"Verslo žinios", 2004 m. rugsėjo 14 d. (Andrius Sytas)

Ekspertų nuomone, jei "Lietuvos telekomas" ar kitas ryšio paslaugų teikėjas bandytų sekti savo klientų ryšius, jis lengvai pririnktų visą pluoštą konfidencialios informacijos apie daugelio bendrovių verslą. O visiems "Lietuvos telekomo" pusmečio pokalbiams išsaugoti pakaktų apie 200.000 Lt kainuojančios aparatūros.

Gediminas Grigas, verslo informacijos saugos konsultacijas teikiančios bendrovės "Informacinių technologijų audito grupė" (ITAG) vadovas bei sertifikuotas IT auditorius, vertina, kad norint išsaugoti daugiau nei 900 mln. minučių pokalbių, per 2004 m. I pusm. prakalbėtų "Lietuvos telekome", pakaktų apie 6 terabaitų talpos duomenų saugyklos. Tokio dydžio saugyklą galima įsigyti už 150.000-200.000 Lt.

"Savo konkurentų verslo paslaptis sužinoti rimtai pasiryžusiai bendrovei tai nebūtų itin dideli pinigai", - sako p. Grigas.

Be to, "Lietuvos telekomas" potencialiai turi plačias galimybes savo archyvuose išsaugoti ne tik klientų balso pokalbius bei faksogramas, bet ir klientų siunčiamas bei gaunamas el. pašto korespondencijos kopijas, sekti kitus internetu perduodamus duomenis.

Anot paties "Lietuvos telekomo", 59% Lietuvos įmonių naudojasi bendrovės interneto paslaugomis, be to, per bendrovės tinklus pereina skirtųjų linijų bei ASDL duomenų srautai.

E.bankai - saugūs

Ponas Grigas vertina, kad interneto ryšiai, užkoduoti 128 bitų SSL šifravimu, yra pakankamai saugūs - bandant juos iškoduoti paprasčiausiai atspėti kodui neužtektų šimtmečių.

Tokį stiprų kodavimą šiuo metu naudoja visi Lietuvos e.bankai, taip pat Valstybinės mokesčių inspekcijos Elektroninio deklaravimo sistema (išskyrus galimybę siųsti deklaracijas el. paštu).

Gana gerai yra apsaugoti ir šifruojami pokalbiai interneto telefonija, kai jų perdavimui naudojamos P2P technologijos.

Saugūs turėtų būti ir duomenys, keliaujantys tarp mokėjimo kortelių terminalų bei finansų institucijų - juo labiau kad, anot p. Grigo, kredito kortelės numeriui sužinoti yra ir lengvesnių būdų, nei laužyti SSL šifrą.

E.paštas - ne

Tačiau egzistuoja techninės galimybės "Lietuvos telekomo" ar kitų interneto paslaugų teikėjų e. pašto serveriuose perskaityti duomenis, siunčiamus paprastu e.paštu.

Jie negali perskaityti tik įmonės vidinio tinklo nepaliekančių e. pašto pranešimų.

"Peržiūrėti ir archyvuoti visą savo klientų e. pašto korespondenciją specialiųjų tarnybų prašymu arba savo paties nuožiūra technologiškai gali bet kuris interneto paslaugų teikėjas", - teigia p. Grigas. E. pašto "pasiklausymas" nereikalauja jokių sudėtingų technologijų ar didelių investicijų, ypač jei perimta informacija archyvuojama ne visa, o tik tam tikra jos dalis.

Jei pasiklausymas vyktų, jo vykdytojas potencialiai galėtų sužinoti nemažai informacijos apie jį dominančias bendroves, sako p. Grigas.

Paprasčiausias pavyzdys - tarp didelių ir mažų įmonių populiari galimybė e. paštu kas mėnesį gauti banko sąskaitų išrašus.

"Smulkesnių įmonių vadovai paprastu elektroniniu paštu (pvz., "Excel" bylose) gauna finansinius duomenis iš buhalterių. Filialus turinčios įmonės, ypač užsiimančios mažmenine prekyba, neretai e. paštu siuntinėja tarp filialų duomenų bazių fragmentus su informacija apie pardavimus, prekių likučius ir pan. Iš viso įmonės darbuotojai e. paštu aptaria konfidencialią informaciją, pvz., susijusią su įmonės veiklos planais", - kitas galimybes vardija p. Grigas.

Ponas Grigas įspėja, kad "Word" ar "Excel" dokumentų apsauga įvedant slaptažodį, kuris dokumento gavėjui pasakomas telefonu ar siunčiamas SMS žinute, nėra patikima. "Tokiu būdu dokumentą pavyks apsaugoti nuo sekretorės, tačiau rimtai duomenimis susidomėję ekspertai šiuos slaptažodžius išjungtų per kelias valandas", - tikina jis.

Apdairūs šifruoja

Norintiesiems užsitikrinti duomenų konfidencialumą tarp bendrovės ir jos partnerių, p. Grigas pataria kelis saugaus duomenų perdavimo metodus.

Laiškus galima bandyti patikimai saugoti naudojant programą PGP ar panašų šifravimo mechanizmą, tačiau praktikoje šios priemonės nėra patogios naudoti ir Lietuvoje nėra paplitusios.

Kita galimybe - naudotis už šalies ribų esančių bendrovių teikiamomis 128 bitų SSL šifru apsaugotomis "webmail" e. pašto sistemomis, pvz., nemokamą sistemą http://www.hushmail.com ar POP3 per SSL siūlančią http://neomailbox.com.

"Tokiomis sistemomis siunčiamų laiškų turinio neperskaitys privačios Lietuvos bendrovės, gerokai mažesnė ir jų patekimo į specialiųjų tarnybų rankas tikimybė", - sako p. Grigas. Įmonės gali pačios naudoti POP3 ar IMAP per SSL - tam reikia įsidiegti šifravimo mechanizmus į savo serverius.

Ponas Grigas pasakoja, kad kai kurie stambūs ITAG klientai, siekdami geriau apsaugoti savo verslo duomenis, patys steigia saugias "webmail" sistemas, skirtas naudoti tik sau ir savo partneriams.

O duomenų tarp vienos įmonės filialų nuolatinei apsaugai prasminga rinktis VPN (Virtual Private Network) sprendimus, kur visi perduodami duomenys yra šifruojami, pataria p. Grigas.