Jak przechowywać hasła aby nie zniknęły. Co to jest haking. Jak haker może zaszkodzić mojej firmie. Dlaczego bezpieczeństwo w sieci jest tak ważne. Jakiego programu użyć do trzymania haseł.

Posiadając komputer z dostępem do Internetu, musimy pamiętać, że nie jesteśmy bezpieczni. Na każdym kroku czyhają hakerzy chcący wykraść nasze dane, loginy i hasła a także dane zapisane na dysku. Niekiedy jesteśmy posiadaniu ważnych danych firmowych, które nie powinny się dostać w niepowołane ręce. A co jeśli ktoś zobaczy naszą korespondencje. W firmie gci, polityka bezpieczeństwa jest szeroko rozpowszechniona. Aby przeciwdziałać włamaniom musimy pamiętać o kilku zasadach. Przede wszystkim, nie trzymajmy naszych haseł do kont zapisanych na biurku. Naprawdę poświęćmy chwile aby zapamiętać hasło założone do skrzynki email czy do systemu. Lenistwo nie popłaca, wystarczy, że zapiszemy hasło na kartce samoprzylepnej, i przykleimy sobie do biurka a ktoś odwiedzający firmę okaże się być nieuczciwą osobą i w łatwy sposób uzyska dostęp do naszych tajnych informacji. Hakerzy używają metod socjotechnicznych przede wszystkim. Kevin Mitnick wchodził do firmy podając się za montera elektrycznego po czym podpinał się wewnątrz sieci by wykraść dane i wielomilionowe koszty zabezpieczeń legły w gruzach, bo wszystko było stworzone za firewallem, który w sieci wewnętrznej można łatwo obejść. Pamiętajmy o takich szczegółach a unikniemy włamania. Wiele osób trzyma hasła do kont internetowych w przeglądarkach, pamiętajmy, żeby hasło składało się przynajmniej z 8 znaków, dużych liter, znaków specjalnych i cyfr. Inaczej, można łatwo odgadnąć hasło porównując z specjalnie przygotowanym do tego słownikiem, metoda ta nazywa się brute-force i jest absolutnie skuteczna, jeśli system pozwala na logowanie określoną ilość razy. Nie chcielibyśmy chyba pewnego dnia zobaczyć wykasowaną całą skrzynkę email, albo nie móc się zalogować do poczty. Na szczęście są eksperci od bezpieczeństwa, którzy znają te metody i potrafią im skutecznie przeciwdziałać. Gci dba o polityke bezpieczeństwa twojej firmy. Przy przemyślaniu polityki hasłowej, utwórzmy sobie lepiej hasło główne i odczytujmy hasła używając specjalnie przygotowanego do tego programu. Może to być na przykład program KeePass.

–
Grzegorz Patynek
Gminne Centrum Informatyczne

—

Artykuł pochodzi z serwisu Publikuj.org.

Inne ciekawe wpisy z tej grupy:

• PayByNet, bezpieczne płatności online
• Jak chronić swoje dane osobowe podczas zakupów w sklepach i przez ogłoszenia?
• Nowości w informatyce
• XXI wiek dla informatyków
• Kontrola czasu pracy

W obecnych czasach wiele firm, niezależnie od swej wielkości, wykorzystuje Internet do celów marketingowo – komunikacyjnych. Bardzo ważnym elementem w zarządzaniu i projektowaniu sieci teleinformatycznych jest stworzenie polityki bezpieczeństwa.


Politykę bezpieczeństwa organizacji pod wieloma względami moglibyśmy porównać do polityki obronnej państwa. Polityka obronna państwa, zawiera informacje o zagrożeniach dla bezpieczeństwa kraju. Natomiast polityka bezpieczeństwa zawiera różnego rodzaju procedury mające na celu zapewnienie bezpieczeństwa (informatycznego i nie tylko) firmy. Określaniem polityki obronnej państwa zajmują się jego władze (rząd, prezydent, parlament). Z kolei określaniem polityki bezpieczeństwa, zajmuje się zarząd organizacji w współpracy z administratorami systemu informatycznego. Przestrzeganie zasad zawartych w polityce bezpieczeństwa wymagane jest przez wszystkie zatrudnione w firmie osoby, gdyż to głównie od nich zależy, w jakim stopniu będą chronione informacje niezbędne w realizacji podstawowych zadań instytucji (klienci, obroty, wynik finansowy i tym podobne). Widzimy zatem, że poprawnie skonstruowana i przestrzegana polityka bezpieczeństwa, to inwestycja w ochronę wszelkiej informacji niejawnej, której naruszenie mogłoby godzić bezpośrednio w finanse firmy lub dobre imię firmy.

Model polityki bezpieczeństwa będzie w dużej mierze zależał od potrzeb organizacji. Każda firma ma inne wymagania i potrzeby w odniesieniu do pojęcia bezpieczeństwa. Związane jest to z różnymi kombinacjami sprzętu i oprogramowania oraz z różnymi celami i skalą zabezpieczania. Właśnie dlatego polityka bezpieczeństwa będzie indywidualna dla każdej firmy i dlatego nie ma uniwersalnego schematu zabezpieczeń. Jeżeli mamy do czynienia z małą firmą, która wykorzystuje Internet do publikacji na swoim serwerze ogólnodostępnych materiałów marketingowych oraz wysyła i odbiera pocztę elektroniczną o małym stopniu poufności, to dbając o wykonywanie kopii bezpieczeństwa oprogramowania serwera oraz odcinając od sieci komputery zawierające poufne informacje uzyskamy wystarczający poziom zabezpieczeń. W innym zaś przypadku przyglądając się sklepowi internetowemu stwierdzamy, że wszystkie jego serwisy oparte są na interfejsie serwera WWW i to właśnie na serwerze należy skoncentrować uwagę w procesie oceny bezpieczeństwa.

Przy tworzeniu polityki bezpieczeństwa powinna być zachowana odpowiednia kolejność postępowania. Należy zaplanować kroki, jakie będą niezbędne w celu usprawnienia i uwiarygodnienia podjętych działań. Pierwszym krokiem w procesie tworzenia polityki bezpieczeństwa jest przeprowadzenie oceny funkcjonalnej firmy1. W ocenie takiej powinny się znaleźć wszystkich istotne informacje, dzięki którym możliwe będzie stworzenie polityki bezpieczeństwa. Zatem między innymi będą to informacje: o firmie, o jej działalności, o procesach w niej zachodzących, a także o współpracy pomiędzy określonymi działami. Po fazie oceny i zebraniu odpowiednich informacji, doszliśmy do etapu tworzenia polityki bezpieczeństwa. Polityka bezpieczeństwa określa zasoby, które powinny być zabezpieczone2, ale nie wskazuje na zastosowanie konkretnych metod. Dokument taki może mówić na przykład o konieczności szyfrowania informacji, ale nie wskaże on jakiej konkretnie metody szyfrowania powinniśmy w tym celu użyć. Powodem takiego stanu rzeczy jest fakt, że w momencie zmiany przez firmę stosowanej technologii całą polityką także należałoby zmieniać. Jeżeli na przykład, w stosowanym przez firmę algorytmie szyfrującym odkryte zostałyby jakieś wady, które umożliwiłby jego złamanie, wówczas polityka bezpieczeństwa takiej firmy, odnosząca się do metod szyfrowania byłaby bezużyteczna. Właśnie dzięki temu, że polityka bezpieczeństwa jest w pewnym stopniu „ogólna”, pozostawia ona szczegóły dotyczące stosowania konkretnych rozwiązań, w rękach tych, którzy będą bezpośrednio odpowiedzialni za działanie systemu zabezpieczeń. Dzięki tej właściwości polityki bezpieczeństwa, nieodpowiednie rozwiązania nie będą narzucane z góry przez osoby, które nie mają praktycznego doświadczenia w kwestiach bezpieczeństwa (jest to ważne, bo często osoby tworzące taki dokument, zagadnienia bezpieczeństwa znają tylko teoretycznie). Polityka bezpieczeństwa jest przeważnie dokumentem wielostronicowym i w praktyce wielu pracownikom, do których jest ona skierowana, nie będzie chciało się jej czytać (jak już wcześniej pisałem, przestrzeganie polityki bezpieczeństwa przez pracowników jest jednym z najważniejszych elementów w całym procesie zapewniania bezpieczeństwa). Praktycznym rozwiązaniem tego problemu, stosowanym przez wiele instytucji jest tworzenie, pewnego dokumentu na kształt wzorca3 polityki bezpieczeństwa, w którym zamieszczone są pewne obszary odpowiedzialności. Następnie na podstawie takich wzorców tworzona jest bardziej zwięzła forma dokumentu, która jest specjalnie przystosowana i przeznaczona dla wybranych grup: kierowników, przeciętnych pracowników czy pracowników działu informatycznego. Takie właśnie rozwiązania sprawdzają się najlepiej. Kolejnym ważnym elementem w procesie tworzenia polityki bezpieczeństwa jest tworzenie procedur i dokumentów operacyjnych. Ten element polityki bezpieczeństwa wskazuje już określone procesy, systemy i implementacje, które powinny być użyte. Przykładowo może wskazywać on metody archiwizacji danych i częstotliwość z jaką archiwizacja taka powinna być przeprowadzana. Kolejnym etapem jest ocena techniczna. Na tym etapie dokonywane są testy penetracyjne4, które pokazują, czy system poradzi sobie z atakami dokonywanymi od wewnątrz lub z zewnątrz sieci. Celem takich testów jest sprawdzenie istniejącej infrastruktury przedsiębiorstwa i ustalenia tego, co w chwili obecnej sprawia największe zagrożenie i co należy poprawić w pierwszej kolejności. Taki test również istniejącą politykę bezpieczeństwa, a także jej przestrzeganie przez pracowników organizacji. Konieczne jest więc powołanie zespołu którego zadaniem będzie identyfikacja i wskazanie obszarów zagrożeń. Zespół taki (złożony przeważnie ze specjalistów do spraw bezpieczeństwa) symuluje ataki, jakby były one przeprowadzane przez hakerów, czyli wykorzystuje wszystkie dostępne środki, by osiągnąć cel.

Zatem działania takie nie koncentrują się tylko na aspektach technicznych, czasami wykorzystywane są również metody inżynierii społecznej (tak zwany social engineering). W metodzie tej wykorzystuje się pozatechniczne środki do uzyskania dostępu do informacji lub systemów informatycznych. Zamiast wykorzystywać słabe punkty zabezpieczeń czy skomplikowane programy, można posłużyć się naturą ludzką. Mając miły głos czy umiejąc dobrze kłamać również można wiele osiągnąć (chodzi mi oczywiście o dostęp do systemów informatycznych). Można na przykład udawać pracownika, zadzwonić do serwisu informatycznego i poprosić o hasło w celu „naprawienia drobnej usterki w systemie pracownika”. Wiele takich przypadków kończyło się sukcesem.

Wracając do tematu, w poszukiwaniu słabych punktów pierwszym wykonywanym testem5 jest skanowanie sieci. Tego rodzaju testy wykonywane są przy użyciu zautomatyzowanych narzędzi, które skanują komputery znajdujące się w sieci lokalnej. Celem takiego testu jest sprawdzenie zabezpieczeń pod kątem znanych luk programowych lub systemowych (przy pomocy takich programów znajdziemy na przykład komputery, w których nie zainstalowano niezbędnych pakietów Service Pack lub uaktualnień). Na podstawie wyników uzyskanych z testów, przygotowane są specjalne raporty, które zawierają informację o zaobserwowanych nieprawidłowościach.

Kolejny rodzaj testów penetracyjnych jest już bardziej zaawansowany. Tego typu testy wykonywane są przeważnie przez firmy, które profesjonalnie zajmują się zapewnianiem i oceną stanu bezpieczeństwa. Do testów wykorzystywane są komercyjne skanery zabezpieczeń lub specjalistyczne narzędzia, tworzone właśnie przez te firmy. Testy pozwalają sprawdzić możliwości dalszej penetracji systemu po włamaniu się do niego, reakcje administratorów na próby włamania czy poprawności działania systemów wykrywania włamań. W ramach przeprowadzanych testów sprawdzana jest również odporność na ataki między innymi systemów firewall. Testy takie, mają za zadanie sprawdzić poprawność konfiguracji systemu firewall oraz jego odporność na ataki z Internetu. Sprawdzane jest również, czy przypadkiem na zewnątrz nie wydostają się informacje o strukturze chronionej sieci (na przykład informacje o adresach wewnętrznych), które ułatwiłyby działanie włamywaczom. Za pomocą testów penetracyjnych sprawdzane są również serwery stron WWW, które w obecnych czasach posiada każda większa firma czy instytucja. Zadaniem testu jest wykrycie podatności serwera WWW na znane ataki oraz sprawdzenie poziomu jego zabezpieczeń przed kradzieżą bądź modyfikacją zawartych w nim danych.

Jednak należy pamiętać, że narzędzia wykorzystywane w takich testach, nie są doskonałe i mogą być jedynie jednym z elementów pomocnych w badaniu zabezpieczeń. Na przykład jedną z wad skanerów sprawdzających zabezpieczenia jest to, że są one uaktualniane co pewien czas, a zatem nie mogą odkryć najnowszych luk czy słabości testowanego systemów. Niestety nie wszyscy o tym pamiętają, w rezultacie wiele przedsiębiorstw polega wyłącznie na tego rodzaju testach i nie wykonuje dodatkowych szczegółowych badań zabezpieczeń systemu.

W dzisiejszych czasach proces zapewniania bezpieczeństwa nie jest jednorazowym wydarzeniem, nie wystarczy zakupić i skonfigurować odpowiedni system firewall. Bezpieczeństwo zależy nie tylko od zastosowanych, często bardzo drogich i wyrafinowanych technologii, ale przede wszystkim od świadomości całego personelu firmy. Często zastosowanie podstawowych zasad bezpieczeństwa wystarcza dla spełnienia założeń polityki bezpieczeństwa.

—
Artykuł pochodzi z serwisu Publikuj.org.

Inne ciekawe wpisy z tej grupy:

• Wrażliwe dane pracownika
• Systemy teletechniczne
• Niewidoczny złodziej w Twoim mieszkaniu
• projekty lojalnościowe
• Czy Twój komputer jest naprawdę bezpieczny?

Większość firm, które działają na współczesnym rynku opierają swoją działalność o sieci komputerowe. W Europie zachodniej dwie na trzy firmy posiadają komputery dołączone do Internetu i w sposób aktywny korzystają z jego zasobów.

Gwałtowny rozwój sieci typu klient – serwer, wzrost liczby użytkowników dołączonych do Internetu czy rozwijająca się sprzedaż za pośrednictwem sieci – sprawiło, że bezpieczeństwo każdej z tych dziedzin stało się sprawą priorytetową. Bezpieczeństwo można zapewnić na różne sposoby. Jak już wcześniej pisałem w przypadku przedsiębiorstwa pierwszym elementem jest stworzenie polityki bezpieczeństwa. Następnym krokiem jest utworzenie procedur i określenie sposobów wprowadzenia polityki bezpieczeństwa. Ostatnim zaś zastosowanie odpowiednich mechanizmów zabezpieczających. Mechanizmy te są implementacjami odpowiednich usług zabezpieczania informacji. Za podstawowe usługi zabezpieczania informacji uznaje się najczęściej:

Utajnianie
Utajnianie (ang. confidentiality) odnosi się do ochrony przekazywanej informacji przed jej nieautoryzowanym ujawnieniem. Zgodnie z definicją3 jest to aspekt ochrony danych, zapewnienie że informacje pamiętane w systemie komputerowym oraz przekazywane w jego obrębie będą czytane (wyświetlane, drukowane) tylko przez osoby upoważnione. Usługa ta więc umożliwia tajność informacji. Odpowiednie jej użycie zezwala na dostęp do informacji tylko autoryzowanym użytkownikom. Usługa ta może się odnosić do różnych form danych. Jeśli ochronie mają podlegać katalogi papierowe, muszą one być chronione fizycznie. Należy więc kontrolować dostęp do miejsc, w których dane te się znajdują. W przypadku danych elektronicznych ochrona polega na ich szyfrowaniu, bądź też nadawaniu stosownych praw dostępu do plików, w których dane są zapisane. W przypadku przesyłania danych w sieci komputerowej muszą być one szyfrowane, przy czym algorytm szyfrujący musi uwzględniać bezpieczną dystrybucję kluczy szyfrujących między nadawcą a odbiorcą. Jednak by usługa ta była w pełni skuteczna musi współpracować z usługą identyfikacji i uwierzytelniania, w celu ustalenia danych osoby ubiegającej się o dostęp do informacji.

Integralność danych
Usługa oparta na integralności danych (ang. data integrity) pozwala wykryć nieautoryzowane zmiany danych przez osoby do tego nieuprawnione. Usługa ta dotyczy więc prawdziwości informacji. W przypadku dobrej implementacji tej usługi pozwala ona ufać użytkownikom, że dane nie różnią się od danych źródłowych i nie zostały przypadkowo lub umyślnie zmienione, zniszczone lub ujawnione. Usługa ta powinna współpracować z usługą identyfikacji i uwierzytelniania aby właściwie zidentyfikować użytkownika. Podobnie jak w przypadku utajniania usługa ta może dotyczyć informacji fizycznej, elektronicznej oraz przepływającej. Jeśli informacja jest w formie papierowej ochrona jej jest prostsza, niż w przypadku informacji elektronicznej. Wiemy przecież, że do sfałszowania dokumentu na papierze potrzebne są duże umiejętności i odpowiedni sprzęt, a plik może zmodyfikować przeważnie każdy kto ma do niego dostęp. W przypadku papierowej formy dokumentu, istnieje wiele sposobów ochrony. Najpopularniejsze to: podpisywanie stron, parafowanie każdej strony czy bindowanie dokumentu w książkę. Oczywiście wszystkie te metody można podrobić, ale wymaga to pewnych umiejętności. Jak już wspomniałem o wiele prościej przedstawia się sytuacja plików elektronicznych. W większości przypadków wystarczy wyświetlić plik w edytorze tekstu i poddać go modyfikacji. Podstawowa metoda ochrony polega na kontroli dostępu, która powinna umożliwiać odczytanie pliku bez możliwości dokonywania w nim zmian. Znaczącą rolę odgrywa tu usługa identyfikacji i uwierzytelniania, gdyż ważne jest właściwe zidentyfikowanie osoby usiłującej dokonać zmiany. W przypadku informacji przepływającej możliwa jest modyfikacja danych podczas transmisji. Sposobem ochrony okazuje się szyfrowanie, które jest w stanie zapobiec większości tego typu atakom. Usługa integralności danych może więc zapobiec atakom modyfikującym.

Dostępność
Usługa ta pozwala uzyskać użytkownikom dostęp do systemów komputerowych, informacji na nich zawartych oraz aplikacji przeprowadzających na nich operacje. Dostępność (ang. availability) dotyczy również przepływu informacji pomiędzy różnymi systemami komunikacyjnymi. Usługa ta dotyczy głównie informacji elektronicznych jednak ochronie mogą również podlegać informacje zawarte na papierze. Jednym ze sposobów ochrony informacji jak również najprostszą formą dostępności4 są kopie zapasowe (backup). Pod tym pojęciem kryje się również przesyłanie danych między różnymi węzłami w sieci po to, by były przechowywane w różnych miejscach, co w znacznym stopniu podnosi poziom bezpieczeństwa. Backup wykonuje się na wypadek wielu nieprzewidzianych sytuacji na przykład: awarii systemu, włamania hakera lub zainfekowania systemu wirusem. W niektórych przypadkach jest to wręcz niezbędne. Na przykład w bankach bardzo często zachodzi konieczność rozwiązywania różnych problemów związanych z operacjami dokonanymi w przeszłości. Ważne jest także bezpieczne miejsce dla kopii zapasowych (na przykład miejsca w ogniotrwałym otoczeniu). W przypadku archiwizacji ważna jest częstotliwość jej wykonywania, im częściej tym lepiej. Właśnie ta idea leży u podstaw koncepcji systemów FTS (ang. Foult Tolerant System – system tolerujący błąd). Systemy te odgrywają bardzo ważną rolę w dziedzinie bezpieczeństwa i niezawodności (ang. reliability). W systemach FTS stosuje się5 zwielokrotnienie procesów, magistral I/O lub pamięci, a także stosowane są funkcje wzajemnego nadzoru niezawodnościowego. Do systemu FTS należą tak zwane macierze dyskowe RAID (Redundant Array of Inexpensiv Disk – nadmiarowa tablica niedrogich dysków). Najczęstszym awariom ulegają dyski twarde i właśnie w takich sytuacjach doskonale sprawdzają się systemy RAID. System RAID to nic innego jak kilka połączonych ze sobą dysków. Są one skonfigurowane w ten sposób, że awaria jednego z nich nie powoduje utraty zapisanych na nim danych. W systemach RAID jest zdefiniowanych sześć poziomów6: od RAID 0 do RAID 5. Do najpopularniejszych rozwiązań należą dyski lustrzane (mirroring) oraz zdublowane (duplexing). Dyski te są szczególnym przypadkiem macierzy dyskowych na poziomie RAID 1. Chcąc krótko scharakteryzować te dwa rodzaje możemy powiedzieć, że w przypadku dysków lustrzanych do jednego sterownika dołączone są dwa dyski, na których równolegle zapisywane są te same pliki. W przypadku awarii jednego z nich, system jest ciągle sprawny, gdyż dane dostępne są na drugim dysku. Natomiast w przypadku dysków zdublowanych, każdy dysk jest przyłączony do innego niezależnego sterownika. Widzimy więc, że usługa dostępności ma na celu zminimalizowanie skutków ataków pozbawienia dostępu. Nie ma jednak skutecznej metody na powstrzymanie tego typu ataków. Jednak dobre zaimplementowanie tej usługi jest w stanie stosunkowo szybko i skutecznie przywrócić do działania uszkodzony system.

Identyfikacja i uwierzytelnianie
Usługa ta spełnia dwa podstawowe zadania. Po pierwsze, identyfikuje użytkownika usiłującego przeprowadzić dane zadanie. Po drugie, uwierzytelnia danego użytkownika, czy jest on na pewno tym, za kogo się podaje. Usługę uwierzytelniania7 można osiągnąć poprzez wykorzystanie poniższych elementów: czegoś, co użytkownik zna, czegoś, co użytkownik ma, czegoś, kim (czym) użytkownik jest. Do identyfikacji może posłużyć jedną z powyższych metod uwierzytelniania, ale zastosowanie kilku z nich daje o wiele większe bezpieczeństwo. Najpopularniejszym współcześnie stosowanym rozwiązaniem jest oczywiście metoda opierającą się na tym, co dany użytkownik zna. Każdy z nas korzysta z tej usługi codziennie na przykład włączając swój telefon czy wybierając pieniądze z bankomatu. W obu tych przypadkach musimy podać osobisty numer identyfikacyjny tak zwany PIN (ang. Personal Identification Number). W przypadku bankomatu zabezpieczeniem jest również karta kredytowa (coś, co użytkownik ma). W przypadku komputerów, aby uzyskać dostęp do swoich danych czy do zasobów sieciowych uwierzytelniamy się za pomocą hasła. Takie rozwiązanie ma jednak wady. Hasło lub jego zakodowana forma spoczywa wewnątrz komputera. Opis uprawnień oraz parametrów (na przykład klucze szyfrowe), do których drogę otwiera hasło również znajdują się w komputerze. Podczas naszej nieobecności przechowywane w komputerze dane narażone są na próby łamania lub wykradnięcia. Również w trakcie wprowadzania hasła z klawiatury komputera jest ono podatne na przechwycenie. Odbiegając poniekąd od głównego tematu, w celu przechwycenia danych wprowadzanych z klawiatury możemy wykorzystać program IKS – Invisible Keylogger Stealth. Program ten rejestruje wszystko co zostało wprowadzone z klawiatury. Wyniki zapisu umieszczane są w pliku iks.dat. Program jest trudny do wykrycia. W celu pozbycia się go należy usunąć dodany wpis w rejestrze. Wracając jednak do tematu, rozwiązaniem tego problemu może być elektroniczny klucz dostępu (coś, co urzytkownik ma). Obecnie taką rolę mogą spełniać na przykład mikroprocesorowe karty elektroniczne (ang. smartcard). Istnieje jednak duże prawdopodobieństwo, że numer PIN czy hasło mogą zostać odgadnięte, a identyfikator czy przepustka skradzione. Najpewniejsze są metody biometryczne. Jeszcze pięć lat temu systemy tego typu były ściśle tajne. Stosowano je jedynie w instytucjach rządowych i militarnych. Używano ich do kontroli dostępu do pilnie strzeżonych obszarów, a z czasem również w dostępie do danych. Około czterech lat temu biometria przestała być technologią ściśle tajną i stała się dostępna na rynku cywilnym. Zaowocowało to dużą ilością urządzeń służących do kontroli dostępu do obiektów fizycznych, danych, przy okazji doskonale rejestrujących czas pracy. W chwili obecnej biometrii jako klucza używają już dziesiątki tysięcy małych i dużych firm na całym świecie. Korzyści i atutów tej metody jest wiele. Nie musimy pamiętać haseł, numerów PIN czy nosić ze sobą różnego rodzaju kluczy identyfikujących. W biometrii do identyfikacji potrzebne jest przecież coś co zawsze mamy przy sobie (polec lub oko). Pokonanie tych systemów jest teoretycznie niemożliwe, gdyż by to osiągnąć musielibyśmy podrobić odcisk palca lub wzór siatkówki oka. Zatem klonowanie musiałoby dojść do poziomu umożliwiającego wyhodowanie organu osoby, za którą chcemy się podać, ale to chyba jeszcze trochę potrwa…

—

Artykuł pochodzi z serwisu Publikuj.org.

Inne ciekawe wpisy z tej grupy:

• PayByNet, bezpieczne płatności online
• Jak chronić swoje dane osobowe podczas zakupów w sklepach i przez ogłoszenia?
• Wrażliwe dane pracownika
• XXI wiek dla informatyków
• Kontrola czasu pracy

Powstające codziennie nowe programy komputerowe, aplikacje, systemy etc, wyrażając się kolokwialnie, mają ułatwiać nam życie. Mimo, że obecnie nikt nie jest w stanie zliczyć wszystkich powstałych programów, każdy zna ich ceny. Czy jest to zwykły edytor tekstu, czy program zarządzający wielkimi przedsiębiorstwami cena ich jest zawsze taka sama – za wysoka. Szukając alternatywy zakupu legalnego oprogramowania znajdujemy w Internecie miliony stron oferujących nam darmowe wersje tych cudów techniki. Nie zważając na prawa ich użytkowania cieszymy się funkcjonalnością rozwiązań, wykorzystując je na wielu płaszczyznach: prywatnej, rozrywkowej, naukowej jak i niestety służbowej. Musimy jednak wiedzieć, że konsekwencje wykorzystywania pirackiego oprogramowania są bardzo poważne.

Odpowiedzialność pracodawcy

Naruszenie praw autorskich do wykorzystywania oprogramowania przez pracodawcę związana jest z odpowiedzialnością karną i cywilną. W zależności od rodzaju prowadzonej działalności gospodarczej, do odpowiedzialności mogą zostać pociągnięte osoby na różnych stanowiskach (właściciel, zarząd, dyrektor jednostki oraz także pracownicy działu IT). W przypadku udowodnienia naruszenia wykorzystywania praw autorskich oprogramowania, kodeks karny przewiduje karę grzywny, ograniczenia lub pozbawienia wolności, jak również zajęcia narzędzi przestępstwa, którymi stają się komputery czy firmowe serwery.

Dodatkowo przedsiębiorca ponosi odpowiedzialność z tytułu odszkodowania za naruszenie praw autorskich do wykorzystywania oprogramowania, które może wynosi dwukrotność wartości oprogramowania lub też wartość naprawienia wyrządzonej szkody na zasadach ogólnych.

Odpowiedzialność pracownika
Wprawdzie relacja pracownika z pracodawcą jest uregulowana przez kodeks pracy, który jasno wyraża się o sytuacjach wyrządzenia szkody na osobach trzecich podczas wykonywania obowiązków pracowniczych, to pracodawca może pociągnąć pracownika do odpowiedzialności materialnej i dyscyplinarnej! Odpowiedzialność materialna pracownika ogranicza się do trzykrotności wynagrodzenia, jednak w przypadkach kiedy szkoda przez pracownika została wyrządzona umyślnie, jest on zobowiązany do poniesienia pełnych kosztów. (Zainteresowanych stanowiskiem Sądu Najwyższego w tej sprawie odsyłam do zapoznania się z wyrokiem z 16.11.2004 r., I PK 36/04.)

Doskonałym obrazem powagi sytuacji jest powstała reklama.

Sposób na problem
Kierując się doświadczeniami innych, każdy z pracodawców powinien zwrócić szczególną uwagę na podobne sytuacje w swojej firmie. Unikając szeregu negatywnych konsekwencji bezprawnego wykorzystywania nielegalnego oprogramowania, każda z firm powinna posiadać ustaloną politykę bezpieczeństwa. Wdrażanie systemów zabezpieczeń w tej kwestii ma na celu wyeliminowanie podobnych sytuacji. Dzięki okresowym audytom legalności oprogramowania można uniknąć nieprzyjemnych kontroli. Obecnie na rynku funkcjonuje wiele zewnętrznych firm, które świadczą takie usługi. Audyt bezpieczeństwa stanowi cały zespół procesów zmierzających do osiągnięcia i utrzymania w firmie ustalonej polityki prywatności. Dzięki niemu poziom poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności w przedsiębiorstwie lub instytucji jest zawsze taki sam. Dzięki audytom, ciągle narażona na ataki, infrastruktura informatyczna jest w pełni zabezpieczana. W dzisiejszych czasach, kiedy to konkurencja walczy o każdego klienta mamy pewność, że dynamiczny rozwój naszej firmy nie zostanie przerwany przez wyciek wrażliwych informacji.

—

www.AntywirusExpert.pl – profesjonalne Systemy Bezpieczeństwa Danych

Artykuł pochodzi z serwisu www.Artelis.pl

Inne ciekawe wpisy z tej grupy:

• PayByNet, bezpieczne płatności online
• Jak chronić swoje dane osobowe podczas zakupów w sklepach i przez ogłoszenia?
• Wrażliwe dane pracownika
• XXI wiek dla informatyków
• Kontrola czasu pracy