Vdor v informacijske sisteme

Datum: 11.06.2012

Avtor: Mojca Havliček

Kraj objave: Računalniške novice

Vse bolj smo odvisni od informacijske tehnologije, ki omogoča boljšo dostopnost do podatkov ter boljšo povezljivost med uporabniki in podjetji ter vladnimi ustanovami. Podjetja in država vse večjo pozornost posvečajo varovanju informacij, saj so brez ustrezne zaščite občutljive za zlorabo. Težava nastane zaradi hitrega razvoja tehnologije, ker ima vsak nov val tehnologij za posledico zastarelost obstoječih varnostnih ukrepov in posledično večjo izpostavljenost novim grožnjam.

VDOR IN NEUPRAVIČEN VSTOP V INFORMACIJSKI SISTEM

Zlorabo informacijskega sistema pri nas ureja predvsem kazensko – pravna zakonodaja, natančneje Kazenski zakonik (v nadaljevanju KZ). Veljavni KZ izrecno inkriminira le vdor v informacijski sistem, medtem ko je stari KZ govoril o neupravičenem vstopu.

Pri vdoru gre za to, da nekdo nasilno, s tem, da zaobide neko oviro, npr. varnostni mehanizem, vstopi v informacijski sistem. Bistveni element neupravičenega vstopa pa je, ali je nekdo imel pooblastilo oz. dovoljenje za vstop. Torej ne gre za aktivno premagovanje ovir, saj je neupravičen vstop mogoč tudi, če ovir za vstopanje ni.

Za kaznivo dejanje vdora v informacijski sistem je zagrožena zaporna kazen do enega leta oz. do dveh let, če storilec podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, prenaša, uniči ali neupravičeno vnese kakšen podatek, ovira prenos podatkov ali delovanje informacijskega sistema. Še strožje se kaznuje neupravičena uporaba, sprememba itd. podatkov pridobljenih z vdorom v poslovni informacijski sistem, in sicer z zaporom do treh let oz. do petih let, če je z dejanjem pridobljena velika premoženjska korist ali povzročena velika premoženjska škoda.

Za kaznivo dejanje se šteje že samo posedovanje, izdelovanje, prodaja, dajanje v uporabo, uvažanje, izvažanje ali kašno drugačno zagotavljanje pripomočkov za vdor ali neupravičen vstop v informacijski sistem, za namen storitve kaznivega dejanja. To pomeni, da ima storilec namen zagrešiti vdor oz. pomagati pri tem in da se zaveda posledic tega dejanja. Slednje je pomembno zato, ker so varnostna orodja, ki so v osnovi namenjena varnostnemu testiranju informacijskih sistemov in s tem posredno povečevanju varnosti, če se jih zlorabi, lahko hkrati tudi pripomočki za vdor v informacijski sistem. Dokler se varnostna orodja uporabljajo za namen preverjanja varnosti sistema, se gibamo v mejah dovoljenega.

MEDNARODNI ELEMENT KAZNIVIH DEJANJ KIBERNETSKEGA KRIMINALA

Vdor in neupravičen vstop v informacijski sistem spadata v skupino kiberkriminala. Največja prepreka za učinkovito preiskovanje in pregon predstavlja globalna narava računalniških komunikacij, pri kateri državne meje ne predstavljajo ovir pretoku informacij. Storilci kaznivih dejanj se pogosto ne nahajajo v isti državi v kateri nastanejo posledice kaznivega dejanja. Kraj storitve kaznivega dejanja, in s tem povezana pristojnost, je kraj, kjer je storilec deloval, in kraj kjer je nastala prepovedana posledica. Npr. storilec, ki z računalnika v Sloveniji vdre v informacijski sistem v drugi državi, stori kaznivo dejanje za katerega se ga lahko preganja tudi po naši zakonodaji.

Za kaznivo dejanje kiberkriminalitete bo storilec, ne glede na državljanstvo, odgovoren po slovenski zakonodaji, če je dejanje izvrševal na ozemlju RS oz. če je na ozemlju RS nastala posledica. Za ozemlje RS se šteje tudi slovenska ladja, ne glede na to kje se nahaja in slovensko civilno letalo med letom. Za kaznivo dejanje kiberkriminalitete je odgovoren tudi slovenski državljan, če je zaloten na ozemlju RS oz. ji je izročen, če je deloval v tujini in je posledica nastala v tujini. Pogoj je, da tudi tuja država, kjer je bilo dejanje storjeno, to inkriminira kot kaznivo. Za kaznivo dejanje kiberkriminalitete je lahko po naši zakonodaji odgovoren tudi tuj državljan, če je zaloten na ozemlju RS oz. ji je izročen, če je deloval v tujini in je posledica nastala v tujini, vendar je bilo dejanje usmerjeno proti RS oz. njenemu državljanu. Tudi v tem primeru mora država v kateri je bilo dejanje storjeno, tako dejanje inkriminirati kot kaznivo.

ZAGOTAVLJANJE INFORMACIJSKE VARNOSTI

Podjetja, posamezniki in javne ustanove pri uporabi informacijskih sistemov, povezanih z internetom, kljub vse pogostejšim opozorilom strokovnjakov o nevarnostih, še vedno podcenjujejo nevarnost nezadostne zaščite omrežij in informacij.

Za upravljanje informacijske varnosti obstaja splošni kodeks najboljših praks. Najbolj znan je standard ISO/IEC 27001. Gre za sistem upravljanja varovanja informacij, ki temelji na pristopu tveganja in zagotavlja vzpostavitev, vpeljavo, delovanje, spremljanje, pregledovanje, vzdrževanje in izboljševanje varovanja informacij. Standard predvideva organizacijske, tehnične in logičnotehnične postopke in ukrepe, s katerimi se varujejo podatki, preprečuje slučajno ali namerno nepooblaščeno uničevanje podatkov ter njihova sprememba ali izguba ter nepooblaščena obdelava.

 

Mojca Havliček

Svetovalka v podjetju Eudace d.o.o.

 

Viri:

  1. https://www.ip-rs.si/

 

Vdor v informacijske sisteme.pdf