INFORMACIJOS APSAUGA
TURINYS
Įvadas 31. Informacijos apsauga įmonėse 41.1. Informacijos apsauga – sėkmingos veiklos garantas 41.2. Išankstinė informacijos apsauga 61.3. Kompiuteriniai virusai 61.4. Tinklų apsauga 81.5. Šifravimas ir asmeninis kodas 92. Asmens duomenų apsaugos problema 112.1. Europos Sąjungos teisinės aplinkos apžvalga 142.2. Lietuvos teisinės aplinkos apžvalga 15Išvados 17Literatūros sąrašas 18
ĮVADASInformacinių technologijų amžiaus žmogui labai svarbi informacijos apsauga. Netekęs savo asmeninės informacijos, žmogus gali prarasti visą savo turtą. Informacija dabar gali būti pavogta ne tik įsilaužus į namus, bet ir įsilaužus į kompiuterį, į įmonės tinklą. Be to, informacinių sistemų saugumo analitikai tvirtina, kad įmonėms daug daugiau nuostolių pridaro ne kompiuterių įsilaužėliai, bet pačių kompanijų darbuotojai. Vadinasi, reikia saugotis ne tik svetimų, bet ir savų.Internetas yra viena iš veržliausiai plintančių ir ypatingai efektyvių komunikavimo priemonių, įgalinančių mus bendrauti nepriklausomai nuo atstumo, laiko, valstybių sienų. Gyvenimas elektroninėje erdvėje tampa vis intensyvesnis. Susijungus į pasaulinį tinklą dešimtims ir šimtams milijonų asmeninių kompiuterių, atsiranda ir didėja realus pavojus, jog mūsų asmeninius duomenis, elektroninio pašto korespondenciją tretieji (pašaliniai) asmenys galės stebėti, pakeisti ar perimti, nes interneto kanalais keliaujančią informaciją galima surasti, perskaityti, pakeisti, redaguoti ar sunaikinti. Tokiu būdu, naudodami internetą, mes ne tik gauname naujas komunikavimo galimybes, bet taip pat susiduriame su privačios informacijos ir asmens duomenų nesankcionuoto vartojimo problema. Kyla klausimas ar skubus naujų informacinių technologijų taikymas nesukelia naujų grėsmių žmogaus laisvėms ir teisėms į asmeninio gyvenimo privatumą? Ar saugu internete perduoti privataus pobūdžio informaciją, pateikti asmens duomenis ar kitą neskelbtiną informaciją?Šitie klausimai yra aktualūs ne tik asmenims, naudojantiems internetą kaip informacijos apsikeitimo terpę, bet ir informacinių paslaugų – elektroninio verslo, elektroninės prekybos, nuotolinio mokymo, gydymo bei kitų paslaugų elektroninėje erdvėje kūrėjams, teikėjams ir platintojams.Referate bandoma atskleisti informacijos apsaugos svarbą žmogaus gyvenime, jo darbinėje veikloje. Didelis dėmesys skiriamas kompiuterinių duomenų bazių, elektroninių žinučių ir, kas taip pat labai aktualu – asmeninių žmogaus duomenų apsaugai.
1. INFORMACIJOS APSAUGA ĮMONĖSE1.1. Informacijos apsauga – sėkmingos veiklos garantas
Ar kiekvienam asmeniui būtina naudoti informacijos apsaugos priemones? Informacijos apsauga turi būti toks savaime suprantamas dalykas, kad klausimas „Ar naudojate informacijos apsaugos priemones?“, turėtų būti toks pat juokingas kaip klausimas „Ar rakinate savo buto duris?“.Žiniasklaidos priemonės nuolat skelbia, kad visame pasaulyje daugybė žmonių nukenčia dėl kompiuterinių virusų, įsilaužimų į serverius, apie komercinės ir bankų informacijos vagystę. Reikia tik įsivaizduoti, kokią žalą gali padaryti kompiuterių piratas, ištrynęs informaciją iš kompiuterio disko. Tik neradęs kompiuteryje savo dokumentų ir elektroninių laiškų, žmogus gali suprasti, kad informacija jam taip pat yra labai brangi. Informacijos apsauga apima du skirtingus dalykus:1. Informacijos apsauga nuo klaidų ir jos iškraipymo ar praradimo kompiuterio techninės įrangos gedimų atveju,2. Informacijos apsauga nuo nesankcionuoto jos naudojimo arba piktavališko jos iškraipymo ar sunaikinimo.Informacijos saugumas yra gyvybiškai svarbus. Net ir nedidėlėse įmonėse kaupiami dideli informacijos archyvai. Duomenis apie finansinę padėtį, produktų gamybą, prekes, saugomas sandėlyje, ir kt. ypač svarbu patikimai saugoti. Nuo to priklauso kiekvieno verslo sėkmė. Netgi menkutis informacijos nutekėjimas apie gamybos ir pirkimo planus, apie tiekėjus ir klientus gali privesti įmonę prie bankroto ribos. Pagrindinis saugumo uždavinys – kontroliuoti ir saugoti priėjimą prie bendrų įmonės duomenų.Informacijos karai šiais laikais yra bene didžiausia grėsmė įmonių verslo sėkmei. Iš įmonės pavogta slapta informacija gali būti nukreipta prieš ją. Taip įmonė gali būti privesta prie bankroto. Tačiau nepaisant to, Lietuvos rinkoje informacijos apsaugos priemonių ir paslaugų paklausa ne itin didelė.
Užsienio kompanijos aktyviai plečia saugumo infrastruktūrą, o Lietuvoje dar tik pradedama domėtis apsaugos nuo įsilaužėlių priemonėmis. Netgi tos įmonės, kuriose domimasi informacijos apsauga ir rūpinamasi informacijos saugumu, neretai susiduria su daugybe problemų, kurių neįmanoma išspręsti be kompetentingų apsaugos specialistų paramos. Visų pirma, reikia suprasti, kodėl ir nuo ko reikia saugoti informaciją. Neretai įmonės naudoja tik keletą apsaugos priemonių, užuot įdiegusios visą kompleksą. Daugybė įmonių netikrina naudojamų apsaugos sistemų efektyvumo, taip tik švaistydamos lėšas. Yra ir tokių įmonių vadovų, kurie galvoja, kad neverta diegti rimtų informacijos apsaugos priemonių. Pasaulinė statistika rodo, kad kiekvienais metais kompiuterinių nusikaltimų, susijusių su informacijos vagyste, daugėja 32-35 %. Pvz., JAV nuostolis, patirtas dėl įsilaužėlių, kasmet sudaro apie 4 mlrd. JAV dolerių. Įmonės dėl to praranda šimtus tūkstančių dolerių. Tai daug didesni nuostoliai, nei po banko apiplėšimo, kai prarandama apie 20 tūkst. JAV dolerių. Lietuvos įmonėms irgi gresia panašūs nemalonumai. Daugybė įvairios srities įmonių susiduria su įsiskverbimu į informacijos apsaugos sistemas. Tik mažiau nei pusė tokių atvejų būna susiję su įsiveržimu į sistemas iš išorės. Kitais atvejais įmonės nukenčia dėl savo darbuotojų neatidumo. Specialistai išskiria keletą veiksnių, dėl kurių įmonės nukenčia „iš vidaus“. Nors informacija šiais laikais yra aukso vertės, anaiptol ne visi supranta, kad ją reikia ypatingai saugoti. Daugybė vartotojų, bijodami pamiršti prisijungimo vardą ir slaptažodį, iki šiol lapelius su slaptažodžiais klijuoja ant sienų ar ant kompiuterio monitoriaus. Be to, neretai pasirenkami paprasti slaptažodžiai, pvz., 12345. Dauguma naudoja slaptažodžiams artimų žmonių vardus ar savo gimtadienio datas, nesusimąstydami, kad tokius slaptažodžius įsilaužimo programa iššifruos mažiau nei per minutę, paprastu žodžių perrinkimo būdu. Būna atvejų, kai slaptažodis netyčia pametamas, o gal ir tyčia „paskolinamas“ draugui. Arba, koks nors buvęs darbuotojas, net išėjęs iš darbo, ir toliau turi priėjimą prie svarbių įmonės duomenų ir gali kiek tinkamas „kerštauti“. Taigi, teoriškai tik vienam žmogui žinoma informacija tampa žinoma visiems. Tokie „visiems žinomi“ slaptažodžiai galbūt ir nepadės įsilaužėliui įsibrauti į įmonės vietinį tinklą, bet gerokai supaprastins jo darbą, jam jau įsilaužus į tinklą. Įsilaužėlis, naudodamasis priėjimo prie kompiuterio ar prie serverio slaptažodžiais, gali juos panaudoti prieiti prie kitų tinklo kompiuterių. Na, o jei jis turi slaptažodį darbuotojo, kuris firmoje atlieka ypatingas funkcijas, nuo jo bemaž nieko nebegalima paslėpti. Vienintelis būdas – susigalvoti sudėtingus slaptažodžius. Tačiau juos ne tik sunku sudaryti, bet vėliau ir įsiminti. Kita galimybė – neleisti įsilaužėliui prieiti prie įmonės bendrų išteklių. Tačiau tokiu atveju priėjimo prie bendro tinklo negali turėti ir joks darbuotojas. Taigi, norint patikimai apsaugoti įmonės informaciją, reikia naudoti ne tik slaptažodžius, bet ir papildomą techninę bei programinę apsaugą. Siekdamos didesnio informacijos saugumo, kai kurios įmonės naudoja dvipakopę autentifikaciją (deja, šis būdas dar nėra itin paplitęs). Priėjimas prie svarbios informacijos ribojamas ne tik vartotojo vardu ir slaptažodžiu, bet ir dar viena priemone, pvz., panaudojant intelektualiąją kortelę ar elektroninį raktą (tai nedidelis, įprasto durų rakto dydžio įtaisas, kuriame saugomas užšifruotas slaptažodis). Norėdamas prieiti prie savo kompiuterio arba tinkle saugomų duomenų, vartotojas prijungia el. raktą prie kompiuterio jungties ir dar papildomai įrašo slaptažodį. O prieš išeidamas iš darbo buvęs darbuotojas privalo priduoti elektroninį raktą, taigi, priėjimas prie įmonės duomenų jam užkertamas. Informacinių technologijų amžiuje, kuris suteikė žmonėms galimybę keistis informacija su asmenimis, esančiais už daugelio tūkstančių kilometrų neišeinant iš kabineto bei susirasti dominančią informaciją vienu klavišo spustelėjimu, labai svarbu suvokti, kad „gyvenimas tinkle“ tiesiog įpareigoja informacijos kūrėjus ir vartotojus rūpintis jos apsauga, susimąstant apie tai, kokias pasekmes gali sukelti tos informacijos „nutekėjimas“ į kitų rankas.1.2. Išankstinė informacijos apsauga Kas savaitę įvairiausių firmų tinklo administratoriai praleidžia daug laiko taisydami kompiuterius, užkrėstus kompiuteriniais virusais, kasdien dėl kompiuterinių įsilaužimų prarandama informacija, prarandama ir pati kompiuterinė įranga. Leidžiami pinigai, gaištamas laikas. Norint to išvengti, reikia pasirūpinti operacinių sistemų saugumu, kad, jei į kompiuterį papuls virusas, jį sulaikytų operacinė sistema. Apsaugos programas į kompiuterius būtina įdiegti iš anksto, kol virusai dar nepapuolė į kompiuterį. Tai tas pats, kaip iš anksto pasiskiepyti nuo pavojingos ligos, kad būtume saugūs jai užpuolus. Išgydyti ligonį tuomet, kai jis jau serga, daug sunkiau ir brangiau, o kartais gali net nepavykti. Tą patį galima pasakyti ir apie kompiuterinius virusus. Jiems įsibrovus kompiuterį, saugotis jau būna per vėlu. Kompiuterio taisymui gali tekti išleisti daugybę pinigų, galima netekti brangių kompiuterio dalių, informacijos ar ir visų kompiuterio „smegenų“. Ir tai dar ne viskas, kompiuterį užpuolęs virusas gali akimirksniu būti perduotas į bendradarbių ir draugų kompiuterius per vietinį įmonės tinklą ar internetą.Kitame skyriuje detaliau apibūdinami kompiuteriniai virusai, supažindinama su kai kuriomis jų grupėmis bei aprašoma neigiama virusų įtaka informacijai, esančiai kompiuterinėse sistemose, tinkluose ir pan.
1.3. Kompiuteriniai virusaiKompiuterinių virusų vardu vadinamos įvairios kompiuterinės programos, sutrikdančios kompiuterio veikimą ar trukdančios dirbti. Iki šiol nėra vieningo kompiuterinio viruso apibūdinimo. Daugelis naudojamų apibūdinimų arba nėra visiškai tikslūs, arba nekorektiški, arba paprasčiausiai neteisingi. Tikslaus apibrėžimo, ko gero, nebus niekada, kadangi nėra tikslios ribos tarp „normalių“ programų ir virusų. Vienu iš tinkamiausių apibrėžimų galima būtų laikyti šį, pateiktą A.V.Prudovskio:Kompiuterinis virusas – programa (kodo/instrukcijų visuma), galinti kurti savo kopijas (nebūtinai panašias į originalą) ir įdiegti jas į įvairius kompiuterinių sistemų, tinklų ir pan. objektus/ resursus apie tai nežinant vartotojui.Virusai pridaro įvairių nemalonumų: modifikuoja ar net sunaikina programas, dokumentus; sunaikina (užkoduoja, ištrina) visą diske laikomą informaciją; sumažina sistemos darbo našumą; sukelia įvairius garso ir vaizdo efektus ir t.t. Šiuo metu yra priskaičiuojama apie 60000 virusų, kurie „kompiuterinėje virusologijoje“ skirstomi į šias grupes:Standartiniai COM-EXE-TSR virusai įsiskverbia į vykdomuosius failus, diskų sektorius ir operatyviąją atmintį. Toliau ši „terpė“ naudojama naujų viruso kopijų sukūrimui ir naujų objektų pažeidimui. Šiuos virusus aptikti galima iš karto pagal nekorektišką kompiuterinės sistemos darbą, laisvų sisteminių resursų sumažėjimą (disko ir operatyviosios atminties) arba pagal vykdomųjų failų dydžio pasikeitimą. „Stels“ (Stealth) virusas naudoja tam tikrų priemonių rinkinį savo paties maskavimui. Jis stengiasi maskuoti pažeistų failų padidėjimą ir savo kūną tame faile, pakišdamas vietoje savęs „sveikąją“ failo dalį. Nors dauguma antivirusinių priemonių gali rasti ir blokuoti aktyviąją šio viruso dalį, bet yra praktiškai bejėgės prieš naujus virusus (žinomi atvejai, kai virusai naudodavo kai kurias antivirusines programas savo plitimui, t.y. pažeisdavo failus juos tikrinant antivirusu!).Virusai, šifruojantys savo kūną. Dažniausiai šie virusai turi savo kūno šifruotojo ir dešifruotojo kodą. Generatorius įvairiais laiko momentais kuria vis kitokius šifruotojus ir jiems atitinkančius dešifruotojus. Šiuose virusuose dešifruotojas keičiasi kiekvienam užkrėstam failui. Dėl šios priežasties dažnai negalima aptikti užkrėsto failo pagal charakteringą viruso eilutę.
„Kompiuteriniai kirminai“ dažniausiai įlenda į įvairius archyvus (ARJ, ZIP). Jie gali vogti failus iš kompiuterio arba užblokuoti kai kuriuos iš jų.„Makro“ (macro) virusai. Šiais virusais kompiuterį užkrėsti galima skaitant tekstinius failus, sukurtus tekstų redaktoriumi Microsoft Word (failų vardų pratęsimai yra *.doc, *.dot) ir elektronine lentele Microsoft Excel (*.xls). Kai kurių šaltinių duomenimis nuostoliai dėl šių makrovirusų JAV sudaro ne vieną milijardą dolerių. Tokių virusų daroma žala gali būti labai įvairi: jie keičia duomenis dokumentuose arba juos sunaikina, keičia Windows spalvų parametrus, naikina failus kietuosiuose diskuose ar darbiniuose kataloguose. Virusus galima klasifikuoti pagal veikimo būdą. Šiuo atveju galima išskirti tokias pagrindines jų grupes:Tikrasis virusas. Tai mažos apimties programos, kurios “prisiklijuoja” prie kitų programų ir atgyja, kai infekuota programa ruošiama vykdyti. Jie randa ir “užkrečia” kitas programas. Atlikęs visus nustatytus veiksmus, virusas gali grąžinti valdymą infekuotai programai. Tokie virusai sunkiai aptinkami, nes dažniausiai infekuotos programos veikia įprastai ir sėkmingai baigia savo darbą. Tikrojo viruso pagrindinis tikslas – savo paties kopijų kūrimas.Programos–kirminai, kurie visą laiką dauginasi. Palaipsniui kirminai užima visą kompiuterio ar tinklo atmintį, ir tada negalimas joks tolimesnis naudingas darbas.„Loginės bombos“ pradeda veikti, įvykus konkrečiam loginiam įvykiui, pvz., prisijungus prie tinklo naujam vartotojui.„Laiko bombos“ pradeda veikti iš anksto numatytu laiko momentu (pvz., kai kompiuterio data pasiekia penktadienį, kuris yra mėnesio 13 diena).Trojos arkliai – programos, įterptos į kitas programas. Jos atrodo kaip naudingos programos, tačiau atlieka kenkėjiškus veiksmus (pvz., groja nustatytą melodiją). Nematomi virusai – programos, slepiančios jų atliktus pakeitimus failuose ar išorinės atminties sektoriuose pakeisdamos sistemines funkcijas, kurias naudoja tuos failus ar sektorius skaitančios programos.Pagal kenksmingumo lygį virusai skirstomi į nepavojingus, pavojingus ir labai pavojingus. Nepavojingi virusai kompiuterio darbui labai nekenkia, tik daugindamiesi užima tam tikrą atminties dalį. Be to, jie gali išvesti į ekraną grafinius vaizdus, pranešimus, imituoti įvairius garsus ir pan. Pavojingi virusai gali gerokai sutrikdyti kompiuterio darbą, o labai pavojingi virusai naikina programas ir duomenis, ištrina būtiną kompiuteriui sisteminę informaciją, gali fiziškai sugadinti informacijos laikmenas ar kai kuriuos įrenginius.Užkrėsti kompiuteryje esančius failus galima įvairiais būdais:– pernešant diskeliais duomenis iš vieno kompiuterio į kitą,– kopijuojant duomenis per vietinį kompiuterinį tinklą,– parsisiunčiant duomenis iš interneto,– naudojant nelegalias (piratines) programų kopijas (pvz. žaidimus) ir t.t.Norint apsisaugoti nuo virusų daromos žalos arba greitai juos aptikti, patartina:– reguliariai daryti svarbių duomenų rezervines kopijas;– naudoti legalius programinius produktus, vengti naudoti iš neaiškių šaltinių gautas, nežinomas programas;– skolinant diskelius ar kopijuojant duomenis iš diskelių naudoti diskelių apsaugą nuo įrašymo.Norint apsaugoti asmeninį kompiuterį, įmonės kompiuterinį tinklą nuo patrenkančių į juos virusų, būtina įsigyti antivirusinę programą, reguliariai ją atnaujinti ir visada tikrinti programas, dokumentus ar kitus duomenis, kopijuojamus iš kito kompiuterio, interneto, diskelių, kompaktinių diskų. Šiandieninė informacija apie virusų paplitimo geografiją rodo, kaip pasikeitė situacija kompiuterių apsaugos srityje. Kompiuterių vartotojai tapo šiek tiek „protingesni“ ir ėmė labiau rūpintis savo darbo priemonių saugumu. Tačiau įmonėms nereikia prarasti budrumo, antraip jos rizikuoja būti nepasirengusios, kai netikėtai atslinks nauja kenkėjiškų programų audra.1.4. Tinklų apsaugaTinklai padeda susisiekti su draugais, artimaisiais, partneriais iš tolimiausių pasaulio kampelių, tačiau tie patys tinklai gali būti pavojingi, jei į juos įsiveržtų pašaliniai ir pavogtų slaptą informaciją.Pavyzdžiui, Taivanio firma „ZyXEL“ – žymi tinklo įrangos gamintoja – daug dėmesio skiria tinklų saugumui. Jos gaminama tinklo įranga ne tik garantuoja patikimą kokybišką ryšį, bet ir saugo tinklą nuo įsilaužimų, filtruoja duomenis nuo nepageidaujamo turinio. Panaudojant šią įrangą, vaikai gali būti apsaugomi nuo pornografinės ir smurtinės informacijos, prieinamos per internetą.
Firmos vadovas, įdiegęs į firmos tinklą tokią įrangą, ne tik apsaugos tinklą nuo įsilaužimų, bet ir gali blokuoti darbuotojų pomėgį darbo metu nuolat sėdėti pokalbių kambariuose. Kai viena įmonė turi daug nutolusių biurų, sujungtų tarpusavyje, svarbu pasirūpinti ne tik kiekvieno iš jų apsauga, bet ir bendros sistemos apsauga. „ZyXEL“ taiko naujas tinklo technologijas, kurios leidžia palaikyti kokybišką ir saugų ryšį tarp nutolusių įmonės biurų. Tarp biurų sudaromas virtualus tunelis. Kad juo perduodama informacija būtų saugi, sudaroma kelių lygių apsauga. Visų pirma, papuolę į tunelį duomenys šifruojami, o jų siuntėjas gali prieiti prie tinklo tik prijungdamas elektroninį raktą. Į šį raktą įdiegta autentifikacijos sistema, garantuojanti, kad informacijos siuntėjas yra būtent konkretus asmuo, o ne kitas, pasirašęs to asmens vardu. Kai užšifruota informacija perduodama, dar reikia garantuoti, kad ji pakeliui nebūtų užkrėsta virusu. Tam įdiegiama laboratorijos antivirusinė programa. Gavėjas su perduota informacija gauna ir pranešimus apie bandymus informaciją pasiglemžti, užkrėsti virusais. Tai seka autentifikacijos sistema.Taigi virtualiųjų privačių tinklų apsaugą sudaro šie lygiai:– šifravimas,– autentifikacija,– priėjimo prie tinklo kontrolė.Tik įgyvendinus visus šiuos etapus, serveriai, vartotojų kompiuteriai ir perduodami tinklu duomenys gerai saugomi nuo įsilaužimų, nesankcionuotų veiksmų, informacijos nutekėjimo. Įmonės tinklo apsaugai gali būti naudojama šifravimo sistema, kuri leidžia paslėpti ar padaryti neprieinamus slaptus duomenis. Sistema sukuria kompiuteryje naujus slaptus diskus. Saugant juose informaciją, ji automatiškai šifruojama. Norint disku pasinaudoti, reikia prijungti elektroninį raktą ir įrašyti slaptažodį. Tiems, kurie norės peržiūrėti slaptąjį diską be rakto ir slaptažodžio, jis tiesiog bus nematomas. Tokia sistema garantuoja, kad informacija bus saugiai saugoma, panaudojant elektroninius raktus arba intelektualiąsias korteles.1.5. Šifravimas ir asmeninis kodasŠiuolaikiniame pasaulyje verslas neįmanomas be informacinių mainų elektroniniu paštu ar naudojantis specialiomis elektroninės komercijos sistemomis. Siųsdamas laišką žmogus nori būti garantuotas, kad jį perskaitys tik tas asmuo, kuriam laiškas siunčiamas, kad laiškas nepateks į svetimas rankas, ypač jei jame siunčiama svarbi, konfidenciali informacija. Elektroniniai laiškai, siunčiami internetu, pereina tam tikras stotis, tad svarbu, kad jose nebūtų pagrobti svetimų rankų. Kyla klausimas, ar apskritai verta internetą naudoti verslui? Be jokių abejonių, verta, tik reikia pasirūpinti saugumu. Vienas iš apsaugos būdų – šifravimas ir skaitmeninis parašas. Skaitmeninio parašo technologijai naudojamas asimetrinis šifravimo algoritmas. Tam naudojami du raktai: atviras (public) ir uždaras (private). Kiekvienas asmuo, norintis naudotis skaitmeniniu parašu, privalo turėti tokių raktų porą. Atviras raktas prieinamas visiems, kurie nori tarpusavyje keistis informacija, uždaras raktas turi būti saugomas paslaptyje, jis priklauso tik vienam asmeniui. Raktas sudarytas iš skaitmenų, kuriais užšifruojama informacija. Uždaro rakto atspėti bemaž neįmanoma, tačiau informaciją, užšifruotą tokiu raktu, galima iššifruoti kitu raktu. Gali būti nustatomas skirtingas priėjimas skirtingam darbuotojui, pvz., buhalteriui ir vadovui. Elektroninis raktas taip pat naudojamas skaitmeniniam parašui. Tai šiuolaikiškas būdas saugoti informacijai. Nedideliame įrenginyje, panašiame į durų rakto pakabuką, patikimai saugoma informacija, identifikuojanti vartotoją. Prijungęs tokį raktą prie kompiuterio, vartotojas gali prieiti prie tinklo informacijos ir išteklių, kuriais jam leidžiama naudotis. Informacijos saugumas visais laikais buvo būtinas verslo sėkmei. Ypač reikšmingas jis tapo elektronininės komercijos eroje.
2. ASMENS DUOMENŲ APSAUGAPasaulyje daugiau kaip prieš 30 metų, kai buvo pradėti kurti pirmieji duomenų bankai, buvo pripažinta, kad modernios technologijos sudaro grėsmę žmogaus teisei į privatumą, nes atsirado galimybė surinkti ir sukaupti didžiulį informacijos kiekį, lengvai apdoroti ir greit paskleisti, sujungti ir panaudoti kitais tikslais, nei jie buvo surinkti. Tapo būtina saugoti duomenis ne tik dėl galimo jų neteisėto naudojimo, bet ir dėl jų patikimumo, nes pripažinta, kad neatsargus informacijos technologijų panaudojimas gali juos sugadinti ar iškreipti.
Duomenų apsauga traktuojama kaip žmogaus teisė į privatumą informaciniu aspektu. Lietuvoje duomenų apsaugos veikla yra nauja, lyginant su kitomis valstybėmis, bet per pastaruosius metus ji jau pasiekė tokį lygį, kuris verčia nerimauti ne tik kiekvieną žmogų, kurio teisę gina įstatymas, bet ir valdžios institucijas, ir ne tik jas, bet ir kiekvieną duomenų valdytoją – bet kurią įmonę, įstaigą ar organizaciją.Šiandien svarstomas klausimas, ar valstybė garantuoja žmogaus teisę į privatumą, kai tvarkomi asmens duomenys? Taip, garantuoja, nes iš esmės yra sukurti tokie teisiniai pagrindai, kokių reikalauja Europos Bendrijos teisė. Tačiau reikėtų kelti šiek tiek gilesnius klausimus. Pirma, ar duomenų valdytojai sugeba tinkamai taikyti valstybės įteisintus duomenų apsaugos principus ir kaip valstybė gali jiems padėti. Antra, ar žmogus, būdamas duomenų subjektu, sugeba įgyvendinti savo teises ir kaip valstybė gali jam pagelbėti. Trečia, ar teisinė bazė aiškiai ir pilnai, kaip to reikalauja duomenų apsaugos principai, apibrėžia asmens duomenų tvarkymą viešajame sektoriuje, leisdama tik tokias išimtis, kurios būtinos demokratinėje visuomenėje ir kurios proporcingai derėtų su valstybėje pripažintais bendrųjų interesų tikslais ar būtinybe ginti kitų teises ir laisves. ES Direktyva 95/46/EC 2 str. asmens duomenis apibrėžia kaip „bet kurią informaciją, susijusią su asmeniu („duomenų subjektu“), kurio tapatybė yra nustatyta arba gali būti nustatyta; asmuo, kurio tapatybė gali būti nustatyta, yra tas asmuo, kurio tapatybė gali būti nustatyta tiesiogiai ir netiesiogiai, ypač pasinaudojus nurodytu asmens identifikavimo kodu arba vienu ar keliais to asmens fizinei, fiziologinei, protinei, ekonominei, kultūrinei ar socialinei tapatybei būdingais veiksniais“ [2].Sudėtingėjant informacinėms technologijoms, asmeninės informacijos ir duomenų rinkimas/naudojimas (tvarkymas) įgavo neregėtus pagreičius bei apimtis, todėl iškilo rimtas pavojus iki tol atrodytų buvusiam saugiam asmeninės informacijos laikymui ir panaudojimui. Nauji pasiekimai medicinos, telekomunikacijų, finansinių paslaugų srityse ženkliai padidino kiekvieno individo sukuriamos informacijos kiekį. Kompiuteriai, tarpusavyje sujungti į vieną sistemą, gali sukurti labai išsamias kiekvieno individo dosjė, net nesant centralizuotam tinklui.Pagal apklausos duomenis, susirūpinimas dėl asmens privatumo šiuo metu yra kur kas didesnis nei bet kada anksčiau istorijos bėgyje. Pasaulio gyventojai išreiškia baimę dėl pasikėsinimo į jų privatumą. Todėl nacionaliniai įstatymų leidimo organai priversti sparčiai priimti nacionalinius aktus, bent kiek apsaugančius asmenis nuo tokių pavojų.Galima išskirti šias pagrindines tendencijas, kurios išryškina pasikėsinimą į asmens privatumą:Globalizacija – panaikinami geografiniai suvaržymai, sienos ir pan. asmens duomenų judėjimui. Internetas, ko gero, yra geriausias to pavyzdys.Konvergencija – eliminuojami technologiniai barjerai tarp sistemų. Sistemos yra tarpusavyje suderinamos.Multimedia – sumaišo ir sujungia kelias asmeninės informacijos perdavimo ir išreiškimo formas ir tokiu būdu informacija, surinkta vienoje formoje ar formate, gali būti lengvai pakeista į kitą.Naujos komunikavimo galimybės vis labiau domina įvairiausius informacijos vartotojus. Valstybės, savivaldos institucijos, verslo įmonės bei pavieniai asmenys, teikdami informacines paslaugas, naudodami interneto svetaines, siųsdami ir gaudami elektroninius laiškus, įgyvendindami elektroninius atsiskaitymus, vykdydami įvairias marketingo akcijas naudoja (renka, kaupia, apdoroja ir platina) informaciją, tame tarpe ir duomenis apie fizinius bei juridinius asmenis. Šalies informacinių sistemų duomenų bazėse yra kaupiami dideli kiekiai informacijos, kurioje gana žymią dalį sudaro asmens duomenys. Internete platinama reklaminė informacija, siūloma užpildyti įvairias anketas, siūlomos paslaugos ar prekės. Šioje aplinkoje egzistuoja ir toliau tobulinamos naujos efektyvios techninės galimybės automatizuotam informacijos rinkimui, įgalinančios informaciją, keliaujančią interneto kanalais surasti, perskaityti, pakeisti, redaguoti ar sunaikinti. Atsiranda reali galimybė informacinių sistemų duomenų bazėse sukaupti didelius kiekius informacijos apie tai neinformuojant informacijos savininko. Tokiu būdu, dirbdamas internete žmogus ne tik gauna, perduoda informaciją, bet taip pat sudaro tam tikrą realią grėsmę nesankcionuotai gauti ir vartoti jo asmeninius duomenis, privačią informaciją, juos analizuoti, grupuoti, sistematizuoti.Naujomis privačios informacijos ir asmens duomenų gavimo galimybėmis vis labiau domisi ir nusikalstamo pasaulio atstovai. Dauguma elektroninių vagysčių šiuo metu įvykdoma, naudojantis specialiai tam sukurtomis programomis, kurias drauge su kita informacija iš WWW puslapių parsisiunčia nieko blogo nenutuokiantys interneto vartotojai. Privataus gyvenimo apsaugos problemos, siekiant kovoti su nesankcionuotu informacijos ir asmens duomenų vartojimu, sprendžiamos daugumoje pasaulio šalių. Asmens duomenų teisinė apsauga įgyvendinama tam tikrais teisiniais ar moraliniais aktais, kurių taikymo efektyvumas dažnai yra nepakankamas. Problemą sudaro ir tai, kad skirtingose valstybėse skirtingai traktuojama asmeninės informacijos konfidencialumo sąvoka ir būtinos apsaugos lygis, ypač, jei tai liečia aukščiausios valdžios institucijas. Tokių skirtumų ypatingo ryškumo pavyzdžiais gali būti asmens duomenų ir privatumo apsaugos praktika JAV ir Rusijoje. Pirmojoje prezidento B. Klintono intymus gyvenimas buvo maksimaliai paviešintas, antrojoje buvo maksimaliai slepiamas prezidento B.Jelcino sveikatos stovis viso jo prezidentavimo laikotarpiu. Kiekviena valstybė turi savo tradicijas, papročius, istoriją, socialines ir politines sąlygas. Todėl ir požiūris į asmens duomenų apsaugą gali būti pakankamai skirtingas.Reikėtų trumpai apžvelgti asmens duomenų klasifikaciją.Pažintiniai duomenys – tai piliečio asmenybę patvirtinanti informacija: pavardė, vardas, gimimo vieta ir data, lytis, tautybė, pilietybė, gyvenamosios vietos adresas, asmens tapatybę patvirtinančio dokumento duomenys bei kiti atviri duomenys – pašto adresas, telefono numeris, elektroninio pašto adresas. Ši informacija paprastai atvira ir nereikalauja specialios apsaugos, jei konkretus pilietis nėra suinteresuotas savo pažintinius duomenis neskelbti.Specialių duomenų apsauga siejama su kiekvieno iš jų naudojimo specifika.Statistiniai duomenys apima registracijos ar statistinę informaciją ir jos turinys paprastai yra uždaras ir yra konkrečios tokius duomenis registruojančios organizacijos tarnybine paslaptimi.Fiskaliniai duomenys yra skirti finansinių tarnybų bei mokesčių inspekcijų veiklai realizuoti ir jie saugomi kaip mokesčių paslaptis.Teisiniai duomenys yra sunkiau apibrėžiami, nes yra labai individualizuoti, kai atskiri piliečiai turi problemų su teisėtvarka Atitinkamos teisėtvarkos institucijos procesų metu sukaupia didelius informacijos kiekius ir yra atsakingos už tokios informacijos apsaugą.Komercinė informacija apima atskiro fizinio ar juridinio asmens komercinę informaciją. Ją saugo bankai, draudimo kompanijos, notarinės kontoros.Visuomeninė-politinė informacija apima duomenis apie piliečio priklausomumą visuomeninėms organizacijoms ar politinėms partijoms. Informacijos apsaugą užtikrina šių organizacijų statutas. Štai Lietuvos kompiuterininkų sąjungos nario anketoje yra klausimas, ar galima laisvai platinti informaciją apie nario profesinius tikslus bei galimybes.Religinius įsitikinimus vertinanti informacija apibūdina priklausomumą konkrečiai konfesijai ir tokie duomenys saugomi priklausomai nuo bažnyčios tradicijų bei situacijos valstybėje.Diplomatiniais galima apibrėžti duomenis, reikalingus atitinkamoms institucijoms išduodant vizas, besirūpinančioms piliečių gyvenimu ir veikla užsienyje.Socialiniai duomenys bendrai vertina piliečio socialinę padėtį bei statusą. Atitinkamą informaciją kaupia ir saugo socialiniai ir pensijų fondai, medicinos įstaigos.Asmeninės ir šeimos paslaptys apibrėžiamos sunkiausiai, nes sąvoka yra labai plati, ji nagrinėjama konfliktinėse situacijose ir paprastai nesutariančios pusės problemą įvardija skirtingai. Bendru atveju, asmeninė ir šeimos paslaptis – tai informacija, kuri liečia tam tikrą piliečio asmeninio gyvenimo aspektą.Asmens duomenų apsaugos esmė – apsaugoti valstybės piliečių teisę į privatumą Kiekvieno piliečio personalinių duomenų apsauga yra žmogaus teisių elementas ir charakterizuoja valstybės demokratiškumo lygį. Nacionalinių teisės aktų skirtumai bei taikymo traktuotės gali trukdyti informacijos mainus tarp atskirų valstybių, o tai neigiamai veiktų visą eilę tokių svarbių ekonomikos sričių, kaip elektroninis verslas, bankininkystė, statistika ir pan.Augantis internetu teikiamų elektroninių paslaugų vartojimas reikalauja tinkamos asmens duomenų, informacijos privatumo, komercinių paslapčių bei vartotojų teisių apsaugos. Tai įtakoja ir šių paslaugų teikėjų veiksmus.2.1. Europos Sąjungos teisinės aplinkos apžvalga
Europos žmogaus teisių ir pagrindinių laisvių konvencijos 8 straipsnis (Teisė į privataus ir šeimos gyvenimo gerbimą) skelbia:1. Kiekvienas turi teisę į tai, kad būtų gerbiamas jo privatus ir šeimos gyvenimas, būsto neliečiamybė ir susirašinėjimo slaptumas.2. Valstybės institucijos neturi teisės apriboti naudojimosi šiomis teisėmis, išskyrus įstatymų nustatytus atvejus ir kai tai būtina demokratinėje visuomenėje valstybės saugumo, visuomenės apsaugos ar šalies ekonominės gerovės interesams, siekiant užkirsti kelią viešosios tvarkos pažeidimams ar nusikaltimams, taip pat būtina žmonių sveikatai ar moralei arba kitų asmenų teisėms ir laisvėms apsaugoti.1981 metais Europos Taryba priėmė Asmens apsaugos ryšium su automatizuotu personalinių duomenų apdorojimu Konvenciją [Konvencija, 1981]. Konvencijoje akcentuojama, kad ES valstybėse nėra vieningos įstatyminės bazės, užtikrinančios asmens duomenų apsaugą elektroninėje erdvėje. Kompiuteriniai tinklai leidžia vartotojams pasiekti kitų valstybių duomenų bazes ir jas susieti. Tokioje aplinkoje būtinos bendros fundamentalios taisyklės, kurios užtikrintų vieningas informacijos subjektų teises ir garantijas. Konvencijoje apibrėžti pagrindiniai vieningos duomenų apsaugos principai, formalizuotas informacijos tarp valstybių perdavimas, numatyta tarpusavio pagalba Konvencijos vykdymui. Konvencijos vykdymui numatyta įkurti konsultacinį komitetą [9].1995 m. spalio 24 dieną Europarlamentas ir Europos Sąjungos Taryba priėmė Direktyvą 95/46/EC dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [Direktyva, 1995]. Direktyvoje numatytos bendrosios įstatyminės asmens duomenų apdorojimo normos, kuriomis įteisinti duomenų apdorojimo konfidencialumas ir apsauga. Direktyvoje numatytos teisinės apsaugos priemonės, atsakomybė ir sankcijos; duomenų perdavimo trečiosioms šalims sąlygos.1997 m. gruodžio 15 dieną Europarlamentas ir Europos Sąjungos Taryba priėmė Direktyvą 97/66/EC dėl asmens duomenų tvarkymo ir privatumo apsaugos telekomunikacijų sektoriuje [Direktyva, 1997]. Šioje Direktyvoje akcentuojamas personalinių duomenų konfidencialumas ir asmeninio gyvenimo neliečiamumas. Naujos telekomunikacinės paslaugos (užsakomosios TV ir video programos, interaktyvi televizija ir kt.) turi būti diegiamos užtikrinant, kad atskiro konkrečios šalies piliečio asmeninis gyvenimas netaps išorinės įtakos objektu [3].Išsivysčiusios ekonomikos šalyse (JAV, ES) asmens duomenų apsaugos problemoms skiriamas ypatingas dėmesys, nes tai yra esminė visuotinių žmogaus teisių įgyvendinimo bei įtvirtinimo dalis. Per pastaruosius dvidešimt metų buvo sukurta virš dvidešimt penkių nacionalinių normatyvinių aktų asmens duomenų apsaugos srityje. Šie aktai buvo papildomi ir tobulinami, įvertinant spartų telekomunikacijų vystymąsi bei interneto plėtrą. Patys naujausi arba atnaujinti teisiniai aktai plačiau detalizuoja asmens duomenų rinkimo, saugojimo, apdorojimo bei naudojimo aspektus interneto aplinkoje.
2.2 Lietuvos teisinės aplinkos apžvalga
Europos Sąjunga, siekdama įgyvendinti žmogaus asmeninio gyvenimo neliečiamumą, tam tikru aspektu apriboja asmens duomenų mainus su valstybėmis, ne ES narėmis, ir toks reguliavimas sudaro kliūtis, plėtojant tarptautinę rinką ir elektroninį verslą. Dėl to trečiosiomis vadinamos valstybės kuria bendruosius ir derina specialiuosius įstatymus pagal Europos Sąjungos reikalavimus arba rengia savireguliavimo priemones, tokias kaip kodeksai, taisyklės, sutartys ir pan. Lietuvos eurointegracijos kontekste asmens duomenų apsauga tokiu būdu įgauna papildomą akcentą. Privatumo ir saugumo problemoms spręsti naudojami įstatymai, laisvos rinkos savireguliacija, naujų technologijų taikymas. Lietuva, sekdama Europos Sąjunga, pirmiausia skiria dėmesį įstatymų tobulinimui ir valstybinių institucijų, kurios prižiūri tų įstatymų vykdymą, darbo efektyvumo didinimui. Privatumo teisę kiekvienam Lietuvos Respublikos piliečiui garantuoja:– Lietuvos Respublikos Konstitucija,– Lietuvoje ratifikuota Europos žmogaus teisių ir pagrindinių laisvių konvencija,– Lietuvos Respublikos Civilinis kodeksas,– Lietuvos Respublikos Asmens duomenų teisinės apsaugos įstatymas,– Lietuvos Respublikos Visuomenės informavimo įstatymas [13].Lietuvos Respublikos Konstitucijos 22 straipsnis skelbia:– Žmogaus privatus gyvenimas neliečiamas.
– Asmens susirašinėjimas, pokalbiai telefonu, telegrafo pranešimai ir kitoks susižinojimas neliečiami.– Informacija apie privatų asmens gyvenimą gali būti renkama tik motyvuotu teismo sprendimu ir tik pagal įstatymą,– Įstatymas ir teismas saugo, kad niekas nepatirtų savavališko ar neteisėto kišimosi į jo asmeninį ir šeimyninį gyvenimą, kėsinimosi į jo garbę ir orumą.Lietuvos Respublikos Asmens duomenų teisinės apsaugos įstatyme yra nustatyti teisėto asmens duomenų tvarkymo kriterijai. Įstatymo normos reikalauja gerbti žmogaus privatumą. Kiekvienas žmogus gali dalyvauti savo duomenų tvarkymo procese; žinoti apie galimą riziką privatumui, stebėti savo duomenų tvarkymą, išsireikalauti atlyginti žalą, kai ją patirs. Žmogus, kontroliuodamas savo asmeninę informaciją, iš dalies įgyvendina savo privatumo teisę [11].Lietuva turi aktyvinti bendradarbiavimą su kitomis valstybėmis ir tarptautinėmis organizacijomis, siekdama perimti tarptautinę praktiką asmens duomenų apsaugos srityje. Turi būti išvystyta visuomenės informavimo apie duomenų subjekto teises sistema, o visuomenė turi būti mokoma ir šviečiama duomenų apsaugos klausimais. Tačiau ne tik valstybė ir atitinkamos institucijos, bet ir kiekvienas žmogus privalo rūpintis savo duomenų apsauga, gindamas savo teises. Nors duomenų apsauga Lietuvoje per trumpą laiką yra pasiekusi neblogą lygį (tai konstatuoja kitų valstybių pareigūnai), dar reikia įgusti naudotis įstatymais ir giliai suvokti ne tik informacijos technologijų privalumus, bet ir jų keliamus pavojus. Privatumo ir asmens duomenų apsaugos problematika kol kas yra silpnai žinoma, nors nemaža dalis lietuvių (daugiausia įvairių firmų darbuotojai) žino apie Valstybinės asmens duomenų apsaugos inspekcijos egzistavimą, kur kas mažiau žmonių žino apie konkrečią jos įtaką informacijos ir duomenų apsaugai. Be to, interneto svetainių administratoriai dar nepakankamai suvokia privatumo ir asmens duomenų apsaugos svarbą, nežino asmens duomenų įstatymo reikalavimų.IŠVADOS
1. Informacijos saugumas yra gyvybiškai svarbus verslo sėkmei. Duomenis apie finansinę padėtį, produktų gamybą, prekes ir t.t. ypač svarbu patikimai saugoti. Nuo to priklauso kiekvieno verslo sėkmė. Netgi menkutis informacijos nutekėjimas apie gamybos ir pirkimo planus, apie tiekėjus ir klientus gali privesti įmonę prie bankroto ribos. Pagrindinis šio saugumo uždavinys – kontroliuoti ir saugoti priėjimą prie bendrų įmonės duomenų.2. Didžiausia problema yra tai, kad daugelis įmonių vadovų numoja ranka į informacijos saugumą. Deja, net didžiai gerbiamos įmonės/organizacijos, nuo kurių priklauso mūsų saugumas, neskiria reikiamo dėmesio informacijos apsaugai. Pasaulio įvykiai nuolat parodo, kad reikia dar labiau rūpintis bet kokia apsauga, tame tarpe ir informacijos. Kai nepaisoma apsaugos, gali ištikti baisūs padariniai. Apsaugai negalima gailėti išlaidų, o juo labiau iš viso numoti ranka. Žmogus turi teisę būti garantuotas, kad jo asmeninė, banko sąskaitos ar verslo informacija yra patikimai saugomos. 3. Asmens duomenų apsaugos problema darosi vis aktualesne ir aštresne, plečiantis kompiuterizacijos procesams bei didėjant besinaudojančių internetu teikiamomis paslaugomis žmonių kiekiui. Kasmet didėjantis žmonių aktyvumas ir rūpinimasis savo asmens duomenimis turėtų pakelti duomenų apsaugos lygį Lietuvoje. Būtina pasiekti, kad žmonės suprastų elektroninėje erdvėje iškylančias duomenų teisių apsaugos problemas ir mokėtų jas spręsti.
LITERATŪROS SĄRAŠAS1. Civilka A. Asmens duomenų apsauga tarptautinėje ir EB teisėje [interaktyvus] [žiūrėta 2004 m. vasario 20 d.]. Prieiga per internetą: .2. Direktyva 95/46/EC dėl asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo [interaktyvus]. [žiūrėta 2004 m. kovo 3 d.]. Prieiga per internetą: . 3. Direktyva 97/66/EC dėl asmens duomenų tvarkymo ir privatumo apsaugos telekomunikacijų sektoriuje [interaktyvus] [žiūrėta 2004 m. kovo 3 d.]. Prieiga per internetą: < http://www.ada.lt/>.4. Informacijos apsauga [interaktyvus] [žiūrėta 2004 m. kovo 6 d.]. Prieiga per internetą: < http://security.5ci.lt/>.
5. Informacijos apsauga [interaktyvus] [žiūrėta 2004 m. kovo 6 d.]. Prieiga per internetą: .6. Informacijos apsauga [interaktyvus] [žiūrėta 2004 m. kovo 6 d.]. Prieiga per internetą: < http://www.litas.lt/>. 7. Jakštaitė O. Asmens duomenų apsauga: kodėl valstybė negali garantuoti žmogaus teisės į privatumą? Vilnius, 2003-05-29. [interaktyvus] [žiūrėta 2004 m. kovo 3 d.]. Prieiga per internetą: .8. Kaip patikimai saugoti bendrovės informaciją (II) [interaktyvus] [žiūrėta 2004 m. kovo 3 d.]. Prieiga per internetą: . 9. Konvencija dėl duomenų asmens apsaugos ryšium su asmens duomenų automatizuotu tvarkymu (ETS Nr. 108) [interaktyvus] [žiūrėta 2004 m. kovo 3 d.]. Prieiga per internetą: .10. Lietuvos internete asmeninių duomenų apsauga nerūpi. 2002-05-17 [interaktyvus] [žiūrėta 2004 m. vasario 19 d.]. Prieiga per internetą: .11. LR asmens duomenų teisinės apsaugos įstatymas. Nr. I-1374. 2002 01 22 [interaktyvus] [žiūrėta 2004 m. vasario 20 d.]. Prieiga per internetą: .12. LR visuomenės informavimo įstatymas. Nr. I-1418. 2001 10 18 [interaktyvus] [žiūrėta 2004 m. vasario 20 d.]. Prieiga per internetą: .13. Otas A. Privatumo ir saugumo lietuviškame internete tyrimas. Vilnius, 2002 [interaktyvus] [žiūrėta 2004 m. vasario 19 d.]. Prieiga per internetą: .