
  • Bernardinai.lt
  • Europarlamentaras Algirdas Saudargas

Copyright © 2011 apzvalga.eu. Visos teisės saugomos.

Draudžiama tinklapyje „Apžvalga“ paskelbtą tekstinę ir vaizdinę medžiagą panaudoti kitose žiniasklaidos priemonėse arba platinti šio tinklapio medžiagą kuriuo nors pavidalu be „Apžvalgos“ leidėjų sutikimo, o jei sutikimas gautas, būtina nurodyti „Apžvalgą“ kaip šaltinį.