e-Ravnatelj

O produktu | Naročnina

[email protected] | 02 250 18 00

Brezplačna registracija

Prijava

Hekerski napadi in kako se pred njimi zaščititi v VIZ

Natisni

Opredelitev terminov – grožnje informacijski varnosti

Stroka vrste škodljivih programskih kod deli na naslednje kategorije:

  • Virus je računalniška koda, ki se pripne na enega od nosilcev (npr. program ali datoteko), s pomočjo katerega se lahko razširi na druge računalnike ali naprave. Danes je tovrstnih programov sicer še relativno malo, vendar se v žargonu beseda virus še vedno uporablja za vse vrste zlonamernih programskih kod. Pogosto torej, ko nekdo govori o virusu, ne gre za virus, ampak za katero od drugih oblik (lep primer je izsiljevalski virus).
  • Črv je poimenovanje za program, ki se po računalniškem omrežju širi samodejno, brez potrebe po nekem nosilcu, kot v primeru virusa. Na računalnik se namesti brez vednosti uporabnika, kaj bo na koncu naredil, pa je odvisno od zapisa njegove kode. Dober primer računalniškega črva je npr. zajemalec tipkanja, ki »prisluškuje tipkovnici«. Črv lahko npr. sodeluje pri napadu na katerega od drugih računalnikov, spreminja naše podatke na računalniku ali pa jih pošilja napadalcu na njegov strežnik.
  • Trojanski konji so računalniški programi, ki so videti kot uporabna programska oprema, vendar v resnici ni to, za kar se izdaja. Trojanski konji se širijo, ko uporabniki odprejo določen program, za katerega menijo, da prihaja od zaupanja vrednega vira. Dober primer širjenja trojanskega konja so brezplačni programi, ki jih lahko dobimo na spletu. Pomembno je, da je program od zaupanja vrednega vira, ki mu lahko zaupamo. Posodobitve in popravke programske opreme zato vedno prenašajte le z uradnega spletnega mesta proizvajalca.
  • Bot je podtaknjen program, ki izhaja iz besede robot. Omenjeni program se z vašega računalnika poveže na nadzorni strežnik napadalca, s pomočjo katerega ta nadzira večje število botov po celem svetu (nekaj sto ali celo več tisoč). Skupini tako nadzorovanih tujih računalnikov rečemo botnet, računalnikom, ki so del tega, pa zombiji. Botneti se najpogosteje uporabljajo za napade s poplavo podatkov (DDoS, Distributed Denial-of-Service) ali razpošiljanje spam pošte oz. nezaželene e-pošte. Bota imate lahko na računalniku dolgo časa, preden opazite težave.

Najpogostejši pristopi oziroma grožnje informacijski varnosti v organizaciji:

  • Phishing je kraja podatkov, ki storilcu omogočijo dostop do spletnih storitev v našem imenu, kar lahko posledično privede tudi do kraje denarja. Največkrat nas storilci skušajo zvabiti na lažno (phishing) spletno stran katere od bank ali storitve (največkrat s pomočjo elektronske pošte), od katere imajo lahko največ koristi, kjer nas želijo prepričati, da se vanjo tudi prijavimo. Če na takšni spletni strani v prijavni obrazec vpišemo naše uporabniško ime in geslo, so podatki posredovani napadalcu.
  • Vdor v računalniški sistem je ena najbolj klasičnih oblik napada v sistem. Napadalci v teh primerih največkrat izkoriščajo ranljivost programa, ki omogoča storitev na omrežju ali pa jim dostop omogoči slabo geslo, včasih tudi odsotnost avtentikacije. Pri izbiri pravega ponudnika e-redovalnice in ostalih e-storitev v izobraževalnih ustanovah je pomembno, da damo velik poudarek varnostni zasnovi programske opreme.
  • Kraja identitete je v digitalnem svetu precej lažja kot včasih, ko smo se morali izkazati v živo z osebnim dokumentom, saj se zdaj identificiramo z digitalnimi potrdili, uporabniškimi imeni in gesli. Kraja teh ključnih elementov naše digitalne identitete lahko privede do velikih posledic, kraje zaupnih informacij in nenazadnje tudi denarnih sredstev.
  • Okužbe z zlonamerno programsko kodo so še vedno del našega vsakdana. Računalniški virusi, črvi in trojanski konji so še vedno prisotni, vendar v drugačnih, bolj sofisticiranih, oblikah kot včasih (npr. »ransomware« ali izsiljevalski virus). Redno posodabljanje operacijskega sistema in antivirusnega programa veliko pripomore k večji varnosti naših informacij. Vse bolj pa je pri preprečevanju v ospredju človeški dejavnik oziroma pazljivost tistega, ki s tehnologijo upravlja.
  • Spletne goljufije so še vedno rastoča grožnja tudi v slovenskem okolju, saj je vsako leto več prijav v tej kategoriji. Spletne goljufije so tehnično nezahtevne, temeljijo pa na zlorabi človeškega dejavnika oziroma natančneje, človeških čustev.
  • Spam elektronska pošta oz. nezaželena elektronska pošta je prisotna že mnogo let. V osnovi gre za nenaročeno oglaševanje oziroma poplavo oglasnih sporočil, med katerimi vedno pogosteje najdemo phishing sporočila in raznovrstne goljufije, ki ciljajo na širok spekter tarč.

Najpogostejše poti napada

Varnostne zaščite iz meseca v mesec zelo napredujejo, vendar pa tudi na drugi strani napadalci ustvarjajo nove načine, kako se okoristiti in škodovati posameznikom ter organizacijam. Ko govorimo o tehničnih napadih, je v ospredju še vedno ranljivost nameščenih programov, preko katerih napadalci prodrejo v organizacijo. Zastarela programska oprema, ki nima nameščenih popravkov za odkrite varnostne luknje (to so hujše napake v zasnovi programa), je lahko prava vaba za napadalce. Opazite lahko, da se spletni brskalniki, kot tudi operacijski sistemi redno posodabljajo, zato, da zagotavljajo visoko stopnjo varnosti. Težavni pa so določeni programi, ki omogočajo specifične storitve, za katere se ne izdeluje več varnostnih popravkov, organizacije pa jih še vedno uporabljajo. Napadalci lahko namreč prek teh ranljivosti v določenem programu okužijo sistem organizacije.

Elektronska pošta je nujna za sodobno poslovanje, je zelo razširjena, brezplačna in priljubljena pri napadalcih. V praksi se uporablja več rešitev za zaščito tovrstne elektronske komunikacije, kot npr. protivirusni program, ki pregleduje dospelo pošto, filtri, ki preprečujejo neželeni pošti, da sploh pride v naš elektronski nabiralnik itd. Ne glede na to, kako sofisticirana je naša tehnična zaščita, vedno se bo našlo kakšno sporno sporočilo, ki se bo izognilo varnostnim mehanizmom, jih preslepilo in znašlo v našem e-poštnem predalu. Najbolj problematična so phishing sporočila in tista, ki vsebujejo okužene priponke.

Ljudje smo socialna bitja in temu gre zasluga tudi za razcvet družbenih omrežij v zadnjih letih. Ker imajo tovrstna omrežja veliko število uporabnikov, so postala tudi tarča napadalcev, ki družbene platforme izkoriščajo tudi za širitev zlonamerne kode, krajo identitet in različnih goljufij. Zelo hitro lahko nepopravljiva škoda doleti katerega od zaposlenih, če mu npr. napadalec ukrade identiteto in na medmrežje objavlja neprimerno, žaljivo vsebino. Podobno je lahko tudi v primeru otrok in mladostnikov, ki obiskujejo vašo vzgojno-izobraževalno ustanovo. Med mladimi je razširjen pojav spletnega ustrahovanja in blatenja imena, žaljenja ter podobno. Za otroka in mladostnika so lahko posledice hude, v nekaterih primerih celo tako, da si psihološko težko opomore. V tem delu je pomemben pravilen in hiter odziv delavcev v ustanovi, da pojav omejijo.

Okužene spletne strani so lahko načrtno okužene od lastnika spletne strani ali pa za okužbo lastnik sploh ne ve, ker je napadalec zlonamerno kodo na njegovo stran lahko namestil zaradi ranljivosti v programski opremi, ki omogoča delovanje strani. Uporabnik se lahko na tovrstnih straneh okuži že samo tako, da spletno stran obišče (drive-by-download).

Verjetno je večina zaposlenih v različnih organizacijah že večkrat dobila pomnilni medij (tipa USB-ključek, spominska kartica itd.) na kateri od konferenc ali v okviru kakšnega izobraževanja. Okuženi pomnilni mediji so tudi zelo pogost način širjenja škodljive programske kode, saj se medij navadno uporabi na računalnikih znotraj organizacije in tako zaobide številne varnostne mehanizme, ki ščitijo pred zunanjimi vplivi. Uporabniki se večinoma ne zavedajo, da je lahko takšen vsakdanji medij vir številnih težav.

Socialni inženiring

Pri večini napadov na informacijsko premoženje posameznikov ali organizacij ima pomembno vlogo še en pristop, ki nima nobene neposredne povezave s tehnologijo in zlonamerno programsko kodo. Imenujemo ga socialni inženiring.

Pri socialnem inženiringu gre za to, da socialni inženir (napadalec) pridobi zaupanje svoje tarče (žrtve) in nato v nadaljevanju to zaupanje oziroma vzpostavljen odnos izrabi, da pridobi določene informacije, dostop do objektov, sistemov ali denarno korist. Gre za najpogosteje uporabljeno tehniko, ko govorimo o grožnjah na področju varovanja informacij. Razlog je v dejstvu, da je človeka bistvene lažje zmanipulirati, kot pa vdreti v zaščiteni sistem in zaobiti varnostne rešitve, da bi dosegli svoj cilj.

Ko govorimo o phishingu ali o spletnih goljufijah in prevarah, napeljevanju uporabnika, da odpre določeno priponko v elektronskem sporočilu itd., je vedno prisoten socialni inženiring.

Socialni inženiring lahko najdemo v različnih oblikah. Pri skrbno izbrani tarči se lahko pojavi v bolj osebni obliki, ko se socialni inženir dejansko izpostavi, pristopi k svoji tarči in z govorom (včasih tudi scenografijo), povezanim v določen scenarij, počasi pridobiva zaupanje svoje žrtve. Največkrat je metoda uporabljena v bolj okrnjenih različicah, kot npr.:

  • V obliki telefonskega klica, kjer se socialni inženir ob klicu izdaja za lažno osebo in od svoje žrtve na drugi strani linije želi pridobiti določene podatke. Uspeh njegovega klica je odvisen od njegove prepričljivosti in predhodno pridobljenih podatkov o svoji žrtvi ali o predmetu pogovora. V teh primerih je pomembno, da se prepričate, s kom govorite na drugi strani. Velikokrat se zgodi, da zaposleni v organizacijah po telefonu delijo osebne podatke in občutljive informacije o posameznikih (otrocih ali mladostnikih). Ne pozabite, da je na drugi strani lahko kdorkoli, ne pa nujno oseba, za katero se vam sogovornik predstavi.
  • V besedilu elektronskega sporočila, kjer socialni inženir od svoje žrtve želi, da mu prek elektronskega sporočila posreduje določene podatke, klikne na povezavo v priponki in se – v nadaljevanju na spletni strani, kamor žrtev povezava odpelje – tudi prijavi v sistem oziroma storitev (phishing), ali pa, da enostavno odpre (okuženo) priponko, ki je priložena v sporočilu. Po elektronski pošti nikoli ne posredujte občutljivih osebnih podatkov otrok, saj je komunikacija v večini primerov nešifrirana, kar posledično pomeni, da ji lahko prisluškuje kdorkoli.
  • V besedilu MMS-sporočila, kjer socialni inženir napeljuje naslovnika sporočila, naj odpre npr. sumljivo sliko, priponko ali povezavo, ki lahko na njegov pametni telefon naloži zlonamerno kodo.
  • V obliki sporočila, napisanega na fizični nosilec, npr. papir, ki je dostavljen določeni osebi z namenom, da se ta odzove tako, kot bi želel napadalec.

Tehnika socialnega inženiringa je izjemno problematična tudi iz razloga, ker žrtev največkrat sploh ne ve, da se karkoli sumljivega dogaja. Če je pristop socialnega inženirja dovolj dober, potem lahko proces izkoriščanja žrtve traja dlje časa, v različnih časovnih obdobjih, ne da bi kdorkoli kaj posumil.

Nevarna elektronska sporočila in službena elektronska pošta

Službena elektronska pošta je nepogrešljivo orodje za normalno poslovanje tudi v vzgojno-izobraževalnih zavodih. Napadalci se tega zavedajo in zato spretno uporabljajo omenjeno orodje za širjenje zlonamerne kode, izvedbo različnih goljufij ali kraje podatkov za dostop do določenih spletnih storitev. Že omenjene tehnične zaščite niso vedno dovolj, da je organizacijsko okolje varno, marsikatera nevarna pošta pa še vedno pristane v našem elektronskem predalu. Tu je izjemno pomembna vloga uporabnika, ki s to elektronsko pošto upravlja.  Če smo uporabniki dovolj osveščeni, da določeno grožnjo prepoznamo, lahko incident preprečimo, še preden se zgodi.

V lažnih elektronskih naslovih je več elementov, ki napadalce izdajajo, je pa tudi nekaj elementov, ki poskušajo naslovnika oziroma žrtev preslepiti, da verjame, da gre za legitimno sporočilo.

Napadalci skušajo žrtve preslepiti tako, da:

  • ponaredijo elektronski naslov pošiljatelja (ang. »email spoofing«): včasih izgleda, da smo si sami poslali elektronsko sporočilo ali da nam ga je poslal poslovni partner, sodelavec, tudi fotokopirni stroj iz sosednje sobe itd. Napadalci pogosto ponarejajo elektronske naslove, s čimer želijo naslovnike prepričati, da gre za legitimno elektronsko sporočilo;
  • vzbudijo občutek pomembnosti: s pomočjo socialnega inženiringa napadalci pogosto želijo vzbuditi občutek nujnosti oziroma pomembnosti poslanega sporočila (dober primer so računi nemškega Telekoma ali lažne kazni za prehitro vožnjo, varnostni incidenti na določeni spletni storitvi, ki zahteva spremembo gesla itd.), kar poveča verjetnost, da se bo naslovnik napačno odzval in se bo ujel v nastavljeno past;
  • v imenu banke pošiljajo sporočila in povezavo za prijavo v spletno banko: pri bankah velja pravilo, da vam nikoli ne bodo poslali sporočila, kjer vas bodo nagovarjali, da kliknite na določeno povezavo in se na cilju, kamor vas ta povezava odpelje, tudi prijavite v vašo spletno banko. Banke pošiljajo le povezave do komercialnih vsebin; v primeru, da želijo vaše ukrepanje znotraj spletne aplikacije, pa vam bodo pustili prosto pot oziroma vam naročili, da se sami prijavite v spletno banko kakor najbolje znate, brez sporočanja, kako to narediti.
  • pripete datoteke v poročilu poimenujejo z vabljivimi imeni:časih lahko pripeta datoteka vsebuje vaše ime ali priimek, ime podjetja, kjer delate, ali ime vašega poslovnega partnerja. Tiste bolj splošne so navadno poimenovane z imeni, kot npr. naročilo, račun, obvestilo itd. Največkrat so v angleškem jeziku (npr. invoice, bill, purchase, message itd.).
  • povezave v sporočilo poimenujejo z imeni uglednih storitev: povezave imajo lahko včasih zavajajoča imena, ki naslovnika zavedejo, da klikne nanje. Pomembno je vedeti, da besedilo, ki ga vidimo v sporočilu, ni nujno tudi istoimenska povezava strežnika, kamor nas bo po kliku nanjo tudi odpeljalo.

Napadalce navadno več elementov elektronskega sporočila tudi izdaja oziroma lahko na osnovi teh prepoznamo lažno sporočilo:

  • Slovnične napake v besedilu so zelo pogoste, saj večina napadalcev za potrebe prevoda uporablja storitev »Google Translate« ali podobna orodja, ki pa v slovenščino ne prevajajo najbolje.
  • Elektronski naslov pošiljatelja je pogosto zavajajoč in vsebuje elemente prave domene legitimnega ponudnika storitev (na primer:  redovalnica.si je prava domena ponudnika e-redovalnice, napadalec pa z namenom preslepitve uporabnika registrira domeno redovalnlca.si in pričakuje, da bo njegova tarča spregledala, da je v imenu domene namesto črke i uporabljena črka l. Zaposleni lahko kaj takšnega hitro spregleda).
  • Napadalec želi vzbuditi občutek nujnosti, da uporabnik klikne na določeno povezavo ali odpre priponko. Včasih postavijo tudi časovne omejitve, kjer navedejo določene sankcije, če naslovnik tega ne bo storil (npr. prenehanje delovanja določene storitve, kot so e-redovalnica, e-restavracija itd.).
  • Pomanjkanje logotipov oziroma stilsko pomanjkljivo sporočilo je dober znak, da vam sporočila ne pošilja zaupanja vreden ponudnik storitve.
  • Namigovanje, da kliknite na določeno povezavo, se prijavite v storitev in vnesete npr. novo geslo ali posodobite vaše osebne podatke, je varnostno sporno in ga ne bi smeli nikoli upoštevati. Vedno je priporočljivo, da sami najdete pot do vaše storitve, se prijavite tako kot vi želite in v nadaljevanju spreminjate nastavitve v storitvi, če je to potrebno.
  • Priponke so v formatih, za katere je znano, da so lahko varnostno sporni (nekateri najpogostejši: .docm, .xlsm, .pdf, .zip, .exe). Danes velikokrat vsebujejo zlonamerno kodo, imenovano »izsiljevalski virus«, žargonsko tudi »kriptovirus«, ki izhaja iz angleške besede »ransomeware« in lahko povzroči veliko težav.

Poleg klasičnih nevarnosti socialnega inženiringa in lažnih spletnih strani je v  zavodih v vzgoji in izobraževanju problematičen tudi potencialni poskus lažne spletne strani pri elektronskih bazah, kot so npr. e-redovalnice. Zato je pomembno, da,če dobite v vaš elektronski predal katerokoli sporočilo na omenjeno temo, ki vas napeljuje, da kliknete na povezavo in se prijavite v e-storitev, najprej preverite, kam povezava pelje. Besedilo, ki ga vidimo v elektronskem sporočilu, namreč ni nujno povezava, kamor nas ob kliku nanjo tudi popelje. Namreč, besedilo, ki ga vidimo v elektronskem sporočilu, je to, kar pošiljatelj želi, da vidimo. Pri povezavi lahko namreč piše tudi »klikni tukaj« in nas prav tako odpelje na neko lokacijo na spletu. Končni cilj povezave lahko preverimo tako, da se s kazalnikom od miške postavimo na povezavo (vendar nanjo ne kliknemo!) in počakamo, da se pod miško (ali v spodnjem desnem ali levem kotu okna poštnega odjemalca, odvisno od programa, ki ga uporabljamo) prikaže oblaček oziroma zapis destinacije, kamor nas odpelje ob kliku na povezavo[1] (glej primer na sliki spodaj, vir: SI-CERT – primer lažnega sporočila za banko).

E-redovalnica in ostale e-storitve

Ko se nahajate na določeni spletni strani, je pomembno, da preverite avtentičnost strani. To lahko storite na dva načina.

Prvi je, da preverite pravilen zapis domene oziroma naslova, na katerem se nahaja vaša e-storitev (pravilen naziv domene preverite pri ponudniku) – glej poglavje »Nevarna elektronska sporočila in službena elektronska pošta«. Napadalci lahko poskušajo z zamenjavo določene črke z drugo ali pa katero od črk zamenjajo s številko (npr. o in 0, E in 3 itd.).

Ko ugotovite, da je naslov, na katerem se nahajate, pravilen, je treba preveriti tudi varnostni certifikat (SSL). Ta namreč poskrbi, da je komunikacija med vašo napravo (mobilnim telefonom, računalnikom, tablico itd.) in e-storitvijo oziroma strežnikom, na katerem ta deluje, šifrirana ali varna. Z drugimi besedami to pomeni, da ji nobeden ne more »prisluškovati«. Težava pri storitvah, ki zahtevajo prijavo v sistem ali posredovanje osebnih podatkov in ne uporabljajo varne povezave, je, da lahko napadalec podatke, ki jih vnesete na tej spletni strani, enostavno prestreže (npr. uporabniško ime in geslo za dostop do e-redovalnice itd.). Iz tega razloga vse tovrstne storitve uporabljajo varnostni certifikat, ki izkazuje njihovo istovetnost. To pomeni, da povezava poteka na varnem protokolu https, ki pa se namesto neprijaznih tehničnih znakov pokaže v obliki prikazane ključavnice pred nazivom domene.

Pomembno je, da nikoli nikakršnih osebnih podatkov ali podatkov za dostop ne vpisujete na spletni strani, ki pred imenom domene nima simbola ključavnice. Takšna stran namreč ni varna.

Neprevidnost – finančne posledice

Neprevidnost pri upravljanju z informacijskim premoženjem zavoda ima lahko tudi velike finančne posledice. Na eni strani imamo napadalce, ki nas želijo s pošiljanjem lažnih računov ali v obliki izsiljevalskega virusa preslepiti, kjer v nadaljevanju zahtevajo odkupnino, na drugi strani pa tudi evropsko zakonodajo, ki za upravljavce zbirk podatkov predpisujejo tudi visoke kazni v primeru varnostnih incidentov. Seveda tu ne smemo pozabiti tudi na odgovorno shranjevanje digitalnih certifikatov za elektronsko bančništvo, saj lahko ob njihovi zlorabi in nepooblaščeni uporabi organizacija utrpi finančno škodo.[2]

Izsiljevalski virus

Izsiljevalski virus lahko zelo ogrozi razpoložljivost vaših podatkov. Zlonamerna koda, ko okuži naš računalnik, datoteke na našem disku, strežnikih, do katerih imamo dostop, oblačnih storitvah itd., šifrira datoteke oziroma jih zaklene. To posledično pomeni, da kljub temu, da so datoteke še vedno na našem disku oziroma imamo do njih še vedno dostop, ne moremo prebrati njihove vsebine. Do vsebine datotek je mogoče dostopati le, če posedujemo digitalni ključ, ki te podatke odklene oziroma dešifrira. Ta ključ je v lasti napadalca, ki v zameno, da nam ga preda, zahteva plačilo odkupnine v obliki kriptovalute Bitcoin (to je elektronski denar, katerega vrednost določata povpraševanje in ponudba na trgu). Zneski se, preračunano v naši valuti, gibljejo od nekaj sto do nekaj tisoč evrov.

Gesla za dostop

Gesla so ena prvih obrambnih linij pred nepooblaščenim dostopom v sistem. Ker si sestavo gesla navadno določi uporabnik sam, je treba upoštevati tudi določene dobre prakse:

  1. Vsa privzeta gesla mora uporabnik spremeniti pri prvi uporabi sistema.
  2. Vsak uporabnik mora imeti svojevrstno geslo za dostop.
  3. Dobrodošlo je, če so gesla iz velikih in malih črk, številk ter nealfanumeričnih znakov (presledek, ločila, simboli …).
  4. V geslih NE uporabljajte svojih osebnih podatkov, podatkov partnerjev, otrok sorodnikov.
  5. Ne uporabljajte istih gesel za različne račune.
  6. Gesel ne shranjujte nezaščiteno, ne zapisujte jih na listke in jih ne delite z drugimi.

Razlog, da prihaja do nepravilnosti pri sestavi, hrambi in ščitenju gesel za dostop, je predvsem v tem, da si ljudje prevečkrat preveč poenostavimo naše delo. Varnostne ukrepe doživljamo kot nepotrebno breme pri našem delu. Vendar, ko govorimo o varnosti občutljivih osebnih podatkov, mimo varnosti ne moremo. Geslo, ki nam je dodeljeno (privzeto geslo) za prvo prijavo v sistem, moramo nemudoma spremeniti, ko imamo možnost za to. Privzeta gesla so namreč velikokrat javno znana, nekatera pa najdemo kar na spletu.

Vsak izmed uporabnikov si mora nastaviti samosvoje geslo, saj, če imajo sodelavci med seboj enaka gesla za dostop, so si jih izmislili skupaj, kar pomeni, da nastopi problematika deljenja gesel, posledično pa je to velika varnostna luknja, saj lahko posamezniki v sistem dostopajo tudi pod drugim imenom. V nekaterih sistemih namreč obstaja revizijska sled, ki beleži, kdo, kdaj in kaj je spreminjal oziroma do česa je dostopal v sistemu. Tako je  primeru incidenta lahko lažje odkrijemo storilca in ga tudi sankcioniramo ter preprečimo nadaljnje nepravilnosti.

Sestava gesla je zelo pomembna. Enostavna gesla ali tista, ki vsebujejo osebne podatke osebe, kateri geslo pripada, je izjemno lahko ugotoviti (še posebej, le je oseba katerega od teh podatkov delila na socialnih omrežjih). Izogibajte se torej uporabi tovrstnih podatkov pri sestavi gesla in zapomnite si, da daljše kot je geslo, lažje si ga je zapomniti. Tu seveda nastopi težava, ki se nanaša na pomnjenje tovrstnega gesla. Geslo tipa »&bikK09$#« si je zelo težko zapomniti, pa še posebno dolgo ni. V današnjem času uporaba gesla kot ene besede ni več varna, nadomestila pa jo je uporaba gesla kot stavka. Če pogledamo primer dobrega, močnega gesla v obliki stavka »Založba FM ima SuP3R izobraževanja!« vidimo, da pri sestavi nismo uporabili osebnih podatkov ali neključnega niza znakov, ki jih včasih težko najdemo na naši tipkovnici. Uporabili smo enostavne besede z velikimi in malimi črkami, vmes smo vrinili še številko, vse skupaj ločili z presledki (poseben znak) in na koncu dodali še ločilo (poseben znak). Vsekakor je geslo lahko zapomljivo in ga kljub dolžinihitro vnesemo v prijavno polje. Le nekaj poskusov potrebujemo, da se vnese.

Ko smo sestavili »močno« geslo, je tudi pomembno, da poskrbimo za njegovo varno hrambo. Samolepilni listki, prilepljeni na ekranu, niso primerno mesto za shranjevanje gesel, prav tako to ni ne podloga za miško ali pa hrbtna stran tipkovnice. Izogibajte se tudi uporabi beležk ali zvezkov, shranjenih v nezavarovanih predalih ali pa nešifriranih dokumentov tipa Microsoft Word in podobnih. Če geslo morate kam zapisati, naj bo ta medij pod ključem (zaklenjen predal, omara) ali pa še bolje, šifriran oziroma zaščiten z nekim glavnim geslom, s katerim boste dostopali do vseh ostalih.

Celovit pogled na varovanje informacij v vzgojno-izobraževalnih ustanovah

Varnost ni v domeni posameznikov, ampak vseh zaposlenih. Zmotno je prepričanje, da so nekatere službe pristojne za reševanje specifične problematike, na ostale pa se to ne nanaša. Če, na primer, vzamemo področje požarne varnosti. Vsi zaposleni v organizaciji se izobražujejo oziroma usposabljajo, da znajo pravilno ravnati v primeru morebitnega požara in ga predvsem tudi preprečiti, če je to v njihovi moči. Podobno je, ko govorimo o varovanju podatkov. Tehnična služba oziroma informatiki poskrbijo za tehnično zaščito računalniškega sistema organizacije in rešujejo nastale težave, vendar smo tudi uporabniki tisti, ki s tem sistemom delamo vsak dan. Dovolj visoka stopnja osveščenosti zmanjša uresničitev tveganja na, za večino organizacij, sprejemljiv nivo. Popolne varnosti ni in je ne moremo doseči. Lahko pa poskrbimo, da je celotno delovanje dovolj varno oziroma, če se uresniči določeno tveganje,  lahko organizacija prenese posledice in zaščiti svoje uporabnike.

Ko govorimo o človeškem dejavniku varnosti na področju varovanja podatkov, moramo posebej izpostaviti:

  1. področje izobraževanja zaposlenih;
  2. obveščanje zaposlenih v primeru povečane nevarnosti (obveščajo informatiki);
  3. zapis pravil obnašanja pri ravnanju s posamezno opremo ali sistemom (pravilniki in varnostne politike).

V primeru računalniških napadov vam je v pomoč priročnik Obramba in ukrepanje v primeru okužbe. 

[1] Namig: Trik deluje tudi v primeru, ko brskate po spletu. Na spletu se namreč skrivajo številne povezave do škodljivih spletnih strani. Pametno je, da jih preverite, preden kliknete nanje.

[2] Digitalni certifikat je treba po vsaki uporabi vzeti iz čitalca ali vzeti USB-ključ, če se certifikat nahaja na njem. Poznanih je že več primerov iz slovenskega okolja, kjer so napadalci računalnik v organizaciji okužili z zlonamerno kodo, ki jim je omogočala oddaljen dostop do naprave in pridobitev gesla za dostop do e-banke. Ker je eden od zaposlenih v organizaciji pustil digitalni certifikat za e-bančništvo v čitalcu, so napadalci ponoči nastavili plačilne naloge, ki so se izvršili naslednji dan zjutraj. 

Za uporabo priljubljenih vsebin se prijavite.

Ne pozabite

Poročanje stanja števila zaposlenih iz kadrovskega načrta
18. 07. 2026
Javni sektor

Aktualna izobraževanja - 10 % popust za naročnike s kodo: ERAVNATELJ10

Požarna varnost – zakonodajne zahteve in praksa
23. 06. 2026

Kdo ali kaj nam krade pozornost in kako jo dobiti nazaj
27. 08. 2026

Evidenca odpadkov – obveznosti in poročanje
28. 08. 2026

Psihoaktivne snovi v šoli
22. 09. 2026

Odgovornost vodij v praksi – pravni vidiki kadrovskih odločitev
24. 09. 2026

Prijavite se na e-novice

Prijavite se na e-novice in bodite vedno na tekočem.

Prijava na novice