FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU MAGISTRSKA NALOGA ŠTUDIJSKEGA PROGRAMA DRUGE STOPNJE ČRT AMBROŽIČ

Transcription

1 FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU MAGISTRSKA NALOGA ŠTUDIJSKEGA PROGRAMA DRUGE STOPNJE ČRT AMBROŽIČ

2

3 FAKULTETA ZA INFORMACIJSKE ŠTUDIJE V NOVEM MESTU MAGISTRSKA NALOGA KNJIŽNICE IN ZAGOTAVLJANJE INFORMACIJSKE VARNOSTI V ELEKTRONSKEM OKOLJU Mentor: izr. prof. dr. Blaž Rodič Novo mesto, junij 2017 Črt Ambrožič

4 IZJAVA O AVTORSTVU Podpisani Črt Ambrožič, študent Fakultete za informacijske študije v Novem mestu, izjavljam: da sem magistrsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni v magistrski nalogi, da dovoljujem objavo magistrske naloge v celotnem besedilu, v prostem dostopu, na spletni strani FIŠ oziroma v elektronski knjižnici FIŠ, da je magistrska naloga, ki sem jo oddal v elektronski obliki, identična tiskani različici, da je magistrska naloga lektorirana. V Novem mestu, dne Podpis avtorja

5 ZAHVALA Za pomoč in nasvete pri pripravi magistrske naloge se zahvaljujem mentorju izr. prof. dr. Blažu Rodiču. Hvala tudi sodelavcem v Narodni univerzitetni knjižnici, ki so sodelovali pri pripravi in testiranju anketnih vprašalnikov, Matjažu Kraglju in Janezu Grozniku pa za podatke o informacijskem sistemu knjižnice in upravljanju informacijske varnosti. K izvedbi anketiranja sta s svojimi predlogi pomembno prispevali Irena Sirk iz Mariborske knjižnice in Vesna Horžen iz Združenja splošnih knjižnic, podatke o zagotavljanju varnosti nacionalnega knjižničnega informacijskega sistema je posredoval Davor Šoštarič iz Instituta informacijskih znanosti Maribor. Hvala tudi njim.

6

7 POVZETEK V magistrski nalogi obravnavamo tehnične in organizacijske vidike zagotavljanja informacijske varnosti v slovenskih javnih knjižnicah. Te uporabljajo različne informacijske sisteme, od knjižničnih informacijskih sistemov za podporo opravljanju knjižničnih storitev do poslovnoinformacijskih sistemov za podporo vodenju in upravljanju poslovanja ter dokumentnih sistemov, ki podpirajo administrativne funkcije in arhiviranje poslovne dokumentacije, zato je upravljanje informacijske varnosti za njih ključnega pomena. Z raziskavo smo ugotavljali, kakšna je seznanjenost knjižnic s posameznimi vidiki informacijske varnosti ter na kakšen način jo upravljajo. Raziskovalne podatke smo pridobili s študijo primera ter z anketno metodo, v okviru katere smo pripravili dva ločena anketna vprašalnika. Prvi je bil namenjen osebam, odgovornim za informacijsko varnost knjižnice, drugi pa zaposlenim v knjižnicah. V okviru študije primera smo izvedli analizo dokumentov in postopkov za zagotavljanje informacijske varnosti na primeru ene knjižnice. Rezultati raziskave so opozorili tako na primere dobrih praks kot tudi na nekatera varnostna tveganja v ravnanjih zaposlenih. Slaba odzivnost anketirancev omejuje veljavnost rezultatov. Ugotovitve raziskave zato predstavljajo le izhodišče za širšo razpravo o zagotavljanju informacijske varnosti v slovenskih knjižnicah. KLJUČNE BESEDE: informacijska tehnologija, informacijski sistem, informacijska varnost, upravljanje informacijske varnosti, knjižnice, Slovenija ABSTRACT The master's thesis discusses technical and organizational aspects of the information security in the Slovenian publicly financed libraries. They apply different information systems from library information systems to support performance of library services, to business information systems to support organisation and managing businesses, as well as document systems. As they support administrative functions and preservation of business documents, the information security management plays the crucial role. The goal of the survey was to determine the libraries awareness of certain aspects of the information security, and the technique of its application. Research data were obtained from a case study and a survey consisting of two survey questionnaires: the first was targeted at the people responsible for information security of a library, while the second opinion poll addressed the libraries employees. As part of the case study, documents and procedures referring to information security in a single library were analysed. The results pointed out to examples of good practice, and some of the security risks in the conduct of the employees. A low response rate restricts the validity of the results. Research findings may serve only as a starting point of a broader debate about the provision of information security in the Slovenian libraries. KEY WORDS: information technology, information system, information security, information security management, libraries, Slovenia

8

9 KAZALO 1. UVOD Opredelitev problema in teme Namen in cilji raziskave Metodologija in metode Raziskovalna vprašanja in znanstvene predpostavke Znanstvena relevantnost raziskave in njen znanstveni prispevek Etični premislek in omejitve raziskave INFORMACIJSKA VARNOST Podatek, informacija in informacijski sistem Varovanje podatkov in informacij Informacijska varnost Politika informacijske varnosti Standardi informacijske varnosti Upravljanje informacijske varnosti Človeški dejavnik pri zagotavljanju informacijske varnosti Orodja za zagotavljanje varnosti informacijskega sistema Požarne pregrade in preprečevanje vdorov v omrežje Protivirusna zaščita na delovnih postajah in strežnikih Sistemi za upravljanje identitete uporabnikov Varnost na ravni posameznih strežnikov Nadzor prometa v omrežju in preprečevanje izgube podatkov Šifriranje Varnostne kopije Administratorske pravice Uporabniška gesla Seznam varnih aplikacij Standardizirana namestitvena slika operacijskega sistema Varnostna zaščita pred uhajanjem informacij Politike za dostop in uporabo podatkov Izobraževanje zaposlenih o informacijski varnosti... 32

10

11 3. INFORMACIJSKA VARNOST IN KNJIŽNICE Od tradicionalne do digitalne knjižnice in nova varnostna tveganja Tveganja in zagotavljanje informacijske varnosti knjižnic Knjižnični prostori in gradivo Knjižnični katalogi in drugi elektronski informacijski viri Podatki o uporabnikih knjižnic in o njihovih dejavnostih Javno dostopne računalniške delovne postaje knjižnice Internet Mobilne naprave in lokalna brezžična omrežja Uporaba storitev računalništva v oblaku Socialni inženiring INFORMACIJSKA VARNOST V SLOVENSKIH KNJIŽNICAH Literatura o vprašanjih informacijske varnosti knjižnic Zakonodaja na področju varovanja informacij Knjižnice in knjižnični sistem Slovenije Nacionalni knjižnični informacijski sistem Informacijska varnost nacionalnega knjižničnega informacijskega sistema Raziskava o informacijski varnosti slovenskih knjižnic Metodologija in raziskovalna metoda Udeleženci raziskave Rezultati ankete za osebe, pristojne za informacijsko varnost knjižnic Rezultati ankete za zaposlene v knjižnicah Varnost službenih računalniških gesel Varnost službenih računalniških delovnih postaj Elektronska pošta in socialni inženiring kot potencialni grožnji informacijski varnosti Delo na domu in dostop na daljavo do službenega računalnika Varnostne politike in izobraževanje o informacijski varnosti Razprava INFORMACIJSKA VARNOST V NARODNI IN UNIVERZITETNI KNJIŽNICI Metodologija in raziskovalna metoda Predstavitev knjižnice in njenega informacijskega sistema Funkcije in naloge knjižnice Presoja informacijskega sistema knjižnice in izvedba predlaganih ukrepov... 76

12

13 5.3 Upravljanje informacijske varnosti Varovanje knjižnične zgradbe, prostorov in opreme Kontrola pristopa s pomočjo avtentikacije RFID Elektronski sistem najema garderobnih omaric Informacijsko podprt tiskalniški sistem Varovanje elektronskih informacijskih virov Varovanje računalniškega sistema, omrežja in programske opreme Centralno upravljanje posodobitev operacijskih sistemov delovnih postaj in strežnikov Centralno upravljanje posodobitev programske opreme na delovnih postajah Centralizirana protivirusna zaščita delovnih postaj in strežnikov Varnostna zaščita elektronske pošte Varnostna zaščita računalniške učilnice Varnostna zaščita javno dostopnih delovnih postaj Oddaljen dostop do službenih delovnih postaj z dvostopenjsko avtentikacijo Brezžični omrežji Eduroam in Libroam Nadzor nad poslovnim okoljem Varovanje poslovnih aplikacij Poslovno-informacijski sistem Elektronski dokumentni sistem Druge poslovne aplikacije ZAKLJUČEK LITERATURA IN VIRI PRILOGE

14

15 KAZALO SLIK Slika 2.1: Osnovni principi informacijske varnosti model CIA Slika 2.2: Zlonamerni vdori v protivirusno zaščito organizacije Slika 2.3: Življenjski krog upravljanja informacijskih pravic Slika 4.1: Struktura anketirancev glede na vrsto knjižnice (anketa za zaposlene) (n = 153) Slika 4.2: Obstoj dokumenta o politiki informacijske varnosti (n = 29) Slika 4.3: Sprejeta politika informacijske varnosti (n = 142) Slika 5.1: Organizacijska struktura Narodne in univerzitetne knjižnice Slika 5.2: Avtentikacija uporabnikov elektronskih virov prek posredniškega strežnika EZproxy Slika 5.3: Delovanje strežniškega orodja WSUS Slika 5.4: Glavna nadzorna plošča programa Nagios KAZALO TABEL Tabela 4.1: Slovenske knjižnice na dan Tabela 4.2: Odziv na anketo za osebje, pristojno za informacijsko varnost... 60

16

17 1 UVOD 1.1 Opredelitev problema in teme Knjižnice, ki opravljajo storitve kot javno službo, morajo biti prebivalstvu čim bolj dostopne, ob tem pa za uporabnike, zaposlene in knjižnično gradivo tudi varne. Poleg zagotavljanja fizične varnosti zgradbe, prostorov in opreme ter v zgradbi prisotnih oseb se zaradi široke uporabe sodobne informacijske in komunikacijske opreme praktično pri izvajanju vseh delovnih procesov, vključenosti v internet, izzivov računalništva v oblaku ter ponudbe elektronskih informacijskih virov in storitev (dostopnih tudi prek oddaljenega dostopa in na mobilnih napravah) soočajo z vprašanji varnosti, ki so zanje nova in za njihovo reševanje zaposleni sami večinoma nimajo dovolj ustreznih znanj in usposobljenosti. Podobno kot druge organizacije so tudi knjižnice odvisne od informacijske in komunikacijske tehnologije, ki podpira procese ustvarjanja, obdelovanja, shranjevanja, posredovanja, zaščite in uničevanja informacij. Zaradi širjenja medsebojno povezanega globalnega poslovanja»se širijo tudi zahteve po zaščiti informacij, saj so informacije sedaj izpostavljene širši paleti groženj in ranljivosti.«(sist ISO/IEC , str. 13) Primc (2012, str. 9) izpostavlja, da se z razmahom in prodorom informacijske tehnologije v različne dejavnosti pojavljajo številna varnostna vprašanja. Informacije, zapisane v elektronski obliki brez ustrezne zaščite omogočajo nove oblike zlorab. Lynett (2015) potrebo po skrbi za varovanje informacij v elektronskem okolju podkrepi s slikovito mislijo, da v današnjem času informacije plavajo skozi številne računalniške sisteme, podobno kot ribe v morju, kar ponuja obilje priložnosti za njihov ulov ter krajo. Podobno kot knjižnice po svetu se tudi slovenske srečujejo z vprašanji zagotavljanja informacijske varnosti na področjih, kot so: varnost knjižnične zgradbe, prostorov in opreme pred naravnimi ali namerno povzročenimi nesrečami oziroma zlorabami; varnost knjižničnega gradiva v klasični in elektronski obliki pred propadanjem, odtujitvijo ali uničenjem; 1

18 varnost računalniške strojne opreme, operacijskega sistema in druge programske opreme ter računalniškega omrežja pred nepooblaščeno uporabo; varnost podatkov, podatkovnih zbirk in računalniških katalogov pred nepooblaščeno uporabo oziroma njihova zaščita pred uhajanjem informacij; varnost osebnih podatkov in podatkov o dejavnostih uporabnikov ter varovanje njihove zasebnosti; varnost informacijskih sistemov za podporo upravljanju knjižnic; varnost uporabe brezžičnih omrežij. V primeru informacijske varnosti v elektronskem okolju ne gre zgolj za računalniško varnost in varovanje računalniških sistemov, čeprav je res, kot navaja Primc (2012, str. 10), da danes večina informacij nastaja, se obdeluje in hrani v elektronski obliki. Medtem ko se računalniška varnost nanaša na zaščito računalniških sistemov in opreme pred nepooblaščenim dostopom in uporabo, vključuje informacijska varnost tudi področja, kot so upravljanje informacij, informacijska zasebnost in integriteta podatkov. Učinkovita informacijska varnost mora zaradi tega vključevati vsaj: oblikovane politike za področje informacijske zasebnosti, fizične varnosti opreme ter postopkov za zagotavljanje varnosti računalniškega sistema, načrte za fizično varovanje informacijske tehnologije, postopke za varovanje in zaščito podatkov, opredeljene možnosti dostopa do podatkov in opreme ter spremljanje načinov dostopa do njih, usposobljeno osebje za izvajanje nalog informacijske varnosti, določene odgovornosti posameznih oseb za varno upravljanje informacij in informacijskih sistemov, ustrezno stopnjo varnostne ozaveščenosti zaposlenih, izobraževanje zaposlenih o vprašanjih informacijske varnosti in postopkih za njeno zagotavljanje. Selan in Bernik (2011) opozarjata, da bi morala vsaka organizacija varnost informacijskih tehnologij in rabe informacij umestiti v svoj strateški načrt, pripraviti program informacijske varnosti in skladno s predvideno organizacijsko strukturo upravljanja informacijske varnosti opredeliti delovna mesta, ki so neposredno ali posredno odgovorna za zagotavljanje 2

19 informacijske varnosti. Tako bi z dejavnostmi na strateški in operativni ravni poskrbela za zaupnost, celovitost in razpoložljivost informacij. Vsaka organizacija bi morala imeti jasne smernice oziroma politike, ki narekujejo dopustno uporabo in hranjenje informacij, ter o njih redno seznanjati svoje zaposlene. Tarzey in Østergaard (2014) opozarjata na raziskave, ki so pokazale, da ima samo slaba polovica organizacij implementirane interne varnostne politike. Že ta podatek je zaskrbljujoč, a imeti implementirano politiko je samo polovica naloge. Potrebne so tudi kontrole za nadzor potencialnih zlorab informacij in nič manj pomembno, ozaveščenost zaposlenih o vprašanjih informacijske varnosti. Izobraževanje zaposlenih na področju informacijske varnosti mora biti zato proces, ki se neprekinjeno izvaja skozi celotno obdobje vsakega zaposlenega. Avtorja predstavljata tudi statistike, ki kažejo, da manj kot polovica organizacij izvaja izobraževanja zaposlenih o varni uporabi informacijskih tehnologij. Ne smemo pozabiti še na proces obvladovanja tveganj, ki pomeni prepoznavanje ranljivosti in groženj za informacijsko varnost (ocenitev tveganj) ter odločanje o ukrepih za zmanjševanje tveganj na najnižjo možno raven. Upravljanje tveganj je eden od postopkov upravljanja informacijske varnosti. Med grožnjami informacijske varnosti, ki lahko povzročijo varnostne incidente 1, so na primer možni poskusi nepooblaščenega dostopa oziroma vdora v informacijski sistem, nepooblaščenega razkritja osebnih in zaupnih podatkov, neupravičenega vnašanja podatkov v informacijski sistem, onemogočanja določenih storitev, zlorabe domenskih uporabniških imen in gesel, okužbe računalniških delovnih postaj z zlonamernimi programskimi kodami ipd. Knjižnice v zadnjih dveh desetletjih vlagajo v računalniško podprte storitve, elektronske informacijske vire in storitve ter izobraževanje za njihovo uporabo, obsežna sredstva. Tovrstna vlaganja morajo biti zato zaščitena pred zlorabo, in sicer z aktivnim zagotavljanjem oziroma upravljanjem informacijske varnosti. Tako kot druge organizacije morajo imeti tudi knjižnice izdelane ocene tveganj in varnostne politike, načrtovati varnostne ukrepe in o pomenu informacijske varnosti ozaveščati ter usposabljati svoje osebje in končne uporabnike. 1 Informacijski varnostni incident je eden ali več neželenih ali nepričakovanih informacijskih varnostnih dogodkov, ki predstavljajo veliko verjetnost ogrožanja poslovnih dejavnosti in informacijske varnosti (SIST ISO/IEC , str. 9). 3

20 Zagotavljanje informacijske varnosti je nujno v vseh vrstah knjižnic, ne glede na to, kako visoka so vlaganja v informacijske storitve, računalniško opremo in zaposlene. 1.2 Namen in cilji raziskave Knjižnice, še zlasti večje, so organizacije, ki zbirajo, hranijo, obdelujejo in posredujejo ogromne količine raznovrstnih informacij, ter uporabljajo različne informacijske sisteme, od knjižničnih informacijskih sistemov za podporo opravljanju knjižničnih storitev, do poslovnoinformacijskih sistemov za podporo vodenju in upravljanju poslovanja ter dokumentnih sistemov, ki podpirajo administrativne funkcije in arhiviranje poslovne dokumentacije. Osnovni namen raziskave je predstaviti tehnične in organizacijske vidike zagotavljanja informacijske varnosti v primeru organizacij, katerih temeljno poslanstvo je uporabnikom zagotavljati čim večjo dostopnost prostorov, opreme, informacijskih virov in storitev, tj. javnih knjižnic. Informacijska varnost je sistem zagotavljanja varnosti vseh informacij ne glede na njihovo obliko, tj. ne glede na to, ali so zapisane na klasičnih nosilcih zapisa, v elektronski obliki ali kako drugače. V magistrski nalogi se bomo omejili na vprašanja informacijske varnosti knjižnic v elektronskem okolju. Informacijsko varnost bomo razumeli kot proces, ki se izvaja zaradi varstva informacij in informacijskih sistemov pred neodobrenimi vdori, uporabo, razkritjem, razdorom, modifikacijo ali distribucijo. Cilj naše raziskave je ugotoviti obstoječe stanje na področju zagotavljanja informacijske varnosti v slovenskih knjižnicah, pri čemer nas bo zlasti zanimalo, kakšna je njihova seznanjenost s posameznimi vidiki informacijske varnosti ter na kakšen način upravljajo informacijsko varnost. 1.3 Metodologija in metode Za pripravo teoretičnega dela raziskave smo uporabili deskriptivno metodo. Raziskovalne podatke smo pridobili na osnovi študija izbrane literature in virov (predpisov, standardov in smernic), njihove analize ter predstavitve sinteze ugotovitev in spoznanj. Empirični del temelji na raziskovalnih podatkih, pridobljenih z metodo študije primera in z anketno metodo. 4

21 Študija primera je vrsta kvalitativnih raziskav in predstavlja način poglobljenega oziroma celovitega raziskovanja pojavov, procesov in postopkov s pomočjo preučevanja posameznih primerov (posameznikov, skupin, institucij ali pojavov). Predstavlja celovit opis posameznega primera in njegovo analizo. Predmet preučevanja je Narodna in univerzitetna knjižnica v Ljubljani (dalje NUK), ki opravlja funkcije nacionalne knjižnice, univerzitetne knjižnice ter osrednje slovenske znanstvene knjižnice. Podatke smo pridobili z analizo dokumentov organizacije in postopkov za zagotavljanje informacijske varnosti, vidik upravljanja informacijske varnosti pa preučili tudi s pomočjo referenčnih ciljev kontrol in kontrol, ki jih vključuje Dodatek A Standarda SIST ISO/IEC (2013). Pri preučevanju raziskovalnega problema smo uporabili tudi kvantitativen pristop in kot metodo zbiranja podatkov anketo. Prvi anketni vprašalnik je bil namenjen osebam, pristojnim za informacijsko varnost knjižnic. Vključeval je vprašanja o zagotavljanju informacijske varnosti na tehnični in organizacijski ravni. Drugi anketni vprašalnik so izpolnjevali zaposleni v knjižnicah. Njegov namen je bil pridobiti podatke o njihovi seznanjenosti z informacijskovarnostnimi vprašanji ter o ravnanjih v primerih, ki bi lahko ogrozili informacijsko varnost. Ciljna populacija raziskave so bile slovenske javne knjižnice (splošne, visokošolske in specialne). Anketni vzorec smo pripravili s tehniko namenskega vzorčenja, pri katerem izberemo udeležence na osnovi določene lastnosti. Izdelava anketnega vprašalnika, izvedba anketiranja in statistična obdelava podatkov je bila opravljena s pomočjo programske opreme za spletno anketiranje 1KA, ki jo zagotavlja Center za družboslovno informatiko pri Fakulteti za družbene vede Univerze v Ljubljani. Pri opredelitvi in razumevanju ključnih terminov s področja informacijske varnosti smo si pomagali z izbranimi priročniki in geslovniki, slovensko terminologijo smo večinoma povzeli iz literature in standardov SIST ISO/IEC (2011) in SIST ISO/IEC (2013). Bogat nabor pojmov s področja informacijske varnosti vključujeta tudi ameriški geslovnik ključnih pojmov (Kissel, 2013) in obsežen priročnik o informacijski varnosti (Rhodes-Ousley, 2013). 5

22 1.4 Raziskovalna vprašanja in znanstvene predpostavke Za potrebe raziskave smo oblikovali raziskovalna vprašanja, na osnovi katerih smo pripravili anketna vprašanja in načrt izvedbe študije primera. Odgovoriti smo poskušali na naslednja vprašanja: kakšna je seznanjenost slovenskih knjižnic s problematiko informacijske varnosti; ali imajo knjižnice sprejete politike informacijske varnosti in na razpolago osebje, odgovorno za informacijsko varnost; na kakšen način izvajajo varovanje podatkov oziroma informacij in informacijskih sistemov; ali pri zagotavljanju informacijske varnosti sledijo standardom oziroma smernicam informacijske varnosti; kako so zaposleni v knjižnicah informacijsko varnostno informirani in ali prepoznavajo dejavnike, ki vplivajo na informacijsko varnost; ali se zaposleni udeležujejo izobraževanj s področja informacijske varnosti; v kolikšni meri se knjižnice soočajo z varnostnimi grožnjami in njihovimi morebitnimi manifestacijami v obliki varnostnih incidentov. Zastavili smo si naslednje znanstvene predpostavke (hipoteze): Hipoteza 1: Knjižnice se zavedajo pomena zagotavljanja informacijske varnosti, zato se bodo na povabilo k sodelovanju v raziskavi odzvale večinsko, tj. vsaj 75-odstotno. Hipoteza 2: Knjižnice imajo na razpolago osebje in tehnologijo za varovanje informacij in informacijskih sistemov. Hipoteza 3: Večina knjižnic še nima uvedenega sistema upravljanja informacijske varnosti, vendar izvajajo ustrezne ukrepe za zavarovanje informacij. Hipoteza 4: Zaposleni v knjižnicah izkazujejo zadovoljivo stopnjo informacijske varnostne ozaveščenosti, ki se izkazuje v njihovem poznavanju in varni rabi informacijskih tehnologij. Hipoteza 5: Izobraževanje zaposlenih o informacijski varnosti se v knjižnicah še ne izvaja redno in sistematično. Hipoteza 6: Knjižnični informacijski sistem (COBISS.SI), ki ga uporabljajo slovenske knjižnice za izdelavo katalogov in kot orodje za zagotavljanje avtomatiziranih knjižničnih storitev, zagotavlja visoko stopnjo informacijske varnosti. 6

23 Hipoteza 7: NUK zagotavlja visoko stopnjo informacijske varnosti informacij in informacijskih sistemov. 1.5 Znanstvena relevantnost raziskave in njen znanstveni prispevek O vprašanjih informacijske varnosti obstaja veliko literature, vendar se jo na okolje knjižnic nanaša manjši delež. V prvi vrsti je usmerjena na vprašanja varovanja in zaščite informacij, zapisanih na klasičnih nosilcih zapisov, ter fizične varnosti zgradb, prostorov, opreme, gradiva, obiskovalcev in zaposlenih. V zadnjem desetletju se vse več pozornost namenja tudi vprašanjem informacijske varnosti knjižnic v elektronskem okolju, vendar v slovenskem prostoru o tematiki zasledimo le nekaj prispevkov, ki pa večinoma vprašanj informacijske varnosti ne obravnavajo celovito. V primeru naše raziskave gre zato za izvirno delo, ki bo lahko prispevalo k ozaveščenosti knjižničnega osebja o pomenu informacijske varnosti, s predstavitvijo posameznih vidikov informacijske varnosti pa tudi k njenemu boljšemu poznavanju ter kot spodbuda za uvajanje ukrepov za celovito zavarovanje podatkov in informacij. 1.6 Etični premislek in omejitve raziskave Pri izvedbi raziskave smo spoštovali osnovna etična načela in principe kvantitativnega in kvalitativnega raziskovanja ter udeležencem raziskave zagotovili anonimnost in zasebnost. Pred začetkom študije primera oziroma ankete smo udeležence raziskave informirali o namenu in ciljih raziskave ter o poročanju o rezultatih. Spoštovali smo posameznikovo svobodo pri odločanju za sodelovanje. Empirično zbrani podatki bodo v pričujočem delu predstavljeni na način, da v nobenem primeru ne bo mogoča identifikacija sodelujočih knjižnic ter njihovih zaposlenih, tudi če bo to v škodo celovitosti in popolnosti rezultatov raziskave. Ravno tako ne bodo odkriti podatki, ki bi ogrozili varovanje poslovnih skrivnosti ali razkrili postopke, zaradi katerih bi bila možna zloraba oziroma grožnja informacijski varnosti v raziskavi sodelujočih knjižnic. 7

24 2 INFORMACIJSKA VARNOST 2.1 Podatek, informacija in informacijski sistem Koncept»informacije«je osrednjega pomena za področje informacijskih znanosti. Termin so skozi zgodovino in v okviru različnih ved (npr. filozofije, kognitivnih ved, informatike, sistemske teorije, kibernetike itd.) avtorji opredeljeval na različne načine. Največ pozornosti so mu namenjali v obdobju petdesetih in šestdesetih let prejšnjega stoletja, ko je razvoj novih informacijskih tehnologij spodbudil tudi razmišljanja o informacijah, informacijski dobi, informacijski eksploziji in informacijski družbi. Mohorič (1999) navaja, da se izraza podatek in informacija v vsakdanjem življenju pogosto uporabljata kot sinonima, čeprav to ne drži. Povzema avtorje, ki opozarjajo, da podatek ni informacija, ampak predstavitev informacije na formaliziran način, ki je primeren za komunikacijo, interpretacijo in obdelavo s strani človeka ali stroja, v primeru informacije pa gre za ovrednoteni podatek v specifični situaciji. Avtor poudari, da se lahko v primeru, ko je količina podatkov prevelika, zgodi, da s podatki ni posredovana nobena informacija. Standard SIST ISO/IEC (2011) opredeljuje informacijo kot znanje ali podatek, ki ima vrednost za organizacijo in torej sodi med njene dobrine 2. Košćak (2011, str. 3) navaja, da so informacije rezultat procesiranja, upravljanja in organiziranja podatkov na način, ki prejemniku informacij omogoča boljše razumevanje in poznavanje določene tematike. Damij (2004, str. 16) opredeli informacijo kot podatek, ki je predstavljen v določeni obliki in ima določen pomen za uporabnika, ima zanj realno vrednost, saj mu pove nekaj, kar mu prej še ni bilo znanega,» informacija prišteje nekaj novega k uporabnikovemu obstoječemu znanju, primerno situaciji, v kateri se nahaja.«za razliko od informacij so podatki gola dejstva, ki za uporabnika dobijo določeno vrednost šele, ko jih postavimo v uporabno obliko. Informacije postanejo takrat, ko jih preoblikujemo v komunikacijski pomen, znanje, ideje oziroma določene zaključke, informacija»je potemtakem znanje, bazirano na podatkih, ki so skozi obdelavo pridobili pomen, namen in uporabnost.«(damij 2004, str. 19) Informacije so lahko shranjene v različnih 2 Kot dobrine standard primeroma navaja še programsko opremo, fizična sredstva, kot so računalniki, storitve, osebje in njegove kvalifikacije, veščine in izkušnje ter neopredmetene dobrine, kot sta ugled in javna podoba. 8

25 oblikah, tj. na različnih nosilcih zapisa (npr. glinene tablice, papirus, pergament, papir in elektronski nosilci zapisa), ali pa obstajajo v nepredstavljivi obliki kot znanja zaposlenih. Prenašajo se lahko prek različnih komunikacijskih kanalov v pisni, vizualni, govorni ali kakšni drugi obliki komunikacije. Damij (2004, str ) navaja, da lahko vsako organizacijo obravnavamo kot sistem, sestavljen iz treh podsistemov, in sicer upravljalnega, operativnega in informacijskega. Namen informacijskega sistema je zadovoljitev informacijskih zahtev, potrebnih za načrtovanje, nadzor in odločanje na vseh ravneh upravljanja organizacije. Ker so informacije osnova vseh dejavnosti, morajo organizacije razviti sistem, ki omogoča njihovo pridobivanje in uporabo v ustrezni obliki in v času, ko jih potrebujejo. Informacijski sistem avtor opredeli»kot množico ljudi, strojev, idej, aktivnosti, podatkov in postopkov, ki skupaj omogočajo pridobivanje koristnih informacij.«(damij 2004, str. 30) Informacijski sistem izvaja tri vrste dejavnosti, in sicer sprejemanje in hranjenje podatkov, obdelavo podatkov in generiranje informacij ter izpisovanje informacij v primerni obliki. Podporni procesi lahko sicer potekajo brez računalniške podpore, vendar pa bi danes zaradi njihove kompleksnosti in zahtevnosti brez podpore sodobne informacijsko-komunikacijske tehnologije težko zagotavljali njihovo učinkovitost. Swanson (2010, str. 2635) omenja, da so se moderni informacijski sistemi pojavili s pojavom digitalnega računalništva v petdesetih letih prejšnjega stoletja, takrat se začne tudi hiter razvoj poslovnih aplikacij in tehnologij za gradnjo baz podatkov. Informacijski sistem ni zgolj računalniška strojna oprema, ampak skupek programske in strojne opreme, podatkov, osebja, predpisanih postopkov in omrežij, ki v organizaciji omogočajo uporabo informacijskih dobrin. Kojc (2010) kot glavne dele informacijskega sistema navaja strojno in programsko opremo ter standarde informacijsko varnostne industrije, ki se uporabljajo kot mehanizem zaščite in preprečitve na treh ravneh: na fizičnem, osebnostnem in organizacijskem. Avtorica Varga Vodička (2015, str. 12) kot elemente informacijskega sistema predstavi naslednje: strojna oprema (ang. hardware) oziroma fizični del sistema, namenjen v prvi vrsti obdelavi podatkov/informacij; programska oprema (ang. software) oziroma nematerialni del sistema, ki omogoča uporabo strojne opreme; informacijsko osebje (ang. lifeware), ki uporablja informacijsko tehnologijo in v kateri koli funkciji sodeluje v delu sistema ter uporablja rezultate obdelave podatkov; 9

26 podatkovni viri (ang. dataware) ter načini in metode njihovega organiziranja in hranjenja; različna komunikacijska sredstva (ang. netware) za prenos podatkov/informacij; vsi ukrepi, metode, predpisi in organizacijski postopki (ang. orgware) za povezovanje prej omenjenih elementov informacijskega sistema v enovito funkcionalno celoto. Informacijski sistemi in njihovi sestavni deli so izpostavljeni različnim varnostnim grožnjam, ki se s hitrim razvojem informacijske in komunikacijske opreme množijo. 2.2 Varovanje podatkov in informacij Klenovšek (2012, str. 11) izpostavlja, da so se vprašanja zagotavljanja varnosti informacij pojavila že v času pred našim štetjem, razmahnila pa z uvajanjem računalniške tehnologije v šestdesetih letih prejšnjega stoletja, ko so organizacije morale uvajati ukrepe za zaščito posameznih računalniških postaj, in zlasti s kasnejšim povezovanjem računalnikov v omrežja. Rhodes-Ousley (2013) navaja, da je šlo najprej le za povezovanje posameznih računalnikov organizacij znotraj akademskega in vladnega okolja, dostop do računalnikov od zunaj je bil preprečen, znotraj omrežij pa so veljale stroge zaščite dostopa do podatkov. Povezave računalnikov v mreže so bile možne prek telefonskih linij, ki so postale tarče napadov nepooblaščenih oseb. Lynett (2015) jih imenuje kar prve skupine»hekerjev«. S pojavom interneta (medmrežja oziroma omrežja omrežij) 3 informacij ni bilo več mogoče hraniti v»zaklenjeni škatli«, za njihovo varovanje so se začela namenjati visoka finančna sredstva. Organizacije vseh vrst in velikosti, kot navaja standard SIST ISO/IEC (2011, str. 12), danes: zbirajo, obdelujejo, shranjujejo in prenašajo velike količine informacij, informacije ter z njimi povezane procese, sisteme, omrežja in osebje štejejo za dobrine, pomembne za doseganje ciljev organizacije, se soočajo z vrstami tveganj, ki lahko vplivajo na delovanje dobrin in zmanjšujejo tveganja z izvajanjem informacijskih varnostnih kontrol. 3 Omrežje ARPANET (Advance Research Projects Agency NETwork) je bilo za potrebe izmenjave informacij na področju raziskovalne dejavnosti v ZDA vzpostavljeno leta Internet, kot ga poznamo danes, pa je začel delovati leta 1983, ko je ARPANET kot omrežne protokole začel uporabljati TCP/IP. 10

27 Vse informacije, ki jih organizacije hranijo in obdelujejo, so predmet groženj napada, napake ali naravnih pojavov in s tem izpostavljene ranljivosti, ki izhaja iz njihove uporabe. Ne glede na obliko shranjevanja ali načina posredovanja informacije vedno potrebujejo ustrezno zaščito. Ker so informacije kot ena od pomembnih poslovnih dobrin bistvenega pomena za poslovanje organizacije, je treba skrbeti za njihovo zaščito. Standard SIST ISO/IEC (2011, str. 12) zato poudarja, da je ščitenje informacij ključnega pomena, da organizacija z določanjem, doseganjem, vzdrževanjem in izboljševanjem informacijske varnosti uspešno dosega svoje cilje ter vzdržuje in krepi skladnost poslovanja s predpisi in javno podobo. Bistveni element, ki organizacijam pomaga pri ustvarjanju, obdelovanju, shranjevanju, posredovanju, zaščiti ter uničevanju informacij, je njihova informacijska in komunikacijska tehnologija. Ker postaja poslovanje organizacij vedno bolj globalno, so informacije in z njimi povezani procesi, sistemi in omrežja izpostavljeni vedno novim oblikam groženj in ranljivosti in se s tem širijo tudi zahteve po njihovi zaščiti. Košćak (2011, str. 6) navaja, da varnost informacij dosežemo z vpeljavo ustreznih kontrol, vključno s politikami, procesi, postopki, organizacijskimi strukturami ter funkcijami programske in strojne opreme. Sodobna tehnologija omogoča tudi enostaven način zbiranja, hranjenja, obdelave in izmenjave velikih količin osebnih podatkov ter njihovo povezovanje. Vključenost posameznikov in organizacij v internet pa pomeni stalno grožnjo, saj so kraje zaupnih (tajnih) in občutljivih osebnih podatkov prisotne vsakodnevno. Pravica do zasebnosti je ena od temeljnih človekovih pravic. Področje varstva informacijske zasebnosti kot ene od sestavin zasebnosti posameznika, je zato določeno z varstvom osebnih podatkov, katerega cilj je preprečevanje nezakonitih in neupravičenih posegov v informacijsko zasebnost posameznika 4. Vsaka oseba ima pravico do nadzora podatkov in informacij o sebi ter pravico do sodnega varstva ob njihovi zlorabi, zato morajo organizacije, ki zbirajo, obdelujejo in prenašajo osebne podatke, skrbeti za njihovo varovanje ter preprečevati nezakonite in neupravičene posege vanje, njihovo spreminjanje, razkritje ali uničenje. 4 Nadzor nad varstvom osebnih podatkov je v Sloveniji zakonsko poverjen institutu informacijskega pooblaščenca. 11

28 2.3 Informacijska varnost Informacijska varnost pomeni varstvo informacij in informacijskih sistemov pred izgubo in nezakonitim dostopom, uporabo, razkritjem, ločitvijo, spremembo ali uničenjem. Informacijska varnost je sistem zagotavljanja varnosti oziroma varovanje vseh informacij ne glede na njihovo obliko, tj. ne glede na to, ali so zapisane na klasičnih nosilcih zapisa, v elektronski obliki ali kako drugače. Varnost informacijskega sistema lahko ogrožajo izredni dogodki (npr. požar, poplava, potres, izpad električne energije), naključni dogodki (odpoved strojne ali programske opreme, človeška napaka) ali zlonamerno ravnanje zaposlenih ali zunanjih izvajalcev (kraja, uničevanje, vdori v računalniški sistem, zlonamerne kode, programski vohuni in socialni inženiring). Celovit pregled področja in sestavin informacijske varnosti prinašata monografija avtorjev Peltier in drugi (2004) ter obsežen priročnik avtorja Rhodes-Ousley (2013), ki nas seznanja s koncepti, politikami informacijske varnosti in tudi z metodami ter orodji za njeno zagotavljanje. Varnost moramo po mnenju avtorja razumeti kot paradigmo, filozofijo in način razmišljanja. Navaja, da se informacijska varnost nanaša na varovanje informacij v vseh oblikah, tako pisnih, ustnih, elektronskih, slikovnih ali nastalih pri drugih oblikah komuniciranja. Koncepte informacijske varnosti v svoji knjigi podrobneje predstavlja Parker (2016). Informacijska varnost obsega celovit nabor ukrepov ter njihovo skladnost z mednarodnimi standardi in različnimi predpisi. V slovenskem prostoru se pri vzpostavljanju in vodenju sistemov informacijske varnosti najpogosteje uporabljajo standardi Mednarodne organizacije za standardizacijo (ISO), ki se nanašajo na področje informacijske tehnologije, tj. skupina standardov za upravljanje informacijske varnosti ISO/IEC Pri presojanju informacijskih sistemov se pogosto uporablja tudi metodologija COBIT za revizijo informacijske tehnologije. Standard SIST ISO/IEC (2011, str. 9) opredeli informacijsko varnost kot ohranjanje zaupnosti, celovitosti in razpoložljivosti informacije, lahko pa so vključene tudi druge lastnosti, kot so verodostojnost, odgovornost, nezanikanje in zanesljivost. Glavni elementi informacijske varnosti, poznani kot model CIA, so torej zaupnost (ang. confidentiality), celovitost/neokrnjenost (ang. integrity) in razpoložljivost (ang. availability) informacij (Slika 2.1). 12

29 Slika 2.1: Osnovni principi informacijske varnosti model CIA Vir: Ambrožič, lastna raziskava (2017) Zaupnost informacij je nabor pravil, ki omejujejo dostopnost informacij in preprečujejo dostop do njih ali njihovo prestrezanje s strani nepooblaščenih oseb. Pomeni torej zaščito informacij pred nepooblaščenim dostopom ali protipravnim prestrezanjem in zagotavlja, da imajo dostop do informacij samo pooblaščene osebe (Rihter 2015, str. 7). Za določene vrste informacij je atribut zaupnosti še posebej pomemben, npr. za izvirne podatke raziskav, medicinske in zavarovalniške podatke, finančne podatke organizacij, podatke o strateških investicijah, podatke s področja nacionalne varnosti, občutljive osebne podatke ipd. Za zagotavljanje zaupnosti informacij sta pomembna tudi informiranost ter odgovornost zaposlenih in drugih oseb, ki imajo dostop do njih. Vsaka organizacija mora zato v svojih aktih določiti, kdo in kakšne pravice dostopa do informacij ima ter kakšna je njegova odgovornost za zaščito zaupnosti informacij, z organizacijskimi in tehničnimi ukrepi pa preprečevati morebitno zlorabo. Celovitost informacij pomeni, da so zagotovljene popolne in točne informacije, torej varovanje njihove pravilnosti, zanesljivosti, točnosti in postopkov procesiranja skozi celoten življenjski cikel, v katerem so lahko ogrožene zaradi človeških napak, zlonamernih uporabnikov, virusnih okužb ali okvar strojne opreme, programskih napak, napak pri dostopu ali pri prenosu itd. Za zmanjšanje tovrstnih tveganj se največkrat uporablja sistem zagotavljanja varnostnih kopij, ki se izdelujejo periodično in se hranijo na različnih mestih, z različno varovanimi dostopi, zavarovane pa so s šifriranjem (kriptiranjem). V primeru varnostnih incidentov (izguba ali poškodovanje podatkov) je možna hitra ponovna vzpostavitev informacijskega sistema. Razpoložljivost pomeni varovanje informacij in servisov pred prekinitvami v delovanju ter zagotavljanje informacij pooblaščenim uporabnikom v pravi obliki in na pravi način vedno, ko 13

30 jih potrebujejo. Cilj zagotavljanja razpoložljivosti je omogočiti kar se da neprekinjeno delovanje informacijskega sistema in v primeru varnostnih incidentov njegovo čim hitrejšo povrnitev v prvotno stanje. V načrtu ponovne vzpostavitve sistema so opisana tveganja, ocena in pogostost tveganj ter načrt za njihovo zmanjšanje. Določena so potrebna ravnanja pred, med in po zaključku varnostnega incidenta ter odgovorne osebe (Rihter 2015, str. 8). Razpoložljivost informacij je pomemben atribut še zlasti v primeru uporabniško usmerjenih organizacij, ki morajo storitve zagotavljati neprekinjeno. 2.4 Politika informacijske varnosti Varnostno politiko Rhodes-Ousley (2013, str. 108) opredeli kot dokument, ki določa varnostne zahteve organizacije, določa, kaj naj bo narejeno, ne pa, kako in na kakšen način. Varnostna politika, kot navaja Kralj (2013), predstavlja ključni branik varovanja informacij v organizaciji pred različnimi zunanjimi in notranjimi vplivi, ki bi lahko posegli v celovitost njenega informacijskega sistema ter njegovo varno in zanesljivo delovanje. Vključevati mora naslednje vidike informacijske varnosti: upravljanje varnosti, računalniško strojno in programsko opremo, računalniška omrežja, razvoj programske opreme ter okolje končnega uporabnika. Klenovšek (2012, str. 28) kot področja varnostne politike navaja fizično zaščito, računalnike, gesla, viruse in škodljive programe, internet, elektronsko pošto in prenos podatkov. Rhodes- Ousley (2013) posebej opozarja še na pomen opredelitve tveganj, tudi tistih, ki so prisotna znotraj organizacij. Božić (2016, str. 16) poudarja, da so varnostne politike temeljni dokument, s katerim organizacija določen ukrep vpelje v svoje poslovno okolje. Zaposleni v njej najdejo podlago za odločitve in ravnanje. Politika informacijske varnosti je del varnostne politike organizacije. Slednjo predstavlja skupek pravil, napotkov in postopkov, ki opredeljujejo, kako v organizaciji upravljati, ščititi in ravnati z določenimi resursi z namenom doseganja konkretno zastavljenih varnostnih ciljev (Belič in Lesjak v Bernik in Zver, 2012). Politika informacijske varnosti mora zagotavljati smernice za varnost informacijskega sistema organizacije ter vključevati področja, kot so: uporaba interneta in notranja uporaba omrežja, zasebnost podatkov, odzivanje na varnostne incidente, varnost dokumentov, vprašanja človeških virov in drugo. Kralj (2013, str ) navaja, da je informacijska varnostna politika»celovit načrt varovanja informacij in delovnih procesov v organizaciji, ki je kot tak zavezujoč za vse zaposlene, pred različnimi (neželenimi) zunanjimi in notranjimi vplivi, ki ogrožajo informacijsko varnost neke 14

31 organizacije in varnost organizacije kot celote.«avtor poudarja, da informacijska varnostna politika ščiti informacijski sistem, informacije, informacijska sredstva in informacijske vire pred grožnjami, ki bi lahko posegle v njihovo celovitost, zaupnost in razpoložljivost. Varnostna politika je smiselna le, če je po sprejemu uresničena tudi v praksi in se njena določila upoštevajo dosledno ter so tudi pravilno razumljena:»ko sprejmemo informacijsko varnostno politiko, zavarujemo kritično informacijsko infrastrukturo organizacije, istočasno pa določimo tudi pravila vedenja in sankcije v primeru kršitev, ki naj bi veljale za vse, tako za zaposlene kot vodstvo.«(kralj 2013, str. 15) Bernik in Zver (2012) poudarjata tudi, da je varnostna politika»oblika pisnega sporazuma o pogojih in pravilih varnega dela, ki mora biti prebran in podpisan s strani zaposlenih«, uporaba politike pa pomaga izobraževati zaposlene o vrstah orodij, ki jih bodo uporabljali za ščitenje informacijskega sistema, in kaj lahko od teh orodij pričakujejo. Opredeljevati mora tudi meje obnašanja oziroma vedenja pri delu z informacijskim sistemom organizacije in določati posledice kršitev. 2.5 Standardi informacijske varnosti Zgodovino standardov s področja informacijske varnosti ter posamezne mednarodne standarde predstavlja Klenovšek (2012, str. 11). Razvoju standardov informacijske varnosti lahko sledimo po letu 1926, ko je bila ustanovljena mednarodna organizacija za standardizacijo, predhodnica današnje ISO. Danes najbolj uporabljane standarde (COBIT, ISO in NIST) predstavlja Rhodes- Ousley (2013), podrobnejši prikaz standardov družine ISO/IEC najdemo tudi v številnih drugih prispevkih (npr. Košćak, 2011; Bernik in Zver, 2012; Rihter, 2015). Za področje informacijske varnosti obstaja več standardov, dobrih praks, postopkov, politik in metodologij. Bernik in Zver (2012) navajata, da obstajajo splošni kodeksi najboljših praks in priporočil za zagotavljanje informacijske varnosti, med katerimi je najbolj znana in široko sprejeta skupina mednarodnih standardov ISO/IEC s skupnim naslovom Informacijska tehnologija Varnostne tehnike, ki opredeljujejo večino proceduralnih, organizacijskih, fizičnih in drugih težav, povezanih z zagotavljanjem informacijske varnosti. Razvija in izdaja jih Mednarodna organizacija za standardizacijo (ISO, International Organization for Standardization) v sodelovanju z Mednarodno elektrotehniško komisijo (IEC, International 15

32 Electrotechnical Comission) 5. Gre za družino standardov za sisteme upravljanja informacijske varnosti (SUIV), katerih namen je pomagati organizacijam vseh vrst in velikosti (npr. gospodarske družbe, državni organi in nepridobitne organizacije) pri izvedbi in delovanju sistemov upravljanja informacijske varnosti. Standardi, kot poudarjata Bernik in Zver (2012), spodbujajo skupno razumevanje varnostnih zahtev in zagotavljajo, da so implementirani mehanizmi v skladu z globalno sprejetimi pravili in prakso. V nadaljevanju navajamo splošne standarde ISO 6, namenjene organizacijam ne glede na področje njihovega delovanja: Standard ISO/IEC 27000:2016, Sistemi upravljanja informacijske varnosti Pregled in izrazje vključuje splošen pregled sistemov upravljanja informacijske varnosti, ki so predmet skupine standardov SUIV, kratek opis procesa načrtuj izvedi preveri - ukrepaj (PDCA), ter izraze in definicije, pogosto uporabljene v omenjeni skupini standardov. Standard ISO/IEC 27001:2013, Sistemi upravljanja informacijske varnosti Zahteve predpisuje zahteve za vpeljavo celovitega sistema upravljanja varovanja informacij (SUVI) v organizacijo. Predstavlja model za vzpostavitev, izvajanje, upravljanje, spremljanje, pregledovanje, vzdrževanje, vrednotenje in izboljševanje sistema varovanja informacij (Kralj 2013, str. 18). Vključuje tudi zahteve za ocenjevanje in obravnavanje tveganj informacijske varnosti, prilagojene različnim vrstam organizacij. V Dodatku A so navedeni referenčni cilji kontrol in kontrole, s pomočjo katerih preverjamo informacijsko varnost organizacije. Standard ISO/IEC 27002:2013, Pravila obnašanja pri kontrolah informacijske varnosti je zbirka pravil in metod za nadzor uresničevanja informacijske varnosti. Predstavlja model za učinkovit sistem upravljanja varovanja informacij in ga lahko uporabljajo organizacije, ki želijo znotraj procesa izvajanja sistemov upravljanja informacijske varnosti uporabljati 5 Slovenski nacionalni organ, član tako organizacij ISO kot IEC, ki skrbi za pripravo in sprejemanje standardizacijskih dokumentov, je Slovenski inštitut za standardizacijo (SIST). Glej: 6 Omenjena družina standardov sicer vključuje tudi specializirane standarde, npr. za področje inteligentnih transportnih sistemov, telekomunikacijskih organizacij, zdravstva, finančnih storitev, storitev oblaka, energetike, ter standarde za organe, ki izvajajo presoje in certificiranje sistemov upravljanja informacijske varnosti. 16

33 kontrole na osnovi standarda ISO/IEC ali pa druge splošno sprejete kontrole informacijske varnosti oziroma oblikovati svoje smernice za upravljanje informacijske varnosti. V primerjavi s standardom ISO/IEC 27001, ki posamezne kontrole opredeljuje na kratko, jih standard ISO/IEC opredeljuje podrobno. Standard ISO/IEC 27003:2010, Smernice za izvedbo sistema upravljanja informacijske varnosti se nanaša na prvo fazo vpeljave sistema upravljanja varovanja informacij (SUVI) v skladu s standardom ISO/IEC 27001, tj. na fazo načrtovanja sistema, in definira vse aktivnosti, ki jih mora v tej fazi opraviti organizacija. Standard ISO/IEC 27004:2016, Upravljanje informacijske varnosti Spremljanje, merjenje, analiziranje in ocenjevanje je pripomoček za preverjanje in poročanje o uspešnosti sistema upravljanja informacijske varnosti. Nadomestil je izdajo standarda iz leta 2009, ki je bil posodobljen in razširjen ter usklajen z novo različico standarda ISO/IEC iz leta Določa način izdelave programa za merjenje informacijske varnosti, izbor predmeta merjenja in upravljanje potrebnih procesov merjenja. Standard ISO/IEC 27005:2011, Obvladovanje informacijskih varnostnih tveganj opisuje proces upravljanja tveganj in priporočena opravila za obvladovanje informacijskih tveganj, s katerimi zagotavljamo informacijsko varnost v okviru splošnih konceptov, ki jih navaja standard ISO/IEC 27001:2013. Standard ISO/IEC 27007:2011, Smernice za presojanje sistemov upravljanja informacijske varnosti vključuje smernice za upravljanje programa za notranje ali zunanje presojanje sistemov upravljanja informacijske varnosti, izvajanje presoj in določanje pristojnosti presojevalcev. Informacijski sistem organizacije je izpostavljen različnim tveganjem. Eden od načinov za njihovo obvladovanje je upravljanje informacijske tehnologije, ki vključuje tudi vzpostavitev in vzdrževanje sistema kontrol ter oceno ustreznosti tega sistema. Presoja informacijskih sistemov (ang. information system audit) je proces zbiranja in vrednotenja dokazil, s pomočjo katerih je mogoče oceniti uspešnost informacijskega sistema v smislu varovanja in ohranjanja celovitosti informacij ter uresničevanja poslovnih ciljev organizacije. Delak in Bajec (2010) navajata, da obstaja na področju t. i. skrbnih pregledov informacijskih sistemov več različnih 17

34 standardov, metodologij in dobrih praks. Med smernicami za izvajanje presoje informacijskega sistema se pogosto uporablja metodologija COBIT (Control OBjectives for Information and related Technology) za revizijo informacijske tehnologije. COBIT je vodilni poslovni model (okvir za kontrolo) za boljše izvajanje upravljanja in vodenja informacijske tehnologije, ki ga priporoča mednarodno neprofitno in neodvisno združenje s področja informacijske tehnologije ISACA 7. Trenutna različica COBIT 5.1 vključuje, kot navaja Varga Vodička (2015, str. 34), tudi druge znane delovne okvire, standarde in vire, kot so Val IT, Risk IT, ITIL, TOGAF, CMMI, Prince2 in povezane standarde ISO/IEC, tudi skupino ISO/IEC COBIT pristopa k informacijskemu sistemu organizacije na ravni procesov. Vključuje kontrolne cilje (ključne informacijske procese) in načine merjenja stopnje njihovega uresničevanja. 2.6 Upravljanje informacijske varnosti Upravljanje informacijske varnosti je bistvena sestavina celotne dejavnosti vsake organizacije. Vključuje dejavnosti, ki se nanašajo na varovanje informacij in sredstev informacijske infrastrukture pred tveganji izgube, zlorabe, razkritja in poškodbe, ter nadzor, ki ga mora opravljati organizacija, da zagotovi obvladovanje morebitnih tveganj. V programu upravljanja informacijske varnosti organizacija predvidi skrb za vpeljavo, vzdrževanje in nenehno izboljševanje področja upravljanja informacijske varnosti. Bistvena sestavina upravljanja informacijske varnosti je tudi informacijska varnostna politika, ki vključuje pravila in potrebna ravnanja organizacije na področju varovanja, dostopa, obdelave, shranjevanja, prenosa in uničenja informacij (Selan in Bernik, 2011). Avtorja poudarjata, da informacijska varnost ni le tehnični izziv, ampak tudi izziv celotne organizacije in vodenja le-te, ki zajema upravljanje tveganj, poročanje in odgovornosti. Vehar in drugi (2013, str ) opozarjajo, da je informacijska podpora poslovnim procesom organizacij postala ključnega pomena za učinkovitost procesov. Pri tem pa mora biti zagotovljena najvišja stopnja varnosti in zanesljivosti informacijskih sistemov ter onemogočeni 7 Združenje ISACA je bilo ustanovljeno leta Danes vključuje strokovnjakov iz 187 držav, s področja upravljanja nadzora, revizije in varnosti informacijskih sistemov. Glej več: Slovenski odsek ISACA je bil ustanovljen leta 1995 pri Slovenskem inštitutu za revizijo (SIR) in skrbi za razvoj področij revizije informacijskih sistemov, upravljanja informacijske tehnologije, nadzora in dajanja zagotovil ter kibernetske varnosti. Glej več: 18

35 neavtorizirani fizični in logični poskusi vdorov ali odtujitve informacij. A dogaja se, da organizacije posvečajo premalo pozornosti pomenu dobre informacijske varnostne politike in ustrezni izobraženosti uporabnikov informacijske tehnologije, kar spoznajo šele ob pojavu groženj varnosti ali varnostnih incidentov. Zagotavljanje informacijske varnosti zahteva sistematičen pristop, ki je mogoč le ob vpeljavi sistema upravljanja varovanja informacij. Pri tem so organizacijam v pomoč mednarodni standardi, v prvi vrsti družina standardov ISO/IEC Slovenski standard SIST ISO/IEC (2011, str ) opredeljuje sistem upravljanja informacijske varnosti (SUIV) kot del celotnega sistema upravljanja, ki temelji na pristopu poslovnega tveganja in je namenjen vzpostavitvi, izvedbi, delovanju, spremljanju, pregledovanju, vzdrževanju in izboljševanju informacijske varnosti. V zvezi s SUIV upravljanje vključuje nadzor in sprejemanje odločitev, potrebnih za doseganje poslovnih ciljev z zaščito informacij organizacije. Upravljanje informacijske varnosti se izkazuje v oblikovanju in uporabi informacijskih varnostnih politik, standardov, postopkov in smernic, ki jih nato v celotni organizaciji uporabljajo vsi posamezniki oziroma deležniki, povezani z organizacijo. Specifikacije za sistem upravljanja informacijske varnosti vključuje standard ISO/IEC Določa zahteve za vzpostavitev, izvajanje, vzdrževanje in nenehno izboljševanje sistema informacijske varnosti v okviru organizacije, vključuje pa tudi zahteve za ocenjevanje in obravnavanje tveganj informacijske varnosti, prilagojene potrebam organizacije (SIST ISO/IEC , str. 6). Standard ISO/IEC v upravljanje informacijske varnosti uvaja procesni pristop, znan kot proces PDCA (načrtuj-izvedi-preveri-ukrepaj). Izvaja se v štirih fazah (Brezavšček in Moškon, 2010), in sicer: 1. načrtuj izdelava načrta vzpostavitve SUIV (analiza stanja v organizaciji in ocene tveganj, določitev okvira SUIV, določitev ciljev in oblikovanje načrta njihove uresničitve, odločitev vodstva organizacije za pristop k projektu SUIV); 2. izvedi uvedba načrta SUIV (izdelava in sprejem politike varovanja podatkov in informacij ter izvedbenih dokumentov, izvajanje politike in izvedbenih dokumentov, seznanjanje in izobraževanje zaposlenih, zunanjih sodelavcev in pogodbenih izvajalcev, ki so kakor koli povezani z informacijskim sistemom organizacije); 19

36 3. preveri vzpostavitev sistema kontrol in nadzorstev nad delovanjem SUIV (vzpostavitev kontrol in kontrolnega okolja, izvajanje kontrol in nadzorstev, nadzor nad delovanjem kontrol, ukrepi ob nespoštovanju zahtev); 4. ukrepaj analiza odstopanj od načrtovanega in izvajanje korektivnih ukrepov (ugotavljanje učinkovitosti SUIV, po potrebi popravljanje in izboljševanje dejavnosti za doseganje boljših rezultatov). Dodatek A standardu navaja referenčne cilje kontrol in kontrole, razporejene v 14 področij: 1) Informacijske varnostne politike; 2) Organiziranje informacijske varnosti; 3) Varnost človeških virov; 4) Upravljanje dobrin; 5) Nadzor dostopa; 6) Kriptografija; 7) Fizična in okoljska varnost; 8) Varnost operacij; 9) Varnost komunikacije; 10) Pridobivanje, razvoj in vzdrževanje sistemov; 11) Odnosi z dobavitelji; 12) Upravljanje informacijskih varnostnih incidentov; 13) Vidiki informacijske varnosti pri upravljanju neprekinjenega poslovanja; 14) Skladnost (SIST ISO/IEC , str ). 2.7 Človeški dejavnik pri zagotavljanju informacijske varnosti Pojem varnostne kulture in informacijske varnostne kulture ter njena načela, ki usmerjajo vedenje in mišljenje ljudi, sestavne dele in stopnje podrobneje opredeljuje avtorica Rančigaj (2010), ki opozarja tudi na to, da obstaja povezanost med organizacijsko in varnostno kulturo. Informacijske varnosti ni mogoče zagotavljati le z uporabo tehničnih sredstev, ampak je treba pozornost nameniti tudi človeškemu dejavniku:»ob številnih ukrepih in trudu organizacij so zaposleni še vedno tisti, ki zaradi svoje nepazljivosti, prenizke ozaveščenosti in znanja, povzročajo največ varnostnih incidentov in posledično velike finančne izgube podjetjem.«(rančigaj 2010, str. 59) O vedenjskih vidikih informacijske varnosti pišeta Rančigaj in Lobnikar (2012), ki kot enega ključnih dejavnikov upravljanja informacijske varnosti izpostavljata posameznikovo vedenje in informacijsko varnostno kulturo organizacije. Po njunem mnenju vloga človeškega dejavnika pri zagotavljanju varnosti postaja vse bolj prepoznavna in je vsaj tako pomembna, kot je pomemben sam tehnološki dejavnik. Rhodes-Ousley (2013, str. 114) opozarja, da je človeški element najmanj predvidljiv in najšibkejši člen varnostne verige vsake organizacije. Warkentin in drugi (2016, str. 25) pa navajajo rezultate raziskave, ki kažejo, da skoraj polovica varnostnih incidentov izhaja iz notranjega okolja organizacij in da le-ti povzročijo veliko večjo škodo, kot 20

37 pa incidenti, povzročeni od zunaj. Ivanc (2013) zato izpostavlja potrebo po kompetentnih človeških virih, ki so ključni element pri varovanju podatkov. Božić (2016, str. 23) navaja, da dejanja zaposlenih ne narekujejo le njihova motivacija za delo, osebni vzgibi in želje ter njihovo znanje in izkušnje, ampak tudi pravila in politike organizacije ter zakonski in drugi predpisi, ki morajo biti razumljivi in zaposlenim posredovani na pravilen način, zavedati pa se morajo tudi posledic njihovega neupoštevanja. Avtor opozarja:»ozaveščenost uporabnika predstavlja pomembno merilo za učinkovitost varovanja informacij v organizaciji. Ozaveščenost lahko opredelimo kot splošno znanje o varovanju informacij in poznavanje določil in dejanske prakse organizacije.«(božić 2016, str. 24) Zato je pomemben učinkovit program ozaveščanja zaposlenih o vprašanjih varovanja informacij. Lobnikar in drugi (2012, str. 352) opozarjajo, da so celoviti programi informacijskovarnostnega ozaveščanja, ki bi upoštevali vse vidike vedenja ljudi, v slovenskem organizacijskem okolju še vedno redkost. Veliko organizacij sicer posveča pozornost izobraževanju zaposlenih, a večinoma le tistih, ki upravljajo informacijske sisteme. Avtorji so z anketo, v kateri so sodelovali zaposleni v javnem in zasebnem sektorju, ugotavljali njihovo znanje o informacijskovarnostnem vedenju in vedenje samo ter odnos do informacijskovarnostnih ukrepov v organizaciji. Rezultati raziskave so pokazali, da največjo pomanjkljivost v stanju informacijskovarnostne ozaveščenosti zaposlenih predstavlja znanje o varni uporabi tehnologije. Zato morajo imeti organizacije jasne in vsem zaposlenim razumljive informacijskovarnostne politike ter celovite programe varnostnega ozaveščanja, zavedati se morajo tudi,»da je varnostna kultura, katere del je tudi varnostna ozaveščenost, dodana vrednost organizacije, od katere je odvisno, ali bodo postavljene varnostne zahteve, pravila in tehnični postopki zaživeli in prispevali k razvoju organizacije, ali pa bodo predstavljali največjo oviro pri doseganju zastavljene vizije.«(lobnikar in drugi 2012, str. 361) 2.8 Orodja za zagotavljanje varnosti informacijskega sistema Varnost informacijskega sistema zagotavljamo z ustrezno varnostno tehnologijo za zaščitenje dostopa do podatkov in informacij ter njihove uporabe, ki je zoper grožnje varnosti uspešna le, če ima organizacija tudi ustrezno informacijsko varnostno politiko in če so zaposleni usposobljeni ter poučeni o varovanju podatkov in informacij ter sodi varnostna kultura med temeljne vrednote organizacije. 21

38 2.8.1 Požarne pregrade in preprečevanje vdorov v omrežje Požarni zidovi (ang. firewall) in sistemi za zaznavanje ter preprečevanje vdorov (ang. IDS/IPS Intrusion Detection/Prevention Systems) so orodja za razmejitev med zunanjim in notranjim računalniškim omrežjem. Namenjeni so zaščiti notranje omrežne infrastrukture organizacije pred zunanjimi vdori oziroma neavtoriziranimi dostopi. Najpogosteje uporabljano varnostno orodje s področja strojne omrežne varnosti so požarni zidovi. To so strojna ali programska oprema, ki vstop v omrežje organizacije dovoli le določenim vrstam omrežnega prometa. Glede na pravila, ki jih določi upravljavec notranjega omrežja, dovolijo ali zavrnejo tok podatkov v omrežje. Za analiziranje omrežnega prometa in njegovo sprejemanje lahko uporabljajo različne metode in kriterije, npr. paketno filtriranje. Kot taki pa požarni zidovi ne zmanjšujejo problema varnostnih tveganj, ki nastajajo v notranjem okolju organizacij. Končna točka povezave v internet namreč ni le požarni zid, ampak tudi posamezni računalniki, ki so v varovanem delu omrežja za njim. Ker se poslovni procesi ne odvijajo več le znotraj organizacij, ampak so uporabniki navajeni tudi mobilnega dostopa prek brezžičnih povezav in organizacije v vse večjem številu uporabljajo tudi oblačne storitve, kjer se nadzor nad lokacijo shranjenih podatkov izgubi, požarni zidovi ne predstavljajo več zadostne zaščite. Funkcija sistemov za zaznavanje vdorov pa je nadzor prometa in dogodkov v omrežju in v odjemalcih, zaznavanje vdorov (z odkrivanjem znanih in neznanih napadov ter lastno opredelitvijo možnih napadov) in njihovo preprečevanje Protivirusna zaščita na delovnih postajah in strežnikih V dobi modernega računalništva je protivirusna zaščita postala obvezen del poslovnih okolij. Zaradi potencialnih okužb iz različnih virov, kot so zlonamerne spletne strani, okužene priponke v elektronski pošti in tudi uporabniški ključki USB, je treba dodatno zaščititi delovne postaje zaposlenih in morebitne javno dostopne delovne postaje organizacije. Prav tako je nujno zaščititi vse strežnike, ki so potencialno dostopni zaposlenim neposredno oziroma posredno zaradi avtomatiziranih procesov, ki uporabniške datoteke prenašajo na diskovna polja zaradi zagotavljanja nemotenega delovnega procesa. Seveda pa protivirusni programi zagotavljajo 22

39 obrambo samo pred okužbami, ki so že opisane v bazi definicij, torej pred okužbami, ki so že splošno znane. Pred še neznanimi (ang. zero day) okužbami pa nas te rešitve ne zaščitijo. Na trgu je na voljo veliko protivirusnih zaščit različnih proizvajalcev, ki se med seboj glede na zanesljivost odkrivanja okužb zelo razlikujejo. Poznamo brezplačne in plačljive rešitve. V poslovnih okoljih se najpogosteje odločajo za plačljive rešitve, pri katerih ima organizacija s ponudnikom storitve sklenjeno tudi pogodbo za svetovanje v primeru zapletov. Pomembno je tudi, da protivirusna rešitev omogoča centraliziran nadzor in poročanje o stanju delovnih postaj na eno nadzorno mesto, kjer lahko sistemski administrator preveri, če je v poslovnem okolju prišlo do morebitnih neželenih okužb. Zadnja leta se v računalniških krogih pomembnost oziroma vrednost protivirusnih zaščit zmanjšuje, kajti potencialni zlonamerni uporabnik lahko na t. i. temni strani interneta (ang. dark web) naroči specialno okužbo, ki je izdelana prav zanj in je ne odkrije nobena protivirusna rešitev 8. Zaradi tovrstnih storitev lahko v notranja okolja organizacij vdrejo celo posamezniki, ki za to nimajo potrebnih znanj, imajo pa dovolj denarja in željo oziroma motiv za poskus vdora v ciljno organizacijo. Slika 2.2 prikazuje potek od odkritja potencialne varnostne luknje/razpoke do njene prepoznave v protivirusnih rešitvah, rdeča barva na časovnici pa predstavlja časovno obdobje, v katerem protivirusne rešitve ne ponujajo zaščite pred okužbo. 8 Na medmrežju lahko npr. odkrijemo ponudbe, ki za mesečno naročnino 200 ameriških dolarjev ponujajo storitve izdelave škodljive programske opreme (ang. malware on demand) ali izsiljevalskih virusov (ang. ransomware on demand), torej specifično ciljanih okužb oziroma podpore za okužbe točno določenih poslovnih okolij. 23

40 Slika 2.2: Zlonamerni vdori v protivirusno zaščito organizacije Vir: Volovich (2016) Sistemi za upravljanje identitete uporabnikov Polh (2014) poudarja, da so pri zagotavljanju varnosti in preprečevanju z njo povezanih tveganj ključni sistemi za upravljanje identitete. Z uvedbo takega sistema organizacija»ne pridobi le pregleda nad dostopom uporabnikov, temveč predvsem napredne možnosti izvajanja varnostne politike in njenega nadgrajevanja ter izvajanje in nadzor procesov za zagotavljanje ustreznega nivoja varnosti. Sistemi za upravljanje identitet omogočajo tudi sledljivost zahtev uporabnikov in odobritev.«sistem za upravljanje identitet in dostopa (ang. IAM Identity and Access Management) omogoča nadzor uporabnikov, in sicer kdo lahko dostopa do informacijskih sredstev (overitev/avtentikacija), katere informacije lahko uporablja ter na kakšen način (avtorizacija). Sistem IAM ne stori ničesar za samo zaščito podatkov pred neposredno zlorabo, vendar pa ima ključno vlogo v primeru, ko gre za razlikovanje med resničnimi osebami, zaposlenimi znotraj organizacije oziroma zunanjimi sodelavci ter zunanjimi vsiljivci, in zagotavlja, da so uporabniki res tisto, kar trdijo, da so. Preden se lahko poda ocena delovanja uporabnika, je treba nedvoumno vedeti, kakšne pravice dostopa in privilegije znotraj sistem ima. Statistike kažejo, da se 88 odstotkov notranjih incidentov zgodi zaradi previsoko dodeljenih privilegijev (Tarzey 24

41 in Østergaard, 2014). Sistem IAM organizaciji omogoča ukrepanje ob spreminjanju statusov uporabnikov in odvzemu njihovih pravic. Pogost način zunanjih vsiljivcev za zagotovitev dostopa do internih sistemov organizacije je kraja poverilnic. Ta se lahko v veliki meri omeji z uporabo več stopenjske avtentikacije in z vklopom beleženja dogodkov v dnevniške datoteke Varnost na ravni posameznih strežnikov Zaščita na ravni gostiteljev (ang. host-based security) se uporablja za strežnike in uporabniške naprave ter nadzira aktivnosti na določeni virtualni ali fizični napravi. Ne glede na to, ali je nadzor namenjen kontroli dostopanja do datotek, odkrivanju zlonamerne programske opreme ali pa preprečuje zaganjanje določene aplikacije, so strežniki in uporabniške naprave varnejše, če imajo implementirano zaščito na ravni gostitelja, kot pa če so brez nje. V primeru odtujitve informacij s same naprave oziroma strežnika, pa omenjena zaščita ne zagotavlja nikakršne zaščite pred uhajanjem podatkov. Zaščita na ravni gostiteljev ne more učinkovito zaščititi organizacije pred grožnjami znotraj nje, ker je sama narava problema v pretoku podatkov med napravami, ki se lahko v določenem trenutku nahajajo znotraj, že drugi trenutek pa zunaj organizacije, kjer ni varnostnih zaščit, sicer implementiranih znotraj omrežja organizacije. Zato je potrebna implementacija zaščit, ki naslavljajo zavarovanje podatkov, ne pa samih sistemov Nadzor prometa v omrežju in preprečevanje izgube podatkov Nadzor prometa v omrežju pregleduje podatke, ki potujejo po mreži znotraj organizacije, in odkriva nezaželeno programsko kodo (ang. malware) ter nenadna povečanja v količini mrežnega prometa. Kot v besedilu že omenjene varnostne zaščite (požarni zid, protivirusna zaščita ipd.), je tudi ta namenjena predvsem obrambi pred zunanjimi vsiljivci. Prav tako nadzoruje informacije samo takrat, ko se pretakajo preko omrežja, ne nadzoruje pa tistih, ki se nahajajo skrite na napravah ali na mrežnih diskovnih poljih. Nadgradnja nadzora prometa v omrežju je dodatna vrhnja plast, ki poveže omrežni promet z uporabniškimi računi, za kar skrbi sistem za preprečevanje izgube podatkov (DLP Data Loss Prevention). Nadgradnja nadzora s sistemom DLP omogoča opazovanje in zaznavanje zlonamernega vedenja zaposlenih znotraj mrežnega prometa. Ta zaščita seveda omogoča nadzor samo znotraj omrežja organizacije. Ko promet zapusti notranje omrežje, DLP izgubi svojo vlogo in nadzor nad njim ni več mogoč. Zaposleni lahko tako brez ovir delijo in razširjajo 25

42 občutljive informacije nepooblaščenim osebam zunaj organizacije. Prav tako sistemi DLP ne omogočajo beleženja oziroma ohranitve neprekinjene revizijske sledi za posamezne datoteke Šifriranje Šifriranje je dober postopek za zaščito podatkov, shranjenih na disku in v pretoku preko omrežja. Gre za postopek pretvorbe podatkov s pomočjo kriptografskega algoritma v obliko, ki je nepooblaščene osebe ne morejo prebrati. Vendar podatki za organizacijo ne predstavljajo nobene dodane vrednosti, če jih ni mogoče prebrati oziroma uporabljati. Zato morajo biti podatki v določenem trenutku na voljo v celoti ali vsaj delno dešifrirani in zaposlenim dostopni s pomočjo dešifrirnih ključev. Poznamo več oblik šifriranja, v uporabi so predvsem simetrično oziroma asimetrično šifriranje ter računanje zgoščene vrednosti datotek (ang. hash). Simetrično (konvencionalno) šifriranje uporablja enak ključ za šifriranje in dešifriranje podatkov, kar predstavlja težavo pri izmenjavi šifrirnih ključev med prejemnikom in pošiljateljem. Ta problem rešuje asimetrično šifriranje, ki uporablja sistem javnih in zasebnih ključev, pri katerih lahko javni ključ uporabimo le za šifriranje podatkov, za njihovo dešifriranje pa je potreben zasebni ključ, ki je tajen. Zasebni ključ ima samo prejemnik podatkov. Na asimetrični metodi šifriranja temelji tudi varen elektronski podpis, overjen s kvalificiranim potrdilom. Računanje zgoščene vrednosti datoteke pa omogoča preverjanje avtentičnosti podatkov, ob nepooblaščenih posegih v podatke se namreč zgoščena vrednost datoteke spremeni. Po dešifriranju podatkov jih lahko uporabnik na enostaven način skopira ali deli z drugimi brez posebnih ovir Varnostne kopije Izvajanje postopkov varnostnega kopiranja podatkov je v poslovnih okoljih ena od nujnih nalog sistemskih administratorjev. Varnostna kopija (ang. backup) ključnih podatkov, pomembnih za obstoj organizacije, in tudi ostalih pomembnih uporabniških ter sistemskih datotek, omogoča povrnitev predhodnega stanja ob morebitni odpovedi strojne opreme ali okužbami ter vdori v poslovno okolje. Brez varnostnih kopij bi bilo operativno delovanje organizacije ogroženo, v določenih primerih bi lahko organizacijam grozil celo propad. Že v fazi načrtovanja je treba predvideti scenarije za ponovno vzpostavitev poslovnega okolja v primeru naravnih nesreč, odpovedi strojne opreme ali v primeru programskih napak, kar pa je brez varnostnih kopij podatkov nemogoče. 26

43 Možnosti za shranjevanje varnostnih kopij podatkov so različne. Najpogosteje se uporablja kombinacija trdih diskov in tračnih enot, kjer predstavljajo podatki, zapisani na trdem disku, mrežno dosegljive varnostne kopije (online kopije), zapisani na tračnih enotah, shranjenih v varnostnih požarnih omarah, pa lokalno dosegljive varnostne kopije (offline kopije) podatkov. Tračne enote so lokacijsko popolnoma ločene od poslovnega okolja, kar preprečuje morebitne vdore in okužbe oziroma izgubo podatkov v primeru naravnih nesreč ali kriminalnih dejanj. V zadnjih letih se povečuje shranjevanje varnostnih kopij na oddaljene lokacije, lahko v zasebni ali javni oblak, torej na rezervno lokacijo, ki se geografsko nahaja kjerkoli na Zemlji. V primeru uporabe oddaljenih lokacij, tj. zasebnega ali javnega oblaka, je ključno, da so varnostne kopije šifrirane, ker s tem organizacija onemogoči prestrezanje podatkov s strani nepooblaščenih oseb. V letu 2015 in 2016 se je varnostno kopiranje podatkov pokazalo kot ključna naloga sistemskih administratorjev, zlasti zaradi vse večjega števila okužb z izsiljevalskimi programi (ang. ransomware), ki zašifrirajo vse ključne tipe datotek (npr. datoteke office in datoteke pdf) znotraj poslovnega okolja in za njihovo povrnitev zahtevajo plačilo odkupnine. Nekatere okužbe preiščejo celotno interno omrežje organizacije in zašifrirajo tudi mrežno dostopne varnostne kopije podatkov, zato je pomembno imeti tudi offline arhivske kopije podatkov Administratorske pravice Zelo pomemben mehanizem za preprečevanje vdorov je tudi omejevanje števila zaposlenih, ki imajo administratorske privilegije na svojih delovnih postajah. V idealnih razmerah bi imeli takšno raven pravic samo sistemski administratorji, vendar se veliko krat zahteva dodelitev takšnih pravic tudi osebam na vodstvenih položajih. Običajno gre samo za prestiž in se vodstvo ob tem ne zaveda, kako veliko potencialno varnostno luknjo s tem povzroči poslovnemu okolju organizacije. Vdori v sisteme se namreč najpogosteje izvedejo ravno prek delovnih postaj neveščih uporabnikov, ki na različne načine okužijo svoje službene računalnike. V trenutku okužbe računalnika, v katerega je zaposleni prijavljen kot lokalni administrator, je napadalcu omogočen dostop do vseh delov operacijskega sistema. Naslednji korak je, da vsiljivec pridobi še podatke o domenskih računih in domenskih strežnikih ter se začne seliti po ostalih potencialno zanimivih delovnih postajah in strežnikih na lokalni mreži organizacije. Nad dejavnostjo uporabnikov, ki imajo administratorske pravice na svojih delovnih postajah, je zato potreben poostren nadzor, zahtevajo se daljša uporabniška gesla in njihova pogostejša 27

44 menjava. V primeru kakršnega koli poskusa zlorabe ali vdora je treba zaposlenemu takoj odvzeti dodatne pravice, ga o tem obvestiti ter mu predstaviti nadaljnje ukrepe in po potrebi zagotoviti dodatna izobraževanja na področju računalniške varnosti Uporabniška gesla V operacijskih sistemih je najpogostejša vrsta avtentikacije uporabnika vpis osebnega gesla. Varna poslovna okolja zahtevajo od zaposlenih uporabo varnih in dovolj dolgih gesel, ki jih je treba tudi redno menjavati in s tem še zmanjšati verjetnost vdora prek prijave neavtoriziranega uporabnika. Gesla naj ne bi zapisovali na papir, če pa brez tega ne moremo, zapisi ne smejo biti dostopni v bližini delovnih postaj. V zvezi z gesli moramo upoštevati nekaj osnovnih priporočil, ki se nanašajo na zgodovino gesel, njihovo periodično menjavo ter starost in dolžino: Politika zgodovine gesel določa, kako pogosto lahko uporabnik ponovno uporabi stara (že uporabljena) gesla. Smisel politike je, da zaposleni ne uporabljajo na primer samo dveh različnih gesel, ki jih med seboj le izmenjujejo. Za pravilno uresničevanje politike je treba nastaviti tudi minimalno starost gesel (npr. gesla ni mogoče spremeniti prej kot v treh dneh), sicer bi lahko zaposleni v zelo kratkem obdobju večkrat zamenjali geslo in s tem zaobšli politiko zgodovine gesel 9. Periodična menjava gesel od zaposlenega zahteva menjavo gesel na določeno obdobje. Smisel te politike je, da zaposleni ne uporabljajo leta in leta enaka gesla, kar predstavlja zelo veliko varnostno tveganje. Kjer je varnost poslovnega okolja prioriteta, se uporablja načelo 30/60/90 dni za obvezno menjavo gesla, uporaba stalnih gesel pa se odsvetuje. Potreben je tudi razmislek, ali od zaposlenih zahtevati daljša in bolj kompleksna gesla ali pa njihovo pogostejšo menjavo 10. Politika minimalne starosti gesel določa, kako pogosto lahko uporabnik zamenja geslo. Ta politika deluje v povezavi z zgodovino gesel in onemogoča uporabnikom, da bi ponovno uporabili stara gesla na prej opisani način. Priporočena nastavitev starosti gesla je sedem 9 V okolju Windows lahko npr. nastavimo, da strežnik preverja zadnjih 24 vpisanih gesel za vsakega zaposlenega posebej in prepreči ponovno uporabo enakih gesel. 10 V okolju Windows so uporabniki ob prijavi v računalnik opozorjeni, da bo geslo poteklo in koliko dni še imajo na voljo za zamenjavo gesla. 28

45 dni, vendar se lahko ta interval skrajša tudi na en dan, ker bi verjetno le malo število uporabnikov 24 dni zapored menjavalo geslo, da bi spet lahko imelo starega. Zavedati se je treba tudi, da ima lahko uporabnik v celoti legitimno željo po menjavi gesla, če je slučajno prišlo do primera, ko bi lahko postalo staro geslo kompromitirano oziroma ogroženo. Politika minimalne dolžine gesel določa najkrajšo možno dolžino gesla (npr. vsaj 8 znakov). Poleg dolžine je treba določiti tudi zahtevnost gesel, kar pomeni določanje obvezne uporabe številk, velikih in malih črk ter posebnih znakov. Zaporednih črk ali številk ni priporočljivo uporabljati, ravno tako ne besed, ki jih je lahko uganiti. Zahteve pri administratorskih računih je nujno nastaviti še strožje kot pri računih običajnih uporabnikov, v okolju Windows je tako priporočena dolžina gesla vsaj 16 znakov, priporočena je tudi uporaba preprostih stavkov, ki olajšajo pomnjenje gesla Seznam varnih aplikacij Splošen koncept uporabe seznama dovoljenih/varnih aplikacij (ang. application whitelist) je dokaj preprost. Namesto da v poslovnem okolju poskušamo blokirati zlonamerne datoteke in dejavnosti, raje definiramo seznam aplikacij, ki so dovoljene, poslužimo se torej obratne paradigme, tj. kar ni eksplicitno dovoljeno, je prepovedano. Delovanje koncepta seznama varnih aplikacij je mogoče doseči s preverjanjem ustreznosti zgoščenih vrednosti izvršnih datotek, vsaka izvršljiva datoteka ima namreč svojo zgoščeno vrednost, ki omogoča preverjanje pristnosti aplikacije, oziroma preverjanje morebitnih sprememb njene kode. V primeru, ko zgoščena vrednost aplikacije ni ustrezna, se zagon aplikacije blokira in s tem onemogoči njeno izvajanje. Osnovni koncept delovanja je tehnološko enostaven za implementacijo, težave se lahko pojavijo pri sprejetju seznama dovoljenih aplikacij s strani vodstva in zaposlenih, ki imajo drugačno logiko razmišljanja kot upravljavci poslovnih okolij. Administratorji se trudijo število dovoljenih aplikacij skrčiti na najnižjo raven, ki še omogoča uspešno poslovanje organizacije, 11 Na takšen način sestavljena gesla preprečujejo vdore s pomočjo ugibanja ali uporabe avtomatiziranih programskih orodij, ki poizkušajo opraviti prijavo v sistem s pomočjo naključnega generiranja gesel ali s pomočjo vnaprej sestavljenega slovarja besed/gesel. Tako npr. kot pomoč za vdore v okolja Windows obstajajo kar pred-generirane tabele vseh kombinacij znakov za gesla krajša od 16 znakov (ang. rainbow tables), ki omogočajo enostaven način ugibanja gesel za prijavo v sistem. 29

46 vodstvo in zaposleni pa želijo imeti na razpolago čim širši nabor aplikacij, za katere bi sicer večinoma težko rekli, da imajo uporabno vrednost v poslovnem okolju. Žal vodstva organizacij in zaposleni ne glede na vsa opozorila pogosto vidijo poslovna okolja kot podaljšek svojega domačega okolja, kjer je varnost na drugem mestu, prioriteta pa je dostopnost raznovrstnih orodij za»delo« Standardizirana namestitvena slika operacijskega sistema Eden od predpogojev za uspešno implementacijo seznama varnih aplikacij je izdelava začetne standardizirane namestitvene slike (ang. deploy image) operacijskega sistema, namenjenega delovnim postajam. Za to je potreben konsenz o naboru potrebnih aplikacij za standardno delovno mesto v organizaciji. Na seznam se običajno vključijo dodatni spletni brskalniki, prikazovalniki datotek PDF, urejevalniki slik in pisarniški paket Microsoft Office. Potrebna je tudi pred-konfiguracija nastavitev operacijskega sistema, kot so vklop oddaljenega dostopa (ang. remote desktop) za potrebe upravljanja delovne postaje, nastavitev funkcij varčevanja z elektriko in vpis ključa KMS za domensko aktivacijo operacijskega sistema Windows. Pri izdelavi začetne namestitvene slike se je treba odločiti, ali bo namestitev majhna (ang. thin image) ali pa bomo že v začetni postavitvi vključili vse potrebne dodatne programe. Glavni pomisleki se nanašajo na število delovnih postaj in fizičnih lokacij. Če ima organizacija več dislociranih enot in so le-te med seboj povezane prek spleta, se lahko med nameščanjem večjega števila operacijskih sistemov na delovne postaje hitro pojavijo težave s pasovno širino. Začetna namestitvena slika preprečuje, da bi prihajalo do različnih konfiguracij operacijskih sistemov. Do razlik v konfiguracijah lahko sicer prihaja zaradi človeške napake. Vedno namreč obstaja bojazen, da bi sistemski administrator izpustil kakšen pomemben korak med in po namestitvi, kar pa se ne more zgoditi pri nameščanju iz standardizirane začetne slike, kjer so vse konfiguracije in dodatni programi že vključeni Varnostna zaščita pred uhajanjem informacij Vse varnostne zaščite, opisane v prejšnjih razdelkih, je treba nadgraditi še z zaščito podatkov oziroma dokumentov samih. Omogoča jo uvedba sistema za upravljanja pravic dostopa do podatkov (IRM Information Right Management). Tehnologijo sestavljajo osrednji strežnik, 30

47 ki mora biti dostopen tudi z mest zunaj organizacije, ter odjemalci, ki se namestijo na uporabniške naprave in omogočajo povezovanje na osrednji strežnik. Seveda pa mora imeti organizacija sprejete varnostne politike, s katerimi opredeli vrste službenih dokumentov glede na njihovo dostopnost (npr. interno, zaupno, strogo zaupno ipd.). Naslednji korak je določitev, kateri oddelki oziroma skupine zaposlenih imajo dostop do določene vrste dokumentov. Na najnižji ravni lahko organizacija določi pravice za vsakega posameznega zaposlenega, in sicer ali lahko dokument bere, ureja, natisne oziroma izbriše (Slika 2.3). Slika 2.3: Življenjski krog upravljanja informacijskih pravic Vir: Huff in MacMillan (2009) Ko ima organizacija natančno določene vse politike in pravice dostopa, se jih na same dokumente implementira s pomočjo tehnologije upravljanja digitalnih pravic (DRM). To je nekakšen vrhnji sloj, ki se ob poskusu odprtja/zagona datoteke poveže z osrednjim strežnikom organizacije in preveri, ali ima uporabnik, ki je prijavljen v računalnik in na katerem poskuša odpreti dokument, dejansko to pravico. Glede na povratne informacije lahko program onemogoči dostop do določenih funkcionalnosti, npr. tiskanja ali pisanja oziroma spreminjanja 31

48 dokumenta, ali pa v primeru preklica uporabniškega računa celotno datoteko izbriše s pomnilniškega medija. S tem ima organizacija popoln nadzor nad prehajanjem službenih dokumentov izven notranjega omrežja v mobilne naprave in oblačne storitve. V trenutku, ko se zazna zloraba ali pokaže sum, da določen zaposleni krši interno politiko uhajanja informacij, se mu lahko odvzamejo pravice za dostop do dokumentov. Žal statistike kažejo, da ima samo okoli 40 odstotkov organizacij implementirano tehnologijo za upravljanja digitalnih pravic (Tarzey in Østergaard, 2014). Razlog je po mnenju avtorja v tem, da se je velik del organizacij v prvi vrsti usmeril na preprečevanje zunanjih vdorov, niso pa računale na možnost zlorabe znotraj same organizacije Politike za dostop in uporabo podatkov Vsaka organizacija bi morala imeti jasne smernice oziroma politike, ki narekujejo dopustno uporabo in hranjenje službenih dokumentov, ter o tem redno seznanjati svoje zaposlene. Seveda pa je nemogoče pričakovati, da bi si celoten kolektiv zapomnil vse podrobnosti teh politik, zato je treba implementirati tudi tehnologije, ki preprečujejo nedopustno rabo službenih dokumentov oziroma informacij. Raziskave kažejo, da ima samo slaba polovica organizacij implementirane interne varnostne politike. Že ta podatek je skrb vzbujajoč, ampak imeti implementirano politiko je samo polovica naloge, potrebne so tudi kontrole, ki nadzorujejo potencialne zlorabe podatkov zaposlenih pri delu z dokumenti Izobraževanje zaposlenih o informacijski varnosti Raziskava, ki jo je v letu 2015 podjetje S & T Slovenija opravilo med udeleženci strokovnega srečanja o informacijski varnosti, je pokazala, da sicer podjetja informacijsko varnost uvrščajo med svoje strateške cilje in se zavedajo pomena vlaganj v napredne tehnologije za zaščito podatkov in informacijskih sistemov, določena imajo tudi osnovna varnostna pravila, vendar pa jih le redke med njimi tudi dejansko uresničujejo (Uprave in vodstva, odobrite proračun za IT-varnost in zavarujte poslovanje, 2015). Kot najšibkejši člen informacijske varnosti so udeleženci raziskave izpostavili zaposlene, ki zaradi nezadostnega izobraževanja niso dovolj seznanjeni z zahtevami in pravili informacijske varnosti ter ne poznajo načinov prepoznavanja varnostnih groženj in zaščite pred njimi. 32

49 Izobraževanje zaposlenih na področju informacijske varnosti mora biti proces, ki se neprekinjeno izvaja skozi celotno delovno obdobje vsakega zaposlenega in predstavlja nujen del poslovne kulture. Seveda izobraževanje ne bo preprečilo vseh možnih napadov oziroma vdorov, bo pa zmanjšalo število najbolj očitnih in pogostih. Nekateri zaposleni z zli nameni pa bodo izobraževanja lahko celo izkoristili za zaobitje varnostnih kontrol, ki naj bi preprečevale odtekanje informacij izven organizacije. Statistike kažejo, da manj kot polovica organizacij izvaja izobraževanja o varni uporabi informacijskih tehnologij znotraj organizacije (Tarzey in Østergaard, 2014). Seveda pa tudi dvig ravni izobraževanja ne odpravi potrebe po uporabi tehnologij za zaščito informacijskih sistemov. 3 INFORMACIJSKA VARNOST IN KNJIŽNICE 3.1 Od tradicionalne do digitalne knjižnice in nova varnostna tveganja Newby (2002) je še pred petnajstimi leti ugotavljal, da je literature o vprašanjih informacijske varnosti v knjižnicah zelo malo in bi zato lahko sklepali, da knjižnični sektor upravljanju informacijske varnosti ne posveča dovolj pozornosti. Ugotovitev se mu je zdela presenetljiva, kajti informacije so središče dejavnosti knjižnic. V zadnjem desetletju je število prispevkov naraslo in tudi v poslovanju knjižnic zasledimo vedno večji poudarek tehničnim in organizacijskim vidikom zagotavljanja informacijske varnosti. Najdemo lahko tudi več priročnikov z navodili za vzpostavitev sistema celovitega upravljanja varnosti v knjižnicah (npr. Library Security Guidelines Document, 2010; Graham, 2012; OCLC, 2015b). Da smo v elektronskem okolju vsi, tudi knjižnice, lahka tarča tistih, ki si želijo na nedovoljen način prisvojiti informacije, opozarja Carver (2014). Vedeti moramo, da o stoodstotni varnosti ali zaščiti računalniške tehnologije ne moremo govoriti, s pravimi ukrepi le zmanjšujemo tveganja. Knjižnice so postale tarče zaradi informacij, ki se nahajajo znotraj njihovih informacijskih sistemov, javno dostopnih računalniških postaj, elektronskih katalogov, baz podatkov itd.. Najšibkejši člen informacijske verige so ljudje, zaradi neznanja, nepoučenosti, nepazljivosti, pomanjkanja motivacije ali zgolj zaradi lenobnosti. Zato je pomembno, da se celotno knjižnično osebje pri svojem vsakdanjem delu zaveda pomena varnosti. Ni dovolj le 33

50 udeležba na izobraževanjih, vsak se mora tudi zavedati posledic varnostno neodgovornega ravnanja. O različnih vidikih varnosti v knjižničnem okolju razmišlja Cruz (2013). Opozarja, da nista pomembni le varnost knjižničnega gradiva in uporabe interneta, ampak tudi uporabnikov in zaposlenih. Knjižnice morajo imeti ustrezne dokumente z opredeljenimi postopki ravnanja za primere varnostnih incidentov in nanje pripravljene zaposlene. O nevarnostih, ki so jim izpostavljene informacije v elektronski obliki, in ukrepih za njihovo varovanje, pišeta Trapskin (2008) in Hadow (2009), Yi (2011) pa opozarja, da raziskave o varnosti kažejo, da se večina knjižnic osredotoča na vprašanja fizične varnosti, tehnološkemu in organizacijskemu vidiku pa ne posveča zadostne pozornosti. Pojav digitalnih tehnologij je omogočil izgradnjo digitalnih knjižnic, ki so uporabnikom olajšale dostop do informacijskih virov in njihovo uporabo. Digitalne knjižnice se v poslanstvu in funkcijah ne razlikujejo od t. i. tradicionalnih knjižnic, razlikujejo pa se v obliki in načinu hranjenja informacij (digitalni zapisi hranjeni na računalniških napravah) ter zagotavljanju njihove dostopnosti (računalniški sistemi in omrežja). Digitalna gradiva za hranjenje in uporabo ne zahtevajo obsežnih fizičnih prostorov, dostopna so lahko v katerem koli času in od koder koli, do njih lahko hkrati dostopa veliko število uporabnikov, zagotavljajo prijazne uporabniške vmesnike in orodja za odkrivanje informacij. Informacijski viri in informacije so z digitalnimi knjižnicami postali dostopni na preprost in hiter način prek interneta, ob njihovem hranjenju ter zagotavljanju dostopa pa se knjižnice srečujejo z varnostnimi tveganji, ki v primeru ponudbe klasičnega knjižničnega gradiva in storitev niso prisotna. Zhengbiao in drugi (2016) ugotavljajo, da so bile tradicionalne raziskave o informacijski varnosti knjižnic zasnovane na preučevanju varnosti informacij, zapisanih na papirju, in na preučevanju tehničnih vidikov varnosti informacijskih sistemov. Danes pozornost ni namenjena le tehnologiji, ampak v enaki meri upravljavskemu vidiku zagotavljanja informacijske varnosti. V primerjavi s tradicionalnimi so namreč digitalne knjižnice izpostavljene veliko večjim varnostnim tveganjem, saj njihovo delovanje temelji na računalniški, omrežni, komunikacijski in drugih vrstah visoko razvitih tehnologij. Tudi v primeru preučevanja informacijske varnosti digitalnih knjižnic je bil sprva poudarek na tehničnem vidiku. V model, ki so ga navedeni avtorji razvili za ocenjevanje informacijske varnosti digitalnih knjižnic, so vključili nabor potencialnih groženj ter ranljivosti, ki se nanašajo tako na tehnični kot upravljavski vidik digitalnih knjižnic. 34

51 Študija primera izbrane digitalne knjižnice ene od najboljših kitajskih splošnih knjižnic je pokazala, da načrt upravljanja informacijske varnosti ni bil sprejet, sistematičen nadzor informacijskega sistema, programske opreme, omrežja, baz podatkov in drugih pomembnih informacijskih dobrin je nezadovoljiv ali ne obstaja, pravice dostopa in uporabe podatkov so slabo opredeljene, varnostne kopije niso pravilno hranjene, tako strežniki kot druga računalniška tehnologija so zaradi nepravočasnih posodabljanj varnostno ranljivi, zelo pomanjkljivo je tudi upravljanje gesel in osebne avtentikacije. Do podobnih zaključkov prihaja tudi Hao (2015) v primeru kitajskih univerzitetnih knjižnic. Po mnenju avtorja varnosti svojih digitalnih knjižnic ne posvečajo ustrezne pozornosti. V informacijsko varnostno tehnologijo ne vlagajo dovolj sredstev (uporabljajo le protivirusno zaščito za zaščito informacijskega sistema), informacijska ozaveščenost je nizka, na informacijske grožnje digitalnega okolja niso pripravljene v zadostni meri. Avtor v prispevku zato posebej izpostavi temeljne dejavnike, ki vplivajo na stopnjo informacijske varnosti knjižnic v elektronskem okolju: Računalniška strojna in programska oprema: zagotovljeni morajo biti varnost prostorov, kjer je nameščena oprema, in sicer pred grožnjami kot so: ogenj, voda, prah, kraja, uničenje, napajanje, temperatura, vlaga, osvetlitev, čiščenje itd., ter njeno redno vzdrževanje, nadgrajevanje in obnavljanje. Potrebna je tudi ustrezna varnostna zaščita programske opreme. Računalniško omrežje: z razvojem računalniških omrežij so tudi knjižnice varnostno ogrožene zaradi virusov, hekerskih vdorov, vdorov v sisteme gesel, kraj osebnih podatkov in informacij iz baz podatkov ter napadov na celotne računalniške sisteme. Zaradi zagotavljanja javnega dostopa do omrežij ter strojne in programske opreme so knjižnice lahka tarča hekerjev. Zato mora biti zagotovljena ustrezna varnostna zaščita omrežij. Upravljavski vidik informacijske varnosti: poleg sprejetih varnostnih politik mora biti zagotovljeno ustrezno usposobljeno osebje, ki skrbi za informacijski sistem in informacijsko varnost, ter prisotna sistematična skrb za izobraževanje zaposlenih na področju informacijske varnosti. 35

52 3.2 Tveganja in zagotavljanje informacijske varnosti knjižnic Knjižnični prostori in gradivo Javne knjižnice so organizacije, ki naj bi bile uporabnikom fizično dostopne s čim manj omejitvami, in dnevno beležijo tudi nekaj sto ali celo prek tisoč obiskovalcev. Ob izpolnjevanju svojega poslanstva kot ene od najbolj demokratičnih mest za neoviran dostop prebivalstva do informacij, morajo obiskovalcem zagotavljati najprej varnost v okolici zgradbe in vhoda v zgradbo (osvetljenost, varne dostopne površine) in varnost prostorov ter opreme v knjižnici sami (varna tla, stopnice, dvigala, osvetlitev, pohištvo itd.). Pomembni so tudi varni izhodi v primeru nesreč, Omosekejimi Ademola in drugi (2015) omenjajo še jasne usmerjevalne in druge oznake, ki pa obiskovalca naj ne usmerjajo k varnostno občutljivim prostorom. Zagotavljati morajo tudi osebno varnost obiskovalcev in zaposlenih, torej ustrezen nadzor nad osebami, ki vstopajo v zgradbo ali so prisotne v prostorih ter uporabljajo čitalniška mesta, naprave, knjižnično gradivo in storitve zaposlenih. Poleg varnostne službe pri tem knjižnice uporabljajo tudi različne elektronske naprave za kontrolo dostopa v zgradbo in v posamezne prostore, tehnologijo za zaščito gradiva pred krajo, videonadzor, elektronske varnostne sisteme, senzorske sisteme za beleženje okoljskih pogojev ipd. Knjižnično gradivo obsega zapise informacij na klasičnih nosilcih zapisa (npr. pergamentu, papirju, mikrofilmu) in elektronskih nosilcih (avdio in video kasete, CD-ji, DVD-ji ipd.). Klasično gradivo hranijo v skladiščnih prostorih, elektronsko pa v računalniških (digitalnih) skladiščih podatkov. Kahn (2008) opozarja, da predstavljajo nakup in skladiščenje ter fizično varovanje in zagotavljanje pogojev za ohranjanje knjižničnega gradiva ne glede na njegovo obliko, velik strošek. Opredelitev tveganj in zagotavljanje informacijske varnosti gradiva sta zato eni od najpomembnejših nalog in izzivov za knjižnice, še posebej tiste, ki opravljajo tudi arhivsko vlogo oziroma hranijo nacionalne zbirke ter redko in dragoceno gradivo. Varnost gradiva se ne zagotavlja le z zagotavljanjem pogojev za njegovo varno fizično hranjenje, ampak tudi za varno uporabo, tj. z registracijo uporabnikov, nadzorom uporabe ter varovanjem pred morebitno izgubo (odtujitvijo) gradiva. Za kontrolo dostopa, zaščito gradiva pred krajo, opravljanje inventurnih pregledov knjižnične zbirke in izposojo ter vračanje gradiva knjižnice najpogosteje uporabljajo tehnologijo 36

53 radiofrekvenčne identifikacije RFID 12, ki temelji na uporabi majhnih, običajno očesu nevidnih čipov, ki služijo hrambi podatkov, omogočajo identifikacijo objektov in jih je mogoče»brati«z razdalje. Poleg prednosti ima tovrstna tehnologija tudi slabosti, saj obstaja možnost nepooblaščenega dostopa do osebnih podatkov, pa tudi sledenju dejavnostim posameznikov ter ustvarjanje»profila«posameznika. Zagovorniki tehnologije sicer poudarjajo njeno tehnično zanesljivost in varnost, kljub temu naj bi se knjižnice zavedale varnostno-informacijskih tveganj in možnih groženj varovanju zasebnosti uporabnikov. Čip RFID, vključen v nalepko ali kako drugače prisoten na gradivu oziroma vključen v knjižnično elektronsko kartico, kot oddajnik signala namreč naj ne bi zagotavljal šifriranja podatkov, še zlasti v primeru uporabe cenejše tehnologije. Poleg možnosti fizičnega uničenja čipa RFID in nepooblaščenega prestrezanja signala obstaja nevarnost izgube ali odtujitve elektronske izkaznice. V primeru knjižnic je z vidika varovanja zasebnosti uporabnikov še posebej pomembno, da uporaba tehnologije RFID ne omogoča povezovanja med njihovimi osebnimi podatki in podatki o uporabljenem gradivu ter spremljanja njihovega gibanja v knjižničnih prostorih, za uporabo elektronskih informacijskih virov in storitev pa morajo imeti tudi druge načine identifikacije in avtorizacije Knjižnični katalogi in drugi elektronski informacijski viri Knjižnice za dostop do podatkov o informacijskih virih že dolgo ne uporabljajo več klasičnih kartičnih katalogov, ampak elektronske. Če so bili vanje vključeni bibliografski podatki o gradivu sprva dostopni le prek terminalov v prostorih knjižnic, so danes dostopni prek spleta. Spletni javno dostopni katalogi (OPAC) so centralizirani sistemi, ki vključujejo podatke o gradivu in njegovi izposoji ter uporabi drugih storitev avtomatiziranega knjižničnega sistema, v sistem pa je običajno prek interneta vključenih veliko število knjižnic ter njihovih uporabnikov. Med najbolj občutljivimi podatki, ki jih zbirajo knjižnice, so ravno podatki o izposoji gradiva, saj so povezani s podatki za identifikacijo posameznika, ki si želi gradivo izposoditi. Zato mora biti zagotovljeno online preverjanje identitete (avtentikacija) uporabnikov, npr. z uporabo gesel ter njihovim centraliziranim upravljanjem prek protokola LDAP. Preiskovanje zapisov o gradivu, rezervacije in njegova izposoja potekajo prek spletnih 12 Za izposojo in vračanje gradiva ter revizijo knjižničnih zbirk je v uporabi tudi elektromagnetna tehnologija, ki objekte identificira prek oznak s paličnimi kodami. 37

54 vmesnikov, prek interneta pa so možni poskusi vdora v sistem, zloraba podatkov ali njihovo uničenje. Knjižnice poleg katalogov s podatki o knjižničnem gradivu uporabnikom zagotavljajo tudi številne druge informacijske vire, npr. drage licenčno zaščitene baze podatkov ter servise z elektronskimi članki in knjigami v celotnem besedilu. Pri dostopanju do njih in pri njihovem preiskovanju uporabniki niso več odvisni od usposobljenega knjižničnega osebja, ki je nekoč zanje opravljalo informacijske poizvedbe. Hitro razvijajoča se in vedno bolj napredna iskalna orodja jim omogočajo samostojno in enostavno iskanje ter uporabo virov. Ob tem morajo knjižnice zagotavljati pooblaščeno uporabo posameznih informacijskih virov, skladno z licenčnimi pogodbami z njihovimi ponudniki in avtorsko pravno zakonodajo države. Batič in Šoštarič (2013) izpostavljata, da gre pri varnosti za dve ravni, tj. za uporabnikovo in za upravljavčevo. Uporabnik mora dobiti zagotovilo, da njegov pretok podatkov ne bo prestrežen oziroma se mu ne prisluškuje (kriptografska zaščita prometa), hkrati se mu ne sme onemogočati uporaba dodatnih varnostnih mehanizmov (npr. IPSec, VPN ). Upravljavcu omrežja pa morajo biti na voljo mehanizmi za preprečevanje neavtorizirane uporabe ne glede na stopnjo fizičnega varovanja. Zagotovljeno mora biti beleženje dogodkov in s tem omogočeno sledenje morebitnim zlorabam. In če so, kot navaja Kraft (2007, str. 10), v zgodnjih devetdesetih letih prejšnjega stoletja knjižnice še morale dodeljevati uporabniška imena in gesla za iskanje po vsaki posamezni bazi podatkov ter skrbeti za njihova stalna posodabljanja, dostop do virov pa z mest izven knjižnice ni bil mogoč, so s pojavom posredniških (ang. proxy) strežnikov lahko na enostavnejši način rešila vprašanje avtorizacije in avtentikacije ter zagotovila dostop do informacijskih virov prek oddaljenega dostopa. Danes vse več ponudnikov informacijskih virov omogoča avtentikacijo in avtorizacijo prek infrastrukture AAI, kar omogoča poenostavljen način upravljanja oddaljenega dostopa in večjo varnost informacijskih virov Podatki o uporabnikih knjižnic in o njihovih dejavnostih Knjižnice morajo zagotavljati varnost osebnih podatkov o uporabnikih in podatkov o njihovih dejavnostih v knjižnici. Poleg osebnih podatkov o uporabnikih, ki se včlanijo, posedujejo tudi podatke o njihovi uporabi knjižničnih storitev in informacijskih virov (npr. podatki o izposoji knjižničnega gradiva, rezervacijah in podaljševanju izposoje, uporabi elektronskih virov, 38

55 morebitnih neporavnanih obveznostih do knjižnice ipd.). Zagotavljati morajo varnost omenjenih podatkov ter njihovo zaščito pred uničenjem ali nepooblaščeno uporabo. Klinefelter (2007) ter Nichols Hess in drugi (2015) izpostavljajo pravne in etične dileme varovanja zasebnosti in zaupnosti podatkov o uporabnikih, ki se ob široki uporabi sodobne informacijske tehnologije in interneta množijo. Da ima lahko uporaba sodobne tehnologije negativen vpliv na raven varovanja zasebnosti uporabnikov knjižnic, opozarjata tudi Carter (2002) in Gressel (2014). Spletni iskalniki ohranjajo podatke o zgodovini dejavnosti uporabnikov na obiskanih spletnih straneh. Knjižnice so pri tem v dilemi, ali podatke ohranjati zaradi morebitnih raziskovalnih analiz, s katerimi bodo pridobile podatke o iskalni izkušnji uporabnikov, koristne za nadaljnji razvoj storitev, ali pa bodo sistematično ozaveščale uporabnike, da jih izbrišejo, ko prenehajo uporabljati sistem, še zlasti, če se morajo za njihovo uporabo na kakršen koli način identificirati (Newby, 2002). Dixon (2008) opozarja, da se knjižnice premalo zavedajo dejstva, da je lahko tudi sistem preverjanja identitete (avtentikacija) in upravljanja dostopa do omrežja (avtorizacija), ki se uporablja za dostop do večine elektronskih knjižničnih storitev, predmet zlorab. V obeh primerih gre za obdelavo podatkov, ki omogočajo ugotovitev identitete uporabnika in njegovih dejavnosti. Uporabnik knjižnice se mora za dostop do različnih storitev, baz podatkov in omrežij identificirati celo na različne načine, tj. z uporabo uporabniškega imena in gesla, digitalno identiteto, identifikacijsko številko, piškotki, naslov IP ipd., v nekaterih državah je dovoljena tudi biometrija. V primeru plačljivih baz podatkov in servisov njihovi ponudniki zahtevajo zbiranje podatkov o uporabniških dejavnostih, ki naj bi bili nujni zaradi razvoja t. i. individualnemu uporabniku prilagojenih storitev. Uporaba različnih orodij za analizo uporabe spletnih strani in zbiranje statistik lahko ob neprimerni uporabi ogrozi varnost podatkov o uporabnikih. Avtor zato poudari pomen spoštovanja zakonskih predpisov s področja varovanja osebnih podatkov, knjižnice morajo imeti tudi politike varovanja zaupnosti podatkov o uporabi knjižničnih storitev, npr. o izposoji gradiva in iskanih informacijah. Njihova etična dolžnost je, da so uporabniki seznanjeni z uporabo in hranjenjem osebnih podatkov in podatkov o uporabi knjižnice, in da pri načrtovanju sistemov avtentikacije skrbno preučijo ne le informacijsko varnostne vidike, ampak tudi njihove etične vidike. 39

56 Ena od metod za prepoznavo posameznika je biometrija 13. V svetu najdemo primere, ko jo uporabljajo tudi knjižnice. Biometrične sisteme je možno uporabiti pri kontroli vstopa v knjižnične prostore, izposoji gradiva, beleženju uporabe posameznih servisov in avtentikaciji dostopa do elektronskih informacijskih virov, v primeru zaposlenih pa za njihovo prepoznavanje ob vstopu v prostore in beleženje njihove delovne prisotnosti. Razmišljanja o možnostih uvedbe biometrične tehnologije so zato prisotna tudi v knjižničnem sektorju. Po tem, ko je ameriška Splošna knjižnica Naperville v Illinois-u leta 2005 po številnih razpravah uvedla biometrično metodo preverjanja prstnih odtisov za potrditev identitete članov knjižnice (ugotavljali so namreč, da je zlorab knjižnične kartice in gesel vedno več), so se v strokovni javnosti pojavila mnoga nasprotujoča si mnenja o tem. Med vnetimi zagovorniki uvajanja biometrije v knjižnice so indijski avtorji. Tako Ramesh (2012) izpostavlja prednosti tovrstne prepoznave posameznika, ki lahko pri uporabi za avtentikacijo zagotovi visoko stopnjo varnosti knjižnic in njihovih informacijskih sistemov. Tudi Rathinasabapath in drugi (2008) menijo, da je dolžnost knjižnic, da zagotovijo varnost tako v fizičnem (kontrola dostopa v prostore) kot elektronskem okolju (kontrola dostopa do računalniške opreme in omrežja), pri čemer lahko izrabijo prednosti biometrije. Izpostavljajo pa tudi slabosti biometrije z vidika varnosti informacij in možnih zlorab osebnih podatkov. V slovenskem prostoru knjižnice biometričnih metod ne uporabljajo Javno dostopne računalniške delovne postaje knjižnice Knjižnice morajo zagotavljati tudi varnost javno dostopnih računalniških postaj. Slednje večinoma niso namenjene le za dostopanje do spletnih knjižničnih katalogov, omogočajo tudi uporabo interneta, spletnih iskalnikov in različne programske opreme. Tveganja obstajajo na več področjih in terjajo ustrezne politike ravnanja, ki morajo določiti, v kakšne namene se lahko uporabljajo javno dostopne računalniške postaje, katerim področjem uporabe dati prednost oziroma za katere namene dovoliti uporabo, katere podatke o uporabnikih računalnikov zbirati ipd. Tveganja se nanašajo na nepooblaščeno uporabo računalnikov znotraj knjižnice, fizična 13 Biometrija je eden od načinov prepoznavanja oziroma preverjanja identitete. Ostali načini so znani že daljši čas, temeljijo na»tistem, kar oseba ima«(npr. magnetna kartica), ali na»tistem, kar oseba ve«(npr. osebno geslo ali koda PIN), biometrija pa sodi v tretjo skupino, ki temelji na»tistem, kar oseba je«, torej samo na njej lastni telesni oziroma vedenjski značilnosti. Takšen način preverjanja ima prednost pred klasičnimi načini, pri katerih se lahko npr. magnetne kartice izgubijo, jih kdo ukrade, posodi drugemu, osebna gesla se pozabijo ali razkrijejo, biometrične značilnosti pa ostanejo praviloma trajne, zelo majhna je možnost njihove izgube, težko jih je reproducirati ali prenesti na drugo osebo. 40

57 tveganja (kraja ali poškodovanje opreme) in tveganja pred nepooblaščenimi vstopi v računalniško omrežje knjižnice prek interneta. Politike se nanašajo tudi na zagotavljanje enakih možnosti dostopa do informacij katere storitve in oprema bodo na voljo posameznim skupinam uporabnikom in v katerih primerih uvajati omejitve. Poleg tega morajo knjižnice preprečevati uporabo računalniških postaj za nedovoljena ravnanja, da npr. ne bo javno na voljo programska oprema, ki to omogoča, onemogočiti morajo spreminjanje nastavitev, zagotavljati posodabljanje programske opreme ipd. Ellern in drugi (2015) se sprašujejo o nujnosti avtentikacije uporabnikov javnih računalnikov v knjižnicah, ki na eni strani pomeni oviro prostemu dostopu do informacij, na drugi strani pa omogoča višjo stopnjo informacijske varnosti. Po ameriški tragediji 9/11 je zlasti ameriška zakonodaja povečala pritisk na knjižnice, ki so prej omogočale prosto uporabo javnosti namenjenih računalniških postaj, ravno tako so prosto uporabo vedno bolj omejevale restriktivne licenčne pogodbe z dobavitelji informacijskih virov ter programske opreme. Zahteva, da se uporabnik prijavi na delovni postaji, je povezana s tveganjem, da bo nekdo zunaj nadzora knjižnice lahko dostopal do podatkov o informacijah, ki jih je iskal, in o njegovem informacijskem vedenju, poleg tega pomeni oviro prostemu in neoviranemu dostopu do informacij. Raziskava, ki so jo avtorji opravili med visokošolskimi knjižnicami v Severni Karolini (ZDA), je pokazala, da je na javnih računalnikih v 66 odstotkih knjižnic potrebna avtentikacija, a le v četrtini primerov so se knjižnice zanjo odločile same. Več kot polovica knjižnic ni dobro vedela, kateri podatki se pri tem zbirajo in kako dolgo se hranijo. Avtorji raziskave menijo, da se mnoge knjižnice ne zavedajo potencialnih varnostnih groženj, ki jih lahko ob pomanjkljivi varnostni politiki predstavljajo sistemi avtentikacije Internet Po podatkih organizacije Internet Systems Consortium je bilo v internet januarja 2016 vključenih mrežno dostopnih naprav z naslovi IP 14. Ker gre za omrežje omrežij, v katerega na različne načine dostopajo vsi posamezni vključeni računalniki, lahko organizacije in posamezniki dostopajo kadar koli do katere koli točke interneta ne glede na državne ali geografske meje. Hkrati z enostavnostjo dostopa do informacij, ki jo omogoča internet, se pojavljajo tudi številna tveganja, da bodo dragocene informacije izgubljene, ukradene, 14 Glej več: 41

58 spremenjene ali zlorabljene. Elektronsko zapisane informacije, dostopne prek računalnikov v omrežju, so zato bolj ranljive kot zapisane na klasičnih nosilcih zapisa in varno fizično shranjene na določeni lokaciji. V neustrezno zavarovanem omrežju lahko zlonamerne osebe dobijo dostop do informacij na dokaj preprost način. Nihče, ki je vključen v internet, zato ni varen pred možnostjo nepooblaščenega dostopa do informacij na njegovi računalniški postaji ali v omrežju organizacije. Povezava knjižnice v internet pomeni tudi, da je internet povezan s knjižnico. Orodja, ki zmanjšujejo tveganja, da bi potencialni vsiljivci lahko kradli, spreminjali ali brisali informacije, so požarni zidovi. Na prvi stopnji varujejo sistem pred nepooblaščeno uporabo, na drugi stopnji pa ločene konfiguracije lahko ščitijo posamezne občutljive sisteme znotraj knjižnice. V dnevniških datotekah protokola (ang. log file) je treba zbirati podatke s požarnega zidu in usmerjevalnikov (ang. routers) ter jih nenehno preverjati, konfigurirati avtomatska sporočila o poskusih vdorov, fizično ali logično ločiti naprave, ki so dostopne prek interneta od ostalih, ter uporabljati šifriranje (enkripcijo) pri prijavah ali elektronski pošti. Newby (2002) opozarja, da so knjižnice priključene na internet, vendar pa nimajo vse osebja, usposobljenega za zagotavljanje varnosti računalniškega omrežja pred nepooblaščenimi vdori ali napadi oziroma za izvajanje ustreznih ukrepov, če do tega pride. Čeprav je na voljo vedno več orodij za zaščito in odkrivanje tovrstnih poskusov, pa še tako napreden avtomatizirani sistem potrebuje tudi osebje, ki zna prepoznati nedovoljena ravnanja in primerno ukrepati, če do njih pride Mobilne naprave in lokalna brezžična omrežja Zahteva uporabnikov po dostopnosti informacijskih virov in storitev knjižnic prek mobilnih (prenosnih) naprav, in sicer tako v knjižničnih prostorih kot na daljavo, od koder koli in ob katerem koli času, je v družbi mobilnosti postala samoumevna. Ravno tako potrebe delovnih procesov, v katerih se delovne naloge opravljajo tudi prek mobilnih naprav in zunaj delovnega časa ter prostorov knjižnic. Bernik in Prislan (2012) opozarjata, da je uporaba mobilnih brezžičnih komunikacijskih naprav porušila mejo med komunikacijo v informacijskem sistemu organizacije in zunanjim svetom, tj. med notranjim informacijskim sistemom in zunanjim svetom. Dostop do pomembnih podatkov je postal preprost, z vidika informacijske varnosti pa premalo zavarovan in odpira mnoga varnostna vprašanja, povezana z dostopom do informacijskega sistema. Markelj (2014, str. 19) navaja, da je mobilna naprava nenehno izpostavljena različnim grožnjam, najbolj takrat, ko vzpostavi povezavo z javnim omrežjem in 42

59 lahko nekdo prestreže podatke ali se prek javno dostopne točke poveže z mobilno napravo in ima prek nje neoviran dostop do informacijskega sistema organizacije. Informacijska varnost organizacij je lahko ogrožena zaradi groženj, kot so vdori v informacijski sistem, prestrezanje podatkov, uporaba škodljivih programskih kod ali programov za vohunjenje in nadzor, socialni inženiring ipd. Organizacije morajo zato imeti dobro varnostno politiko, vključno s standardiziranimi navodili za varno uporabo mobilnih naprav ter izobraževanjem in ozaveščanjem njihovih uporabnikov. Skrbeti morajo za mrežni nadzor prometa, varne protokole za prenos podatkov, požarne zidove, šifriranje podatkov, varen sistem gesel ter avtentikacije in avtorizacije, nadzor nad mobilnim dostopom do informacijskega sistema itd. Pozornost je treba nameniti tudi uporabi prenosnih pomnilniških naprav, npr. ključkov USB, prek katerih se lahko s pomočjo škodljive kode okužijo lokalne računalniške delovne postaje ali opravijo ciljani napadi ter kraje podatkov. Da se organizacije premalo zavedajo varnostne grožnje, ki jo predstavljajo ključki USB, priča preizkus, ki so ga opravili v podjetju Safe Mode v sodelovanju s Fakulteto za varnostne vede Univerze v Mariboru (Primc, 2015). 25 podjetjem so poslali dopis s priloženim ključkom USB, ki naj bi ga najditelj našel pred vhodom v organizacijo in ga pošilja zato, ker meni, da so na ključku morebiti pomembni podatki za organizacijo. Kar 92 odstotkov prejemnikov je poslani ključek uporabilo, ne da bi pomislili na morebitno varnostno tveganje. Tehnologija lokalnih brezžičnih omrežij (WLAN) omogoča na osnovi radijskih valov povezovanje računalnikov in drugih naprav z vmesnikom WLAN (npr. dlančnikov, mobilnih telefonov, tiskalnikov, projektorjev) v lokalno omrežje organizacije brez uporabe ožičenja, s čimer je omogočena njihova mobilnost. Varnost oziroma ranljivost komunikacije znotraj omrežja je odvisna od konfiguracije naprav za brezžični pristop. Varnostno grožnjo predstavlja možnost prestrezanja, saj je nosilec/medij komunikacije zrak, in je kljub šifriranju prometa možno njegovo spremljanje (Socialni inženiring in kako se pred njim ubraniti? 2009, str. 11). Knez (2009, str. 37) opozarja, da v primerjavi s statičnimi omrežnimi priključki večjo grožnjo za varnost omrežja predstavljajo brezžične dostopne točke, v primeru katerih je način prenosa podatkov brezžičen in lahko uporabnik mobilne naprave»prisluškuje«pogovoru med posameznimi brezžičnimi napravami. O ukrepih, ki jih morajo izvajati knjižnice za varno uporabo brezžičnih omrežij tako s strani zaposlenih kot uporabnikov, piše Breeding (2005). Opozarja, da mora biti dostop do javnega 43

60 brezžičnega omrežja razmejen od dostopa do poslovnega omrežja knjižnice, ki vključuje različne občutljive podatke, kot so finančni in kadrovski, pa tudi podatki o članih in njihovi uporabi knjižničnih storitev, in da morajo knjižnice imeti tako za zaposlene kot uporabnike navodila o varni uporabi brezžičnih omrežij Uporaba storitev računalništva v oblaku V zadnjih letih so nove tehnologije začele izpodrivati klasično arhitekturo strežnika in odjemalca. Zaradi vse hitrejših spletnih povezav ter cenovne dostopnosti porazdeljenih računalniških sistemov so ponudniki informacijskih storitev dobili dostop do praktično neomejene računske moči, ki jo lahko v obliki različnih oblačnih storitev ponudijo potencialnim kupcem. V preteklosti je bil potreben nakup drage računalniške opreme in zagotavljanje njenega vzdrževanja, danes pa je mogoče zakupiti potrebno računsko moč le za določeno operacijo ali za določeno obdobje, ter jo plačati samo glede na trenutne potrebe. Računalništvo v oblaku odpravlja potrebo po vnaprejšnjem načrtovanju nakupov strojne opreme, ki je v preteklosti za organizacije predstavljalo velikanski izziv, vedno je bilo namreč treba tehtati med zmogljivostjo tehnologije ter njeno ceno, poleg tega pa tudi predvideti potrebe v prihodnjih letih. Storitev računalništva v oblaku, ki predstavlja novo možnost shranjevanja in obdelave podatkov, je postala še zlasti aktualna v zadnjih letih, ko so zaradi ekonomske krize organizacije prisiljene zmanjševati sredstva za nakup ter vzdrževanje informacijskih sistemov in opreme. Markelj in Zgaga (2013, str. 96) navajata, da postaja računalništvo v oblaku, še zlasti javni oblak, vedno bolj pomemben»prostor«, kamor uporabniki odlagajo svoje podatke oziroma ga uporabljajo za elektronsko pošto in kot sredstvo za neprestan dostop do podatkov z uporabo svoje mobilne naprave in interneta. Zaradi zahtev po varnosti podatkov so se pojavili tudi zasebni oblaki, kjer je za varnost načeloma poskrbljeno na višji ravni, kot v javnih oblakih. Zasebne oblake ponujajo vsi večji ponudniki informacijskih storitev (npr. Microsoft Azure, Amazon AWS itd.), nudijo pa vse od najema spletnega prostora oziroma posameznih storitev (npr. e-pošte), do klasičnega najema strežnikov. Organizacije, pri katerih bi lahko vdor in kraja dokumentov predstavljala večje tveganje za njihov obstoj, pa postavljajo kar svoje zasebne oblake, kar jim omogoči popolno kontrolo nad delovanjem sistemov. 44

61 Zaradi dinamičnega načina dela, ki ga omogoča računalništvo v oblaku, se pojavljajo številna nova vprašanja, povezana z zagotavljanjem informacijske varnosti. Čeprav je storitev bila poznana že prej, se je ravno zaradi možnosti mobilnega dostopanja do podatkov in aplikacij znotraj oblaka, še posebej javnega, obseg informacijskih tveganj oziroma groženj povečal, opozarjata Markelj in Bernik (2012). Vse bolj aktualno vprašanje varnosti in tveganj računalništva v oblaku izpostavlja tudi Zver (2011), ter predstavlja različne načine varovanja podatkov, kot so uporaba gesel, šifriranje podatkov ter uporaba elektronskih podpisov, s pomočjo katerih preprečujemo nepooblaščen dostop do njih. V primeru računalništva v oblaku gre za distribuiran informacijski sistem, za katerega je značilna razpršenost podatkov, izvajalcev in nadzornikov delovanja sistemov in obdelave podatkov. Tveganja so povezana s prenosom podatkov med informacijskim sistemom organizacije, uporabnikom in računalniškim oblakom, saj gre pri tem za uporabo različnih internetnih ponudnikov. Brez šifriranja podatkov in kontrole dostopa do njihove uporabe je njihova varnost ogrožena. Varnostne dileme se nanašajo tudi na samo hranjenje podatkov. Ob prenosu informacij v računalniški oblak se morajo zato organizacije zavedati tudi določenih tveganj, kajti informacije in upravljanje z njimi prenesemo na ponudnika oblaka 15. Z razvojem ponudbe računalništva v oblaku je objavljenih tudi več prispevkov, smernic in navodil o varni uporabi tega servisa v knjižnicah. Tako Breeding (2011), eden od najbolj znanih avtorjev s področja uporabe sodobnih tehnologij v knjižnicah, navaja, da je v zadnjih letih ravno računalništvo v oblaku prineslo najbolj radikalne spremembe v procese avtomatizacije knjižnic. Tehnologija računalništva v oblaku omogoča knjižnicam pri gradnji in ponudbi storitev digitalne knjižnice nove možnosti, hkrati pa tudi informacijsko-varnostno grožnjo, tako z vidika možne izgube podatkov kot tudi njihove nepooblaščene uporabe ali uničenja. A kot poudarja Rhodes-Ousley (2013, str ), lahko pomeni izbira zaupanja vrednega ponudnika računalništva v oblaku tudi nižje stroške in večjo kakovost informacijske varnosti. Kot najprimernejši način gostovanja se v strokovnih člankih omenja gostovanje programske opreme (SAS software as a service), kar pomeni, da knjižnica dobi dostop do želene programske 15 Računalništvo v oblaku prinaša tudi varnostna tveganja na področju zavarovanja osebnih podatkov. Smernice za upravljavce zbirk osebnih podatkov najdemo v dokumentu Informacijskega pooblaščenca RS Varstvo osebnih podatkov & računalništvo v oblaku, dostopnem prek: 45

62 opreme (npr. EZ Proxy, elektronska pošta), ne ukvarja pa se s samim vzdrževanjem teh storitev, plačuje le mesečno oziroma letno naročnino. V slovenskih knjižnicah se na področju oblačnega računalništva stvari premikajo nekoliko počasneje kot v ostalem razvitem svetu 16. Predvidevamo, da se bo večja selitev v oblačne storitve začela, ko bo trenutna strežniška in programska opreme zastarela do ravni, ko je ne bo več mogoče vzdrževati ter zagotavljati njenega zanesljivega delovanja, naložbe v novo pa knjižnice zaradi pomanjkanja investicijskih sredstev ne bodo sposobne financirati. Rešitev bo v najemu oblačnih storitev, pri katerih se strošek obratovanja razdeli na mesečne obroke in ne terja večje začetne investicije. Koliko in za katere namene bodo knjižnice (lahko) uporabljale Državni računalniški oblak (DRO) 17, v tem trenutku še ni znano. Tudi sistem COBISS, ki ga uporabljajo slovenske knjižnice, predstavlja neke vrste gostovanja v računalniškem oblaku, vendar pa dostop do storitev sistema za zaposlene v knjižnicah ni mogoč znotraj brskalnikov, ampak je potrebna namestitev lahkega odjemalca, razvitega v programskem okolju Java. To predstavlja precejšen izziv sistemskim administratorjem, ki morajo skrbeti za posodobitve programske podpore Java na službenih delovnih postajah zaposlenih. Nekatere knjižnice uporabljajo različne oblačne storitve, ki jih ponuja Arnes, kot so na primer gostovanje elektronske pošte, gostovanje spletnih strani in gostovanje spletnih učilnic (Moodle). Podjetje OCLC pa ponuja storitev gostovanja programske opreme EZ Proxy, kar pomeni, da celotno strežniško infrastrukturo in programsko opremo vzdržuje OCLC, knjižnica pa v zameno plačuje mesečno najemnino ter skrbi za posodabljanje baze upravičencev, ki lahko dostopajo do posamezne storitve. 16 Knjižnice po svetu uporabljajo različne storitve računalništva v oblaku, npr. programska orodja OCLC QuestionPoint za online referenčno delo, WorldCat in FirstSearch za gradnjo in uporabo knjižničnega kataloga, za katalogizacijo se uporablja npr. sistem biblios.net. Knjižničarji uporabljajo tudi različne aplikacije Googla, Microsoft Sharepoint, Libguides, LibraryThing, storitve obveščanja SMS, družbena omrežja itd. 17 Državni računalniški oblak (DRO) je računalniška infrastruktura v lasti in upravljanju države, namenjena storitvam, ki uporabljajo podatke in informacije, ki jih država ne želi shranjevati izven svojega okolja. 46

63 3.2.8 Socialni inženiring Informacijski pooblaščenec RS navaja, da po svoji naravi pomeni socialni inženiring predvsem pridobivanje nekih koristi z zlorabo zaupanja posameznika oziroma z manipulacijo. Socialni inženir z zlorabo zaupanja, z uporabo socialnih veščin oziroma psiholoških tehnik pridobi od žrtve osebne podatke in jih uporabi za pridobivanje večinoma premoženjskih koristi, lahko pa jih pridobi tudi za namene izsiljevanja, groženj, šikaniranja ipd. V sodobni informacijski družbi je izmenjava informacij zelo dinamična in zaznamuje tudi način življenja ter delovanja posameznika. Naravno nagnjenje človeka k zaupanju ter na drugi strani želja po hitrem zaslužku ali drugih koristih, vodijo do raznolikih primerov socialnega inženiringa, ki s pomočjo sodobne tehnologije postaja resna grožnja informacijski varnosti (Socialni inženiring in kako se pred njim ubraniti?, 2009). Tehnike socialnega inženiringa so različne. Socialni inženir lahko informacije pridobiva s pomočjo interneta (z uporabo spletnih iskalnikov, družbenih omrežij, ribarjenja, zvabljanja, slepljenja ali z uporabe zlonamernih kod), prek telefona, z neposrednim pristopom ali anketo, tehniko gledanja čez ramo ali brskanjem po smeteh, z namestitvijo zlonamerne kode na nosilce podatkov (npr. na ključke USB), pa tudi s prestrezanjem prometa v brezžičnem omrežju. Da bi morale biti knjižnice ozaveščene tudi o informacijski grožnji, ki jo predstavlja socialni inženiring, opozarja avtorica Thompson (2006). Ker v primeru socialnega inženiringa ne gre le za vprašanje tehnične zaščite pred poskusi nepooblaščenih vdorov v informacijski sistem, ampak tudi za zaščito pred zlorabo zaupanja zaposlenih, so knjižnice še posebej ranljive. Socialni inženiring je lahko glede na uporabljeno metodo ne-tehnični, pri katerem gre za osebni pristop, ali tehnični, ki je povezan v prvi vrsti z računalniško tehnologijo in internetom. Avtorica navaja, da prevaranti niti ne potrebujejo posebnih tehničnih znanj, saj lahko na osnovi zlorabe zaupanja zaposlenih v knjižnici in manipuliranja z njihovimi čustvi, pridobijo katere koli želene informacije, tako osebne podatke kot podatke za dostop do računalniškega sistema. Knjižnice so tarča socialnega inženiringa zlasti na mestih, kjer posredujejo informacije in pomoč uporabnikom. Prevaranti predhodno dobro preučijo javno dostopne podatke o knjižnici in pri stiku s knjižničnim osebjem na lahek način pridobijo ustrezno zaupanje. Najbolj privlačne tarče socialnega inženiringa so osebni podatki o članih knjižnice, dragi, licenčno zaščiteni elektronski informacijski viri, internetne povezave in javno dostopne računalniške delovne postaje. 47

64 Knjižnice so po mnenju avtorice Thompson (2006) za socialni inženiring ranljive zaradi dveh temeljnih razlogov, tj. zaradi neozaveščenosti oziroma nepoučenosti zaposlenih ter t. i. psihologije organizacije, ki knjižničarjem narekuje izpolnjevanje informacijskih zahtev uporabnikov brez dvoma o njihovi morebitni zlonamernosti. Pred socialnim inženiringom se lahko zaščitijo z ozaveščenostjo o tovrstni možnosti napadov, oblikovanjem politike njihovega preprečevanja in izobraževanjem zaposlenih za njihovo uresničevanje. 4 INFORMACIJSKA VARNOST V SLOVENSKIH KNJIŽNICAH 4.1 Literatura o vprašanjih informacijske varnosti knjižnic Objavljenih strokovnih prispevkov o vprašanjih informacijske varnosti v slovenskih knjižnicah zasledimo le nekaj. Večina se jih nanaša na splošne knjižnice, ki so samostojne pravne osebe in kot takšne same odgovorne za zagotavljanje informacijske varnosti v organizaciji 18. Ob pregledu in analizi stanja informacijske infrastrukture Knjižnice Ivana Tavčarja Škofja Loka Markelj (2009) v diplomski nalogi ugotavlja, da imajo enote knjižnice vsaka svoj lasten informacijski sistem brez centralnega nadzora in upravljanja, kar med drugim pomeni tudi grožnjo varnosti celotnega sistema. Avtor zato predstavi model centralnega upravljanja informacijskega sistema ter pogoje za vzpostavitev varnega komunikacijskega kanala med centralo in posameznimi oddaljenimi lokacijami ter obratno (omrežje VPN). S pomočjo protokola VPN bi tako več oddaljenih samostojno delujočih omrežij povezali v enoten sistem,»v katerem bi komunikacija potekala na ravni 'enega varnega omrežja'.«(markelj 2009, str. 9) Avtor predlaga tudi namestitev ustrezne strežniške strojne in programske opreme, ki bi omogočila zaščito pred vdori ter celovito varovanje informacij. 18 Ostale javne knjižnice, z izjemo NUK in Centralne tehniške knjižnice Univerze v Ljubljani, opravljajo knjižnično dejavnost kot organizacijske enote ali kot podporne službe izvajanju dejavnosti matičnih organizacij v visokem šolstvu, šolstvu, kulturi, znanosti itd.. 48

65 Gerdin (2009) v magistrski nalogi predstavlja možnosti uporabe tehnologije za radiofrekvenčno identifikacijo (RFID) v slovenskih splošnih in visokošolskih knjižnicah. Pri tem opozarja tudi na vprašanje varnosti in ranljivosti sistemov RFID ter posledic nepooblaščenih vstopov (vdorov) vanje. Slednji predstavljajo nevarnost za krajo ali ponarejanje identitete, kopiranje, spreminjanje ali uničenje podatkov, zlorabo osebnih podatkov ipd. Tehnologija RFID se v knjižnicah po svetu uporablja že skoraj dve desetletji, in sicer za identifikacijo knjižničnih gradiv, njihovo samopostrežno izposojo in vračanje ter razvrščanje, pa tudi za nadzor pristopa v knjižnične prostore, nadzor oziroma varovanje gradiva pred krajami ter identifikacijo uporabnikov (članske izkaznice). Tehnologija zagotavlja sledljivost gradiva hkrati pa lahko predstavlja grožnjo za zasebnost obiskovalcev knjižnic. S pomočjo ankete med vodji slovenskih knjižnic je avtor pridobil podatke o poznavanju tehnologije RFID ter njenih prednosti in slabosti, zanimalo ga je tudi mnenje o nevarnosti njene uporabe v knjižnicah (možnost vdora v zasebnost obiskovalcev in zaposlenih). V priročniku Informacijsko-komunikacijska tehnologija v splošnih knjižnicah (Karun in drugi, 2010), namenjenemu knjižnicam kot pripomoček pri načrtovanju in upravljanju informacijskih sistemov, avtorji izpostavljajo tudi varnostne vidike. Tako avtorica Sirk (2010, str. 7 9) opozarja na pomen ustreznega dokumentiranja stanja in sprememb informacijskokomunikacijske opreme, ter pravil za zaposlene o dostopu, uporabi, zavarovanju, spreminjanju in posredovanju podatkov. Za uporabnike knjižnice pa je treba določiti pravila na administrativni ravni informacijskega sistema. Informacijski varnosti je namenjeno posebno poglavje (Sirk in Kuhar, 2010), v katerem avtorja predstavita oblike in načine varovanja informacij pred varnostnimi grožnjami v splošnih knjižnicah, in sicer zaščito s programsko opremo, varnostnimi kopijami, strojnimi požarnimi zidovi ter organizacijo informacijskega sistema knjižnice. Poudarjata tudi, da je pomemben vidik zaščite informacijskega sistema tudi osebna odgovornost sistemskih administratorjev, informatikov in zaposlenih v knjižnici, redne kontrole sistema v skladu s standardi ter sprejeta varnostna politika. Vprašanja informacijske varnosti izbrane splošne knjižnice so bila predmet diplomske naloge avtorice Sirk (2013). V nalogi obravnava uvajanje sistema za upravljanje varovanja informacij na osnovi standarda ISO/IEC 27001:2005 v Mariborsko knjižnico. Avtorica ugotavlja, da knjižnica dokumenta, ki bi varnostno politiko obravnaval na ravni celotne organizacije, še nima, obstaja pa več dokumentov, ki se nanašajo na posamezna področja varovanja podatkov, v prvi vrsti na področje varovanja osebnih podatkov. Dokumente bi bilo treba prenoviti, vzpostaviti 49

66 procese za njihovo posodabljanje ter razširiti njihovo uporabnost na varovanje informacij in informacijskih sredstev. Identificira tudi dokumente, ki jih predpisuje omenjeni standard, pa jih knjižnica še nima, in postopke ter ukrepe, ki jih bo treba uvesti 19. Ker ima knjižnica že vzpostavljen in delujoč sistem vodenja kakovosti po standardu ISO 9001, avtorica predstavi tudi model možne integracije sistema upravljanja varovanja informacij v že obstoječi sistem vodenja kakovosti v knjižnici. V prispevku o informacijsko-komunikacijski opremi v slovenskih splošnih knjižnicah avtorica Bon (2013) predstavlja stanje informacijsko-komunikacijske tehnologije v letu 2010 in rezultate primerja z nekaterimi domačimi in tujimi strokovnimi priporočili ter razvojnimi dokumenti. Čeprav je vprašalnik vključeval tudi vprašanja s področja zagotavljanja informacijske varnosti, avtorica pojasnjuje, da:»analiza podatkov o komunikacijskih povezavah na internet ter o strežnikih in varnosti informacijskih sistemov ni bila pripravljena, ker o tem ni bilo zbranih dovolj med seboj primerljivih podatkov.«(bon 2013, str. 70) V analiziranem letu so knjižnice skupaj imele 1266 računalniških delovnih postaj za zaposlene in 1346 za uporabnike, med njimi kar 43 odstotkov starih pet ali več let, z nameščeno programsko podporo, ki bi brez ustrezne posodobitve lahko predstavljala varnostno tveganje za osebne in poslovne podatke. Manj kot polovica knjižnic je zaposlovala lastno strokovno osebje, usposobljeno za vzdrževanje informacijske tehnologije, ostale so za njeno upravljanje, tudi za skrb za varnost in hranjenje podatkov, morale najemati zunanje izvajalce. 4.2 Zakonodaja na področju varovanja informacij Specialni zakon za področje delovanja slovenskih javnih knjižnic, tj. Zakon o knjižničarstvu (ZKnj-1), določb, ki bi se nanašale na informacijsko varnost, ne vključuje, izjema so določbe v 15. členu zakona, ki se nanašajo na varovanje osebnih podatkov o članih knjižnic. Omenjene podatke knjižnice zbirajo zaradi zagotavljanja sledljivosti izposojenega knjižničnega gradiva, obnavljanja poškodovanega knjižničnega gradiva, izpolnjevanja pogodbenih obveznosti, vezanih na uporabo določenih vrst knjižničnega gradiva, izpolnjevanja obveznosti, vezanih na avtorske in sorodne pravice in podobno. Zakon opredeljuje namen zbiranja osebnih podatkov 19 Knjižnica je kot enega od strateških ciljev za obdobje izpostavila organizacijo informacijskega sistema ter ciljno načrtovanje in umeščanje informacijsko-komunikacijske tehnologije v poslovanje knjižnice, med načrtovane ukrepe pa tudi ukrepe za zagotovitev optimalne varnosti informacijskega sistema (Strateški načrt Mariborske knjižnice , 2014). 50

67 in našteje, katere smejo knjižnice zbirati in obdelovati v skladu s predpisi o varstvu osebnih podatkov. Osebni podatki o članih se v zbirki osebnih podatkov lahko vodijo še največ eno leto od poteka članstva v knjižnici, nato se morajo izbrisati oziroma anonimizirati. Če ima član v tem času še neporavnane obveznosti do knjižnice, se njegovi osebni podatki izbrišejo oziroma anonimizirajo, ko so obveznosti poravnane. Na različne vidike varovanja informacij se v Sloveniji sicer nanaša več zakonskih predpisov, ki so relevantni tudi za poslovanje knjižnic: Zakon o elektronskih komunikacijah (ZEKom-1): v poglavju o varnosti omrežij in storitev ter delovanju v izjemnih stanjih, določa dolžnosti operaterjev, ki so odgovorni za delovanje komunikacijskih omrežij. Le-ti morajo sprejeti ustrezne tehnične in organizacijske ukrepe za obvladovanje tveganja za varnost omrežij in storitev, med ukrepe sodi tudi sprejem in izvajanje ustreznega varnostnega načrta, zagotovitev celovitosti omrežij in neprekinjeno izvajanje storitev prek omrežij. Pristojno agencijo so dolžni obveščati o zaznanih kršitvah varnosti omrežij in storitev. Zakon vključuje tudi določbe o obdelavi osebnih podatkov in varstvu zasebnosti elektronskih komunikacij. Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP): ureja poslovanje v elektronski obliki z uporabo informacijske in komunikacijske tehnologije in uporabo elektronskega podpisa v pravnem prometu. Določa, da je varen elektronski podpis tisti, ki je overjen s kvalificiranim potrdilom, overitelji, ki opravljajo storitve varnega elektronskega podpisovanja, pa morajo v svojih notranjih pravilih upoštevati zakonsko predpisane varnostne zahtevke. Kvalificirano potrdilo mora overitelj nemudoma preklicati, če bi bil njegov informacijski sistem ali informacijski sistem imetnika potrdila ogrožen. Preprečevati mora nepooblaščen dostop do podatkov za elektronsko podpisovanje ter voditi dokumentacijo o varnostnih ukrepih. Zaposlovati mora strokovno usposobljeno osebje tudi z znanji s področja varnostnih postopkov ter uporabljati zanesljive sisteme in opremo, ki so zaščiteni pred spreminjanjem, zagotavljajo tehnično in kriptografsko varnost poslovanja ter omogočajo odkrivanje sprememb na preprost način. Zakon o elektronskem poslovanju na trgu (ZEPT): obsega določbe o načinu in obsegu elektronskega poslovanja na trgu, na področje informacijske varnosti pa se nanašajo 51

68 določbe o odgovornosti ponudnikov posredovalnih storitev in ponudnikov shranjevanja podatkov. Kazenski zakonik (KZ-1): opredeljuje ravnanja, ki se posredno ali neposredno nanašajo na vdore v računalniški sistem ali na nepooblaščeno spreminjanje podatkov, ter določa kazni za takšno ravnanje. Posamezni členi se nanašajo na zlorabo osebnih podatkov, napad na informacijski sistem in vdor v poslovni informacijski sistem. Zakon o varstvu osebnih podatkov (ZVOP-1): ena od ustavnih pravic državljanov Slovenije je pravica do zasebnosti, zato se morajo osebni podatki obdelovati zakonito in pošteno, pri čemer mora biti zagotovljena tudi njihova sorazmernost obdelujejo se lahko le osebni podatki, ki so ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in obdelujejo. Zagotovljena mora biti tudi sledljivost njihovega posredovanja. Zakon o Informacijskem pooblaščencu (ZInfP): s sprejetjem zakona novembra 2005 je bil decembra istega leta ustanovljen samostojen in neodvisen državni organ, ki pokriva področje varstva osebnih podatkov in področje dostopa do informacij javnega značaja. V primeru prvega je Informacijski pooblaščenec RS nadzorni organ, v primeru drugega pa prekrškovni organ. Z vstopom Slovenije v schengensko območje leta 2007 je postal tudi neodvisen nadzorni organ, pristojen za nadzor in uporabo podatkov v schengenskem informacijskem sistemu. S sprejetjem zakona je bila v pravni red Republike Slovenije prenesena Direktiva 95/45/ES Evropskega parlamenta in Sveta o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov. Zakon o dostopu do informacij javnega značaja (ZDIJZ): ureja postopek, ki vsakomur omogoča prost dostop in ponovno uporabo informacij javnega značaja, opredelitev tovrstnih informacij ter register zavezancev za njihovo posredovanje. Zakon vključuje tudi določila o ponovni uporabi informacij javnega značaja, ki jih posedujejo knjižnice. Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA): ureja način, organizacijo, infrastrukturo in izvedbo zajema ter hrambe dokumentarnega gradiva v fizični in elektronski obliki ter veljavnost, varstvo javnega in zasebnega arhivskega gradiva, pogoje za njegovo uporabo in nadzor nad izvajanjem zakonskih predpisov. V primeru ohranjanja dokumentarnega gradiva oziroma uporabnosti njegove vsebine sledi konceptualnemu 52

69 modelu CIA hramba omenjenega gradiva mora zagotavljati njegovo trajnost, celovitost in dostopnost. Tudi v primeru arhivskega gradiva mora biti, ne glede na njegovo obliko ali nosilec zapisa, zagotovljeno njegovo trajno in strokovno neoporečno hranjenje, ki zagotavlja ohranitev zapisanih informacij. V posebnem poglavju določa pogoje hrambe gradiva v digitalni obliki z vidika strojne in programske opreme ter s tem povezanih storitev, predpisuje tudi, da pogoje in notranja pravila podrobneje predpiše vlada Republike Slovenije. V skladu z zakonsko določbo je bila leta 2006 sprejeta Uredba o varstvu dokumentarnega in arhivskega gradiva (UVDAG), Arhiv Republike Slovenije pa je leta 2013 sprejel dokument Enotne tehnološke zahteve (ETZ), ki podrobneje opredeljuje poslovne, organizacijske in tehnološke pogoje za izpolnjevanje določb zakona in podzakonskih predpisov. Zakonsko pa še ni urejeno področje kibernetske varnosti. Vlada RS je februarja 2016 sprejela dokument Strategija kibernetske varnosti (2016), ki predstavlja podlago za sistemsko ureditev tega področja varnosti in vzpostavitev sistema zagotavljanja visoke ravni kibernetske varnosti do leta Dokument poudarja, da je okrepitev celotnega sistema nujna zaradi vedno večjega pomena kibernetske varnosti za nemoteno delovanje sistemov, od katerih je odvisno delovanje celotne družbe. S hitrim razvojem informacijsko-komunikacijskih tehnologij se pojavljajo tudi vedno nove in tehnološko vse bolj dodelane kibernetske grožnje. Dokument opredeljuje kibernetsko varnost kot skupek aktivnosti in drugih (tehničnih in ne-tehničnih) ukrepov, katerih namen je zaščititi računalnike, računalniška omrežja, strojno in programsko opremo ter informacije, ki jih le-ta vsebuje in obravnava, kar vključuje programsko opremo in podatke kot tudi druge elemente kibernetskega prostora, pred vsemi grožnjami, vključno z grožnjami nacionalni varnosti (Strategija kibernetske varnosti 2016, str. 4). V javnem sektorju je za področje informacijske varnosti pristojen Direktorat za informatiko pri Ministrstvu za javno upravo. Direktorat izvaja osrednje naloge na normativnem in operativnem področju informacijske in kibernetske varnosti. Pomembna je tudi njegova dejavnost na področju spremljanja in analize varnostnih incidentov v informacijskih sistemih državne uprave. Z vprašanji informacijske varnosti se ukvarja tudi Direktorat za informacijsko družbo, ki podpira različne projekte, npr. portala Safe.si in Varni na internetu ter prijavno točko Spletno oko. 53

70 4.3 Knjižnice in knjižnični sistem Slovenije Knjižnična dejavnost se v Sloveniji izvaja kot knjižnična javna služba ali kot dejavnost, potrebna za izvajanje javne službe na področju vzgoje in izobraževanja. Izvajajo jo splošne, šolske, visokošolske, specialne in nacionalna knjižnica, ter knjižnični informacijski servis, ki skrbi za delovanje in razvoj knjižničnega informacijskega sistema. Temeljni predpis, ki ureja knjižnično dejavnost, je Zakon o knjižničarstvu (ZKnj-1). Zakon o obveznem izvodu publikacij (ZOIPub) določa namen in predmet obveznega izvoda, zavezance za obvezni izvod ter naloge depozitarnih organizacij, ki obvezni izvod sprejemajo, hranijo, obdelujejo in zagotavljajo njegovo dostopnost. Predmet obveznega izvoda so tako tiskane kot elektronske publikacije. Funkcijo nacionalne depozitarne organizacije, odgovorne za trajno ohranjanje narodove pisne kulturne dediščine, izvaja NUK. Podrobneje dejavnost knjižnic določajo podzakonski predpisi (Pravilnik o pogojih za izvajanje knjižnične dejavnosti kot javne službe, Uredba o osnovnih storitvah knjižnic, Pravilnik o osrednjih območnih knjižnicah, Pravilnik o razvidu knjižnic) in drugi dokumenti, kot so različna navodila, standardi in strokovna priporočila, ki zagotavljajo poenoteno oziroma usklajeno delovanje knjižnic ter ponudbo njihovih storitev. Vse vrste knjižnic je v enoten knjižnični sistem povezal leta 1982 sprejeti Zakon o knjižničarstvu. Knjižnični sistem je utemeljil z organizacijo in delovanjem knjižnic na enotnih strokovnih standardih, pravilih in priporočilih za izvajanje delovnih procesov in storitev ter na koordiniranem razvoju mreže knjižnic. Temeljni cilj delovanja knjižnic v okviru enotnega knjižničnega sistema je zagotavljanje dostopnosti osnovnih knjižničnih storitev pod enakimi pogoji vsem prebivalcem Slovenije. Ob koncu leta je v knjižničnem sistemu delovalo 826 knjižnic s 1399 enotami, zabeležile so skoraj 17 milijonov obiskovalcev in več kot 32 milijonov izposoj knjižničnega gradiva (Tabela 4.1). 20 V času priprave magistrske naloge podatki o dejavnosti knjižnic v letu 2016 še niso bili na razpolago. 54

71 Tabela 4.1: Slovenske knjižnice na dan nacionalna visokošolske splošne specialne šolske SKUPAJ knjižnica knjižnice knjižnice knjižnice knjižnice upravne enote izposojevališča knjižnična zbirka (enot) člani obisk izposoja (enot) čitalniški sedeži neto površina knjižnice (m2) računalniške postaje (os. rač.) strokovni delavci (EPZ) nakup gradiva (EUR) Vir: BibSiSt Online (25. marec 2017); Ambrožič, lastna raziskava (2017) 4.4 Nacionalni knjižnični informacijski sistem Velik del dejavnosti slovenskih knjižnic poteka v okviru sistema COBISS (Kooperativni online bibliografski sistem in servisi), ki predstavlja organizacijski model povezovanja vseh vrst knjižnic v enoten knjižnični informacijski sistem Slovenije na osnovi standardizirane in vzajemne bibliografske obdelave knjižničnega gradiva ter enotnega vodenja katalogov in bibliografij. Sistem COBISS se je začel uporabljati leta 1987 kot skupna osnova knjižničnega informacijskega sistema in sistema znanstvenih in tehnoloških informacij Jugoslavije, vse od takrat za njegovo delovanje in razvoj skrbi Institut informacijskih znanosti Maribor (dalje IZUM). Ob razpadu Jugoslavije leta 1991 je v sistemu sodelovalo 55 knjižnic iz nekdanjih republik takratne skupne države. Danes knjižnice zunaj Slovenije v svojih državah na platformi COBISS gradijo avtonomne nacionalne knjižnične informacijske sisteme, povezane v omrežje COBISS.Net. Sistem COBISS zagotavlja knjižnicam uporabo številnih servisov, ki podpirajo njihovo dejavnost, uporabnikom pa hiter in enostaven online dostop do različnih informacijskih virov in storitev. Programska podpora omogoča kooperativno bibliografsko obdelavo knjižničnega 21 Meritve šolskih knjižnic (knjižnice v osnovnih in srednjih šolah, višjih strokovnih šolah in zavodih za izobraževanje otrok in mladostnikov s posebnimi potrebami) za šolsko leto 2015/16 so bile opravljene v decembru Od 612 šol jih je podatke posredovalo 577 (Lesjak in Bahor, 2017). 55

72 gradiva (bibliografski zapisi se lahko prevzemajo tudi iz kataloga ameriške Kongresne knjižnice in drugih tujih baz podatkov), nabavo in izposojo gradiva, vodenje podatkov o zalogi in inventuro knjižnične zbirke, normativno kontrolo osebnih in korporativnih imen, medknjižnično izposojo ter posredovanje dokumentov v elektronski obliki, izposojo elektronskih knjig prek portalov za izposojo e-knjig, obveščanje uporabnikov po e-pošti in SMS, izvajanje referenčnega servisa Vprašaj knjižničarja itd. Uporabniki lahko prek aplikacije COBISS+ in njegove mobilnim napravam prilagojene različice mcobiss dostopajo do knjižničnih katalogov ter domačih in tujih baz podatkov in servisov. Storitev Moja knjižnica jim omogoča rezervacijo gradiva in njegovo izposojo ter podaljševanje roka izposoje, informacijske vire lahko uporabljajo prek oddaljenega dostopa z avtentikacijo Shibboleth prek Federacije Arnes AAI ali federacije COBISS AAI, na voljo jim je Metaiskalnik za hkratno iskanje po več elektronskih informacijskih virih ter povezovalnik OpenURL, uporabljajo lahko brezžično omrežje Libroam in vzporedno tudi Eduroam prek centralne avtorizacije v IZUM. Z nacionalnim knjižničnim informacijskim sistemom COBISS.SI je neposredno povezan nacionalni informacijski sistem o raziskovalni dejavnosti (SICRIS), kar omogoča enoten in racionalen sistem vodenja bibliografij raziskovalcev ter informacijsko podlago za vrednotenje uspešnosti slovenskih raziskovalcev in za habilitacijske postopke v visokem šolstvu. Sistem COBISS je tudi informacijska podlaga za izplačevanje knjižničnega nadomestila avtorjem objavljenih del. Ob koncu leta 2016 je v sistemu COBISS.SI sodelovalo 490 slovenskih knjižnic polnopravnih članic in 177 knjižnic pridruženih članic, vzajemna bibliografsko-kataložna baza podatkov COBIB.SI je vključevala bibliografskih zapisov o gradivu knjižnic, lokalne baze knjižnic pa skupaj zapisov. V okviru regionalne mreže je v sistem COBISS.Net bilo vključenih tudi 345 knjižnic držav Jugovzhodne Evrope, in sicer Srbije, Republike Srbske, Albanije, Makedonije, Bosne in Hercegovine, Črne gore in Bolgarije (Letno poročilo o delu IZUM za leto 2016, 2017). 4.5 Informacijska varnost nacionalnega knjižničnega informacijskega sistema V skladu s svojo varnostno politiko zagotavlja IZUM informacijsko varnost knjižničnega informacijskega sistema na več ravneh, in sicer: nemoteno delovanje strojne, programske in komunikacijske opreme; 56

73 nadzor informacijske strukture; omejitev fizičnega dostopa do podatkovnega centra; zaščita integritete podatkov; tehnično varovanje prostorov in opreme; varnostno kopiranje podatkov; varovanje osebnih podatkov. Idealna bi bila podvojitev vseh računalniških strojnih komponent 22, tako da bi ob morebitnih okvarah rezervne komponente lahko takoj prevzele delo. To v celoti sicer ni izpolnjeno, je pa v vsakem trenutku dovolj prostih kapacitet strojne opreme, da lahko IZUM po potrebi ustrezno reagira. Z vzdrževalci najbolj kritične opreme ima IZUM sklenjene vzdrževalne pogodbe, ki zagotavljajo ustrezne odzivne čase in ukrepanje. Podobno velja za komunikacijsko infrastrukturo in sistemsko programsko opremo (ki je seveda vsa, bodisi regularno licenčno nabavljena, bodisi je odprtokodna). Programska oprema, ki jo je razvil IZUM, je pred produkcijo temeljito preverjana po pravilih stroke. Napačno delovanje je praktično izključeno, za morebitne izpade ali nepredvidene okoliščine pa veljajo natančno predpisani protokoli. IZUM ima lasten računski oziroma podatkovni center, zgrajen leta 2015 po najsodobnejših standardih. Podzemni prostori so na potresno zelo varni geografski lokaciji, kjer je tudi poplavna ogroženost med najnižjimi v državi. Center ima podvojeno energetsko napajanje (dve fizično ločeni veji, trojni sistem za brezprekinitveno napajanje 24-urna avtonomija) in podvojeno infrastrukturo za nemoteno tehnično hlajenje z avtonomijo hladne vode. Pred nevarnostjo požara ščiti dvojni sistem zaznavanja požara (aspiracijski in klasični) ter popoln protipožarni in gasilni sistem (plin NOVEC 1230). Za vstop v prostor je potrebna imenska kartica z geslom ter najava pri varnostniku oziroma receptorju, dohodni hodnik in vstopna vrata pa so tudi pod videonadzorom. Zagotovljeno je fizično varovanje 24/7, za katerega je pristojna specializirana varnostna služba, ki prek nadzornega centra nadzoruje vsa varnostna območja, izvaja pa tudi redne varnostne obhode. 22 IZUM je v letu 2016 upravljal in vzdrževal 66 samostojnih fizičnih strežnikov, 18 fizičnih strežnikov kot gostiteljev virtualnih strežnikov, 180 virtualnih strežnikov na gostiteljih, 26 enot opreme za lokalno omrežje, 7 diskovnih polj, 16 stikal za omrežje SAN, 3 robotske knjižnice za varnostno kopiranje podatkov in arhiviranje in za cca. 250 delovnih postaj, lahkih odjemalcev, tiskalnikov ipd. (Letno poročilo o delu IZUM za leto , str. 40). 57

74 Vsi podatki nacionalnega knjižničnega informacijskega sistema so pred nepooblaščenim spreminjanjem, brisanjem ali kakšno drugo zlorabo zaščiteni z natančno politiko dostopa. Podatki niso samostojno oziroma neposredno dosegljivi. Edina pot za urejanje teh podatkov so standardne namenske aplikacije, kjer se praviloma vsi posegi beležijo in arhivirajo. To velja tudi za morebitne posege mimo namenskih aplikacij s strani zaposlenih v IZUM (pri razvoju, odpravi napak, reševanju problemov ipd.). Dodatno je pri vseh operacijah, izvedenih na osebnih podatkih, zagotovljena sledljivost vseh posegov. Varnostna kopiranja podatkov se redno izvajajo po predpisanih protokolih. IZUM ima na treh lokacijah lastne diskovne sisteme kot nosilce podatkov, in sicer v lastnih prostorih in v dveh najetih podatkovnih centrih (Pošta v Mariboru, oddaljenost cca 10 km na drugi tektonski plošči; Arnes Ljubljana, oddaljenost cca 110 km). V podatkovnem centru IZUM se vsi podatki sprotno kopirajo na namenske diskovne kapacitete, hkrati pa so sinhrono replicirani na sekundarno lokacijo (Pošta Maribor). Ena kopija se vsako noč shranjuje tudi na trakove, ki se hranijo v ločenem prostoru na IZUM, vsak teden pa tudi v bančnem sefu (kriptirano in namenjeno za obnovo podatkov v skladu z načrtom okrevanja po katastrofi). Dodatno je ena kopija podatkov shranjena v prostorih Arnesa v Ljubljani. Varovanje osebnih podatkov se izvaja skladno z določili Zakona o varovanju osebnih podatkov (ZVOP). Kadar IZUM nastopa kot pogodbeni obdelovalec osebnih podatkov partnerskih knjižnic, so postopki v zvezi z varovanjem osebnih podatkov zapisani bodisi v standardni pogodbi o polnopravnem članstvu knjižnice v sistemu COBISS.SI bodisi v posebni ločeni pogodbi. Topologija notranjega omrežja IZUM je načrtovana tako, da so posamezne omrežne zone ločene in po potrebi zaprte. Sistem požarnih zidov preprečuje dostope od zunaj oziroma iz neavtoriziranih virov. Izjema so le spletne storitve, ki so na voljo anonimni javnosti (npr. COBISS+). Prosto dostopnega brezžičnega omrežja v poslovni stavbi IZUM ni; za zaposlene in obiskovalce je na voljo, bodisi varno omrežje Eduroam (za tiste, ki so upravičeni do uporabe tega omrežja) bodisi posebno (s spreminjajočim se geslom zaščiteno) interno omrežje za identificirane goste. IZUM vzdržuje zelo kompleksen sistem nadzora delovanja celotnega (strojna, programska in komunikacijska oprema) okolja Nagios. Z njim s kombinacijo vnaprej predpisanih aktivnih 58

75 in pasivnih testov avtomatično komunicirajo vse naprave, aplikacije in servisi, pooblaščenim osebam pa je na voljo kopica pogledov, iz katerih je v realnem času v vsakem trenutku razvidno stanje tako celote kot posameznih segmentov. Vzpostavljen je samodejni sistem za obveščanje dežurnih oziroma odgovornih oseb (SMS, e-pošta itd.), tako da je odzivni čas zmanjšan na najnižjo možno mero. 4.6 Raziskava o informacijski varnosti slovenskih knjižnic Metodologija in raziskovalna metoda Za pridobitev raziskovalnih podatkov smo uporabili anketno metodo in kot orodje za njihovo zbiranje dva strukturirana anketna vprašalnika. Vprašalnik za osebe, pristojne za informacijsko varnost je skupaj vključeval 33 vprašanj zaprtega tipa (Priloga 1), vprašalnik za zaposlene v knjižnicah pa 44 vprašanj (Priloga 2). Anketiranci so pri vprašanjih lahko izbrali eno ali več ponujenih odgovornih kategorij, pri nekaterih vprašanjih so lahko dodali svoj odgovor, na nekatera pa odgovarjali le v primeru, ko je bil izpolnjen določen pogoj. Z anketiranjem oseb, pristojnih za informacijsko varnost, smo želeli pridobiti podatke o tehničnih in organizacijskih vidikih informacijske varnosti, v primeru ankete za zaposlene v knjižnicah pa podatke o ravnanjih, ki vplivajo na stopnjo informacijske varnosti. Pred izdelavo končnih oblik vprašalnikov je obe testni različici testiralo 31 oseb ter podalo svoje pripombe in predloge. Ker gre v primeru informacijske varnosti za tematiko, ki v okviru slovenskih knjižnic še ni bila predmet celovitega preučevanja, smo se odločili, da za pomoč pri izvedbi ankete zaprosimo odgovorne osebe knjižnice, tj. direktorje upravno samostojnih knjižnic oziroma vodje nesamostojnih knjižnic. Prek elektronske pošte smo jim obvestili o namenu in ciljih raziskave, ter jih prosili, da spletna naslova obeh anket posredujejo osebi, odgovorni za informacijsko varnost knjižnice, oziroma zaposlenim v knjižnici. V priponki smo jim v informacijo dodali oba anketna vprašalnika, s čimer smo se želeli izogniti morebitnim dvomom v dobronamernost raziskave. Anketiranje je potekalo v spletnem okolju 1ka v času od 3. do 17. aprila Pri oblikovanju anketnih vzorcev smo uporabili metodo namenskega vzorčenja. Izbor enot smo opravili v marcu 2017 s pomočjo pregleda seznamov knjižnic za leto 2015, ki jih objavlja Center za razvoj knjižnic pri NUK. Prvi kriterij za vključitev knjižnice v vzorec je bil izvajanje javne službe na področju knjižničarstva, kar pomeni, da šolskih knjižnic, ki svojo dejavnost 59

76 izvajajo kot podporno dejavnost izvajanju javne službe na področju šolstva, v izbor nismo vključili. V primeru visokošolskih knjižnic smo v vzorec uvrstili tiste, ki delujejo v okviru javnih visokošolskih zavodov, v primeru specialnih knjižnic pa tiste, ki delujejo v okviru javnih zavodov. V primeru obeh vrst knjižnic smo kot kriterij za izbor upoštevali tudi podatek o zaposlenih, in sicer da so knjižnice zaposlovale kadre s strokovno knjižničarsko izobrazbo. Prošnjo za sodelovanje v anketi smo tako posredovali skupaj 152 odgovornim osebam knjižnic (58 splošnih, 47 visokošolskih in 47 specialnih knjižnic). Ker je bil NUK predmet posebne analize, smo na osnovi soglasja ravnateljice redno zaposlene, ki so bili prisotni na delovnih mestih v obdobju anketiranja, povabili k izpolnjevanju anketnega vprašalnika neposredno Udeleženci raziskave Anketo za osebje, pristojno za informacijsko varnost oziroma upravljanje informacijskokomunikacijske opreme (dalje opreme IKT), je skupaj v celoti ali delno izpolnilo 31 anketirancev (28 jih je anketo zapustilo po ogledu nagovora ali po njeni prvi strani), kar pomeni le 20-odstotni odziv knjižnic, ki smo jih povabili k sodelovanju. Med njimi je bilo 18 splošnih knjižnic, 11 visokošolskih in samo 2 specialni knjižnici (Tabela 4.2). Majhno število izpolnjenih anket in struktura anketirancev nam nista omogočila izdelave zahtevnejših statističnih analiz, ugotovitev tudi ne moremo posploševati na vse slovenske knjižnice. Zbirne podatke predstavljamo v Prilogi 3. Tabela 4.2: Odziv na anketo za osebje, pristojno za informacijsko varnost vrsta knjižnice št. obveščenih št. sodelujočih odziv splošna % visokošolska % specialna % skupaj % Vir: Ambrožič, lastna raziskava (2017) Anketo za zaposlene v knjižnicah je v celoti ali delno izpolnilo 155 oseb (36 jih je anketo zapustilo po ogledu nagovora ali po njeni prvi strani), med njimi največji delež (39 odstotkov) iz knjižnic z več kot 50 zaposlenimi, sledi delež (24 odstotkov) anketirancev iz knjižnic z manj kot pet zaposlenih. Glede na vrsto knjižnic so se na anketo v največjem številu (59) odzvali zaposleni v nacionalni knjižnici, iz splošnih knjižnic je sodelovalo 45 zaposlenih, iz 60

77 visokošolskih 25, iz specialnih knjižnic pa 24 (Slika 4.1). Ugotovitev tudi v tem primeru ne moremo posploševati, zbirni podatki so predstavljeni v Prilogi 4. Slika 4.1: Struktura anketirancev glede na vrsto knjižnice (anketa za zaposlene) (n = 153) Vir: Ambrožič, lastna raziskava (2017) Pri statistični analizi odgovorov zaposlenih smo opravili tudi filtriranje podatkov glede na vrsto knjižnice (zanimalo nas je, v katerih primerih se rezultati zaposlenih v NUK razlikujejo od rezultatov zaposlenih v drugih knjižnicah), njen status ter število zaposlenih. Morebiten vpliv neodvisnih spremenljivk na odvisne smo preverili z metodo rezidualov. Statistično pomembnih razlik ali povezav v večini primerov nismo ugotovili oziroma je bil vzorec merjencev tako majhen, da izračuni niso bili mogoči. 4.7 Rezultati ankete za osebe, pristojne za informacijsko varnost knjižnic Najprej nas je zanimalo, kakšno računalniško tehnologijo uporabljajo v knjižnicah. Glede na število računalniških delovnih postaj, namenjenih zaposlenim in uporabnikom knjižnic, je v anketi sodelovalo največ takšnih, ki imajo do 50 delovnih postaj in kot operacijski sistem uporabljajo Windows 10 ali Windows 7. Osebo, ki je sama ali s podporo zunanjega izvajalca pri zahtevnejših opravilih odgovorna za delovanje in vzdrževanje opreme IKT, ima zaposlenih polovica knjižnic, ki so odgovorile na vprašanje. Pri ostalih za upravljanje opreme IKT skrbijo informatiki matične organizacije (npr. visokošolskega zavoda) ali pogodbeni izvajalci. Večina knjižnic sicer ima na razpolago osebo, ki opravlja naloge sistemskega/varnostnega administratorja, a obstaja tudi desetina takšnih, kjer za varnost informacijskega sistema ni poskrbljeno. Razen ene, v anketi sodelujoče knjižnice še nimajo sprejete politike informacijske varnosti, so pa štiri navedle, da je dokument v pripravi (Slika 4.2). Tretjina (9) jih navaja, da 61

78 sledijo domačim ali mednarodnim smernicam informacijske varnosti. Redno se izobraževanj iz informacijske varnosti udeležujejo le zaposleni iz dveh knjižnic, ki sta odgovarjali na vprašanje. Slika 4.2: Obstoj dokumenta o politiki informacijske varnosti (n = 29) Vir: Ambrožič, lastna raziskava (2017) Varnostne kopije ključnih podatkov največ knjižnic izdeluje dnevno, in sicer na strežniški prostor ali zunanji trdi disk, načrt ponovne vzpostavitve poslovanja v primeru katastrofe ima petina knjižnic oziroma njihovih matičnih organizacij. Pri posredovanju občutljivih osebnih ali poslovnih informacij naslovnikom zunaj knjižnice uporablja šifriranje petina anketiranih knjižnic, z izjemo ene pa na računalniških delovnih postajah uporabljajo različne vrste zaščit proti zlonamerni kodi. Nekaj več kot tretjina knjižnic se je že srečala s primerom okužbe računalniškega sistema z izsiljevalskimi virusi, do izgube podatkov je prišlo le v primeru ene. Vse knjižnice skrbijo za posodabljanje programske opreme na računalniških delovnih postajah, tretjina med njimi opravlja postopke avtomatsko z enega mesta, ostale ročno, po posameznih postajah. Na dveh tretjinah računalniških postaj se v primeru lokalnih administratorskih računov uporabljajo različna gesla, ob koncu delovnega dneva pa jih v večini knjižnic zaposleni izklopijo. Sprejet dokument o varnostni politiki uporabniških gesel že ima petina knjižnic, v petini jih takšen dokument pripravljajo. Sistem sam (domensko okolje) zahteva redno menjavo gesel v 38 odstotkih anketiranih knjižnic, v drugih je menjava gesel prepuščena zaposlenim. Zaposleni, ki imajo možnost dela na daljavo, za dostop do službenega računalnika v največjem deležu uporabljajo protokol VPN oziroma RDP, ki zagotavljata šifrirano in s tem varno povezovanje, pri dostopanju do službene elektronske pošte na daljavo pa jih skoraj polovica uporablja programsko podporo Outlook/Exchange. Lastno brezžično omrežje imajo knjižnice v največjem številu zaščiteno z varnostno tehnologijo WPA2, ki temelji na najnovejših metodah 62

79 šifriranja. V večini knjižnic prek brezžičnega omrežja dostop do poslovnega okolja knjižnice ni možen. 4.8 Rezultati ankete za zaposlene v knjižnicah Varnost službenih računalniških gesel V prvem vsebinskem sklopu vprašalnika so nas zanimala ravnanja zaposlenih, ki vplivajo na varnost službenih računalniških gesel. Zaposleni v povprečju uporabljajo 5,6 različnih gesel, večina (72 odstotkov) jih uporablja od enega do pet gesel, samo eno geslo uporablja devet (6 odstotkov) anketirancev, kar 30 različnih pa trije (2 odstotka). Med tistimi, ki uporabljajo več gesel, jih večina (58 odstotkov) zaradi varnosti uporablja različno zahtevna gesla, ostali pri oblikovanju gesel na varnostni vidik niso pozorni. Gesla v največjem deležu (80 odstotkov) spreminjajo zaradi zahtev varnostne politike organizacije oziroma računalniškega sistema, manj kot petina anketirancev navaja, da gesla spreminjajo zaradi lastne pobude. Skoraj polovica (48 odstotkov) anketirancev gesel ne spreminja, če to od njih ne zahteva računalniški sistem. Varnostna priporočila za oblikovanje gesel upošteva 79 odstotkov anketirancev, med njimi jih največ pazi na to, da uporabijo kombinacijo malih in velikih črk ter številk, vendar pa več kot polovica (56 odstotkov) anketirancev pri oblikovanju novega gesla kot osnovo uporabi staro geslo. Vsa gesla si zapiše na papir le 13 odstotkov anketiranih, še manj (3 odstotke) jih tistih, ki gesla shranijo v elektronsko datoteko (pri tem jih večina datoteke posebej ne zaščiti). Med anketiranci jih dve tretjini (64 odstotkov) še ni seznanjenih z možnostjo uporabe programske opreme za shranjevanje gesel. Med primeri gesel, ki smo jih navedli, je največji delež anketirancev (88 odstotkov) kot dovolj varno izbral geslo s 16 znaki, oblikovano s kombinacijo velikih in malih črk ter posebnih znakov, najmanj varno, tj. administrator, le 1 odstotek. Ravno tako so v največjem deležu (94 odstotkov) kot varen način sestavljanja gesel izbrali kombinacijo velikih in malih črk, pomešanih s posebnimi znaki. Le majhen delež jih je izbral možnost oblikovanja gesel z uporabo imen otrok ali hišnih ljubljencev oziroma pogosto uporabljanih besed. V primeru suma o zlorabi gesla, bi anketiranci ravnali odgovorno, tj. takoj spremenili geslo (76 odstotkov), obvestili odgovorno osebo (66 odstotkov) ter zamenjali tudi ostala gesla (61 odstotkov). Na informacijsko varnost pa so udeleženci ankete manj pozorni v primeru posredovanja gesla drugi 63

80 osebi, kajti skoraj petina (18 odstotkov) jih je že kdaj svoje geslo»posodila«kateremu od sodelavcev Varnost službenih računalniških delovnih postaj Ker je za informacijsko varnost pomembno preprečevati nepooblaščen dostop do informacij prek računalniške opreme, ki jo uporabljajo zaposleni, smo anketirancem zastavili nekaj vprašanj o varovanju njihovih računalniških delovnih postaj. V primeru, ko za določen čas zapustijo delovno mesto, svoje delovne postaje 41 odstotkov anketirancev ne»zaklene«(ne uporabi npr. funkcije Lock), bolj pozorni pa so ob odhodu iz službe, saj se jih kar tri četrtine z delovne postaje odjavi (uporabi funkcijo Log Off/Sign Out). In kaj anketiranci najpogosteje storijo z delovno postajo, ko zapustijo delovno mesto? 28 odstotkov jih ne naredi ničesar, se jih pa več kot polovica odjavi z delovne postaje, zaklene računalniški zaslon, ali ima z geslom zaščiten ohranjevalnik zaslona. Sodelavcu je že kdaj dovolilo, da se na delovno postajo prijavi z njihovim geslom, 29 odstotkov anketirancev. V primeru težav s službeno računalniško opremo, ki jo uporabljajo zaposleni, je pomembno, da napake ne odpravljajo nepooblaščene osebe. Anketiranci izkazujejo visoko stopnjo varnostnega ravnanja, kajti 89 odstotkov bi se jih za pomoč obrnilo na sistemskega administratorja oziroma osebo, odgovorno za opremo IKT. Pri tem bi bili previdni tudi pri posredovanju svojega gesla za prijavo na računalniško delovno postajo, 48 odstotkov anketirancev gesla pooblaščeni osebi za IKT ne bi posredovali Elektronska pošta in socialni inženiring kot potencialni grožnji informacijski varnosti Kot najpogostejši način širjenja računalniških virusov anketiranci prepoznavajo elektronsko pošto (51 odstotkov) ter njihov prenos s spleta (32 odstotkov). V visokih deležih anketiranci prepoznavajo potrebne ukrepe za preprečevanje zlonamernega pridobivanja podatkov/informacij z metodami socialnega inženiringa, največ (87 odstotkov) jih je izbralo odgovor, da nepooblaščenim osebam ne smemo razkrivati informacij o svojem računalniku in računalniškem omrežju. Samo dva anketiranca navajata, da odpirata tudi elektronska sporočila pošiljateljev z neobičajnimi poštnimi naslovi. V primeru, ko sporočilo vključuje tudi priponko, slednjo 70 odstotkov anketiranih odpre le, če pozna pošiljatelja, vendar ne brezpogojno, namreč v primeru, da je sporočilo neobičajno, polovica (51 odstotkov) anketiranih priponke ne bi 64

81 odprlo. Le 3 odstotke pa je tistih, ki pri službenih sporočilih odpirajo tudi priponke, saj zaupajo protivirusnim programom. Pri pošiljanju službene elektronske pošte uporablja programsko podporo za šifriranje sporočil 6 odstotkov anketiranih. Na službeni računalniški postaji jih velik delež (84 odstotkov) uporablja tudi spletne ponudnike elektronske pošte. V primeru prejetja sporočila od neznanega oziroma sumljivega pošiljatelja, bi večina anketiranih (83 odstotkov) ravnala varnostno pravilno sporočila ne bi prepošiljali drugim, ampak bi ga takoj izbrisali ali o tem obvestili pooblaščeno osebo. Brisanje sporočil sumljivih pošiljateljev se zdi kot najbolj zanesljiv način za preprečevanje okužb z računalniškimi virusi, ki se širijo prek elektronske pošte, trem četrtinam anketiranih. Kot sprejemljivo rabo službenega elektronskega poštnega predala največ anketirancev (89 odstotkov) šteje obveščanje znancev o zanimivih dogodkih s področja kulture oziroma knjižničarstva, a po petino tudi pošiljanje osebnih oziroma zabavnih sporočil svojim sodelavcem. Petina (21 odstotkov) je tudi takšnih, ki bi občutljive osebne podatke poslali kot običajno elektronsko sporočilo Delo na domu in dostop na daljavo do službenega računalnika Več kot polovica (54 odstotkov) anketiranih za službo kdaj dela tudi na domu. Pri tem jih le 16 odstotkov uporablja izključno službeni računalnik, kar 78 odstotkov pa lastnega. Datoteke, narejene na lastnem računalniku, na računalniško delovno postajo v službi najpogosteje prenesejo prek službene elektronske pošte (65 odstotkov anketiranih) ali z uporabo zunanje pomnilniške naprave (43 odstotkov). Pri delu na domu se prek dostopa na daljavo povezuje z računalniško delovno postajo v službi 43 odstotkov anketirancev. Pri tem jih tretjina (33 odstotkov) uporablja računalnik, namenjen tudi drugim osebam, npr. družinskim članom ali znancem. Za povezovanje v internet jih pri tem večina uporablja brezžično omrežje. Slednje je v primeru 70 odstotkov anketirancev, ki tovrstno povezovanje uporabljajo, ustrezno varnostno zaščiteno Varnostne politike in izobraževanje o informacijski varnosti Izdelane in sprejete varnostne politike za zaščito računalniške opreme in podatkov/informacij naj bi, glede na odgovore v anketi sodelujočih (Slika 4.3), imelo skoraj polovica njihovih 65

82 knjižnic oziroma matičnih delovnih organizacij. Vendar pa je med anketiranci, ki so na vprašanje odgovorili pritrdilno, kar 61 odstotkov tistih, ki vsebine varnostnih politik ne poznajo. Slika 4.3: Sprejeta politika informacijske varnosti (n = 142) Vir: Ambrožič, lastna raziskava (2017) Izobraževanj s področja računalniške oziroma informacijske varnosti se je že kdaj udeležila četrtina anketirancev, med ostalimi bi si jih tovrstnega izobraževanja želelo udeležiti 63 odstotkov, 13 odstotkov pa jih meni, da izobraževanj ne potrebuje. 4.9 Razprava Iz odgovorov oseb, ki so v knjižnicah odgovorne za informacijsko varnost oziroma upravljanje opreme IKT, razberemo, da v skoraj tretjini (28 odstotkov) knjižnic na njihovih računalniških delovnih postajah še vedno teče zastarel operacijski sistem Windows XP. Glede na to, da zanj že skoraj dve leti ni več novih varnostnih popravkov, je tako stanje z varnostnega vidika nesprejemljivo. V večini knjižnic je za upravljanje opreme IKT zadolžena oseba zaposlena v knjižnici, ki ima za zahtevnejša opravila na voljo zunanjega izvajalca, oziroma podporo zagotavljajo informatiki organizacije, v okviru katere deluje knjižnica. Dobra petina knjižnic za delovanje in vzdrževanje opreme IKT najema le zunanje izvajalce, manj kot petina pa jih ima zaposleno osebo, ki je sama usposobljena za omenjena opravila. Ocenimo lahko, da je za delovanje informacijske opreme v anketi sodelujočih knjižnic sicer primerno poskrbljeno, ravno tako za varnost samega sistema, z varnostnega vidika pa je zaskrbljujoč podatek, da obstajajo tudi knjižnice, ki skrbnika za sistemsko varnost nimajo na razpolago. Razen ene, v anketi sodelujoče knjižnice nimajo izdelanih in sprejetih politik informacijske varnosti, večina jih tudi ne sledi smernicam oziroma standardom informacijske varnosti, kar predstavlja precejšnje varnostno tveganje. 66

83 Večina knjižnic izdeluje varnostne kopije ključnih podatkov, slaba polovica dnevno, ostale tedensko ali mesečno. Zaskrbljujoče je, da obstajajo tudi knjižnice, ki varnostnih kopij ne izdelujejo. V primeru okužbe z izsiljevalskim virusom bi v takšni knjižnici ostali brez vseh podatkov, prav tako bi se čas ponovne vzpostavitve sistemov ekstremno podaljšal. Ena knjižnica je odgovorila, da varnostne kopije izdeluje letno, kar ravno tako pomeni, da za varnost ključnih podatkov ni poskrbljeno. Najbolj zastopana medija za hranjenje varnostnih kopij podatkov sta strežnik oziroma zunanji trdi disk. Na mestu bi bila pomislek o dostopnosti strežnika ter vprašanje stalne vključenosti zunanjega diska v sistem, kajti v primeru vdora izsiljevalski virus zašifrira tudi varnostne kopije. Več kot polovica v anketi sodelujočih knjižnic navaja, da same oziroma njihove matične organizacije nimajo načrta za ponovno vzpostavitev informacijskega sistema in strojne opreme, oziroma da zanj ne vedo, kar bi v primeru»katastrofe«občutno podaljšalo čas ponovne vzpostavitve njihovega poslovnega sistema. Le dobra petina jih navaja, da imajo sprejet omenjeni načrt. Z varnostnega vidika je tudi nesprejemljiva praksa knjižnic, ki navajajo, da pri elektronskem posredovanju občutljivih osebnih ali poslovnih podatkov ne uporabljajo šifriranja. Na nekatere primere dobrih varnostnih praks knjižnic kažejo odgovori na anketna vprašanja v sklopu ukrepov za zaščito računalniške opreme. Večina knjižnic uporablja zaščito proti zlonamerni kodi, kar je dobra praksa, ravno tako jih večina uporablja protivirusno zaščito in imajo vklopljene požarne zidove na delovnih postajah zaposlenih, uporabljajo tudi požarne zidove na prehodu iz interneta v interno omrežje knjižnic, zaposlenim pa ne dodeljujejo administratorskih pravic. Ostale preventivne varnostne ukrepe uporablja manj kot polovica knjižnic. Nekaj manj kot dve tretjini v anketi sodelujočih knjižnic se še ni srečalo s primerom okužbe z izsiljevalskim virusom, ostale so okužbo ustavile pred izgubo podatkov ali so podatke povrnile iz varnostnih kopij. Nobeni ni bilo treba prositi za pomoč ustrezne državne službe (SI- CERT) ali plačati odškodnine za povrnitev datotek. Za posodabljanje programske opreme v večini knjižnic (81 odstotkov) skrbi oseba usposobljena za ravnanje z opremo IKT, varnostno tveganje predstavljajo knjižnice, kjer za posodabljanje skrbijo zaposleni sami. Večina knjižnic je odgovorila, da za posodabljanje skrbijo ročno na vsaki delovni postaji posebej, kar je časovno zamudno in ne zagotavlja ustrezne varnosti delovnih postaj. Dobra tretjina jih posodablja programsko opremo avtomatizirano, kar je primer dobre prakse. Slednjo predstavlja tudi ravnanje v primeru uporabe gesel, kajti dve tretjini knjižnic navajata, da lokalni administratorski računi nimajo enakih gesel, v primeru okužb se le-te ne morajo seliti po lokalnem omrežju, saj 67

84 za to nimajo zadostnih privilegijev. Ob zaključku delovnega dne, z izjemo manjšega deleža knjižnic, zaposleni svoje računalniške delovne postaje fizično izklopijo, kar po eni strani sicer zagotavlja večjo varnost računalniškega sistema, a na drugi strani onemogoča avtomatično posodabljanje operacijskih sistemov delovnih postaj zunaj delovnega časa. V primeru politike uporabniških gesel lahko zasledimo v nekaterih ravnanjih knjižnic pomembna varnostna tveganja. Več kot polovica jih nima sprejetega dokumenta o varnostni politiki uporabniških gesel, menjava gesel pa je prepuščena pobudi zaposlenih, kar pomeni, da zaposleni ne menjavajo gesel, če jih v menjavo ne prisili operacijski sistem. Večina knjižnic je odgovorila, da sistem preverja kompleksnost in dolžino gesel, problematičnih pa je 42 odstotkov knjižnic, kjer je to prepuščeno zaposlenim. Večina v anketi sodelujočih knjižnic zaposlenim ne omogoča dostopa do službenih računalnikov in elektronske pošte na daljavo, kar varnostna tveganja zmanjšuje. V primeru oddaljenega povezovanja pa zaposleni uporabljajo varne tehnologije. Ravno tako uporabljajo primerne programske podpore za dostop do službene elektronske pošte, le v enem primeru se uporablja Gmail, kar predstavlja potencialno varnostno tveganje za službeno komunikacijo se namreč uporaba omenjene storitve odsvetuje, kajti pošta potuje tudi zunaj okvirov organizacije. Kar 68 odstotkov knjižnic navaja, da imajo postavljena lastna brezžična omrežja, kar lahko predstavlja varnostno tveganje, če omrežja niso ustrezno zaščitena in segmentirana (brezžično omrežje more biti ločeno od poslovne interne mreže). Večina knjižnic ima vzpostavljeni tudi omrežji Eduroam in Librom, ki pa sta ustrezno varovani. Lastna brezžična omrežja v največjem deležu ščitijo z varnostnim mehanizmom WPA2, ki predstavlja minimum za varno omrežje, priporočljivo je imeti tudi avtentikacijo RADIUS, kar ima četrtina knjižnic. Ostali uporabljani varnostni mehanizmi, kot so omejevanje naslovov MAC, WEP in WPA, pa varnostno niso zadovoljivi. Večina knjižnic ima brezžična omrežja ločena od interne poslovne mreže, kar je primer dobre prakse. Večina knjižnic navaja, da se na področju informacijske varnosti zaposleni izobražujejo le občasno ali da se tovrstnih izobraževanj ne udeležujejo, kar je z varnostnega vidika zaskrbljujoče, največje varnostno tveganje za računalniško varnost organizacije so ravno neinformirani in varnostno neozaveščeni zaposleni. Potencialno varnostno tveganje nakazuje 68

85 tudi podatek, da se izobraževanj s področja informacijske varnosti večinoma udeležujejo le zaposleni, ki so zadolženi za opremo IKT. Rezultati ankete za zaposlene v knjižnicah kažejo, da večina anketirancev uporablja med dve in pet različnih gesel, kar je v obdobju spletnih storitev občutno premalo. Težave se pojavijo v primeru vdora v eno od spletnih storitev, kjer je uporabnik registriran. V tem primeru zaidejo vsa uporabniška gesla na spletni storitvi na sezname gesel, dostopnih zlonamernim uporabnikom na temnih delih svetovnega spleta. Zlonamerni posamezniki nato tako zbrana gesla preizkušajo za morebitno prijavo na druge spletne storitve, v prvi vrsti tiste, ki omogočajo večje zlorabe, kot so npr. spletna pošta ali družbene skupnosti (Gmail, Facebook ipd.). Dobra praksa bi bila uporaba različnih gesel za vsako spletno storitev posebej ob hkratni uporabi programov za upravljanje gesel, ki skrbijo tudi za njihovo varno shranjevanje. Spodbuden je rezultat, da 60 odstotkov anketirancev za več različnih prijav na računalniške delovne postaje oziroma za dostop do aplikacij ter spletnih strani/storitev ne uporablja enakih gesel, pri oblikovanju različnih gesel pa jih glede zahtevnosti gesel 58 odstotkov upošteva varnostna priporočila. Z varnostnega vidika je neugoden podatek, da 80 odstotkov anketiranih določeno geslo najpogosteje spremeni takrat, ko jih na to opozori računalniški sistem. Ker večina spletnih storitev ne zahteva menjave gesel (rezen ob vdorih), to pomeni, da velik delež zaposlenih uporablja enaka gesla daljša časovna obdobja. Kot kažejo rezultati ankete, je le majhen delež tistih, ki na lastno pobudo geslo spremenijo vsaj enkrat na tri mesece. Da pri oblikovanju gesel upoštevajo varnostna priporočila, navaja večina anketirancev, in sicer zaposleni v NUK v večjem deležu kot ostali. Žal pa sodelujoči v raziskavi vseh priporočil ne upoštevajo. Najpogosteje uporabljajo kombinacijo malih in velikih črk, samo tretjina jih upošteva potrebno dolžino gesel, le petina jih uporablja posebne znake. Za sestavo varnega gesla pa je nujno upoštevati vsa tri priporočila. Dobra polovica anketirancev pri menjavi gesla uporablja staro osnovo, kar pomeni, da gesla v bistvu sploh niso spremenili. Takšen način sestavljanja gesel je z varnostnega vidika odsvetovan. Tretjina jih navaja, da si zapišejo nekatera gesla, dobra desetina, da si zapišejo vsa gesla. Z varnostnega vidika je zapisovanje gesel na papir veliko varnostno tveganje. Večina anketirancev navaja, da gesel ne shranjujejo v elektronski obliki, kar je z vidika varnosti dobro. Vendar pa večina tistih, ki gesla shranjujejo v elektronske datoteke, le-teh ne ščitijo s šifriranjem, kar predstavlja varnostno tveganje. 69

86 Programsko opremo za shranjevanje gesel pozna le peščica anketirancev (6 odstotkov), manj kot tretjina jih je zanjo že slišala, večina pa je ne pozna. Večina anketirancev je glede na varnostna priporočila pravilno določila varna gesla. Dobra tretjina jih je označila tudi dvoje gesel, ki zaradi prekratke dolžine varnostno ne ustrezata. Zanimivo je, da se anketirancem zdi mešano zaporedje črk, besed in znakov bolj varno, kot uporaba daljšega stavka. Izjema so anketiranci, zaposleni v NUK, ki so v primerjavi z drugimi, v opazno večjem deležu kot varno geslo oziroma tudi kot način oblikovanja varnih gesel, izbrali uporabo naključnega stavka. Z varnostnega vidika sta sicer oba načina oblikovanja gesel ustrezna, vendar si je stavek laže zapomniti in ga ni treba zapisovati, kar pomeni, da predstavlja boljšo izbiro za varno geslo. Podobno kot v primeru izbire varnih gesel so anketiranci tudi pri naštetih načinih sestavljanja gesel večinoma izbrali pravilna odgovora, jih je pa tretjina kot varen način izbrala tudi uporabo daljše številke, kar pa ne ustreza definiciji varnega gesla (razen v primeru, da bi res izbrali zelo dolgo številko, ki pa onemogoča pomnjenje gesla). Z varnostnega vidika ugotavljamo ustrezno ravnanje tudi v primeru uporabe gesel, kajti večina anketirancev navaja, da jih sodelavci še niso prosili za geslo, če pa se je to zgodilo, jim gesla niso zaupali. Anketiranci, zaposleni v NUK, so v bistveno nižjem deležu (18 odstotkov) od povprečja (29 odstotkov) že kdaj dovolili sodelavcu, da se na svojo računalniško postajo prijavi z njihovim uporabniškim imenom in geslom. V primeru suma, da si je nekdo prisvojil njihovo geslo, večina sodelujočih v anketi odgovarja, da bi takoj zamenjali geslo, obvestili osebo zadolženo za opremo IKT in zamenjali tudi druga gesla, povezana z odtujenim, kar je ustrezen odziv na dogodek. Žal bi jih samo 7 odstotkov o primeru obvestilo tudi pristojni organ za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij (SI-Cert). Za varnost službenih računalniških delovnih postaj je pomembno, da zaposleni preprečujejo njihovo nepooblaščeno uporabo. Večina (61 odstotkov) anketirancev ob zapustitvi zaklene svojo delovno postajo, kar je varnostno ustrezno, ni pa nezanemarljiv delež tistih, ki tega ne storijo. Nezaklenjena postaja omogoča nepooblaščenim uporabnikom dostop do nje in možnost zlorabe (npr. pošiljanje elektronske pošte v imenu zaposlenega ali brisanje dokumentov). Z izjemo manjšega števila anketirancev jih večina ob odhodu iz službe opravi odjavo iz sistema, kar je primer dobre prakse (pred odjavo je treba zapreti dokumente, kar pomeni, da so tudi shranjeni in ob nalaganju sistemskih posodobitev ne pride do izgube podatkov). Varnostno manj primerno pa anketiranci ravnajo ob krajši zapustitvi delovne postaje med službenim 70

87 časom, kajti več kot tretjina jih ob odhodu ne poskrbi za njeno zavarovanje in s tem potencialno omogočajo nepooblaščen dostop do njihovih podatkov in dokumentov. Izjema so delovne postaje, na katerih si več uporabnikov deli uporabniška imena (npr. delovne postaje na izposoji). Večina zaposlenih ne dovoli sodelavcem, da bi pri prijavi na svojo delovno postajo uporabili njihovo uporabniško ime, kar je varnostno pravilno. Ugotavljamo, da anketiranci v zadovoljivi meri prepoznavajo grožnje informacijski varnosti, ki so jim izpostavljeni pri delu v elektronskem okolju. Večina jih je namreč pravilno izbrala elektronsko pošto, kot najpogostejši način širjenja virusov. Sledijo njihov prenos s spleta, ki je mogoč v primeru slabo varovanih omrežij (brez ali s slabim požarnim zidom) ter uporaba prenosnih naprav in programov za instant sporočanje, ki skrbnikom opreme IKT povzročajo veliko skrbi pri zagotavljanju varnosti omrežij. Med naštetimi ukrepi, ki preprečujejo zlonamerno pridobivanje podatkov/informacij z metodami socialnega inženiringa, je večina anketirancev izbrala vse ponujene odgovore, kar pomeni z vidika varnostne ozaveščenosti pozitiven rezultat. Vsi navedeni ukrepi so namreč ustrezni in je treba upoštevati prav vse. Skoraj vsi anketiranci so navedli tudi, da službene pošte, prejete z neobičajnih naslovov, ne odpirajo, kar je pravilen odziv. V primeru odpiranja elektronske pošte, ki vključuje priponko, pa so manj previdni, velik delež (70 odstotkov) jih namreč navaja, da priponko odprejo, če poznajo pošiljatelja. Pri odpiranju priponk moramo slediti varnostni politiki in pravilu»ne odpiraj, če nisi prepričan o vsebini«. Poznavanje pošiljatelja ni zadosten pogoj za odprtje priponke. Pred njenim odprtjem je treba elektronsko sporočilo ovrednotiti in oceniti, kakšen pomen ima za nas osebno, se torej vprašati, zakaj bi jaz osebno dobil to sporočilo, je to smiselno? Le zelo majhen delež anketirancev pri pošiljanju elektronske pošte uporablja programe za šifriranje sporočil. Takšen rezultat sam po sebi ni slab, če seveda ne pomeni, da se na tak način posredujejo tudi občutljivi poslovni ali osebni podatki. V povezavi z vprašanjem o načinih posredovanja občutljivih osebnih podatkov, sicer ugotavljamo, da bi največ anketirancev izbralo varni obliki dostave podatkov, kjer prestrezanje sporočil ni enostavno, tj. telefonsko oziroma kot priporočeno poštno pošiljko. Opozoriti pa velja, da bi jih petina občutljive osebne podatke poslala prek običajne elektronske pošte, kar varnostno ni ustrezno. Med tistimi, ki so zbrali kot medij za posredovanje osebnih podatkov elektronsko pošto, zaposleni v NUK izkazujejo višjo stopnjo varnostne ozaveščenosti od ostalih anketirancev, saj dajejo prednost šifriranemu pošiljanju sporočil. 71

88 Varnostno tveganje lahko predstavlja tudi ravnanje zaposlenih v primeru uporabe storitev spletnih ponudnikov, kot so Gmail, Hotmail, Yahoo ipd. Večina udeležencev ankete namreč navaja, da v službenem okolju uporabljajo spletne ponudnike elektronske pošte, kar je lahko potencialna varnostna grožnja, kajti vsa komunikacija med delovno postajo zaposlenega in strežnikom ponudnika je šifrirana in zaposleni tako zaobide zaščite na požarnem zidu knjižnice. V celoti pravilno ravnanje pa večina anketirancev izkazuje v primeru prejetja elektronske pošte od neznanega oziroma sumljivega pošiljatelja, kajti prejeto sporočilo bi takoj izbrisali. Ravno tako pravilno ugotavljajo, da je najboljši način preprečevanja okužbe z računalniškimi virusi prek elektronske pošte sumljivih pošiljateljev brisanje sporočil brez odpiranja priponk, in pravilno razumejo, kaj sodi pod sprejemljivo rabo službenega elektronskega poštnega predala. V primeru težav s službeno računalniško opremo nihče od anketirancev ne bi ravnal varnostno tvegano, skoraj vsi bi namreč za pomoč najprej zaprosili sistemskega administratorja oziroma osebo, odgovorno za opremo IKT. V primeru anketirancev iz NUK bi se, z izjemo ene osebe, vsi takoj obrnili na ustrezno pooblaščeno osebo. Kar polovica (52 odstotkov) anketirancev bi sistemskemu administratorju zaupala svoje geslo za prijavo na službeno računalniško delovno postajo. Zaposleni v NUK bi bili nekoliko previdnejši, geslo bi jih administratorju zaupalo 40 odstotkov. Pravilno obnašanje v primeru težav z računalniško opremo je zamenjava uporabniškega gesla z začasnim geslom s strani sistemskega administratorja in po odpravljeni težavi nastavitev novega gesla s strani uporabnika. S tem, da zaposleni gesla ne zaupa sistemskemu administratorju, zaščiti sebe in sistemskega administratorja pred potencialnimi nesporazumi oziroma možnimi zlorabami. Več kot polovica zaposlenih, sodelujočih v anketi, opravlja službena dela tudi izven prostorov delovne organizacije in jih pri tem večina uporablja lastno računalniško opremo, kar predstavlja potencialno varnostno tveganje lastne delovne postaje namreč načeloma niso dovolj varnostno zaščitene (vklopljen požarni zid, posodobljen protivirusni program ipd.). Doma narejene datoteke si precejšen delež anketirancev (43 odstotkov; zaposleni v NUK: 36 odstotkov) z lastnega računalnika na računalniško delovno postajo v službi prenaša tudi s pomočjo zunanjih pomnilniških naprav (ključki USB in zunanji diski), kar predstavlja varnostno tveganje. Pri ostalih primerih prenosa podatkov (elektronska pošta, prenos prek dostopa na daljavo, oblak) je posredovana datoteka varnostno večkrat pregledana, v primeru zunanjih pomnilniških naprav pa se lahko uporabi le protivirusna zaščita na službeni delovni 72

89 postaji. Anketiranci iz NUK v večjem deležu kot ostali anketiranci uporabljajo za delo na domu oddaljen dostop in v večjem deležu z domačih računalniških postaj tudi prenašajo podatke na računalnike v službi prek oddaljenega dostopa. Dostop na daljavo do računalniške delovne postaje v službi sicer uporablja manj kot polovica v anketi sodelujočih zaposlenih, lahko pa tak način povezovanja pomeni varnostno grožnjo, če zaposleni na lastni računalniški opremi ne zagotavljajo ustrezne ravni zaščite. Pri delu na domu se v primeru oddaljenega povezovanja na službeno računalniško postajo večina anketirancev do službenih delovnih postaj povezuje prek varnostno zaščitenih brezžičnih omrežij, kar je z varnostnega vidika pravilno ravnanje. Kljub temu moramo opozoriti, da se petina zaposlenih z vprašanjem varnostne zaščite uporabljanega brezžičnega omrežja ne»obremenjuje«, kar predstavlja varnostno tveganje. Uporaba nešifriranih povezav namreč omogoča odtujitev uporabniških gesel ali prestrezanje mrežnega prometa. Z vidika dobre varnostne prakse pa je spodbuden rezultat, da večina (67 odstotkov) anketirancev, ki uporabljajo oddaljen dostop, tretjim osebam ne dovoli uporabe računalnika, s katerega oddaljeno dostopajo do službenih delovnih postaj. Na področju upravljanja informacijske varnosti smo v anketi spraševali le o obstoju varnostnih politik, ki sicer predstavljajo izhodišče vsakega sistema varnosti. Slaba polovica anketirancev odgovarja, da imajo v organizaciji izdelano in sprejeto varnostno politiko. Ne moremo pa z gotovostjo trditi, da več kot polovica delovnih organizacij, v katerih so anketirani zaposleni, nima izdelane in sprejete varnostne politike. Precejšen delež (38 odstotkov) anketirancev namreč sploh ne ve, če takšen dokument obstaja ali ne, z varnostnega vidika je takšen podatek zaskrbljujoč. Večina anketirancev (61 odstotkov; anketiranci iz NUK: 72 odstotkov), ki je navedla, da njihova organizacija ima dokumente o varnostni politiki, navaja, da ne pozna njihove vsebine, kar predstavlja veliko varnostno tveganje za posamezno organizacijo. Potrebna bi bila večja angažiranost vodstev knjižnic in zaposlenih samih za seznanjanje s sprejeto varnostno politiko, ki ni samo formalen dokument, ampak predstavlja dobre prakse in pravila za uporabo opreme IKT. Ukrepi bi bili potrebni tudi na področju sistematične skrbi za izobraževanje zaposlenih s področja računalniške oziroma informacijske varnosti, le četrtina v anketi sodelujočih je namreč navedla, da se je že kdaj udeležila tovrstnih izobraževanj, bi si jih pa velik delež tega želel. 73

90 5 INFORMACIJSKA VARNOST V NARODNI IN UNIVERZITETNI KNJIŽNICI 5.1 Metodologija in raziskovalna metoda Raziskovalne podatke smo pridobili z metodo študije primera, v okviru katere smo opravili analizo dokumentov preučevane organizacije in postopkov za zagotavljanje informacijske varnosti njenega informacijskega sistema, vidik upravljanja informacijske varnosti pa preučili tudi s pomočjo preverjanja uresničevanja referenčnih ciljev kontrol in kontrol SUIV, ki jih vključuje Dodatek A Standarda SIST ISO/IEC (2013). Pri preverjanju stanja po posameznih kontrolah so sodelovali zaposleni v službah za knjižnično informatiko in za informacijsko-komunikacijsko podporo. 5.2 Predstavitev knjižnice in njenega informacijskega sistema Funkcije in naloge knjižnice NUK je največja slovenska znanstvena knjižnica, njena predhodnica, Licejska knjižnica, je bila ustanovljena že leta Knjižnica danes opravlja naloge nacionalne knjižnice, univerzitetne knjižnice Univerze v Ljubljani ter osrednje slovenske znanstvene in državne knjižnice. Odgovorna je za zbiranje in trajno ohranjanje narodove pisne kulturne in znanstvene dediščine v klasični in elektronski obliki, ter za njeno dostopnost sedanjim in prihodnjim generacijam. Odgovorna je tudi za gradnjo in razvoj Digitalne knjižnice Slovenije ter aktivno sodeluje pri razvoju Europeane, od leta 2009 tudi kot nacionalni agregator e-vsebin s področja kulture. Izvaja bibliografsko kontrolo nad publikacijami, ki imajo značaj slovenike, in je prek centrov za ISBN, ISMN in ISSN vključena v sistem mednarodne bibliografske kontrole. Kot osrednja državna knjižnica opravlja naloge centra za razvoj knjižnic, izvaja permanentno izobraževanje, strokovno izpopolnjevanja knjižničarjev in bibliotekarske izpite, pripravlja strokovne podlage za splošne predpise in strokovna priporočila s področja knjižničarstva in zagotavlja strokovno podporo razvoju nacionalnega bibliografskega sistema. Knjižnica zagotavlja avtomatizirani sistem BibSiSt za zbiranje, obdelavo ter predstavljanje nacionalne statistike o dejavnosti knjižnic, sistem omogoča tudi izračune kazalcev uspešnosti njihovega delovanja. 74

91 Ob koncu leta 2016 je knjižnična zbirka NUK obsegala več kot 2,8 milijona enot gradiva. Knjižnica je zagotavljala dostop do 44 mednarodnih podatkovnih zbirk znanstvene literature, naslovov tujih elektronskih knjig ter prek portala Digitalne knjižnice Slovenije (dlib.si) do digitalnih virov (knjige, periodika, rokopisi, slike, glasba, zemljevidi), nastalih izvirno v digitalni obliki ali z digitalizacijo izvirnikov na klasičnih nosilcih zapisa. Zaposlovala je skupaj 129 EPZ strokovnjakov s področja knjižničarstva, računalništva in informatike, konzervatorstva/restavratorstva ter različno podporno osebje (Letno poročilo 2016, 2017). Skrb za upravljanje in razvoj informacijskega sistema knjižnice je poverjena zaposlenim v Enoti za informacijsko tehnologijo in digitalno knjižnico (Slika 5.1). Slika 5.1: Organizacijska struktura Narodne in univerzitetne knjižnice Vir: Narodna in univerzitetna knjižnica (13. marec 2017) Zaradi slabih prostorskih pogojev se knjižnica v prvi vrsti usmerja na čim bolj kakovostno ponudbo elektronskih virov in storitev, poleg tega narašča obseg digitalnega gradiva, ki ga mora kot nacionalna depozitarna organizacija trajno hraniti in zagotavljati pogoje za njegovo dostopnost tudi v prihodnosti. Vse to močno vpliva na kompleksnost njenega informacijskega 75

92 sistema ter na potrebne vire za njegovo delovanje in razvoj (kadri, informacijska infrastruktura, programska oprema, delovni procesi itd.). Informacijski sistem podpira tudi poslovne procese knjižnice (računovodstvo, finance, kadrovska evidenca, sistem javnih naročil, dokumentni sistem, kontrola dostopa itd.), kar še povečuje njegovo raznolikost. NUK je v letu 2016 upravljal in vzdrževal 8 samostojnih fizičnih strežnikov, 8 fizičnih strežnikov kot gostiteljev virtualnih strežnikov, 63 virtualnih strežnikov na gostiteljih, 42 enot opreme za lokalno omrežje, 5 diskovnih polj, 4 stikala za omrežje SAN, 3 robotske knjižnice za varnostno kopiranje podatkov in arhiviranje, 205 računalniških delovnih postaj, 20 lahkih odjemalcev in 36 tiskalniških delovnih postaj. Izziv upravljanju informacijskega sistema predstavlja tudi poslovanje knjižnice na dveh, več kot 10 km medsebojno oddaljenih lokacijah, in sicer v centru mesta (Turjaška ulica) ter na njegovem obrobju v poslovni coni BTC (Leskoškova cesta). Računalniški center je umeščen v prostore na Leskoškovi, v zgradbi na Turjaški je le lokalno komunikacijsko vozlišče. Med lokacijama sta vzpostavljeni 2 redundantni optični povezavi, ki zagotavljata neprekinjeno povezanost med lokacijama. Podatkovni center (CINUK) na Leskoškovi je bil dograjen v začetku leta 2010, v uporabi pa je od septembra istega leta. Skozi celotno življenjsko obdobje podatkovnega centra je zaradi zagotavljanja neprekinjenega delovanja potrebno sprotno vzdrževanje podpornih sistemov, ki oskrbujejo podatkovni center. Za vsako skupino naprav je treba zagotoviti četrtletne servisne preglede, s sprotnim spremljanjem in odpravljanjem anomalij v delovanju. Redno je treba izvajati meritve akumulatorjev, preverjati je treba tudi sistem gašenja s plinom, ki v primeru požara samodejno ugasne ogenj. Hladilni sistem je zaradi kopice ventilatorjev, črpalk in senzorjev podvržen obrabi, zato je nujno njegovo sprotno vzdrževanje, saj le tako lahko zagotovimo dobro delovanje naprav tudi v najhujši vročini. Agregat se mora skupaj z bremenom preizkušati vsakih 14 dni, da lahko z gotovostjo zaupamo brezhibnosti celotnega postopka ob izpadih oziroma anomalijah v napajanju. Za neprekinjeno delovanje podatkovnega centra je organizirana tudi službo tehničnega skrbništva centra, z odzivnim časom pol ure. Omenjeni ukrepi zagotavljajo visoko stopnjo informacijske varnosti informacijskega sistema knjižnice Presoja informacijskega sistema knjižnice in izvedba predlaganih ukrepov Celovita presoja (revizija) informacijskega sistema je bila opravljena v fazi priprave novega strateškega načrta knjižnice v letu 2012, in sicer na osnovi metodologije COBIT. V točkah, ki 76

93 se nanašajo na varnost informacijskega sistema, je bila dopolnjena s priporočili in zahtevami družine standardov ISO 27000, v točkah, ki se nanašajo na upravljanje informacijskega sistema pa s priporočili ISACA, standardom ISO oziroma z zbirko dobrih praks ITIL. Revizija je vključevala pregled upravljanja informacijskega sistema ter oceno zmogljivosti, obremenjenosti in izkoriščenosti informacijske infrastrukture (Potočnik, 2012). Ugotovitve presoje so bile naslednje: Upravljanje informacijskega sistema: ugotovljeno je bilo, da knjižnica še nima dokumenta z opredeljeno strategijo informatike, uveljavljene metodologije ocenjevanja in upravljanja informacijskih tveganj ter celovite metodologije upravljanja z informacijskimi viri/dobrinami (računalniška oprema, storitve, podatki, kadri). Presojevalec je zato predlagal izdelavo informacijske varnostne politike, ki bo opredelila metodologijo upravljanja in ocenjevanja tveganj, ter izdelavo kataloga informacijskih tveganj. Knjižnica naj bi uvedla tudi celovito metodologijo upravljanja z informacijskimi viri, izdelala seznam informacijskih virov in katalog storitev ter opredelila postopke upravljanja sprememb na področju razvoja programske podpore in informacijskih storitev. Ker je v času presoje bila informacijska podpora poslovnim procesom umeščena v dve organizacijski enoti, naloge, pristojnosti in odgovornosti zaposlenih pa niso bile jasno opredeljene, je bila priporočena vzpostavitev enovite organizacijske enote za informacijsko podporo celotni knjižnici. Sistemiziralo naj bi se tudi delovno mesto ožjega člana vodstva knjižnice, zadolženega za strateško načrtovanje informatike in informacijske varnosti ter za upravljanje informacijskega sistema in upravljanje sprememb. Treba bi bilo tudi kadrovsko okrepiti sektor, odgovoren za informatiko in informacijsko tehnologijo, ter uvesti načrtno izobraževanje zaposlenih za njeno varno uporabo. Zmogljivost, obremenjenost in izkoriščenost informacijske infrastrukture: v okviru presoje informacijskega sistema je bilo ugotovljeno, da je računalniški center (prostor in njegova infrastruktura) na zelo visokem tehnološkem in varnostnem nivoju, kar je tudi sicer nujen predpogoj, kajti knjižnica hrani digitalne podatke neprecenljive kulturne in znanstvene vrednosti. Velik del uporabniške računalniške opreme je bil pripoznan kot prestar (približno 60 odstotkov opreme starejše od pet let) in je kot takšen zahteval preveč intervencij in vzdrževanja, diskovna polja pa zelo zasedena, kar naj bi predstavljalo tveganje slabe odzivnosti ter možnost izpadov delovanja. Po mnenju presojevalca bi knjižnica morala imeti redna investicijska sredstva za letno zamenjavo 20 do 25 odstotkov obstoječe 77

94 računalniške opreme, za nakup novih diskovnih kapacitet, posodabljanje diskovnih polj za zaščito podatkov ter za redno obnavljanje, dograjevanje ali nabavo komunikacijske opreme. Kot alarmantno je izpostavil dejstvo, da je bil načrt investicij v informacijsko tehnologijo v letu 2010 uresničen le v obsegu 30 odstotkov, v letu 2011 pa le še 6-tih odstotkov. Ukrepe za odpravljanje ugotovljenih slabosti je knjižnica upoštevala pri pripravi novega strateškega načrta, ki kot strateški cilj vključuje tudi izdelavo celovitega strateškega načrta razvoja informatike do konca leta 2017 ter zagotavljanje ustrezne opreme IKT in kadrov za podporo njenim uporabniškim in poslovnim procesom (Strateški načrt NUK za obdobje , 2014). Vzpostavila je tudi enovito organizacijsko enoto za informacijsko podporo dejavnostim knjižnice, z opredeljenimi pristojnostmi in odgovornostmi zaposlenih (Enota za informacijsko tehnologijo in digitalno knjižnico). Kljub radikalnemu vsakoletnemu zmanjševanju sredstev za opremo IKT v primerjavi z vlaganji za njen razvoj do leta 2009, je bilo ves čas zagotovljeno neprekinjeno delovanje računalniške infrastrukture, potrebne za delovanje vseh servisov, ki jih za nemoteno delo potrebujejo zaposleni v NUK in ki jih NUK nudi uporabnikom. Še posebna skrb je bila namenjena razvoju in vzdrževanju omrežja, servisov in strežnikov, tudi za podporo poslovno-informacijskemu sistemu in Digitalni knjižnici Slovenije. Po letu 2012 je knjižnici kljub temu, da za investicije ni več prejemala proračunskih sredstev oziroma so bila slednja minimalna, uspelo z lastnimi sredstvi povečati diskovne kapacitete v centru informatike CINUK, za center na Turjaški so bila nabavljena diskovna polja za zrcaljenje najpomembnejših podatkov s primarnega centra na Leskoškovi, zamenjani so bili zastarela knjižnica za varnostne kopije podatkov in zastareli strežniki, letno so se posodabljale računalniške delovne postaje, s čimer se je njihova povprečna starost zmanjšala na štiri leta. Zamenjana sta bila sistem za kontrolo pristopa in rezervacijo čitalniških sedežev ter tiskalniški sistem. Za zanesljivo delovanje računalniškega centra je bilo pomembno tudi vzdrževanje sistemske programske opreme, to je vzdrževanje za okolje Windows in Office, zaščita omrežja pred napadi z interneta in virusi, ter nakup okolja VMWARE (virtualizacija delovnih namizij). Kompleksno omrežje je zahtevalo tudi sodelovanje zunanjih izvajalcev, saj je knjižnica le z njihovo pomočjo lahko zagotavljala stalno razpoložljivost servisov uporabnikom. Zaradi številnih varčevalnih ukrepov v javnem sektorju, in v letu 2012 sprejetega Zakona o uravnoteženju javnih financ (ZUJF), je morala knjižnica kot posredni proračunski uporabnik 78

95 zmanjševati število zaposlenih, za vzdrževanje in razvoj informacijskega sistema pa investicijska sredstva zagotavljati pretežno ali v celoti iz lastnih prihodkov. V zadnjih letih so bile investicije na področju informatike minimalne, saj potrebnih proračunskih sredstev knjižnica v ta namen ni prejemala. Načrt nujnih investicij na področju informatike je bil tako v letu 2016 uresničen le v obsegu 13 odstotkov, kar pomeni, da npr. niso bili uresničeni zamenjava požarnega zidu in zastarelih strežnikov, dodatne kapacitete na diskovnem polju in replikacija ključnih strežnikov niso bile zagotovljene, pogoji za arhiviranje in varnostno kopiranje podatkov niso bili nadgrajeni v skladu s potrebami itd. (Letno poročilo 2016, 2017). Posledice omenjenih varčevalnih ukrepov države pomenijo na področju zagotavljanja pogojev za informacijsko varnost za javne zavode velika potencialna tveganja, ki se bodo v prihodnjih letih zaradi zastarevanja opreme IKT ter nezadostnih sredstev za njeno vzdrževanje in nakup nove predvidoma še stopnjevala. 5.3 Upravljanje informacijske varnosti Knjižnica še nima vzpostavljenega celovitega sistema upravljanja informacijske varnosti in sprejete krovne politike informacijske varnosti (dokument je v izdelavi), izvaja pa različne tehnične in organizacijske postopke ter ukrepe, ki se nanašajo na varovanje informacij in sredstev informacijske infrastrukture pred tveganji izgube, zlorabe, razkritja in poškodbe, ter nadzor, ki ga mora opravljati organizacija, da zagotovi obvladovanje morebitnih tveganj. Oceno obstoječega stanja in predlog nadaljnjih ukrepov smo pripravili na osnovi pregleda uresničevanja referenčnih ciljev kontrol, ki jih vključuje Dodatek A Standarda SIST ISO (2013) (Priloga 5). Gradivo bo uporabljeno pri pripravi strateškega dokumenta knjižnice o razvoju informatike. Poleg upoštevanja zakonodaje in drugih dokumentov, ki se nanašajo na področje zavarovanja podatkov in informacij v klasični oziroma digitalni obliki 23, ima knjižnica sprejete tudi lastne dokumente (pravilniki ter sklepi in navodila ravnatelja), ki vključujejo pravila oziroma določajo potrebna ravnanja zaposlenih in pogodbenih partnerjev na področju varovanja, dostopa, obdelave, shranjevanja, prenosa in uničenja podatkov in informacij. Omenili bomo le nekatere. 23 Npr. Smernice za zajem, dolgotrajno ohranjanje in dostop do kulturne dediščine v digitalni obliki (2013). 79

96 Pravila ravnanja delavcev v delovnem razmerju v Narodni in univerzitetni knjižnici (2005) predpisujejo priporočeno in želeno obnašanje in ravnanje zaposlenih ter ravnanja ali opustitve ravnanj, ki pomenijo kršitve obveznosti delavcev. Med ravnanji, ki predstavljajo kršitev, so navedena tudi tista, ki se neposredno ali posredno nanašajo na varovanje podatkov in informacij. Pravilnik o postopkih za zavarovanje osebnih podatkov v Narodni in univerzitetni knjižnici (2007) določa pravne, organizacijske in ustrezne tehnične postopke in ukrepe za zavarovanje osebnih podatkov uporabnikov in zaposlenih ter drugih osebnih podatkov, ki jih knjižnica zbira, obdeluje, posreduje ali uporablja. Določa tudi prostore in delovna mesta ter odgovornosti na njih zaposlenih delavcev, pooblaščenih za zbiranje in obdelavo osebnih podatkov. Podrobno so opredeljeni ukrepi za zavarovanje sistemske in aplikativne programske opreme, s katero se osebni podatki obdelujejo, ter ukrepi za zagotovitev varnosti posredovanja in prenosa osebnih podatkov. S predpisanimi postopki in ukrepi se: preprečuje nepooblaščen ali neregistriran dostop do prostorov ter strojne in programske opreme, slučajno ali namerno nepooblaščeno uničenje podatkov, njihova sprememba ali izguba ter nepooblaščen dostop, obdelava, posredovanje in uporaba osebnih podatkov. Na področju trajnega ohranjanja pisne kulturne dediščine v klasični in digitalni obliki ima knjižnica izdelan tako strateški dokument kot izvedbene dokumente za uresničitev ciljev. Strateški cilji se nanašajo tudi na zagotavljanje celovitosti, razpoložljivosti in zaupnosti informacij (Strategija trajnega ohranjanja digitalnih virov v Narodni in univerzitetni knjižnici , 2012). Pravila, ki jih morajo upoštevati uporabniki knjižnice pri uporabi njenih prostorov, informacijskih virov in tehnologije (omrežja, naprav in programske opreme), ter pravice in dolžnosti knjižnice do uporabnikov, določa Pravilnik o splošnih pogojih poslovanja Narodne in univerzitetne knjižnice (2015). Dokument vključuje določbe za zavarovanje različnih vrst podatkov in informacij, tako z organizacijskega in tehničnega kot tudi pravnega vidika. 80

97 5.4 Varovanje knjižnične zgradbe, prostorov in opreme Kontrola pristopa s pomočjo avtentikacije RFID Preden sploh lahko začnemo razmišljati o zagotavljanju elektronske varnosti, je treba zagotoviti fizično varnost opreme, ki zagotavlja elektronske storitve. Poleg varnostnih služb in video nadzora potrebujemo tudi sistem, ki nepooblaščenim osebam preprečuje fizični vstop v infrastrukturno pomembne dele zgradbe. Uvede se lahko sistem osebnih avtentikacijskih kartic, ki omogočajo nadzor ob vstopu v prostore z omejenim gibanjem, še večjo zaščito pa omogočajo biometrične kontrole pristopa. Ker je uporaba biometrije v Sloveniji zakonsko zelo omejena, se večina organizacij odloča za sistem RFID, tj. sistem radio frekvenčne identifikacije, ki omogoča prenos podatkov med čitalcem in elektronsko kartico. Najpogosteje se uporablja pasivna tehnologija kartic, kar pomeni, da čitalec oddaja magnetno polje, ki napaja tudi elektronske kartice in slednje ne potrebujejo dodatnega napajanja. Seveda pa elektronske kartice same po sebi ne zagotavljajo, da je oseba, ki kartico uporablja, dejansko tudi oseba, ki ji je bila kartica dodeljena. Za zagotavljanje višjih stopenj varnosti je treba uporabiti dodatne mehanizme preverjanja, kot so kode PIN ali gesla, še bolj zanesljiv varnostni mehanizem pa je sočasna uporaba biometričnih tehnologij. V NUK je bila v letu 2015 izvedena zamenjava celotnega sistema elektronske kontrole pristopa. Star sistem je bil v uporabi 15 let in njegovo nadgrajevanje ni bilo več finančno vzdržno. Temeljil je na Westinghousovi tehnologiji kartic, ki niso bile kompatibilne s tehnologijo RFID. Zaradi zastarelosti sistema je prihajalo do prekinitev njegovega delovanja, stroški nakupa elektronskih kartic so presegali desetkratnik cene modernejših kartic RFID, poleg tega je sistem zahteval ogromno vzdrževalnih posegov zunanjih izvajalcev, kar je pomenilo visoke obratovalne stroške. Pri načrtovanju novega sistema kontrole se je knjižnica odločila za tehnologijo elektronskih kartic RFID, ki je cenovno dostopna, njena implementacija relativno enostavna, stroški za nakup dodatnih kartic pa nizki. Podjetje, izbrano za implementacijo sistema, je hkrati z zamenjavo sistema nadgradilo obstoječe čitalce na vratih in opravilo zamenjavo elektronske ure za vodenje evidence prihodov in odhodov zaposlenih. Programska oprema omogoča nadzor nad celotnim sistemom kontrole pristopa, dodeljevanje pravic dostopa zaposlenim in uporabnikom knjižnice, beleženje prehodov v prostore z omejenim gibanjem in beleženje ur 81

98 prisotnosti zaposlenih. Za potrebe knjižnice je bil razvit tudi programski dodatek/modul, ki omogoča komunikacijo s knjižničnim informacijskim sistemom COBISS ter preverjanje statusa študentov, kar knjižnica potrebuje pri dodelitvi in uporabi članskih izkaznic. Ob zamenjavi sistema kontrole pristopa je bila opravljena zamenjava elektronskih kartic zaposlenih in uporabnikov knjižnice. Izdajanje novih kartic je poenostavljeno in ne zahteva intervencij s strani administratorjev, kot je bilo potrebno pri starem sistemu kontrole pristopa. Odprtost novega sistema pa omogoča tudi nadaljnje nadgradnje in širitve funkcionalnosti 24. Nov sistem je z varnostnega vidika dobro zavarovan, vsa komunikacija med strežniki poteka šifrirano, tako znotraj zgradbe knjižnice, kot tudi povezava z IZUM, ki hrani bazo podatkov o članih knjižnic. Med čitalci in ostalo opremo se pošiljajo le številke kartic, kar omogoča zaščito osebnih podatkov. Potencialno varnostno tveganje predstavljajo naprave, ki omogočajo kopiranje kartic RFID, vendar mora zlonamerni uporabnik najprej pridobiti originalno kartico ali iz nje prebrati številko ID Elektronski sistem najema garderobnih omaric Kontrola pristopa bo v naslednjem projektu nadgrajena še z elektronskim sistemom najema knjižničnih garderobnih omaric. Trenutno stanje je analogno, torej deluje na principu običajnih ključev. Postopek izposoje ključa je zamuden, prav tako vodenje evidence izposojenih ključev in pobiranja zamudnin za nepravočasno vrnjene ključe. Nov sistem bo omogočal avtomatizirano dodelitev garderobnih omaric članom knjižnice. Član bo izbral omarico in jo aktiviral s pomočjo članske kartice, v zaledju pa bo tekel elektronski servis, ki bo preverjal veljavnost izkaznic in trenutno stanje rezerviranih garderobnih omaric. Če bo član uspešno prestal zahtevane pogoje za izposojo, se mu bo dodelila garderobna omarica, ki jo bo lahko odpiral s pomočjo članske izkaznice. Stroški najema omarice se bodo 24 Tako je že bil vzpostavljen nov sistem rezervacije sedežev v Veliki čitalnici, ki članom omogoča spletni pregled zasedenosti čitalnice in rezervacijo sedeža s člansko izkaznico. Sledila bo popolna avtomatizacija rezervacijo sedežev, ki bo mogoča na samopostrežnem terminalu, ter če se bo pojavila potreba, tudi prek spletne rezervacije ali aplikacije za mobilne telefone. 25 Za preprečitev tovrstnih zlorab se lahko uporabi naprednejše kartice RFID, ki omogočajo dodatna šifriranja na sami kartici, seveda pa to pomeni višjo ceno kartic in dražje čitalce (npr. kartica Urbana uporablja napredne mehanizme zaščite pred kopiranjem). 82

99 pripisali članskemu računu v sistemu COBISS in jih bo lahko član poravnal na plačilnem okencu na oddelku izposoje, kjer potekata tudi izposoja in vračila knjižničnega gradiva. Uporabnikom bo zagotovljena tudi večja zasebnost, saj zaposleni ne bodo več imeli vpogleda (razen v primeru upravičenih razlogov) v podatke o najemnikih omaric. Omarica bo oddana številki ID uporabnikove kartice, kar omogoča večjo zasebnost in varovanje osebnih podatkov. Sam postopek najema bo tudi popolnoma avtomatiziran in ne bo potreboval intervencij s strani zaposlenih Informacijsko podprt tiskalniški sistem Do uvedbe obstoječega tiskalniškega sistema (leta 2014) knjižnica ni imela centraliziranega upravljanja tiskalniških storitev. V uporabi je bilo veliko število tiskalniških naprav različnih proizvajalcev, kar je pomenilo zapleten in drag sistem njihovega nadzora in vzdrževanja ter posledično tudi visoke stroške tiskanja. Knjižnica se je zato odločila za posodobitev tiskalniškega sistema, preračun stroškov je pokazal, da je bolj kot kupovanje lastnih tiskalniških naprav stroškovno racionalen njihov najem. Po uvedbi novega sistema so osebni tiskalniki ostali samo še pri zaposlenih, ki ravnajo s ključnimi osebnimi podatki, drugi imajo po hodnikih nameščene večopravilne tiskalniške naprave, ki omogočajo tiskanje, skeniranje in pošiljanja skeniranih dokumentov prek e-pošte. V knjižnici deluje tudi Repro center z napravami za tiskanje obsežnejših gradiv. Zaposleni posredujejo svoje dokumente v tisk prek računalniške mreže, s samo tiskalniško napravo pa lahko upravljajo le uslužbenci centra. Nov tiskalniški sistem je informacijsko podprt, namenska aplikacija omogoča centraliziran nadzor nad delovanjem in stanjem naprav prek strežnika. Znotraj aplikacije so prek upravljavskega portala»vidne«vse tiskalniške naprave, iz opisa lahko razberemo katera naprava trenutno ni aktivna in preverimo v kakšnem stanju je ter potrebne intervencije že vnaprej predvidimo. Vsa komunikacija s partnerskim podjetjem poteka avtomatizirano, prav tako naročanje servisov tiskalniških naprav in potrebnega materiala. Vodstvu sistem zagotavlja natančne podatke za upravljanje stroškov in porabe virov. Uvedba novega sistema je bila povezana tudi z zavedanjem o nujnosti zagotavljanja pravice njegovih uporabnikov do zasebnosti ter varovanja v tiskalniški sistem posredovanih in natisnjenih informacij pred nepooblaščenimi dostopi. Zaradi tega je bil potreben ustrezen sistem preverjanja istovetnosti (avtentikacija), ki zagotavlja, da izpise dejansko dobi oseba, ki 83

100 jih je poslala v tiskanje. Ko zaposleni pošlje dokument v tiskalniški sistem, se le-ta pojavi znotraj njegovega profila, vendar se ne natisne, dokler ne obišče tiskalnika in se identificira s službeno magnetno kartico ali vpiše svoje uporabniško ime, ki ga sicer uporablja pri delu na osebnem računalniku. Če zaposleni v treh dneh ne»prevzame«dokumenta, le-ta izgine iz njegovega profila. Z varnostnega vidika je nov tiskalniški sistem mnogo bolj varen in upošteva pravice uporabnikov do zasebnosti. Vsa komunikacija od računalnika zaposlenega do tiskalniškega strežnika je šifrirana, vpogled v dokumente, ki so oddani v tiskanje, pa je omogočen samo določenemu administratorskemu računu, katerega uporaba se beleži v dnevniške zapise tiskalniškega sistema. Zaradi še večje varnosti so ključna delovna mesta, ki imajo največ opravka z osebnimi podatki, ohranila lokalne tiskalnike znotraj pisarn (npr. računovodstvo). 5.5 Varovanje elektronskih informacijskih virov NUK svojim uporabnikom nudi poleg klasičnih informacijskih virov tudi dostop do številnih elektronskih informacijskih virov. Slednji vključujejo prosto dostopne in plačljive vire, ki so glede na licenčne pogodbe z njihovimi dobavitelji, dostopni le določenim uporabnikom (članom) in pod določenimi pogoji. Pri iskanju ter uporabi licenčnih virov znotraj knjižnice ni omejitev, večji izziv za knjižnico pa je zagotavljanje dostopa do njih z mest izven notranjega omrežja knjižnice. Knjižnica plačuje letna nadomestila ponudnikom elektronskih virov, pogodbeno pa je določeno, kdo in od kod lahko do teh virov dostopa prek sistema oddaljenega dostopa. Kot primerno rešitev za oddaljeni dostop je knjižnica izbrala programsko podporo EZproxy ameriškega ponudnika OCLC. EZproxy je spletni posredniški strežnik, ki omogoča oddaljen dostop do elektronskih virov t. i. upravičenim uporabnikom. Uporabnik se mora najprej prijaviti v spletnem portalu EZproxy, po uspešni prijavi pa lahko preiskuje in prenaša elektronske vire na svojo računalniško delovno postajo. EZproxy opravlja delo posrednika med uporabnikom in ponudnikom elektronskega vira, in sicer tako, da namesto uporabnikovega naslova IP ponudniku vira kaže svoj naslov IP, ki pa mora biti pri ponudniku vira na seznamu naslovov, ki imajo dovoljenje za dostop do določenega elektronskega vira. Slika 5.2 prikazuje potek prijave in delovanja strežnika EZproxy v primeru, ko knjižnica najame EZproxy kot storitev pri ponudniku OCLC, možna pa je tudi lastna postavitev posredniškega strežnika in njegovo vzdrževanje. V tem primeru mora 84

101 knjižnica sama vzdrževati bazo uporabniških imen in gesel upravičenih uporabnikov ter zagotoviti pregledovanje dnevniških zapisov o dostopih do strežnika, v primeru poizkusa zlorab pa le-te onemogočati. Slika 5.2: Avtentikacija uporabnikov elektronskih virov prek posredniškega strežnika EZproxy Vir: OCLC (2015a) Alternativa lokalnim posredniškim strežnikom, kjer morajo organizacije same vzdrževati bazo upravičenih uporabnikov, je uporaba infrastrukture za avtentikacijo in avtorizacijo (AAI), ki omogoča enotno prijavo (ang. SSO Single Sign On) v spletne aplikacije in servise, s tem pa enostavnejše dostopanje do različnih informacijskih virov in storitev, tj. z enim samim korakom pri prijavi (na primer z uporabniškim imenom in geslom), ki je za uporabnika enoten in neodvisen od prijavnega sistema ponudnika storitve ali aplikacije. Nabor podatkov, ki jih aplikacija sme vedeti o uporabniku, je omejen in pred vsakim vstopom v aplikacijo uporabniku znan. Sama prijava v posamezno spletno aplikacijo ali storitev sestoji iz dveh delov, tj. avtentikacije in avtorizacije. Za avtentikacijo uporabnika je zadolžen prijavni sistem za avtentikacijo, ki je praviloma urejen v organizaciji (ang. IdP identity provider), kjer je uporabnik zaposlen ali se izobražuje oziroma je v kakršnem koli drugem odnosu z njo. Preverjanje avtorizacijskih podatkov pa opravlja dodatna neodvisna komponenta spletnega strežnika na strani ponudnika aplikacije (ang. SP service provider). Kombinacije IdP-jev in SP-jev so lahko samostojne znotraj posameznih organizacij ali pa se povežejo v večja med seboj priznavajoča se okolja, tj. v federacije AAI. Bistvo infrastrukture AAI je, da matične organizacije svojim članom same dodeljujejo pravice dostopa do posameznih informacijskih virov v skladu s svojimi pravili oziroma sklenjenimi pogodbami s ponudniki spletnih servisov, zato se le-tem ni treba ukvarjati z dodeljevanjem uporabniških imen, zbiranjem podatkov in preverjanjem statusov o uporabnikih in o njihovi 85

102 upravičenosti do ponujene storitve 26. Rezultat uporabe koncepta infrastrukture AAI je takó olajšano upravljanje z uporabniškimi identitetami (Batič in Šoštarič, 2013). 5.6 Varovanje računalniškega sistema, omrežja in programske opreme Centralno upravljanje posodobitev operacijskih sistemov delovnih postaj in strežnikov V poslovnih okoljih se že od samega začetka pojavlja izziv oziroma zahteva po zagotavljanju varnosti na ravni operacijskih sistemov, kar terja sprotno nameščanje programskih posodobitev 27. Popravki so namenjeni krpanju odkritih varnostnih lukenj, ki v najslabšem primeru omogočajo vdore v sistem, v lažji obliki pa predstavljajo tveganje za zanesljivost delovanja operacijskega sistema. Namenjeni so strežniškim operacijskim sistemom oziroma delovnim postajam, obstajajo pa tudi popravki za pisarniške pakete in ostale ključne komponente, integrirane v operacijskih sistemih (npr. protivirusna zaščita). Zaradi večjega nadzora nad nameščanjem popravkov na strežnike in delovne postaje se v NUK uporablja strežniško orodje WSUS, ki omogoča natančno upravljanje, nameščanje in pregledovanje nameščenih popravkov znotraj Microsoftovih operacijskih sistemov. Upravljavska nadzorna plošča omogoča prenos popravkov na lokalni disk strežnika, za vsak varnostni popravek pa se lahko določi, na katere postaje naj se namesti, kar omogoča testiranje popravkov pred namestitvijo v produkcijsko okolje. Testiranje je nujno potrebno, ker se občasno zgodi, da proizvajalec izda popravke, ki onemogočijo normalno delo z operacijskim sistemom in jih po poročanju strank nato umakne iz repozitorija popravkov. Delovanje strežniškega orodja WSUS prikazuje Slika 5.3. Administrator najprej določi, katere kategorije popravkov želi organizacija prejemati (glede na zahteve okolja), v naslednjem koraku se popravki prenesejo s spleta na lokalni strežnik, sledi nameščanje popravkov glede na vnaprej določene skupine naprav (v NUK obstajata ločeni skupini, tj. skupina za strežnike in skupina za delovne postaje). 26 Ponudnik spletnega servisa dodeli pravico do uporabe njegove storitve članom določene organizacije (vsem ali določenemu krogu, npr. študentom, zaposlenim, raziskovalcem ) in se pri tem ne ukvarja z vprašanjem, katera konkretna oseba ima to pravico. 27 Ponudniki jih običajno izdajajo mesečno, Microsoft pa na primer zadnjih deset let popravke pošilja/izdaja na tako imenovani»patch tuesday«, torej vsak drugi torek v mesecu. 86

103 Slika 5.3: Delovanje strežniškega orodja WSUS Vir: itech (14. april 2017) Centralno upravljanje posodobitev programske opreme na delovnih postajah Poleg posodabljanja operacijskega sistema je treba posodabljati tudi ostalo programsko opremo, ki je nameščena v sistemu. Ker se v zadnjih letih največ vdorov v računalniške sisteme zgodi ravno prek dodatno nameščenih programov, zlasti prek programja Adobe Flash, Acrobat in Java, je treba v poslovnih okoljih zagotoviti sprotno posodabljanje vse nameščene programske opreme, ne samo operacijskega sistema. Težave se pojavijo, ko se želimo tega lotiti centralizirano in sistematično skoraj vsako posamezno programsko opremo namreč razvija drug proizvajalec, ki na različne načine skrbi za njeno posodabljanje 28. Pri tem nam zelo pomaga t. i. beli seznam (ang. whitelist) aplikacij, ki vključuje tiste, ki so lahko nameščene na računalniških sistemih znotraj organizacije, in omogoča centralizirano posodabljanje programske opreme na daljavo. V NUK je v preteklosti posodabljanje programske opreme večinoma potekalo ročno ob posegu na posamezni delovni postaji so se preverile tudi različice nameščenih dodatnih programov in se po potrebi posodabljale. Tak način dela je bil zamuden tako za sistemske administratorje kot za uporabnike delovnih postaj, zato je knjižnica iskala drugačne možnosti posodabljanja opreme. Na osnovi testiranja se je odločila za nabavo programskega paketa 28 Nekateri ponudniki (npr. Adobe in Oracle) uporabnike obveščajo o nujnosti posodobitve določene programske opreme na zaslonih njihovih računalnikov, drugi pa se z obveščanjem o novejših različicah sploh ne ukvarjajo. 87

104 Ninite Pro, ki ponuja pregleden in za uporabo enostaven uporabniški vmesnik 29 ter omogoča centraliziran nadzor nad vsemi nameščenimi programi in preverjanje njihovih posodobitev. Za zagotavljanje varnosti poslovnega okolja je v določenih primerih potrebna hitra intervencija s strani sistemskih administratorjev oziroma posodobitev programske opreme, za katero je bila odkrita (objavljena) kritična pomanjkljivost. Pravočasno ukrepanje je mogoče le z uporabo avtomatiziranih in centraliziranih programskih rešitev za posodabljanje programske opreme na daljavo Centralizirana protivirusna zaščita delovnih postaj in strežnikov V poslovnih okoljih je eden od prvih branikov pred okužbami in vdori protivirusna zaščita delovnih postaj in strežnikov. Ker je ponudnikov tovrstne programske opreme veliko, se pri njenem izboru vsaka organizacija sreča z vprašanjem, katero izbrati. Eden od kriterijev izbora je možnost centraliziranega upravljanja programske opreme, pomembni pa so tudi zanesljivost rešitve (število pravilno odkritih virusov, ter število odkritih okužb, ki to niso), sistemske zahteve za delovanje, cena ter sistemska podpora proizvajalca. Ob tem pa se moramo zavedati, da ne glede na izbrano protivirusno rešitev, le-ta predstavlja le majhen del v naboru potrebnih ukrepov za zaščito delovnih postaj in strežnikov, saj jih ščiti samo pred splošno znanimi okužbami in že odkritimi ranljivostmi operacijskih sistemov. V NUK se uporablja protivirusna zaščita proizvajalca Microsoft, ki omogoča centraliziran nadzor nad delovnimi postajami in strežniki (preverjanje stanja poslovnega okolja organizacije), samodejno nameščanje novih definicij, določanje politik samodejnega ukrepanja ob varnostnih incidentih (odkritih virusih), obveščanje pooblaščenih oseb in izvajanje potrebnih ukrepov pri odpravljanju okužbe. Na upravljavski nadzorni plošči administrator vidi trenutno stanje okužb delovnih postaj in strežnikov ter ostale ključne informacije, pomembne za administracijo sistema. Z vidika informacijske varnosti centraliziran sistem protivirusne zaščite omogoča takojšnjo zaznavo in ukrepanje v primeru zaznave potencialnih okužb poslovnega okolja. Osebe, odgovorne za informacijsko varnost, so o vseh incidentih takoj obveščene prek elektronske pošte. 29 Na levi strani zaslonske slike prikazuje vse računalnike in strežnike v poslovnem okolju, na desni strani lahko izbiramo programsko opremo, ki jo lahko z njim nadzorujemo in posodabljamo, spodaj pa izberemo ali želimo preveriti/namestiti/posodobiti prej izbrano programsko opremo na prej izbranih računalniških postajah. 88

105 5.6.4 Varnostna zaščita elektronske pošte Prek elektronske pošte poteka komunikacija znotraj organizacije in z osebami zunaj nje. V NUK se za upravljanje elektronske pošte uporablja program Exchange Server in kot odjemalec Outlook. Dostop do pošte je zaposlenim omogočen tudi prek spletnega dostopa Outlook Web Access. Za zaznavanje in preprečevanje neželene (ang. spam) in škodljive (ang. malware) pošte knjižnica uporablja več varnostnih tehnik, v letu 2016 je začela uporabljati tudi oblačne storitve Microsoft Azure, v katerih ima shranjeno kopijo aktivnega imenika (AD), primarno pa se oblak uporablja za dvostopenjsko avtentikacijo in filtriranje neželene pošte, zaposlenim pa omogoča tudi dostop do storitve Office 365. Pošta je pred dotokom v poslovno okolje knjižnice pregledana s pomočjo varnostnih mehanizmov, ki jih omogoča oblačna storitev Azure, po vstopu v poslovno okolje pa je dodatno pregledana s pomočjo večjega števila protivirusnih programskih rešitev, za katere se definicije stalno posodabljajo. Zadnjo linijo obrambe zagotavljajo protivirusne programske rešitve na delovnih postajah, izobraževanje zaposlenih na področju varne uporabe elektronske pošte ter njihovo pravočasno obveščanje o morebitnih nevarnostih. V zadnjih dveh letih so poslovnim okoljem največje težave povzročali izsiljevalski virusi, ki zašifrirajo vse virusu dostopne (uporabniške) datoteke in zahtevajo celo plačilo v zameno za njihovo povrnitev. Knjižnica je do zdaj imela dva tovrstna napada z izsiljevalskimi virusi, ki pa sta bila zaznana pravočasno in uspešno odpravljena Varnostna zaščita računalniške učilnice V poslovnih okoljih je poleg skrbi za varno notranje omrežje, namenjeno zaposlenim, pogosto treba skrbeti tudi za varnost posameznih delov omrežja, ki so dostopni zaupanja manj vrednim uporabnikom. Primer takega okolja je računalniška učilnica NUK z 19 računalniškimi delovnimi postajami. Učilnica je namenjena zaposlenim za interna izobraževanja in tečajem, ki jih knjižnica opravlja za svoje uporabnike, učilniške kapacitete pa oddaja tudi zunanjim najemnikom za njihova izobraževanja. Zaradi zunanjih uporabnikov prostora in računalniške opreme se informacijska varnostna tveganja za poslovno okolje še povečajo, zato so potrebni strožji varnostni ukrepi kot v primeru delovnih postaj zaposlenih. 89

106 Sistemski administratorji povečano varnostno tveganje v računalniških učilnicah rešujejo s kombinacijo ukrepov, ki zlonamernemu uporabniku onemogočijo neavtorizirano poseganje v samo poslovno okolje. Ukrepi segajo vse od segmentacije, tj. ločitve omrežja učilnice od ostalega notranjega omrežja, do omejevanja dostopa do pomembnih funkcij operacijskega sistema s skupinskimi varnostnimi politikami in z uporabo dodatne programske opreme. V NUK se za zaščito računalniške učilnice uporablja tako ukrep omrežne segmentacije kot tudi skupinskih varnostnih politik, ki vsem računalnikom v učilnici omejujejo dostop do potencialno škodljivih funkcionalnosti v operacijskem sistemu. Na vseh postajah, razen na predavateljskem računalniku so vhodi za zunanje pomnilniške enote izklopljeni. Uporabniki tako ne morejo namerno ali nenamerno okužiti računalnikov z virusi in ostalo škodljivo programsko opremo. S skupinskimi politikami so onemogočeni tudi dostopi do funkcij nadzorne plošče in do ukazne vrstice. Za dodatno zaščito je na delovnih postajah nameščena programska oprema Deep Freeze, ki omogoča, da se računalnike v učilnici»zamrzne«, kar pomeni, da se po vsakem ponovnem zagonu operacijskega sistema povrnejo v stanje ob zamrznitvi. Ob ponovnem zagonu sistema se tako vse spremembe, ki bi jih potencialno škodljivi uporabnik morebiti naredil, izničijo. Deep Freeze omogoča tudi določitev urnika, med katerim se vse postaje odklenejo ter omogočijo samodejno namestitev posodobitev operacijskega sistema in protivirusnih definicij, kar omogoča vzpostavitev informacijsko varnega in delujočega okolja za izobraževanja Varnostna zaščita javno dostopnih delovnih postaj V skladu z zakonodajo mora NUK v okviru izvajanja javne službe v svojih prostorih uporabnikom omogočiti dostop do informacij tudi prek spleta, kar predstavlja še večja varnostna tveganja kot v prejšnjem razdelku opisan primer računalniške učilnice. V primeru učilnice ima knjižnica evidenco o tem, kdo uporablja delovne postaje in kaj se na njih dogaja, česar pa v primeru javno dostopnih delovnih postaj praviloma nima. Zaradi tega je potrebna še višja raven varovanja kot v primeru računalniške učilnice. Pri zagotavljanju varnosti javno dostopnih postaj se organizacije običajno poslužujejo logike minimalnih pravic uporabnikov, kar pomeni, da jim omogočajo opravljati osnovne operacije, kot so spletno brskanje, urejanje dokumentov in tiskanje, vse ostale pa onemogočijo. 90

107 V NUK je javno dostopen prostor Informacijsko središče, kjer je nameščenih dvajset terminalskih delovnih postaj, povezanih s centralnim strežnikom. Takšna postavitev omogoča, da se vse pravice uporabnikom določajo prek omenjenega strežnika, delovne postaje pa so samo neke vrste prikazovalniki slike. Uporabnikom je omogočeno brskanje po spletu, vendar se s pomočjo požarnega zidu filtrirajo sporne spletne vsebine, ki niso primerne za obiskovanje na javnih mestih. Prav tako je onemogočena uporaba vseh zunanjih medijev, kot so ključki USB in zunanji diski. Datoteke si lahko uporabniki shranijo na zunanje medije na oddelku za izposojo knjižničnega gradiva, kjer jim osebje knjižnice naredi kopijo na njihovo pomnilniško napravo oziroma želene vsebine tudi natisne na papir. V prihodnosti se načrtujejo organizacijska in funkcionalna prenova Informacijskega središča ter dodatni ukrepi za povečanje informacijske varnosti. Dostop do prostora in s tem delovnih postaj se bo predvidoma omejil na člane knjižnice. Namestitev programske opreme MyPc 30, ki omogoča centraliziran nadzor javno dostopnih delovnih postaj, ter uporaba avtentikacije s članskimi izkaznicami, pa bi omogočila večji nadzor nad uporabniki delovnih postaj ter omejevanje časa njihove uporabe Oddaljen dostop do službenih delovnih postaj z dvostopenjsko avtentikacijo Časi, ko je bil dostop do notranjega omrežja organizacij mogoč le znotraj njihovih fizičnih prostorov, so že del zgodovine. Svojim zaposlenim danes omogočajo dostop do internih informacijskih storitev od koder koli, seveda pa je predpogoj mrežna povezljivost oziroma dostop do spleta. Nekatere organizacije celo ne poznajo več fizičnih delovnih mest znotraj svojih prostorov, ampak zaposlujejo osebe, živeče v različnih časovnih območjih, ki delajo od doma oziroma je njihova fizična lokacija prepuščena njihovemu izboru. Ob širitvi dostopa do informacijskih storitev organizacije z mest izven njihovih prostorov se pojavijo tudi dodatni izzivi varovanja poslovne infrastrukture. Poskrbeti je treba za varnost pri povezovanju v notranje omrežje, preprečiti neavtorizirane vstope in tudi preverjati stanje naprav, ki se v omrežje povezujejo od zunaj. Večina organizacij zaposlenim priskrbi službene prenosne računalnike, na katerih imajo večji nadzor in lahko oddaljeno skrbijo za njihovo vzdrževanje ter varnostno zaščito. Težave se pojavijo v primeru trenutno moderne paradigme»byod«30 Glej več: Programsko opremo MyPc že uporablja Mestna knjižnica Ljubljana. 91

108 (prinesi svojo napravo), ko zaposleni uporabljajo lastno računalniško opremo, ki pa v večini primerov ne omogoča oddaljenega vzdrževanja in je namenjena domači, ne pa poslovni uporabi. Težnja organizacij k zmanjševanju stroškov poslovanja tako vodi v zmanjševanje varnosti njihovih informacijskih okolij. V NUK je zaposlenim povezovanje na službene delovne postaje omogočeno prek protokola RDP (Remote Desktop Protocol), torej se lahko od doma povežejo na svoje službeno namizje. Dobra lastnost omenjenega protokola je, da je programska oprema za povezovanje že del vsakega operacijskega sistema Windows in jo poznajo tudi ostali operacijski sistemi. Povezovanje je, ob predhodni namestitvi odjemalca za RDP, možno tudi prek tablic in mobilnih telefonov. Za varnost je poskrbljeno s sistemom dvostopenjske avtentikacije, kar v praksi pomeni, da mora zaposleni poznati geslo za prijavo, po uspešni prijavi pa dobi prek SMS sporočila še enkratno kodo, ki jo vpiše med nadaljnjimi koraki prijave na svoje službeno namizje. Pri pametnih mobilnih telefonih in novejših tablicah je možna tudi namestitev aplikacije, ki med prijavo vpraša za potrditev uporabnika. Še večjo varnost pri oddaljeni prijavi v poslovni sistem bi omogočala uporaba biometrije, ki pa je v Sloveniji zakonsko zelo omejena in v primeru knjižnic implementacija takšnega sistema ni mogoča. V primeru dileme med zagotavljanjem varnosti poslovnega okolja oziroma omogočanjem dostopa na daljavo do računalniških delovnih postaj v službi se vedno na eni strani presoja potencialna varnostna tveganja in na drugi strani željo po delu zaposlenih zunaj službenih prostorov oziroma omrežja. Sistemski administrator mora namreč hkrati omogočati zaščito poslovnega okolja in odpreti omrežje za zunanji dostop. V NUK je bila sprejeta odločitev o omejenem načinu dostopa do poslovnega omrežja, in sicer z uporabo rešitve t. i. oddaljenega namizja, onemogočene pa so ostale storitve povezovanja ter prenosa datotek, kot sta Dropbox in povezave VPN. Vsak zaposleni, ki ima privilegij uporabe dostopa na daljavo, je seznanjen z osnovami dobre prakse vzdrževanja računalniških naprav (protivirusna zaščita, posodobitve operacijskega sistema, preprečevanje uporabe s strani drugih oseb ipd.), kajti večina jih za oddaljeno dostopanje uporablja lastne računalnike, kar predstavlja potencialno varnostno tveganje. 92

109 5.6.8 Brezžični omrežji Eduroam in Libroam Pobuda Eduroam (ang. education roaming) je nastala leta 2003 v okviru delovne skupine TF- Mobility, ki je predstavila možnost združevanja infrastrukture, temelječe na avtentikaciji RADIUS v povezavi s tehnologijo IEEE 802.1X za zagotavljanje gostovanja v brezžičnih omrežjih sorodnih raziskovalnih in izobraževalnih ustanov. Infrastrukturi Eduroam so se v začetni fazi priključile evropske raziskovalne in izobraževalne organizacije, dokaj hitro so jim sledile tudi tiste zunaj Evrope. Ker je Eduroam namenjen relativno zaprti ciljni uporabniški skupini, in so pravila, ki določajo pravico vstopa v sistem, določena z mednarodnimi dogovori organizacij, sodelujočih v zvezi TERENA, knjižnice svojih članov ne morejo vpisati v Eduroamove sheme in le-ti v primeru, da v svoji matični organizaciji ne morejo ali niso pridobili uporabniškega imena in gesla, nimajo možnosti brezžične povezave v internet niti v primeru, ko je v knjižnici omrežje Eduroam sicer dostopno (npr. v prostorih visokošolskih knjižnic). Zato se je v okviru Direktorata za informacijsko družbo pri nekdanjem Ministrstvu za visoko šolstvo znanost in tehnologijo porodila ideja o vzpostavitvi sorodnega sistema, ki bi povezoval slovenske knjižnice in v katerem bi imeli njihovi člani podobne možnosti gostovanja, kot to velja za uporabnike omrežja Eduroam. Po analogiji na Eduroam so sistem poimenovali Libroam. Ker bi knjižnice težko same vzdrževale podatkovne baze o svojih uporabnikih omrežja, je bila vloga»osrednjega«strežnika RADIUS za knjižnice poverjena skrbniku knjižničnega sistema COBISS, tj. IZUM, NUK ob pomoči zunanjega izvajalca upravlja strežnik sam, za Univerzitetno knjižnico Maribor pa Univerza v Mariboru. Ker NUK šteje knjižnični uporabniški prostor kot neodtujljiv sestavni del celotnega izobraževalnega in raziskovalnega okolja, ter je tudi sam kot univerzitetna in znanstvena knjižnica neposredno vpet v visokošolsko in raziskovalno okolje, se je leta 2009 odločil za sodelovanje v projektu vključitve v sistem Eduroam ter vzpostavitve omrežja Libroam. S tem je uporabnikom omogočil mobilnost pri dostopanju do interneta ter varnost povezovanja, hkrati pa zagotovil dostopnost omrežja le upravičenim uporabnikom. V letu 2016 je bila opravljena nadgradnja/zamenjava brezžičnega sistema Eduroam in Libroam. Zaradi napredka pri razvoju 93

110 tehnologij brezžičnih omrežij in zastarelosti sistema se je knjižnica odločila za celotno zamenjavo strojne opreme in tudi za nadgradnjo programske opreme 31. Z varnostnega vidika je nov sistem varnejši, kajti nove brezžične mrežne točke podpirajo najnovejše standarde na področju šifriranja in varovanja celovitosti brezžičnega omrežja. Dodatno raven varnosti pa omogoča že sam sistem Eduroam/Libroam, ki za delovanje uporablja certifikate in druge napredne varnostne mehanizme. Za uporabnike, ki nimajo pravice uporabe Eduroam/Libroam, NUK zagotavlja še dodatno brezžično (WIFI) omrežje, ki je zaščiteno z uporabo šifriranja WPA2/AES oziroma avtentikacije Nadzor nad poslovnim okoljem Vsako poslovno okolje potrebuje tudi nadzorni sistem, torej programsko opremo, ki omogoča centraliziran pregled nad stanjem njegove informacijske infrastrukture in nadzor nad strežniki, mrežno opremo ter okoljskimi senzorji v organizaciji. Za vsako infrastrukturno ali drugače pomembno napravo oziroma njeno storitev se določi test (preverjanje), ki opazuje spremembe pri njenem delovanju. Preverjamo lahko samo stanje naprave (je delujoča ali ne), ali pa se odločimo za naprednejše teste, ki preverjajo delovanje določenih procesov, zasedenost diskov ali obremenjenost procesorja v strežniku. Na okoljskih senzorjih 32 pa lahko preverjamo temperaturo in vlago v prostorih ter v primeru odstopanj sprožimo alarm. V NUK se za nadzor nad poslovnim okoljem uporablja programski paket Nagios. Slika 5.4 prikazuje glavno nadzorno ploščo programa Nagios, na kateri je vidno stanje vseh preverjanj v poslovnem okolju knjižnice. V trenutni konfiguraciji se opravlja okoli 5000 različnih testov na strežnikih, mrežni opremi, senzorjih in tiskalnikih. Testi na strežnikih preverjajo zasedenost diskov, obremenjenost procesorjev ter zasedenost navideznega polnilnika, in opozarjajo na potencialne težave s servisi, ki tečejo znotraj operacijskih sistemov, kar omogoča pravočasno ukrepanje. Nadzorujejo tudi stanje tiskalniškega sistema in posameznih mrežnih naprav ter 31 Namesto pokritosti s samo 15 brezžičnimi dostopnimi točkami, je bilo na osnovi meritev signala postavljenih 38 novih brezžičnih točk. Novost so tudi kontrolerji (WLC), ki upravljajo razdelitev odjemalcev med točkami. Če se na posamezno točko priklopi preveč naprav, jih kontrolerji za uporabnike neopazno prestavijo na manj obremenjene brezžične točke v njihovi bližini. 32 V NUK so nameščeni v glavnem skladišču knjižničnega gradiva in prostorih s centralno informacijsko-komunikacijsko opremo. 94

111 nanje priključene opreme in opozarjajo na morebitne napake pri njihovem povezovanju. Za ključne infrastrukturne naprave in servise program Nagios pooblaščene osebe o težavah obvešča tudi prek elektronske pošte in sporočil SMS, kar omogoča hitro ukrepanje in preprečevanje izpadov v delovanju poslovnega okolja. Slika 5.4: Glavna nadzorna plošča programa Nagios Vir: Ambrožič, lastna raziskava (2017) 5.7 Varovanje poslovnih aplikacij Poslovno-informacijski sistem Za podporo poslovnim procesom knjižnice (npr. finančno poslovanje, kadrovske evidence) se v NUK uporablja programska oprema Microsoft Navision, ki omogoča zelo podrobno dodeljevanje pravic zaposlenim, ki so odgovorni za posamezne poslovne funkcije. Določenemu zaposlenemu je omogočen dostop samo do tistih modulov poslovnega okolja, ki jih v skladu s pristojnostmi potrebuje za delo na svojem delovnem mestu. Za zagotavljanje dostopa do programske opreme Navision se uporablja sistem enotne prijave (ang. single sign-on), zaposleni torej ne potrebuje dodatnih uporabniških imen in gesel, avtentikacija v sistem se opravi ob prijavi v domensko okolje (uporabnik mora biti samo prijavljen v svojo delovno postajo). 95

112 5.7.2 Elektronski dokumentni sistem Za potrebe brezpapirnega poslovanja in lažjega vodenja administracije je knjižnica v letu 2015 implementirala elektronski dokumentni sistem. Sistem omogoča digitalizacijo vhodne pošte s pomočjo namenskega skenerja, pošta nato pot nadaljuje v digitalni obliki, izvirnik dokumenta, zapisanega na papirju, pa se shrani v arhiv. Dokumentni sistem podpira tudi delo z računi, tudi s tistimi, ki zahtevajo večstopenjsko potrjevanje. Sistem sam sledi verigi potrjevanja in prek elektronske pošte opozarja zaposlene na potrebne akcije oziroma potrditve. V prihodnosti je načrtovan še nakup modula za vodenje evidence in obračunov službenih poti zaposlenih. Za varnost aplikacije je poskrbljeno na enak način kot pri poslovno-informacijskem sistemu Navision, torej z dodeljevanjem pravic in določanjem ključnih odgovornih oseb, prijava v dokumentni sistem pa prav tako poteka samodejno s pomočjo sistema enotne prijave Druge poslovne aplikacije V NUK se za podporo izvajanju javnih naročil uporablja trenutno že precej zastarelo programsko opremo slovenskega ponudnika, razvito pred več kot desetletjem. Sistem omogoča večstopenjsko potrjevanje s strani pooblaščenih zaposlenih, ključnih oseb pri izvedbi javnih razpisov. S pomočjo elektronske pošte jih opozarja o potrebnih interakcijah in omogoča potrditev ali zavrnitev določenega koraka izvedbe javnega razpisa, zaposleni lahko tudi doda svoje komentarje, ki jih potem vidijo ostali udeleženi pri izvedbi javnega razpisa. Kljub zastarelosti sistem omogoča enostavno ter pregledno vodenje postopkov izvedbe javnih razpisov. V letu 2017 je knjižnica začela s preverjanji novejših alternativ programske podpore ter z dogovori z njihovimi ponudniki. Ker pred več kot desetletjem, ko je bila razvita trenutno uporabljana programska podpora za javna naročila, varnostna tveganja, kot obstajajo danes, še niso bila prisotna, je implementacija sodobnejše različice nujna tudi zaradi sodobnih informacijsko-varnostnih paradigem. 96

113 6 ZAKLJUČEK Javne knjižnice so organizacije, ki morajo prebivalstvu svoje storitve zagotavljati s čim manj omejitvami oziroma ovirami pri dostopanju do informacij, hkrati pa zagotavljati varnost ne le prostorov in opreme, ki jo uporabljajo obiskovalci in zaposleni, ampak tudi informacijskih virov in sistemov za hranjenje ter obdelavo informacij. Informacijska varnost je sistem zagotavljanja varnosti vseh vrst informacij ne glede na njihovo obliko, tj. ne glede na to ali so zapisane na klasičnih nosilcih zapisa, v elektronski obliki ali se prenašajo in hranijo kako drugače. V magistrski nalogi smo se omejili na vprašanja informacijske varnosti knjižnic v elektronskem okolju. Zaradi uporabe sodobne informacijske in komunikacijske opreme pri opravljanju praktično vseh delovnih procesov, vključenosti v internet, izzivov računalništva v oblaku ter ponudbe elektronskih informacijskih virov in storitev (dostopnih tudi prek oddaljenega dostopa in na mobilnih napravah), se knjižnice danes soočajo z vprašanji varnosti, ki so zanje nova in za njihovo reševanje zaposleni sami večinoma nimajo dovolj ustreznih znanj in usposobljenosti. Informacije, zapisane v elektronski obliki, so namreč izpostavljene široki paleti groženj in ranljivosti in brez ustrezne zaščite omogočajo nove oblike zlorab. V primeru informacijske varnosti v elektronskem okolju pa ne gre zgolj za računalniško varnost in varovanje računalniških sistemov, torej za zaščito računalniških sistemov in opreme pred nepooblaščenim dostopom in uporabo, ampak je ravno tako pomemben upravljavski vidik informacijske varnosti. Za učinkovito informacijsko varnost morajo imeti organizacije, tudi knjižnice, vzpostavljene sisteme upravljanja informacijske varnosti, sprejete varnostne politike, zagotovljeno ustrezno usposobljeno osebje za izvajanje nalog informacijske varnosti ter ustrezno stopnjo varnostne ozaveščenosti in informiranosti zaposlenih. Upravljanje informacijske varnosti mora vključevati dejavnosti za zagotovitev zaupnosti, celovitosti in razpoložljivosti informacij tako na strateški kot operativni ravni. Vsaka organizacija bi morala imeti jasne smernice oziroma politike, ki narekujejo dopustno uporabo in hranjenje informacij, ter o njih redno seznanjati svoje zaposlene, v procesu upravljanja informacijske varnosti pa imeti vzpostavljen tudi sistem upravljanja informacijsko-varnostnih tveganj. 97

114 Pri načrtovanju in izvedbi raziskave so nas vodila na začetku oblikovana raziskovalna vprašanja, z analizo zbranih raziskovalnih podatkov pa smo pridobili argumente za potrditev oziroma zavrnitev vnaprej zastavljenih znanstvenih predpostavk (hipotez). V magistrski nalogi smo najprej problematiko informacijske varnosti nasploh in posebej v elektronskem okolju predstavili s teoretičnega vidika, da bi nato v drugem delu naloge na osnovi empiričnih podatkov, zbranih z anketno študijo in študijo primera, ugotavljali obstoječe stanje v slovenskih javnih knjižnicah. Pri tem nas je zlasti zanimalo, kakšna je njihova seznanjenost s posameznimi vidiki informacijske varnosti ter na kakšen način upravljajo informacijsko varnost. Kljub številnim pogovorom in dogovorom o izvedbi anketne študije in korektnem načinu obveščanja odgovornih oseb v anketni vzorec vključenih knjižnic, sta anketna vprašalnika naletela na zelo skromen odziv, s strani dveh odgovornih oseb pa je bila izražena celo zaskrbljenost, da bodo rezultati anket morebiti predstavljeni na neprimeren, za knjižnice škodljiv način. O razlogih za takšna razmišljanja se nismo posebej spraševali, predvidevali smo, da gre za nezadovoljivo raven poznavanja pomena informacijske varnosti oziroma za morebitno nezadostno obveščenost o grožnjah informacijski varnosti, ki so jim izpostavljene tudi knjižnice. Namena in zastavljenih ciljev raziskave zato nismo uspeli uresničiti v želenem obsegu, izpostavili pa smo nekatere ugotovitve, ki lahko predstavljajo izhodišča za širšo razpravo o vprašanjih informacijske varnosti slovenskih knjižnic, ter preizkusili postavljene hipoteze. S Hipotezo 1 smo predpostavili, da se knjižnice zavedajo pomena zagotavljanja informacijske varnosti nasploh in še posebej v elektronskem okolju, in jih zato problematika zanima v tej meri, da se bodo na povabilo k sodelovanju v raziskavi odzvale večinsko. Povabilo smo posredovali 152 vodjem oziroma odgovornim osebam knjižnic, prejeli pa le 31 (20 odstotkov) izpolnjenih anket za osebje, v knjižnicah pristojno za vprašanja informacijske varnosti. Slab je bil tudi odziv na anketo za zaposlene v knjižnicah, saj se je odzvalo le 153 oseb, med njimi 59 iz nacionalne knjižnice. Vzrok za nizek odziv je lahko v ravnanju odgovornih oseb knjižnic, ki morebiti vprašalnikov niso posredovale potencialnim anketirancem, ali pa v nezainteresiranosti slednjih za obravnavano tematiko oziroma v njenem nepoznavanju. Hipoteze 1 glede na manjši odziv knjižnic od predvidenega ne moremo potrditi. Ker dejansko vsa dejavnost knjižnic temelji na informacijah, smo s Hipotezo 2 predpostavili, da imajo na razpolago potrebno osebje in tehnologijo za varovanje informacij in informacijskih 98

115 sistemov. Anketa med osebjem, ki upravlja opremo IKT, je sicer pokazala, da naj bi večina knjižnic razpolagala s kadri, ki imajo potrebna znanja o varovanju informacij in informacijskih sistemov, a zaradi slabega odziva na anketo Hipoteze 2 ne moremo niti potrditi niti zavrniti. Na ustrezna vprašanja je odgovorilo le 29 knjižnic, med njimi jih je desetina navedla, da nima na razpolago osebe, ki bi za knjižnico opravljala naloge sistemskega administratorja. Rezultati ankete med zaposlenimi v knjižnicah in deloma ankete med osebjem IKT so potrdili predvidevanje, da večina knjižnic še nima uvedenega sistema upravljanja informacijske varnosti, kar nam omogoča potrditev Hipoteze 3. Zanimivo je, da je precejšen delež (več kot polovica) anketirancev, zaposlenih v knjižnicah, sicer potrdil obstoj varnostnih politik, vendar pa z njihovo vsebino niso seznanjeni. V anketi med osebjem IKT pa le ena knjižnica navaja, da ima izdelano in potrjeno politiko informacijske varnosti. Na osnovi anketnih odgovorov bi tudi težko sklepali, da knjižnice že izvajajo ustrezne ukrepe za zavarovanje informacij sistematično, kajti osebe, zadolžene za IKT, večinsko odgovarjajo, da knjižnice ne sledijo domačim oziroma mednarodnim smernicam/standardom informacijske varnosti. Predpostavka iz Hipoteze 4, da je stopnja informacijske varnostne obveščenosti in ozaveščenosti zaposlenih v knjižnicah, ki se izkazuje v njihovem poznavanju ter varni rabi informacijskih tehnologij, zadovoljiva, se je izkazala kot pretežno pravilna. Večina zaposlenih se namreč zaveda problematike dolžine in kompleksnosti osebnih gesel, svojih uporabniških imen oziroma gesel ne delijo z ostalimi sodelavci, ne ravnajo pa dovolj skrbno pri njihovi menjavi. O zaščitnih ukrepih pred okužbami so dobro podučeni in ne odpirajo sumljivih priponk v elektronski pošti, prav tako se zavedajo, kaj sodi v sprejemljivo rabo službenega poštnega naslova. Za pomoč se jih večina obrne na osebje zadolženo za IKT. Dobra polovica zaposlenih dela tudi od doma in za dostop uporabljajo lastne računalnike, vendar računalnikov ne dajejo v uporabo tretjim osebam. Na osnovi omenjenih ugotovitev lahko Hipotezo 4 potrdimo. V Hipotezi 5 smo postavili trditev, da se izobraževanje zaposlenih o informacijski varnosti v slovenskih javnih knjižnicah še ne izvaja redno in sistematično. Predpostavko potrjujejo tako rezultati ankete za osebe, odgovorne za področje informacijske varnosti kot tudi ankete za zaposlene v knjižnicah, ki so pokazali, da se na področju informacijske varnosti zaposleni (z izjemo osebja, ki upravlja opremo IKT) izobražujejo le občasno ali da se tovrstnih izobraževanj sploh ne udeležujejo. Tudi v ponudbi neformalnih izobraževanj za knjižničarje izobraževalnih 99

116 oblik s področja informacijske varnosti, ki bi se izvajale redno, ne zasledimo. Postavljeno Hipotezo 5 zato lahko potrdimo. Predpostavka, da nacionalni knjižnični informacijski sistem (COBISS.SI), ki ga uporabljajo slovenske knjižnice za izdelavo katalogov in kot orodje za zagotavljanje avtomatiziranih knjižničnih storitev, zagotavlja visoko stopnjo informacijske varnosti, se je v celoti potrdila. Nosilec sistema, tj. IZUM, zagotavlja celovite ukrepe za nemoteno delovanje opreme IKT, nadzor informacijske strukture, omejitev fizičnega dostopa do ključnih informacijskih dobrin za hranjenje in obdelavo podatkov, tehnično varovanje prostorov in opreme, zaščito integritete podatkov, varnostno kopiranje podatkov in za varovanje osebnih podatkov. Postavljeno Hipotezo 6 zato lahko potrdimo. Predpostavko, da NUK zagotavlja visoko stopnjo informacijske varnosti informacij in informacijskih sistemov smo preverjali tako na osnovi analize obstoječih dokumentov in procesov kot tudi analize uresničevanja ciljev in kontrol v skladu z relevantnim standardom ISO za področje upravljanja informacijske varnosti. Postavljeno Hipotezo 7 lahko na osnovi rezultatov raziskave potrdimo delno, kajti ugotovljene so bile tudi nekatere slabosti, ki lahko predstavljajo tveganja za informacijsko varnost. Opravljena analiza informacijskega sistema knjižnice po standardu ISO je dala podobne izsledke kot zunanja presoja/revizija informacijskega sistema, opravljena v letu Knjižnični informacijski sistem je glede na dane razmere tehnično zelo dobro opremljen in vzdrževan, strežniška oprema je glede na omejeno financiranje zadostno dimenzionirana za trenutne potrebe knjižnice, za fizično varovanje strežniške sobe in ostale opreme IKT je ustrezno poskrbljeno. Večje težave pa se kažejo pri nadgrajevanju računalniških delovnih postaj zaposlenih, saj je povprečna starost delovne postaje trenutno že prek sedem let. Zaradi omejenega proračunskega financiranja zadnje dve leti knjižnica ni kupila nobene delovne postaje, glede na njihovo amortizacijsko dobo (5 let) pa bi bilo treba letno kupiti vsaj 20 odstotkov novih računalnikov, tj. vsaj 40 delovnih postaj. Potencialno varnostno tveganje predstavlja tudi dejstvo, da knjižnica še nima izdelanega krovnega dokumenta z opredeljeno strategijo razvoja informatike, ki naj bi vključeval tudi krovno politiko informacijske varnosti. Že presojevalec je v okviru revizije informacijskega sistema predlagal izdelavo informacijske varnostne politike, za upravljanje knjižničnega 100

117 informacijskega sistema pa bi po njegovi presoji knjižnica potrebovala sistemizirano in zasedeno delovno mesto osebe za strateško načrtovanje informatike in informacijske varnosti oziroma glavnega upravljavca informacijskega sistema (CIO Chief Information Officer), ki bi skrbel za izdelavo, izvajanje in prilagajanje varnostnih politik. Varčevalni ukrepi, s katerimi se NUK sooča zadnja leta, ne vplivajo le na postopno staranje opreme IKT ter s tem na njeno večjo izpostavljenost varnostnim tveganjem, ampak preprečujejo tudi hitrejšo izgradnjo celovitega sistema upravljanja informacijske varnosti (SUIV) v skladu s standardi in priporočili. Onemogočili so tudi ustrezno kadrovsko dopolnitev enote, odgovorne za upravljanje in razvoj informacijskega sistema knjižnice, ter zaposlitev ključne osebe za področje upravljanja informacijske varnosti. Rezultati ankete za zaposlene v knjižnicah so v primeru NUK pokazali, da se njegovi zaposleni večinsko zavedajo pomembnosti varnih gesel, so pazljivi pri odpiranju priponk znotraj elektronske pošte in ne delijo svojih uporabniških imen/gesel z ostalimi zaposlenimi. Anketa je potrdila predhodna predvidevanja, da zaposleni (z izjemo osebja v službi za storitve IKT) še niso sistematično vključeni v izobraževanja s področja informacijske varnosti, kar pa ni težava le v primeru NUK, ampak celotnega knjižničarskega sektorja in verjetno tudi večine drugih sektorjev v državi. Raven znanj in obveščenosti zaposlenih na področju informacijske varnosti bi bilo zato treba dvigniti. S tem bi zmanjšali tudi verjetnost potencialnih vdorov v informacijski sistem, ki za izhodiščno točko vdora uporabljajo socialni inženiring. Kljub omejeni veljavnosti in uporabnosti rezultatov raziskave menimo, da bo lahko prispevala k večji ozaveščenosti slovenskih knjižnic oziroma knjižničarjev o pomenu informacijske varnosti ter k vključevanju potrebnih ukrepov za njeno zagotavljanje tako v strateške in druge dokumente knjižnic kot tudi v njihove vsakodnevne dejavnosti. Upamo tudi, da bo spodbudila nadaljnje znanstveno preučevanje tematike ter izdelavo načrta sistematičnega izobraževanja zaposlenih v knjižnicah o ukrepih in ravnanjih za zagotovitev informacijske varnosti. Seveda pa za zagotavljanje informacijske varnosti ne bodo dovolj le ukrepi na ravni knjižnic. Njihova dejavnost je namreč vse bolj odvisna od sodobnih tehnologij, ki zahtevajo ustrezne finančne in kadrovske vložke za njihovo upravljanje ter razvoj. Varčevalni ukrepi v javnem sektorju, ki so v zadnjih petih letih opazno poslabšali pogoje delovanja knjižnic v elektronskem okolju, posredno vplivajo tudi na njihovo zmožnost zagotavljanja zadovoljive ravni informacijske varnosti. 101

118 102

119 7 LITERATURA IN VIRI 1. BATIČ, BOŠTJAN in ŠOŠTARIČ, DAVOR (2013) Koncept avtentikacijske in avtorizacijske infrastrukture v sistemu COBISS. Organizacija znanja, 18 (1 4). Dostopno prek: ( ). 2. BERNIK, IGOR in PRISLAN, KAJA (2012) Upravljanje varnostnih tveganj pri rabi mobilnih naprav. V: BERNIK, IGOR in MEŠKO, BORUT (ur.). Konferenca Informacijska varnost: odgovori na sodobne izzive, Ljubljana, 20. jan Ljubljana: Fakulteta za varnostne vede. Dostopno prek: zbornik/bernik_prislan.pdf ( ). 3. BERNIK, IGOR in ZVER, DENIS (2012) Uporaba ISO-standardov skozi informacijsko varnostne politike nadzora dostopa do informacijskega sistema. Dostopno prek: ( ). 4. BIBSIST ONLINE. Statistični podatki o knjižnicah. Dostopno prek: nuk.uni-lj.si/statistika/index.php ( ). 5. BON, MILENA (2013) Informacijsko-komunikacijska (IKT) oprema v splošnih knjižnicah: popis za leto 2010 in analiza stanja po območjih glede na veljavna domača in tuja priporočila. Knjižnica, 57 (2-3), str BOŽIĆ, FILIP (2016) Človeški dejavnik pri zagotavljanju informacijske varnosti. Magistrsko delo. Ljubljana: Univerza v Ljubljani, Fakulteta za računalništvo in informatiko. Dostopno prek: FILIP_BO%C5%BDI%C4%86-%C4%8Clove%C5%A1ki_dejavnik_pri_zagotavljanju_ informacijske_varnosti.pdf ( ). 7. BREEDING, MARSHALL (2011) A Cloudy Forecast for Libraries. Computers in Libraries, 31 (7), str Dostopno prek: item.pl?id=16151 ( ). 8. BREEDING, MARSHALL (2005) The Library Wireless Hotspot. Library Technology Reports, 41 (5), str Dostopno prek: article/download/4638/5487 ( ). 9. BREZAVŠČEK, ALENKA in MOŠKON, STANE (2010) Vzpostavitev sistema za upravljanje informacijske varnosti v organizaciji. Uporabna informatika, 18 (2), str Dostopno prek: ( ). 103

120 104

121 10. CARTER, HOWARD (2002) Misuse of Library Public Access Computers: Balancing Privacy, Accountability, and Security. Journal of Library Administration, 36 (4), str CARVER, BLAKE (2014) IT Security for You and Your Library. Computers in Libraries, 34 (1), str Dostopno prek: Carver--IT-Security-for-You-and-Your-Library.shtml ( ). 12. CRUZ, REBECA (2013) Security in the Library. Public Libraries Online, Dostopno prek: ( ). 13. DAMIJ, TALIB (2004) Poslovna informatika. Ljubljana: Ekonomska fakulteta. 14. DELAK, BOŠTJAN in BAJEC, MARKO (2010) Celovit pristop izvedbe skrbnega pregleda informacijskega sistema. Uporabna informatika, 18 (4), str Dostopno prek: ( ). 15. DIXON, PAM (2008) Ethical Issues Implicit in Library Authentication and Access Management: Ris and Best Practices. Journal of Library Administration, 47 (3-4), str ELLERN, GILLIAN D., HITCH, ROBIN in STOFFAN, MARK A. (2015) User Authentication in the Public Area of Academic Libraries in North Carolina. Information Technology and Libraries, 34 (2), str Dostopno prek: ( ). 17. Enotne tehnološke zahteve 2.1 I. del. (ETZ). Ministrstvo za kulturo, Arhiv Republike Slovenije. Dostopno prek: pageuploads/e-arhivi/etz_2_1/etz_-_1_del_razlicica_2.1_-_koncna.pdf ( ). 18. Enotne tehnološke zahteve 2.1 II. del. (ETZ). Ministrstvo za kulturo, Arhiv Republike Slovenije. Dostopno prek: pageuploads/e-arhivi/etz_2_1/etz_-_ii._del_razlicica_2.1_-_koncna.doc.pdf ( ). 19. Enotne tehnološke zahteve 2.1 III. del. (ETZ). Ministrstvo za kulturo, Arhiv Republike Slovenije. Dostopno prek: pageuploads/e-arhivi/etz_2_1/etz_2.1_iii.del_-_koncna.pdf ( ). 105

122 106

123 20. GERDIN, DUŠAN (2009) Radiofrekvenčna identifikacija poslovna priložnost slovenskih splošnih in univerzitetnih knjižnic. Magistrsko delo. Koper: Univerza na Primorskem, Fakulteta za management. Dostopno prek: Dokument.php?id=3881&lang=slv ( ). 21. GRAHAM, WARREN DAVIS (2012) The Black Belt Librarian : Real-world Safety & Security. Chicago: ALA Editions. 22. GRESSEL, MICHAEL (2014). Are Libraries Doing Enough to Safeguard Their Patrons' Digital Privacy? Serials Librarian, 67 (2), str HADOW, KATHARINE (2009) Data Security for Libraries: Prevent Problems, Don't Detect Them. Feliciter, 55 (2), str Dostopno prek: AM/Template.cfm?Section=Vol_55_No_2&Template=/CM/HTMLDisplay.cfm&Content ID=8277 ( ). 24. HAO, TINGTING (2015) The Information Security Analysis of Digital Library. V: th International Conference on Intelligent Computation Technology and Automation (ICICTA), June New York: IEEE, str HUFF, BRIAN in MACMILLAN, ANDY (2009) A Pragmatic Strategy for Oracle Enterprise Content Management. Dostopno prek: a-pragmatic-strategy-for-oracle-enterprise-content-management-presentation ( ). 26. ITECH. WSUS Overview. Dostopno prek: IC16980.gif ( ). 27. IVANC, BLAŽ (2013) Varovanje občutljivih podatkov v informacijskih sistemih. V: BERNIK, IGOR in MARKELJ, BLAŽ (ur.) Sodobni aspekti informacijske varnosti. Ljubljana: Fakulteta za varnostne vede, str Dostopno prek: ( ). 28. KAHN, MIRIAM B. (2008) The Library Security and Safety Guide to Prevention, Planning, and Response. Chicago: ALA Editions. 29. KARUN, BREDA, KONČAN, MATEJ, KUHAR, UROŠ, PEPELKO ALAN, ROZMAN SALOBIR, MARTINA, SIRK, IRENA, ŠALAMON, DANIEL, ZEME, MATEJ in ŽITKO, MIHA (2010) Informacijsko-komunikacijska tehnologija v splošnih knjižnicah. Priročnik (2010). Ljubljana: Narodna in univerzitetna knjižnica. Dostopno prek: IKT%20v%20SK%202010%20za%20spletm.pdf ( ). 107

124 108

125 30. Kazenski zakonik (KZ-1). Uradni list Republike Slovenije 50/12 UPB, 54/15, 6/16 popr. in 38/16. Dostopno prek: ZAKO5050 ( ). 31. KISSEL, RICHARD (ur.) (2013) Glossary of Key Information Security Terms. Gaithersburg, MD: National Institute of Standards and Technology. Dostopno prek: ( ). 32. KLENOVŠEK, NATAŠA (2012) Nivo informacijske varnosti v slovenskih podjetjih. Diplomsko delo. Maribor: Univerza v Mariboru, Fakulteta za elektrotehniko, računalništvo in informatiko. Dostopno prek: ( ). 33. KLINEFELTER, ANNE (2007) Privacy and Library Public Services: Or, I Know What You Read Last Summer. Legal Reference Services Quarterly, 26 (1-2), str KNEZ, MARKO (2009) Varovanje zasebnosti in zaščita podatkov na internetu. Diplomsko delo. Ljubljana: Univerza v Ljubljani, Fakulteta za upravo. Dostopno prek: ( ). 35. KOJC, MARKO (2010) Informacijska varnost v Republiki Sloveniji. Diplomsko delo. Ljubljana: Univerza v Ljubljani, Fakulteta za družbene vede. Dostopno prek: ( ). 36. KOŠĆAK, DAMJAN (2011) Varovanje informacij v skladu s standardom ISO/IEC Diplomsko delo. Ljubljana: Univerza v Ljubljani, Fakulteta za računalništvo in informatiko. Dostopno prek: ( ). 37. KRAFT, MICHELLE (2007) The Holy Grail of One User ID. Library Journal; Fall2007 Net Connect, 132, str KRALJ, ROBERT (2013) Informacijska varnostna politika Univerze v Mariboru. Magistrsko delo. Ljubljana: Univerza v Mariboru, Fakulteta za varnostne vede. Dostopno prek: ( ). 39. LESJAK, BLAŽ in BAHOR, STANISLAV (2017) Poročilo o meritvah šolskih knjižnic. Ljubljana: Narodna in univerzitetna knjižnica. Dostopno prek: ( ). 40. Letno poročilo 2016 (2017). Ljubljana: Narodna in univerzitetna knjižnica. Dostopno prek: _ _splet.pdf ( ). 109

126 110

127 41. Letno poročilo o delu IZUM za leto 2016 (2017). Maribor: Institut informacijskih znanosti. 42. Library Security Guidelines Document (2010). Chicago, ILL: ALA/LLAMA BES Safety and Security of Buildings Committee. Dostopno prek: llama/files/publications/librarysecurityguide.pdf ( ). 43. LYNETT, MIKE (2015) A History of Information Security From Past to Present. Weblog [Online] 25. november. Dostopno prek: ( ). 44. LOBNIKAR, BRANKO, PRISLAN, KAJA, MARKELJ, BLAŽ in BANUTAI, EMANUEL (2012) Informacijskovarnostna ozaveščenost v javnem in zasebnem sektorju v Sloveniji. Varstvoslovje, 14 (3), str MARKELJ, BLAŽ (2009) Centralizacija informacijske tehnologije Knjižnice Ivana Tavčarja Škofja Loka in podružnic. Diplomsko delo. Kranj: Univerza v Mariboru, Fakulteta za organizacijske vede. Dostopno prek: IzpisGradiva.php?id=12578&lang=slv ( ). 46. MARKELJ, BLAŽ (2014) Grožnje informacijski varnosti pri rabi mobilnih naprav. Doktorska disertacija. Ljubljana: Univerza v Mariboru, Fakulteta za varnostne vede. Dostopno prek: ( ). 47. MARKELJ, BLAŽ in BERNIK, IGOR (2012) Pogledi informacijske varnosti na storitve računalništva v oblaku. V: BERNIK, IGOR in MEŠKO, GORAZD (ur.) Konferenca Informacijska varnost: Odgovori na sodobne izzive. Ljubljana: Fakulteta za varnostne vede. Dostopno prek: Markelj_Bernik.pdf ( ). 48. MARKELJ, BLAŽ in ZGAGA, SABINA (2013) Možnosti izgube podatkov in kazenskopravne posledice. V: BERNIK, IGOR in MARKELJ, BLAŽ (ur.) Sodobni aspekti informacijske varnosti. Ljubljana: Univerza v Mariboru, Fakulteta za varnostne vede, str Dostopno prek: eknjige/pdf/sodobni_aspekti_informacijske_varnosti.pdf ( ). 49. MOHORIČ, TOMAŽ (1999) O podatku in informaciji. Organizacija, 32 (8-9), str Dostopno prek: ( ). 50. NARODNA IN UNIVERZITETNA KNJIŽNICA. Organigram knjižnice. Dostopno prek: ( ). 111

128 112

129 51. NEWBY, GREGORY B. (2002) Information security for libraries. V: KISIELNICKI, JERZY (ur.) Modern Organizations in Virtual Communities. Hershey, PA: IRM Press, str NICHOLS HESS, AMANDA, LAPORTE-FIORI, RACHELLE in ENGWALL, KEITH (2015) Preserving Patron Privacy in the 21st Century Academic Library. Journal of Academic Librarianship, 41 (1), str OCLC (2015a) EZproxy Overview. Dostopno prek: services/ezproxy/documentation/learn/overview.en.html ( ). 54. OCLC (2015b) Security Whitepaper: OCLC's Commitment to Secure Library Services. Dostopno prek: oclcinformationsecuritywhitepaper.pdf ( ). 55. OMOSEKEJIMI ADEMOLA, FERDINARD, IJIEKHUAMHEN OSAZE, PATRICK in OJEME, THELMA NNEKA (2015) Library and Information Resource's Security: Traditional and Electronic Security Measures. International Journal of Academic Research and Reflection, 3 (3), str Dostopno prek: org/wp-content/uploads/2015/02/library-and-information- RESOURCES%E2%80%99-SECURITY-TRADITIONAL-AND-ELECTRONIC- SECURITY-MEASURES.pdf ( ). 56. PARKER, THEODORE (2016) Security Concepts. Dostopno prek: subspacefield.org/security/security_concepts/security_concepts.pdf ( ). 57. PELTIER, THOMAS R., PELTIER, JUSTIN in BLACKLEY, JOHN (2004) Information Security Fundamentals. Boca Raton, FL: CRC Press. 58. PHELPS, DANIEL C. (2005) Information System Security: Self-Efficacy and Security Effectiveness in Florida Libraries. Tallahassee, FL: Florida State University. Dostopno prek: system_security_self-efficacy_and_security_effectiveness_in_florida_libraries ( ). 59. POLH, JOŽE (2014) Upravljanje identitet v podjetju je temelj varnosti. Delo, 13. oktober Dostopno prek: ( ). 60. POTOČNIK, MARJAN (2012) Revizija informacijskega sistema NUK. Ljubljana: MIT investments d.o.o. 113

130 114

131 61. Pravila ravnanja delavcev v delovnem razmerju v Narodni in univerzitetni knjižnici (2005). Ljubljana: Narodna in univerzitetna knjižnica. 62. Pravilnik o postopkih za zavarovanje osebnih podatkov v Narodni in univerzitetni knjižnici (2007). Ljubljana: Narodna in univerzitetna knjižnica. 63. Pravilnik o splošnih pogojih poslovanja Narodne in univerzitetne knjižnice (2015). Ljubljana: Narodna in univerzitetna knjižnica. Dostopno prek: ( ). 64. PRIMC, SIMON (2012) Mehanizmi zaščite pred grožnjami informacijske varnosti. Diplomsko delo. Ljubljana: Univerza v Mariboru, Fakulteta za varnostne vede. Dostopno prek: ( ). 65. PRIMC, ŽIGA (2015) Predstavitev raziskave»usb ključ«. [LinkedIn] 17. junij. Dostopno prek: %C5%BEiga-primc ( ). 66. RAMESH, M. R. (2012) Biometric Recognition: A new Approach for Library Patron Autentication. International Journal of Library Science, 1 (5), str Dostopno prek: DOI: /j.library ( ). 67. RANČIGAJ, KATJA (2010) Informacijska varnostna kultura v državni upravi. Magistrsko delo. Ljubljana: Univerza v Ljubljani, Fakulteta za družbene vede. Dostopno prek: ( ). 68. RANČIGAJ, KATJA in LOBNIKAR, BRANKO (2012) Vedenjski vidiki zagotavljanja informacijske varnosti: pomen upravljanja informacijske varnostne kulture. V: BERNIK, IGOR in MEŠKO, GORAZD (ur.) Konferenca Informacijska varnost: Odgovori na sodobne izzive. Ljubljana: Univerza v Mariboru, Fakulteta za varnostne vede. Dostopno prek: ( ). 69. RATHINASABAPATHY, G., MOHANA SUNDARI, T. in RAJENDRAN, THIRU L. (2008) Biometric Applications in Library and Information Centres: Prospects and Problems. V: International CALIBER-2008, Volume: I. Allahabad: University of Allahabad, str Dostopno prek: DOI: /RG ( ). 115

132 116

133 70. RHODES-OUSLEY, MARK (2013) Information Security: Second Edition. New York: McGraw-Hill. Dostopno prek: BOOKS/IT%20PDF%20Books/IT%20BOOKS/NETWORKING/INFORMATION%20S ECURITY%20THE%20COMPLETE%20REFERENCE%202ND%20EDITION. pdf ( ). 71. RIHTER, UROŠ (2015) Analiza informacijske varnosti v podjetju BSH Hišni aparati, d. o. o. Nazarje in primerjava s standardom ISI/IEC Diplomsko delo. Maribor: Univerza v Mariboru, Fakulteta za elektrotehniko, računalništvo in informatiko. Dostopno prek: ( ) 72. SELAN, DAŠA in BERNIK, IGOR (2011) Upravljanje informacijske varnosti strateški in operativni vidik. V: PAVŠIČ MREVLJE, TINKARA (ur.) Zbornik prispevkov ; 12. Slovenski dnevi varstvoslovja. Ljubljana: Fakulteta za varnostne vede. Dostopno prek: ( ). 73. SIRK, IRENA (2010) Dokumentiranje. V: KARUN, BREDA in drugi Informacijskokomunikacijska tehnologija v splošnih knjižnicah. Priročnik (2010). Ljubljana: Narodna in univerzitetna knjižnica, str Dostopno prek: ( ). 74. SIRK, IRENA (2013) Uvajanje standardov s področja informacijske tehnologije v Mariborski knjižnici. Diplomsko delo. Kranj: Univerza v Mariboru, Fakulteta za organizacijske vede. Dostopno prek: slv ( ). 75. SIRK, IRENA in KUHAR, UROŠ (2010) Varnost. V: KARUN, BREDA in drugi Informacijsko-komunikacijska tehnologija v splošnih knjižnicah. Priročnik. Ljubljana: Narodna in univerzitetna knjižnica, str Dostopno prek: ( ). 76. SIST ISO/IEC 27000: Informacijska tehnologija - Varnostne tehnike - Sistemi upravljanja informacijske varnosti - Pregled in izrazoslovje (2011). Ljubljana: Slovenski inštitut za standardizacijo. 77. SIST ISO/IEC 27001: Informacijska tehnologija - Varnostne tehnike - Sistemi upravljanja informacijske varnosti (2013). Ljubljana: Slovenski inštitut za standardizacijo. 117

134 118

135 78. Smernice za zajem, dolgotrajno ohranjanje in dostop do kulturne dediščine v digitalni obliki (2013). Ljubljana: Ministrstvo za kulturo RS. Dostopno prek: dolgotrajno_ohranjanje_in_dostop_do_kulturne_dediscine_v_digitalni_obliki.pdf ( ). 79. Socialni inženiring in kako se pred njim ubraniti? (2009). Ljubljana: Informacijski pooblaščenec. Dostopno prek: smernice/socialni-inzeniring-in-kako-se-pred-njim-ubraniti.pdf ( ). 80. Strategija kibernetske varnosti: vzpostavitev sistema zagotavljanja visokega nivoja kibernetske varnosti (2016). Dostopno prek: mizs.gov.si/pageuploads/informacijska_druzba/pdf/dsi2020_strategija_kibernetske_var nosti.pdf ( ). 81. Strategija trajnega ohranjanja digitalnih virov v Narodni in univerzitetni knjižnici (2012). Ljubljana: Narodna in univerzitetna knjižnica. Dostopno prek: HPEWEXEN.pdf ( ). 82. Strateški načrt Mariborske knjižnice (2014). Maribor: Mariborska knjižnica. Dostopno prek: Pomembni_dokumenti/Strateski_nacrt_MK2014_2020_ZV.pdf ( ). 83. Strateški načrt Narodne in univerzitetne knjižnice za obdobje (2014). Ljubljana: Narodna in univerzitetna knjižnica. Dostopno prek: ( ). 84. SWANSON, BURTON E. (2010) Information Systems. V: MCDONALD, JOHN D. in LEVINE-CLARK, MICHAEL (ur.) Encyclopedia of Library and Information Science. Third Edition. Boca Raton, FL: CRC Press, str TARZEY, BOB in ØSTERGAARD, BERNT (2014) What Keeps Your CEO Up At Night? The insider threat: solved with DRM. Quocirca, Dostopno prek: ( ). 119

136 120

137 86. THOMPSON, SAMUEL T. C. (2006) Helping the Hacker? Library Information, Security, and Social Engineering. Information Technology and Libraries, 25 (4), str Dostopno prek: /2966 ( ). 87. TRAPSKIN, BEN (2008) A Changing of the Guard: Emerging Trends in Public Library Security. Library & Archival Security, 21 (2), str Uprave in vodstva, odobrite proračun za IT-varnost in zavarujte poslovanje (2015) IKT- Informator, 19. november 2015, str. 27. Dostopno prek: or%20(ocena%20it%20varnosti%20v%20podjetjih)&utm_medium=pdf&utm_campaign =Samoocena%20IT%20varnosti%20(IKT%20informator%2F11% ( ). 89. Uredba o varstvu dokumentarnega in arhivskega gradiva (UVDAG) Uradni list Republike Slovenije 86/06. Dostopno prek: pregledpredpisa?id=ured3462 ( ). 90. VARGA VODIČKA, SUZANA (2015) Revizija informacijskih sustava primjenom CobiT metodologije. Poslijediplomski specijalistički rad. Zagreb: Sveučilište u Zagrebu, Ekonomski fakultet. 91. VEHAR, KLEMEN, BREZAVŠČEK, ALENKA in KERN, TOMAŽ (2013) Projekt vpeljave sistema za upravljanje informacijske varnosti v organizacijo. V: BERNIK, IGOR in MARKELJ, BLAŽ (ur.) Sodobni aspekti informacijske varnosti. Ljubljana: Fakulteta za varnostne vede, str Dostopno prek: knjigarna/eknjige/pdf/sodobni_aspekti_informacijske_varnosti.pdf ( ). 92. VOLOVICH, IGOR (2016) Evolve to Demand. Demand to Evolve. Global CISO Forum, Atlanta, Georgia, September 15 16, Dostopno prek: slideshare.net/ec-council/evolve-to-demand-demand-to-evolve-by-igor-volovich ( ). 93. WARKENTIN, MERRILL, JOHNSTON, ALLEN, SHROPSHIRE, JORDAN in BARNETT, WILLIAM D. (2016) Continuance of protective security behavior: A longitudinal study. Decision Support Systems, 92 (December), str YI, MYONGHO (2011) Balanced Security Controls for 21st Century Libraries. Library & Archival Security, 24 (1), str

138 122

139 95. Zakon o dostopu do informacij javnega značaja (ZDIJZ). Uradni list Republike Slovenije 51/06 UPB, 117/06 ZdavP-2, 23/14, 19/15 odl. US in 102/15. Dostopno prek: ( ) 96. Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP). Uradni list Republike Slovenije 98/04 UPB, 61/06 ZEPT in 46/14. Dostopno prek: ( ). 97. Zakon o elektronskem poslovanju na trgu (ZEPT). Uradni list Republike Slovenije 96/09 UPB in 19/15. Dostopno prek: pregledpredpisa?id=zako4600 ( ). 98. Zakon o elektronskih komunikacijah (ZEKom-1). Uradni list Republike Slovenije 109/12, 110/13, 40/14 ZIN-B, 54/14 odl. US in 81/15. Dostopno prek: ( ). 99. Zakon o Informacijskem pooblaščencu (ZInfP). Uradni list Republike Slovenije 113/05 in 51/07 ZustS-A. Dostopno prek: pregledpredpisa?id=zako4498 ( ) Zakon o knjižničarstvu (ZKnj-1). Uradni list Republike Slovenije 87/01, 96/02 ZUJIK in 92/15. Dostopno prek: ZAKO2442 ( ) Zakon o obveznem izvodu publikacij (ZOIPub). Uradni list Republike Slovenije 69/06 in 86/09. Dostopno prek: ( ) Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA). Uradni list Republike Slovenije 30/06 in 51/14. Dostopno prek: Pis.web/pregledPredpisa?id=ZAKO4284 ( ) Zakon o varstvu osebnih podatkov (ZVOP-1). Uradni list Republike Slovenije 94/07 UPB-1. Dostopno prek: ( ) ZHENGBIAO, HAN, SHUIQING, HUANG in HUAN, LI (2016) Risk assessment of digital library information security: a case study. The Electronic Library, 34 (3), str ZVER, KARMEN (2011) Varnost računalništva v oblaku. Diplomsko delo. Maribor: Univerza v Mariboru, Ekonomsko-poslovna fakulteta. Dostopno prek: ( ). 123

140 124

141 PRILOGE Priloga 1: Anketni vprašalnik za osebe, odgovorne za informacijsko varnost knjižnic Priloga 2: Anketni vprašalnik za zaposlene v knjižnicah Priloga 3: Zbirni rezultati ankete za osebe, odgovorne za informacijsko varnost knjižnic Priloga 4: Zbirni rezultati ankete za zaposlene v knjižnicah Priloga 5: Standard SIST ISO 27001:2013 Cilji kontrol in kontrole: Analiza stanja in potrebni ukrepi v Narodni in univerzitetni knjižnici

142

143 Priloga 1: Anketni vprašalnik za osebe, odgovorne za informacijsko varnost knjižnic Pozdravljeni, prosim Vas za sodelovanje v anketi, s katero želim pridobiti podatke o dejavnikih (tehničnih in organizacijskih), ki vplivajo na stopnjo informacijske varnosti knjižnic. Podatki bodo uporabljeni za dokončanje magistrske naloge z naslovom "Knjižnice in zagotavljanje informacijske varnosti v elektronskem okolju", ki jo pripravljam v okviru študija na Fakulteti za informacijske študije v Novem mestu. Anketa je anonimna, brez piškotkov in brez IP sledenja. Rezultati bodo v nalogi predstavljeni na način, da v nobenem primeru ne bo mogoča identifikacija sodelujočih v anketi ali razkriti podatki, ki bi lahko predstavljali grožnjo informacijski varnosti v raziskavi sodelujočih knjižnic. Anketa bo potekala od 3. do 17. aprila Izrazi, ki se nanašajo na osebe in so zapisani v moškem spolu, so uporabljeni kot nevtralni za ženski in moški spol. Prosim, če si vzamete približno sedem minut časa in s klikom na Naslednja stran pričnete z izpolnjevanjem ankete. Za izpolnjen vprašalnik se Vam že vnaprej lepo zahvaljujem. Črt Ambrožič 1 - KNJIŽNICA IN INFORMACIJSKO-KOMUNIKACIJSKA (IKT) OPREMA V1 - Število (vseh) zaposlenih v knjižnici (v EPZ) ob koncu leta 2016: do več kot 50 V2 - Vrsta knjižnice: splošna visokošolska specialna V3 - Status knjižnice: samostojna pravna oseba organizacijska enota pravne osebe (npr. visokošolskega zavoda) drugo: V4 - Število vseh računalniških delovnih postaj knjižnice, ki jih uporabljajo zaposleni in uporabniki knjižnice? več kot 150

144 V5 - Kateri operacijski sistemi so nameščeni na računalniških delovnih postajah knjižnice? Možnih je več odgovorov Windows XP Windows 7 Windows 8/8.1 Windows 10 Linux Mac OS drugo: V6 - Ali je v knjižnici zaposlena oseba, ki skrbi oziroma je odgovorna za delovanje in vzdrževanje IKT knjižnice? da da, a s podporo informatikov matične organizacije (za zahtevnejša opravila) da, a s podporo zunanjega izvajalca (za zahtevnejša opravila) ne, podporo zagotavljajo informatiki matične organizacije ne, najemamo zunanje izvajalce (outsourcing) drugo: V7 - Ali ima knjižnica na razpolago osebo, ki zanjo opravlja naloge sistemskega/varnostnega administratorja? da, knjižnica ima zaposlenega lastnega administratorja da, dela opravlja eden od knjižničarjev da, dela administratorja opravlja informatik matične organizacije da, dela administratorja opravlja zunanji izvajalec ne drugo: 2 - POLITIKA KNJIŽNICE O INFORMACIJSKI VARNOSTI V8 - Ali ima vaša knjižnica izdelano in sprejeto politiko informacijske varnosti? da ne, dokument je v pripravi ne, ampak o pripravi dokumenta razmišljamo ne, dokumenta nimamo IF (1) V8 = [1] V9 - Ali v knjižnici upoštevate in sledite sprejeti politiki informacijske varnosti? da, v celoti da, a le na nekaterih področjih informacijske varnosti ne V10 - Ali v knjižnici sledite domačim oziroma mednarodnim smernicam/standardom informacijske varnosti? da, v celoti da, a le na nekaterih področjih informacijske varnosti ne

145 IF (2) V10 = [1, 2] V11 - Katerim smernicam/standardom informacijske varnosti sledite? Možnih je več odgovorov COBIT ITIL NIST ISO Drugo: 3 - UKREPI ZA ZAŠČITO PODATKOV V12 - Kako pogosto izdelujete varnostne kopije ključnih podatkov knjižnice? dnevno tedensko mesečno ne delamo varnostnih kopij drugo: IF (3) V12 = [1, 2, 3, 5] V13 - Na katere podatkovne medije shranjujete varnostne kopije podatkov? Možnih je več odgovorov zunanji trdi disk USB ključek optični mediji (DVD/CD) tračne enote računalniški oblak strežnik drugo: V14 - Ali ima knjižnica (oziroma njena matična organizacija) sprejet načrt za ponovno vzpostavitev informacijskega sistema in strojne opreme v primeru "katastrofe" (angl. disaster recovery plan)? da ne ne vem V15 - Ali pri posredovanju občutljivih osebnih ali poslovnih podatkov v elektronski obliki organizacijam ali posameznikom zunaj knjižnice uporabljate šifriranje? da ne ne vem

146 4 - UKREPI ZA ZAŠČITO RAČUNALNIŠKE OPREME KNJIŽNICE V16 - Ali na vseh računalniških delovnih postajah knjižnice (tj. za uporabnike in zaposlene) uporabljate zaščito proti zlonamerni kodi (npr. računalniškim virusom)? da ne V17 - Kakšne vrste varnostne zaščite računalniškega omrežja uporabljate? Možnih je več odgovorov antivirusna zaščita antispyware orodja delujoč (vklopljen) požarni zid na računalniškihdelovnih postajah požarni zid med LAN in WAN delom omrežja zaposleni nimajo administratorskih pravic grupne politike (GPO) programe za nadzor prometa v omrežju sisteme za preprečevanje izgube podatkov (DLP) seznam varnih aplikacij drugo: V18 - Če ste že kdaj imeli okužbo računalniškega sistema knjižnice z izsiljevalskimi virusi (angl. ransomware), kako ste ravnali? okužbo smo ustavili pred izgubo podatkov podatke smo povrnili iz varnostnih kopij za pomoč smo se obrnili na SI-CERT plačali smo odškodnino za povrnitev šifriranih podatkov drugo: nismo še imeli takega primera V19 - Kdo skrbi za posodabljanje programske opreme (npr. Java, Adobe Flash, Adobe Reader...) na računalniških delovnih postajah knjižnice? oseba, zadolžena za opremo IKT zaposleni sami zaposleni in oseba, zadolžena za opremo IKT programska oprema se ne posodablja ne vem V20 - Na kakšen način posodabljate programsko opremo na računalniških delovnih postajah knjižnice? ročno (na vsaki delovni postaji posebej) avtomatizirano z enega mesta ne posodabljamo programske opreme ne vem

147 V21 - Ali imajo vsi lokalni administratorski računi na računalniških delovnih postajah knjižnice enako geslo? da ne ne vem V22 - Ali ob zaključku delovnega dne zaposleni v knjižnici izklopijo (shut down/turn off) računalniške delovne postaje, ki jih uporabljajo? da ne po lastni presoji (pravil za to knjižnica nima) 5 - UPORABNIŠKA GESLA V22_2 - Ali ima knjižnica oz. njena matična organizacija sprejet dokument o varnostni politiki uporabniških gesel? da ne, dokument je v pripravi ne ne vem V23 - Kakšna so vaša pravila glede spreminjanja uporabniških gesel, ki jih zaposleni uporabljajo za prijavo na svojo računalniško delovno postajo v knjižnici? sistem sam zahteva redno menjavo gesel spreminjanje gesel je prepuščeno zaposlenim drugo: V24 - Kakšna so vaša pravila glede dolžine in zahtevnosti uporabniških gesel, ki jih zaposleni uporabljajo za prijavo na svojo računalniško delovno postajo v knjižnici? sistem sam preverja dolžino in zahtevnost gesel odločitev je prepuščena zaposlenim drugo: 6 - DOSTOP DO SLUŽBENIH RAČUNALNIKOV IN ELEKTRONSKE POŠTE NA DALJAVO V25 - Ali imajo zaposleni v knjižnici možnost dela na daljavo (npr. od doma)? da, vsi da, vendar samo določeni zaposleni ne

148 IF (4) V25 = [1, 2] V26 - Katere možnosti povezovanja za delo na daljavo lahko uporabljajo zaposleni v knjižnici? Možnih je več odgovorov RDP (Remote Desktop Protocol) VPN (Virtual Private Network) FTP (File Transfer Protocol) drugo: IF (4) V25 = [1, 2] V27 - Katero programsko podporo uporabljajo zaposleni v knjižnici za dostop do službene e- pošte na daljavo (z oddaljene lokacije)? Outlook/Exchange Office 365/Azure Arnes Gmail drugo: 7 - LOKALNO BREZŽIČNO OMREŽJE V28 - Ali imate v knjižnici brezžično lokalno omrežje (WLAN)? Možnih je več odgovorov da, lastno brezžično omrežje oz. omrežje matične organizacije da, Libroam da, Eduroam drugo: IF (5) V28 = [V28a] V29 - Kako je zaščiteno (lastno) brezžično omrežje knjižnice? Možnih je več odgovorov WEP omejevanje naslovov MAC WPA WPA2 dostop s certifikati RADIUS drugo: IF (5) V28 = [V28a] V30 - Ali je možen prek (lastnega) brezžičnega omrežja (poleg dostopa do spleta) tudi dostop do internega omrežja knjižnice, tj. do vsebine strežnikov in datotek na službenih računalniških delovnih postajah? da ne ne vem

149 8 - IZOBRAŽEVANJE ZA INFORMACIJSKO VARNOST V31 - Kako pogosto se zaposleni v knjižnici udeležujejo izobraževanj s področja informacijske varnosti? izobražujejo se redno izobražujejo se občasno izobraževanja načrtujemo v prihodnje tovrstnih izobraževanj se ne udeležujejo IF (6) V31 = [2, 1] V32 - Kdo v knjižnici se izobražuje na področju informacijske varnosti? vsi zaposleni zaposleni, ki upravljajo s službenimi podatki zaposleni, ki so zadolženi za IKT drugo:

150

151 Priloga 2: Anketni vprašalnik za zaposlene v knjižnicah Pozdravljeni, prosim Vas za sodelovanje v anketi za zaposlene v knjižnicah, s katero želim pridobiti podatke o ravnanjih, ki vplivajo na stopnjo informacijske varnosti. Podatki bodo uporabljeni za dokončanje magistrske naloge z naslovom "Knjižnice in zagotavljanje informacijske varnosti v elektronskem okolju", ki jo pripravljam v okviru študija na Fakulteti za informacijske študije v Novem mestu. Anketa je anonimna, brez piškotkov in brez IP sledenja. Rezultati bodo v nalogi predstavljeni na način, da v nobenem primeru ne bo mogoča identifikacija sodelujočih v anketi ali razkriti podatki, ki bi lahko predstavljali grožnjo informacijski varnosti v raziskavi sodelujočih knjižnic. Anketa bo potekala od 3. do 17. aprila Izrazi, ki se nanašajo na osebe in so zapisani v moškem spolu, so uporabljeni kot nevtralni za ženski in moški spol. Prosim, če si vzamete približno sedem minut časa in s klikom na Naslednja stran pričnete z izpolnjevanjem ankete. Za izpolnjen anketni vprašalnik se Vam že vnaprej lepo zahvaljujem. Črt Ambrožič 1 - PODATKI O VAŠI KNJIŽNICI IN VAŠE DELOVNO MESTO V1 - Število (vseh) zaposlenih v knjižnici (v EPZ) ob koncu leta 2016: do več kot 50 V2 - Vrsta knjižnice: splošna visokošolska specialna nacionalna V3 - Status knjižnice: samostojna pravna oseba organizacijska enota pravne osebe (npr. visokošolskega zavoda) drugo: V4 - Dela in naloge, ki jih opravljate v knjižnici: strokovna knjižničarska dela druga strokovna dela (npr. informatik, administrator IT, restavrator/konzervator...) strokovna knjižničarska in druga strokovna dela administrativno-tehnična dela drugo:

152 2 - VARNOST SLUŽBENIH RAČUNALNIŠKIH GESEL V5 - Skupaj koliko različnih gesel uporabljate na svojem delovnem mestu za prijavo na računalniške delovne postaje, za dostop do različnih aplikacij/programov (npr. COBISS) ter spletnih strani oziroma spletnih storitev? V6 - Ali za službene namene uporabljate enaka gesla za več različnih prijav na računalniške delovne postaje, za dostop do aplikacij/programov (npr. COBISS) ter spletnih strani oziroma spletnih storitev? da ne V7 - Če uporabljate več različnih gesel, ali takrat, ko jih oblikujete, razmišljate o tem, da morajo biti nekatera gesla zaradi varnosti zahtevnejša? da, uporabljam različno zahtevna gesla ne, uporabljam enako zahtevna gesla ne razmišljam o tem uporabljam samo eno geslo V8 - Ko spremenite določeno geslo, ali to najpogosteje storite zaradi zahtev varnostne politike knjižnice oziroma njenega računalniškega sistema ali zaradi vaše lastne iniciative? zaradi zahtev varnostne politike/sistema zaradi lastne iniciative drugo: V9 - Kako pogosto v primerih, ko zamenjave gesla ne zahteva računalniški sistem sam, menjavate vaša gesla? vsaj enkrat mesečno vsaj enkrat na tri mesece vsaj enkrat na pol leta vsaj enkrat letno redkeje kot enkrat letno gesel ne spreminjam, če to ne zahteva sistem V10_2 - Ali pri oblikovanju gesel upoštevate varnostna priporočila? da ne IF (1) V10_2 = [1] V10 - Katera varnostna priporočila najpogosteje upoštevate pri oblikovanju gesel: Možnih je več odgovorov dolžina gesla (vsaj 16 znakov) kombinacija malih in velikih črk ter številk uporaba posebnih znakov (npr. *,^, #) drugo:

153 V11 - Ali pri menjavi gesla kot osnovo za novo geslo najpogosteje uporabite staro/prejšnje (npr. geslo poletje26 postane geslo poletje27)? da ne V12 - Ali si gesla zapišete na papir? da, vedno da, a le nekatera ne V13 - Ali si gesla shranite v elektronsko datoteko (npr. v Wordov dokument)? da, vedno da, a le nekatera ne IF (2) V13 = [1, 2] V14 - Ali datoteko z zapisanimi gesli zaščitite z geslom, s šifriranjem ali kako drugače? da ne V15 - Ali za shranjevanje gesel uporabljate programsko opremo, npr. Internet Explorer password manager, Firefox password manager, Password manager, Lastpass ipd.? da ne, a za takšno programsko opremo sem že slišal ne, takšne programske opreme ne poznam V16 - Varna gesla so pomembna za zaščito pred nepooblaščenim dostopom do informacij. Označite gesla, ki so po vašem mnenju dovolj varna za uporabo? Možnih je več odgovorov administrator $jelf2bb23bb$gde %4Btv Tomaž je zgodaj prišel domov. Skrivnost Geslo V17 Kateri od naštetih načinov sestavljanja gesel se vam zdijo varni? Možnih je več odgovorov uporaba imen otrok ali hišnih ljubljencev uporaba naključnega stavka v slovenskem jeziku kombinacija velikih in malih črk, pomešanih s posebnimi znaki uporaba splošnih besed iz»slovarja«najpogostejših besed (npr. svoboda, ljubezen, knjižnica) uporaba daljše številke (npr )

154 V18 - Ali vas je kdo od vaših sodelavcev (z izjemo oseb, odgovornih za delovanje opreme IKT) že kdaj prosil za vaše geslo? da, prošnji sem ustregel da, vendar mu gesla nisem zaupal ne V19 - Kaj bi vi storili v primeru, ko bi predvidevali, da si je nekdo prisvojil vaše geslo? Možnih je več odgovorov takoj bi spremenil geslo obvestil bi sodelavca, ki je zadolžen za IKT oz. za informacijsko varnost v knjižnici incident bi prijavil pristojnim organom (npr. Si-Cert) zamenjal bi tudi druga gesla, ki bi lahko bila povezana z odtujenim drugo: 3 - VARNOST SLUŽBENIH RAČUNALNIŠKIH DELOVNIH POSTAJ V20 - Ali ob zapustitvi vašega delovnega mesta zaklenete računalniško delovno postajo (uporabite npr. funkcijo Lock)? da, vedno da, a ne vedno ne V21 - Ali se pri odhodu iz službe odjavite z računalniške delovne postaje, ki ste jo uporabljali (uporabite funkcijo Log Off/Sign Out)? da, vedno da, a ne vedno ne V22 - Ko zapustite delovno mesto (npr. zaradi odhoda na malico), kaj najpogosteje storite z računalniško delovno postajo, ki ste jo uporabljali? ugasnem zaslon računalnika se odjavim (Log Off) zaklenem računalniški zaslon (Lock) ugasnem računalnik imam z geslom zaščiten ohranjevalnik zaslona ne storim ničesar ne storim ničesar, ker delovno postajo uporablja več sodelavcev (z istim uporabniškim imenom) V23 - Ali ste že kdaj dovolili sodelavcu, da se na službeno računalniško delovno postajo prijavi z vašim uporabniškim imenom in geslom? da ne

155 4 - GROŽNJE INFORMACIJSKI VARNOSTI V24 - Kateri način širjenja računalniških virusov je po vašem mnenju najbolj pogost? e-pošta programi za instantno sporočanje (npr. Skype, Snapchat, WhatsApp ) prenos s spleta (npr. prek brskalnika ali omrežja torrent) prenosne naprave (npr. ključki USB in prenosni diski) drugo: V25 - Kateri so po vašem mnenju ukrepi, ki preprečujejo zlonamerno pridobivanje podatkov/informacij z metodami socialnega inženiringa? Možnih je več odgovorov ne dajemo informacij o svojem računalniku in računalniškem omrežju nepooblaščenim osebam ne opravljamo službenih zadev na nezaščiteni (oz. tuji) računalniški opremi ne pošiljamo občutljivih službenih informacij zunaj zaščitenega omrežja knjižnice ne posredujemo osebnih podatkov, zapisov ali vsebin prek družbenih omrežjih nepoznanim klicateljem ne zaupamo zaupnih službenih informacij V26 - Ali odpirate službeno elektronsko pošto, ki jo prejmete od pošiljateljev z neobičajnimi poštnimi naslovi (npr. deutsche.telekom@aol.com)? da, vedno da, a le izjemoma ne V27 - Kako ravnate, če prejmete službeno elektronsko pošto, ki vsebuje priponko? Možnih je več odgovorov priponko odprem, če poznam pošiljatelja priponko odprem, če ima znano končnico (npr. word, excel, jpg, power point), nikoli pa tistih z neobičajnimi končnicami (npr..js,.exe,.cab, vbs) priponko odprem, saj imam dober antivirusni program, ki me ščiti pred okužbo priponke ne odprem, tudi če poznam pošiljatelja, a je sporočilo neobičajno priponke ne odprem, če je sporočilo slovnično pomanjkljivo V28 - Ali pri pošiljanju službene elektronske pošte kdaj uporabljate programsko podporo za šifriranje (enkripcijo) sporočil? da ne ne vem, kaj je programska podpora za šifriranje V29 - Ali na službeni računalniški delovni postaji kdaj uporabljate spletne ponudnike elektronske pošte (npr. Gmail, Hotmail, Yahoo ipd.)? da ne

156 V30 - Kaj je po vašem mnenju najpametneje narediti ob prejetju elektronske pošte od neznanega oziroma sumljivega pošiljatelja? odpreti sporočilo takoj izbrisati sporočilo preposlati sporočilo vodstvu knjižnice oziroma matične organizacije preposlati sporočilo osebi, zadolženi za IKT opremo preposlati sporočilo sodelavcem v presojo preposlati sporočilo na osebni poštni račun in ga odpreti doma drugo: V31 - Kateri je po vašem mnenju najboljši (najbolj zanesljiv) način za preprečevanje okužbe z računalniškimi virusi prek elektronske pošte neznanih oziroma sumljivih pošiljateljev? brisanje sporočil brez odpiranja priponk antivirusni pregled priponk pred njihovim odpiranjem posvetovanje s sodelavci pred odpiranjem sporočila in priponk prepošiljanje sporočil osebi odgovorni za IKT v pregled V32 - Kaj od naštetega po vašem mnenju sodi v sprejemljivo rabo službenega elektronskega poštnega predala? Možnih je več odgovorov posredovanje vaših osebnih sporočil znancem pošiljanje zabavnih sporočil sodelavcem obveščanje sodelavcev o zanimivi spletni ponudbi izdelkov obveščanje znancev o zanimivih (kulturnih) dogodkih oziroma Dogodkih, povezanih s knjižničarstvom sprejemanje ponudb za zasebne projekte posredovanje verižnih pisem V33 - Na kakšen način bi vi nekomu posredovali vaše (občutljive) osebne podatke (npr. podatek o davčni številki, članstvu v sindikatu, EMŠO...)? Možnih je več odgovorov kot običajno e-sporočilo kot šifrirano e-sporočilo prek službenega intraneta z uporabo storitve za spletno pošiljanje datotek (npr. WeTransfer) telefonsko z ročno dostavo na ključku USB ali na zunanjem disku kot priporočeno poštno pošiljko drugo: 6 - POMOČ PRI TEŽAVAH Z RAČUNALNIŠKO OPREMO V34 - Na koga se najpogosteje obrnete v primeru težav s službeno računalniško opremo? nadrejenega sodelavca sistemskega administratorja oz. osebo, odgovorno za opremo IKT na prijatelja oz. znanca drugo:

157 V35 - Ali v primeru težav z računalniško opremo svoje geslo za prijavo na službeno računalniško delovno postajo zaupate sistemskemu administratorju oz. osebi odgovorni za delovanje IKT? da ne 7 - DOSTOP NA DALJAVO DO SLUŽBENEGA RAČUNALNIKA V36 - Ali za službo kdaj delate tudi na domu in pri tem uporabljate računalniško opremo? da ne IF (3) V36 = [1] V37 - Ali za delo doma uporabljate službeni ali lasten računalnik? službeni računalnik lasten računalnik oboje IF (3) V36 = [1] IF (4) V37 = [2, 3] V38 - Na kakšen način doma narejene datoteke z vašega lastnega računalnika prenesete na računalniško delovno postajo v službi? ključek USB ali zunanji disk spletne storitve za shranjevanje datotek (oblak) dostop na daljavo do službene delovne postaje datoteke si pošljem prek službene e-pošte datoteke si pošljem prek osebne e-pošte drugo: IF (3) V36 = [1] V39 - Ali pri delu na domu uporabljate dostop na daljavo (remote access) do računalniške delovne postaje v službi? da ne IF (3) V36 = [1] IF (5) V39 = [1] V40 - Ali v primeru brezžičnega povezovanja v internet za dostop na daljavo do računalniške delovne postaje v službi uporabljate varnostno zaščiteno brezžično omrežje (šifriranje WPA, Eduroam ipd.)? da ne ne vem ne uporabljam brezžičnega povezovanja IF (3) V36 = [1]

158 IF (5) V39 = [1] V41 - Ali tudi druge osebe (družinski člani, znanci ) uporabljajo računalnik, s katerim oddaljeno dostopate do računalniške delovne postaje v službi? da ne 8 - VARNOSTNE POLITIKE IN IZOBRAŽEVANJE O INFORMACIJSKI VARNOSTI V42 - Ali imate v vaši knjižnici oz. matični organizaciji izdelane in sprejete varnostne politike za zaščito računalniške opreme in podatkov/informacij? da ne ne vem IF (6) V42 = [1] V43 - Ali poznate vsebino varnostnih politik? da ne QV44 - Ali ste se že kdaj udeležili izobraževanja s področja računalniške oziroma informacijske varnosti? da ne, bi si pa želel ne, tovrstnega izobraževanja ne potrebujem

159 Priloga 3: Zbirni rezultati ankete za osebe, odgovorne za informacijsko varnost knjižnic 1 - KNJIŽNICA IN INFORMACIJSKO-KOMUNIKACIJSKA (IKT) OPREMA Število (vseh) zaposlenih v knjižnici (v EPZ) ob koncu leta 2016: (n = 31) Vrsta knjižnice: (n = 31) Status knjižnice: (n = 31)

160 Število vseh računalniških delovnih postaj knjižnice, ki jih uporabljajo zaposleni in uporabniki knjižnice? (n = 29) Kateri operacijski sistemi so nameščeni na računalniških delovnih postajah knjižnice? (n = 29) Možnih je več odgovorov Ali je v knjižnici zaposlena oseba, ki skrbi oziroma je odgovorna za delovanje in vzdrževanje IKT knjižnice? (n = 29) Drugo: pogodba z zunanjim izvajalcem

161 Ali ima knjižnica na razpolago osebo, ki zanjo opravlja naloge sistemskega/varnostnega administratorja? (n = 29) 2 - POLITIKA KNJIŽNICE O INFORMACIJSKI VARNOSTI Ali ima vaša knjižnica izdelano in sprejeto politiko informacijske varnosti? (n = 29) Ali v knjižnici upoštevate in sledite sprejeti politiki informacijske varnosti? (n = 1)

162 Ali v knjižnici sledite domačim oziroma mednarodnim smernicam/standardom informacijske varnosti? (n = 29) Katerim smernicam/standardom informacijske varnosti sledite? (n = 9) Možnih je več odgovorov Drugo: smernicam, ki jih je podal neodvisni revizor informacijskih sistemov; v knjižnici javni uslužbenci ne sledimo smernicam inf. varnosti, sledi pa temu zunanji izvajalec, s katerim imamo sklenjeno pogodbo; nič 3 - UKREPI ZA ZAŠČITO PODATKOV Kako pogosto izdelujete varnostne kopije ključnih podatkov knjižnice? (n = 27) Drugo: izdeluje jih izum; letno

163 Na katere podatkovne medije shranjujete varnostne kopije podatkov? (n = 23) Možnih je več odgovorov Drugo: izum Ali ima knjižnica (oziroma njena matična organizacija) sprejet načrt za ponovno vzpostavitev informacijskega sistema in strojne opreme v primeru "katastrofe" (angl. disaster recovery plan)? (n = 27) Ali pri posredovanju občutljivih osebnih ali poslovnih podatkov v elektronski obliki organizacijam ali posameznikom zunaj knjižnice uporabljate šifriranje? (n = 27)

164 4 - UKREPI ZA ZAŠČITO RAČUNALNIŠKE OPREME KNJIŽNICE Ali na vseh računalniških delovnih postajah knjižnice (tj. za uporabnike in zaposlene) uporabljate zaščito proti zlonamerni kodi (npr. računalniškim virusom)? (n = 26) Kakšne vrste varnostne zaščite računalniškega omrežja uporabljate? (n = 26) Možnih je več odgovorov Če ste že kdaj imeli okužbo računalniškega sistema knjižnice z izsiljevalskimi virusi (angl. ransomware), kako ste ravnali? (n = 26) Drugo: izgubili smo podatke

165 Kdo skrbi za posodabljanje programske opreme (npr. Java, Adobe Flash, Adobe Reader...) na računalniških delovnih postajah knjižnice? (n = 26) Na kakšen način posodabljate programsko opremo na računalniških delovnih postajah knjižnice? (n = 26) Ali imajo vsi lokalni administratorski računi na računalniških delovnih postajah knjižnice enako geslo? (n = 26) Ali ob zaključku delovnega dne zaposleni v knjižnici izklopijo (shut down/turn off) računalniške delovne postaje, ki jih uporabljajo? (n = 26)

166 5 - UPORABNIŠKA GESLA Ali ima knjižnica oz. njena matična organizacija sprejet dokument o varnostni politiki uporabniških gesel? (n = 26) Kakšna so vaša pravila glede spreminjanja uporabniških gesel, ki jih zaposleni uporabljajo za prijavo na svojo računalniško delovno postajo v knjižnici? (n = 26) Kakšna so vaša pravila glede dolžine in zahtevnosti uporabniških gesel, ki jih zaposleni uporabljajo za prijavo na svojo računalniško delovno postajo v knjižnici? (n = 26)

167 7 - DOSTOP DO SLUŽBENIH RAČUNALNIKOV IN ELEKTRONSKE POŠTE NA DALJAVO Ali imajo zaposleni v knjižnici možnost dela na daljavo (npr. od doma)? (n = 26) Katere možnosti povezovanja za delo na daljavo lahko uporabljajo zaposleni v knjižnici? (n = 11) Možnih je več odgovorov Drugo: remotewebaccess-vdi; dostop do poštnega strežnika preko www odjemalca; remote desktop connection; owncloud Katero programsko podporo uporabljajo zaposleni v knjižnici za dostop do službene e-pošte na daljavo (z oddaljene lokacije)? (n = 11) Drugo: roundcube webmail; roundcube webmail, drugi klienti; outlook web access (spletni odjamalec za exchange)

168 8 - LOKALNO BREZŽIČNO OMREŽJE Ali imate v knjižnici brezžično lokalno omrežje (WLAN)? (n = 25) Možnih je več odgovorov Drugo: ločeno za stranke Kako je zaščiteno (lastno) brezžično omrežje knjižnice? (n = 16) Možnih je več odgovorov Drugo: zunanji rač servis kabi; kuponi za 1 uro dela Ali je možen prek (lastnega) brezžičnega omrežja (poleg dostopa do spleta) tudi dostop do internega omrežja knjižnice, tj. do vsebine strežnikov in datotek na službenih računalniških delovnih postajah? (n = 17)

169 9 - IZOBRAŽEVANJE ZA INFORMACIJSKO VARNOST Kako pogosto se zaposleni v knjižnici udeležujejo izobraževanj s področja informacijske varnosti? (n = 24) Kdo v knjižnici se izobražuje na področju informacijske varnosti? (n = 13)

170

171 Priloga 4: Zbirni rezultati ankete za zaposlene v knjižnicah 1 - PODATKI O KNJIŽNICI IN DELOVNEM MESTU ANKETIRANCA Število (vseh) zaposlenih v knjižnici (v EPZ) ob koncu leta 2016: (n = 153) Vrsta knjižnice: (n = 153) Status knjižnice: (n = 154) Drugo: organizacijska enota treh pravnih oseb (smo spec. in vk); notranja organizacijska enota; nuk; občinska; specialna knjižnica kot del zavoda; del sektorja javnega zavoda; zavod

172 Dela in naloge, ki jih opravljate v knjižnici: (n = 154) Drugo: ravnatelj knjižnice; raziskovalno delo; vodstvena; vse; koordinacija; strokovna knjižničarska dela, publiciteta gradiva, razstave 2 - VARNOST SLUŽBENIH RAČUNALNIŠKIH GESEL Skupaj koliko različnih gesel uporabljate na svojem delovnem mestu za prijavo na računalniške delovne postaje, za dostop do različnih aplikacij/programov (npr. COBISS) ter spletnih strani oziroma spletnih storitev? (n = 149) Ali za službene namene uporabljate enaka gesla za več različnih prijav na računalniške delovne postaje, za dostop do aplikacij/programov (npr. COBISS) ter spletnih strani oziroma spletnih storitev? (n = 149)

173 Če uporabljate več različnih gesel, ali takrat, ko jih oblikujete, razmišljate o tem, da morajo biti nekatera gesla zaradi varnosti zahtevnejša? (n = 149) Ko spremenite določeno geslo, ali to najpogosteje storite zaradi zahtev varnostne politike knjižnice oziroma njenega računalniškega sistema ali zaradi vaše lastne iniciative? (n = 149) Drugo: odvisno od sistema, v katerega se prijavljamo; ne spreminjam gesel, te določi direktor; ker vi admini tako naštimate z jeb*** stavki in pikami in ostalimi ločili... :) Kako pogosto v primerih, ko zamenjave gesla ne zahteva računalniški sistem sam, menjavate vaša gesla? (n = 149)

174 Ali pri oblikovanju gesel upoštevate varnostna priporočila? (n = 149) Katera varnostna priporočila najpogosteje upoštevate pri oblikovanju gesel: (n = 117) Možnih je več odgovorov Drugo: uporabljam številke in črke; besede in številke, ter pika; menjava črk za številke, neknjižna narečna raba slovenščine, 1337, kontekstno nepovezane fraze; uporaba kombinacija črk, ki ne tvorijo smiselne besede/imena ipd. Ali pri menjavi gesla kot osnovo za novo geslo najpogosteje uporabite staro/prejšnje (npr. geslo poletje26 postane geslo poletje27)? (n = 148)

175 Ali si gesla zapišete na papir? (n = 149) Ali si gesla shranite v elektronsko datoteko (npr. v Wordov dokument)? (n = 149) Ali datoteko z zapisanimi gesli zaščitite z geslom, s šifriranjem ali kako drugače? (n = 23) Ali za shranjevanje gesel uporabljate programsko opremo, npr. Internet Explorer password manager, Firefox password manager, Password manager, Lastpass ipd.? (n = 148)

176 Varna gesla so pomembna za zaščito pred nepooblaščenim dostopom do informacij. Označite gesla, ki so po vašem mnenju dovolj varna za uporabo? (n = 147) Možnih je več odgovorov Kateri od naštetih načinov sestavljanja gesel se vam zdijo varni? (n = 147) Možnih je več odgovorov Ali vas je kdo od vaših sodelavcev (z izjemo oseb, odgovornih za delovanje opreme IKT) že kdaj prosil za vaše geslo? (n = 148)