DIPLOMSKO DELO VARNOST E-POSLOVANJA V SLOVENSKIH PODJETJIH. Security of electronic business in Slovenian companies

Transcription

1 UNIVERZA V MARIBORU EKONOMSKO-POSLOVNA FAKULTETA DIPLOMSKO DELO VARNOST E-POSLOVANJA V SLOVENSKIH PODJETJIH Security of electronic business in Slovenian companies Kandidatka: Nataša Golčman Študentka rednega študija Številka indeksa: Program: visokošolski strokovni Študijska smer: finance in bančništvo Mentor: dr. Samo Bobek Maribor, september 2008

2 2 PREDGOVOR Uveljavljanje elektronskega poslovanja ponuja gospodarstvu veliko poslovnih priložnosti. Omogoča zmanjševanje stroškov poslovanja, izboljšanje odzivnega časa pri izvajanju poslovnih procesov ter pridobivanje novih virov dohodkov. E-poslovanje ni nova oblika poslovanja, je avtomatizacija in posledično tudi prenova poslovnih procesov, ki delovne postopke močno pospeši in avtomatizira ter sprosti dragocene človeške resurse, da se posvetijo opravilom, ki jim računalnik ni kos. Na ta način podjetje postane bolj prilagodljivo in bolj konkurenčno. Razvoj e-poslovanja temelji v veliki meri na zaupanju in varnosti, ki ju čutijo uporabniki do elektronskih komunikacij. Z načinom izmenjave podatkov se spreminja tudi način varovanja teh podatkov. Elektronska pošta, elektronsko poslovanje, dostop do baz podatkov itd., zahtevajo visoko stopnjo varnosti, ki mora zagotavljati: zaupnost, overjanje uporabnikov, kontrolo dostopa, neokrnjenost podatkov in nezmožnost zanikanja. Obstajajo številne aplikacije, ki so povezane z elektronskimi podpisi oziroma potrebujejo le-tega za delovanje. Na tak način potekajo plačila, sklepanje pogodb, dostop do različnih storitev podjetij ali državne administracije, varne komunikacije med različnimi subjekti, nabava in podobno. Zato se uporaba digitalnih potrdil, elektronsko podpisovanje in šifriranje z javnimi ključi pojavljajo kot najpogostejši način uvajanja visoke stopnje varnosti. Sodobne tehnologije so v vsakdanje življenje vnesle izjemno lahkost obdelave podatkov, posebej tistih, ki so shranjeni v elektronski obliki. To pomeni, da so v vsakdanje življenje posameznikov vnesle tudi nevarnost, da je možno podatke hitreje in lažje zlorabiti in jih ob pravi kombinaciji narediti enostavno uporabne za krajo identitete, zlorabe bančnih računov in kreditnih kartic. Nihče ni imun na zlorabe osebnih podatkov, kljub dokaj strogi zakonski ureditvi, ki se nanaša na zavarovanje osebnih podatkov. Vendar pa noben zakon ne more nadomestiti tistega, kar je pri varovanju osebnih podatkov najpomembnejše - zavedanja prav vsakega posameznika o pomembnosti lastnih osebnih podatkov. Če sami (torej tudi v gospodarskih družbah) ne bomo poskrbeli za zadostno zavarovanje, bomo lahko kmalu ostali z izpraznjenim transakcijskim računom, tožbami z astronomskimi odškodninami, s kriminalisti in inšpektorji pred vrati... Sodobni informacijski tokovi postavljajo pred uporabnike računalniške opreme nove varnostne izzive. Uporabniki tako fizične kakor tudi pravne osebe zaradi pomanjkanja časa in neznanja tovrstnim varnostnim izzivom že dolgo niso kos, zato postajajo njihovi informacijski sistemi vedno bolj ranljivi. Prisotnost varnostnih ranljivosti povečuje možnosti za nastanek nepričakovanih varnostnih dogodkov, zaradi katerih lahko podjetje utrpi finančno škodo, izgubi ugled ali pa se zaradi nedostopnosti sistemov zgodi še kaj hujšega.

3 3 KAZALO 1 UVOD Opredelitev področja in opis problema Namen, cilji in osnovne trditve Predpostavke in omejitve raziskovanja Predvidene metode raziskovanja OPREDELITEV E-POSLOVANJA Oblike e-poslovanja Vrste e-poslovanja Prednosti in pomanjkljivosti e-poslovanja TVEGANJE E-POSLOVANJA Vdori v računalniški sistem Vrste napadalcev Škodljivi programi Računalniški virusi Računalniški črvi Trojanski konji Logične bombe Nevarnosti pri varovanju informacij TEHNOLOŠKI IN OPERATIVNI VIDIKI E-POSLOVANJA Načini varovanja in zaščite Protivirusni programi Metode za zagotovitev varnosti v e-poslovanju Šifriranje Digitalni podpis Digitalno potrdilo Infrastruktura javnih ključev Protokol za varni prenos Varovanje podatkov in informacij Požarni zid Varen elektronski arhiv Varno spletno nakupovanje Varna elektronska pošta Varnostna politika VARNOST E-POSLOVANJA V SLOVENSKIH PODJETJIH E-poslovanje v slovenskih podjetjih Informacijska varnost v slovenskih podjetjih Varnostni incidenti v slovenskih podjetjih SKLEP POVZETEK...54

4 4 8 LITERATURA VIRI...57

5 5 1 UVOD 1.1 Opredelitev področja in opis problema V diplomskem delu bom predstavila, kako lahko razna podjetja, organizacije in navsezadnje tudi vsi posamezniki varno elektronsko poslujejo. Elektronsko poslovanje je v zadnjem desetletju močno napredovalo, vendar pa si večina ljudi elektronsko poslovanje vseeno razlago napačno oziroma preveč ozko. Večina ljudi si pojem elektronsko poslovanje razlaga kot elektronska prodaja, pojem pa je v resnici precej širši. Elektronsko poslovanje ni samo računalniško izmenjevanje podatkov, ampak obsega številna področja, kot so elektronsko bančništvo, zavarovalništvo, trženje, trgovanje, spletno trgovino, svetovanje, delo ali študij na daljavo itd. Uvajanje elektronskega poslovanja je omogočila intenzivnejša informatizacija, ki prinaša številne prednosti. Toda ob vsakem novem koraku v tej smeri nastanejo novi problemi. Z vpeljavo informacijske tehnologije, se spreminja tudi način dela. Tradicionalno pisarniško poslovanje izpodrivajo elektronske podatkovne baze in dokumenti v elektronski obliki, elektronska pošta nadomešča pošiljanje papirnatih dopisov, papirnate obrazce in vloge nadomeščajo elektronske vloge itd. Rokovanje s takšnimi dokumenti lahko odpira nekatere nove probleme in postavlja številna vprašanja, saj zahteva drugačen pristop, kot smo ga sicer vajeni. Največje vprašanje pa se pri vsem tem pojavi glede varnosti, saj varnosti pri elektronskem poslovanju ne moremo jemati zlahka. 1.2 Namen, cilji in osnovne trditve Namen diplomskega dela je analizirati varnost elektronskega poslovanja, ki je v današnjem času zelo pomembno, saj se vse pogosteje srečujemo z različnimi nevarnostmi, ki pretijo na nas. Namen diplomskega dela je tudi prikazati, kako se slovenska podjetja soočajo z varnostnimi incidenti in predvsem, kaj so pripravljeni storiti, da takšne probleme preprečijo. Cilji diplomskega dela so naslednji: opredeliti elektronsko poslovanje s poudarkom na oblikah in vrstah elektronskega poslovanja ter opozoriti na prednosti in pomanjkljivosti elektronskega poslovanja; proučiti tveganja elektronskega poslovanja, kot so razni vdori v računalniški sistem, virusi, črvi itd.; proučiti na kakšen način lahko zavarujemo elektronsko poslovanje, predvsem pa kakšne metode vse lahko uporabljamo za takšno zaščito; proučiti varnost e-poslovanja v slovenskih podjetjih in s kakšnimi varnostnimi incidenti se srečujejo slovenska podjetja. V diplomskem delu bom izhajala iz trditev: elektronsko poslovanje ima številne prednosti in pomanjkljivosti, ki jih je potrebno upoštevati pri uvajanju elektronskega poslovanja v podjetjih; nevarnosti, ki pretijo na nas pri uporabi elektronskega poslovanja so vsak dan večje, da jih preprečimo se moramo ustrezno zaščititi;

6 6 podjetja se ponavadi ne zavedajo nevarnosti, ki jim grozijo z uporabo elektronskega poslovanja; obstaja veliko metod za zagotovitev varnosti pri elektronskem poslovanju, vendar lahko te hitro zastarijo; za varnost morajo poskrbeti podjetja, prav tako vsak posameznik oziroma uporabnik; največ varnostnih incidentov v podjetjih se zgodi zaradi okužb z računalniškimi virusi; slaba informiranost zaposlenih in premajhna vlaganja v varnostno tehnologijo, lahko v podjetjih povzročijo veliko škode. 1.3 Predpostavke in omejitve raziskovanja Predpostavljam, da ima varnost elektronskega poslovanja velik vpliv na samo poslovanje. Predvsem podjetja se morajo zavedati nevarnosti, se jim prilagajati in hitro reagirati nanje. S pojavom novih tehnologij, se bodo pojavile nove grožnje in tveganja, ki lahko negativno vplivajo na podjetje. Elektronsko poslovanje se bo vseskozi razvijalo, pojavljale se bodo nove metode, ki bodo omogočile učinkovito zagotavljanje varnosti elektronskega poslovanja. Predpostavljam tudi, da mora biti za varnost vseskozi poskrbljeno. Razna podjetja, organizacije in posamezniki morajo varovati in zaščititi svoj računalniški sistem na najboljši način. Pri tem si lahko pomagajo z različnimi metodami, kot so protivirusni programi, digitalna potrdila, digitalni podpisi, šifriranje itd. Omejitve raziskave: v diplomski nalogi se bom omejila na varnost elektronskega poslovanja na splošno oziroma kako preprečiti, da bi nevarnosti vplivale na samo poslovanje; omejila se bom na metode, ki zagotavljajo varnost; omejila se bom predvsem na slovenska podjetja oziroma varnost e-poslovanja v slovenskih podjetjih in njihove varnostne incidente. 1.4 Predvidene metode raziskovanja Pri obravnavanju varnosti elektronskega poslovanja v slovenskih podjetjih, bo potrebno proučiti domačo in tujo strokovno literaturo, internetne vire in članke, ki proučujejo to temo in njene spremembe. Uporabila bom dinamično metodo, kar pomeni, da bom proučila sedanje stanje elektronskega poslovanja, kakšne načine varovanja elektronskega poslovanja uporabljamo in s kakšnimi varnostnimi incidenti so se slovenska podjetja srečevala v preteklosti. V okviru deskriptivnega pristopa bom uporabila naslednje metode: metoda deskripcije, s pomočjo katere bom opisovala teorijo in pojme ter ugotovljena dejstva; metoda klasifikacije, kjer bom definirala pojme;

7 7 metoda kompilacije, kjer bom s povzemanjem stališč drugih avtorjev v zvezi z izbranim raziskovalnim problemom prišla do oblikovanja novih stališč.

8 8 2 OPREDELITEV E-POSLOVANJA Pojem elektronsko poslovanje je širok izraz in različni avtorji ga opredeljujejo različno. V slovenskem jeziku poznamo samo en izraz elektronsko poslovanje, ta pa izhaja iz izrazov v angleškem jeziku. V angleščini uporabljajo dva pojma, ki označujeta elektronsko poslovanje (Gradišar 2003, 20): E-commerce, ki se je pojavil prvi, in E-business, ki se v zadnjem času vse bolj uveljavlja. Elektronsko poslovanje obsega veliko več kot le navadno računalniško izmenjavo podatkov in delovanje spletne trgovine. Elektronsko poslovanja obsega: elektronsko bančništvo, elektronsko trženje, elektronsko trgovanje, spletno trgovino, svetovanje na daljavo, elektronsko zavarovalništvo, računalniško podprto skupinsko delo, delo na daljavo, pouk na daljavo in avkcije na daljavo ( Jerman Blažič 2001, 11). Pomembni elementi teh dejavnosti so (prav tam, 11-12): Način dela: gre za računalniško izmenjavo podatkov ob uporabi odprtih omrežij, kot je Internet; Vsebina poslovanja: prodaja blaga in storitev, plačevanje, prodaja informacij, bančne transakcije, izmenjava dokumentov in listin, itd.; Udeleženci poslovanja: posamezniki, podjetja, bolnišnice, muzeji, galerije, univerze, izobraževalne ustanove in državne ustanove. Ključne tehnološke sestavine vsakega elektronskega poslovanja so: računalnik, programska rešitev (aplikacija) in komunikacije. Tem sestavinam pa je potrebno dodati še organizacijo poslovanja, saj šele skupaj z njo osnovne tehnološke sestavine podpirajo cilje poslovnega sistema (Toplišek 1998, 3). Po mnenju Evropske komisije je elektronsko poslovanje katera koli oblika poslovne transakcije, v kateri stranke delujejo elektronsko, namesto da bi si pošiljale»telesna«sporočila (physical exchanges) ali da bi bile v neposrednem stiku. Hkrati pravijo, da je težko zajeti v definicijo dogajanje, ki je v tako kratkem času povzročilo toliko sprememb v načinu poslovanja (prav tam, 4). Bobek (2007, 2) je opredelil elektronsko poslovanje kot elektronsko izmenjavo podatkov (informacijske tokove) med podjetji, posamezniki in državno upravo; vsebine e-poslovanja so skoraj neomejene in vključujejo vse poslovne aktivnosti, ki se med navedenimi udeleženci pojavljajo. E-poslovanje dodaja»klasičnemu«poslovanju nove možnosti, ki jih ponujajo informacijske in komunikacijske tehnologije; pomeni spremembo odvijanja poslovnih procesov in organiziranosti podjetij (prav tam, 2).

9 9 Greenstein in Feinman (2000, 2) opredeljujeta e-commerce, kot uporabo elektronskih prenosnih medijev (telekomunikacij) za menjavo izdelkov in storitev, ki terjajo fizičen ali digitalen transport, iz ene lokacije na drugo, vključujoč kupovanje in prodajo. Avtorji knjige Skrivnosti elektronskega poslovanja ugotavljajo, da splošno priznana definicija elektronskega poslovanja ne obstaja. V glavnem pa elektronsko poslovanje obsega: distribucijo, trženje, prodajo in dobavo blaga in storitev z elektronskimi sredstvi (Osojnik, et al. 2002, 5). Avtorica knjige Elektronsko poslovanje na Internet-u, Borka Jerman Blažič (2001, 13) je elektronsko poslovanje opredelila s preprostim izrazom»poslovati elektronsko«. Tovrstno poslovanje je pomembno predvsem na štirih področjih, in sicer : 1. povezovanju med potrošniki in organizacijami, 2. notranjem poslovanju organizacije, 3. poslovanju med organizacijami 4. in poslovanju državne administracije med seboj in z občani. Elektronsko poslovanje (electronic business) se nanaša na izvajanje poslovnih transakcij, na upravljanje odnosov s strankami in na komuniciranje tako znotraj podjetja kot med različnimi podjetji, kupci in državno upravo. Izvaja se lahko preko privatnih ali pa javnih omrežij. Najpomembnejši področji elektronskega poslovanja sta poslovanje med podjetji (business to business - B2B ali medpodjetniško poslovanje) ter poslovanje med podjetji in končnimi kupci (business to consumer - B2C) (Skrt 2002a). 2.1 Oblike e-poslovanja Glede na to, katere udeležence povezuje, ločimo naslednje oblike elektronskega poslovanja (Bobek 2007, 2): organizacija (podjetje) organizacija (podjetje); Business to business B2B; organizacija (podjetje) posameznik (potrošnik); Business to Consumer B2C; organizacija (podjetje) državna uprava; Business to Government B2G; državna uprava državljan; Government to Citizen G2C; državna uprava državna uprava; Government to Government G2G; posameznik posameznik; Citizen to Citizen C2C. Glede na interakcije subjektov v elektronskem poslovanju so se v literaturi in na samem področju oblikovale tri glavne vrste poslovanja (Jerman Blažič 2001, 17): 1. podjetje podjetje (B2B) 2. podjetje potrošnik (B2C) 3. državna uprava državljan (G2C). Elektronsko poslovanje med podjetji (B2B) po ocenah različnih raziskav predstavlja največji del elektronskega poslovanja. Zajema vse, od vzpostavljene povezave med prodajalci na drobno in dobavitelji (naročila, plačila, ) ter elektronskega bančništva do sodelovanja na skupnih projektih. Elektronsko poslovanje s končnimi porabniki (B2C) zajema veliko področij, ki večinoma temeljijo na poslovanju z uporabo internetnih spletnih strani. Potrošniku omogočajo

10 10 opravljanje raznovrstnih opravil preko domačega računalnika: od bančništva in nakupovanja do izobraževanja in dela. Pri poslovanju z državno upravo ločimo njeno poslovanje s podjetji in poslovanje s prebivalci. Prav poslovanje državne uprave s prebivalci je eno najzahtevnejše področje, ker zahteva lokalni dostop do teh storitev vseh državljanov in članov skupnosti. Napovedi kažejo, da bo ta ločitev odpravljena, ker ne bo možno neposredno ločiti, kdo je stranka in kdo poslovni partner. Stranka je lahko posameznik, ki nakupuje v spletni trgovini, poslovni partner, posameznik ali podjetje v interakciji z državno upravo. Elektronsko poslovanje je obstajalo v mnogih oblikah, še preden se je pojavil Internet. Te oblike še vedno obstajajo. Vključujejo RIP 1, ki poteka večinoma po posebnih omrežjih, ki večinoma ne delujejo po protokolu TCP/IP 2. Nekateri menijo, da je RIP poslovanje med podjetji (B2B) pomembnejše od Internet-a (Osojnik et al. 2002, 5). Elektronsko poslovaje podjetje - podjetje (B2B) Začetki elektronskega poslovanja med podjetji (business to business ali B2B) segajo slaba štiri desetletja nazaj, ko so se začeli uporabljati prvi EDI (Electronic Data Interchange) sistemi. Z velikim vlaganji v informacijsko tehnologijo so podjetja dosegla visoko stopnjo avtomatizacije internega poslovanja, vendar je njihova komunikacija s poslovnim okoljem še vedno temeljila na klasičnih načinih sporazumevanja (Skrt 2002a). Elektronsko poslovanje podjetje podjetje (B2B) na tri načine (Bobek 2007, 5-8): 1. internetni RIP 2. elektronske tržnice 3. e-poslovanje z vidika poslovnega procesa. Internetni RIP so z vidika informatike informacijski sistemi, ki omogočajo izmenjavo elektronskih poslovnih listin med partnerskimi podjetji s pomočjo internetnih tehnologij. Takšni informacijski sistemi potekajo ponavadi preko ekstraneta; zaradi tega jih imenujemo tudi internetni RIP. Ekstranet preko Interneta poveže intranet-e različnih podjetij. V internetnem RIPu se poleg že omenjenih standardov, ki opredelijo vsebino poslovnih dokumentov pojavlja standard XML. Nekatere značilnosti RIP-a (Turban et al.1999, 245): omogoča pošiljanje in prejemanje velike količine podatkov širom sveta, RIP zagotavlja poslovanje brez papirja in predstavlja precejšen prihranek denarja, prejeti podatki so lahko takoj uporabljeni, podjetjem je omogočen dostop v baze podatkov poslovnih partnerjev, glede na velika potrebna vlaganja v RIP, se oblikujejo strateška partnerstva, pri prenosu podatkov med dvema računalnikoma obstaja relativno malo napak. Elektronske tržnice so z vidika informatike informacijski sistemi, ki pomenijo navidezni prostor, na katerem lahko elektronsko trgujejo prodajalci in kupci; omogočajo elektronsko evidentiranje in informiranje o ponudbi in povpraševanju ter elektronsko sklepanje poslov. 1 RIP- računalniška izmenjava podatkov. 2 TCP/IP- Transmition control protocol/internet protocol- protokol za nadzor prenosa/internetni protokol.

11 11 Poznamo več vrst tržnic, in sicer e-tržnice z vidika lastništva, e-tržnice z vidika usmerjenosti, e- tržnice glede na področje delovanja in e-tržnice z vidika mehanizmov oblikovanja cen. E-tržnice z vidika lastništva: javne e-tržnice: njihov lastnik je podjetje, ki se na tržnici ne pojavlja niti kot kupec niti kot prodajalec; e-tržnice konzorcijev: njihov lastnik je skupina (konzorcij) podjetij, ki so izven tržnice sicer lahko konkurenti, vendar jih pri tržnici povezujejo skupni interes; zasebne e-tržnice: lastnik tržnice je eno podjetje, ki se pojavlja v vlogi kupca in prodajalca. E-tržnice z vidika usmerjenosti: usmerjene e-tržnice: te tržnice so lahko usmerjene v nabavo (nabavne e-tržnice) ali prodajo (prodajne e-tržnice); nevtralne e-tržnice. E-tržnice glede na področje delovanja: vertikalne e-tržnice: usmerjeno so v vse procese znotraj posamezne panoge; horizontalne e-tržnice: niso usmerjene v eno panogo. E-tržnice z vidika mehanizmov oblikovanja cen: e-katalogi: cene so relativno fiksne (in objavljene) z običajnimi možnimi popusti; e-dražbe: kupci ceno dvigujejo z novim povpraševanjem; e-obratna družba: podajalci (ponudniki) ceno nižajo z novimi ponudbami; e-borze: ceno določa elektronski (avtomatizirani) algoritem, ki uparja ponudbo in povpraševanje. E- poslovanje z vidika poslovnega proces: e-oskrbovalna veriga (angl. e-supply Chain Management e-scm) je mreža podjetij, ki se po elektronski poti povezujejo med seboj z namenom oskrbovanja nekega podjetja; e-odnosi s kupci (angl. e-customer Reletionship Management e-crm) sistemi omogočajo elektronsko odzivanje tržnih aktivnosti. Prednosti in slabosti B2B poslovanja Razloge za hitro rast B2B poslovanja gre iskati v številnih prednostih, ki jih tovrstna oblika poslovanja prinaša podjetjem in v vse večjem prenosu B2B poslovanja na Internet. Med poglavitne prednosti sodijo predvsem nižji transakcijski in administrativni stroški, hitrost opravljanja transakcij, avtomatizacija različnih poslovnih procesov, možnost hitrejšega prilagajanja spremembam na tržišču in dostopa do globalnega trga, nove tržne priložnosti, ki se z uvedbo B2B poslovanja odpirajo podjetjem in učinkovitejše poprodajne storitve. Z uporabo sodobnih tehnologij lahko podjetja tudi bolje optimizirajo zaloge, spremljajo njihovo stanje, oblikujejo učinkovit sistem naročanja, sledijo izdelkom na njihovi distribucijski poti, itd. E- poslovanje, ki poteka skozi odprta omrežja zahteva učinkovite mehanizme, ki zagotavljajo zasebnost in varnost. Raziskava kažejo, da so v podjetjih najbolj zaskrbljeni glede varnosti

12 12 finančnih podatkov in zasebnosti transakcij. Opazno je tudi pomanjkanje zaupanja kupcev do elektronskih transakcij. Pogostokrat se pri e-poslovanju omenja problem znanja, ki se nanaša na pomanjkanje usposobljenega in izobraženega kadra. Udeležence B2B poslovanja skrbijo tudi težave, ki so povezane s pravno obveznostjo in pogodbami. Potencial, ki ga prinaša e-poslovanje, lahko podjetje izkoristi le, če prilagodi poslovne procese novim tehnologijam. Ker lahko prinese koristi le spremenjen način dela, ne pa tehnologija sama, se lahko ob uvedbi e-poslovanja pojavijo organizacijske težave znotraj podjetja (Skrt 2002a). Elektronsko poslovanje podjetje potrošnik (B2C) E-poslovanje med podjetjem in potrošnikom (B2C; Business to Consumer) se odvija na e-trgu, kjer se podjetja pojavijo kot ponudniki blaga in storitev, potrošniki pa kot kupci. Potrošniki so se v e-poslovanje lahko vključili šele z uporabo Internet-a za poslovne namene, saj je bilo e-poslovanje, ki se je odvijalo preko zasebnih omrežij oziroma omrežij z dodano vrednostjo, zaradi prevelikih vstopnih pregrad, dostopno le velikim podjetjem. Aktivnosti, ki so značilne za e-poslovanje tipa B2C (Sulčič, Lesjak 2001b, 2): Elektronsko oglaševanje: je najobširnejša aktivnost na Internet-u; Elektronsko založništvo: je namenjeno objavi časopisov, revij, novic, knjig in drugih informacij na Internet-u; Potisna tehnologija: je rešitev, ki omogoča lažje iskanje in razvrščanje želenih podatkov; Elektronsko trgovanje: je najbolj razširjena oblika elektronskega poslovanja, ki podpira trgovanje na veliko in malo; Elektronsko bančništvo: s primernimi računalniškimi rešitvami omogočimo uporabnikom, da bančne storitve opravljajo od doma ali iz službe, s čimer prihranimo čas in denar; Finančno posredovanje in trgovanje z vrednostnimi papirji: z različnimi računalniškimi rešitvami lahko načrtujemo in stimuliramo naložbe finančnih sredstev; Elektronski trg delovne sile: Internet je primerno okolje za iskanje primernih strokovnjakov kot tudi za iskanje delodajalcev: Potovanja: s pomočjo Internet-a potrošniki pridobimo informacije o potovanjih in si s tem znižamo stroške; Prodaja in nakup nepremičnin: nepremičnine si ogledamo na zaslonu, s čimer prihranimo čas in denar za dejanske oglede; Elektronsko pravo: označuje pravno svetovanje, elektronsko arbitražo, pravno posredovanje, pomiritvene postopke, sodne postopke in ostale pravne postopke, ki se običajno odvijajo preko Internet omrežja; Elektronske vloge: vključujejo večpredstavitvene samopostrežne avtomate npr. za oddajo vlog (dokumentov) za državne organe, sodstvo, upravo, itd.; Elektronsko zavarovalništvo: podpira vedno večjo ponudbo zavarovalniških storitev preko Internet omrežja; Delo na daljavo: omogoča zaposlenim opravljanje dela od doma; Elektronsko izobraževanje.

13 Vrste e-poslovanja Toplišek (1998, 15-21) je v svoji knjigi Elektronsko poslovanje, vrste elektronskega poslovanja segmentiral v naslednje vrste: Elektronsko trgovanje V elektronski obliki so izvedljive vse vrste trgovanja: na veliko, na drobno in ne glede na vrsto blaga. Poslovanje se lahko izpelje s posamičnimi naročili, s sukcesivnimi dobavami, lahko je avtomatizirano na način RIP-a, izvedljiva so borzna blagovna trgovanja, samodejno trgovanje (po načelu kdor prej pride ali kdor ponudi najvišjo ceno ) ipd. Čeprav imamo ustaljeno predstavo o tem, kaj pomeni izraz trgovina, se pri elektronskem trgovanju srečujemo z najrazličnejšimi izrazi. To je posledica dejstva, ker se globalno elektronsko poslovanje ne uveljavlja enakomerno v vseh tradicionalnih poslovanjih, pojavljajo pa se tudi povsem nove oblike, ki v t.i.»predelektronskem času«doslej še sploh niso bile izvedljive. Globalno elektronsko trgovanje ima za ponudnike številne prednosti: omogoča povečan trg, nižje zagonske in obratovalne stroške, vstop na neomejeno velik trg brez fizične prisotnosti, poceni distribucijo, obsežne dobave ob nižjih stroških, učinkovitejše trženjske premije. K elektronskemu trgovanju spada tudi vrsta pred in poprodajnih dejavnostih, ki so se prav tako morale prilagoditi novim informacijskim in komunikacijskim tehnikam. Z internetom se odpirajo posebne priložnosti za iskanje novih trgov. Zanimivo je, da so se izenačili nekateri pogoji poslovanja za velike in male podjetnike in da velikost organizacije ali bližina potrošniškim središčem ne pomeni več posebne prednosti. Te ugotovitve so zanimive tudi za slovenska podjetja. Elektronsko bančništvo V širšem smislu obsega elektronsko bančništvo vse bančne storitve, ki se opravljajo po elektronski poti (tudi po telefonu, prek avtomatov, terminalov ). Del teh storitev je tak, da ne potrebujejo posebnega varovanja (npr. splošne informacije), večinoma pa gre za varovane storitve s posamezno osebo. Elektronski finančni prenosi v ožjem pomenu besede so le medbančni elektronski prenosi, medtem ko gre pri finančnem RIP-u za elektronsko izmenjavanje podatkov med podjetjem in njegovo banko (npr. dajanje nalog za elektronski finančni prenos). Izkušnje samodejnega plačevanja kažejo, da je elektronsko plačevanje lahko izjemno učinkovito. Razvoj bo šel v tej smeri, da bodo komercialna plačila avtomatizirali tako, da bo plačilo le končni del samodejno izpeljane verige poslovnih postopkov. Pri tem včasih ne bo potrebno posredovanje finančne hiše ali pa njena udeležba ne bo neposredno očitna.

14 14 Elektronsko borzništvo Udeleženci borznega poslovanja so kaj kmalu spoznali, da jim elektronski način dela lahko zagotovi učinkovitejše delo. In to kljub temu, da tak način dela prinaša tudi določena tveganja oz. možnosti za zlorabe. Vlagateljem so na voljo sprotne izčrpne informacije o položaju njihovih naložb. Hitrost poslovanja ugodno vpliva na učinkovitejše delo in ne ovira kakovosti poslovanja. To je pomembno zlasti za investicijske družbe. Storitve na zahtevo (conditional access services) V širšem smislu spadajo sem vsa poslovanja, pri katerih potrošnik/uporabnik iz oddaljenega mesta prikliče storitev. Plačuje se glede na čas, vrsto porabe, količino ipd. Možne bodo različne vrste storitev na zahtevo, vendar danes v ožjem pomenu mednje štejejo predvsem ogledovanje filmov in videa. Elektronsko poslovanje na domu Poslovanje se seli med stene domačega stanovanja. Še do nedavnega sta se zaradi elektronske storitve morala ponudnik in potrošnik srečati fizično. Zato se pri mnogih vrstah poslovanja uporabljata izraza homeshopping in telebanking. Na elektronski način poslovanja so se lažje preusmerile tiste vrste poslovanja, ki jih je bilo možno že prej opraviti po telefonu ali telefaksu (karte za letalske in druge prevoze, turistične rezervacije, naročila borznim posrednikom ). Informacijski avtomati kioski Deloma so naprave namenjene zgolj informiranju, razvijanju pa tudi takšne, ki bodo v pogovoru z uporabnikom svetovale ali ponujale pisne izdelke (npr. vloge za državne organe). Elektronsko založništvo Izdajajo vzporedne elektronske»tiske«ali pa izvirna dela v digitalni obliki. Deloma so te izdaje v sprotni obliki (on-line). E-založništvo v širšem smislu posega tudi na področje klasičnih medijev obveščanja, kar prinaša posebne pravne zaplete. Elektronsko zavarovalništvo Sklepanje zavarovalnih pogodb je razmeroma formularno, tj. s pomočjo vnaprej pripravljenih obrazcev in splošnih pogojev. To je idealno okolje za razvoj elektronskega načina dela. Kadar je sklenitev zavarovanja eden izmed poslovnih dogodkov v verigi, se z zavarovanjem dogaja tako, kot z drugimi povezanimi deli poslovanja: elektronsko izvedeni dogodki pritiskajo na neelektronske, ki s svojo počasnostjo ovirajo druge. Komunikacijsko informacijske storitve To so vse storitve, ki so se pojavile zaradi nemotenega elektronskega poslovanja: npr. zagotavljanje komunikacij, povezljivost, pomožne storitve za rabo omrežij, storitve v zvezi z digitalnim popisovanjem, časovnim žigosanjem, hrambo in upravljanje s podatki

15 15 Delo na daljavo Delo na daljavo je po eni strani samostojna oblika poslovanja, po drugi pa način dela, ki izrablja še druge vrste elektronskega poslovanja. Prinaša zanimive novosti na področjih, kot so: zaposlenost, organizacija dela, visoka učinkovitost pri nekaterih dejavnostih Elektronsko poslovanje državnih in javnih služb Tretja, največja skupina v elektronskem poslovanju je poleg komercialnih udeležencev in potrošnikov (uporabnikov) javni sektor (v najširšem pomenu: uprava, sodstvo, zakonodajalec, zdravstvo, socialne in druge javne službe). Država je velik sistem in pomemben partner pri elektronskem poslovanju. Del pobud za elektronsko poslovanje javnega sektorja prihaja iz gospodarstva, saj se mora tudi država vključiti v verige nastajajočih elektronskih poslovanj (carina, davčne službe, statistika, razpisi za javna naročila). Pravne in druge javne informacije so po elektronski poti dostopne na preprost način; še zlasti, če tudi izvorno nastajajo v e-obliki. Sestavljene oblike elektronskega poslovanja Večina elektronskih poslovanj bo sestavljena tako, kot je v neelektronski obliki: naročilo - dobava - plačilo, nakup - svetovanje - vzdrževanje, trženje - oglaševanje - naročilo, itd. To so primeri zaporedij, ki jih vedno bolj zajema tudi elektronsko poslovanje. Splošne (vrstne, generične) oblike elektronskega poslovanja Nemogoče bi bilo našteti vse oblike, v kakšnih se pojavlja elektronske poslovanje. Če bi se omejili zgolj na gospodarske vrste poslovanja, bi izpustili mnoge druge. Razen tega so nekatere vrste poslovanj splošne, kar pomeni, da so kot oblika dela uporabne na katerem koli področju (RIP, avtomati, informacijski kioski, storitve na zahtevo, sestavljene oblike poslovanj ). 2.3 Prednosti in pomanjkljivosti e-poslovanja Prednosti e-poslovanja Prednosti na področju trženja Z nastankom svetovnega spleta je oglaševanje na Internet-u dobilo nov zagon. Spletne strani vsebujejo bolj neposredne informacije zaradi možnosti uporabe slik in logotipov podjetij. Ponujajo možnost oblikovanja informacij in bolj dinamično predstavitev podjetja. Pri trženju preko Internet-a moramo upoštevati, da mora biti tržno sporočilo vedno združeno s kakovostno informacijo o določeni temi ali o podjetju (Sulčič in Lesjak 2001c, 4).

16 16 Prednosti e-poslovanja preko Internet-a so naslednje: Informacijo za trženje oblikujemo glede na izkazane potrebe uporabnikov potrošnikov, ki izhajajo iz interaktivnega načina trženja. Potrebe strank lažje razumemo zaradi neposredne komunikacije preko omrežja. Promocija izdelka in obdelava transakcij tečeta vzporedno, ker se ves proces trženja izvaja na Internet-u. Povratna zveza s strankami posreduje informacijo tudi o tem, kaj stranke kupujejo in česa ne. Tržna informacija nima časovne razsežnosti, ker je ves čas na omrežju (ni časovno omejena, kot na primer na televiziji). Ažuriranje informacije je preprosto in hitro. Tržnikom ni treba niti imeti prodajaln in s tem povezanih stroškov (najemnina, oprema, zavarovanje itd.). lahko pripravijo digitalni katalog z veliko nižjimi stroški kot bi ga imeli s klasičnim katalogom. Kupci lahko od kjerkoli naročajo izdelke 24 ur na dan. Ni jim treba sedeti v gostem prometu, iskati parkiranega prostora in hoditi mimo številnih polic, da bi našli predrago blago. Ni se jim treba peljati v prodajalno zgolj zato, da bi ugotovili, da je blago pošlo (Kotler 1996, 783). Odjemalci lahko dobijo veliko primerljivih informacij o podjetjih, izdelkih in tekmecih, ne da bi jim bilo treba oditi iz pisarne ali od doma. Lahko se osredotočijo na objektivne kriterije, kot so cene, kakovost, delovanje in razpoložljivost (Kotler 1996,783). Pri elektronskih storitvah se odjemalcem ni treba srečati s prodajalci ali se izpostaviti prepričevanju in čustvenim dejavnikom (Kotler 1996, 783). Prednosti za podjetje Medtem, ko so v času tradicionalne RIP med seboj sodelovala le velika podjetja, se v e- poslovanje, ki temelji na spletni tehnologiji, lahko vključujejo številna majhna podjetja, ki tako preko IT prihajajo v stik z velikimi podjetji, sodelujejo pri proizvodnji/zagotavljanju zahtevnih izdelkov/storitev, s čemer pridobivajo tudi nova znanja in izkušnje. S tem jim seveda povečujejo možnosti zaslužka, saj so udeleženi na veliko ali več trgih kot brez e-poslovanja (Sulčič in Lesjak 2001c, 5). Takšno povezovanje velikih in majhnih podjetij vpliva na znižanje stroškov poslovanja na obeh straneh (Turban 1999, 216). Prednosti e-poslovanja (Turban 1999, ), (Greenstein in Feinman 2000, 3): Nižji stroški oblikovanja, obdelave, posredovanja, shranjevanja in iskanja informacij na papirju. Nižji stroški skladiščenja, saj se proizvodnja sproži šele na osnovi naročila kupca (podpora koncepta»just in time«oz.»poslovanje brez zalog«. Hitrejše obračanje vloženega kapitala, zaradi hitrejšega odvijanja poslovnih aktivnosti. E-poslovanje podpira prizadevanja po prenovi poslovnih procesov (BPR business process reengineering ali redesing), saj se s spremembo poslovnih procesov povečuje produktivnost dela v vseh fazah poslovnega procesa.

17 17 Zniževanje stroškov telekomunikacij, saj je Internet veliko cenejši od omrežij z dodatno vrednostjo (VAN). Možnost konkuriranja majhnih podjetij velikim podjetjem. Z minimalnimi stroški je možno pridobiti poslovne partnerje izven svojega geografskega okolja poslovanja. Podjetja lahko dosežejo tudi potrošnike izven meja države. Zaradi možnosti dostopa velikega števila ponudnikov, se znižujejo stroški naročanja. Nižji prodajni stroški in stroški marketinga. Zaradi razvoja računalniških rešitev, omogoča spletna tehnologija povezavo podjetij s podjetji, ki uporabljajo tradicionalno RIP. Prednosti za potrošnika Prednosti e-poslovanja za potrošnike so (Turban 1999, ): Velika možnost izbire prodajalcev in proizvodov/storitev ter s tem primerjava ponudbe. V nekaterih primerih je možna hitra dostava proizvodov/storitev. Boljše servisiranje kupcev. Delovanje e-trgovin 24 ur na dan 7 dni v tednu, ne glede na lokacijo. Hitro pridobivanje podrobnih informacij o proizvodih/storitvah. Potrošnik lahko sestavlja proizvod po lastnih željah (osebni računalniki, avtomobili). Možnost sodelovanja v virtualnih dražbah. Možnost medsebojnega sodelovanja potrošnikov in izmenjava (primerjava) njihovih izkušenj. Prednosti za družbo Prednosti e-poslovanja za družbo so (Turban 1999, 218): Vse več ljudi dela doma, kar pomeni manj potovanja oz. manj prometa in s tem manjše onesnaževanje okolja. Zaradi pregleda nad cenami, ljudje kupujejo ceneje in s tem se povečuje življenjski standard tudi manj premožnih ljudi. Sodobne proizvode/storitve lahko pridobijo prebivalci držav»tretjega sveta«in prebivalci izven mestnih središč. E-poslovanje olajšuje dostop do javnih storitev in s tem znižuje stroške distribucije in povečuje kakovost storitev. Pomanjkljivosti e-poslovanja Tehnične pomanjkljivosti e-poslovanja so (Turban 1999, ): še vedno pomanjkljivi sistemi varnosti in zaupnosti, neustreznost standardov in protokolov; nezadostna telekomunikacijska infrastruktura; še vedno razvijajoča se programska orodja; težave v povezovanju internetnih računalniških rešitev z obstoječimi računalniškimi rešitvami podjetja;

18 18 dodatni stroški, povezani z nabavo specializirane opreme za e-poslovanje; tveganje, povezano z nezdružljivostjo računalniških rešitev e-poslovanja z računalniško opremo ali z nekaterimi operacijskimi sistemi; dostop do Interneta je za marsikaterega potencialnega kupca še predrag ali neprimeren. Netehnične pomanjkljivosti e-poslovanja (Turban 1999, 219): nerešena pravna vprašanja; zakonodaja in standardi še ne predvidevaj vseh možnih okoliščin; koristi e-poslovanja (npr. oglaševanja) so težko merljive, ker je metodologija vrednotenja še v razvoju; e-poslovanje se hitro razvija in marsikdo še čaka, da se razvoj nekoliko umiri, preden bi se sami vključili v e-poslovanja; nadaljnji razvoj e-poslovanja ovira nepripravljenost kupcev na spremembe; obstaja prepričanje, da je e-poslovanje drago in tvegano; še ni doseženo zadostno število kupcev in prodajalcev (t.i. kritična masa), ki je potrebno za donosno e-poslovanje; e-poslovanje lahko pomeni spremembo v medsebojnih človeških odnosih.

19 19 3 TVEGANJE E-POSLOVANJA Z razvojem računalništva in informatike ter s povezovanjem v Internet je problem varnosti postal še bolj pomemben kot včasih. Razlogi za to so (Fakulteta za računalništvo in informatiko 2007): 1. Napadalci so bolj usposobljeni in izobraženi ter imajo boljša orodja. 2. Bolj smo odvisni od informacijskih tehnologij, zato več izgubimo kot nekdaj. 3. Implementacija in upravljanje varnostne tehnologije je cenejše. 4. Svet postaja manj vreden zaupanja. Pred nadaljevanjem moramo spoznati osnovno terminologijo (prav tam 2007): Gostiteljski računalniški sistem (host) je računalnik, ki ga moramo varovati. To je lahko strežni računalnik, ali pa odjemalec, ki komunicira s strežnikom. Storitev (Service) je program v uporabniškem prostoru, ki izvaja kakšno uporabno nalogo. Ranljivost (vulnerability) je pomanjkljivost, hiba v programu, kritična z vidika varnosti. Napadalec išče take pomanjkljivosti v programih s ciljem, da si poviša pravice oziroma dostopnost v našem sistemu. Sistem za odkrivanje vdorov IDS (intrusion detection system) poskuša odkriti oziroma preprečiti napade. Napad (attack) je metoda izkoriščanja ranljivosti. Grožnja (threat) pomeni napadanje s strani motiviranega in sposobnega nasprotnika. Lesjak in Sulčič (2003,1) sta tveganja e-poslovanja opredelila kot vsakodnevne nevarnosti, ki pretijo na nas z uporabo e-poslovanja. Te nevarnosti so lahko: vdor v računalniški sistem, računalniški virusi, onemogočanje dostopa, zanikanje, kraja podatkov in informacij, vohljanje, maskiranje, prevzem povezav, načrtno usmerjanje mišljenja, Vsa ta tveganja pretijo na nas vsak dan, ko uporabljamo e-poslovanje. Najbolj pogosta oblika tveganja so vdori v računalniški sistem in razni škodljivi programi kot so: računalniški virusi, črvi in trojanski konji, zato bomo ti dve vrsti tveganja e-poslovanja podrobneje spoznali. 3.1 Vdori v računalniški sistem Kadar heker pridobi skrbniško geslo, lahko govorimo o vdoru. Ko ima enkrat to geslo in če ga ne odkrijemo, preden ga začne uporabljati, smo pretežno nemočni (razen če računalnik izključimo iz

20 20 omrežja). Začeti moramo z reševanjem podatkov iz vdrtega računalnika, formatirati disk in znova naložiti izvršilne programe iz originalnih medijev. Če vdora nismo opazili, se stvari dogajajo po naslednjem scenariju: napadalec si bo nastavil daljinski dostop do ukazane vrstice (cmd.exe) ali celo orodje za daljinsko upravljanje z grafičnim vmesnikom s skrbniškimi pooblastili, izključil spremljanje (auditing), če je vključeno, izvlekel preostale uporabniške račune in gesla ter jih skušal razbiti, namestil razne trojanske programe, programe za prisluškovanje omrežnemu prometu, iz tega računalnika vršil napade na tretje sisteme ter prikril ali odstranil sledi svojega vdora (Bratuša in Verdonik 2005, 69). Kazenski zakonik RS (2004, 28) opredeljuje neupravičen vstop v informacijski sistem: kdor neupravičeno vstopi v informacijski sistem ali kdor neupravičeno prestreže podatke ob nejavnem prenosu; kdor podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, uniči ali v informacijski sistem neupravičeno vnese kakšen podatek, ovira prenos podatkov ali delovanje informacijskega sistema. Vdor v informacijski sistem pa kazenski zakonik RS (2004, 30) opredeljuje: kdor pri gospodarskem poslovanju neupravičeno uporabi, spremeni, prenaša, uniči ali v informacijski sistem vnese kakšen svoj podatek, ovira prenos podatkov ali delovanje informacijskega sistema, ali kako drugače vdre v informacijski sistem, da bi sebi ali komu drugemu pridobil protipravno premoženjsko korist ali drugemu povzročil premoženjsko škodo. Predvsem računalniško nepooblaščeno vdiranje predstavlja glavno jedro informacijske nevarnosti. Kljub vednosti, da so ta dejanja nezakonita, pa kazenski zakonik omili kazen kršiteljev pri njegovem ravnanju, saj jih ne demotivira pri teh dejanjih, kazni so smešno nizke četudi se že sami poskusi opredeljujejo kot kaznivi. Za neupravičene vstope in vdore je zagrožena kazen do treh let, le v primeru povzročitve velike premoženjske škode je predpisana kazen do pet let. Z izredno težko možnostjo odkritja kršiteljev ter majhno verjetnostjo, da bodo kaznovani z nizkimi kaznimi, se trend nepooblaščenih vdorov dviguje in se bo dvigal še naprej (Akademska in raziskovalna mreža Slovenije 2004). Da bi lahko zaznali vdore v sistem, je potrebno razmisliti o nakupu programske opreme, ki nam bo omogočila nadzor. Pri tem se ne sme pozabiti na redno osveževanje podatkovne baze programa. Vzpostavimo učinkovite dogodkovne dnevnike (»log file«), iz katerih bo razvidno delovanje omrežja. Zapisi v teh dnevnikih nam bodo omogočili, da bomo prepoznali napade v sistem in znali nanje odgovoriti. Nadzorujemo tudi vse komunikacijske kanale, skozi katere pritekajo informacije v podjetje ali odtekajo iz njega pozorni moramo biti predvsem na nenavadno visok promet, večkratne poskuse logiranja neznancev ali nenavadno velike količine podatkov, ki se prenašajo neznanemu uporabniku. Izdelati je potrebno tudi plan v primeru vdora v sistem (Mišič in Tomšič 2007, 16).

21 21 Primeri vdorov v računalniške sisteme v Sloveniji 1. Tatvina uporabniških imen in gesel za dostop do Internet-a Ponudnik internetnih storitev podjetje Siol, d. d. je leta 1998 na Policijsko upravo Ljubljana podal prijavo o zlorabi uporabniških imen in gesel za dostop v Internet. Ugotovili so, da je hekerska organizacija v spletnem strežniku, ki je bil nameščen v ZDA, uporabnikom Internet-a, ki so v obrazec vpisali svoje podatke, za tolarjev po navadni pošti z odkupnino pošiljala ukradena uporabniška imena in gesla uporabnikom Siola. Kmalu so odkrili, da je heker, s pomočjo programa TBL preusmerjal elektronske komunikacije Siol-ovega poštnega strežnika na drugo lokacijo in zapisoval osnovne podatke o komunikaciji, med drugimi tudi ime in gesla uporabnikov. Siol je uporabnikom, katerih računi so znatno odstopali od povprečij, terjatve odpisal in sam kril stroške okoli 17,5 milijona tolarjev. 2. Neupravičen vstop v zaščiten zbirko ginekološke klinike Ginekološka klinika Ljubljana je leta 2000 podala prijavo vdora v zaščiteno računalniško zbirko podatkov, oziroma spletni strežnik klinike. Kmalu so razkrili, da je neznani storilec vdrl v spletni strežnik klinike. Storilec naj bi prenesel vse podatke, ki so bili v spletnem strežniku ginekološke klinike. Ti podatki so vsebovali uradno spletno stran klinike, telefonski in elektronski imenik zaposlenih, podatkovne zbirke podatkov o zdravnikih in pacientkah, knjige v elektronski obliki in različno testno programsko opremo. 3. Klik NLB Eden odmevnejših dogodkov pri nas je bil prav gotovo tudi primer Klik NLB. Slovenski heker je razvil program, natančneje trojanskega konja, s katerim je obšel varnostno zaščito Klika NLB in vstopil v sistem. Tam se je igral s prenosom na svojih dveh računih in torej ni naredil nobene škode (Bratuša in Verdonik 2005, ) Vrste napadalcev Učinki groženj so lahko namerni ali nenamerni. Subjekt lahko nenamerno povzroči škodo zaradi svoje nesposobnosti ali pa namerno iz škodoželjnosti, zaradi pričakovanih finančnih koristi ali le zaradi publicitete. Najpogostejši napadi oziroma načini realizacije groženj v javnih omrežjih so: prisluškovanje komunikacijskemu kanalu in prestrezanje informacij, ponarejanje informacij, pretvarjanje, nepooblaščena uporaba virov, nepooblaščeno razkritje informacij, zanikanje sodelovanja pri določenih dejavnostih, onemogočanje dela oziroma uporabe virov in analiza prometa.

22 22 Obravnavane napade delimo med seboj tudi glede na okolje, od koder grozijo virom. Podjetja, ki so priključena v javna omrežja, se še vedno najbolj bojijo zunanjih groženj oziroma groženj, ki prežijo nanje zunaj njihovega lokalnega omrežja. V nasprotju s pričakovanji se je v praksi pokazalo, da je večina primerov nepooblaščene uporabe virov ali razkritja zaupnih informacij posledica nedovoljenih dejavnosti subjektov znotraj lokalnega omrežja, na primer zaposlenih v podjetju (Jerman Blažič 2001, ). Storilci tovrstnih napadov so najpogosteje programerji, uradniki, študentje, managerji, sistemski analitiki, operaterji in drugi uporabniki informacijskih sistemov. Razvrstimo jih lahko v tri skupine: zaposlene v institucijah, storilci izven institucij (krekerji), računalniški zagnanci (hekerji). Več kot polovica nedovoljenih dostopov do podatkov zagrešijo uslužbenci v podjetjih. Dogaja se, da je večina varnosti namenjena zunanjim grožnjam, medtem ko na notranje napade vse pogosteje pozabljajo. Zaposleni v institucijah poznajo način poslovanja in imajo dostop do informacijskih sistemov, ki jih nepooblaščeno izkoriščajo za svoja nelegalna dejanja. Storilcem izven institucij je težje, ker morajo prodreti v informacijski sistem, za katerega ne vedo, kako deluje. Beseda heker (hacker) je izraz za računalniškega entuziasta. Običajno besedo heker povezujemo z osebo, ki želi nepooblaščeno dostopati do tujih računalnikov z namenom uničiti ali zlorabiti podatke. Mnogi hekerji se rajši imenujejo krekerji (crackers). Krekerji so hekerji, ki svoje znanje uporabljajo za dejanja brezciljnega vandalizma in tudi v sami hekerski kulturi veljajo za»ne-prave«hekerje. Varnostni sistem pa mora upoštevati dve vrsti napadalcev in sicer zunanje in notranje. Pri čemer so lahko notranji napadalci tudi naši zaposleni (Fakulteta za računalništvo in informatiko 2007). Zunanji napadalec: potrebuje dostop do sistema, deluje hitro, da ga nebi odkrili, vgradi»zadnja vrata«(trapdoors) za nadaljnji dostop in deluje hitro v okolju, ki ga ne pozna. Med aktivnosti zunanji napadalcev sodijo napadi virusov, črvov in drugih vsiljivcev, spam in kraja računalnikov. Notranji napadalec: ima dostop do sistema, deluje lagodno, ima zagotovljen dostop v prihodnosti, dela v znanem okolju in, ve, kaj je pomembno.

23 23 Notranji napadalci nas lahko ogrožajo na naslednje načine: Finančne goljufije, sabotaže, posredovanje privilegiranih podatkov izven organizacije; Zavračanje in pomanjkanje odgovornosti (»Tega nisem storil jaz!«,»te e-pošte nisem nikoli prejel «) Pretirano zaupanje v informacijsko tehnologijo (telefon in faks sta bolj zanesljiva). 3.2 Škodljivi programi Virusi, črvi in trojanski konji so škodljivi programi, ki lahko poškodujejo računalnik in podatke v njem, upočasnijo delovanje Internet-a in uporabijo računalnik za širjenje med lastnikove prijatelje, sorodnike, sodelavce in drugam po spletu. Dobra novica je, da lahko z malo pazljivosti in razmišljanja zmanjšamo verjetnost, da bi postali žrtev teh nevarnosti (Microsoft 2004) Računalniški virusi Računalniški virus je računalniški program, ki se je sposoben sam razširiti preko drugih računalniških programov ali dokumentov. Zaradi tega se računalniški virus obnaša zelo podobno biološkemu virusu, ki se širi tako, da okuži celice. Podobno kot se okužimo z biološkim virusom, se tudi računalniški program okuži z virusom. Pogosto potem rečemo, da je računalnik dobil virus. Računalniški program je v tem primeru gostitelj virusa (Fakulteta za računalništvo in informatiko 2007). Računalniški virus je sprogramiran tako, da vrine kopijo samega sebe v program, ki z njim še ni okužen ali v datoteko. Proces se ponavlja in virus se hitro širi. Seveda pa ni cilj virusa samo razmnoževanje. Ko so izpolnjeni določeni pogoji, povzroča virus tudi bolj ali manj neprijetne in škodljive nepričakovane dogodke: od padanja znakov iz zaslona, kar je lahko prav smešno, do uničenja podatkov in programov, kar lahko povzroči veliko škodo. V zadnjih letih se virusi najpogosteje širijo kot priloge (angl. Attachments) k elektronski pošti. Računalnik, ki se okuži z virusom, avtomatično pošlje elektronsko sporočilo s pripetim virusom na vse naslove v imeniku naslovnikov (angl. Address book). Primer tovrstnih virusov sta Melissa in Loveletter (Gradišar 2003, 259). Čeprav je lahko namen virusov, da uničujejo podatke, so pogosto samo nadležni. Nekateri virusi se sprožijo šele po tem, ko mine določen čas od prvotne okužbe računalnika, ob določenih časih ali ko okužijo zadostno število drugih računalnikov. Večina virusov je kljub temu usmerjena v lastno nekontrolirano reprodukcijo, kar troši računalniška sredstva, kot so procesorska moč, pomnilnik ali količina prostega trdega diska. Pred virusi se bojujemo s pomočjo protivirusnih programov, požarnih zidov in pravočasnih popravkov programa. Danes ti programi niso več namenjeni samo boju proti virusom, ampak služijo tudi preprečevanju prisotnosti vohunskega programa. Računalniški virusi so lahko sprogramirani tako, da se aktivirajo na določen datum. Tak je na primer virus Michelangelo, ki se je sprožil šestega marca 1992 (obletnica rojstva italijanskega

24 24 umetnika Michelangela) in na ta dan brisal vsebino trdih diskov. Ocenili so, da je virus napadel PC-jev (Fakulteta za računalništvo in informatiko 2007) Računalniški črvi Črv je program ali algoritem, ki ne spreminja datotek, ampak se zasidra v dejavnem pomnilniku in se razmnožuje po računalniškem omrežju. Tako zaseda računalniške pomnilnike in omrežna sredstva ali onemogoči delovanje sistema (Gradišar 2003, 259). Črv je prav tako kot virus zasnovan z namenom širjenja v druge računalnike, vendar to naredi samodejno, tako da prevzame nadzor nad računalniškimi funkcijami za prenos datotek in podatkov. Ko se črv naseli v sistemu, lahko potuje sam. Nevaren je prav zaradi izjemne sposobnosti hitrega širjenja: svoje kopije lahko na primer pošlje na vse naslove, ki jih imate v imeniku, računalniki naslovnikov pa bi naredili isto, kar povzroči učinek domin. Velik omrežni promet, ki je posledica širjenja črva, lahko upočasni poslovna omrežja in celo Internet kot celoto. Ko se pojavijo novi črvi, se razširijo zelo hitro in zasitijo omrežja, zato moramo včasih do dvakrat dlje čakati za ogled posameznih spletnih strani (Microsoft 2004). Najbolj znani so primeri okužb svetovnih omrežij s črvom Cristmas Tree Worm (črv božičnega drevesca december 1987) ali s t. i. Črvom INTERNET (1988), ki je uspel prodreti zelo globoko v omrežje, saj je vstopil celo v računalnike NASE in ameriške vojske ter ohromil njihovo delovanje (Hribar 1995, 21) Trojanski konji Trojanski konj je program, ki je sicer uporaben in koristen, vendar vsebuje skrite ukaze. Ti ukazi se izvršijo le, kadar je izpolnjen določen pogoj. Izvršijo se na primer, kadar je v obdelavi zapis z določeno matično številko ali z določenim bančnim računom. Takrat pride do nepričakovanih posledic, ki lahko ostanejo skrite (Gradišar 2003, 259). Trojanski konj vsekakor ne spada med prave viruse, saj se ne more sam razmnoževati in širiti po računalniku. Najdemo ga namreč v obliki uničujočega programa, ki ga programer skrije v drug, najpogosteje zelo priljubljen program, z namenom škodovati uporabnikom. Trojanski konj se od tu ne more prenesti na preostale programe v računalniku vedno torej ostane v istem programu (Hribar 1995, 18) Logične bombe Logična bomba je škodljivi program, ki ga mnogi napačno zamenjujejo z virusom. Podobno kot trojanski konj se namreč tudi ta program ne more samostojno razmnoževati po računalnikih. Logična bomba je, kakor nam že samo ime pove, program, ki ob določenem pogoju oziroma logičnem zaključku»eksplodira«. Tedaj prične s svojim uničujočim delovanjem brisanjem