Embed Size (px)
Citation preview
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
MAGISTRSKA NALOGA
ŠTUDIJSKEGA PROGRAMA DRUGE STOPNJE
ČRT AMBROŽIČ
FAKULTETA ZA INFORMACIJSKE ŠTUDIJE
V NOVEM MESTU
MAGISTRSKA NALOGA
KNJIŽNICE IN ZAGOTAVLJANJE
INFORMACIJSKE VARNOSTI V ELEKTRONSKEM
OKOLJU
Mentor: izr. prof. dr. Blaž Rodič
Novo mesto, junij 2017 Črt Ambrožič
IZJAVA O AVTORSTVU
Podpisani Črt Ambrožič, študent Fakultete za informacijske študije v Novem mestu,
izjavljam:
□ da sem magistrsko nalogo pripravljal samostojno na podlagi virov, ki so navedeni
v magistrski nalogi,
□ da dovoljujem objavo magistrske naloge v celotnem besedilu, v prostem dostopu,
na spletni strani FIŠ oziroma v elektronski knjižnici FIŠ,
□ da je magistrska naloga, ki sem jo oddal v elektronski obliki, identična tiskani
različici,
□ da je magistrska naloga lektorirana.
V Novem mestu, dne 30. 6. 2017 Podpis avtorja ____________________
ZAHVALA
Za pomoč in nasvete pri pripravi magistrske naloge se zahvaljujem mentorju izr. prof. dr. Blažu
Rodiču.
Hvala tudi sodelavcem v Narodni univerzitetni knjižnici, ki so sodelovali pri pripravi in
testiranju anketnih vprašalnikov, Matjažu Kraglju in Janezu Grozniku pa za podatke o
informacijskem sistemu knjižnice in upravljanju informacijske varnosti.
K izvedbi anketiranja sta s svojimi predlogi pomembno prispevali Irena Sirk iz Mariborske
knjižnice in Vesna Horžen iz Združenja splošnih knjižnic, podatke o zagotavljanju varnosti
nacionalnega knjižničnega informacijskega sistema je posredoval Davor Šoštarič iz Instituta
informacijskih znanosti Maribor. Hvala tudi njim.
POVZETEK
V magistrski nalogi obravnavamo tehnične in organizacijske vidike zagotavljanja informacijske
varnosti v slovenskih javnih knjižnicah. Te uporabljajo različne informacijske sisteme, od
knjižničnih informacijskih sistemov za podporo opravljanju knjižničnih storitev do poslovno-
informacijskih sistemov za podporo vodenju in upravljanju poslovanja ter dokumentnih
sistemov, ki podpirajo administrativne funkcije in arhiviranje poslovne dokumentacije, zato je
upravljanje informacijske varnosti za njih ključnega pomena. Z raziskavo smo ugotavljali,
kakšna je seznanjenost knjižnic s posameznimi vidiki informacijske varnosti ter na kakšen način
jo upravljajo. Raziskovalne podatke smo pridobili s študijo primera ter z anketno metodo, v
okviru katere smo pripravili dva ločena anketna vprašalnika. Prvi je bil namenjen osebam,
odgovornim za informacijsko varnost knjižnice, drugi pa zaposlenim v knjižnicah. V okviru
študije primera smo izvedli analizo dokumentov in postopkov za zagotavljanje informacijske
varnosti na primeru ene knjižnice. Rezultati raziskave so opozorili tako na primere dobrih praks
kot tudi na nekatera varnostna tveganja v ravnanjih zaposlenih. Slaba odzivnost anketirancev
omejuje veljavnost rezultatov. Ugotovitve raziskave zato predstavljajo le izhodišče za širšo
razpravo o zagotavljanju informacijske varnosti v slovenskih knjižnicah.
KLJUČNE BESEDE: informacijska tehnologija, informacijski sistem, informacijska varnost,
upravljanje informacijske varnosti, knjižnice, Slovenija
ABSTRACT
The master's thesis discusses technical and organizational aspects of the information security
in the Slovenian publicly financed libraries. They apply different information systems – from
library information systems to support performance of library services, to business information
systems to support organisation and managing businesses, as well as document systems. As
they support administrative functions and preservation of business documents, the information
security management plays the crucial role. The goal of the survey was to determine the
libraries’ awareness of certain aspects of the information security, and the technique of its
application. Research data were obtained from a case study and a survey consisting of two
survey questionnaires: the first was targeted at the people responsible for information security
of a library, while the second opinion poll addressed the libraries’ employees. As part of the
case study, documents and procedures referring to information security in a single library were
analysed. The results pointed out to examples of good practice, and some of the security risks
in the conduct of the employees. A low response rate restricts the validity of the results.
Research findings may serve only as a starting point of a broader debate about the provision of
information security in the Slovenian libraries.
KEY WORDS: information technology, information system, information security,
information security management, libraries, Slovenia
KAZALO
1. UVOD ..................................................................................................................................... 1
1.1 Opredelitev problema in teme .......................................................................................... 1
1.2 Namen in cilji raziskave .................................................................................................. 4
1.3 Metodologija in metode ................................................................................................... 4
1.4 Raziskovalna vprašanja in znanstvene predpostavke ...................................................... 6
1.5 Znanstvena relevantnost raziskave in njen znanstveni prispevek .................................... 7
1.6 Etični premislek in omejitve raziskave ............................................................................ 7
2. INFORMACIJSKA VARNOST ............................................................................................ 8
2.1 Podatek, informacija in informacijski sistem .................................................................. 8
2.2 Varovanje podatkov in informacij ................................................................................. 10
2.3 Informacijska varnost .................................................................................................... 12
2.4 Politika informacijske varnosti ...................................................................................... 14
2.5 Standardi informacijske varnosti ................................................................................... 15
2.6 Upravljanje informacijske varnosti ................................................................................ 18
2.7 Človeški dejavnik pri zagotavljanju informacijske varnosti .......................................... 20
2.8 Orodja za zagotavljanje varnosti informacijskega sistema ............................................ 21
2.8.1 Požarne pregrade in preprečevanje vdorov v omrežje .......................................... 22
2.8.2 Protivirusna zaščita na delovnih postajah in strežnikih ........................................ 22
2.8.3 Sistemi za upravljanje identitete uporabnikov ....................................................... 24
2.8.4 Varnost na ravni posameznih strežnikov ............................................................... 25
2.8.5 Nadzor prometa v omrežju in preprečevanje izgube podatkov .............................. 25
2.8.6 Šifriranje ................................................................................................................ 26
2.8.7 Varnostne kopije .................................................................................................... 26
2.8.8 Administratorske pravice ....................................................................................... 27
2.8.9 Uporabniška gesla ................................................................................................. 28
2.8.10 Seznam varnih aplikacij ....................................................................................... 29
2.8.11 Standardizirana namestitvena slika operacijskega sistema ................................ 30
2.8.12 Varnostna zaščita pred uhajanjem informacij ..................................................... 30
2.8.13 Politike za dostop in uporabo podatkov .............................................................. 32
2.8.14 Izobraževanje zaposlenih o informacijski varnosti .............................................. 32
3. INFORMACIJSKA VARNOST IN KNJIŽNICE ................................................................ 33
3.1 Od tradicionalne do digitalne knjižnice in nova varnostna tveganja ............................. 33
3.2 Tveganja in zagotavljanje informacijske varnosti knjižnic ........................................... 36
3.2.1 Knjižnični prostori in gradivo................................................................................ 36
3.2.2 Knjižnični katalogi in drugi elektronski informacijski viri .................................... 37
3.2.3 Podatki o uporabnikih knjižnic in o njihovih dejavnostih ..................................... 38
3.2.4 Javno dostopne računalniške delovne postaje knjižnice ........................................ 40
3.2.5 Internet ................................................................................................................... 41
3.2.6 Mobilne naprave in lokalna brezžična omrežja ..................................................... 42
3.2.7 Uporaba storitev računalništva v oblaku .............................................................. 44
3.2.8 Socialni inženiring ................................................................................................. 47
4. INFORMACIJSKA VARNOST V SLOVENSKIH KNJIŽNICAH.................................... 48
4.1 Literatura o vprašanjih informacijske varnosti knjižnic ................................................ 48
4.2 Zakonodaja na področju varovanja informacij .............................................................. 50
4.3 Knjižnice in knjižnični sistem Slovenije ....................................................................... 54
4.4 Nacionalni knjižnični informacijski sistem ................................................................... 55
4.5 Informacijska varnost nacionalnega knjižničnega informacijskega sistema ................. 56
4.6 Raziskava o informacijski varnosti slovenskih knjižnic ................................................ 59
4.6.1 Metodologija in raziskovalna metoda.................................................................... 59
4.6.2 Udeleženci raziskave .............................................................................................. 60
4.7 Rezultati ankete za osebe, pristojne za informacijsko varnost knjižnic ........................ 61
4.8 Rezultati ankete za zaposlene v knjižnicah .................................................................... 63
4.8.1 Varnost službenih računalniških gesel .................................................................. 63
4.8.2 Varnost službenih računalniških delovnih postaj .................................................. 64
4.8.3 Elektronska pošta in socialni inženiring kot potencialni grožnji informacijski
varnosti .................................................................................................................. 64
4.8.4 Delo na domu in dostop na daljavo do službenega računalnika ........................... 65
4.8.5 Varnostne politike in izobraževanje o informacijski varnosti ............................... 65
4.9 Razprava ........................................................................................................................ 66
5. INFORMACIJSKA VARNOST V NARODNI IN UNIVERZITETNI KNJIŽNICI .......... 74
5.1 Metodologija in raziskovalna metoda ............................................................................ 74
5.2 Predstavitev knjižnice in njenega informacijskega sistema ........................................... 74
5.2.1 Funkcije in naloge knjižnice .................................................................................. 74
5.2.2 Presoja informacijskega sistema knjižnice in izvedba predlaganih ukrepov ........ 76
5.3 Upravljanje informacijske varnosti ................................................................................ 79
5.4 Varovanje knjižnične zgradbe, prostorov in opreme ..................................................... 81
5.4.1 Kontrola pristopa s pomočjo avtentikacije RFID .................................................. 81
5.4.2 Elektronski sistem najema garderobnih omaric .................................................... 82
5.4.3 Informacijsko podprt tiskalniški sistem ................................................................. 83
5.5 Varovanje elektronskih informacijskih virov ................................................................ 84
5.6 Varovanje računalniškega sistema, omrežja in programske opreme ............................. 86
5.6.1 Centralno upravljanje posodobitev operacijskih sistemov delovnih postaj in
strežnikov ................................................................................................................ 86
5.6.2 Centralno upravljanje posodobitev programske opreme na delovnih postajah .... 87
5.6.3 Centralizirana protivirusna zaščita delovnih postaj in strežnikov ........................ 88
5.6.4 Varnostna zaščita elektronske pošte ...................................................................... 89
5.6.5 Varnostna zaščita računalniške učilnice ............................................................... 89
5.6.6 Varnostna zaščita javno dostopnih delovnih postaj .............................................. 90
5.6.7 Oddaljen dostop do službenih delovnih postaj z dvostopenjsko avtentikacijo ...... 91
5.6.8 Brezžični omrežji Eduroam in Libroam ................................................................. 93
5.6.9 Nadzor nad poslovnim okoljem .............................................................................. 94
5.7 Varovanje poslovnih aplikacij ....................................................................................... 95
5.7.1 Poslovno-informacijski sistem ............................................................................... 95
5.7.2 Elektronski dokumentni sistem ............................................................................... 96
5.7.3 Druge poslovne aplikacije ..................................................................................... 96
6. ZAKLJUČEK ....................................................................................................................... 97
7. LITERATURA IN VIRI ..................................................................................................... 103
PRILOGE
KAZALO SLIK
Slika 2.1: Osnovni principi informacijske varnosti – model CIA ............................................ 13
Slika 2.2: Zlonamerni vdori v protivirusno zaščito organizacije ............................................. 24
Slika 2.3: Življenjski krog upravljanja informacijskih pravic .................................................. 31
Slika 4.1: Struktura anketirancev glede na vrsto knjižnice (anketa za zaposlene) (n = 153) ... 61
Slika 4.2: Obstoj dokumenta o politiki informacijske varnosti (n = 29) .................................. 62
Slika 4.3: Sprejeta politika informacijske varnosti (n = 142) ................................................... 66
Slika 5.1: Organizacijska struktura Narodne in univerzitetne knjižnice .................................. 75
Slika 5.2: Avtentikacija uporabnikov elektronskih virov prek posredniškega strežnika
EZproxy .................................................................................................................... 85
Slika 5.3: Delovanje strežniškega orodja WSUS ..................................................................... 87
Slika 5.4: Glavna nadzorna plošča programa Nagios ............................................................... 95
KAZALO TABEL
Tabela 4.1: Slovenske knjižnice na dan 31. 12. 2015............................................................... 55
Tabela 4.2: Odziv na anketo za osebje, pristojno za informacijsko varnost ............................ 60
1
1 UVOD
1.1 Opredelitev problema in teme
Knjižnice, ki opravljajo storitve kot javno službo, morajo biti prebivalstvu čim bolj dostopne,
ob tem pa za uporabnike, zaposlene in knjižnično gradivo tudi varne. Poleg zagotavljanja
fizične varnosti zgradbe, prostorov in opreme ter v zgradbi prisotnih oseb se zaradi široke
uporabe sodobne informacijske in komunikacijske opreme praktično pri izvajanju vseh
delovnih procesov, vključenosti v internet, izzivov računalništva v oblaku ter ponudbe
elektronskih informacijskih virov in storitev (dostopnih tudi prek oddaljenega dostopa in na
mobilnih napravah) soočajo z vprašanji varnosti, ki so zanje nova in za njihovo reševanje
zaposleni sami večinoma nimajo dovolj ustreznih znanj in usposobljenosti.
Podobno kot druge organizacije so tudi knjižnice odvisne od informacijske in komunikacijske
tehnologije, ki podpira procese ustvarjanja, obdelovanja, shranjevanja, posredovanja, zaščite in
uničevanja informacij. Zaradi širjenja medsebojno povezanega globalnega poslovanja »se širijo
tudi zahteve po zaščiti informacij, saj so informacije sedaj izpostavljene širši paleti groženj in
ranljivosti.« (SIST ISO/IEC 27000 2011, str. 13) Primc (2012, str. 9) izpostavlja, da se z
razmahom in prodorom informacijske tehnologije v različne dejavnosti pojavljajo številna
varnostna vprašanja. Informacije, zapisane v elektronski obliki brez ustrezne zaščite omogočajo
nove oblike zlorab. Lynett (2015) potrebo po skrbi za varovanje informacij v elektronskem
okolju podkrepi s slikovito mislijo, da v današnjem času informacije plavajo skozi številne
računalniške sisteme, podobno kot ribe v morju, kar ponuja obilje priložnosti za njihov ulov ter
krajo.
Podobno kot knjižnice po svetu se tudi slovenske srečujejo z vprašanji zagotavljanja
informacijske varnosti na področjih, kot so:
− varnost knjižnične zgradbe, prostorov in opreme pred naravnimi ali namerno
povzročenimi nesrečami oziroma zlorabami;
− varnost knjižničnega gradiva v klasični in elektronski obliki pred propadanjem,
odtujitvijo ali uničenjem;
2
− varnost računalniške strojne opreme, operacijskega sistema in druge programske
opreme ter računalniškega omrežja pred nepooblaščeno uporabo;
− varnost podatkov, podatkovnih zbirk in računalniških katalogov pred nepooblaščeno
uporabo oziroma njihova zaščita pred uhajanjem informacij;
− varnost osebnih podatkov in podatkov o dejavnostih uporabnikov ter varovanje njihove
zasebnosti;
− varnost informacijskih sistemov za podporo upravljanju knjižnic;
− varnost uporabe brezžičnih omrežij.
V primeru informacijske varnosti v elektronskem okolju ne gre zgolj za računalniško varnost
in varovanje računalniških sistemov, čeprav je res, kot navaja Primc (2012, str. 10), da danes
večina informacij nastaja, se obdeluje in hrani v elektronski obliki. Medtem ko se računalniška
varnost nanaša na zaščito računalniških sistemov in opreme pred nepooblaščenim dostopom in
uporabo, vključuje informacijska varnost tudi področja, kot so upravljanje informacij,
informacijska zasebnost in integriteta podatkov. Učinkovita informacijska varnost mora zaradi
tega vključevati vsaj:
− oblikovane politike za področje informacijske zasebnosti, fizične varnosti opreme ter
postopkov za zagotavljanje varnosti računalniškega sistema,
− načrte za fizično varovanje informacijske tehnologije,
− postopke za varovanje in zaščito podatkov,
− opredeljene možnosti dostopa do podatkov in opreme ter spremljanje načinov dostopa
do njih,
− usposobljeno osebje za izvajanje nalog informacijske varnosti,
− določene odgovornosti posameznih oseb za varno upravljanje informacij in
informacijskih sistemov,
− ustrezno stopnjo varnostne ozaveščenosti zaposlenih,
− izobraževanje zaposlenih o vprašanjih informacijske varnosti in postopkih za njeno
zagotavljanje.
Selan in Bernik (2011) opozarjata, da bi morala vsaka organizacija varnost informacijskih
tehnologij in rabe informacij umestiti v svoj strateški načrt, pripraviti program informacijske
varnosti in skladno s predvideno organizacijsko strukturo upravljanja informacijske varnosti
opredeliti delovna mesta, ki so neposredno ali posredno odgovorna za zagotavljanje
3
informacijske varnosti. Tako bi z dejavnostmi na strateški in operativni ravni poskrbela za
zaupnost, celovitost in razpoložljivost informacij.
Vsaka organizacija bi morala imeti jasne smernice oziroma politike, ki narekujejo dopustno
uporabo in hranjenje informacij, ter o njih redno seznanjati svoje zaposlene. Tarzey in
Østergaard (2014) opozarjata na raziskave, ki so pokazale, da ima samo slaba polovica
organizacij implementirane interne varnostne politike. Že ta podatek je zaskrbljujoč, a imeti
implementirano politiko je samo polovica naloge. Potrebne so tudi kontrole za nadzor
potencialnih zlorab informacij in nič manj pomembno, ozaveščenost zaposlenih o vprašanjih
informacijske varnosti. Izobraževanje zaposlenih na področju informacijske varnosti mora biti
zato proces, ki se neprekinjeno izvaja skozi celotno obdobje vsakega zaposlenega. Avtorja
predstavljata tudi statistike, ki kažejo, da manj kot polovica organizacij izvaja izobraževanja
zaposlenih o varni uporabi informacijskih tehnologij.
Ne smemo pozabiti še na proces obvladovanja tveganj, ki pomeni prepoznavanje ranljivosti in
groženj za informacijsko varnost (ocenitev tveganj) ter odločanje o ukrepih za zmanjševanje
tveganj na najnižjo možno raven. Upravljanje tveganj je eden od postopkov upravljanja
informacijske varnosti. Med grožnjami informacijske varnosti, ki lahko povzročijo varnostne
incidente1, so na primer možni poskusi nepooblaščenega dostopa oziroma vdora v informacijski
sistem, nepooblaščenega razkritja osebnih in zaupnih podatkov, neupravičenega vnašanja
podatkov v informacijski sistem, onemogočanja določenih storitev, zlorabe domenskih
uporabniških imen in gesel, okužbe računalniških delovnih postaj z zlonamernimi
programskimi kodami ipd.
Knjižnice v zadnjih dveh desetletjih vlagajo v računalniško podprte storitve, elektronske
informacijske vire in storitve ter izobraževanje za njihovo uporabo, obsežna sredstva. Tovrstna
vlaganja morajo biti zato zaščitena pred zlorabo, in sicer z aktivnim zagotavljanjem oziroma
upravljanjem informacijske varnosti. Tako kot druge organizacije morajo imeti tudi knjižnice
izdelane ocene tveganj in varnostne politike, načrtovati varnostne ukrepe in o pomenu
informacijske varnosti ozaveščati ter usposabljati svoje osebje in končne uporabnike.
1 Informacijski varnostni incident je eden ali več neželenih ali nepričakovanih informacijskih varnostnih
dogodkov, ki predstavljajo veliko verjetnost ogrožanja poslovnih dejavnosti in informacijske varnosti
(SIST ISO/IEC 27000 2011, str. 9).
4
Zagotavljanje informacijske varnosti je nujno v vseh vrstah knjižnic, ne glede na to, kako visoka
so vlaganja v informacijske storitve, računalniško opremo in zaposlene.
1.2 Namen in cilji raziskave
Knjižnice, še zlasti večje, so organizacije, ki zbirajo, hranijo, obdelujejo in posredujejo
ogromne količine raznovrstnih informacij, ter uporabljajo različne informacijske sisteme, od
knjižničnih informacijskih sistemov za podporo opravljanju knjižničnih storitev, do poslovno-
informacijskih sistemov za podporo vodenju in upravljanju poslovanja ter dokumentnih
sistemov, ki podpirajo administrativne funkcije in arhiviranje poslovne dokumentacije.
Osnovni namen raziskave je predstaviti tehnične in organizacijske vidike zagotavljanja
informacijske varnosti v primeru organizacij, katerih temeljno poslanstvo je uporabnikom
zagotavljati čim večjo dostopnost prostorov, opreme, informacijskih virov in storitev, tj. javnih
knjižnic. Informacijska varnost je sistem zagotavljanja varnosti vseh informacij ne glede na
njihovo obliko, tj. ne glede na to, ali so zapisane na klasičnih nosilcih zapisa, v elektronski
obliki ali kako drugače. V magistrski nalogi se bomo omejili na vprašanja informacijske
varnosti knjižnic v elektronskem okolju. Informacijsko varnost bomo razumeli kot proces, ki
se izvaja zaradi varstva informacij in informacijskih sistemov pred neodobrenimi vdori,
uporabo, razkritjem, razdorom, modifikacijo ali distribucijo.
Cilj naše raziskave je ugotoviti obstoječe stanje na področju zagotavljanja informacijske
varnosti v slovenskih knjižnicah, pri čemer nas bo zlasti zanimalo, kakšna je njihova
seznanjenost s posameznimi vidiki informacijske varnosti ter na kakšen način upravljajo
informacijsko varnost.
1.3 Metodologija in metode
Za pripravo teoretičnega dela raziskave smo uporabili deskriptivno metodo. Raziskovalne
podatke smo pridobili na osnovi študija izbrane literature in virov (predpisov, standardov in
smernic), njihove analize ter predstavitve sinteze ugotovitev in spoznanj. Empirični del temelji
na raziskovalnih podatkih, pridobljenih z metodo študije primera in z anketno metodo.
5
Študija primera je vrsta kvalitativnih raziskav in predstavlja način poglobljenega oziroma
celovitega raziskovanja pojavov, procesov in postopkov s pomočjo preučevanja posameznih
primerov (posameznikov, skupin, institucij ali pojavov). Predstavlja celovit opis posameznega
primera in njegovo analizo. Predmet preučevanja je Narodna in univerzitetna knjižnica v
Ljubljani (dalje NUK), ki opravlja funkcije nacionalne knjižnice, univerzitetne knjižnice ter
osrednje slovenske znanstvene knjižnice. Podatke smo pridobili z analizo dokumentov
organizacije in postopkov za zagotavljanje informacijske varnosti, vidik upravljanja
informacijske varnosti pa preučili tudi s pomočjo referenčnih ciljev kontrol in kontrol, ki jih
vključuje Dodatek A Standarda SIST ISO/IEC 27001 (2013).
Pri preučevanju raziskovalnega problema smo uporabili tudi kvantitativen pristop in kot metodo
zbiranja podatkov anketo. Prvi anketni vprašalnik je bil namenjen osebam, pristojnim za
informacijsko varnost knjižnic. Vključeval je vprašanja o zagotavljanju informacijske varnosti
na tehnični in organizacijski ravni. Drugi anketni vprašalnik so izpolnjevali zaposleni v
knjižnicah. Njegov namen je bil pridobiti podatke o njihovi seznanjenosti z informacijsko-
varnostnimi vprašanji ter o ravnanjih v primerih, ki bi lahko ogrozili informacijsko varnost.
Ciljna populacija raziskave so bile slovenske javne knjižnice (splošne, visokošolske in
specialne). Anketni vzorec smo pripravili s tehniko namenskega vzorčenja, pri katerem
izberemo udeležence na osnovi določene lastnosti. Izdelava anketnega vprašalnika, izvedba
anketiranja in statistična obdelava podatkov je bila opravljena s pomočjo programske opreme
za spletno anketiranje 1KA, ki jo zagotavlja Center za družboslovno informatiko pri Fakulteti
za družbene vede Univerze v Ljubljani.
Pri opredelitvi in razumevanju ključnih terminov s področja informacijske varnosti smo si
pomagali z izbranimi priročniki in geslovniki, slovensko terminologijo smo večinoma povzeli
iz literature in standardov SIST ISO/IEC 27000 (2011) in SIST ISO/IEC 27001 (2013). Bogat
nabor pojmov s področja informacijske varnosti vključujeta tudi ameriški geslovnik ključnih
pojmov (Kissel, 2013) in obsežen priročnik o informacijski varnosti (Rhodes-Ousley, 2013).
6
1.4 Raziskovalna vprašanja in znanstvene predpostavke
Za potrebe raziskave smo oblikovali raziskovalna vprašanja, na osnovi katerih smo pripravili
anketna vprašanja in načrt izvedbe študije primera. Odgovoriti smo poskušali na naslednja
vprašanja:
− kakšna je seznanjenost slovenskih knjižnic s problematiko informacijske varnosti;
− ali imajo knjižnice sprejete politike informacijske varnosti in na razpolago osebje,
odgovorno za informacijsko varnost;
− na kakšen način izvajajo varovanje podatkov oziroma informacij in informacijskih
sistemov;
− ali pri zagotavljanju informacijske varnosti sledijo standardom oziroma smernicam
informacijske varnosti;
− kako so zaposleni v knjižnicah informacijsko varnostno informirani in ali prepoznavajo
dejavnike, ki vplivajo na informacijsko varnost;
− ali se zaposleni udeležujejo izobraževanj s področja informacijske varnosti;
− v kolikšni meri se knjižnice soočajo z varnostnimi grožnjami in njihovimi morebitnimi
manifestacijami v obliki varnostnih incidentov.
Zastavili smo si naslednje znanstvene predpostavke (hipoteze):
− Hipoteza 1: Knjižnice se zavedajo pomena zagotavljanja informacijske varnosti, zato se
bodo na povabilo k sodelovanju v raziskavi odzvale večinsko, tj. vsaj 75-odstotno.
− Hipoteza 2: Knjižnice imajo na razpolago osebje in tehnologijo za varovanje informacij
in informacijskih sistemov.
− Hipoteza 3: Večina knjižnic še nima uvedenega sistema upravljanja informacijske
varnosti, vendar izvajajo ustrezne ukrepe za zavarovanje informacij.
− Hipoteza 4: Zaposleni v knjižnicah izkazujejo zadovoljivo stopnjo informacijske
varnostne ozaveščenosti, ki se izkazuje v njihovem poznavanju in varni rabi
informacijskih tehnologij.
− Hipoteza 5: Izobraževanje zaposlenih o informacijski varnosti se v knjižnicah še ne
izvaja redno in sistematično.
− Hipoteza 6: Knjižnični informacijski sistem (COBISS.SI), ki ga uporabljajo slovenske
knjižnice za izdelavo katalogov in kot orodje za zagotavljanje avtomatiziranih
knjižničnih storitev, zagotavlja visoko stopnjo informacijske varnosti.
7
− Hipoteza 7: NUK zagotavlja visoko stopnjo informacijske varnosti informacij in
informacijskih sistemov.
1.5 Znanstvena relevantnost raziskave in njen znanstveni prispevek
O vprašanjih informacijske varnosti obstaja veliko literature, vendar se jo na okolje knjižnic
nanaša manjši delež. V prvi vrsti je usmerjena na vprašanja varovanja in zaščite informacij,
zapisanih na klasičnih nosilcih zapisov, ter fizične varnosti zgradb, prostorov, opreme, gradiva,
obiskovalcev in zaposlenih. V zadnjem desetletju se vse več pozornost namenja tudi
vprašanjem informacijske varnosti knjižnic v elektronskem okolju, vendar v slovenskem
prostoru o tematiki zasledimo le nekaj prispevkov, ki pa večinoma vprašanj informacijske
varnosti ne obravnavajo celovito. V primeru naše raziskave gre zato za izvirno delo, ki bo lahko
prispevalo k ozaveščenosti knjižničnega osebja o pomenu informacijske varnosti, s
predstavitvijo posameznih vidikov informacijske varnosti pa tudi k njenemu boljšemu
poznavanju ter kot spodbuda za uvajanje ukrepov za celovito zavarovanje podatkov in
informacij.
1.6 Etični premislek in omejitve raziskave
Pri izvedbi raziskave smo spoštovali osnovna etična načela in principe kvantitativnega in
kvalitativnega raziskovanja ter udeležencem raziskave zagotovili anonimnost in zasebnost.
Pred začetkom študije primera oziroma ankete smo udeležence raziskave informirali o namenu
in ciljih raziskave ter o poročanju o rezultatih. Spoštovali smo posameznikovo svobodo pri
odločanju za sodelovanje.
Empirično zbrani podatki bodo v pričujočem delu predstavljeni na način, da v nobenem primeru
ne bo mogoča identifikacija sodelujočih knjižnic ter njihovih zaposlenih, tudi če bo to v škodo
celovitosti in popolnosti rezultatov raziskave. Ravno tako ne bodo odkriti podatki, ki bi ogrozili
varovanje poslovnih skrivnosti ali razkrili postopke, zaradi katerih bi bila možna zloraba
oziroma grožnja informacijski varnosti v raziskavi sodelujočih knjižnic.
8
2 INFORMACIJSKA VARNOST
2.1 Podatek, informacija in informacijski sistem
Koncept »informacije« je osrednjega pomena za področje informacijskih znanosti. Termin so
skozi zgodovino in v okviru različnih ved (npr. filozofije, kognitivnih ved, informatike,
sistemske teorije, kibernetike itd.) avtorji opredeljeval na različne načine. Največ pozornosti so
mu namenjali v obdobju petdesetih in šestdesetih let prejšnjega stoletja, ko je razvoj novih
informacijskih tehnologij spodbudil tudi razmišljanja o informacijah, informacijski dobi,
informacijski eksploziji in informacijski družbi. Mohorič (1999) navaja, da se izraza podatek
in informacija v vsakdanjem življenju pogosto uporabljata kot sinonima, čeprav to ne drži.
Povzema avtorje, ki opozarjajo, da podatek ni informacija, ampak predstavitev informacije na
formaliziran način, ki je primeren za komunikacijo, interpretacijo in obdelavo s strani človeka
ali stroja, v primeru informacije pa gre za ovrednoteni podatek v specifični situaciji. Avtor
poudari, da se lahko v primeru, ko je količina podatkov prevelika, zgodi, da s podatki ni
posredovana nobena informacija.
Standard SIST ISO/IEC 27000 (2011) opredeljuje informacijo kot znanje ali podatek, ki ima
vrednost za organizacijo in torej sodi med njene dobrine2. Košćak (2011, str. 3) navaja, da so
informacije rezultat procesiranja, upravljanja in organiziranja podatkov na način, ki prejemniku
informacij omogoča boljše razumevanje in poznavanje določene tematike. Damij (2004, str.
16) opredeli informacijo kot podatek, ki je predstavljen v določeni obliki in ima določen pomen
za uporabnika, ima zanj realno vrednost, saj mu pove nekaj, kar mu prej še ni bilo znanega, »…
informacija prišteje nekaj novega k uporabnikovemu obstoječemu znanju, primerno situaciji, v
kateri se nahaja.« Za razliko od informacij so podatki gola dejstva, ki za uporabnika dobijo
določeno vrednost šele, ko jih postavimo v uporabno obliko. Informacije postanejo takrat, ko
jih preoblikujemo v komunikacijski pomen, znanje, ideje oziroma določene zaključke,
informacija »je potemtakem znanje, bazirano na podatkih, ki so skozi obdelavo pridobili
pomen, namen in uporabnost.« (Damij 2004, str. 19) Informacije so lahko shranjene v različnih
2 Kot dobrine standard primeroma navaja še programsko opremo, fizična sredstva, kot so računalniki,
storitve, osebje in njegove kvalifikacije, veščine in izkušnje ter neopredmetene dobrine, kot sta ugled in
javna podoba.
9
oblikah, tj. na različnih nosilcih zapisa (npr. glinene tablice, papirus, pergament, papir in
elektronski nosilci zapisa), ali pa obstajajo v nepredstavljivi obliki kot znanja zaposlenih.
Prenašajo se lahko prek različnih komunikacijskih kanalov v pisni, vizualni, govorni ali kakšni
drugi obliki komunikacije.
Damij (2004, str. 13–14) navaja, da lahko vsako organizacijo obravnavamo kot sistem,
sestavljen iz treh podsistemov, in sicer upravljalnega, operativnega in informacijskega. Namen
informacijskega sistema je zadovoljitev informacijskih zahtev, potrebnih za načrtovanje,
nadzor in odločanje na vseh ravneh upravljanja organizacije. Ker so informacije osnova vseh
dejavnosti, morajo organizacije razviti sistem, ki omogoča njihovo pridobivanje in uporabo v
ustrezni obliki in v času, ko jih potrebujejo. Informacijski sistem avtor opredeli »kot množico
ljudi, strojev, idej, aktivnosti, podatkov in postopkov, ki skupaj omogočajo pridobivanje
koristnih informacij.« (Damij 2004, str. 30) Informacijski sistem izvaja tri vrste dejavnosti, in
sicer sprejemanje in hranjenje podatkov, obdelavo podatkov in generiranje informacij ter
izpisovanje informacij v primerni obliki. Podporni procesi lahko sicer potekajo brez
računalniške podpore, vendar pa bi danes zaradi njihove kompleksnosti in zahtevnosti brez
podpore sodobne informacijsko-komunikacijske tehnologije težko zagotavljali njihovo
učinkovitost. Swanson (2010, str. 2635) omenja, da so se moderni informacijski sistemi pojavili
s pojavom digitalnega računalništva v petdesetih letih prejšnjega stoletja, takrat se začne tudi
hiter razvoj poslovnih aplikacij in tehnologij za gradnjo baz podatkov.
Informacijski sistem ni zgolj računalniška strojna oprema, ampak skupek programske in strojne
opreme, podatkov, osebja, predpisanih postopkov in omrežij, ki v organizaciji omogočajo
uporabo informacijskih dobrin. Kojc (2010) kot glavne dele informacijskega sistema navaja
strojno in programsko opremo ter standarde informacijsko varnostne industrije, ki se
uporabljajo kot mehanizem zaščite in preprečitve na treh ravneh: na fizičnem, osebnostnem in
organizacijskem. Avtorica Varga Vodička (2015, str. 12) kot elemente informacijskega sistema
predstavi naslednje:
strojna oprema (ang. hardware) oziroma fizični del sistema, namenjen v prvi vrsti
obdelavi podatkov/informacij;
programska oprema (ang. software) oziroma nematerialni del sistema, ki omogoča
uporabo strojne opreme;
informacijsko osebje (ang. lifeware), ki uporablja informacijsko tehnologijo in v kateri
koli funkciji sodeluje v delu sistema ter uporablja rezultate obdelave podatkov;
10
podatkovni viri (ang. dataware) ter načini in metode njihovega organiziranja in
hranjenja;
različna komunikacijska sredstva (ang. netware) za prenos podatkov/informacij;
vsi ukrepi, metode, predpisi in organizacijski postopki (ang. orgware) za povezovanje
prej omenjenih elementov informacijskega sistema v enovito funkcionalno celoto.
Informacijski sistemi in njihovi sestavni deli so izpostavljeni različnim varnostnim grožnjam,
ki se s hitrim razvojem informacijske in komunikacijske opreme množijo.
2.2 Varovanje podatkov in informacij
Klenovšek (2012, str. 11) izpostavlja, da so se vprašanja zagotavljanja varnosti informacij
pojavila že v času pred našim štetjem, razmahnila pa z uvajanjem računalniške tehnologije v
šestdesetih letih prejšnjega stoletja, ko so organizacije morale uvajati ukrepe za zaščito
posameznih računalniških postaj, in zlasti s kasnejšim povezovanjem računalnikov v omrežja.
Rhodes-Ousley (2013) navaja, da je šlo najprej le za povezovanje posameznih računalnikov
organizacij znotraj akademskega in vladnega okolja, dostop do računalnikov od zunaj je bil
preprečen, znotraj omrežij pa so veljale stroge zaščite dostopa do podatkov. Povezave
računalnikov v mreže so bile možne prek telefonskih linij, ki so postale tarče napadov
nepooblaščenih oseb. Lynett (2015) jih imenuje kar prve skupine »hekerjev«. S pojavom
interneta (medmrežja oziroma omrežja omrežij)3 informacij ni bilo več mogoče hraniti v
»zaklenjeni škatli«, za njihovo varovanje so se začela namenjati visoka finančna sredstva.
Organizacije vseh vrst in velikosti, kot navaja standard SIST ISO/IEC 27000 (2011, str. 12),
danes:
zbirajo, obdelujejo, shranjujejo in prenašajo velike količine informacij,
informacije ter z njimi povezane procese, sisteme, omrežja in osebje štejejo za dobrine,
pomembne za doseganje ciljev organizacije,
se soočajo z vrstami tveganj, ki lahko vplivajo na delovanje dobrin in
zmanjšujejo tveganja z izvajanjem informacijskih varnostnih kontrol.
3 Omrežje ARPANET (Advance Research Projects Agency NETwork) je bilo za potrebe izmenjave
informacij na področju raziskovalne dejavnosti v ZDA vzpostavljeno leta 1969. Internet, kot ga
poznamo danes, pa je začel delovati leta 1983, ko je ARPANET kot omrežne protokole začel uporabljati
TCP/IP.
11
Vse informacije, ki jih organizacije hranijo in obdelujejo, so predmet groženj napada, napake
ali naravnih pojavov in s tem izpostavljene ranljivosti, ki izhaja iz njihove uporabe. Ne glede
na obliko shranjevanja ali načina posredovanja informacije vedno potrebujejo ustrezno zaščito.
Ker so informacije kot ena od pomembnih poslovnih dobrin bistvenega pomena za poslovanje
organizacije, je treba skrbeti za njihovo zaščito. Standard SIST ISO/IEC 27000 (2011, str. 12)
zato poudarja, da je ščitenje informacij ključnega pomena, da organizacija z določanjem,
doseganjem, vzdrževanjem in izboljševanjem informacijske varnosti uspešno dosega svoje cilje
ter vzdržuje in krepi skladnost poslovanja s predpisi in javno podobo.
Bistveni element, ki organizacijam pomaga pri ustvarjanju, obdelovanju, shranjevanju,
posredovanju, zaščiti ter uničevanju informacij, je njihova informacijska in komunikacijska
tehnologija. Ker postaja poslovanje organizacij vedno bolj globalno, so informacije in z njimi
povezani procesi, sistemi in omrežja izpostavljeni vedno novim oblikam groženj in ranljivosti
in se s tem širijo tudi zahteve po njihovi zaščiti. Košćak (2011, str. 6) navaja, da varnost
informacij dosežemo z vpeljavo ustreznih kontrol, vključno s politikami, procesi, postopki,
organizacijskimi strukturami ter funkcijami programske in strojne opreme.
Sodobna tehnologija omogoča tudi enostaven način zbiranja, hranjenja, obdelave in izmenjave
velikih količin osebnih podatkov ter njihovo povezovanje. Vključenost posameznikov in
organizacij v internet pa pomeni stalno grožnjo, saj so kraje zaupnih (tajnih) in občutljivih
osebnih podatkov prisotne vsakodnevno. Pravica do zasebnosti je ena od temeljnih človekovih
pravic. Področje varstva informacijske zasebnosti kot ene od sestavin zasebnosti posameznika,
je zato določeno z varstvom osebnih podatkov, katerega cilj je preprečevanje nezakonitih in
neupravičenih posegov v informacijsko zasebnost posameznika4. Vsaka oseba ima pravico do
nadzora podatkov in informacij o sebi ter pravico do sodnega varstva ob njihovi zlorabi, zato
morajo organizacije, ki zbirajo, obdelujejo in prenašajo osebne podatke, skrbeti za njihovo
varovanje ter preprečevati nezakonite in neupravičene posege vanje, njihovo spreminjanje,
razkritje ali uničenje.
4 Nadzor nad varstvom osebnih podatkov je v Sloveniji zakonsko poverjen institutu informacijskega
pooblaščenca.
12
2.3 Informacijska varnost
Informacijska varnost pomeni varstvo informacij in informacijskih sistemov pred izgubo in
nezakonitim dostopom, uporabo, razkritjem, ločitvijo, spremembo ali uničenjem. Informacijska
varnost je sistem zagotavljanja varnosti oziroma varovanje vseh informacij ne glede na njihovo
obliko, tj. ne glede na to, ali so zapisane na klasičnih nosilcih zapisa, v elektronski obliki ali
kako drugače. Varnost informacijskega sistema lahko ogrožajo izredni dogodki (npr. požar,
poplava, potres, izpad električne energije), naključni dogodki (odpoved strojne ali programske
opreme, človeška napaka) ali zlonamerno ravnanje zaposlenih ali zunanjih izvajalcev (kraja,
uničevanje, vdori v računalniški sistem, zlonamerne kode, programski vohuni in socialni
inženiring).
Celovit pregled področja in sestavin informacijske varnosti prinašata monografija avtorjev
Peltier in drugi (2004) ter obsežen priročnik avtorja Rhodes-Ousley (2013), ki nas seznanja s
koncepti, politikami informacijske varnosti in tudi z metodami ter orodji za njeno zagotavljanje.
Varnost moramo po mnenju avtorja razumeti kot paradigmo, filozofijo in način razmišljanja.
Navaja, da se informacijska varnost nanaša na varovanje informacij v vseh oblikah, tako pisnih,
ustnih, elektronskih, slikovnih ali nastalih pri drugih oblikah komuniciranja. Koncepte
informacijske varnosti v svoji knjigi podrobneje predstavlja Parker (2016).
Informacijska varnost obsega celovit nabor ukrepov ter njihovo skladnost z mednarodnimi
standardi in različnimi predpisi. V slovenskem prostoru se pri vzpostavljanju in vodenju
sistemov informacijske varnosti najpogosteje uporabljajo standardi Mednarodne organizacije
za standardizacijo (ISO), ki se nanašajo na področje informacijske tehnologije, tj. skupina
standardov za upravljanje informacijske varnosti ISO/IEC 27000. Pri presojanju informacijskih
sistemov se pogosto uporablja tudi metodologija COBIT za revizijo informacijske tehnologije.
Standard SIST ISO/IEC 27000 (2011, str. 9) opredeli informacijsko varnost kot ohranjanje
zaupnosti, celovitosti in razpoložljivosti informacije, lahko pa so vključene tudi druge lastnosti,
kot so verodostojnost, odgovornost, nezanikanje in zanesljivost. Glavni elementi informacijske
varnosti, poznani kot model CIA, so torej zaupnost (ang. confidentiality),
celovitost/neokrnjenost (ang. integrity) in razpoložljivost (ang. availability) informacij (Slika
2.1).
13
Slika 2.1: Osnovni principi informacijske varnosti – model CIA
Vir: Ambrožič, lastna raziskava (2017)
Zaupnost informacij je nabor pravil, ki omejujejo dostopnost informacij in preprečujejo dostop
do njih ali njihovo prestrezanje s strani nepooblaščenih oseb. Pomeni torej zaščito informacij
pred nepooblaščenim dostopom ali protipravnim prestrezanjem in zagotavlja, da imajo dostop
do informacij samo pooblaščene osebe (Rihter 2015, str. 7). Za določene vrste informacij je
atribut zaupnosti še posebej pomemben, npr. za izvirne podatke raziskav, medicinske in
zavarovalniške podatke, finančne podatke organizacij, podatke o strateških investicijah,
podatke s področja nacionalne varnosti, občutljive osebne podatke ipd. Za zagotavljanje
zaupnosti informacij sta pomembna tudi informiranost ter odgovornost zaposlenih in drugih
oseb, ki imajo dostop do njih. Vsaka organizacija mora zato v svojih aktih določiti, kdo in
kakšne pravice dostopa do informacij ima ter kakšna je njegova odgovornost za zaščito
zaupnosti informacij, z organizacijskimi in tehničnimi ukrepi pa preprečevati morebitno
zlorabo.
Celovitost informacij pomeni, da so zagotovljene popolne in točne informacije, torej varovanje
njihove pravilnosti, zanesljivosti, točnosti in postopkov procesiranja skozi celoten življenjski
cikel, v katerem so lahko ogrožene zaradi človeških napak, zlonamernih uporabnikov, virusnih
okužb ali okvar strojne opreme, programskih napak, napak pri dostopu ali pri prenosu itd. Za
zmanjšanje tovrstnih tveganj se največkrat uporablja sistem zagotavljanja varnostnih kopij, ki
se izdelujejo periodično in se hranijo na različnih mestih, z različno varovanimi dostopi,
zavarovane pa so s šifriranjem (kriptiranjem). V primeru varnostnih incidentov (izguba ali
poškodovanje podatkov) je možna hitra ponovna vzpostavitev informacijskega sistema.
Razpoložljivost pomeni varovanje informacij in servisov pred prekinitvami v delovanju ter
zagotavljanje informacij pooblaščenim uporabnikom v pravi obliki in na pravi način vedno, ko
14
jih potrebujejo. Cilj zagotavljanja razpoložljivosti je omogočiti kar se da neprekinjeno
delovanje informacijskega sistema in v primeru varnostnih incidentov njegovo čim hitrejšo
povrnitev v prvotno stanje. V načrtu ponovne vzpostavitve sistema so opisana tveganja, ocena
in pogostost tveganj ter načrt za njihovo zmanjšanje. Določena so potrebna ravnanja pred, med
in po zaključku varnostnega incidenta ter odgovorne osebe (Rihter 2015, str. 8). Razpoložljivost
informacij je pomemben atribut še zlasti v primeru uporabniško usmerjenih organizacij, ki
morajo storitve zagotavljati neprekinjeno.
2.4 Politika informacijske varnosti
Varnostno politiko Rhodes-Ousley (2013, str. 108) opredeli kot dokument, ki določa varnostne
zahteve organizacije, določa, kaj naj bo narejeno, ne pa, kako in na kakšen način. Varnostna
politika, kot navaja Kralj (2013), predstavlja ključni branik varovanja informacij v organizaciji
pred različnimi zunanjimi in notranjimi vplivi, ki bi lahko posegli v celovitost njenega
informacijskega sistema ter njegovo varno in zanesljivo delovanje. Vključevati mora naslednje
vidike informacijske varnosti: upravljanje varnosti, računalniško strojno in programsko
opremo, računalniška omrežja, razvoj programske opreme ter okolje končnega uporabnika.
Klenovšek (2012, str. 28) kot področja varnostne politike navaja fizično zaščito, računalnike,
gesla, viruse in škodljive programe, internet, elektronsko pošto in prenos podatkov. Rhodes-
Ousley (2013) posebej opozarja še na pomen opredelitve tveganj, tudi tistih, ki so prisotna
znotraj organizacij.
Božić (2016, str. 16) poudarja, da so varnostne politike temeljni dokument, s katerim
organizacija določen ukrep vpelje v svoje poslovno okolje. Zaposleni v njej najdejo podlago za
odločitve in ravnanje. Politika informacijske varnosti je del varnostne politike organizacije.
Slednjo predstavlja skupek pravil, napotkov in postopkov, ki opredeljujejo, kako v organizaciji
upravljati, ščititi in ravnati z določenimi resursi z namenom doseganja konkretno zastavljenih
varnostnih ciljev (Belič in Lesjak v Bernik in Zver, 2012). Politika informacijske varnosti mora
zagotavljati smernice za varnost informacijskega sistema organizacije ter vključevati področja,
kot so: uporaba interneta in notranja uporaba omrežja, zasebnost podatkov, odzivanje na
varnostne incidente, varnost dokumentov, vprašanja človeških virov in drugo. Kralj (2013, str.
12–13) navaja, da je informacijska varnostna politika »celovit načrt varovanja informacij in
delovnih procesov v organizaciji, ki je kot tak zavezujoč za vse zaposlene, pred različnimi
(neželenimi) zunanjimi in notranjimi vplivi, ki ogrožajo informacijsko varnost neke
15
organizacije in varnost organizacije kot celote.« Avtor poudarja, da informacijska varnostna
politika ščiti informacijski sistem, informacije, informacijska sredstva in informacijske vire
pred grožnjami, ki bi lahko posegle v njihovo celovitost, zaupnost in razpoložljivost. Varnostna
politika je smiselna le, če je po sprejemu uresničena tudi v praksi in se njena določila upoštevajo
dosledno ter so tudi pravilno razumljena: »Ko sprejmemo informacijsko varnostno politiko,
zavarujemo kritično informacijsko infrastrukturo organizacije, istočasno pa določimo tudi
pravila vedenja in sankcije v primeru kršitev, ki naj bi veljale za vse, tako za zaposlene kot
vodstvo.« (Kralj 2013, str. 15)
Bernik in Zver (2012) poudarjata tudi, da je varnostna politika »oblika pisnega sporazuma o
pogojih in pravilih varnega dela, ki mora biti prebran in podpisan s strani zaposlenih«, uporaba
politike pa pomaga izobraževati zaposlene o vrstah orodij, ki jih bodo uporabljali za ščitenje
informacijskega sistema, in kaj lahko od teh orodij pričakujejo. Opredeljevati mora tudi meje
obnašanja oziroma vedenja pri delu z informacijskim sistemom organizacije in določati
posledice kršitev.
2.5 Standardi informacijske varnosti
Zgodovino standardov s področja informacijske varnosti ter posamezne mednarodne standarde
predstavlja Klenovšek (2012, str. 11). Razvoju standardov informacijske varnosti lahko sledimo
po letu 1926, ko je bila ustanovljena mednarodna organizacija za standardizacijo, predhodnica
današnje ISO. Danes najbolj uporabljane standarde (COBIT, ISO in NIST) predstavlja Rhodes-
Ousley (2013), podrobnejši prikaz standardov družine ISO/IEC 27000 najdemo tudi v številnih
drugih prispevkih (npr. Košćak, 2011; Bernik in Zver, 2012; Rihter, 2015).
Za področje informacijske varnosti obstaja več standardov, dobrih praks, postopkov, politik in
metodologij. Bernik in Zver (2012) navajata, da obstajajo splošni kodeksi najboljših praks in
priporočil za zagotavljanje informacijske varnosti, med katerimi je najbolj znana in široko
sprejeta skupina mednarodnih standardov ISO/IEC 27000 s skupnim naslovom Informacijska
tehnologija – Varnostne tehnike, ki opredeljujejo večino proceduralnih, organizacijskih,
fizičnih in drugih težav, povezanih z zagotavljanjem informacijske varnosti. Razvija in izdaja
jih Mednarodna organizacija za standardizacijo (ISO, International Organization for
Standardization) v sodelovanju z Mednarodno elektrotehniško komisijo (IEC, International
16
Electrotechnical Comission)5. Gre za družino standardov za sisteme upravljanja informacijske
varnosti (SUIV), katerih namen je pomagati organizacijam vseh vrst in velikosti (npr.
gospodarske družbe, državni organi in nepridobitne organizacije) pri izvedbi in delovanju
sistemov upravljanja informacijske varnosti. Standardi, kot poudarjata Bernik in Zver (2012),
spodbujajo skupno razumevanje varnostnih zahtev in zagotavljajo, da so implementirani
mehanizmi v skladu z globalno sprejetimi pravili in prakso.
V nadaljevanju navajamo splošne standarde ISO6, namenjene organizacijam ne glede na
področje njihovega delovanja:
Standard ISO/IEC 27000:2016, Sistemi upravljanja informacijske varnosti – Pregled in
izrazje vključuje splošen pregled sistemov upravljanja informacijske varnosti, ki so predmet
skupine standardov SUIV, kratek opis procesa načrtuj – izvedi – preveri - ukrepaj (PDCA),
ter izraze in definicije, pogosto uporabljene v omenjeni skupini standardov.
Standard ISO/IEC 27001:2013, Sistemi upravljanja informacijske varnosti – Zahteve
predpisuje zahteve za vpeljavo celovitega sistema upravljanja varovanja informacij (SUVI)
v organizacijo. Predstavlja model za vzpostavitev, izvajanje, upravljanje, spremljanje,
pregledovanje, vzdrževanje, vrednotenje in izboljševanje sistema varovanja informacij
(Kralj 2013, str. 18). Vključuje tudi zahteve za ocenjevanje in obravnavanje tveganj
informacijske varnosti, prilagojene različnim vrstam organizacij. V Dodatku A so navedeni
referenčni cilji kontrol in kontrole, s pomočjo katerih preverjamo informacijsko varnost
organizacije.
Standard ISO/IEC 27002:2013, Pravila obnašanja pri kontrolah informacijske varnosti je
zbirka pravil in metod za nadzor uresničevanja informacijske varnosti. Predstavlja model
za učinkovit sistem upravljanja varovanja informacij in ga lahko uporabljajo organizacije,
ki želijo znotraj procesa izvajanja sistemov upravljanja informacijske varnosti uporabljati
5 Slovenski nacionalni organ, član tako organizacij ISO kot IEC, ki skrbi za pripravo in sprejemanje
standardizacijskih dokumentov, je Slovenski inštitut za standardizacijo (SIST). Glej: http://www.sist.si/ 6 Omenjena družina standardov sicer vključuje tudi specializirane standarde, npr. za področje
inteligentnih transportnih sistemov, telekomunikacijskih organizacij, zdravstva, finančnih storitev,
storitev oblaka, energetike, ter standarde za organe, ki izvajajo presoje in certificiranje sistemov
upravljanja informacijske varnosti.
17
kontrole na osnovi standarda ISO/IEC 27001 ali pa druge splošno sprejete kontrole
informacijske varnosti oziroma oblikovati svoje smernice za upravljanje informacijske
varnosti. V primerjavi s standardom ISO/IEC 27001, ki posamezne kontrole opredeljuje na
kratko, jih standard ISO/IEC 27002 opredeljuje podrobno.
Standard ISO/IEC 27003:2010, Smernice za izvedbo sistema upravljanja informacijske
varnosti se nanaša na prvo fazo vpeljave sistema upravljanja varovanja informacij (SUVI)
v skladu s standardom ISO/IEC 27001, tj. na fazo načrtovanja sistema, in definira vse
aktivnosti, ki jih mora v tej fazi opraviti organizacija.
Standard ISO/IEC 27004:2016, Upravljanje informacijske varnosti – Spremljanje,
merjenje, analiziranje in ocenjevanje je pripomoček za preverjanje in poročanje o
uspešnosti sistema upravljanja informacijske varnosti. Nadomestil je izdajo standarda iz
leta 2009, ki je bil posodobljen in razširjen ter usklajen z novo različico standarda ISO/IEC
27001 iz leta 2013. Določa način izdelave programa za merjenje informacijske varnosti,
izbor predmeta merjenja in upravljanje potrebnih procesov merjenja.
Standard ISO/IEC 27005:2011, Obvladovanje informacijskih varnostnih tveganj opisuje
proces upravljanja tveganj in priporočena opravila za obvladovanje informacijskih tveganj,
s katerimi zagotavljamo informacijsko varnost v okviru splošnih konceptov, ki jih navaja
standard ISO/IEC 27001:2013.
Standard ISO/IEC 27007:2011, Smernice za presojanje sistemov upravljanja informacijske
varnosti vključuje smernice za upravljanje programa za notranje ali zunanje presojanje
sistemov upravljanja informacijske varnosti, izvajanje presoj in določanje pristojnosti
presojevalcev.
Informacijski sistem organizacije je izpostavljen različnim tveganjem. Eden od načinov za
njihovo obvladovanje je upravljanje informacijske tehnologije, ki vključuje tudi vzpostavitev
in vzdrževanje sistema kontrol ter oceno ustreznosti tega sistema. Presoja informacijskih
sistemov (ang. information system audit) je proces zbiranja in vrednotenja dokazil, s pomočjo
katerih je mogoče oceniti uspešnost informacijskega sistema v smislu varovanja in ohranjanja
celovitosti informacij ter uresničevanja poslovnih ciljev organizacije. Delak in Bajec (2010)
navajata, da obstaja na področju t. i. skrbnih pregledov informacijskih sistemov več različnih
18
standardov, metodologij in dobrih praks. Med smernicami za izvajanje presoje informacijskega
sistema se pogosto uporablja metodologija COBIT (Control OBjectives for Information and
related Technology) za revizijo informacijske tehnologije. COBIT je vodilni poslovni model
(okvir za kontrolo) za boljše izvajanje upravljanja in vodenja informacijske tehnologije, ki ga
priporoča mednarodno neprofitno in neodvisno združenje s področja informacijske tehnologije
ISACA7. Trenutna različica COBIT 5.1 vključuje, kot navaja Varga Vodička (2015, str. 34),
tudi druge znane delovne okvire, standarde in vire, kot so Val IT, Risk IT, ITIL, TOGAF,
CMMI, Prince2 in povezane standarde ISO/IEC, tudi skupino ISO/IEC 27000. COBIT pristopa
k informacijskemu sistemu organizacije na ravni procesov. Vključuje kontrolne cilje (ključne
informacijske procese) in načine merjenja stopnje njihovega uresničevanja.
2.6 Upravljanje informacijske varnosti
Upravljanje informacijske varnosti je bistvena sestavina celotne dejavnosti vsake organizacije.
Vključuje dejavnosti, ki se nanašajo na varovanje informacij in sredstev informacijske
infrastrukture pred tveganji izgube, zlorabe, razkritja in poškodbe, ter nadzor, ki ga mora
opravljati organizacija, da zagotovi obvladovanje morebitnih tveganj. V programu upravljanja
informacijske varnosti organizacija predvidi skrb za vpeljavo, vzdrževanje in nenehno
izboljševanje področja upravljanja informacijske varnosti. Bistvena sestavina upravljanja
informacijske varnosti je tudi informacijska varnostna politika, ki vključuje pravila in potrebna
ravnanja organizacije na področju varovanja, dostopa, obdelave, shranjevanja, prenosa in
uničenja informacij (Selan in Bernik, 2011). Avtorja poudarjata, da informacijska varnost ni le
tehnični izziv, ampak tudi izziv celotne organizacije in vodenja le-te, ki zajema upravljanje
tveganj, poročanje in odgovornosti.
Vehar in drugi (2013, str. 28–29) opozarjajo, da je informacijska podpora poslovnim procesom
organizacij postala ključnega pomena za učinkovitost procesov. Pri tem pa mora biti
zagotovljena najvišja stopnja varnosti in zanesljivosti informacijskih sistemov ter onemogočeni
7 Združenje ISACA je bilo ustanovljeno leta 1969. Danes vključuje 140.000 strokovnjakov iz 187 držav,
s področja upravljanja nadzora, revizije in varnosti informacijskih sistemov. Glej več:
http://www.isaca.org/about-isaca/Pages/default.aspx. Slovenski odsek ISACA je bil ustanovljen leta
1995 pri Slovenskem inštitutu za revizijo (SIR) in skrbi za razvoj področij revizije informacijskih
sistemov, upravljanja informacijske tehnologije, nadzora in dajanja zagotovil ter kibernetske varnosti.
Glej več: http://www.isaca.si/.
19
neavtorizirani fizični in logični poskusi vdorov ali odtujitve informacij. A dogaja se, da
organizacije posvečajo premalo pozornosti pomenu dobre informacijske varnostne politike in
ustrezni izobraženosti uporabnikov informacijske tehnologije, kar spoznajo šele ob pojavu
groženj varnosti ali varnostnih incidentov. Zagotavljanje informacijske varnosti zahteva
sistematičen pristop, ki je mogoč le ob vpeljavi sistema upravljanja varovanja informacij. Pri
tem so organizacijam v pomoč mednarodni standardi, v prvi vrsti družina standardov ISO/IEC
27000.
Slovenski standard SIST ISO/IEC 27000 (2011, str. 13–14) opredeljuje sistem upravljanja
informacijske varnosti (SUIV) kot del celotnega sistema upravljanja, ki temelji na pristopu
poslovnega tveganja in je namenjen vzpostavitvi, izvedbi, delovanju, spremljanju,
pregledovanju, vzdrževanju in izboljševanju informacijske varnosti. V zvezi s SUIV
upravljanje vključuje nadzor in sprejemanje odločitev, potrebnih za doseganje poslovnih ciljev
z zaščito informacij organizacije. Upravljanje informacijske varnosti se izkazuje v oblikovanju
in uporabi informacijskih varnostnih politik, standardov, postopkov in smernic, ki jih nato v
celotni organizaciji uporabljajo vsi posamezniki oziroma deležniki, povezani z organizacijo.
Specifikacije za sistem upravljanja informacijske varnosti vključuje standard ISO/IEC 27001.
Določa zahteve za vzpostavitev, izvajanje, vzdrževanje in nenehno izboljševanje sistema
informacijske varnosti v okviru organizacije, vključuje pa tudi zahteve za ocenjevanje in
obravnavanje tveganj informacijske varnosti, prilagojene potrebam organizacije (SIST
ISO/IEC 27001 2013, str. 6).
Standard ISO/IEC 27001 v upravljanje informacijske varnosti uvaja procesni pristop, znan kot
proces PDCA (načrtuj-izvedi-preveri-ukrepaj). Izvaja se v štirih fazah (Brezavšček in Moškon,
2010), in sicer:
1. načrtuj – izdelava načrta vzpostavitve SUIV (analiza stanja v organizaciji in ocene
tveganj, določitev okvira SUIV, določitev ciljev in oblikovanje načrta njihove
uresničitve, odločitev vodstva organizacije za pristop k projektu SUIV);
2. izvedi – uvedba načrta SUIV (izdelava in sprejem politike varovanja podatkov in
informacij ter izvedbenih dokumentov, izvajanje politike in izvedbenih dokumentov,
seznanjanje in izobraževanje zaposlenih, zunanjih sodelavcev in pogodbenih izvajalcev,
ki so kakor koli povezani z informacijskim sistemom organizacije);
20
3. preveri – vzpostavitev sistema kontrol in nadzorstev nad delovanjem SUIV
(vzpostavitev kontrol in kontrolnega okolja, izvajanje kontrol in nadzorstev, nadzor nad
delovanjem kontrol, ukrepi ob nespoštovanju zahtev);
4. ukrepaj – analiza odstopanj od načrtovanega in izvajanje korektivnih ukrepov
(ugotavljanje učinkovitosti SUIV, po potrebi popravljanje in izboljševanje dejavnosti
za doseganje boljših rezultatov).
Dodatek A standardu navaja referenčne cilje kontrol in kontrole, razporejene v 14 področij: 1)
Informacijske varnostne politike; 2) Organiziranje informacijske varnosti; 3) Varnost človeških
virov; 4) Upravljanje dobrin; 5) Nadzor dostopa; 6) Kriptografija; 7) Fizična in okoljska
varnost; 8) Varnost operacij; 9) Varnost komunikacije; 10) Pridobivanje, razvoj in vzdrževanje
sistemov; 11) Odnosi z dobavitelji; 12) Upravljanje informacijskih varnostnih incidentov; 13)
Vidiki informacijske varnosti pri upravljanju neprekinjenega poslovanja; 14) Skladnost (SIST
ISO/IEC 27001 2013, str. 15–26) .
2.7 Človeški dejavnik pri zagotavljanju informacijske varnosti
Pojem varnostne kulture in informacijske varnostne kulture ter njena načela, ki usmerjajo
vedenje in mišljenje ljudi, sestavne dele in stopnje podrobneje opredeljuje avtorica Rančigaj
(2010), ki opozarja tudi na to, da obstaja povezanost med organizacijsko in varnostno kulturo.
Informacijske varnosti ni mogoče zagotavljati le z uporabo tehničnih sredstev, ampak je treba
pozornost nameniti tudi človeškemu dejavniku: »Ob številnih ukrepih in trudu organizacij so
zaposleni še vedno tisti, ki zaradi svoje nepazljivosti, prenizke ozaveščenosti in znanja,
povzročajo največ varnostnih incidentov in posledično velike finančne izgube podjetjem.«
(Rančigaj 2010, str. 59)
O vedenjskih vidikih informacijske varnosti pišeta Rančigaj in Lobnikar (2012), ki kot enega
ključnih dejavnikov upravljanja informacijske varnosti izpostavljata posameznikovo vedenje in
informacijsko varnostno kulturo organizacije. Po njunem mnenju vloga človeškega dejavnika
pri zagotavljanju varnosti postaja vse bolj prepoznavna in je vsaj tako pomembna, kot je
pomemben sam tehnološki dejavnik. Rhodes-Ousley (2013, str. 114) opozarja, da je človeški
element najmanj predvidljiv in najšibkejši člen varnostne verige vsake organizacije. Warkentin
in drugi (2016, str. 25) pa navajajo rezultate raziskave, ki kažejo, da skoraj polovica varnostnih
incidentov izhaja iz notranjega okolja organizacij in da le-ti povzročijo veliko večjo škodo, kot
21
pa incidenti, povzročeni od zunaj. Ivanc (2013) zato izpostavlja potrebo po kompetentnih
človeških virih, ki so ključni element pri varovanju podatkov.
Božić (2016, str. 23) navaja, da dejanja zaposlenih ne narekujejo le njihova motivacija za delo,
osebni vzgibi in želje ter njihovo znanje in izkušnje, ampak tudi pravila in politike organizacije
ter zakonski in drugi predpisi, ki morajo biti razumljivi in zaposlenim posredovani na pravilen
način, zavedati pa se morajo tudi posledic njihovega neupoštevanja. Avtor opozarja:
»Ozaveščenost uporabnika predstavlja pomembno merilo za učinkovitost varovanja informacij
v organizaciji. Ozaveščenost lahko opredelimo kot splošno znanje o varovanju informacij in
poznavanje določil in dejanske prakse organizacije.« (Božić 2016, str. 24) Zato je pomemben
učinkovit program ozaveščanja zaposlenih o vprašanjih varovanja informacij.
Lobnikar in drugi (2012, str. 352) opozarjajo, da so celoviti programi informacijskovarnostnega
ozaveščanja, ki bi upoštevali vse vidike vedenja ljudi, v slovenskem organizacijskem okolju še
vedno redkost. Veliko organizacij sicer posveča pozornost izobraževanju zaposlenih, a
večinoma le tistih, ki upravljajo informacijske sisteme. Avtorji so z anketo, v kateri so
sodelovali zaposleni v javnem in zasebnem sektorju, ugotavljali njihovo znanje o
informacijskovarnostnem vedenju in vedenje samo ter odnos do informacijskovarnostnih
ukrepov v organizaciji. Rezultati raziskave so pokazali, da največjo pomanjkljivost v stanju
informacijskovarnostne ozaveščenosti zaposlenih predstavlja znanje o varni uporabi
tehnologije. Zato morajo imeti organizacije jasne in vsem zaposlenim razumljive
informacijskovarnostne politike ter celovite programe varnostnega ozaveščanja, zavedati se
morajo tudi, »da je varnostna kultura, katere del je tudi varnostna ozaveščenost, dodana
vrednost organizacije, od katere je odvisno, ali bodo postavljene varnostne zahteve, pravila in
tehnični postopki zaživeli in prispevali k razvoju organizacije, ali pa bodo predstavljali največjo
oviro pri doseganju zastavljene vizije.« (Lobnikar in drugi 2012, str. 361)
2.8 Orodja za zagotavljanje varnosti informacijskega sistema
Varnost informacijskega sistema zagotavljamo z ustrezno varnostno tehnologijo za zaščitenje
dostopa do podatkov in informacij ter njihove uporabe, ki je zoper grožnje varnosti uspešna le,
če ima organizacija tudi ustrezno informacijsko varnostno politiko in če so zaposleni
usposobljeni ter poučeni o varovanju podatkov in informacij ter sodi varnostna kultura med
temeljne vrednote organizacije.
22
2.8.1 Požarne pregrade in preprečevanje vdorov v omrežje
Požarni zidovi (ang. firewall) in sistemi za zaznavanje ter preprečevanje vdorov (ang. IDS/IPS
– Intrusion Detection/Prevention Systems) so orodja za razmejitev med zunanjim in notranjim
računalniškim omrežjem. Namenjeni so zaščiti notranje omrežne infrastrukture organizacije
pred zunanjimi vdori oziroma neavtoriziranimi dostopi.
Najpogosteje uporabljano varnostno orodje s področja strojne omrežne varnosti so požarni
zidovi. To so strojna ali programska oprema, ki vstop v omrežje organizacije dovoli le
določenim vrstam omrežnega prometa. Glede na pravila, ki jih določi upravljavec notranjega
omrežja, dovolijo ali zavrnejo tok podatkov v omrežje. Za analiziranje omrežnega prometa in
njegovo sprejemanje lahko uporabljajo različne metode in kriterije, npr. paketno filtriranje. Kot
taki pa požarni zidovi ne zmanjšujejo problema varnostnih tveganj, ki nastajajo v notranjem
okolju organizacij. Končna točka povezave v internet namreč ni le požarni zid, ampak tudi
posamezni računalniki, ki so v varovanem delu omrežja za njim. Ker se poslovni procesi ne
odvijajo več le znotraj organizacij, ampak so uporabniki navajeni tudi mobilnega dostopa prek
brezžičnih povezav in organizacije v vse večjem številu uporabljajo tudi oblačne storitve, kjer
se nadzor nad lokacijo shranjenih podatkov izgubi, požarni zidovi ne predstavljajo več zadostne
zaščite.
Funkcija sistemov za zaznavanje vdorov pa je nadzor prometa in dogodkov v omrežju in v
odjemalcih, zaznavanje vdorov (z odkrivanjem znanih in neznanih napadov ter lastno
opredelitvijo možnih napadov) in njihovo preprečevanje.
2.8.2 Protivirusna zaščita na delovnih postajah in strežnikih
V dobi modernega računalništva je protivirusna zaščita postala obvezen del poslovnih okolij.
Zaradi potencialnih okužb iz različnih virov, kot so zlonamerne spletne strani, okužene
priponke v elektronski pošti in tudi uporabniški ključki USB, je treba dodatno zaščititi delovne
postaje zaposlenih in morebitne javno dostopne delovne postaje organizacije. Prav tako je nujno
zaščititi vse strežnike, ki so potencialno dostopni zaposlenim neposredno oziroma posredno
zaradi avtomatiziranih procesov, ki uporabniške datoteke prenašajo na diskovna polja zaradi
zagotavljanja nemotenega delovnega procesa. Seveda pa protivirusni programi zagotavljajo
23
obrambo samo pred okužbami, ki so že opisane v bazi definicij, torej pred okužbami, ki so že
splošno znane. Pred še neznanimi (ang. zero day) okužbami pa nas te rešitve ne zaščitijo.
Na trgu je na voljo veliko protivirusnih zaščit različnih proizvajalcev, ki se med seboj glede na
zanesljivost odkrivanja okužb zelo razlikujejo. Poznamo brezplačne in plačljive rešitve. V
poslovnih okoljih se najpogosteje odločajo za plačljive rešitve, pri katerih ima organizacija s
ponudnikom storitve sklenjeno tudi pogodbo za svetovanje v primeru zapletov. Pomembno je
tudi, da protivirusna rešitev omogoča centraliziran nadzor in poročanje o stanju delovnih postaj
na eno nadzorno mesto, kjer lahko sistemski administrator preveri, če je v poslovnem okolju
prišlo do morebitnih neželenih okužb.
Zadnja leta se v računalniških krogih pomembnost oziroma vrednost protivirusnih zaščit
zmanjšuje, kajti potencialni zlonamerni uporabnik lahko na t. i. temni strani interneta (ang. dark
web) naroči specialno okužbo, ki je izdelana prav zanj in je ne odkrije nobena protivirusna
rešitev8. Zaradi tovrstnih storitev lahko v notranja okolja organizacij vdrejo celo posamezniki,
ki za to nimajo potrebnih znanj, imajo pa dovolj denarja in željo oziroma motiv za poskus vdora
v ciljno organizacijo. Slika 2.2 prikazuje potek od odkritja potencialne varnostne
luknje/razpoke do njene prepoznave v protivirusnih rešitvah, rdeča barva na časovnici pa
predstavlja časovno obdobje, v katerem protivirusne rešitve ne ponujajo zaščite pred okužbo.
8 Na medmrežju lahko npr. odkrijemo ponudbe, ki za mesečno naročnino 200 ameriških dolarjev
ponujajo storitve izdelave škodljive programske opreme (ang. malware on demand) ali izsiljevalskih
virusov (ang. ransomware on demand), torej specifično ciljanih okužb oziroma podpore za okužbe točno
določenih poslovnih okolij.
24
Slika 2.2: Zlonamerni vdori v protivirusno zaščito organizacije
Vir: Volovich (2016)
2.8.3 Sistemi za upravljanje identitete uporabnikov
Polh (2014) poudarja, da so pri zagotavljanju varnosti in preprečevanju z njo povezanih tveganj
ključni sistemi za upravljanje identitete. Z uvedbo takega sistema organizacija »ne pridobi le
pregleda nad dostopom uporabnikov, temveč predvsem napredne možnosti izvajanja varnostne
politike in njenega nadgrajevanja ter izvajanje in nadzor procesov za zagotavljanje ustreznega
nivoja varnosti. Sistemi za upravljanje identitet omogočajo tudi sledljivost zahtev uporabnikov
in odobritev.«
Sistem za upravljanje identitet in dostopa (ang. IAM – Identity and Access Management)
omogoča nadzor uporabnikov, in sicer kdo lahko dostopa do informacijskih sredstev
(overitev/avtentikacija), katere informacije lahko uporablja ter na kakšen način (avtorizacija).
Sistem IAM ne stori ničesar za samo zaščito podatkov pred neposredno zlorabo, vendar pa ima
ključno vlogo v primeru, ko gre za razlikovanje med resničnimi osebami, zaposlenimi znotraj
organizacije oziroma zunanjimi sodelavci ter zunanjimi vsiljivci, in zagotavlja, da so
uporabniki res tisto, kar trdijo, da so. Preden se lahko poda ocena delovanja uporabnika, je treba
nedvoumno vedeti, kakšne pravice dostopa in privilegije znotraj sistem ima. Statistike kažejo,
da se 88 odstotkov notranjih incidentov zgodi zaradi previsoko dodeljenih privilegijev (Tarzey
25
in Østergaard, 2014). Sistem IAM organizaciji omogoča ukrepanje ob spreminjanju statusov
uporabnikov in odvzemu njihovih pravic. Pogost način zunanjih vsiljivcev za zagotovitev
dostopa do internih sistemov organizacije je kraja poverilnic. Ta se lahko v veliki meri omeji z
uporabo več stopenjske avtentikacije in z vklopom beleženja dogodkov v dnevniške datoteke.
2.8.4 Varnost na ravni posameznih strežnikov
Zaščita na ravni gostiteljev (ang. host-based security) se uporablja za strežnike in uporabniške
naprave ter nadzira aktivnosti na določeni virtualni ali fizični napravi. Ne glede na to, ali je
nadzor namenjen kontroli dostopanja do datotek, odkrivanju zlonamerne programske opreme
ali pa preprečuje zaganjanje določene aplikacije, so strežniki in uporabniške naprave varnejše,
če imajo implementirano zaščito na ravni gostitelja, kot pa če so brez nje. V primeru odtujitve
informacij s same naprave oziroma strežnika, pa omenjena zaščita ne zagotavlja nikakršne
zaščite pred uhajanjem podatkov. Zaščita na ravni gostiteljev ne more učinkovito zaščititi
organizacije pred grožnjami znotraj nje, ker je sama narava problema v pretoku podatkov med
napravami, ki se lahko v določenem trenutku nahajajo znotraj, že drugi trenutek pa zunaj
organizacije, kjer ni varnostnih zaščit, sicer implementiranih znotraj omrežja organizacije. Zato
je potrebna implementacija zaščit, ki naslavljajo zavarovanje podatkov, ne pa samih sistemov.
2.8.5 Nadzor prometa v omrežju in preprečevanje izgube podatkov
Nadzor prometa v omrežju pregleduje podatke, ki potujejo po mreži znotraj organizacije, in
odkriva nezaželeno programsko kodo (ang. malware) ter nenadna povečanja v količini
mrežnega prometa. Kot v besedilu že omenjene varnostne zaščite (požarni zid, protivirusna
zaščita ipd.), je tudi ta namenjena predvsem obrambi pred zunanjimi vsiljivci. Prav tako
nadzoruje informacije samo takrat, ko se pretakajo preko omrežja, ne nadzoruje pa tistih, ki se
nahajajo skrite na napravah ali na mrežnih diskovnih poljih.
Nadgradnja nadzora prometa v omrežju je dodatna vrhnja plast, ki poveže omrežni promet z
uporabniškimi računi, za kar skrbi sistem za preprečevanje izgube podatkov (DLP – Data Loss
Prevention). Nadgradnja nadzora s sistemom DLP omogoča opazovanje in zaznavanje
zlonamernega vedenja zaposlenih znotraj mrežnega prometa. Ta zaščita seveda omogoča
nadzor samo znotraj omrežja organizacije. Ko promet zapusti notranje omrežje, DLP izgubi
svojo vlogo in nadzor nad njim ni več mogoč. Zaposleni lahko tako brez ovir delijo in razširjajo
26
občutljive informacije nepooblaščenim osebam zunaj organizacije. Prav tako sistemi DLP ne
omogočajo beleženja oziroma ohranitve neprekinjene revizijske sledi za posamezne datoteke.
2.8.6 Šifriranje
Šifriranje je dober postopek za zaščito podatkov, shranjenih na disku in v pretoku preko
omrežja. Gre za postopek pretvorbe podatkov s pomočjo kriptografskega algoritma v obliko, ki
je nepooblaščene osebe ne morejo prebrati. Vendar podatki za organizacijo ne predstavljajo
nobene dodane vrednosti, če jih ni mogoče prebrati oziroma uporabljati. Zato morajo biti
podatki v določenem trenutku na voljo v celoti ali vsaj delno dešifrirani in zaposlenim dostopni
s pomočjo dešifrirnih ključev. Poznamo več oblik šifriranja, v uporabi so predvsem simetrično
oziroma asimetrično šifriranje ter računanje zgoščene vrednosti datotek (ang. hash). Simetrično
(konvencionalno) šifriranje uporablja enak ključ za šifriranje in dešifriranje podatkov, kar
predstavlja težavo pri izmenjavi šifrirnih ključev med prejemnikom in pošiljateljem. Ta
problem rešuje asimetrično šifriranje, ki uporablja sistem javnih in zasebnih ključev, pri katerih
lahko javni ključ uporabimo le za šifriranje podatkov, za njihovo dešifriranje pa je potreben
zasebni ključ, ki je tajen. Zasebni ključ ima samo prejemnik podatkov. Na asimetrični metodi
šifriranja temelji tudi varen elektronski podpis, overjen s kvalificiranim potrdilom. Računanje
zgoščene vrednosti datoteke pa omogoča preverjanje avtentičnosti podatkov, ob
nepooblaščenih posegih v podatke se namreč zgoščena vrednost datoteke spremeni. Po
dešifriranju podatkov jih lahko uporabnik na enostaven način skopira ali deli z drugimi brez
posebnih ovir.
2.8.7 Varnostne kopije
Izvajanje postopkov varnostnega kopiranja podatkov je v poslovnih okoljih ena od nujnih nalog
sistemskih administratorjev. Varnostna kopija (ang. backup) ključnih podatkov, pomembnih za
obstoj organizacije, in tudi ostalih pomembnih uporabniških ter sistemskih datotek, omogoča
povrnitev predhodnega stanja ob morebitni odpovedi strojne opreme ali okužbami ter vdori v
poslovno okolje. Brez varnostnih kopij bi bilo operativno delovanje organizacije ogroženo, v
določenih primerih bi lahko organizacijam grozil celo propad. Že v fazi načrtovanja je treba
predvideti scenarije za ponovno vzpostavitev poslovnega okolja v primeru naravnih nesreč,
odpovedi strojne opreme ali v primeru programskih napak, kar pa je brez varnostnih kopij
podatkov nemogoče.
27
Možnosti za shranjevanje varnostnih kopij podatkov so različne. Najpogosteje se uporablja
kombinacija trdih diskov in tračnih enot, kjer predstavljajo podatki, zapisani na trdem disku,
mrežno dosegljive varnostne kopije (online kopije), zapisani na tračnih enotah, shranjenih v
varnostnih požarnih omarah, pa lokalno dosegljive varnostne kopije (offline kopije) podatkov.
Tračne enote so lokacijsko popolnoma ločene od poslovnega okolja, kar preprečuje morebitne
vdore in okužbe oziroma izgubo podatkov v primeru naravnih nesreč ali kriminalnih dejanj. V
zadnjih letih se povečuje shranjevanje varnostnih kopij na oddaljene lokacije, lahko v zasebni
ali javni oblak, torej na rezervno lokacijo, ki se geografsko nahaja kjerkoli na Zemlji. V primeru
uporabe oddaljenih lokacij, tj. zasebnega ali javnega oblaka, je ključno, da so varnostne kopije
šifrirane, ker s tem organizacija onemogoči prestrezanje podatkov s strani nepooblaščenih oseb.
V letu 2015 in 2016 se je varnostno kopiranje podatkov pokazalo kot ključna naloga sistemskih
administratorjev, zlasti zaradi vse večjega števila okužb z izsiljevalskimi programi (ang.
ransomware), ki zašifrirajo vse ključne tipe datotek (npr. datoteke office in datoteke pdf) znotraj
poslovnega okolja in za njihovo povrnitev zahtevajo plačilo odkupnine. Nekatere okužbe
preiščejo celotno interno omrežje organizacije in zašifrirajo tudi mrežno dostopne varnostne
kopije podatkov, zato je pomembno imeti tudi offline arhivske kopije podatkov.
2.8.8 Administratorske pravice
Zelo pomemben mehanizem za preprečevanje vdorov je tudi omejevanje števila zaposlenih, ki
imajo administratorske privilegije na svojih delovnih postajah. V idealnih razmerah bi imeli
takšno raven pravic samo sistemski administratorji, vendar se veliko krat zahteva dodelitev
takšnih pravic tudi osebam na vodstvenih položajih. Običajno gre samo za prestiž in se vodstvo
ob tem ne zaveda, kako veliko potencialno varnostno luknjo s tem povzroči poslovnemu okolju
organizacije. Vdori v sisteme se namreč najpogosteje izvedejo ravno prek delovnih postaj
neveščih uporabnikov, ki na različne načine okužijo svoje službene računalnike. V trenutku
okužbe računalnika, v katerega je zaposleni prijavljen kot lokalni administrator, je napadalcu
omogočen dostop do vseh delov operacijskega sistema. Naslednji korak je, da vsiljivec pridobi
še podatke o domenskih računih in domenskih strežnikih ter se začne seliti po ostalih
potencialno zanimivih delovnih postajah in strežnikih na lokalni mreži organizacije.
Nad dejavnostjo uporabnikov, ki imajo administratorske pravice na svojih delovnih postajah,
je zato potreben poostren nadzor, zahtevajo se daljša uporabniška gesla in njihova pogostejša
28
menjava. V primeru kakršnega koli poskusa zlorabe ali vdora je treba zaposlenemu takoj
odvzeti dodatne pravice, ga o tem obvestiti ter mu predstaviti nadaljnje ukrepe in po potrebi
zagotoviti dodatna izobraževanja na področju računalniške varnosti.
2.8.9 Uporabniška gesla
V operacijskih sistemih je najpogostejša vrsta avtentikacije uporabnika vpis osebnega gesla.
Varna poslovna okolja zahtevajo od zaposlenih uporabo varnih in dovolj dolgih gesel, ki jih je
treba tudi redno menjavati in s tem še zmanjšati verjetnost vdora prek prijave neavtoriziranega
uporabnika. Gesla naj ne bi zapisovali na papir, če pa brez tega ne moremo, zapisi ne smejo biti
dostopni v bližini delovnih postaj. V zvezi z gesli moramo upoštevati nekaj osnovnih priporočil,
ki se nanašajo na zgodovino gesel, njihovo periodično menjavo ter starost in dolžino:
Politika zgodovine gesel določa, kako pogosto lahko uporabnik ponovno uporabi stara (že
uporabljena) gesla. Smisel politike je, da zaposleni ne uporabljajo na primer samo dveh
različnih gesel, ki jih med seboj le izmenjujejo. Za pravilno uresničevanje politike je treba
nastaviti tudi minimalno starost gesel (npr. gesla ni mogoče spremeniti prej kot v treh dneh),
sicer bi lahko zaposleni v zelo kratkem obdobju večkrat zamenjali geslo in s tem zaobšli
politiko zgodovine gesel9.
Periodična menjava gesel od zaposlenega zahteva menjavo gesel na določeno obdobje.
Smisel te politike je, da zaposleni ne uporabljajo leta in leta enaka gesla, kar predstavlja
zelo veliko varnostno tveganje. Kjer je varnost poslovnega okolja prioriteta, se uporablja
načelo 30/60/90 dni za obvezno menjavo gesla, uporaba stalnih gesel pa se odsvetuje.
Potreben je tudi razmislek, ali od zaposlenih zahtevati daljša in bolj kompleksna gesla ali
pa njihovo pogostejšo menjavo10.
Politika minimalne starosti gesel določa, kako pogosto lahko uporabnik zamenja geslo. Ta
politika deluje v povezavi z zgodovino gesel in onemogoča uporabnikom, da bi ponovno
uporabili stara gesla na prej opisani način. Priporočena nastavitev starosti gesla je sedem
9 V okolju Windows lahko npr. nastavimo, da strežnik preverja zadnjih 24 vpisanih gesel za vsakega
zaposlenega posebej in prepreči ponovno uporabo enakih gesel. 10 V okolju Windows so uporabniki ob prijavi v računalnik opozorjeni, da bo geslo poteklo in koliko dni
še imajo na voljo za zamenjavo gesla.
29
dni, vendar se lahko ta interval skrajša tudi na en dan, ker bi verjetno le malo število
uporabnikov 24 dni zapored menjavalo geslo, da bi spet lahko imelo starega. Zavedati se je
treba tudi, da ima lahko uporabnik v celoti legitimno željo po menjavi gesla, če je slučajno
prišlo do primera, ko bi lahko postalo staro geslo kompromitirano oziroma ogroženo.
Politika minimalne dolžine gesel določa najkrajšo možno dolžino gesla (npr. vsaj 8 znakov).
Poleg dolžine je treba določiti tudi zahtevnost gesel, kar pomeni določanje obvezne uporabe
številk, velikih in malih črk ter posebnih znakov. Zaporednih črk ali številk ni priporočljivo
uporabljati, ravno tako ne besed, ki jih je lahko uganiti. Zahteve pri administratorskih
računih je nujno nastaviti še strožje kot pri računih običajnih uporabnikov, v okolju
Windows je tako priporočena dolžina gesla vsaj 16 znakov, priporočena je tudi uporaba
preprostih stavkov, ki olajšajo pomnjenje gesla11.
2.8.10 Seznam varnih aplikacij
Splošen koncept uporabe seznama dovoljenih/varnih aplikacij (ang. application whitelist) je
dokaj preprost. Namesto da v poslovnem okolju poskušamo blokirati zlonamerne datoteke in
dejavnosti, raje definiramo seznam aplikacij, ki so dovoljene, poslužimo se torej obratne
paradigme, tj. kar ni eksplicitno dovoljeno, je prepovedano. Delovanje koncepta seznama
varnih aplikacij je mogoče doseči s preverjanjem ustreznosti zgoščenih vrednosti izvršnih
datotek, vsaka izvršljiva datoteka ima namreč svojo zgoščeno vrednost, ki omogoča preverjanje
pristnosti aplikacije, oziroma preverjanje morebitnih sprememb njene kode. V primeru, ko
zgoščena vrednost aplikacije ni ustrezna, se zagon aplikacije blokira in s tem onemogoči njeno
izvajanje.
Osnovni koncept delovanja je tehnološko enostaven za implementacijo, težave se lahko
pojavijo pri sprejetju seznama dovoljenih aplikacij s strani vodstva in zaposlenih, ki imajo
drugačno logiko razmišljanja kot upravljavci poslovnih okolij. Administratorji se trudijo število
dovoljenih aplikacij skrčiti na najnižjo raven, ki še omogoča uspešno poslovanje organizacije,
11 Na takšen način sestavljena gesla preprečujejo vdore s pomočjo ugibanja ali uporabe avtomatiziranih
programskih orodij, ki poizkušajo opraviti prijavo v sistem s pomočjo naključnega generiranja gesel ali
s pomočjo vnaprej sestavljenega slovarja besed/gesel. Tako npr. kot pomoč za vdore v okolja Windows
obstajajo kar pred-generirane tabele vseh kombinacij znakov za gesla krajša od 16 znakov (ang. rainbow
tables), ki omogočajo enostaven način ugibanja gesel za prijavo v sistem.
30
vodstvo in zaposleni pa želijo imeti na razpolago čim širši nabor aplikacij, za katere bi sicer
večinoma težko rekli, da imajo uporabno vrednost v poslovnem okolju. Žal vodstva organizacij
in zaposleni ne glede na vsa opozorila pogosto vidijo poslovna okolja kot podaljšek svojega
domačega okolja, kjer je varnost na drugem mestu, prioriteta pa je dostopnost raznovrstnih
orodij za »delo«.
2.8.11 Standardizirana namestitvena slika operacijskega sistema
Eden od predpogojev za uspešno implementacijo seznama varnih aplikacij je izdelava začetne
standardizirane namestitvene slike (ang. deploy image) operacijskega sistema, namenjenega
delovnim postajam. Za to je potreben konsenz o naboru potrebnih aplikacij za standardno
delovno mesto v organizaciji. Na seznam se običajno vključijo dodatni spletni brskalniki,
prikazovalniki datotek PDF, urejevalniki slik in pisarniški paket Microsoft Office. Potrebna je
tudi pred-konfiguracija nastavitev operacijskega sistema, kot so vklop oddaljenega dostopa
(ang. remote desktop) za potrebe upravljanja delovne postaje, nastavitev funkcij varčevanja z
elektriko in vpis ključa KMS za domensko aktivacijo operacijskega sistema Windows.
Pri izdelavi začetne namestitvene slike se je treba odločiti, ali bo namestitev majhna (ang. thin
image) ali pa bomo že v začetni postavitvi vključili vse potrebne dodatne programe. Glavni
pomisleki se nanašajo na število delovnih postaj in fizičnih lokacij. Če ima organizacija več
dislociranih enot in so le-te med seboj povezane prek spleta, se lahko med nameščanjem večjega
števila operacijskih sistemov na delovne postaje hitro pojavijo težave s pasovno širino.
Začetna namestitvena slika preprečuje, da bi prihajalo do različnih konfiguracij operacijskih
sistemov. Do razlik v konfiguracijah lahko sicer prihaja zaradi človeške napake. Vedno namreč
obstaja bojazen, da bi sistemski administrator izpustil kakšen pomemben korak med in po
namestitvi, kar pa se ne more zgoditi pri nameščanju iz standardizirane začetne slike, kjer so
vse konfiguracije in dodatni programi že vključeni.
2.8.12 Varnostna zaščita pred uhajanjem informacij
Vse varnostne zaščite, opisane v prejšnjih razdelkih, je treba nadgraditi še z zaščito podatkov
oziroma dokumentov samih. Omogoča jo uvedba sistema za upravljanja pravic dostopa do
podatkov (IRM – Information Right Management). Tehnologijo sestavljajo osrednji strežnik,
31
ki mora biti dostopen tudi z mest zunaj organizacije, ter odjemalci, ki se namestijo na
uporabniške naprave in omogočajo povezovanje na osrednji strežnik. Seveda pa mora imeti
organizacija sprejete varnostne politike, s katerimi opredeli vrste službenih dokumentov glede
na njihovo dostopnost (npr. interno, zaupno, strogo zaupno ipd.). Naslednji korak je določitev,
kateri oddelki oziroma skupine zaposlenih imajo dostop do določene vrste dokumentov. Na
najnižji ravni lahko organizacija določi pravice za vsakega posameznega zaposlenega, in sicer
ali lahko dokument bere, ureja, natisne oziroma izbriše (Slika 2.3).
Slika 2.3: Življenjski krog upravljanja informacijskih pravic
Vir: Huff in MacMillan (2009)
Ko ima organizacija natančno določene vse politike in pravice dostopa, se jih na same
dokumente implementira s pomočjo tehnologije upravljanja digitalnih pravic (DRM). To je
nekakšen vrhnji sloj, ki se ob poskusu odprtja/zagona datoteke poveže z osrednjim strežnikom
organizacije in preveri, ali ima uporabnik, ki je prijavljen v računalnik in na katerem poskuša
odpreti dokument, dejansko to pravico. Glede na povratne informacije lahko program
onemogoči dostop do določenih funkcionalnosti, npr. tiskanja ali pisanja oziroma spreminjanja
32
dokumenta, ali pa v primeru preklica uporabniškega računa celotno datoteko izbriše s
pomnilniškega medija. S tem ima organizacija popoln nadzor nad prehajanjem službenih
dokumentov izven notranjega omrežja v mobilne naprave in oblačne storitve. V trenutku, ko se
zazna zloraba ali pokaže sum, da določen zaposleni krši interno politiko uhajanja informacij,
se mu lahko odvzamejo pravice za dostop do dokumentov. Žal statistike kažejo, da ima samo
okoli 40 odstotkov organizacij implementirano tehnologijo za upravljanja digitalnih pravic
(Tarzey in Østergaard, 2014). Razlog je po mnenju avtorja v tem, da se je velik del organizacij
v prvi vrsti usmeril na preprečevanje zunanjih vdorov, niso pa računale na možnost zlorabe
znotraj same organizacije.
2.8.13 Politike za dostop in uporabo podatkov
Vsaka organizacija bi morala imeti jasne smernice oziroma politike, ki narekujejo dopustno
uporabo in hranjenje službenih dokumentov, ter o tem redno seznanjati svoje zaposlene. Seveda
pa je nemogoče pričakovati, da bi si celoten kolektiv zapomnil vse podrobnosti teh politik, zato
je treba implementirati tudi tehnologije, ki preprečujejo nedopustno rabo službenih dokumentov
oziroma informacij. Raziskave kažejo, da ima samo slaba polovica organizacij implementirane
interne varnostne politike. Že ta podatek je skrb vzbujajoč, ampak imeti implementirano
politiko je samo polovica naloge, potrebne so tudi kontrole, ki nadzorujejo potencialne zlorabe
podatkov zaposlenih pri delu z dokumenti.
2.8.14 Izobraževanje zaposlenih o informacijski varnosti
Raziskava, ki jo je v letu 2015 podjetje S & T Slovenija opravilo med udeleženci strokovnega
srečanja o informacijski varnosti, je pokazala, da sicer podjetja informacijsko varnost uvrščajo
med svoje strateške cilje in se zavedajo pomena vlaganj v napredne tehnologije za zaščito
podatkov in informacijskih sistemov, določena imajo tudi osnovna varnostna pravila, vendar
pa jih le redke med njimi tudi dejansko uresničujejo (Uprave in vodstva, odobrite proračun za
IT-varnost in zavarujte poslovanje, 2015). Kot najšibkejši člen informacijske varnosti so
udeleženci raziskave izpostavili zaposlene, ki zaradi nezadostnega izobraževanja niso dovolj
seznanjeni z zahtevami in pravili informacijske varnosti ter ne poznajo načinov prepoznavanja
varnostnih groženj in zaščite pred njimi.
33
Izobraževanje zaposlenih na področju informacijske varnosti mora biti proces, ki se
neprekinjeno izvaja skozi celotno delovno obdobje vsakega zaposlenega in predstavlja nujen
del poslovne kulture. Seveda izobraževanje ne bo preprečilo vseh možnih napadov oziroma
vdorov, bo pa zmanjšalo število najbolj očitnih in pogostih. Nekateri zaposleni z zli nameni pa
bodo izobraževanja lahko celo izkoristili za zaobitje varnostnih kontrol, ki naj bi preprečevale
odtekanje informacij izven organizacije. Statistike kažejo, da manj kot polovica organizacij
izvaja izobraževanja o varni uporabi informacijskih tehnologij znotraj organizacije (Tarzey in
Østergaard, 2014). Seveda pa tudi dvig ravni izobraževanja ne odpravi potrebe po uporabi
tehnologij za zaščito informacijskih sistemov.
3 INFORMACIJSKA VARNOST IN KNJIŽNICE
3.1 Od tradicionalne do digitalne knjižnice in nova varnostna tveganja
Newby (2002) je še pred petnajstimi leti ugotavljal, da je literature o vprašanjih informacijske
varnosti v knjižnicah zelo malo in bi zato lahko sklepali, da knjižnični sektor upravljanju
informacijske varnosti ne posveča dovolj pozornosti. Ugotovitev se mu je zdela presenetljiva,
kajti informacije so središče dejavnosti knjižnic. V zadnjem desetletju je število prispevkov
naraslo in tudi v poslovanju knjižnic zasledimo vedno večji poudarek tehničnim in
organizacijskim vidikom zagotavljanja informacijske varnosti. Najdemo lahko tudi več
priročnikov z navodili za vzpostavitev sistema celovitega upravljanja varnosti v knjižnicah
(npr. Library Security Guidelines Document, 2010; Graham, 2012; OCLC, 2015b).
Da smo v elektronskem okolju vsi, tudi knjižnice, lahka tarča tistih, ki si želijo na nedovoljen
način prisvojiti informacije, opozarja Carver (2014). Vedeti moramo, da o stoodstotni varnosti
ali zaščiti računalniške tehnologije ne moremo govoriti, s pravimi ukrepi le zmanjšujemo
tveganja. Knjižnice so postale tarče zaradi informacij, ki se nahajajo znotraj njihovih
informacijskih sistemov, javno dostopnih računalniških postaj, elektronskih katalogov, baz
podatkov itd.. Najšibkejši člen informacijske verige so ljudje, zaradi neznanja, nepoučenosti,
nepazljivosti, pomanjkanja motivacije ali zgolj zaradi lenobnosti. Zato je pomembno, da se
celotno knjižnično osebje pri svojem vsakdanjem delu zaveda pomena varnosti. Ni dovolj le
34
udeležba na izobraževanjih, vsak se mora tudi zavedati posledic varnostno neodgovornega
ravnanja.
O različnih vidikih varnosti v knjižničnem okolju razmišlja Cruz (2013). Opozarja, da nista
pomembni le varnost knjižničnega gradiva in uporabe interneta, ampak tudi uporabnikov in
zaposlenih. Knjižnice morajo imeti ustrezne dokumente z opredeljenimi postopki ravnanja za
primere varnostnih incidentov in nanje pripravljene zaposlene. O nevarnostih, ki so jim
izpostavljene informacije v elektronski obliki, in ukrepih za njihovo varovanje, pišeta Trapskin
(2008) in Hadow (2009), Yi (2011) pa opozarja, da raziskave o varnosti kažejo, da se večina
knjižnic osredotoča na vprašanja fizične varnosti, tehnološkemu in organizacijskemu vidiku pa
ne posveča zadostne pozornosti.
Pojav digitalnih tehnologij je omogočil izgradnjo digitalnih knjižnic, ki so uporabnikom
olajšale dostop do informacijskih virov in njihovo uporabo. Digitalne knjižnice se v poslanstvu
in funkcijah ne razlikujejo od t. i. tradicionalnih knjižnic, razlikujejo pa se v obliki in načinu
hranjenja informacij (digitalni zapisi hranjeni na računalniških napravah) ter zagotavljanju
njihove dostopnosti (računalniški sistemi in omrežja). Digitalna gradiva za hranjenje in uporabo
ne zahtevajo obsežnih fizičnih prostorov, dostopna so lahko v katerem koli času in od koder
koli, do njih lahko hkrati dostopa veliko število uporabnikov, zagotavljajo prijazne uporabniške
vmesnike in orodja za odkrivanje informacij. Informacijski viri in informacije so z digitalnimi
knjižnicami postali dostopni na preprost in hiter način prek interneta, ob njihovem hranjenju ter
zagotavljanju dostopa pa se knjižnice srečujejo z varnostnimi tveganji, ki v primeru ponudbe
klasičnega knjižničnega gradiva in storitev niso prisotna.
Zhengbiao in drugi (2016) ugotavljajo, da so bile tradicionalne raziskave o informacijski
varnosti knjižnic zasnovane na preučevanju varnosti informacij, zapisanih na papirju, in na
preučevanju tehničnih vidikov varnosti informacijskih sistemov. Danes pozornost ni namenjena
le tehnologiji, ampak v enaki meri upravljavskemu vidiku zagotavljanja informacijske varnosti.
V primerjavi s tradicionalnimi so namreč digitalne knjižnice izpostavljene veliko večjim
varnostnim tveganjem, saj njihovo delovanje temelji na računalniški, omrežni, komunikacijski
in drugih vrstah visoko razvitih tehnologij. Tudi v primeru preučevanja informacijske varnosti
digitalnih knjižnic je bil sprva poudarek na tehničnem vidiku. V model, ki so ga navedeni avtorji
razvili za ocenjevanje informacijske varnosti digitalnih knjižnic, so vključili nabor potencialnih
groženj ter ranljivosti, ki se nanašajo tako na tehnični kot upravljavski vidik digitalnih knjižnic.
35
Študija primera izbrane digitalne knjižnice ene od najboljših kitajskih splošnih knjižnic je
pokazala, da načrt upravljanja informacijske varnosti ni bil sprejet, sistematičen nadzor
informacijskega sistema, programske opreme, omrežja, baz podatkov in drugih pomembnih
informacijskih dobrin je nezadovoljiv ali ne obstaja, pravice dostopa in uporabe podatkov so
slabo opredeljene, varnostne kopije niso pravilno hranjene, tako strežniki kot druga
računalniška tehnologija so zaradi nepravočasnih posodabljanj varnostno ranljivi, zelo
pomanjkljivo je tudi upravljanje gesel in osebne avtentikacije.
Do podobnih zaključkov prihaja tudi Hao (2015) v primeru kitajskih univerzitetnih knjižnic. Po
mnenju avtorja varnosti svojih digitalnih knjižnic ne posvečajo ustrezne pozornosti. V
informacijsko varnostno tehnologijo ne vlagajo dovolj sredstev (uporabljajo le protivirusno
zaščito za zaščito informacijskega sistema), informacijska ozaveščenost je nizka, na
informacijske grožnje digitalnega okolja niso pripravljene v zadostni meri. Avtor v prispevku
zato posebej izpostavi temeljne dejavnike, ki vplivajo na stopnjo informacijske varnosti
knjižnic v elektronskem okolju:
Računalniška strojna in programska oprema: zagotovljeni morajo biti varnost prostorov,
kjer je nameščena oprema, in sicer pred grožnjami kot so: ogenj, voda, prah, kraja, uničenje,
napajanje, temperatura, vlaga, osvetlitev, čiščenje itd., ter njeno redno vzdrževanje,
nadgrajevanje in obnavljanje. Potrebna je tudi ustrezna varnostna zaščita programske
opreme.
Računalniško omrežje: z razvojem računalniških omrežij so tudi knjižnice varnostno
ogrožene zaradi virusov, hekerskih vdorov, vdorov v sisteme gesel, kraj osebnih podatkov
in informacij iz baz podatkov ter napadov na celotne računalniške sisteme. Zaradi
zagotavljanja javnega dostopa do omrežij ter strojne in programske opreme so knjižnice
lahka tarča hekerjev. Zato mora biti zagotovljena ustrezna varnostna zaščita omrežij.
Upravljavski vidik informacijske varnosti: poleg sprejetih varnostnih politik mora biti
zagotovljeno ustrezno usposobljeno osebje, ki skrbi za informacijski sistem in
informacijsko varnost, ter prisotna sistematična skrb za izobraževanje zaposlenih na
področju informacijske varnosti.
36
3.2 Tveganja in zagotavljanje informacijske varnosti knjižnic
3.2.1 Knjižnični prostori in gradivo
Javne knjižnice so organizacije, ki naj bi bile uporabnikom fizično dostopne s čim manj
omejitvami, in dnevno beležijo tudi nekaj sto ali celo prek tisoč obiskovalcev. Ob izpolnjevanju
svojega poslanstva kot ene od najbolj demokratičnih mest za neoviran dostop prebivalstva do
informacij, morajo obiskovalcem zagotavljati najprej varnost v okolici zgradbe in vhoda v
zgradbo (osvetljenost, varne dostopne površine) in varnost prostorov ter opreme v knjižnici
sami (varna tla, stopnice, dvigala, osvetlitev, pohištvo itd.). Pomembni so tudi varni izhodi v
primeru nesreč, Omosekejimi Ademola in drugi (2015) omenjajo še jasne usmerjevalne in
druge oznake, ki pa obiskovalca naj ne usmerjajo k varnostno občutljivim prostorom.
Zagotavljati morajo tudi osebno varnost obiskovalcev in zaposlenih, torej ustrezen nadzor nad
osebami, ki vstopajo v zgradbo ali so prisotne v prostorih ter uporabljajo čitalniška mesta,
naprave, knjižnično gradivo in storitve zaposlenih. Poleg varnostne službe pri tem knjižnice
uporabljajo tudi različne elektronske naprave za kontrolo dostopa v zgradbo in v posamezne
prostore, tehnologijo za zaščito gradiva pred krajo, videonadzor, elektronske varnostne sisteme,
senzorske sisteme za beleženje okoljskih pogojev ipd.
Knjižnično gradivo obsega zapise informacij na klasičnih nosilcih zapisa (npr. pergamentu,
papirju, mikrofilmu) in elektronskih nosilcih (avdio in video kasete, CD-ji, DVD-ji ipd.).
Klasično gradivo hranijo v skladiščnih prostorih, elektronsko pa v računalniških (digitalnih)
skladiščih podatkov. Kahn (2008) opozarja, da predstavljajo nakup in skladiščenje ter fizično
varovanje in zagotavljanje pogojev za ohranjanje knjižničnega gradiva ne glede na njegovo
obliko, velik strošek. Opredelitev tveganj in zagotavljanje informacijske varnosti gradiva sta
zato eni od najpomembnejših nalog in izzivov za knjižnice, še posebej tiste, ki opravljajo tudi
arhivsko vlogo oziroma hranijo nacionalne zbirke ter redko in dragoceno gradivo. Varnost
gradiva se ne zagotavlja le z zagotavljanjem pogojev za njegovo varno fizično hranjenje, ampak
tudi za varno uporabo, tj. z registracijo uporabnikov, nadzorom uporabe ter varovanjem pred
morebitno izgubo (odtujitvijo) gradiva.
Za kontrolo dostopa, zaščito gradiva pred krajo, opravljanje inventurnih pregledov knjižnične
zbirke in izposojo ter vračanje gradiva knjižnice najpogosteje uporabljajo tehnologijo
37
radiofrekvenčne identifikacije – RFID12, ki temelji na uporabi majhnih, običajno očesu
nevidnih čipov, ki služijo hrambi podatkov, omogočajo identifikacijo objektov in jih je mogoče
»brati« z razdalje. Poleg prednosti ima tovrstna tehnologija tudi slabosti, saj obstaja možnost
nepooblaščenega dostopa do osebnih podatkov, pa tudi sledenju dejavnostim posameznikov ter
ustvarjanje »profila« posameznika. Zagovorniki tehnologije sicer poudarjajo njeno tehnično
zanesljivost in varnost, kljub temu naj bi se knjižnice zavedale varnostno-informacijskih
tveganj in možnih groženj varovanju zasebnosti uporabnikov. Čip RFID, vključen v nalepko
ali kako drugače prisoten na gradivu oziroma vključen v knjižnično elektronsko kartico, kot
oddajnik signala namreč naj ne bi zagotavljal šifriranja podatkov, še zlasti v primeru uporabe
cenejše tehnologije. Poleg možnosti fizičnega uničenja čipa RFID in nepooblaščenega
prestrezanja signala obstaja nevarnost izgube ali odtujitve elektronske izkaznice. V primeru
knjižnic je z vidika varovanja zasebnosti uporabnikov še posebej pomembno, da uporaba
tehnologije RFID ne omogoča povezovanja med njihovimi osebnimi podatki in podatki o
uporabljenem gradivu ter spremljanja njihovega gibanja v knjižničnih prostorih, za uporabo
elektronskih informacijskih virov in storitev pa morajo imeti tudi druge načine identifikacije in
avtorizacije.
3.2.2 Knjižnični katalogi in drugi elektronski informacijski viri
Knjižnice za dostop do podatkov o informacijskih virih že dolgo ne uporabljajo več klasičnih
kartičnih katalogov, ampak elektronske. Če so bili vanje vključeni bibliografski podatki o
gradivu sprva dostopni le prek terminalov v prostorih knjižnic, so danes dostopni prek spleta.
Spletni javno dostopni katalogi (OPAC) so centralizirani sistemi, ki vključujejo podatke o
gradivu in njegovi izposoji ter uporabi drugih storitev avtomatiziranega knjižničnega sistema,
v sistem pa je običajno prek interneta vključenih veliko število knjižnic ter njihovih
uporabnikov. Med najbolj občutljivimi podatki, ki jih zbirajo knjižnice, so ravno podatki o
izposoji gradiva, saj so povezani s podatki za identifikacijo posameznika, ki si želi gradivo
izposoditi. Zato mora biti zagotovljeno online preverjanje identitete (avtentikacija)
uporabnikov, npr. z uporabo gesel ter njihovim centraliziranim upravljanjem prek protokola
LDAP. Preiskovanje zapisov o gradivu, rezervacije in njegova izposoja potekajo prek spletnih
12 Za izposojo in vračanje gradiva ter revizijo knjižničnih zbirk je v uporabi tudi elektromagnetna
tehnologija, ki objekte identificira prek oznak s paličnimi kodami.
38
vmesnikov, prek interneta pa so možni poskusi vdora v sistem, zloraba podatkov ali njihovo
uničenje.
Knjižnice poleg katalogov s podatki o knjižničnem gradivu uporabnikom zagotavljajo tudi
številne druge informacijske vire, npr. drage licenčno zaščitene baze podatkov ter servise z
elektronskimi članki in knjigami v celotnem besedilu. Pri dostopanju do njih in pri njihovem
preiskovanju uporabniki niso več odvisni od usposobljenega knjižničnega osebja, ki je nekoč
zanje opravljalo informacijske poizvedbe. Hitro razvijajoča se in vedno bolj napredna iskalna
orodja jim omogočajo samostojno in enostavno iskanje ter uporabo virov. Ob tem morajo
knjižnice zagotavljati pooblaščeno uporabo posameznih informacijskih virov, skladno z
licenčnimi pogodbami z njihovimi ponudniki in avtorsko pravno zakonodajo države. Batič in
Šoštarič (2013) izpostavljata, da gre pri varnosti za dve ravni, tj. za uporabnikovo in za
upravljavčevo. Uporabnik mora dobiti zagotovilo, da njegov pretok podatkov ne bo prestrežen
oziroma se mu ne prisluškuje (kriptografska zaščita prometa), hkrati se mu ne sme onemogočati
uporaba dodatnih varnostnih mehanizmov (npr. IPSec, VPN …). Upravljavcu omrežja pa
morajo biti na voljo mehanizmi za preprečevanje neavtorizirane uporabe ne glede na stopnjo
fizičnega varovanja. Zagotovljeno mora biti beleženje dogodkov in s tem omogočeno sledenje
morebitnim zlorabam.
In če so, kot navaja Kraft (2007, str. 10), v zgodnjih devetdesetih letih prejšnjega stoletja
knjižnice še morale dodeljevati uporabniška imena in gesla za iskanje po vsaki posamezni bazi
podatkov ter skrbeti za njihova stalna posodabljanja, dostop do virov pa z mest izven knjižnice
ni bil mogoč, so s pojavom posredniških (ang. proxy) strežnikov lahko na enostavnejši način
rešila vprašanje avtorizacije in avtentikacije ter zagotovila dostop do informacijskih virov prek
oddaljenega dostopa. Danes vse več ponudnikov informacijskih virov omogoča avtentikacijo
in avtorizacijo prek infrastrukture AAI, kar omogoča poenostavljen način upravljanja
oddaljenega dostopa in večjo varnost informacijskih virov.
3.2.3 Podatki o uporabnikih knjižnic in o njihovih dejavnostih
Knjižnice morajo zagotavljati varnost osebnih podatkov o uporabnikih in podatkov o njihovih
dejavnostih v knjižnici. Poleg osebnih podatkov o uporabnikih, ki se včlanijo, posedujejo tudi
podatke o njihovi uporabi knjižničnih storitev in informacijskih virov (npr. podatki o izposoji
knjižničnega gradiva, rezervacijah in podaljševanju izposoje, uporabi elektronskih virov,
39
morebitnih neporavnanih obveznostih do knjižnice ipd.). Zagotavljati morajo varnost
omenjenih podatkov ter njihovo zaščito pred uničenjem ali nepooblaščeno uporabo.
Klinefelter (2007) ter Nichols Hess in drugi (2015) izpostavljajo pravne in etične dileme
varovanja zasebnosti in zaupnosti podatkov o uporabnikih, ki se ob široki uporabi sodobne
informacijske tehnologije in interneta množijo. Da ima lahko uporaba sodobne tehnologije
negativen vpliv na raven varovanja zasebnosti uporabnikov knjižnic, opozarjata tudi Carter
(2002) in Gressel (2014). Spletni iskalniki ohranjajo podatke o zgodovini dejavnosti
uporabnikov na obiskanih spletnih straneh. Knjižnice so pri tem v dilemi, ali podatke ohranjati
zaradi morebitnih raziskovalnih analiz, s katerimi bodo pridobile podatke o iskalni izkušnji
uporabnikov, koristne za nadaljnji razvoj storitev, ali pa bodo sistematično ozaveščale
uporabnike, da jih izbrišejo, ko prenehajo uporabljati sistem, še zlasti, če se morajo za njihovo
uporabo na kakršen koli način identificirati (Newby, 2002).
Dixon (2008) opozarja, da se knjižnice premalo zavedajo dejstva, da je lahko tudi sistem
preverjanja identitete (avtentikacija) in upravljanja dostopa do omrežja (avtorizacija), ki se
uporablja za dostop do večine elektronskih knjižničnih storitev, predmet zlorab. V obeh
primerih gre za obdelavo podatkov, ki omogočajo ugotovitev identitete uporabnika in njegovih
dejavnosti. Uporabnik knjižnice se mora za dostop do različnih storitev, baz podatkov in
omrežij identificirati celo na različne načine, tj. z uporabo uporabniškega imena in gesla,
digitalno identiteto, identifikacijsko številko, piškotki, naslov IP ipd., v nekaterih državah je
dovoljena tudi biometrija. V primeru plačljivih baz podatkov in servisov njihovi ponudniki
zahtevajo zbiranje podatkov o uporabniških dejavnostih, ki naj bi bili nujni zaradi razvoja t. i.
individualnemu uporabniku prilagojenih storitev. Uporaba različnih orodij za analizo uporabe
spletnih strani in zbiranje statistik lahko ob neprimerni uporabi ogrozi varnost podatkov o
uporabnikih. Avtor zato poudari pomen spoštovanja zakonskih predpisov s področja varovanja
osebnih podatkov, knjižnice morajo imeti tudi politike varovanja zaupnosti podatkov o uporabi
knjižničnih storitev, npr. o izposoji gradiva in iskanih informacijah. Njihova etična dolžnost je,
da so uporabniki seznanjeni z uporabo in hranjenjem osebnih podatkov in podatkov o uporabi
knjižnice, in da pri načrtovanju sistemov avtentikacije skrbno preučijo ne le informacijsko
varnostne vidike, ampak tudi njihove etične vidike.
40
Ena od metod za prepoznavo posameznika je biometrija13. V svetu najdemo primere, ko jo
uporabljajo tudi knjižnice. Biometrične sisteme je možno uporabiti pri kontroli vstopa v
knjižnične prostore, izposoji gradiva, beleženju uporabe posameznih servisov in avtentikaciji
dostopa do elektronskih informacijskih virov, v primeru zaposlenih pa za njihovo
prepoznavanje ob vstopu v prostore in beleženje njihove delovne prisotnosti. Razmišljanja o
možnostih uvedbe biometrične tehnologije so zato prisotna tudi v knjižničnem sektorju. Po tem,
ko je ameriška Splošna knjižnica Naperville v Illinois-u leta 2005 po številnih razpravah uvedla
biometrično metodo preverjanja prstnih odtisov za potrditev identitete članov knjižnice
(ugotavljali so namreč, da je zlorab knjižnične kartice in gesel vedno več), so se v strokovni
javnosti pojavila mnoga nasprotujoča si mnenja o tem. Med vnetimi zagovorniki uvajanja
biometrije v knjižnice so indijski avtorji. Tako Ramesh (2012) izpostavlja prednosti tovrstne
prepoznave posameznika, ki lahko pri uporabi za avtentikacijo zagotovi visoko stopnjo varnosti
knjižnic in njihovih informacijskih sistemov. Tudi Rathinasabapath in drugi (2008) menijo, da
je dolžnost knjižnic, da zagotovijo varnost tako v fizičnem (kontrola dostopa v prostore) kot
elektronskem okolju (kontrola dostopa do računalniške opreme in omrežja), pri čemer lahko
izrabijo prednosti biometrije. Izpostavljajo pa tudi slabosti biometrije z vidika varnosti
informacij in možnih zlorab osebnih podatkov. V slovenskem prostoru knjižnice biometričnih
metod ne uporabljajo.
3.2.4 Javno dostopne računalniške delovne postaje knjižnice
Knjižnice morajo zagotavljati tudi varnost javno dostopnih računalniških postaj. Slednje
večinoma niso namenjene le za dostopanje do spletnih knjižničnih katalogov, omogočajo tudi
uporabo interneta, spletnih iskalnikov in različne programske opreme. Tveganja obstajajo na
več področjih in terjajo ustrezne politike ravnanja, ki morajo določiti, v kakšne namene se lahko
uporabljajo javno dostopne računalniške postaje, katerim področjem uporabe dati prednost
oziroma za katere namene dovoliti uporabo, katere podatke o uporabnikih računalnikov zbirati
ipd. Tveganja se nanašajo na nepooblaščeno uporabo računalnikov znotraj knjižnice, fizična
13 Biometrija je eden od načinov prepoznavanja oziroma preverjanja identitete. Ostali načini so znani že
daljši čas, temeljijo na »tistem, kar oseba ima« (npr. magnetna kartica), ali na »tistem, kar oseba ve«
(npr. osebno geslo ali koda PIN), biometrija pa sodi v tretjo skupino, ki temelji na »tistem, kar oseba
je«, torej samo na njej lastni telesni oziroma vedenjski značilnosti. Takšen način preverjanja ima
prednost pred klasičnimi načini, pri katerih se lahko npr. magnetne kartice izgubijo, jih kdo ukrade,
posodi drugemu, osebna gesla se pozabijo ali razkrijejo, biometrične značilnosti pa ostanejo praviloma
trajne, zelo majhna je možnost njihove izgube, težko jih je reproducirati ali prenesti na drugo osebo.
41
tveganja (kraja ali poškodovanje opreme) in tveganja pred nepooblaščenimi vstopi v
računalniško omrežje knjižnice prek interneta. Politike se nanašajo tudi na zagotavljanje enakih
možnosti dostopa do informacij – katere storitve in oprema bodo na voljo posameznim
skupinam uporabnikom in v katerih primerih uvajati omejitve. Poleg tega morajo knjižnice
preprečevati uporabo računalniških postaj za nedovoljena ravnanja, da npr. ne bo javno na voljo
programska oprema, ki to omogoča, onemogočiti morajo spreminjanje nastavitev, zagotavljati
posodabljanje programske opreme ipd.
Ellern in drugi (2015) se sprašujejo o nujnosti avtentikacije uporabnikov javnih računalnikov v
knjižnicah, ki na eni strani pomeni oviro prostemu dostopu do informacij, na drugi strani pa
omogoča višjo stopnjo informacijske varnosti. Po ameriški tragediji 9/11 je zlasti ameriška
zakonodaja povečala pritisk na knjižnice, ki so prej omogočale prosto uporabo javnosti
namenjenih računalniških postaj, ravno tako so prosto uporabo vedno bolj omejevale
restriktivne licenčne pogodbe z dobavitelji informacijskih virov ter programske opreme.
Zahteva, da se uporabnik prijavi na delovni postaji, je povezana s tveganjem, da bo nekdo zunaj
nadzora knjižnice lahko dostopal do podatkov o informacijah, ki jih je iskal, in o njegovem
informacijskem vedenju, poleg tega pomeni oviro prostemu in neoviranemu dostopu do
informacij. Raziskava, ki so jo avtorji opravili med visokošolskimi knjižnicami v Severni
Karolini (ZDA), je pokazala, da je na javnih računalnikih v 66 odstotkih knjižnic potrebna
avtentikacija, a le v četrtini primerov so se knjižnice zanjo odločile same. Več kot polovica
knjižnic ni dobro vedela, kateri podatki se pri tem zbirajo in kako dolgo se hranijo. Avtorji
raziskave menijo, da se mnoge knjižnice ne zavedajo potencialnih varnostnih groženj, ki jih
lahko ob pomanjkljivi varnostni politiki predstavljajo sistemi avtentikacije.
3.2.5 Internet
Po podatkih organizacije Internet Systems Consortium je bilo v internet januarja 2016
vključenih 1.048.788.623 mrežno dostopnih naprav z naslovi IP14. Ker gre za omrežje omrežij,
v katerega na različne načine dostopajo vsi posamezni vključeni računalniki, lahko organizacije
in posamezniki dostopajo kadar koli do katere koli točke interneta ne glede na državne ali
geografske meje. Hkrati z enostavnostjo dostopa do informacij, ki jo omogoča internet, se
pojavljajo tudi številna tveganja, da bodo dragocene informacije izgubljene, ukradene,
14 Glej več: http://ftp.isc.org/www/survey/reports/current/
42
spremenjene ali zlorabljene. Elektronsko zapisane informacije, dostopne prek računalnikov v
omrežju, so zato bolj ranljive kot zapisane na klasičnih nosilcih zapisa in varno fizično
shranjene na določeni lokaciji. V neustrezno zavarovanem omrežju lahko zlonamerne osebe
dobijo dostop do informacij na dokaj preprost način. Nihče, ki je vključen v internet, zato ni
varen pred možnostjo nepooblaščenega dostopa do informacij na njegovi računalniški postaji
ali v omrežju organizacije.
Povezava knjižnice v internet pomeni tudi, da je internet povezan s knjižnico. Orodja, ki
zmanjšujejo tveganja, da bi potencialni vsiljivci lahko kradli, spreminjali ali brisali informacije,
so požarni zidovi. Na prvi stopnji varujejo sistem pred nepooblaščeno uporabo, na drugi stopnji
pa ločene konfiguracije lahko ščitijo posamezne občutljive sisteme znotraj knjižnice. V
dnevniških datotekah protokola (ang. log file) je treba zbirati podatke s požarnega zidu in
usmerjevalnikov (ang. routers) ter jih nenehno preverjati, konfigurirati avtomatska sporočila o
poskusih vdorov, fizično ali logično ločiti naprave, ki so dostopne prek interneta od ostalih, ter
uporabljati šifriranje (enkripcijo) pri prijavah ali elektronski pošti. Newby (2002) opozarja, da
so knjižnice priključene na internet, vendar pa nimajo vse osebja, usposobljenega za
zagotavljanje varnosti računalniškega omrežja pred nepooblaščenimi vdori ali napadi oziroma
za izvajanje ustreznih ukrepov, če do tega pride. Čeprav je na voljo vedno več orodij za zaščito
in odkrivanje tovrstnih poskusov, pa še tako napreden avtomatizirani sistem potrebuje tudi
osebje, ki zna prepoznati nedovoljena ravnanja in primerno ukrepati, če do njih pride.
3.2.6 Mobilne naprave in lokalna brezžična omrežja
Zahteva uporabnikov po dostopnosti informacijskih virov in storitev knjižnic prek mobilnih
(prenosnih) naprav, in sicer tako v knjižničnih prostorih kot na daljavo, od koder koli in ob
katerem koli času, je v družbi mobilnosti postala samoumevna. Ravno tako potrebe delovnih
procesov, v katerih se delovne naloge opravljajo tudi prek mobilnih naprav in zunaj delovnega
časa ter prostorov knjižnic. Bernik in Prislan (2012) opozarjata, da je uporaba mobilnih
brezžičnih komunikacijskih naprav porušila mejo med komunikacijo v informacijskem sistemu
organizacije in zunanjim svetom, tj. med notranjim informacijskim sistemom in zunanjim
svetom. Dostop do pomembnih podatkov je postal preprost, z vidika informacijske varnosti pa
premalo zavarovan in odpira mnoga varnostna vprašanja, povezana z dostopom do
informacijskega sistema. Markelj (2014, str. 19) navaja, da je mobilna naprava nenehno
izpostavljena različnim grožnjam, najbolj takrat, ko vzpostavi povezavo z javnim omrežjem in
43
lahko nekdo prestreže podatke ali se prek javno dostopne točke poveže z mobilno napravo in
ima prek nje neoviran dostop do informacijskega sistema organizacije. Informacijska varnost
organizacij je lahko ogrožena zaradi groženj, kot so vdori v informacijski sistem, prestrezanje
podatkov, uporaba škodljivih programskih kod ali programov za vohunjenje in nadzor, socialni
inženiring ipd. Organizacije morajo zato imeti dobro varnostno politiko, vključno s
standardiziranimi navodili za varno uporabo mobilnih naprav ter izobraževanjem in
ozaveščanjem njihovih uporabnikov. Skrbeti morajo za mrežni nadzor prometa, varne
protokole za prenos podatkov, požarne zidove, šifriranje podatkov, varen sistem gesel ter
avtentikacije in avtorizacije, nadzor nad mobilnim dostopom do informacijskega sistema itd.
Pozornost je treba nameniti tudi uporabi prenosnih pomnilniških naprav, npr. ključkov USB,
prek katerih se lahko s pomočjo škodljive kode okužijo lokalne računalniške delovne postaje
ali opravijo ciljani napadi ter kraje podatkov. Da se organizacije premalo zavedajo varnostne
grožnje, ki jo predstavljajo ključki USB, priča preizkus, ki so ga opravili v podjetju Safe Mode
v sodelovanju s Fakulteto za varnostne vede Univerze v Mariboru (Primc, 2015). 25 podjetjem
so poslali dopis s priloženim ključkom USB, ki naj bi ga najditelj našel pred vhodom v
organizacijo in ga pošilja zato, ker meni, da so na ključku morebiti pomembni podatki za
organizacijo. Kar 92 odstotkov prejemnikov je poslani ključek uporabilo, ne da bi pomislili na
morebitno varnostno tveganje.
Tehnologija lokalnih brezžičnih omrežij (WLAN) omogoča na osnovi radijskih valov
povezovanje računalnikov in drugih naprav z vmesnikom WLAN (npr. dlančnikov, mobilnih
telefonov, tiskalnikov, projektorjev) v lokalno omrežje organizacije brez uporabe ožičenja, s
čimer je omogočena njihova mobilnost. Varnost oziroma ranljivost komunikacije znotraj
omrežja je odvisna od konfiguracije naprav za brezžični pristop. Varnostno grožnjo predstavlja
možnost prestrezanja, saj je nosilec/medij komunikacije zrak, in je kljub šifriranju prometa
možno njegovo spremljanje (Socialni inženiring in kako se pred njim ubraniti? 2009, str. 11).
Knez (2009, str. 37) opozarja, da v primerjavi s statičnimi omrežnimi priključki večjo grožnjo
za varnost omrežja predstavljajo brezžične dostopne točke, v primeru katerih je način prenosa
podatkov brezžičen in lahko uporabnik mobilne naprave »prisluškuje« pogovoru med
posameznimi brezžičnimi napravami.
O ukrepih, ki jih morajo izvajati knjižnice za varno uporabo brezžičnih omrežij tako s strani
zaposlenih kot uporabnikov, piše Breeding (2005). Opozarja, da mora biti dostop do javnega
44
brezžičnega omrežja razmejen od dostopa do poslovnega omrežja knjižnice, ki vključuje
različne občutljive podatke, kot so finančni in kadrovski, pa tudi podatki o članih in njihovi
uporabi knjižničnih storitev, in da morajo knjižnice imeti tako za zaposlene kot uporabnike
navodila o varni uporabi brezžičnih omrežij.
3.2.7 Uporaba storitev računalništva v oblaku
V zadnjih letih so nove tehnologije začele izpodrivati klasično arhitekturo strežnika in
odjemalca. Zaradi vse hitrejših spletnih povezav ter cenovne dostopnosti porazdeljenih
računalniških sistemov so ponudniki informacijskih storitev dobili dostop do praktično
neomejene računske moči, ki jo lahko v obliki različnih oblačnih storitev ponudijo potencialnim
kupcem. V preteklosti je bil potreben nakup drage računalniške opreme in zagotavljanje
njenega vzdrževanja, danes pa je mogoče zakupiti potrebno računsko moč le za določeno
operacijo ali za določeno obdobje, ter jo plačati samo glede na trenutne potrebe. Računalništvo
v oblaku odpravlja potrebo po vnaprejšnjem načrtovanju nakupov strojne opreme, ki je v
preteklosti za organizacije predstavljalo velikanski izziv, vedno je bilo namreč treba tehtati med
zmogljivostjo tehnologije ter njeno ceno, poleg tega pa tudi predvideti potrebe v prihodnjih
letih.
Storitev računalništva v oblaku, ki predstavlja novo možnost shranjevanja in obdelave
podatkov, je postala še zlasti aktualna v zadnjih letih, ko so zaradi ekonomske krize organizacije
prisiljene zmanjševati sredstva za nakup ter vzdrževanje informacijskih sistemov in opreme.
Markelj in Zgaga (2013, str. 96) navajata, da postaja računalništvo v oblaku, še zlasti javni
oblak, vedno bolj pomemben »prostor«, kamor uporabniki odlagajo svoje podatke oziroma ga
uporabljajo za elektronsko pošto in kot sredstvo za neprestan dostop do podatkov z uporabo
svoje mobilne naprave in interneta. Zaradi zahtev po varnosti podatkov so se pojavili tudi
zasebni oblaki, kjer je za varnost načeloma poskrbljeno na višji ravni, kot v javnih oblakih.
Zasebne oblake ponujajo vsi večji ponudniki informacijskih storitev (npr. Microsoft Azure,
Amazon AWS itd.), nudijo pa vse od najema spletnega prostora oziroma posameznih storitev
(npr. e-pošte), do klasičnega najema strežnikov. Organizacije, pri katerih bi lahko vdor in kraja
dokumentov predstavljala večje tveganje za njihov obstoj, pa postavljajo kar svoje zasebne
oblake, kar jim omogoči popolno kontrolo nad delovanjem sistemov.
45
Zaradi dinamičnega načina dela, ki ga omogoča računalništvo v oblaku, se pojavljajo številna
nova vprašanja, povezana z zagotavljanjem informacijske varnosti. Čeprav je storitev bila
poznana že prej, se je ravno zaradi možnosti mobilnega dostopanja do podatkov in aplikacij
znotraj oblaka, še posebej javnega, obseg informacijskih tveganj oziroma groženj povečal,
opozarjata Markelj in Bernik (2012). Vse bolj aktualno vprašanje varnosti in tveganj
računalništva v oblaku izpostavlja tudi Zver (2011), ter predstavlja različne načine varovanja
podatkov, kot so uporaba gesel, šifriranje podatkov ter uporaba elektronskih podpisov, s
pomočjo katerih preprečujemo nepooblaščen dostop do njih.
V primeru računalništva v oblaku gre za distribuiran informacijski sistem, za katerega je
značilna razpršenost podatkov, izvajalcev in nadzornikov delovanja sistemov in obdelave
podatkov. Tveganja so povezana s prenosom podatkov med informacijskim sistemom
organizacije, uporabnikom in računalniškim oblakom, saj gre pri tem za uporabo različnih
internetnih ponudnikov. Brez šifriranja podatkov in kontrole dostopa do njihove uporabe je
njihova varnost ogrožena. Varnostne dileme se nanašajo tudi na samo hranjenje podatkov. Ob
prenosu informacij v računalniški oblak se morajo zato organizacije zavedati tudi določenih
tveganj, kajti informacije in upravljanje z njimi prenesemo na ponudnika oblaka15.
Z razvojem ponudbe računalništva v oblaku je objavljenih tudi več prispevkov, smernic in
navodil o varni uporabi tega servisa v knjižnicah. Tako Breeding (2011), eden od najbolj znanih
avtorjev s področja uporabe sodobnih tehnologij v knjižnicah, navaja, da je v zadnjih letih ravno
računalništvo v oblaku prineslo najbolj radikalne spremembe v procese avtomatizacije knjižnic.
Tehnologija računalništva v oblaku omogoča knjižnicam pri gradnji in ponudbi storitev
digitalne knjižnice nove možnosti, hkrati pa tudi informacijsko-varnostno grožnjo, tako z vidika
možne izgube podatkov kot tudi njihove nepooblaščene uporabe ali uničenja. A kot poudarja
Rhodes-Ousley (2013, str. 579–580), lahko pomeni izbira zaupanja vrednega ponudnika
računalništva v oblaku tudi nižje stroške in večjo kakovost informacijske varnosti. Kot
najprimernejši način gostovanja se v strokovnih člankih omenja gostovanje programske opreme
(SAS – software as a service), kar pomeni, da knjižnica dobi dostop do želene programske
15 Računalništvo v oblaku prinaša tudi varnostna tveganja na področju zavarovanja osebnih podatkov.
Smernice za upravljavce zbirk osebnih podatkov najdemo v dokumentu Informacijskega pooblaščenca
RS Varstvo osebnih podatkov & računalništvo v oblaku, dostopnem prek: https://www.ip-
rs.si/fileadmin/user_upload/Pdf/smernice/Smernice_rac_v_oblaku.pdf.
46
opreme (npr. EZ Proxy, elektronska pošta), ne ukvarja pa se s samim vzdrževanjem teh storitev,
plačuje le mesečno oziroma letno naročnino.
V slovenskih knjižnicah se na področju oblačnega računalništva stvari premikajo nekoliko
počasneje kot v ostalem razvitem svetu16. Predvidevamo, da se bo večja selitev v oblačne
storitve začela, ko bo trenutna strežniška in programska opreme zastarela do ravni, ko je ne bo
več mogoče vzdrževati ter zagotavljati njenega zanesljivega delovanja, naložbe v novo pa
knjižnice zaradi pomanjkanja investicijskih sredstev ne bodo sposobne financirati. Rešitev bo
v najemu oblačnih storitev, pri katerih se strošek obratovanja razdeli na mesečne obroke in ne
terja večje začetne investicije. Koliko in za katere namene bodo knjižnice (lahko) uporabljale
Državni računalniški oblak (DRO)17, v tem trenutku še ni znano.
Tudi sistem COBISS, ki ga uporabljajo slovenske knjižnice, predstavlja neke vrste gostovanja
v računalniškem oblaku, vendar pa dostop do storitev sistema za zaposlene v knjižnicah ni
mogoč znotraj brskalnikov, ampak je potrebna namestitev lahkega odjemalca, razvitega v
programskem okolju Java. To predstavlja precejšen izziv sistemskim administratorjem, ki
morajo skrbeti za posodobitve programske podpore Java na službenih delovnih postajah
zaposlenih. Nekatere knjižnice uporabljajo različne oblačne storitve, ki jih ponuja Arnes, kot
so na primer gostovanje elektronske pošte, gostovanje spletnih strani in gostovanje spletnih
učilnic (Moodle). Podjetje OCLC pa ponuja storitev gostovanja programske opreme EZ Proxy,
kar pomeni, da celotno strežniško infrastrukturo in programsko opremo vzdržuje OCLC,
knjižnica pa v zameno plačuje mesečno najemnino ter skrbi za posodabljanje baze
upravičencev, ki lahko dostopajo do posamezne storitve.
16 Knjižnice po svetu uporabljajo različne storitve računalništva v oblaku, npr. programska orodja OCLC
QuestionPoint za online referenčno delo, WorldCat in FirstSearch za gradnjo in uporabo knjižničnega
kataloga, za katalogizacijo se uporablja npr. sistem biblios.net. Knjižničarji uporabljajo tudi različne
aplikacije Googla, Microsoft Sharepoint, Libguides, LibraryThing, storitve obveščanja SMS, družbena
omrežja itd. 17 Državni računalniški oblak (DRO) je računalniška infrastruktura v lasti in upravljanju države,
namenjena storitvam, ki uporabljajo podatke in informacije, ki jih država ne želi shranjevati izven
svojega okolja.
47
3.2.8 Socialni inženiring
Informacijski pooblaščenec RS navaja, da po svoji naravi pomeni socialni inženiring predvsem
pridobivanje nekih koristi z zlorabo zaupanja posameznika oziroma z manipulacijo. Socialni
inženir z zlorabo zaupanja, z uporabo socialnih veščin oziroma psiholoških tehnik pridobi od
žrtve osebne podatke in jih uporabi za pridobivanje večinoma premoženjskih koristi, lahko pa
jih pridobi tudi za namene izsiljevanja, groženj, šikaniranja ipd. V sodobni informacijski družbi
je izmenjava informacij zelo dinamična in zaznamuje tudi način življenja ter delovanja
posameznika. Naravno nagnjenje človeka k zaupanju ter na drugi strani želja po hitrem zaslužku
ali drugih koristih, vodijo do raznolikih primerov socialnega inženiringa, ki s pomočjo sodobne
tehnologije postaja resna grožnja informacijski varnosti (Socialni inženiring in kako se pred
njim ubraniti?, 2009).
Tehnike socialnega inženiringa so različne. Socialni inženir lahko informacije pridobiva s
pomočjo interneta (z uporabo spletnih iskalnikov, družbenih omrežij, ribarjenja, zvabljanja,
slepljenja ali z uporabe zlonamernih kod), prek telefona, z neposrednim pristopom ali anketo,
tehniko gledanja čez ramo ali brskanjem po smeteh, z namestitvijo zlonamerne kode na nosilce
podatkov (npr. na ključke USB), pa tudi s prestrezanjem prometa v brezžičnem omrežju.
Da bi morale biti knjižnice ozaveščene tudi o informacijski grožnji, ki jo predstavlja socialni
inženiring, opozarja avtorica Thompson (2006). Ker v primeru socialnega inženiringa ne gre le
za vprašanje tehnične zaščite pred poskusi nepooblaščenih vdorov v informacijski sistem,
ampak tudi za zaščito pred zlorabo zaupanja zaposlenih, so knjižnice še posebej ranljive.
Socialni inženiring je lahko glede na uporabljeno metodo ne-tehnični, pri katerem gre za osebni
pristop, ali tehnični, ki je povezan v prvi vrsti z računalniško tehnologijo in internetom.
Avtorica navaja, da prevaranti niti ne potrebujejo posebnih tehničnih znanj, saj lahko na osnovi
zlorabe zaupanja zaposlenih v knjižnici in manipuliranja z njihovimi čustvi, pridobijo katere
koli želene informacije, tako osebne podatke kot podatke za dostop do računalniškega sistema.
Knjižnice so tarča socialnega inženiringa zlasti na mestih, kjer posredujejo informacije in
pomoč uporabnikom. Prevaranti predhodno dobro preučijo javno dostopne podatke o knjižnici
in pri stiku s knjižničnim osebjem na lahek način pridobijo ustrezno zaupanje. Najbolj privlačne
tarče socialnega inženiringa so osebni podatki o članih knjižnice, dragi, licenčno zaščiteni
elektronski informacijski viri, internetne povezave in javno dostopne računalniške delovne
postaje.
48
Knjižnice so po mnenju avtorice Thompson (2006) za socialni inženiring ranljive zaradi dveh
temeljnih razlogov, tj. zaradi neozaveščenosti oziroma nepoučenosti zaposlenih ter t. i.
psihologije organizacije, ki knjižničarjem narekuje izpolnjevanje informacijskih zahtev
uporabnikov brez dvoma o njihovi morebitni zlonamernosti. Pred socialnim inženiringom se
lahko zaščitijo z ozaveščenostjo o tovrstni možnosti napadov, oblikovanjem politike njihovega
preprečevanja in izobraževanjem zaposlenih za njihovo uresničevanje.
4 INFORMACIJSKA VARNOST V SLOVENSKIH KNJIŽNICAH
4.1 Literatura o vprašanjih informacijske varnosti knjižnic
Objavljenih strokovnih prispevkov o vprašanjih informacijske varnosti v slovenskih knjižnicah
zasledimo le nekaj. Večina se jih nanaša na splošne knjižnice, ki so samostojne pravne osebe
in kot takšne same odgovorne za zagotavljanje informacijske varnosti v organizaciji18.
Ob pregledu in analizi stanja informacijske infrastrukture Knjižnice Ivana Tavčarja Škofja Loka
Markelj (2009) v diplomski nalogi ugotavlja, da imajo enote knjižnice vsaka svoj lasten
informacijski sistem brez centralnega nadzora in upravljanja, kar med drugim pomeni tudi
grožnjo varnosti celotnega sistema. Avtor zato predstavi model centralnega upravljanja
informacijskega sistema ter pogoje za vzpostavitev varnega komunikacijskega kanala med
centralo in posameznimi oddaljenimi lokacijami ter obratno (omrežje VPN). S pomočjo
protokola VPN bi tako več oddaljenih samostojno delujočih omrežij povezali v enoten sistem,
»v katerem bi komunikacija potekala na ravni 'enega varnega omrežja'.« (Markelj 2009, str. 9)
Avtor predlaga tudi namestitev ustrezne strežniške strojne in programske opreme, ki bi
omogočila zaščito pred vdori ter celovito varovanje informacij.
18 Ostale javne knjižnice, z izjemo NUK in Centralne tehniške knjižnice Univerze v Ljubljani, opravljajo
knjižnično dejavnost kot organizacijske enote ali kot podporne službe izvajanju dejavnosti matičnih
organizacij v visokem šolstvu, šolstvu, kulturi, znanosti itd..
49
Gerdin (2009) v magistrski nalogi predstavlja možnosti uporabe tehnologije za radiofrekvenčno
identifikacijo (RFID) v slovenskih splošnih in visokošolskih knjižnicah. Pri tem opozarja tudi
na vprašanje varnosti in ranljivosti sistemov RFID ter posledic nepooblaščenih vstopov
(vdorov) vanje. Slednji predstavljajo nevarnost za krajo ali ponarejanje identitete, kopiranje,
spreminjanje ali uničenje podatkov, zlorabo osebnih podatkov ipd. Tehnologija RFID se v
knjižnicah po svetu uporablja že skoraj dve desetletji, in sicer za identifikacijo knjižničnih
gradiv, njihovo samopostrežno izposojo in vračanje ter razvrščanje, pa tudi za nadzor pristopa
v knjižnične prostore, nadzor oziroma varovanje gradiva pred krajami ter identifikacijo
uporabnikov (članske izkaznice). Tehnologija zagotavlja sledljivost gradiva hkrati pa lahko
predstavlja grožnjo za zasebnost obiskovalcev knjižnic. S pomočjo ankete med vodji slovenskih
knjižnic je avtor pridobil podatke o poznavanju tehnologije RFID ter njenih prednosti in
slabosti, zanimalo ga je tudi mnenje o nevarnosti njene uporabe v knjižnicah (možnost vdora v
zasebnost obiskovalcev in zaposlenih).
V priročniku Informacijsko-komunikacijska tehnologija v splošnih knjižnicah (Karun in drugi,
2010), namenjenemu knjižnicam kot pripomoček pri načrtovanju in upravljanju informacijskih
sistemov, avtorji izpostavljajo tudi varnostne vidike. Tako avtorica Sirk (2010, str. 7–9)
opozarja na pomen ustreznega dokumentiranja stanja in sprememb informacijsko-
komunikacijske opreme, ter pravil za zaposlene o dostopu, uporabi, zavarovanju, spreminjanju
in posredovanju podatkov. Za uporabnike knjižnice pa je treba določiti pravila na
administrativni ravni informacijskega sistema. Informacijski varnosti je namenjeno posebno
poglavje (Sirk in Kuhar, 2010), v katerem avtorja predstavita oblike in načine varovanja
informacij pred varnostnimi grožnjami v splošnih knjižnicah, in sicer zaščito s programsko
opremo, varnostnimi kopijami, strojnimi požarnimi zidovi ter organizacijo informacijskega
sistema knjižnice. Poudarjata tudi, da je pomemben vidik zaščite informacijskega sistema tudi
osebna odgovornost sistemskih administratorjev, informatikov in zaposlenih v knjižnici, redne
kontrole sistema v skladu s standardi ter sprejeta varnostna politika.
Vprašanja informacijske varnosti izbrane splošne knjižnice so bila predmet diplomske naloge
avtorice Sirk (2013). V nalogi obravnava uvajanje sistema za upravljanje varovanja informacij
na osnovi standarda ISO/IEC 27001:2005 v Mariborsko knjižnico. Avtorica ugotavlja, da
knjižnica dokumenta, ki bi varnostno politiko obravnaval na ravni celotne organizacije, še nima,
obstaja pa več dokumentov, ki se nanašajo na posamezna področja varovanja podatkov, v prvi
vrsti na področje varovanja osebnih podatkov. Dokumente bi bilo treba prenoviti, vzpostaviti
50
procese za njihovo posodabljanje ter razširiti njihovo uporabnost na varovanje informacij in
informacijskih sredstev. Identificira tudi dokumente, ki jih predpisuje omenjeni standard, pa jih
knjižnica še nima, in postopke ter ukrepe, ki jih bo treba uvesti19. Ker ima knjižnica že
vzpostavljen in delujoč sistem vodenja kakovosti po standardu ISO 9001, avtorica predstavi
tudi model možne integracije sistema upravljanja varovanja informacij v že obstoječi sistem
vodenja kakovosti v knjižnici.
V prispevku o informacijsko-komunikacijski opremi v slovenskih splošnih knjižnicah avtorica
Bon (2013) predstavlja stanje informacijsko-komunikacijske tehnologije v letu 2010 in
rezultate primerja z nekaterimi domačimi in tujimi strokovnimi priporočili ter razvojnimi
dokumenti. Čeprav je vprašalnik vključeval tudi vprašanja s področja zagotavljanja
informacijske varnosti, avtorica pojasnjuje, da: »Analiza podatkov o komunikacijskih
povezavah na internet ter o strežnikih in varnosti informacijskih sistemov ni bila pripravljena,
ker o tem ni bilo zbranih dovolj med seboj primerljivih podatkov.« (Bon 2013, str. 70) V
analiziranem letu so knjižnice skupaj imele 1266 računalniških delovnih postaj za zaposlene in
1346 za uporabnike, med njimi kar 43 odstotkov starih pet ali več let, z nameščeno programsko
podporo, ki bi brez ustrezne posodobitve lahko predstavljala varnostno tveganje za osebne in
poslovne podatke. Manj kot polovica knjižnic je zaposlovala lastno strokovno osebje,
usposobljeno za vzdrževanje informacijske tehnologije, ostale so za njeno upravljanje, tudi za
skrb za varnost in hranjenje podatkov, morale najemati zunanje izvajalce.
4.2 Zakonodaja na področju varovanja informacij
Specialni zakon za področje delovanja slovenskih javnih knjižnic, tj. Zakon o knjižničarstvu
(ZKnj-1), določb, ki bi se nanašale na informacijsko varnost, ne vključuje, izjema so določbe v
15. členu zakona, ki se nanašajo na varovanje osebnih podatkov o članih knjižnic. Omenjene
podatke knjižnice zbirajo zaradi zagotavljanja sledljivosti izposojenega knjižničnega gradiva,
obnavljanja poškodovanega knjižničnega gradiva, izpolnjevanja pogodbenih obveznosti,
vezanih na uporabo določenih vrst knjižničnega gradiva, izpolnjevanja obveznosti, vezanih na
avtorske in sorodne pravice in podobno. Zakon opredeljuje namen zbiranja osebnih podatkov
19 Knjižnica je kot enega od strateških ciljev za obdobje 2014–2020 izpostavila organizacijo
informacijskega sistema ter ciljno načrtovanje in umeščanje informacijsko-komunikacijske tehnologije
v poslovanje knjižnice, med načrtovane ukrepe pa tudi ukrepe za zagotovitev optimalne varnosti
informacijskega sistema (Strateški načrt Mariborske knjižnice 2014–2020, 2014).
51
in našteje, katere smejo knjižnice zbirati in obdelovati v skladu s predpisi o varstvu osebnih
podatkov. Osebni podatki o članih se v zbirki osebnih podatkov lahko vodijo še največ eno leto
od poteka članstva v knjižnici, nato se morajo izbrisati oziroma anonimizirati. Če ima član v
tem času še neporavnane obveznosti do knjižnice, se njegovi osebni podatki izbrišejo oziroma
anonimizirajo, ko so obveznosti poravnane.
Na različne vidike varovanja informacij se v Sloveniji sicer nanaša več zakonskih predpisov, ki
so relevantni tudi za poslovanje knjižnic:
Zakon o elektronskih komunikacijah (ZEKom-1): v poglavju o varnosti omrežij in storitev
ter delovanju v izjemnih stanjih, določa dolžnosti operaterjev, ki so odgovorni za delovanje
komunikacijskih omrežij. Le-ti morajo sprejeti ustrezne tehnične in organizacijske ukrepe
za obvladovanje tveganja za varnost omrežij in storitev, med ukrepe sodi tudi sprejem in
izvajanje ustreznega varnostnega načrta, zagotovitev celovitosti omrežij in neprekinjeno
izvajanje storitev prek omrežij. Pristojno agencijo so dolžni obveščati o zaznanih kršitvah
varnosti omrežij in storitev. Zakon vključuje tudi določbe o obdelavi osebnih podatkov in
varstvu zasebnosti elektronskih komunikacij.
Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP): ureja poslovanje v
elektronski obliki z uporabo informacijske in komunikacijske tehnologije in uporabo
elektronskega podpisa v pravnem prometu. Določa, da je varen elektronski podpis tisti, ki
je overjen s kvalificiranim potrdilom, overitelji, ki opravljajo storitve varnega elektronskega
podpisovanja, pa morajo v svojih notranjih pravilih upoštevati zakonsko predpisane
varnostne zahtevke. Kvalificirano potrdilo mora overitelj nemudoma preklicati, če bi bil
njegov informacijski sistem ali informacijski sistem imetnika potrdila ogrožen. Preprečevati
mora nepooblaščen dostop do podatkov za elektronsko podpisovanje ter voditi
dokumentacijo o varnostnih ukrepih. Zaposlovati mora strokovno usposobljeno osebje tudi
z znanji s področja varnostnih postopkov ter uporabljati zanesljive sisteme in opremo, ki so
zaščiteni pred spreminjanjem, zagotavljajo tehnično in kriptografsko varnost poslovanja ter
omogočajo odkrivanje sprememb na preprost način.
Zakon o elektronskem poslovanju na trgu (ZEPT): obsega določbe o načinu in obsegu
elektronskega poslovanja na trgu, na področje informacijske varnosti pa se nanašajo
52
določbe o odgovornosti ponudnikov posredovalnih storitev in ponudnikov shranjevanja
podatkov.
Kazenski zakonik (KZ-1): opredeljuje ravnanja, ki se posredno ali neposredno nanašajo na
vdore v računalniški sistem ali na nepooblaščeno spreminjanje podatkov, ter določa kazni
za takšno ravnanje. Posamezni členi se nanašajo na zlorabo osebnih podatkov, napad na
informacijski sistem in vdor v poslovni informacijski sistem.
Zakon o varstvu osebnih podatkov (ZVOP-1): ena od ustavnih pravic državljanov Slovenije
je pravica do zasebnosti, zato se morajo osebni podatki obdelovati zakonito in pošteno, pri
čemer mora biti zagotovljena tudi njihova sorazmernost – obdelujejo se lahko le osebni
podatki, ki so ustrezni in po obsegu primerni glede na namene, za katere se zbirajo in
obdelujejo. Zagotovljena mora biti tudi sledljivost njihovega posredovanja.
Zakon o Informacijskem pooblaščencu (ZInfP): s sprejetjem zakona novembra 2005 je bil
decembra istega leta ustanovljen samostojen in neodvisen državni organ, ki pokriva
področje varstva osebnih podatkov in področje dostopa do informacij javnega značaja. V
primeru prvega je Informacijski pooblaščenec RS nadzorni organ, v primeru drugega pa
prekrškovni organ. Z vstopom Slovenije v schengensko območje leta 2007 je postal tudi
neodvisen nadzorni organ, pristojen za nadzor in uporabo podatkov v schengenskem
informacijskem sistemu. S sprejetjem zakona je bila v pravni red Republike Slovenije
prenesena Direktiva 95/45/ES Evropskega parlamenta in Sveta o varstvu posameznikov pri
obdelavi osebnih podatkov in o prostem pretoku takih podatkov.
Zakon o dostopu do informacij javnega značaja (ZDIJZ): ureja postopek, ki vsakomur
omogoča prost dostop in ponovno uporabo informacij javnega značaja, opredelitev
tovrstnih informacij ter register zavezancev za njihovo posredovanje. Zakon vključuje tudi
določila o ponovni uporabi informacij javnega značaja, ki jih posedujejo knjižnice.
Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA): ureja način,
organizacijo, infrastrukturo in izvedbo zajema ter hrambe dokumentarnega gradiva v fizični
in elektronski obliki ter veljavnost, varstvo javnega in zasebnega arhivskega gradiva, pogoje
za njegovo uporabo in nadzor nad izvajanjem zakonskih predpisov. V primeru ohranjanja
dokumentarnega gradiva oziroma uporabnosti njegove vsebine sledi konceptualnemu
53
modelu CIA – hramba omenjenega gradiva mora zagotavljati njegovo trajnost, celovitost in
dostopnost. Tudi v primeru arhivskega gradiva mora biti, ne glede na njegovo obliko ali
nosilec zapisa, zagotovljeno njegovo trajno in strokovno neoporečno hranjenje, ki
zagotavlja ohranitev zapisanih informacij. V posebnem poglavju določa pogoje hrambe
gradiva v digitalni obliki z vidika strojne in programske opreme ter s tem povezanih storitev,
predpisuje tudi, da pogoje in notranja pravila podrobneje predpiše vlada Republike
Slovenije. V skladu z zakonsko določbo je bila leta 2006 sprejeta Uredba o varstvu
dokumentarnega in arhivskega gradiva (UVDAG), Arhiv Republike Slovenije pa je leta
2013 sprejel dokument Enotne tehnološke zahteve (ETZ), ki podrobneje opredeljuje
poslovne, organizacijske in tehnološke pogoje za izpolnjevanje določb zakona in
podzakonskih predpisov.
Zakonsko pa še ni urejeno področje kibernetske varnosti. Vlada RS je februarja 2016 sprejela
dokument Strategija kibernetske varnosti (2016), ki predstavlja podlago za sistemsko ureditev
tega področja varnosti in vzpostavitev sistema zagotavljanja visoke ravni kibernetske varnosti
do leta 2020. Dokument poudarja, da je okrepitev celotnega sistema nujna zaradi vedno večjega
pomena kibernetske varnosti za nemoteno delovanje sistemov, od katerih je odvisno delovanje
celotne družbe. S hitrim razvojem informacijsko-komunikacijskih tehnologij se pojavljajo tudi
vedno nove in tehnološko vse bolj dodelane kibernetske grožnje. Dokument opredeljuje
kibernetsko varnost kot skupek aktivnosti in drugih (tehničnih in ne-tehničnih) ukrepov, katerih
namen je zaščititi računalnike, računalniška omrežja, strojno in programsko opremo ter
informacije, ki jih le-ta vsebuje in obravnava, kar vključuje programsko opremo in podatke kot
tudi druge elemente kibernetskega prostora, pred vsemi grožnjami, vključno z grožnjami
nacionalni varnosti (Strategija kibernetske varnosti 2016, str. 4).
V javnem sektorju je za področje informacijske varnosti pristojen Direktorat za informatiko pri
Ministrstvu za javno upravo. Direktorat izvaja osrednje naloge na normativnem in operativnem
področju informacijske in kibernetske varnosti. Pomembna je tudi njegova dejavnost na
področju spremljanja in analize varnostnih incidentov v informacijskih sistemih državne
uprave. Z vprašanji informacijske varnosti se ukvarja tudi Direktorat za informacijsko družbo,
ki podpira različne projekte, npr. portala Safe.si in Varni na internetu ter prijavno točko Spletno
oko.
54
4.3 Knjižnice in knjižnični sistem Slovenije
Knjižnična dejavnost se v Sloveniji izvaja kot knjižnična javna služba ali kot dejavnost,
potrebna za izvajanje javne službe na področju vzgoje in izobraževanja. Izvajajo jo splošne,
šolske, visokošolske, specialne in nacionalna knjižnica, ter knjižnični informacijski servis, ki
skrbi za delovanje in razvoj knjižničnega informacijskega sistema.
Temeljni predpis, ki ureja knjižnično dejavnost, je Zakon o knjižničarstvu (ZKnj-1). Zakon o
obveznem izvodu publikacij (ZOIPub) določa namen in predmet obveznega izvoda, zavezance
za obvezni izvod ter naloge depozitarnih organizacij, ki obvezni izvod sprejemajo, hranijo,
obdelujejo in zagotavljajo njegovo dostopnost. Predmet obveznega izvoda so tako tiskane kot
elektronske publikacije. Funkcijo nacionalne depozitarne organizacije, odgovorne za trajno
ohranjanje narodove pisne kulturne dediščine, izvaja NUK.
Podrobneje dejavnost knjižnic določajo podzakonski predpisi (Pravilnik o pogojih za izvajanje
knjižnične dejavnosti kot javne službe, Uredba o osnovnih storitvah knjižnic, Pravilnik o
osrednjih območnih knjižnicah, Pravilnik o razvidu knjižnic) in drugi dokumenti, kot so
različna navodila, standardi in strokovna priporočila, ki zagotavljajo poenoteno oziroma
usklajeno delovanje knjižnic ter ponudbo njihovih storitev.
Vse vrste knjižnic je v enoten knjižnični sistem povezal leta 1982 sprejeti Zakon o
knjižničarstvu. Knjižnični sistem je utemeljil z organizacijo in delovanjem knjižnic na enotnih
strokovnih standardih, pravilih in priporočilih za izvajanje delovnih procesov in storitev ter na
koordiniranem razvoju mreže knjižnic. Temeljni cilj delovanja knjižnic v okviru enotnega
knjižničnega sistema je zagotavljanje dostopnosti osnovnih knjižničnih storitev pod enakimi
pogoji vsem prebivalcem Slovenije. Ob koncu leta 201520 je v knjižničnem sistemu delovalo
826 knjižnic s 1399 enotami, zabeležile so skoraj 17 milijonov obiskovalcev in več kot 32
milijonov izposoj knjižničnega gradiva (Tabela 4.1).
20 V času priprave magistrske naloge podatki o dejavnosti knjižnic v letu 2016 še niso bili na razpolago.
55
Tabela 4.1: Slovenske knjižnice na dan 31. 12. 201521
nacionalna
knjižnica
visokošolske
knjižnice
splošne
knjižnice
specialne
knjižnice
šolske
knjižnice
SKUPAJ
upravne enote 1 81 58 109 577 826
izposojevališča 1 117 270 141 870 1.399
knjižnična
zbirka (enot) 2.779.990 5.212.458 11.710.890 2.919.273 8.627.238 31.249.849
člani 8.588 108.231 479.452 46.448 272.655 915.373
obisk 281.514 2.017.922 10.251.317 145.063 3.947.371 16.643.187
izposoja (enot) 114.585 1.802.957 25.796.762 303.930 4.164.793 32.183.027
čitalniški sedeži 326 4.197 7.039 898 14.504 26.964
neto površina
knjižnice (m2) 14. 359 37.383 111.605 15.658
64.950
66.835 243.955
računalniške
postaje (os. rač.) 222 1.254 2.910 310 1.941 6.637
strokovni
delavci (EPZ) 104 293 940 136 455 1.928
nakup gradiva
(EUR) 656.430 6.272.202 6.764.600 2.881.870 2.854.341 19.429.443
Vir: BibSiSt Online (25. marec 2017); Ambrožič, lastna raziskava (2017)
4.4 Nacionalni knjižnični informacijski sistem
Velik del dejavnosti slovenskih knjižnic poteka v okviru sistema COBISS (Kooperativni online
bibliografski sistem in servisi), ki predstavlja organizacijski model povezovanja vseh vrst
knjižnic v enoten knjižnični informacijski sistem Slovenije na osnovi standardizirane in
vzajemne bibliografske obdelave knjižničnega gradiva ter enotnega vodenja katalogov in
bibliografij. Sistem COBISS se je začel uporabljati leta 1987 kot skupna osnova knjižničnega
informacijskega sistema in sistema znanstvenih in tehnoloških informacij Jugoslavije, vse od
takrat za njegovo delovanje in razvoj skrbi Institut informacijskih znanosti Maribor (dalje
IZUM). Ob razpadu Jugoslavije leta 1991 je v sistemu sodelovalo 55 knjižnic iz nekdanjih
republik takratne skupne države. Danes knjižnice zunaj Slovenije v svojih državah na platformi
COBISS gradijo avtonomne nacionalne knjižnične informacijske sisteme, povezane v omrežje
COBISS.Net.
Sistem COBISS zagotavlja knjižnicam uporabo številnih servisov, ki podpirajo njihovo
dejavnost, uporabnikom pa hiter in enostaven online dostop do različnih informacijskih virov
in storitev. Programska podpora omogoča kooperativno bibliografsko obdelavo knjižničnega
21 Meritve šolskih knjižnic (knjižnice v osnovnih in srednjih šolah, višjih strokovnih šolah in zavodih za
izobraževanje otrok in mladostnikov s posebnimi potrebami) za šolsko leto 2015/16 so bile opravljene
v decembru 2016. Od 612 šol jih je podatke posredovalo 577 (Lesjak in Bahor, 2017).
56
gradiva (bibliografski zapisi se lahko prevzemajo tudi iz kataloga ameriške Kongresne
knjižnice in drugih tujih baz podatkov), nabavo in izposojo gradiva, vodenje podatkov o zalogi
in inventuro knjižnične zbirke, normativno kontrolo osebnih in korporativnih imen,
medknjižnično izposojo ter posredovanje dokumentov v elektronski obliki, izposojo
elektronskih knjig prek portalov za izposojo e-knjig, obveščanje uporabnikov po e-pošti in
SMS, izvajanje referenčnega servisa Vprašaj knjižničarja itd. Uporabniki lahko prek aplikacije
COBISS+ in njegove mobilnim napravam prilagojene različice mCOBISS dostopajo do
knjižničnih katalogov ter domačih in tujih baz podatkov in servisov. Storitev Moja knjižnica
jim omogoča rezervacijo gradiva in njegovo izposojo ter podaljševanje roka izposoje,
informacijske vire lahko uporabljajo prek oddaljenega dostopa z avtentikacijo Shibboleth prek
Federacije Arnes AAI ali federacije COBISS AAI, na voljo jim je Metaiskalnik za hkratno
iskanje po več elektronskih informacijskih virih ter povezovalnik OpenURL, uporabljajo lahko
brezžično omrežje Libroam in vzporedno tudi Eduroam prek centralne avtorizacije v IZUM.
Z nacionalnim knjižničnim informacijskim sistemom COBISS.SI je neposredno povezan
nacionalni informacijski sistem o raziskovalni dejavnosti (SICRIS), kar omogoča enoten in
racionalen sistem vodenja bibliografij raziskovalcev ter informacijsko podlago za vrednotenje
uspešnosti slovenskih raziskovalcev in za habilitacijske postopke v visokem šolstvu. Sistem
COBISS je tudi informacijska podlaga za izplačevanje knjižničnega nadomestila avtorjem
objavljenih del.
Ob koncu leta 2016 je v sistemu COBISS.SI sodelovalo 490 slovenskih knjižnic polnopravnih
članic in 177 knjižnic pridruženih članic, vzajemna bibliografsko-kataložna baza podatkov
COBIB.SI je vključevala 4.909.449 bibliografskih zapisov o gradivu knjižnic, lokalne baze
knjižnic pa skupaj 13.789.332 zapisov. V okviru regionalne mreže je v sistem COBISS.Net bilo
vključenih tudi 345 knjižnic držav Jugovzhodne Evrope, in sicer Srbije, Republike Srbske,
Albanije, Makedonije, Bosne in Hercegovine, Črne gore in Bolgarije (Letno poročilo o delu
IZUM za leto 2016, 2017).
4.5 Informacijska varnost nacionalnega knjižničnega informacijskega sistema
V skladu s svojo varnostno politiko zagotavlja IZUM informacijsko varnost knjižničnega
informacijskega sistema na več ravneh, in sicer:
nemoteno delovanje strojne, programske in komunikacijske opreme;
57
nadzor informacijske strukture;
omejitev fizičnega dostopa do podatkovnega centra;
zaščita integritete podatkov;
tehnično varovanje prostorov in opreme;
varnostno kopiranje podatkov;
varovanje osebnih podatkov.
Idealna bi bila podvojitev vseh računalniških strojnih komponent22, tako da bi ob morebitnih
okvarah rezervne komponente lahko takoj prevzele delo. To v celoti sicer ni izpolnjeno, je pa
v vsakem trenutku dovolj prostih kapacitet strojne opreme, da lahko IZUM po potrebi ustrezno
reagira. Z vzdrževalci najbolj kritične opreme ima IZUM sklenjene vzdrževalne pogodbe, ki
zagotavljajo ustrezne odzivne čase in ukrepanje. Podobno velja za komunikacijsko
infrastrukturo in sistemsko programsko opremo (ki je seveda vsa, bodisi regularno licenčno
nabavljena, bodisi je odprtokodna). Programska oprema, ki jo je razvil IZUM, je pred
produkcijo temeljito preverjana po pravilih stroke. Napačno delovanje je praktično izključeno,
za morebitne izpade ali nepredvidene okoliščine pa veljajo natančno predpisani protokoli.
IZUM ima lasten računski oziroma podatkovni center, zgrajen leta 2015 po najsodobnejših
standardih. Podzemni prostori so na potresno zelo varni geografski lokaciji, kjer je tudi
poplavna ogroženost med najnižjimi v državi. Center ima podvojeno energetsko napajanje (dve
fizično ločeni veji, trojni sistem za brezprekinitveno napajanje – 24-urna avtonomija) in
podvojeno infrastrukturo za nemoteno tehnično hlajenje z avtonomijo hladne vode. Pred
nevarnostjo požara ščiti dvojni sistem zaznavanja požara (aspiracijski in klasični) ter popoln
protipožarni in gasilni sistem (plin NOVEC 1230). Za vstop v prostor je potrebna imenska
kartica z geslom ter najava pri varnostniku oziroma receptorju, dohodni hodnik in vstopna vrata
pa so tudi pod videonadzorom. Zagotovljeno je fizično varovanje 24/7, za katerega je pristojna
specializirana varnostna služba, ki prek nadzornega centra nadzoruje vsa varnostna območja,
izvaja pa tudi redne varnostne obhode.
22 IZUM je v letu 2016 upravljal in vzdrževal 66 samostojnih fizičnih strežnikov, 18 fizičnih strežnikov
kot gostiteljev virtualnih strežnikov, 180 virtualnih strežnikov na gostiteljih, 26 enot opreme za lokalno
omrežje, 7 diskovnih polj, 16 stikal za omrežje SAN, 3 robotske knjižnice za varnostno kopiranje
podatkov in arhiviranje in za cca. 250 delovnih postaj, lahkih odjemalcev, tiskalnikov ipd. (Letno
poročilo o delu IZUM za leto 2016 2017, str. 40).
58
Vsi podatki nacionalnega knjižničnega informacijskega sistema so pred nepooblaščenim
spreminjanjem, brisanjem ali kakšno drugo zlorabo zaščiteni z natančno politiko dostopa.
Podatki niso samostojno oziroma neposredno dosegljivi. Edina pot za urejanje teh podatkov so
standardne namenske aplikacije, kjer se praviloma vsi posegi beležijo in arhivirajo. To velja
tudi za morebitne posege mimo namenskih aplikacij s strani zaposlenih v IZUM (pri razvoju,
odpravi napak, reševanju problemov ipd.). Dodatno je pri vseh operacijah, izvedenih na osebnih
podatkih, zagotovljena sledljivost vseh posegov.
Varnostna kopiranja podatkov se redno izvajajo po predpisanih protokolih. IZUM ima na treh
lokacijah lastne diskovne sisteme kot nosilce podatkov, in sicer v lastnih prostorih in v dveh
najetih podatkovnih centrih (Pošta v Mariboru, oddaljenost cca 10 km na drugi tektonski plošči;
Arnes Ljubljana, oddaljenost cca 110 km). V podatkovnem centru IZUM se vsi podatki sprotno
kopirajo na namenske diskovne kapacitete, hkrati pa so sinhrono replicirani na sekundarno
lokacijo (Pošta Maribor). Ena kopija se vsako noč shranjuje tudi na trakove, ki se hranijo v
ločenem prostoru na IZUM, vsak teden pa tudi v bančnem sefu (kriptirano in namenjeno za
obnovo podatkov v skladu z načrtom okrevanja po katastrofi). Dodatno je ena kopija podatkov
shranjena v prostorih Arnesa v Ljubljani.
Varovanje osebnih podatkov se izvaja skladno z določili Zakona o varovanju osebnih podatkov
(ZVOP). Kadar IZUM nastopa kot pogodbeni obdelovalec osebnih podatkov partnerskih
knjižnic, so postopki v zvezi z varovanjem osebnih podatkov zapisani bodisi v standardni
pogodbi o polnopravnem članstvu knjižnice v sistemu COBISS.SI bodisi v posebni ločeni
pogodbi.
Topologija notranjega omrežja IZUM je načrtovana tako, da so posamezne omrežne zone
ločene in po potrebi zaprte. Sistem požarnih zidov preprečuje dostope od zunaj oziroma iz
neavtoriziranih virov. Izjema so le spletne storitve, ki so na voljo anonimni javnosti (npr.
COBISS+). Prosto dostopnega brezžičnega omrežja v poslovni stavbi IZUM ni; za zaposlene
in obiskovalce je na voljo, bodisi varno omrežje Eduroam (za tiste, ki so upravičeni do uporabe
tega omrežja) bodisi posebno (s spreminjajočim se geslom zaščiteno) interno omrežje za
identificirane goste.
IZUM vzdržuje zelo kompleksen sistem nadzora delovanja celotnega (strojna, programska in
komunikacijska oprema) okolja – Nagios. Z njim s kombinacijo vnaprej predpisanih aktivnih
59
in pasivnih testov avtomatično komunicirajo vse naprave, aplikacije in servisi, pooblaščenim
osebam pa je na voljo kopica pogledov, iz katerih je v realnem času v vsakem trenutku razvidno
stanje tako celote kot posameznih segmentov. Vzpostavljen je samodejni sistem za obveščanje
dežurnih oziroma odgovornih oseb (SMS, e-pošta itd.), tako da je odzivni čas zmanjšan na
najnižjo možno mero.
4.6 Raziskava o informacijski varnosti slovenskih knjižnic
4.6.1 Metodologija in raziskovalna metoda
Za pridobitev raziskovalnih podatkov smo uporabili anketno metodo in kot orodje za njihovo
zbiranje dva strukturirana anketna vprašalnika. Vprašalnik za osebe, pristojne za informacijsko
varnost je skupaj vključeval 33 vprašanj zaprtega tipa (Priloga 1), vprašalnik za zaposlene v
knjižnicah pa 44 vprašanj (Priloga 2). Anketiranci so pri vprašanjih lahko izbrali eno ali več
ponujenih odgovornih kategorij, pri nekaterih vprašanjih so lahko dodali svoj odgovor, na
nekatera pa odgovarjali le v primeru, ko je bil izpolnjen določen pogoj. Z anketiranjem oseb,
pristojnih za informacijsko varnost, smo želeli pridobiti podatke o tehničnih in organizacijskih
vidikih informacijske varnosti, v primeru ankete za zaposlene v knjižnicah pa podatke o
ravnanjih, ki vplivajo na stopnjo informacijske varnosti. Pred izdelavo končnih oblik
vprašalnikov je obe testni različici testiralo 31 oseb ter podalo svoje pripombe in predloge.
Ker gre v primeru informacijske varnosti za tematiko, ki v okviru slovenskih knjižnic še ni bila
predmet celovitega preučevanja, smo se odločili, da za pomoč pri izvedbi ankete zaprosimo
odgovorne osebe knjižnice, tj. direktorje upravno samostojnih knjižnic oziroma vodje
nesamostojnih knjižnic. Prek elektronske pošte smo jim obvestili o namenu in ciljih raziskave,
ter jih prosili, da spletna naslova obeh anket posredujejo osebi, odgovorni za informacijsko
varnost knjižnice, oziroma zaposlenim v knjižnici. V priponki smo jim v informacijo dodali
oba anketna vprašalnika, s čimer smo se želeli izogniti morebitnim dvomom v dobronamernost
raziskave. Anketiranje je potekalo v spletnem okolju 1ka v času od 3. do 17. aprila 2017.
Pri oblikovanju anketnih vzorcev smo uporabili metodo namenskega vzorčenja. Izbor enot smo
opravili v marcu 2017 s pomočjo pregleda seznamov knjižnic za leto 2015, ki jih objavlja
Center za razvoj knjižnic pri NUK. Prvi kriterij za vključitev knjižnice v vzorec je bil izvajanje
javne službe na področju knjižničarstva, kar pomeni, da šolskih knjižnic, ki svojo dejavnost
60
izvajajo kot podporno dejavnost izvajanju javne službe na področju šolstva, v izbor nismo
vključili. V primeru visokošolskih knjižnic smo v vzorec uvrstili tiste, ki delujejo v okviru
javnih visokošolskih zavodov, v primeru specialnih knjižnic pa tiste, ki delujejo v okviru javnih
zavodov. V primeru obeh vrst knjižnic smo kot kriterij za izbor upoštevali tudi podatek o
zaposlenih, in sicer da so knjižnice zaposlovale kadre s strokovno knjižničarsko izobrazbo.
Prošnjo za sodelovanje v anketi smo tako posredovali skupaj 152 odgovornim osebam knjižnic
(58 splošnih, 47 visokošolskih in 47 specialnih knjižnic). Ker je bil NUK predmet posebne
analize, smo na osnovi soglasja ravnateljice redno zaposlene, ki so bili prisotni na delovnih
mestih v obdobju anketiranja, povabili k izpolnjevanju anketnega vprašalnika neposredno.
4.6.2 Udeleženci raziskave
Anketo za osebje, pristojno za informacijsko varnost oziroma upravljanje informacijsko-
komunikacijske opreme (dalje opreme IKT), je skupaj v celoti ali delno izpolnilo 31
anketirancev (28 jih je anketo zapustilo po ogledu nagovora ali po njeni prvi strani), kar pomeni
le 20-odstotni odziv knjižnic, ki smo jih povabili k sodelovanju. Med njimi je bilo 18 splošnih
knjižnic, 11 visokošolskih in samo 2 specialni knjižnici (Tabela 4.2). Majhno število
izpolnjenih anket in struktura anketirancev nam nista omogočila izdelave zahtevnejših
statističnih analiz, ugotovitev tudi ne moremo posploševati na vse slovenske knjižnice. Zbirne
podatke predstavljamo v Prilogi 3.
Tabela 4.2: Odziv na anketo za osebje, pristojno za informacijsko varnost
vrsta knjižnice št. obveščenih št. sodelujočih odziv
splošna 58 18 31 %
visokošolska 47 11 23 %
specialna 47 2 4 %
skupaj 152 31 20 %
Vir: Ambrožič, lastna raziskava (2017)
Anketo za zaposlene v knjižnicah je v celoti ali delno izpolnilo 155 oseb (36 jih je anketo
zapustilo po ogledu nagovora ali po njeni prvi strani), med njimi največji delež (39 odstotkov)
iz knjižnic z več kot 50 zaposlenimi, sledi delež (24 odstotkov) anketirancev iz knjižnic z manj
kot pet zaposlenih. Glede na vrsto knjižnic so se na anketo v največjem številu (59) odzvali
zaposleni v nacionalni knjižnici, iz splošnih knjižnic je sodelovalo 45 zaposlenih, iz
61
visokošolskih 25, iz specialnih knjižnic pa 24 (Slika 4.1). Ugotovitev tudi v tem primeru ne
moremo posploševati, zbirni podatki so predstavljeni v Prilogi 4.
Slika 4.1: Struktura anketirancev glede na vrsto knjižnice (anketa za zaposlene) (n = 153)
Vir: Ambrožič, lastna raziskava (2017)
Pri statistični analizi odgovorov zaposlenih smo opravili tudi filtriranje podatkov glede na vrsto
knjižnice (zanimalo nas je, v katerih primerih se rezultati zaposlenih v NUK razlikujejo od
rezultatov zaposlenih v drugih knjižnicah), njen status ter število zaposlenih. Morebiten vpliv
neodvisnih spremenljivk na odvisne smo preverili z metodo rezidualov. Statistično pomembnih
razlik ali povezav v večini primerov nismo ugotovili oziroma je bil vzorec merjencev tako
majhen, da izračuni niso bili mogoči.
4.7 Rezultati ankete za osebe, pristojne za informacijsko varnost knjižnic
Najprej nas je zanimalo, kakšno računalniško tehnologijo uporabljajo v knjižnicah. Glede na
število računalniških delovnih postaj, namenjenih zaposlenim in uporabnikom knjižnic, je v
anketi sodelovalo največ takšnih, ki imajo do 50 delovnih postaj in kot operacijski sistem
uporabljajo Windows 10 ali Windows 7. Osebo, ki je sama ali s podporo zunanjega izvajalca
pri zahtevnejših opravilih odgovorna za delovanje in vzdrževanje opreme IKT, ima zaposlenih
polovica knjižnic, ki so odgovorile na vprašanje. Pri ostalih za upravljanje opreme IKT skrbijo
informatiki matične organizacije (npr. visokošolskega zavoda) ali pogodbeni izvajalci. Večina
knjižnic sicer ima na razpolago osebo, ki opravlja naloge sistemskega/varnostnega
administratorja, a obstaja tudi desetina takšnih, kjer za varnost informacijskega sistema ni
poskrbljeno. Razen ene, v anketi sodelujoče knjižnice še nimajo sprejete politike informacijske
varnosti, so pa štiri navedle, da je dokument v pripravi (Slika 4.2). Tretjina (9) jih navaja, da
62
sledijo domačim ali mednarodnim smernicam informacijske varnosti. Redno se izobraževanj iz
informacijske varnosti udeležujejo le zaposleni iz dveh knjižnic, ki sta odgovarjali na vprašanje.
Slika 4.2: Obstoj dokumenta o politiki informacijske varnosti (n = 29)
Vir: Ambrožič, lastna raziskava (2017)
Varnostne kopije ključnih podatkov največ knjižnic izdeluje dnevno, in sicer na strežniški
prostor ali zunanji trdi disk, načrt ponovne vzpostavitve poslovanja v primeru katastrofe ima
petina knjižnic oziroma njihovih matičnih organizacij. Pri posredovanju občutljivih osebnih ali
poslovnih informacij naslovnikom zunaj knjižnice uporablja šifriranje petina anketiranih
knjižnic, z izjemo ene pa na računalniških delovnih postajah uporabljajo različne vrste zaščit
proti zlonamerni kodi. Nekaj več kot tretjina knjižnic se je že srečala s primerom okužbe
računalniškega sistema z izsiljevalskimi virusi, do izgube podatkov je prišlo le v primeru ene.
Vse knjižnice skrbijo za posodabljanje programske opreme na računalniških delovnih postajah,
tretjina med njimi opravlja postopke avtomatsko z enega mesta, ostale ročno, po posameznih
postajah.
Na dveh tretjinah računalniških postaj se v primeru lokalnih administratorskih računov
uporabljajo različna gesla, ob koncu delovnega dneva pa jih v večini knjižnic zaposleni
izklopijo. Sprejet dokument o varnostni politiki uporabniških gesel že ima petina knjižnic, v
petini jih takšen dokument pripravljajo. Sistem sam (domensko okolje) zahteva redno menjavo
gesel v 38 odstotkih anketiranih knjižnic, v drugih je menjava gesel prepuščena zaposlenim.
Zaposleni, ki imajo možnost dela na daljavo, za dostop do službenega računalnika v največjem
deležu uporabljajo protokol VPN oziroma RDP, ki zagotavljata šifrirano in s tem varno
povezovanje, pri dostopanju do službene elektronske pošte na daljavo pa jih skoraj polovica
uporablja programsko podporo Outlook/Exchange. Lastno brezžično omrežje imajo knjižnice
v največjem številu zaščiteno z varnostno tehnologijo WPA2, ki temelji na najnovejših metodah
63
šifriranja. V večini knjižnic prek brezžičnega omrežja dostop do poslovnega okolja knjižnice
ni možen.
4.8 Rezultati ankete za zaposlene v knjižnicah
4.8.1 Varnost službenih računalniških gesel
V prvem vsebinskem sklopu vprašalnika so nas zanimala ravnanja zaposlenih, ki vplivajo na
varnost službenih računalniških gesel. Zaposleni v povprečju uporabljajo 5,6 različnih gesel,
večina (72 odstotkov) jih uporablja od enega do pet gesel, samo eno geslo uporablja devet (6
odstotkov) anketirancev, kar 30 različnih pa trije (2 odstotka). Med tistimi, ki uporabljajo več
gesel, jih večina (58 odstotkov) zaradi varnosti uporablja različno zahtevna gesla, ostali pri
oblikovanju gesel na varnostni vidik niso pozorni. Gesla v največjem deležu (80 odstotkov)
spreminjajo zaradi zahtev varnostne politike organizacije oziroma računalniškega sistema,
manj kot petina anketirancev navaja, da gesla spreminjajo zaradi lastne pobude. Skoraj polovica
(48 odstotkov) anketirancev gesel ne spreminja, če to od njih ne zahteva računalniški sistem.
Varnostna priporočila za oblikovanje gesel upošteva 79 odstotkov anketirancev, med njimi jih
največ pazi na to, da uporabijo kombinacijo malih in velikih črk ter številk, vendar pa več kot
polovica (56 odstotkov) anketirancev pri oblikovanju novega gesla kot osnovo uporabi staro
geslo. Vsa gesla si zapiše na papir le 13 odstotkov anketiranih, še manj (3 odstotke) jih tistih,
ki gesla shranijo v elektronsko datoteko (pri tem jih večina datoteke posebej ne zaščiti). Med
anketiranci jih dve tretjini (64 odstotkov) še ni seznanjenih z možnostjo uporabe programske
opreme za shranjevanje gesel.
Med primeri gesel, ki smo jih navedli, je največji delež anketirancev (88 odstotkov) kot dovolj
varno izbral geslo s 16 znaki, oblikovano s kombinacijo velikih in malih črk ter posebnih
znakov, najmanj varno, tj. administrator, le 1 odstotek. Ravno tako so v največjem deležu (94
odstotkov) kot varen način sestavljanja gesel izbrali kombinacijo velikih in malih črk,
pomešanih s posebnimi znaki. Le majhen delež jih je izbral možnost oblikovanja gesel z
uporabo imen otrok ali hišnih ljubljencev oziroma pogosto uporabljanih besed. V primeru suma
o zlorabi gesla, bi anketiranci ravnali odgovorno, tj. takoj spremenili geslo (76 odstotkov),
obvestili odgovorno osebo (66 odstotkov) ter zamenjali tudi ostala gesla (61 odstotkov). Na
informacijsko varnost pa so udeleženci ankete manj pozorni v primeru posredovanja gesla drugi
64
osebi, kajti skoraj petina (18 odstotkov) jih je že kdaj svoje geslo »posodila« kateremu od
sodelavcev.
4.8.2 Varnost službenih računalniških delovnih postaj
Ker je za informacijsko varnost pomembno preprečevati nepooblaščen dostop do informacij
prek računalniške opreme, ki jo uporabljajo zaposleni, smo anketirancem zastavili nekaj
vprašanj o varovanju njihovih računalniških delovnih postaj. V primeru, ko za določen čas
zapustijo delovno mesto, svoje delovne postaje 41 odstotkov anketirancev ne »zaklene« (ne
uporabi npr. funkcije Lock), bolj pozorni pa so ob odhodu iz službe, saj se jih kar tri četrtine z
delovne postaje odjavi (uporabi funkcijo Log Off/Sign Out). In kaj anketiranci najpogosteje
storijo z delovno postajo, ko zapustijo delovno mesto? 28 odstotkov jih ne naredi ničesar, se jih
pa več kot polovica odjavi z delovne postaje, zaklene računalniški zaslon, ali ima z geslom
zaščiten ohranjevalnik zaslona. Sodelavcu je že kdaj dovolilo, da se na delovno postajo prijavi
z njihovim geslom, 29 odstotkov anketirancev.
V primeru težav s službeno računalniško opremo, ki jo uporabljajo zaposleni, je pomembno, da
napake ne odpravljajo nepooblaščene osebe. Anketiranci izkazujejo visoko stopnjo varnostnega
ravnanja, kajti 89 odstotkov bi se jih za pomoč obrnilo na sistemskega administratorja oziroma
osebo, odgovorno za opremo IKT. Pri tem bi bili previdni tudi pri posredovanju svojega gesla
za prijavo na računalniško delovno postajo, 48 odstotkov anketirancev gesla pooblaščeni osebi
za IKT ne bi posredovali.
4.8.3 Elektronska pošta in socialni inženiring kot potencialni grožnji informacijski varnosti
Kot najpogostejši način širjenja računalniških virusov anketiranci prepoznavajo elektronsko
pošto (51 odstotkov) ter njihov prenos s spleta (32 odstotkov). V visokih deležih anketiranci
prepoznavajo potrebne ukrepe za preprečevanje zlonamernega pridobivanja
podatkov/informacij z metodami socialnega inženiringa, največ (87 odstotkov) jih je izbralo
odgovor, da nepooblaščenim osebam ne smemo razkrivati informacij o svojem računalniku in
računalniškem omrežju. Samo dva anketiranca navajata, da odpirata tudi elektronska sporočila
pošiljateljev z neobičajnimi poštnimi naslovi. V primeru, ko sporočilo vključuje tudi priponko,
slednjo 70 odstotkov anketiranih odpre le, če pozna pošiljatelja, vendar ne brezpogojno, namreč
v primeru, da je sporočilo neobičajno, polovica (51 odstotkov) anketiranih priponke ne bi
65
odprlo. Le 3 odstotke pa je tistih, ki pri službenih sporočilih odpirajo tudi priponke, saj zaupajo
protivirusnim programom. Pri pošiljanju službene elektronske pošte uporablja programsko
podporo za šifriranje sporočil 6 odstotkov anketiranih. Na službeni računalniški postaji jih velik
delež (84 odstotkov) uporablja tudi spletne ponudnike elektronske pošte.
V primeru prejetja sporočila od neznanega oziroma sumljivega pošiljatelja, bi večina
anketiranih (83 odstotkov) ravnala varnostno pravilno – sporočila ne bi prepošiljali drugim,
ampak bi ga takoj izbrisali ali o tem obvestili pooblaščeno osebo. Brisanje sporočil sumljivih
pošiljateljev se zdi kot najbolj zanesljiv način za preprečevanje okužb z računalniškimi virusi,
ki se širijo prek elektronske pošte, trem četrtinam anketiranih. Kot sprejemljivo rabo službenega
elektronskega poštnega predala največ anketirancev (89 odstotkov) šteje obveščanje znancev o
zanimivih dogodkih s področja kulture oziroma knjižničarstva, a po petino tudi pošiljanje
osebnih oziroma zabavnih sporočil svojim sodelavcem. Petina (21 odstotkov) je tudi takšnih,
ki bi občutljive osebne podatke poslali kot običajno elektronsko sporočilo.
4.8.4 Delo na domu in dostop na daljavo do službenega računalnika
Več kot polovica (54 odstotkov) anketiranih za službo kdaj dela tudi na domu. Pri tem jih le 16
odstotkov uporablja izključno službeni računalnik, kar 78 odstotkov pa lastnega. Datoteke,
narejene na lastnem računalniku, na računalniško delovno postajo v službi najpogosteje
prenesejo prek službene elektronske pošte (65 odstotkov anketiranih) ali z uporabo zunanje
pomnilniške naprave (43 odstotkov).
Pri delu na domu se prek dostopa na daljavo povezuje z računalniško delovno postajo v službi
43 odstotkov anketirancev. Pri tem jih tretjina (33 odstotkov) uporablja računalnik, namenjen
tudi drugim osebam, npr. družinskim članom ali znancem. Za povezovanje v internet jih pri tem
večina uporablja brezžično omrežje. Slednje je v primeru 70 odstotkov anketirancev, ki tovrstno
povezovanje uporabljajo, ustrezno varnostno zaščiteno.
4.8.5 Varnostne politike in izobraževanje o informacijski varnosti
Izdelane in sprejete varnostne politike za zaščito računalniške opreme in podatkov/informacij
naj bi, glede na odgovore v anketi sodelujočih (Slika 4.3), imelo skoraj polovica njihovih
66
knjižnic oziroma matičnih delovnih organizacij. Vendar pa je med anketiranci, ki so na
vprašanje odgovorili pritrdilno, kar 61 odstotkov tistih, ki vsebine varnostnih politik ne poznajo.
Slika 4.3: Sprejeta politika informacijske varnosti (n = 142)
Vir: Ambrožič, lastna raziskava (2017)
Izobraževanj s področja računalniške oziroma informacijske varnosti se je že kdaj udeležila
četrtina anketirancev, med ostalimi bi si jih tovrstnega izobraževanja želelo udeležiti 63
odstotkov, 13 odstotkov pa jih meni, da izobraževanj ne potrebuje.
4.9 Razprava
Iz odgovorov oseb, ki so v knjižnicah odgovorne za informacijsko varnost oziroma upravljanje
opreme IKT, razberemo, da v skoraj tretjini (28 odstotkov) knjižnic na njihovih računalniških
delovnih postajah še vedno teče zastarel operacijski sistem Windows XP. Glede na to, da zanj
že skoraj dve leti ni več novih varnostnih popravkov, je tako stanje z varnostnega vidika
nesprejemljivo. V večini knjižnic je za upravljanje opreme IKT zadolžena oseba zaposlena v
knjižnici, ki ima za zahtevnejša opravila na voljo zunanjega izvajalca, oziroma podporo
zagotavljajo informatiki organizacije, v okviru katere deluje knjižnica. Dobra petina knjižnic
za delovanje in vzdrževanje opreme IKT najema le zunanje izvajalce, manj kot petina pa jih
ima zaposleno osebo, ki je sama usposobljena za omenjena opravila. Ocenimo lahko, da je za
delovanje informacijske opreme v anketi sodelujočih knjižnic sicer primerno poskrbljeno,
ravno tako za varnost samega sistema, z varnostnega vidika pa je zaskrbljujoč podatek, da
obstajajo tudi knjižnice, ki skrbnika za sistemsko varnost nimajo na razpolago. Razen ene, v
anketi sodelujoče knjižnice nimajo izdelanih in sprejetih politik informacijske varnosti, večina
jih tudi ne sledi smernicam oziroma standardom informacijske varnosti, kar predstavlja
precejšnje varnostno tveganje.
67
Večina knjižnic izdeluje varnostne kopije ključnih podatkov, slaba polovica dnevno, ostale
tedensko ali mesečno. Zaskrbljujoče je, da obstajajo tudi knjižnice, ki varnostnih kopij ne
izdelujejo. V primeru okužbe z izsiljevalskim virusom bi v takšni knjižnici ostali brez vseh
podatkov, prav tako bi se čas ponovne vzpostavitve sistemov ekstremno podaljšal. Ena
knjižnica je odgovorila, da varnostne kopije izdeluje letno, kar ravno tako pomeni, da za varnost
ključnih podatkov ni poskrbljeno. Najbolj zastopana medija za hranjenje varnostnih kopij
podatkov sta strežnik oziroma zunanji trdi disk. Na mestu bi bila pomislek o dostopnosti
strežnika ter vprašanje stalne vključenosti zunanjega diska v sistem, kajti v primeru vdora
izsiljevalski virus zašifrira tudi varnostne kopije. Več kot polovica v anketi sodelujočih knjižnic
navaja, da same oziroma njihove matične organizacije nimajo načrta za ponovno vzpostavitev
informacijskega sistema in strojne opreme, oziroma da zanj ne vedo, kar bi v primeru
»katastrofe« občutno podaljšalo čas ponovne vzpostavitve njihovega poslovnega sistema. Le
dobra petina jih navaja, da imajo sprejet omenjeni načrt. Z varnostnega vidika je tudi
nesprejemljiva praksa knjižnic, ki navajajo, da pri elektronskem posredovanju občutljivih
osebnih ali poslovnih podatkov ne uporabljajo šifriranja.
Na nekatere primere dobrih varnostnih praks knjižnic kažejo odgovori na anketna vprašanja v
sklopu ukrepov za zaščito računalniške opreme. Večina knjižnic uporablja zaščito proti
zlonamerni kodi, kar je dobra praksa, ravno tako jih večina uporablja protivirusno zaščito in
imajo vklopljene požarne zidove na delovnih postajah zaposlenih, uporabljajo tudi požarne
zidove na prehodu iz interneta v interno omrežje knjižnic, zaposlenim pa ne dodeljujejo
administratorskih pravic. Ostale preventivne varnostne ukrepe uporablja manj kot polovica
knjižnic. Nekaj manj kot dve tretjini v anketi sodelujočih knjižnic se še ni srečalo s primerom
okužbe z izsiljevalskim virusom, ostale so okužbo ustavile pred izgubo podatkov ali so podatke
povrnile iz varnostnih kopij. Nobeni ni bilo treba prositi za pomoč ustrezne državne službe (SI-
CERT) ali plačati odškodnine za povrnitev datotek. Za posodabljanje programske opreme v
večini knjižnic (81 odstotkov) skrbi oseba usposobljena za ravnanje z opremo IKT, varnostno
tveganje predstavljajo knjižnice, kjer za posodabljanje skrbijo zaposleni sami. Večina knjižnic
je odgovorila, da za posodabljanje skrbijo ročno na vsaki delovni postaji posebej, kar je časovno
zamudno in ne zagotavlja ustrezne varnosti delovnih postaj. Dobra tretjina jih posodablja
programsko opremo avtomatizirano, kar je primer dobre prakse. Slednjo predstavlja tudi
ravnanje v primeru uporabe gesel, kajti dve tretjini knjižnic navajata, da lokalni administratorski
računi nimajo enakih gesel, v primeru okužb se le-te ne morajo seliti po lokalnem omrežju, saj
68
za to nimajo zadostnih privilegijev. Ob zaključku delovnega dne, z izjemo manjšega deleža
knjižnic, zaposleni svoje računalniške delovne postaje fizično izklopijo, kar po eni strani sicer
zagotavlja večjo varnost računalniškega sistema, a na drugi strani onemogoča avtomatično
posodabljanje operacijskih sistemov delovnih postaj zunaj delovnega časa.
V primeru politike uporabniških gesel lahko zasledimo v nekaterih ravnanjih knjižnic
pomembna varnostna tveganja. Več kot polovica jih nima sprejetega dokumenta o varnostni
politiki uporabniških gesel, menjava gesel pa je prepuščena pobudi zaposlenih, kar pomeni, da
zaposleni ne menjavajo gesel, če jih v menjavo ne prisili operacijski sistem. Večina knjižnic je
odgovorila, da sistem preverja kompleksnost in dolžino gesel, problematičnih pa je 42
odstotkov knjižnic, kjer je to prepuščeno zaposlenim.
Večina v anketi sodelujočih knjižnic zaposlenim ne omogoča dostopa do službenih
računalnikov in elektronske pošte na daljavo, kar varnostna tveganja zmanjšuje. V primeru
oddaljenega povezovanja pa zaposleni uporabljajo varne tehnologije. Ravno tako uporabljajo
primerne programske podpore za dostop do službene elektronske pošte, le v enem primeru se
uporablja Gmail, kar predstavlja potencialno varnostno tveganje – za službeno komunikacijo
se namreč uporaba omenjene storitve odsvetuje, kajti pošta potuje tudi zunaj okvirov
organizacije.
Kar 68 odstotkov knjižnic navaja, da imajo postavljena lastna brezžična omrežja, kar lahko
predstavlja varnostno tveganje, če omrežja niso ustrezno zaščitena in segmentirana (brezžično
omrežje more biti ločeno od poslovne interne mreže). Večina knjižnic ima vzpostavljeni tudi
omrežji Eduroam in Librom, ki pa sta ustrezno varovani. Lastna brezžična omrežja v največjem
deležu ščitijo z varnostnim mehanizmom WPA2, ki predstavlja minimum za varno omrežje,
priporočljivo je imeti tudi avtentikacijo RADIUS, kar ima četrtina knjižnic. Ostali uporabljani
varnostni mehanizmi, kot so omejevanje naslovov MAC, WEP in WPA, pa varnostno niso
zadovoljivi. Večina knjižnic ima brezžična omrežja ločena od interne poslovne mreže, kar je
primer dobre prakse.
Večina knjižnic navaja, da se na področju informacijske varnosti zaposleni izobražujejo le
občasno ali da se tovrstnih izobraževanj ne udeležujejo, kar je z varnostnega vidika
zaskrbljujoče, največje varnostno tveganje za računalniško varnost organizacije so ravno
neinformirani in varnostno neozaveščeni zaposleni. Potencialno varnostno tveganje nakazuje
69
tudi podatek, da se izobraževanj s področja informacijske varnosti večinoma udeležujejo le
zaposleni, ki so zadolženi za opremo IKT.
Rezultati ankete za zaposlene v knjižnicah kažejo, da večina anketirancev uporablja med dve
in pet različnih gesel, kar je v obdobju spletnih storitev občutno premalo. Težave se pojavijo v
primeru vdora v eno od spletnih storitev, kjer je uporabnik registriran. V tem primeru zaidejo
vsa uporabniška gesla na spletni storitvi na sezname gesel, dostopnih zlonamernim
uporabnikom na temnih delih svetovnega spleta. Zlonamerni posamezniki nato tako zbrana
gesla preizkušajo za morebitno prijavo na druge spletne storitve, v prvi vrsti tiste, ki omogočajo
večje zlorabe, kot so npr. spletna pošta ali družbene skupnosti (Gmail, Facebook ipd.). Dobra
praksa bi bila uporaba različnih gesel za vsako spletno storitev posebej ob hkratni uporabi
programov za upravljanje gesel, ki skrbijo tudi za njihovo varno shranjevanje.
Spodbuden je rezultat, da 60 odstotkov anketirancev za več različnih prijav na računalniške
delovne postaje oziroma za dostop do aplikacij ter spletnih strani/storitev ne uporablja enakih
gesel, pri oblikovanju različnih gesel pa jih glede zahtevnosti gesel 58 odstotkov upošteva
varnostna priporočila. Z varnostnega vidika je neugoden podatek, da 80 odstotkov anketiranih
določeno geslo najpogosteje spremeni takrat, ko jih na to opozori računalniški sistem. Ker
večina spletnih storitev ne zahteva menjave gesel (rezen ob vdorih), to pomeni, da velik delež
zaposlenih uporablja enaka gesla daljša časovna obdobja. Kot kažejo rezultati ankete, je le
majhen delež tistih, ki na lastno pobudo geslo spremenijo vsaj enkrat na tri mesece.
Da pri oblikovanju gesel upoštevajo varnostna priporočila, navaja večina anketirancev, in sicer
zaposleni v NUK v večjem deležu kot ostali. Žal pa sodelujoči v raziskavi vseh priporočil ne
upoštevajo. Najpogosteje uporabljajo kombinacijo malih in velikih črk, samo tretjina jih
upošteva potrebno dolžino gesel, le petina jih uporablja posebne znake. Za sestavo varnega
gesla pa je nujno upoštevati vsa tri priporočila. Dobra polovica anketirancev pri menjavi gesla
uporablja staro osnovo, kar pomeni, da gesla v bistvu sploh niso spremenili. Takšen način
sestavljanja gesel je z varnostnega vidika odsvetovan. Tretjina jih navaja, da si zapišejo
nekatera gesla, dobra desetina, da si zapišejo vsa gesla. Z varnostnega vidika je zapisovanje
gesel na papir veliko varnostno tveganje. Večina anketirancev navaja, da gesel ne shranjujejo
v elektronski obliki, kar je z vidika varnosti dobro. Vendar pa večina tistih, ki gesla shranjujejo
v elektronske datoteke, le-teh ne ščitijo s šifriranjem, kar predstavlja varnostno tveganje.
70
Programsko opremo za shranjevanje gesel pozna le peščica anketirancev (6 odstotkov), manj
kot tretjina jih je zanjo že slišala, večina pa je ne pozna.
Večina anketirancev je glede na varnostna priporočila pravilno določila varna gesla. Dobra
tretjina jih je označila tudi dvoje gesel, ki zaradi prekratke dolžine varnostno ne ustrezata.
Zanimivo je, da se anketirancem zdi mešano zaporedje črk, besed in znakov bolj varno, kot
uporaba daljšega stavka. Izjema so anketiranci, zaposleni v NUK, ki so v primerjavi z drugimi,
v opazno večjem deležu kot varno geslo oziroma tudi kot način oblikovanja varnih gesel, izbrali
uporabo naključnega stavka. Z varnostnega vidika sta sicer oba načina oblikovanja gesel
ustrezna, vendar si je stavek laže zapomniti in ga ni treba zapisovati, kar pomeni, da predstavlja
boljšo izbiro za varno geslo. Podobno kot v primeru izbire varnih gesel so anketiranci tudi pri
naštetih načinih sestavljanja gesel večinoma izbrali pravilna odgovora, jih je pa tretjina kot
varen način izbrala tudi uporabo daljše številke, kar pa ne ustreza definiciji varnega gesla (razen
v primeru, da bi res izbrali zelo dolgo številko, ki pa onemogoča pomnjenje gesla).
Z varnostnega vidika ugotavljamo ustrezno ravnanje tudi v primeru uporabe gesel, kajti večina
anketirancev navaja, da jih sodelavci še niso prosili za geslo, če pa se je to zgodilo, jim gesla
niso zaupali. Anketiranci, zaposleni v NUK, so v bistveno nižjem deležu (18 odstotkov) od
povprečja (29 odstotkov) že kdaj dovolili sodelavcu, da se na svojo računalniško postajo prijavi
z njihovim uporabniškim imenom in geslom. V primeru suma, da si je nekdo prisvojil njihovo
geslo, večina sodelujočih v anketi odgovarja, da bi takoj zamenjali geslo, obvestili osebo
zadolženo za opremo IKT in zamenjali tudi druga gesla, povezana z odtujenim, kar je ustrezen
odziv na dogodek. Žal bi jih samo 7 odstotkov o primeru obvestilo tudi pristojni organ za
obravnavo incidentov s področja varnosti elektronskih omrežij in informacij (SI-Cert).
Za varnost službenih računalniških delovnih postaj je pomembno, da zaposleni preprečujejo
njihovo nepooblaščeno uporabo. Večina (61 odstotkov) anketirancev ob zapustitvi zaklene
svojo delovno postajo, kar je varnostno ustrezno, ni pa nezanemarljiv delež tistih, ki tega ne
storijo. Nezaklenjena postaja omogoča nepooblaščenim uporabnikom dostop do nje in možnost
zlorabe (npr. pošiljanje elektronske pošte v imenu zaposlenega ali brisanje dokumentov). Z
izjemo manjšega števila anketirancev jih večina ob odhodu iz službe opravi odjavo iz sistema,
kar je primer dobre prakse (pred odjavo je treba zapreti dokumente, kar pomeni, da so tudi
shranjeni in ob nalaganju sistemskih posodobitev ne pride do izgube podatkov). Varnostno
manj primerno pa anketiranci ravnajo ob krajši zapustitvi delovne postaje med službenim
71
časom, kajti več kot tretjina jih ob odhodu ne poskrbi za njeno zavarovanje in s tem potencialno
omogočajo nepooblaščen dostop do njihovih podatkov in dokumentov. Izjema so delovne
postaje, na katerih si več uporabnikov deli uporabniška imena (npr. delovne postaje na izposoji).
Večina zaposlenih ne dovoli sodelavcem, da bi pri prijavi na svojo delovno postajo uporabili
njihovo uporabniško ime, kar je varnostno pravilno.
Ugotavljamo, da anketiranci v zadovoljivi meri prepoznavajo grožnje informacijski varnosti, ki
so jim izpostavljeni pri delu v elektronskem okolju. Večina jih je namreč pravilno izbrala
elektronsko pošto, kot najpogostejši način širjenja virusov. Sledijo njihov prenos s spleta, ki je
mogoč v primeru slabo varovanih omrežij (brez ali s slabim požarnim zidom) ter uporaba
prenosnih naprav in programov za instant sporočanje, ki skrbnikom opreme IKT povzročajo
veliko skrbi pri zagotavljanju varnosti omrežij. Med naštetimi ukrepi, ki preprečujejo
zlonamerno pridobivanje podatkov/informacij z metodami socialnega inženiringa, je večina
anketirancev izbrala vse ponujene odgovore, kar pomeni z vidika varnostne ozaveščenosti
pozitiven rezultat. Vsi navedeni ukrepi so namreč ustrezni in je treba upoštevati prav vse. Skoraj
vsi anketiranci so navedli tudi, da službene pošte, prejete z neobičajnih naslovov, ne odpirajo,
kar je pravilen odziv. V primeru odpiranja elektronske pošte, ki vključuje priponko, pa so manj
previdni, velik delež (70 odstotkov) jih namreč navaja, da priponko odprejo, če poznajo
pošiljatelja. Pri odpiranju priponk moramo slediti varnostni politiki in pravilu »ne odpiraj, če
nisi prepričan o vsebini«. Poznavanje pošiljatelja ni zadosten pogoj za odprtje priponke. Pred
njenim odprtjem je treba elektronsko sporočilo ovrednotiti in oceniti, kakšen pomen ima za nas
osebno, se torej vprašati, zakaj bi jaz osebno dobil to sporočilo, je to smiselno?
Le zelo majhen delež anketirancev pri pošiljanju elektronske pošte uporablja programe za
šifriranje sporočil. Takšen rezultat sam po sebi ni slab, če seveda ne pomeni, da se na tak način
posredujejo tudi občutljivi poslovni ali osebni podatki. V povezavi z vprašanjem o načinih
posredovanja občutljivih osebnih podatkov, sicer ugotavljamo, da bi največ anketirancev
izbralo varni obliki dostave podatkov, kjer prestrezanje sporočil ni enostavno, tj. telefonsko
oziroma kot priporočeno poštno pošiljko. Opozoriti pa velja, da bi jih petina občutljive osebne
podatke poslala prek običajne elektronske pošte, kar varnostno ni ustrezno. Med tistimi, ki so
zbrali kot medij za posredovanje osebnih podatkov elektronsko pošto, zaposleni v NUK
izkazujejo višjo stopnjo varnostne ozaveščenosti od ostalih anketirancev, saj dajejo prednost
šifriranemu pošiljanju sporočil.
72
Varnostno tveganje lahko predstavlja tudi ravnanje zaposlenih v primeru uporabe storitev
spletnih ponudnikov, kot so Gmail, Hotmail, Yahoo ipd. Večina udeležencev ankete namreč
navaja, da v službenem okolju uporabljajo spletne ponudnike elektronske pošte, kar je lahko
potencialna varnostna grožnja, kajti vsa komunikacija med delovno postajo zaposlenega in
strežnikom ponudnika je šifrirana in zaposleni tako zaobide zaščite na požarnem zidu knjižnice.
V celoti pravilno ravnanje pa večina anketirancev izkazuje v primeru prejetja elektronske pošte
od neznanega oziroma sumljivega pošiljatelja, kajti prejeto sporočilo bi takoj izbrisali. Ravno
tako pravilno ugotavljajo, da je najboljši način preprečevanja okužbe z računalniškimi virusi
prek elektronske pošte sumljivih pošiljateljev brisanje sporočil brez odpiranja priponk, in
pravilno razumejo, kaj sodi pod sprejemljivo rabo službenega elektronskega poštnega predala.
V primeru težav s službeno računalniško opremo nihče od anketirancev ne bi ravnal varnostno
tvegano, skoraj vsi bi namreč za pomoč najprej zaprosili sistemskega administratorja oziroma
osebo, odgovorno za opremo IKT. V primeru anketirancev iz NUK bi se, z izjemo ene osebe,
vsi takoj obrnili na ustrezno pooblaščeno osebo. Kar polovica (52 odstotkov) anketirancev bi
sistemskemu administratorju zaupala svoje geslo za prijavo na službeno računalniško delovno
postajo. Zaposleni v NUK bi bili nekoliko previdnejši, geslo bi jih administratorju zaupalo 40
odstotkov. Pravilno obnašanje v primeru težav z računalniško opremo je zamenjava
uporabniškega gesla z začasnim geslom s strani sistemskega administratorja in po odpravljeni
težavi nastavitev novega gesla s strani uporabnika. S tem, da zaposleni gesla ne zaupa
sistemskemu administratorju, zaščiti sebe in sistemskega administratorja pred potencialnimi
nesporazumi oziroma možnimi zlorabami.
Več kot polovica zaposlenih, sodelujočih v anketi, opravlja službena dela tudi izven prostorov
delovne organizacije in jih pri tem večina uporablja lastno računalniško opremo, kar predstavlja
potencialno varnostno tveganje – lastne delovne postaje namreč načeloma niso dovolj
varnostno zaščitene (vklopljen požarni zid, posodobljen protivirusni program ipd.).
Doma narejene datoteke si precejšen delež anketirancev (43 odstotkov; zaposleni v NUK: 36
odstotkov) z lastnega računalnika na računalniško delovno postajo v službi prenaša tudi s
pomočjo zunanjih pomnilniških naprav (ključki USB in zunanji diski), kar predstavlja
varnostno tveganje. Pri ostalih primerih prenosa podatkov (elektronska pošta, prenos prek
dostopa na daljavo, oblak) je posredovana datoteka varnostno večkrat pregledana, v primeru
zunanjih pomnilniških naprav pa se lahko uporabi le protivirusna zaščita na službeni delovni
73
postaji. Anketiranci iz NUK v večjem deležu kot ostali anketiranci uporabljajo za delo na domu
oddaljen dostop in v večjem deležu z domačih računalniških postaj tudi prenašajo podatke na
računalnike v službi prek oddaljenega dostopa.
Dostop na daljavo do računalniške delovne postaje v službi sicer uporablja manj kot polovica
v anketi sodelujočih zaposlenih, lahko pa tak način povezovanja pomeni varnostno grožnjo, če
zaposleni na lastni računalniški opremi ne zagotavljajo ustrezne ravni zaščite. Pri delu na domu
se v primeru oddaljenega povezovanja na službeno računalniško postajo večina anketirancev
do službenih delovnih postaj povezuje prek varnostno zaščitenih brezžičnih omrežij, kar je z
varnostnega vidika pravilno ravnanje. Kljub temu moramo opozoriti, da se petina zaposlenih z
vprašanjem varnostne zaščite uporabljanega brezžičnega omrežja ne »obremenjuje«, kar
predstavlja varnostno tveganje. Uporaba nešifriranih povezav namreč omogoča odtujitev
uporabniških gesel ali prestrezanje mrežnega prometa. Z vidika dobre varnostne prakse pa je
spodbuden rezultat, da večina (67 odstotkov) anketirancev, ki uporabljajo oddaljen dostop,
tretjim osebam ne dovoli uporabe računalnika, s katerega oddaljeno dostopajo do službenih
delovnih postaj.
Na področju upravljanja informacijske varnosti smo v anketi spraševali le o obstoju varnostnih
politik, ki sicer predstavljajo izhodišče vsakega sistema varnosti. Slaba polovica anketirancev
odgovarja, da imajo v organizaciji izdelano in sprejeto varnostno politiko. Ne moremo pa z
gotovostjo trditi, da več kot polovica delovnih organizacij, v katerih so anketirani zaposleni,
nima izdelane in sprejete varnostne politike. Precejšen delež (38 odstotkov) anketirancev
namreč sploh ne ve, če takšen dokument obstaja ali ne, z varnostnega vidika je takšen podatek
zaskrbljujoč. Večina anketirancev (61 odstotkov; anketiranci iz NUK: 72 odstotkov), ki je
navedla, da njihova organizacija ima dokumente o varnostni politiki, navaja, da ne pozna
njihove vsebine, kar predstavlja veliko varnostno tveganje za posamezno organizacijo.
Potrebna bi bila večja angažiranost vodstev knjižnic in zaposlenih samih za seznanjanje s
sprejeto varnostno politiko, ki ni samo formalen dokument, ampak predstavlja dobre prakse in
pravila za uporabo opreme IKT. Ukrepi bi bili potrebni tudi na področju sistematične skrbi za
izobraževanje zaposlenih s področja računalniške oziroma informacijske varnosti, le četrtina v
anketi sodelujočih je namreč navedla, da se je že kdaj udeležila tovrstnih izobraževanj, bi si jih
pa velik delež tega želel.
74
5 INFORMACIJSKA VARNOST V NARODNI IN UNIVERZITETNI
KNJIŽNICI
5.1 Metodologija in raziskovalna metoda
Raziskovalne podatke smo pridobili z metodo študije primera, v okviru katere smo opravili
analizo dokumentov preučevane organizacije in postopkov za zagotavljanje informacijske
varnosti njenega informacijskega sistema, vidik upravljanja informacijske varnosti pa preučili
tudi s pomočjo preverjanja uresničevanja referenčnih ciljev kontrol in kontrol SUIV, ki jih
vključuje Dodatek A Standarda SIST ISO/IEC 27001 (2013). Pri preverjanju stanja po
posameznih kontrolah so sodelovali zaposleni v službah za knjižnično informatiko in za
informacijsko-komunikacijsko podporo.
5.2 Predstavitev knjižnice in njenega informacijskega sistema
5.2.1 Funkcije in naloge knjižnice
NUK je največja slovenska znanstvena knjižnica, njena predhodnica, Licejska knjižnica, je bila
ustanovljena že leta 1774. Knjižnica danes opravlja naloge nacionalne knjižnice, univerzitetne
knjižnice Univerze v Ljubljani ter osrednje slovenske znanstvene in državne knjižnice.
Odgovorna je za zbiranje in trajno ohranjanje narodove pisne kulturne in znanstvene dediščine
v klasični in elektronski obliki, ter za njeno dostopnost sedanjim in prihodnjim generacijam.
Odgovorna je tudi za gradnjo in razvoj Digitalne knjižnice Slovenije ter aktivno sodeluje pri
razvoju Europeane, od leta 2009 tudi kot nacionalni agregator e-vsebin s področja kulture.
Izvaja bibliografsko kontrolo nad publikacijami, ki imajo značaj slovenike, in je prek centrov
za ISBN, ISMN in ISSN vključena v sistem mednarodne bibliografske kontrole. Kot osrednja
državna knjižnica opravlja naloge centra za razvoj knjižnic, izvaja permanentno izobraževanje,
strokovno izpopolnjevanja knjižničarjev in bibliotekarske izpite, pripravlja strokovne podlage
za splošne predpise in strokovna priporočila s področja knjižničarstva in zagotavlja strokovno
podporo razvoju nacionalnega bibliografskega sistema. Knjižnica zagotavlja avtomatizirani
sistem BibSiSt za zbiranje, obdelavo ter predstavljanje nacionalne statistike o dejavnosti
knjižnic, sistem omogoča tudi izračune kazalcev uspešnosti njihovega delovanja.
75
Ob koncu leta 2016 je knjižnična zbirka NUK obsegala več kot 2,8 milijona enot gradiva.
Knjižnica je zagotavljala dostop do 44 mednarodnih podatkovnih zbirk znanstvene literature,
146.247 naslovov tujih elektronskih knjig ter prek portala Digitalne knjižnice Slovenije
(dLib.si) do 749.642 digitalnih virov (knjige, periodika, rokopisi, slike, glasba, zemljevidi),
nastalih izvirno v digitalni obliki ali z digitalizacijo izvirnikov na klasičnih nosilcih zapisa.
Zaposlovala je skupaj 129 EPZ strokovnjakov s področja knjižničarstva, računalništva in
informatike, konzervatorstva/restavratorstva ter različno podporno osebje (Letno poročilo
2016, 2017). Skrb za upravljanje in razvoj informacijskega sistema knjižnice je poverjena
zaposlenim v Enoti za informacijsko tehnologijo in digitalno knjižnico (Slika 5.1).
Slika 5.1: Organizacijska struktura Narodne in univerzitetne knjižnice
Vir: Narodna in univerzitetna knjižnica (13. marec 2017)
Zaradi slabih prostorskih pogojev se knjižnica v prvi vrsti usmerja na čim bolj kakovostno
ponudbo elektronskih virov in storitev, poleg tega narašča obseg digitalnega gradiva, ki ga mora
kot nacionalna depozitarna organizacija trajno hraniti in zagotavljati pogoje za njegovo
dostopnost tudi v prihodnosti. Vse to močno vpliva na kompleksnost njenega informacijskega
76
sistema ter na potrebne vire za njegovo delovanje in razvoj (kadri, informacijska infrastruktura,
programska oprema, delovni procesi itd.). Informacijski sistem podpira tudi poslovne procese
knjižnice (računovodstvo, finance, kadrovska evidenca, sistem javnih naročil, dokumentni
sistem, kontrola dostopa itd.), kar še povečuje njegovo raznolikost. NUK je v letu 2016
upravljal in vzdrževal 8 samostojnih fizičnih strežnikov, 8 fizičnih strežnikov kot gostiteljev
virtualnih strežnikov, 63 virtualnih strežnikov na gostiteljih, 42 enot opreme za lokalno
omrežje, 5 diskovnih polj, 4 stikala za omrežje SAN, 3 robotske knjižnice za varnostno
kopiranje podatkov in arhiviranje, 205 računalniških delovnih postaj, 20 lahkih odjemalcev in
36 tiskalniških delovnih postaj.
Izziv upravljanju informacijskega sistema predstavlja tudi poslovanje knjižnice na dveh, več
kot 10 km medsebojno oddaljenih lokacijah, in sicer v centru mesta (Turjaška ulica) ter na
njegovem obrobju v poslovni coni BTC (Leskoškova cesta). Računalniški center je umeščen v
prostore na Leskoškovi, v zgradbi na Turjaški je le lokalno komunikacijsko vozlišče. Med
lokacijama sta vzpostavljeni 2 redundantni optični povezavi, ki zagotavljata neprekinjeno
povezanost med lokacijama. Podatkovni center (CINUK) na Leskoškovi je bil dograjen v
začetku leta 2010, v uporabi pa je od septembra istega leta. Skozi celotno življenjsko obdobje
podatkovnega centra je zaradi zagotavljanja neprekinjenega delovanja potrebno sprotno
vzdrževanje podpornih sistemov, ki oskrbujejo podatkovni center. Za vsako skupino naprav je
treba zagotoviti četrtletne servisne preglede, s sprotnim spremljanjem in odpravljanjem
anomalij v delovanju. Redno je treba izvajati meritve akumulatorjev, preverjati je treba tudi
sistem gašenja s plinom, ki v primeru požara samodejno ugasne ogenj. Hladilni sistem je zaradi
kopice ventilatorjev, črpalk in senzorjev podvržen obrabi, zato je nujno njegovo sprotno
vzdrževanje, saj le tako lahko zagotovimo dobro delovanje naprav tudi v najhujši vročini.
Agregat se mora skupaj z bremenom preizkušati vsakih 14 dni, da lahko z gotovostjo zaupamo
brezhibnosti celotnega postopka ob izpadih oziroma anomalijah v napajanju. Za neprekinjeno
delovanje podatkovnega centra je organizirana tudi službo tehničnega skrbništva centra, z
odzivnim časom pol ure. Omenjeni ukrepi zagotavljajo visoko stopnjo informacijske varnosti
informacijskega sistema knjižnice.
5.2.2 Presoja informacijskega sistema knjižnice in izvedba predlaganih ukrepov
Celovita presoja (revizija) informacijskega sistema je bila opravljena v fazi priprave novega
strateškega načrta knjižnice v letu 2012, in sicer na osnovi metodologije COBIT. V točkah, ki
77
se nanašajo na varnost informacijskega sistema, je bila dopolnjena s priporočili in zahtevami
družine standardov ISO 27000, v točkah, ki se nanašajo na upravljanje informacijskega sistema
pa s priporočili ISACA, standardom ISO 20000 oziroma z zbirko dobrih praks ITIL. Revizija
je vključevala pregled upravljanja informacijskega sistema ter oceno zmogljivosti,
obremenjenosti in izkoriščenosti informacijske infrastrukture (Potočnik, 2012). Ugotovitve
presoje so bile naslednje:
Upravljanje informacijskega sistema: ugotovljeno je bilo, da knjižnica še nima dokumenta
z opredeljeno strategijo informatike, uveljavljene metodologije ocenjevanja in upravljanja
informacijskih tveganj ter celovite metodologije upravljanja z informacijskimi
viri/dobrinami (računalniška oprema, storitve, podatki, kadri). Presojevalec je zato
predlagal izdelavo informacijske varnostne politike, ki bo opredelila metodologijo
upravljanja in ocenjevanja tveganj, ter izdelavo kataloga informacijskih tveganj. Knjižnica
naj bi uvedla tudi celovito metodologijo upravljanja z informacijskimi viri, izdelala seznam
informacijskih virov in katalog storitev ter opredelila postopke upravljanja sprememb na
področju razvoja programske podpore in informacijskih storitev. Ker je v času presoje bila
informacijska podpora poslovnim procesom umeščena v dve organizacijski enoti, naloge,
pristojnosti in odgovornosti zaposlenih pa niso bile jasno opredeljene, je bila priporočena
vzpostavitev enovite organizacijske enote za informacijsko podporo celotni knjižnici.
Sistemiziralo naj bi se tudi delovno mesto ožjega člana vodstva knjižnice, zadolženega za
strateško načrtovanje informatike in informacijske varnosti ter za upravljanje
informacijskega sistema in upravljanje sprememb. Treba bi bilo tudi kadrovsko okrepiti
sektor, odgovoren za informatiko in informacijsko tehnologijo, ter uvesti načrtno
izobraževanje zaposlenih za njeno varno uporabo.
Zmogljivost, obremenjenost in izkoriščenost informacijske infrastrukture: v okviru presoje
informacijskega sistema je bilo ugotovljeno, da je računalniški center (prostor in njegova
infrastruktura) na zelo visokem tehnološkem in varnostnem nivoju, kar je tudi sicer nujen
predpogoj, kajti knjižnica hrani digitalne podatke neprecenljive kulturne in znanstvene
vrednosti. Velik del uporabniške računalniške opreme je bil pripoznan kot prestar (približno
60 odstotkov opreme starejše od pet let) in je kot takšen zahteval preveč intervencij in
vzdrževanja, diskovna polja pa zelo zasedena, kar naj bi predstavljalo tveganje slabe
odzivnosti ter možnost izpadov delovanja. Po mnenju presojevalca bi knjižnica morala
imeti redna investicijska sredstva za letno zamenjavo 20 do 25 odstotkov obstoječe
78
računalniške opreme, za nakup novih diskovnih kapacitet, posodabljanje diskovnih polj za
zaščito podatkov ter za redno obnavljanje, dograjevanje ali nabavo komunikacijske opreme.
Kot alarmantno je izpostavil dejstvo, da je bil načrt investicij v informacijsko tehnologijo v
letu 2010 uresničen le v obsegu 30 odstotkov, v letu 2011 pa le še 6-tih odstotkov.
Ukrepe za odpravljanje ugotovljenih slabosti je knjižnica upoštevala pri pripravi novega
strateškega načrta, ki kot strateški cilj vključuje tudi izdelavo celovitega strateškega načrta
razvoja informatike do konca leta 2017 ter zagotavljanje ustrezne opreme IKT in kadrov za
podporo njenim uporabniškim in poslovnim procesom (Strateški načrt NUK za obdobje 2015–
2019, 2014). Vzpostavila je tudi enovito organizacijsko enoto za informacijsko podporo
dejavnostim knjižnice, z opredeljenimi pristojnostmi in odgovornostmi zaposlenih (Enota za
informacijsko tehnologijo in digitalno knjižnico). Kljub radikalnemu vsakoletnemu
zmanjševanju sredstev za opremo IKT v primerjavi z vlaganji za njen razvoj do leta 2009, je
bilo ves čas zagotovljeno neprekinjeno delovanje računalniške infrastrukture, potrebne za
delovanje vseh servisov, ki jih za nemoteno delo potrebujejo zaposleni v NUK in ki jih NUK
nudi uporabnikom. Še posebna skrb je bila namenjena razvoju in vzdrževanju omrežja, servisov
in strežnikov, tudi za podporo poslovno-informacijskemu sistemu in Digitalni knjižnici
Slovenije.
Po letu 2012 je knjižnici kljub temu, da za investicije ni več prejemala proračunskih sredstev
oziroma so bila slednja minimalna, uspelo z lastnimi sredstvi povečati diskovne kapacitete v
centru informatike CINUK, za center na Turjaški so bila nabavljena diskovna polja za zrcaljenje
najpomembnejših podatkov s primarnega centra na Leskoškovi, zamenjani so bili zastarela
knjižnica za varnostne kopije podatkov in zastareli strežniki, letno so se posodabljale
računalniške delovne postaje, s čimer se je njihova povprečna starost zmanjšala na štiri leta.
Zamenjana sta bila sistem za kontrolo pristopa in rezervacijo čitalniških sedežev ter tiskalniški
sistem. Za zanesljivo delovanje računalniškega centra je bilo pomembno tudi vzdrževanje
sistemske programske opreme, to je vzdrževanje za okolje Windows in Office, zaščita omrežja
pred napadi z interneta in virusi, ter nakup okolja VMWARE (virtualizacija delovnih namizij).
Kompleksno omrežje je zahtevalo tudi sodelovanje zunanjih izvajalcev, saj je knjižnica le z
njihovo pomočjo lahko zagotavljala stalno razpoložljivost servisov uporabnikom.
Zaradi številnih varčevalnih ukrepov v javnem sektorju, in v letu 2012 sprejetega Zakona o
uravnoteženju javnih financ (ZUJF), je morala knjižnica kot posredni proračunski uporabnik
79
zmanjševati število zaposlenih, za vzdrževanje in razvoj informacijskega sistema pa
investicijska sredstva zagotavljati pretežno ali v celoti iz lastnih prihodkov. V zadnjih letih so
bile investicije na področju informatike minimalne, saj potrebnih proračunskih sredstev
knjižnica v ta namen ni prejemala. Načrt nujnih investicij na področju informatike je bil tako v
letu 2016 uresničen le v obsegu 13 odstotkov, kar pomeni, da npr. niso bili uresničeni
zamenjava požarnega zidu in zastarelih strežnikov, dodatne kapacitete na diskovnem polju in
replikacija ključnih strežnikov niso bile zagotovljene, pogoji za arhiviranje in varnostno
kopiranje podatkov niso bili nadgrajeni v skladu s potrebami itd. (Letno poročilo 2016, 2017).
Posledice omenjenih varčevalnih ukrepov države pomenijo na področju zagotavljanja pogojev
za informacijsko varnost za javne zavode velika potencialna tveganja, ki se bodo v prihodnjih
letih zaradi zastarevanja opreme IKT ter nezadostnih sredstev za njeno vzdrževanje in nakup
nove predvidoma še stopnjevala.
5.3 Upravljanje informacijske varnosti
Knjižnica še nima vzpostavljenega celovitega sistema upravljanja informacijske varnosti in
sprejete krovne politike informacijske varnosti (dokument je v izdelavi), izvaja pa različne
tehnične in organizacijske postopke ter ukrepe, ki se nanašajo na varovanje informacij in
sredstev informacijske infrastrukture pred tveganji izgube, zlorabe, razkritja in poškodbe, ter
nadzor, ki ga mora opravljati organizacija, da zagotovi obvladovanje morebitnih tveganj. Oceno
obstoječega stanja in predlog nadaljnjih ukrepov smo pripravili na osnovi pregleda
uresničevanja referenčnih ciljev kontrol, ki jih vključuje Dodatek A Standarda SIST ISO 27001
(2013) (Priloga 5). Gradivo bo uporabljeno pri pripravi strateškega dokumenta knjižnice o
razvoju informatike.
Poleg upoštevanja zakonodaje in drugih dokumentov, ki se nanašajo na področje zavarovanja
podatkov in informacij v klasični oziroma digitalni obliki23, ima knjižnica sprejete tudi lastne
dokumente (pravilniki ter sklepi in navodila ravnatelja), ki vključujejo pravila oziroma določajo
potrebna ravnanja zaposlenih in pogodbenih partnerjev na področju varovanja, dostopa,
obdelave, shranjevanja, prenosa in uničenja podatkov in informacij. Omenili bomo le nekatere.
23 Npr. Smernice za zajem, dolgotrajno ohranjanje in dostop do kulturne dediščine v digitalni obliki
(2013).
80
Pravila ravnanja delavcev v delovnem razmerju v Narodni in univerzitetni knjižnici (2005)
predpisujejo priporočeno in želeno obnašanje in ravnanje zaposlenih ter ravnanja ali opustitve
ravnanj, ki pomenijo kršitve obveznosti delavcev. Med ravnanji, ki predstavljajo kršitev, so
navedena tudi tista, ki se neposredno ali posredno nanašajo na varovanje podatkov in
informacij.
Pravilnik o postopkih za zavarovanje osebnih podatkov v Narodni in univerzitetni knjižnici
(2007) določa pravne, organizacijske in ustrezne tehnične postopke in ukrepe za zavarovanje
osebnih podatkov uporabnikov in zaposlenih ter drugih osebnih podatkov, ki jih knjižnica zbira,
obdeluje, posreduje ali uporablja. Določa tudi prostore in delovna mesta ter odgovornosti na
njih zaposlenih delavcev, pooblaščenih za zbiranje in obdelavo osebnih podatkov. Podrobno so
opredeljeni ukrepi za zavarovanje sistemske in aplikativne programske opreme, s katero se
osebni podatki obdelujejo, ter ukrepi za zagotovitev varnosti posredovanja in prenosa osebnih
podatkov. S predpisanimi postopki in ukrepi se: preprečuje nepooblaščen ali neregistriran
dostop do prostorov ter strojne in programske opreme, slučajno ali namerno nepooblaščeno
uničenje podatkov, njihova sprememba ali izguba ter nepooblaščen dostop, obdelava,
posredovanje in uporaba osebnih podatkov.
Na področju trajnega ohranjanja pisne kulturne dediščine v klasični in digitalni obliki ima
knjižnica izdelan tako strateški dokument kot izvedbene dokumente za uresničitev ciljev.
Strateški cilji se nanašajo tudi na zagotavljanje celovitosti, razpoložljivosti in zaupnosti
informacij (Strategija trajnega ohranjanja digitalnih virov v Narodni in univerzitetni knjižnici
2012–2020, 2012).
Pravila, ki jih morajo upoštevati uporabniki knjižnice pri uporabi njenih prostorov,
informacijskih virov in tehnologije (omrežja, naprav in programske opreme), ter pravice in
dolžnosti knjižnice do uporabnikov, določa Pravilnik o splošnih pogojih poslovanja Narodne
in univerzitetne knjižnice (2015). Dokument vključuje določbe za zavarovanje različnih vrst
podatkov in informacij, tako z organizacijskega in tehničnega kot tudi pravnega vidika.
81
5.4 Varovanje knjižnične zgradbe, prostorov in opreme
5.4.1 Kontrola pristopa s pomočjo avtentikacije RFID
Preden sploh lahko začnemo razmišljati o zagotavljanju elektronske varnosti, je treba zagotoviti
fizično varnost opreme, ki zagotavlja elektronske storitve. Poleg varnostnih služb in video
nadzora potrebujemo tudi sistem, ki nepooblaščenim osebam preprečuje fizični vstop v
infrastrukturno pomembne dele zgradbe. Uvede se lahko sistem osebnih avtentikacijskih kartic,
ki omogočajo nadzor ob vstopu v prostore z omejenim gibanjem, še večjo zaščito pa omogočajo
biometrične kontrole pristopa. Ker je uporaba biometrije v Sloveniji zakonsko zelo omejena, se
večina organizacij odloča za sistem RFID, tj. sistem radio frekvenčne identifikacije, ki omogoča
prenos podatkov med čitalcem in elektronsko kartico. Najpogosteje se uporablja pasivna
tehnologija kartic, kar pomeni, da čitalec oddaja magnetno polje, ki napaja tudi elektronske
kartice in slednje ne potrebujejo dodatnega napajanja. Seveda pa elektronske kartice same po
sebi ne zagotavljajo, da je oseba, ki kartico uporablja, dejansko tudi oseba, ki ji je bila kartica
dodeljena. Za zagotavljanje višjih stopenj varnosti je treba uporabiti dodatne mehanizme
preverjanja, kot so kode PIN ali gesla, še bolj zanesljiv varnostni mehanizem pa je sočasna
uporaba biometričnih tehnologij.
V NUK je bila v letu 2015 izvedena zamenjava celotnega sistema elektronske kontrole pristopa.
Star sistem je bil v uporabi 15 let in njegovo nadgrajevanje ni bilo več finančno vzdržno.
Temeljil je na Westinghousovi tehnologiji kartic, ki niso bile kompatibilne s tehnologijo RFID.
Zaradi zastarelosti sistema je prihajalo do prekinitev njegovega delovanja, stroški nakupa
elektronskih kartic so presegali desetkratnik cene modernejših kartic RFID, poleg tega je sistem
zahteval ogromno vzdrževalnih posegov zunanjih izvajalcev, kar je pomenilo visoke
obratovalne stroške.
Pri načrtovanju novega sistema kontrole se je knjižnica odločila za tehnologijo elektronskih
kartic RFID, ki je cenovno dostopna, njena implementacija relativno enostavna, stroški za
nakup dodatnih kartic pa nizki. Podjetje, izbrano za implementacijo sistema, je hkrati z
zamenjavo sistema nadgradilo obstoječe čitalce na vratih in opravilo zamenjavo elektronske
ure za vodenje evidence prihodov in odhodov zaposlenih. Programska oprema omogoča nadzor
nad celotnim sistemom kontrole pristopa, dodeljevanje pravic dostopa zaposlenim in
uporabnikom knjižnice, beleženje prehodov v prostore z omejenim gibanjem in beleženje ur
82
prisotnosti zaposlenih. Za potrebe knjižnice je bil razvit tudi programski dodatek/modul, ki
omogoča komunikacijo s knjižničnim informacijskim sistemom COBISS ter preverjanje statusa
študentov, kar knjižnica potrebuje pri dodelitvi in uporabi članskih izkaznic.
Ob zamenjavi sistema kontrole pristopa je bila opravljena zamenjava elektronskih kartic
zaposlenih in uporabnikov knjižnice. Izdajanje novih kartic je poenostavljeno in ne zahteva
intervencij s strani administratorjev, kot je bilo potrebno pri starem sistemu kontrole pristopa.
Odprtost novega sistema pa omogoča tudi nadaljnje nadgradnje in širitve funkcionalnosti24.
Nov sistem je z varnostnega vidika dobro zavarovan, vsa komunikacija med strežniki poteka
šifrirano, tako znotraj zgradbe knjižnice, kot tudi povezava z IZUM, ki hrani bazo podatkov o
članih knjižnic. Med čitalci in ostalo opremo se pošiljajo le številke kartic, kar omogoča zaščito
osebnih podatkov. Potencialno varnostno tveganje predstavljajo naprave, ki omogočajo
kopiranje kartic RFID, vendar mora zlonamerni uporabnik najprej pridobiti originalno kartico
ali iz nje prebrati številko ID25.
5.4.2 Elektronski sistem najema garderobnih omaric
Kontrola pristopa bo v naslednjem projektu nadgrajena še z elektronskim sistemom najema
knjižničnih garderobnih omaric. Trenutno stanje je analogno, torej deluje na principu običajnih
ključev. Postopek izposoje ključa je zamuden, prav tako vodenje evidence izposojenih ključev
in pobiranja zamudnin za nepravočasno vrnjene ključe.
Nov sistem bo omogočal avtomatizirano dodelitev garderobnih omaric članom knjižnice. Član
bo izbral omarico in jo aktiviral s pomočjo članske kartice, v zaledju pa bo tekel elektronski
servis, ki bo preverjal veljavnost izkaznic in trenutno stanje rezerviranih garderobnih omaric.
Če bo član uspešno prestal zahtevane pogoje za izposojo, se mu bo dodelila garderobna
omarica, ki jo bo lahko odpiral s pomočjo članske izkaznice. Stroški najema omarice se bodo
24 Tako je že bil vzpostavljen nov sistem rezervacije sedežev v Veliki čitalnici, ki članom omogoča
spletni pregled zasedenosti čitalnice in rezervacijo sedeža s člansko izkaznico. Sledila bo popolna
avtomatizacija rezervacijo sedežev, ki bo mogoča na samopostrežnem terminalu, ter če se bo pojavila
potreba, tudi prek spletne rezervacije ali aplikacije za mobilne telefone. 25 Za preprečitev tovrstnih zlorab se lahko uporabi naprednejše kartice RFID, ki omogočajo dodatna
šifriranja na sami kartici, seveda pa to pomeni višjo ceno kartic in dražje čitalce (npr. kartica Urbana
uporablja napredne mehanizme zaščite pred kopiranjem).
83
pripisali članskemu računu v sistemu COBISS in jih bo lahko član poravnal na plačilnem
okencu na oddelku izposoje, kjer potekata tudi izposoja in vračila knjižničnega gradiva.
Uporabnikom bo zagotovljena tudi večja zasebnost, saj zaposleni ne bodo več imeli vpogleda
(razen v primeru upravičenih razlogov) v podatke o najemnikih omaric. Omarica bo oddana
številki ID uporabnikove kartice, kar omogoča večjo zasebnost in varovanje osebnih podatkov.
Sam postopek najema bo tudi popolnoma avtomatiziran in ne bo potreboval intervencij s strani
zaposlenih.
5.4.3 Informacijsko podprt tiskalniški sistem
Do uvedbe obstoječega tiskalniškega sistema (leta 2014) knjižnica ni imela centraliziranega
upravljanja tiskalniških storitev. V uporabi je bilo veliko število tiskalniških naprav različnih
proizvajalcev, kar je pomenilo zapleten in drag sistem njihovega nadzora in vzdrževanja ter
posledično tudi visoke stroške tiskanja. Knjižnica se je zato odločila za posodobitev
tiskalniškega sistema, preračun stroškov je pokazal, da je bolj kot kupovanje lastnih tiskalniških
naprav stroškovno racionalen njihov najem. Po uvedbi novega sistema so osebni tiskalniki
ostali samo še pri zaposlenih, ki ravnajo s ključnimi osebnimi podatki, drugi imajo po hodnikih
nameščene večopravilne tiskalniške naprave, ki omogočajo tiskanje, skeniranje in pošiljanja
skeniranih dokumentov prek e-pošte. V knjižnici deluje tudi Repro center z napravami za
tiskanje obsežnejših gradiv. Zaposleni posredujejo svoje dokumente v tisk prek računalniške
mreže, s samo tiskalniško napravo pa lahko upravljajo le uslužbenci centra.
Nov tiskalniški sistem je informacijsko podprt, namenska aplikacija omogoča centraliziran
nadzor nad delovanjem in stanjem naprav prek strežnika. Znotraj aplikacije so prek
upravljavskega portala »vidne« vse tiskalniške naprave, iz opisa lahko razberemo katera
naprava trenutno ni aktivna in preverimo v kakšnem stanju je ter potrebne intervencije že
vnaprej predvidimo. Vsa komunikacija s partnerskim podjetjem poteka avtomatizirano, prav
tako naročanje servisov tiskalniških naprav in potrebnega materiala. Vodstvu sistem zagotavlja
natančne podatke za upravljanje stroškov in porabe virov.
Uvedba novega sistema je bila povezana tudi z zavedanjem o nujnosti zagotavljanja pravice
njegovih uporabnikov do zasebnosti ter varovanja v tiskalniški sistem posredovanih in
natisnjenih informacij pred nepooblaščenimi dostopi. Zaradi tega je bil potreben ustrezen
sistem preverjanja istovetnosti (avtentikacija), ki zagotavlja, da izpise dejansko dobi oseba, ki
84
jih je poslala v tiskanje. Ko zaposleni pošlje dokument v tiskalniški sistem, se le-ta pojavi
znotraj njegovega profila, vendar se ne natisne, dokler ne obišče tiskalnika in se identificira s
službeno magnetno kartico ali vpiše svoje uporabniško ime, ki ga sicer uporablja pri delu na
osebnem računalniku. Če zaposleni v treh dneh ne »prevzame« dokumenta, le-ta izgine iz
njegovega profila.
Z varnostnega vidika je nov tiskalniški sistem mnogo bolj varen in upošteva pravice
uporabnikov do zasebnosti. Vsa komunikacija od računalnika zaposlenega do tiskalniškega
strežnika je šifrirana, vpogled v dokumente, ki so oddani v tiskanje, pa je omogočen samo
določenemu administratorskemu računu, katerega uporaba se beleži v dnevniške zapise
tiskalniškega sistema. Zaradi še večje varnosti so ključna delovna mesta, ki imajo največ
opravka z osebnimi podatki, ohranila lokalne tiskalnike znotraj pisarn (npr. računovodstvo).
5.5 Varovanje elektronskih informacijskih virov
NUK svojim uporabnikom nudi poleg klasičnih informacijskih virov tudi dostop do številnih
elektronskih informacijskih virov. Slednji vključujejo prosto dostopne in plačljive vire, ki so
glede na licenčne pogodbe z njihovimi dobavitelji, dostopni le določenim uporabnikom
(članom) in pod določenimi pogoji. Pri iskanju ter uporabi licenčnih virov znotraj knjižnice ni
omejitev, večji izziv za knjižnico pa je zagotavljanje dostopa do njih z mest izven notranjega
omrežja knjižnice. Knjižnica plačuje letna nadomestila ponudnikom elektronskih virov,
pogodbeno pa je določeno, kdo in od kod lahko do teh virov dostopa prek sistema oddaljenega
dostopa. Kot primerno rešitev za oddaljeni dostop je knjižnica izbrala programsko podporo
EZproxy ameriškega ponudnika OCLC.
EZproxy je spletni posredniški strežnik, ki omogoča oddaljen dostop do elektronskih virov t. i.
upravičenim uporabnikom. Uporabnik se mora najprej prijaviti v spletnem portalu EZproxy, po
uspešni prijavi pa lahko preiskuje in prenaša elektronske vire na svojo računalniško delovno
postajo. EZproxy opravlja delo posrednika med uporabnikom in ponudnikom elektronskega
vira, in sicer tako, da namesto uporabnikovega naslova IP ponudniku vira kaže svoj naslov IP,
ki pa mora biti pri ponudniku vira na seznamu naslovov, ki imajo dovoljenje za dostop do
določenega elektronskega vira. Slika 5.2 prikazuje potek prijave in delovanja strežnika
EZproxy v primeru, ko knjižnica najame EZproxy kot storitev pri ponudniku OCLC, možna pa
je tudi lastna postavitev posredniškega strežnika in njegovo vzdrževanje. V tem primeru mora
85
knjižnica sama vzdrževati bazo uporabniških imen in gesel upravičenih uporabnikov ter
zagotoviti pregledovanje dnevniških zapisov o dostopih do strežnika, v primeru poizkusa zlorab
pa le-te onemogočati.
Slika 5.2: Avtentikacija uporabnikov elektronskih virov prek posredniškega strežnika EZproxy
Vir: OCLC (2015a)
Alternativa lokalnim posredniškim strežnikom, kjer morajo organizacije same vzdrževati bazo
upravičenih uporabnikov, je uporaba infrastrukture za avtentikacijo in avtorizacijo (AAI), ki
omogoča enotno prijavo (ang. SSO – Single Sign On) v spletne aplikacije in servise, s tem pa
enostavnejše dostopanje do različnih informacijskih virov in storitev, tj. z enim samim korakom
pri prijavi (na primer z uporabniškim imenom in geslom), ki je za uporabnika enoten in
neodvisen od prijavnega sistema ponudnika storitve ali aplikacije. Nabor podatkov, ki jih
aplikacija sme vedeti o uporabniku, je omejen in pred vsakim vstopom v aplikacijo uporabniku
znan. Sama prijava v posamezno spletno aplikacijo ali storitev sestoji iz dveh delov, tj.
avtentikacije in avtorizacije. Za avtentikacijo uporabnika je zadolžen prijavni sistem za
avtentikacijo, ki je praviloma urejen v organizaciji (ang. IdP – identity provider), kjer je
uporabnik zaposlen ali se izobražuje oziroma je v kakršnem koli drugem odnosu z njo.
Preverjanje avtorizacijskih podatkov pa opravlja dodatna neodvisna komponenta spletnega
strežnika na strani ponudnika aplikacije (ang. SP – service provider). Kombinacije IdP-jev in
SP-jev so lahko samostojne znotraj posameznih organizacij ali pa se povežejo v večja med seboj
priznavajoča se okolja, tj. v federacije AAI.
Bistvo infrastrukture AAI je, da matične organizacije svojim članom same dodeljujejo pravice
dostopa do posameznih informacijskih virov v skladu s svojimi pravili oziroma sklenjenimi
pogodbami s ponudniki spletnih servisov, zato se le-tem ni treba ukvarjati z dodeljevanjem
uporabniških imen, zbiranjem podatkov in preverjanjem statusov o uporabnikih in o njihovi
86
upravičenosti do ponujene storitve26. Rezultat uporabe koncepta infrastrukture AAI je takó
olajšano upravljanje z uporabniškimi identitetami (Batič in Šoštarič, 2013).
5.6 Varovanje računalniškega sistema, omrežja in programske opreme
5.6.1 Centralno upravljanje posodobitev operacijskih sistemov delovnih postaj in strežnikov
V poslovnih okoljih se že od samega začetka pojavlja izziv oziroma zahteva po zagotavljanju
varnosti na ravni operacijskih sistemov, kar terja sprotno nameščanje programskih
posodobitev27. Popravki so namenjeni krpanju odkritih varnostnih lukenj, ki v najslabšem
primeru omogočajo vdore v sistem, v lažji obliki pa predstavljajo tveganje za zanesljivost
delovanja operacijskega sistema. Namenjeni so strežniškim operacijskim sistemom oziroma
delovnim postajam, obstajajo pa tudi popravki za pisarniške pakete in ostale ključne
komponente, integrirane v operacijskih sistemih (npr. protivirusna zaščita).
Zaradi večjega nadzora nad nameščanjem popravkov na strežnike in delovne postaje se v NUK
uporablja strežniško orodje WSUS, ki omogoča natančno upravljanje, nameščanje in
pregledovanje nameščenih popravkov znotraj Microsoftovih operacijskih sistemov.
Upravljavska nadzorna plošča omogoča prenos popravkov na lokalni disk strežnika, za vsak
varnostni popravek pa se lahko določi, na katere postaje naj se namesti, kar omogoča testiranje
popravkov pred namestitvijo v produkcijsko okolje. Testiranje je nujno potrebno, ker se
občasno zgodi, da proizvajalec izda popravke, ki onemogočijo normalno delo z operacijskim
sistemom in jih po poročanju strank nato umakne iz repozitorija popravkov. Delovanje
strežniškega orodja WSUS prikazuje Slika 5.3. Administrator najprej določi, katere kategorije
popravkov želi organizacija prejemati (glede na zahteve okolja), v naslednjem koraku se
popravki prenesejo s spleta na lokalni strežnik, sledi nameščanje popravkov glede na vnaprej
določene skupine naprav (v NUK obstajata ločeni skupini, tj. skupina za strežnike in skupina
za delovne postaje).
26 Ponudnik spletnega servisa dodeli pravico do uporabe njegove storitve članom določene organizacije
(vsem ali določenemu krogu, npr. študentom, zaposlenim, raziskovalcem …) in se pri tem ne ukvarja z
vprašanjem, katera konkretna oseba ima to pravico. 27 Ponudniki jih običajno izdajajo mesečno, Microsoft pa na primer zadnjih deset let popravke
pošilja/izdaja na tako imenovani »patch tuesday«, torej vsak drugi torek v mesecu.
87
Slika 5.3: Delovanje strežniškega orodja WSUS
Vir: iTech (14. april 2017)
5.6.2 Centralno upravljanje posodobitev programske opreme na delovnih postajah
Poleg posodabljanja operacijskega sistema je treba posodabljati tudi ostalo programsko
opremo, ki je nameščena v sistemu. Ker se v zadnjih letih največ vdorov v računalniške sisteme
zgodi ravno prek dodatno nameščenih programov, zlasti prek programja Adobe Flash, Acrobat
in Java, je treba v poslovnih okoljih zagotoviti sprotno posodabljanje vse nameščene
programske opreme, ne samo operacijskega sistema. Težave se pojavijo, ko se želimo tega lotiti
centralizirano in sistematično – skoraj vsako posamezno programsko opremo namreč razvija
drug proizvajalec, ki na različne načine skrbi za njeno posodabljanje28. Pri tem nam zelo
pomaga t. i. beli seznam (ang. whitelist) aplikacij, ki vključuje tiste, ki so lahko nameščene na
računalniških sistemih znotraj organizacije, in omogoča centralizirano posodabljanje
programske opreme na daljavo.
V NUK je v preteklosti posodabljanje programske opreme večinoma potekalo ročno – ob
posegu na posamezni delovni postaji so se preverile tudi različice nameščenih dodatnih
programov in se po potrebi posodabljale. Tak način dela je bil zamuden tako za sistemske
administratorje kot za uporabnike delovnih postaj, zato je knjižnica iskala drugačne možnosti
posodabljanja opreme. Na osnovi testiranja se je odločila za nabavo programskega paketa
28 Nekateri ponudniki (npr. Adobe in Oracle) uporabnike obveščajo o nujnosti posodobitve določene
programske opreme na zaslonih njihovih računalnikov, drugi pa se z obveščanjem o novejših različicah
sploh ne ukvarjajo.
88
Ninite Pro, ki ponuja pregleden in za uporabo enostaven uporabniški vmesnik29 ter omogoča
centraliziran nadzor nad vsemi nameščenimi programi in preverjanje njihovih posodobitev. Za
zagotavljanje varnosti poslovnega okolja je v določenih primerih potrebna hitra intervencija s
strani sistemskih administratorjev oziroma posodobitev programske opreme, za katero je bila
odkrita (objavljena) kritična pomanjkljivost. Pravočasno ukrepanje je mogoče le z uporabo
avtomatiziranih in centraliziranih programskih rešitev za posodabljanje programske opreme na
daljavo.
5.6.3 Centralizirana protivirusna zaščita delovnih postaj in strežnikov
V poslovnih okoljih je eden od prvih branikov pred okužbami in vdori protivirusna zaščita
delovnih postaj in strežnikov. Ker je ponudnikov tovrstne programske opreme veliko, se pri
njenem izboru vsaka organizacija sreča z vprašanjem, katero izbrati. Eden od kriterijev izbora
je možnost centraliziranega upravljanja programske opreme, pomembni pa so tudi zanesljivost
rešitve (število pravilno odkritih virusov, ter število odkritih okužb, ki to niso), sistemske
zahteve za delovanje, cena ter sistemska podpora proizvajalca. Ob tem pa se moramo zavedati,
da ne glede na izbrano protivirusno rešitev, le-ta predstavlja le majhen del v naboru potrebnih
ukrepov za zaščito delovnih postaj in strežnikov, saj jih ščiti samo pred splošno znanimi
okužbami in že odkritimi ranljivostmi operacijskih sistemov.
V NUK se uporablja protivirusna zaščita proizvajalca Microsoft, ki omogoča centraliziran
nadzor nad delovnimi postajami in strežniki (preverjanje stanja poslovnega okolja
organizacije), samodejno nameščanje novih definicij, določanje politik samodejnega ukrepanja
ob varnostnih incidentih (odkritih virusih), obveščanje pooblaščenih oseb in izvajanje potrebnih
ukrepov pri odpravljanju okužbe. Na upravljavski nadzorni plošči administrator vidi trenutno
stanje okužb delovnih postaj in strežnikov ter ostale ključne informacije, pomembne za
administracijo sistema. Z vidika informacijske varnosti centraliziran sistem protivirusne zaščite
omogoča takojšnjo zaznavo in ukrepanje v primeru zaznave potencialnih okužb poslovnega
okolja. Osebe, odgovorne za informacijsko varnost, so o vseh incidentih takoj obveščene prek
elektronske pošte.
29 Na levi strani zaslonske slike prikazuje vse računalnike in strežnike v poslovnem okolju, na desni
strani lahko izbiramo programsko opremo, ki jo lahko z njim nadzorujemo in posodabljamo, spodaj pa
izberemo ali želimo preveriti/namestiti/posodobiti prej izbrano programsko opremo na prej izbranih
računalniških postajah.
89
5.6.4 Varnostna zaščita elektronske pošte
Prek elektronske pošte poteka komunikacija znotraj organizacije in z osebami zunaj nje. V
NUK se za upravljanje elektronske pošte uporablja program Exchange Server in kot odjemalec
Outlook. Dostop do pošte je zaposlenim omogočen tudi prek spletnega dostopa Outlook Web
Access. Za zaznavanje in preprečevanje neželene (ang. spam) in škodljive (ang. malware) pošte
knjižnica uporablja več varnostnih tehnik, v letu 2016 je začela uporabljati tudi oblačne storitve
Microsoft Azure, v katerih ima shranjeno kopijo aktivnega imenika (AD), primarno pa se oblak
uporablja za dvostopenjsko avtentikacijo in filtriranje neželene pošte, zaposlenim pa omogoča
tudi dostop do storitve Office 365.
Pošta je pred dotokom v poslovno okolje knjižnice pregledana s pomočjo varnostnih
mehanizmov, ki jih omogoča oblačna storitev Azure, po vstopu v poslovno okolje pa je dodatno
pregledana s pomočjo večjega števila protivirusnih programskih rešitev, za katere se definicije
stalno posodabljajo. Zadnjo linijo obrambe zagotavljajo protivirusne programske rešitve na
delovnih postajah, izobraževanje zaposlenih na področju varne uporabe elektronske pošte ter
njihovo pravočasno obveščanje o morebitnih nevarnostih. V zadnjih dveh letih so poslovnim
okoljem največje težave povzročali izsiljevalski virusi, ki zašifrirajo vse virusu dostopne
(uporabniške) datoteke in zahtevajo celo plačilo v zameno za njihovo povrnitev. Knjižnica je
do zdaj imela dva tovrstna napada z izsiljevalskimi virusi, ki pa sta bila zaznana pravočasno in
uspešno odpravljena.
5.6.5 Varnostna zaščita računalniške učilnice
V poslovnih okoljih je poleg skrbi za varno notranje omrežje, namenjeno zaposlenim, pogosto
treba skrbeti tudi za varnost posameznih delov omrežja, ki so dostopni zaupanja manj vrednim
uporabnikom. Primer takega okolja je računalniška učilnica NUK z 19 računalniškimi
delovnimi postajami. Učilnica je namenjena zaposlenim za interna izobraževanja in tečajem, ki
jih knjižnica opravlja za svoje uporabnike, učilniške kapacitete pa oddaja tudi zunanjim
najemnikom za njihova izobraževanja. Zaradi zunanjih uporabnikov prostora in računalniške
opreme se informacijska varnostna tveganja za poslovno okolje še povečajo, zato so potrebni
strožji varnostni ukrepi kot v primeru delovnih postaj zaposlenih.
90
Sistemski administratorji povečano varnostno tveganje v računalniških učilnicah rešujejo s
kombinacijo ukrepov, ki zlonamernemu uporabniku onemogočijo neavtorizirano poseganje v
samo poslovno okolje. Ukrepi segajo vse od segmentacije, tj. ločitve omrežja učilnice od
ostalega notranjega omrežja, do omejevanja dostopa do pomembnih funkcij operacijskega
sistema s skupinskimi varnostnimi politikami in z uporabo dodatne programske opreme.
V NUK se za zaščito računalniške učilnice uporablja tako ukrep omrežne segmentacije kot tudi
skupinskih varnostnih politik, ki vsem računalnikom v učilnici omejujejo dostop do potencialno
škodljivih funkcionalnosti v operacijskem sistemu. Na vseh postajah, razen na predavateljskem
računalniku so vhodi za zunanje pomnilniške enote izklopljeni. Uporabniki tako ne morejo
namerno ali nenamerno okužiti računalnikov z virusi in ostalo škodljivo programsko opremo.
S skupinskimi politikami so onemogočeni tudi dostopi do funkcij nadzorne plošče in do ukazne
vrstice. Za dodatno zaščito je na delovnih postajah nameščena programska oprema Deep
Freeze, ki omogoča, da se računalnike v učilnici »zamrzne«, kar pomeni, da se po vsakem
ponovnem zagonu operacijskega sistema povrnejo v stanje ob zamrznitvi. Ob ponovnem
zagonu sistema se tako vse spremembe, ki bi jih potencialno škodljivi uporabnik morebiti
naredil, izničijo. Deep Freeze omogoča tudi določitev urnika, med katerim se vse postaje
odklenejo ter omogočijo samodejno namestitev posodobitev operacijskega sistema in
protivirusnih definicij, kar omogoča vzpostavitev informacijsko varnega in delujočega okolja
za izobraževanja.
5.6.6 Varnostna zaščita javno dostopnih delovnih postaj
V skladu z zakonodajo mora NUK v okviru izvajanja javne službe v svojih prostorih
uporabnikom omogočiti dostop do informacij tudi prek spleta, kar predstavlja še večja
varnostna tveganja kot v prejšnjem razdelku opisan primer računalniške učilnice. V primeru
učilnice ima knjižnica evidenco o tem, kdo uporablja delovne postaje in kaj se na njih dogaja,
česar pa v primeru javno dostopnih delovnih postaj praviloma nima. Zaradi tega je potrebna še
višja raven varovanja kot v primeru računalniške učilnice. Pri zagotavljanju varnosti javno
dostopnih postaj se organizacije običajno poslužujejo logike minimalnih pravic uporabnikov,
kar pomeni, da jim omogočajo opravljati osnovne operacije, kot so spletno brskanje, urejanje
dokumentov in tiskanje, vse ostale pa onemogočijo.
91
V NUK je javno dostopen prostor Informacijsko središče, kjer je nameščenih dvajset
terminalskih delovnih postaj, povezanih s centralnim strežnikom. Takšna postavitev omogoča,
da se vse pravice uporabnikom določajo prek omenjenega strežnika, delovne postaje pa so samo
neke vrste prikazovalniki slike. Uporabnikom je omogočeno brskanje po spletu, vendar se s
pomočjo požarnega zidu filtrirajo sporne spletne vsebine, ki niso primerne za obiskovanje na
javnih mestih. Prav tako je onemogočena uporaba vseh zunanjih medijev, kot so ključki USB
in zunanji diski. Datoteke si lahko uporabniki shranijo na zunanje medije na oddelku za
izposojo knjižničnega gradiva, kjer jim osebje knjižnice naredi kopijo na njihovo pomnilniško
napravo oziroma želene vsebine tudi natisne na papir.
V prihodnosti se načrtujejo organizacijska in funkcionalna prenova Informacijskega središča
ter dodatni ukrepi za povečanje informacijske varnosti. Dostop do prostora in s tem delovnih
postaj se bo predvidoma omejil na člane knjižnice. Namestitev programske opreme MyPc30, ki
omogoča centraliziran nadzor javno dostopnih delovnih postaj, ter uporaba avtentikacije s
članskimi izkaznicami, pa bi omogočila večji nadzor nad uporabniki delovnih postaj ter
omejevanje časa njihove uporabe.
5.6.7 Oddaljen dostop do službenih delovnih postaj z dvostopenjsko avtentikacijo
Časi, ko je bil dostop do notranjega omrežja organizacij mogoč le znotraj njihovih fizičnih
prostorov, so že del zgodovine. Svojim zaposlenim danes omogočajo dostop do internih
informacijskih storitev od koder koli, seveda pa je predpogoj mrežna povezljivost oziroma
dostop do spleta. Nekatere organizacije celo ne poznajo več fizičnih delovnih mest znotraj
svojih prostorov, ampak zaposlujejo osebe, živeče v različnih časovnih območjih, ki delajo od
doma oziroma je njihova fizična lokacija prepuščena njihovemu izboru. Ob širitvi dostopa do
informacijskih storitev organizacije z mest izven njihovih prostorov se pojavijo tudi dodatni
izzivi varovanja poslovne infrastrukture. Poskrbeti je treba za varnost pri povezovanju v
notranje omrežje, preprečiti neavtorizirane vstope in tudi preverjati stanje naprav, ki se v
omrežje povezujejo od zunaj. Večina organizacij zaposlenim priskrbi službene prenosne
računalnike, na katerih imajo večji nadzor in lahko oddaljeno skrbijo za njihovo vzdrževanje
ter varnostno zaščito. Težave se pojavijo v primeru trenutno moderne paradigme »BYOD«
30 Glej več: http://www.pcbooking.com.au/Maps.png. Programsko opremo MyPc že uporablja Mestna
knjižnica Ljubljana.
92
(prinesi svojo napravo), ko zaposleni uporabljajo lastno računalniško opremo, ki pa v večini
primerov ne omogoča oddaljenega vzdrževanja in je namenjena domači, ne pa poslovni
uporabi. Težnja organizacij k zmanjševanju stroškov poslovanja tako vodi v zmanjševanje
varnosti njihovih informacijskih okolij.
V NUK je zaposlenim povezovanje na službene delovne postaje omogočeno prek protokola
RDP (Remote Desktop Protocol), torej se lahko od doma povežejo na svoje službeno namizje.
Dobra lastnost omenjenega protokola je, da je programska oprema za povezovanje že del
vsakega operacijskega sistema Windows in jo poznajo tudi ostali operacijski sistemi.
Povezovanje je, ob predhodni namestitvi odjemalca za RDP, možno tudi prek tablic in mobilnih
telefonov. Za varnost je poskrbljeno s sistemom dvostopenjske avtentikacije, kar v praksi
pomeni, da mora zaposleni poznati geslo za prijavo, po uspešni prijavi pa dobi prek SMS
sporočila še enkratno kodo, ki jo vpiše med nadaljnjimi koraki prijave na svoje službeno
namizje. Pri pametnih mobilnih telefonih in novejših tablicah je možna tudi namestitev
aplikacije, ki med prijavo vpraša za potrditev uporabnika. Še večjo varnost pri oddaljeni prijavi
v poslovni sistem bi omogočala uporaba biometrije, ki pa je v Sloveniji zakonsko zelo omejena
in v primeru knjižnic implementacija takšnega sistema ni mogoča.
V primeru dileme med zagotavljanjem varnosti poslovnega okolja oziroma omogočanjem
dostopa na daljavo do računalniških delovnih postaj v službi se vedno na eni strani presoja
potencialna varnostna tveganja in na drugi strani željo po delu zaposlenih zunaj službenih
prostorov oziroma omrežja. Sistemski administrator mora namreč hkrati omogočati zaščito
poslovnega okolja in odpreti omrežje za zunanji dostop. V NUK je bila sprejeta odločitev o
omejenem načinu dostopa do poslovnega omrežja, in sicer z uporabo rešitve t. i. oddaljenega
namizja, onemogočene pa so ostale storitve povezovanja ter prenosa datotek, kot sta Dropbox
in povezave VPN. Vsak zaposleni, ki ima privilegij uporabe dostopa na daljavo, je seznanjen z
osnovami dobre prakse vzdrževanja računalniških naprav (protivirusna zaščita, posodobitve
operacijskega sistema, preprečevanje uporabe s strani drugih oseb ipd.), kajti večina jih za
oddaljeno dostopanje uporablja lastne računalnike, kar predstavlja potencialno varnostno
tveganje.
93
5.6.8 Brezžični omrežji Eduroam in Libroam
Pobuda Eduroam (ang. education roaming) je nastala leta 2003 v okviru delovne skupine TF-
Mobility, ki je predstavila možnost združevanja infrastrukture, temelječe na avtentikaciji
RADIUS v povezavi s tehnologijo IEEE 802.1X za zagotavljanje gostovanja v brezžičnih
omrežjih sorodnih raziskovalnih in izobraževalnih ustanov. Infrastrukturi Eduroam so se v
začetni fazi priključile evropske raziskovalne in izobraževalne organizacije, dokaj hitro so jim
sledile tudi tiste zunaj Evrope.
Ker je Eduroam namenjen relativno zaprti ciljni uporabniški skupini, in so pravila, ki določajo
pravico vstopa v sistem, določena z mednarodnimi dogovori organizacij, sodelujočih v zvezi
TERENA, knjižnice svojih članov ne morejo vpisati v Eduroamove sheme in le-ti v primeru,
da v svoji matični organizaciji ne morejo ali niso pridobili uporabniškega imena in gesla, nimajo
možnosti brezžične povezave v internet niti v primeru, ko je v knjižnici omrežje Eduroam sicer
dostopno (npr. v prostorih visokošolskih knjižnic). Zato se je v okviru Direktorata za
informacijsko družbo pri nekdanjem Ministrstvu za visoko šolstvo znanost in tehnologijo
porodila ideja o vzpostavitvi sorodnega sistema, ki bi povezoval slovenske knjižnice in v
katerem bi imeli njihovi člani podobne možnosti gostovanja, kot to velja za uporabnike omrežja
Eduroam. Po analogiji na Eduroam so sistem poimenovali Libroam. Ker bi knjižnice težko
same vzdrževale podatkovne baze o svojih uporabnikih omrežja, je bila vloga »osrednjega«
strežnika RADIUS za knjižnice poverjena skrbniku knjižničnega sistema COBISS, tj. IZUM,
NUK ob pomoči zunanjega izvajalca upravlja strežnik sam, za Univerzitetno knjižnico Maribor
pa Univerza v Mariboru.
Ker NUK šteje knjižnični uporabniški prostor kot neodtujljiv sestavni del celotnega
izobraževalnega in raziskovalnega okolja, ter je tudi sam kot univerzitetna in znanstvena
knjižnica neposredno vpet v visokošolsko in raziskovalno okolje, se je leta 2009 odločil za
sodelovanje v projektu vključitve v sistem Eduroam ter vzpostavitve omrežja Libroam. S tem
je uporabnikom omogočil mobilnost pri dostopanju do interneta ter varnost povezovanja, hkrati
pa zagotovil dostopnost omrežja le upravičenim uporabnikom. V letu 2016 je bila opravljena
nadgradnja/zamenjava brezžičnega sistema Eduroam in Libroam. Zaradi napredka pri razvoju
94
tehnologij brezžičnih omrežij in zastarelosti sistema se je knjižnica odločila za celotno
zamenjavo strojne opreme in tudi za nadgradnjo programske opreme31.
Z varnostnega vidika je nov sistem varnejši, kajti nove brezžične mrežne točke podpirajo
najnovejše standarde na področju šifriranja in varovanja celovitosti brezžičnega omrežja.
Dodatno raven varnosti pa omogoča že sam sistem Eduroam/Libroam, ki za delovanje uporablja
certifikate in druge napredne varnostne mehanizme. Za uporabnike, ki nimajo pravice uporabe
Eduroam/Libroam, NUK zagotavlja še dodatno brezžično (WIFI) omrežje, ki je zaščiteno z
uporabo šifriranja WPA2/AES oziroma avtentikacije.
5.6.9 Nadzor nad poslovnim okoljem
Vsako poslovno okolje potrebuje tudi nadzorni sistem, torej programsko opremo, ki omogoča
centraliziran pregled nad stanjem njegove informacijske infrastrukture in nadzor nad strežniki,
mrežno opremo ter okoljskimi senzorji v organizaciji. Za vsako infrastrukturno ali drugače
pomembno napravo oziroma njeno storitev se določi test (preverjanje), ki opazuje spremembe
pri njenem delovanju. Preverjamo lahko samo stanje naprave (je delujoča ali ne), ali pa se
odločimo za naprednejše teste, ki preverjajo delovanje določenih procesov, zasedenost diskov
ali obremenjenost procesorja v strežniku. Na okoljskih senzorjih32 pa lahko preverjamo
temperaturo in vlago v prostorih ter v primeru odstopanj sprožimo alarm.
V NUK se za nadzor nad poslovnim okoljem uporablja programski paket Nagios. Slika 5.4
prikazuje glavno nadzorno ploščo programa Nagios, na kateri je vidno stanje vseh preverjanj v
poslovnem okolju knjižnice. V trenutni konfiguraciji se opravlja okoli 5000 različnih testov na
strežnikih, mrežni opremi, senzorjih in tiskalnikih. Testi na strežnikih preverjajo zasedenost
diskov, obremenjenost procesorjev ter zasedenost navideznega polnilnika, in opozarjajo na
potencialne težave s servisi, ki tečejo znotraj operacijskih sistemov, kar omogoča pravočasno
ukrepanje. Nadzorujejo tudi stanje tiskalniškega sistema in posameznih mrežnih naprav ter
31 Namesto pokritosti s samo 15 brezžičnimi dostopnimi točkami, je bilo na osnovi meritev signala
postavljenih 38 novih brezžičnih točk. Novost so tudi kontrolerji (WLC), ki upravljajo razdelitev
odjemalcev med točkami. Če se na posamezno točko priklopi preveč naprav, jih kontrolerji za
uporabnike neopazno prestavijo na manj obremenjene brezžične točke v njihovi bližini. 32 V NUK so nameščeni v glavnem skladišču knjižničnega gradiva in prostorih s centralno
informacijsko-komunikacijsko opremo.
95
nanje priključene opreme in opozarjajo na morebitne napake pri njihovem povezovanju. Za
ključne infrastrukturne naprave in servise program Nagios pooblaščene osebe o težavah
obvešča tudi prek elektronske pošte in sporočil SMS, kar omogoča hitro ukrepanje in
preprečevanje izpadov v delovanju poslovnega okolja.
Slika 5.4: Glavna nadzorna plošča programa Nagios
Vir: Ambrožič, lastna raziskava (2017)
5.7 Varovanje poslovnih aplikacij
5.7.1 Poslovno-informacijski sistem
Za podporo poslovnim procesom knjižnice (npr. finančno poslovanje, kadrovske evidence) se
v NUK uporablja programska oprema Microsoft Navision, ki omogoča zelo podrobno
dodeljevanje pravic zaposlenim, ki so odgovorni za posamezne poslovne funkcije. Določenemu
zaposlenemu je omogočen dostop samo do tistih modulov poslovnega okolja, ki jih v skladu s
pristojnostmi potrebuje za delo na svojem delovnem mestu. Za zagotavljanje dostopa do
programske opreme Navision se uporablja sistem enotne prijave (ang. single sign-on), zaposleni
torej ne potrebuje dodatnih uporabniških imen in gesel, avtentikacija v sistem se opravi ob
prijavi v domensko okolje (uporabnik mora biti samo prijavljen v svojo delovno postajo).
96
5.7.2 Elektronski dokumentni sistem
Za potrebe brezpapirnega poslovanja in lažjega vodenja administracije je knjižnica v letu 2015
implementirala elektronski dokumentni sistem. Sistem omogoča digitalizacijo vhodne pošte s
pomočjo namenskega skenerja, pošta nato pot nadaljuje v digitalni obliki, izvirnik dokumenta,
zapisanega na papirju, pa se shrani v arhiv. Dokumentni sistem podpira tudi delo z računi, tudi
s tistimi, ki zahtevajo večstopenjsko potrjevanje. Sistem sam sledi verigi potrjevanja in prek
elektronske pošte opozarja zaposlene na potrebne akcije oziroma potrditve. V prihodnosti je
načrtovan še nakup modula za vodenje evidence in obračunov službenih poti zaposlenih. Za
varnost aplikacije je poskrbljeno na enak način kot pri poslovno-informacijskem sistemu
Navision, torej z dodeljevanjem pravic in določanjem ključnih odgovornih oseb, prijava v
dokumentni sistem pa prav tako poteka samodejno s pomočjo sistema enotne prijave.
5.7.3 Druge poslovne aplikacije
V NUK se za podporo izvajanju javnih naročil uporablja trenutno že precej zastarelo
programsko opremo slovenskega ponudnika, razvito pred več kot desetletjem. Sistem omogoča
večstopenjsko potrjevanje s strani pooblaščenih zaposlenih, ključnih oseb pri izvedbi javnih
razpisov. S pomočjo elektronske pošte jih opozarja o potrebnih interakcijah in omogoča
potrditev ali zavrnitev določenega koraka izvedbe javnega razpisa, zaposleni lahko tudi doda
svoje komentarje, ki jih potem vidijo ostali udeleženi pri izvedbi javnega razpisa. Kljub
zastarelosti sistem omogoča enostavno ter pregledno vodenje postopkov izvedbe javnih
razpisov. V letu 2017 je knjižnica začela s preverjanji novejših alternativ programske podpore
ter z dogovori z njihovimi ponudniki. Ker pred več kot desetletjem, ko je bila razvita trenutno
uporabljana programska podpora za javna naročila, varnostna tveganja, kot obstajajo danes, še
niso bila prisotna, je implementacija sodobnejše različice nujna tudi zaradi sodobnih
informacijsko-varnostnih paradigem.
97
6 ZAKLJUČEK
Javne knjižnice so organizacije, ki morajo prebivalstvu svoje storitve zagotavljati s čim manj
omejitvami oziroma ovirami pri dostopanju do informacij, hkrati pa zagotavljati varnost ne le
prostorov in opreme, ki jo uporabljajo obiskovalci in zaposleni, ampak tudi informacijskih
virov in sistemov za hranjenje ter obdelavo informacij. Informacijska varnost je sistem
zagotavljanja varnosti vseh vrst informacij ne glede na njihovo obliko, tj. ne glede na to ali so
zapisane na klasičnih nosilcih zapisa, v elektronski obliki ali se prenašajo in hranijo kako
drugače. V magistrski nalogi smo se omejili na vprašanja informacijske varnosti knjižnic v
elektronskem okolju.
Zaradi uporabe sodobne informacijske in komunikacijske opreme pri opravljanju praktično
vseh delovnih procesov, vključenosti v internet, izzivov računalništva v oblaku ter ponudbe
elektronskih informacijskih virov in storitev (dostopnih tudi prek oddaljenega dostopa in na
mobilnih napravah), se knjižnice danes soočajo z vprašanji varnosti, ki so zanje nova in za
njihovo reševanje zaposleni sami večinoma nimajo dovolj ustreznih znanj in usposobljenosti.
Informacije, zapisane v elektronski obliki, so namreč izpostavljene široki paleti groženj in
ranljivosti in brez ustrezne zaščite omogočajo nove oblike zlorab.
V primeru informacijske varnosti v elektronskem okolju pa ne gre zgolj za računalniško varnost
in varovanje računalniških sistemov, torej za zaščito računalniških sistemov in opreme pred
nepooblaščenim dostopom in uporabo, ampak je ravno tako pomemben upravljavski vidik
informacijske varnosti. Za učinkovito informacijsko varnost morajo imeti organizacije, tudi
knjižnice, vzpostavljene sisteme upravljanja informacijske varnosti, sprejete varnostne politike,
zagotovljeno ustrezno usposobljeno osebje za izvajanje nalog informacijske varnosti ter
ustrezno stopnjo varnostne ozaveščenosti in informiranosti zaposlenih. Upravljanje
informacijske varnosti mora vključevati dejavnosti za zagotovitev zaupnosti, celovitosti in
razpoložljivosti informacij tako na strateški kot operativni ravni. Vsaka organizacija bi morala
imeti jasne smernice oziroma politike, ki narekujejo dopustno uporabo in hranjenje informacij,
ter o njih redno seznanjati svoje zaposlene, v procesu upravljanja informacijske varnosti pa
imeti vzpostavljen tudi sistem upravljanja informacijsko-varnostnih tveganj.
98
Pri načrtovanju in izvedbi raziskave so nas vodila na začetku oblikovana raziskovalna
vprašanja, z analizo zbranih raziskovalnih podatkov pa smo pridobili argumente za potrditev
oziroma zavrnitev vnaprej zastavljenih znanstvenih predpostavk (hipotez). V magistrski nalogi
smo najprej problematiko informacijske varnosti nasploh in posebej v elektronskem okolju
predstavili s teoretičnega vidika, da bi nato v drugem delu naloge na osnovi empiričnih
podatkov, zbranih z anketno študijo in študijo primera, ugotavljali obstoječe stanje v slovenskih
javnih knjižnicah. Pri tem nas je zlasti zanimalo, kakšna je njihova seznanjenost s posameznimi
vidiki informacijske varnosti ter na kakšen način upravljajo informacijsko varnost.
Kljub številnim pogovorom in dogovorom o izvedbi anketne študije in korektnem načinu
obveščanja odgovornih oseb v anketni vzorec vključenih knjižnic, sta anketna vprašalnika
naletela na zelo skromen odziv, s strani dveh odgovornih oseb pa je bila izražena celo
zaskrbljenost, da bodo rezultati anket morebiti predstavljeni na neprimeren, za knjižnice
škodljiv način. O razlogih za takšna razmišljanja se nismo posebej spraševali, predvidevali smo,
da gre za nezadovoljivo raven poznavanja pomena informacijske varnosti oziroma za morebitno
nezadostno obveščenost o grožnjah informacijski varnosti, ki so jim izpostavljene tudi
knjižnice. Namena in zastavljenih ciljev raziskave zato nismo uspeli uresničiti v želenem
obsegu, izpostavili pa smo nekatere ugotovitve, ki lahko predstavljajo izhodišča za širšo
razpravo o vprašanjih informacijske varnosti slovenskih knjižnic, ter preizkusili postavljene
hipoteze.
S Hipotezo 1 smo predpostavili, da se knjižnice zavedajo pomena zagotavljanja informacijske
varnosti nasploh in še posebej v elektronskem okolju, in jih zato problematika zanima v tej
meri, da se bodo na povabilo k sodelovanju v raziskavi odzvale večinsko. Povabilo smo
posredovali 152 vodjem oziroma odgovornim osebam knjižnic, prejeli pa le 31 (20 odstotkov)
izpolnjenih anket za osebje, v knjižnicah pristojno za vprašanja informacijske varnosti. Slab je
bil tudi odziv na anketo za zaposlene v knjižnicah, saj se je odzvalo le 153 oseb, med njimi 59
iz nacionalne knjižnice. Vzrok za nizek odziv je lahko v ravnanju odgovornih oseb knjižnic, ki
morebiti vprašalnikov niso posredovale potencialnim anketirancem, ali pa v nezainteresiranosti
slednjih za obravnavano tematiko oziroma v njenem nepoznavanju. Hipoteze 1 glede na manjši
odziv knjižnic od predvidenega ne moremo potrditi.
Ker dejansko vsa dejavnost knjižnic temelji na informacijah, smo s Hipotezo 2 predpostavili,
da imajo na razpolago potrebno osebje in tehnologijo za varovanje informacij in informacijskih
99
sistemov. Anketa med osebjem, ki upravlja opremo IKT, je sicer pokazala, da naj bi večina
knjižnic razpolagala s kadri, ki imajo potrebna znanja o varovanju informacij in informacijskih
sistemov, a zaradi slabega odziva na anketo Hipoteze 2 ne moremo niti potrditi niti zavrniti.
Na ustrezna vprašanja je odgovorilo le 29 knjižnic, med njimi jih je desetina navedla, da nima
na razpolago osebe, ki bi za knjižnico opravljala naloge sistemskega administratorja.
Rezultati ankete med zaposlenimi v knjižnicah in deloma ankete med osebjem IKT so potrdili
predvidevanje, da večina knjižnic še nima uvedenega sistema upravljanja informacijske
varnosti, kar nam omogoča potrditev Hipoteze 3. Zanimivo je, da je precejšen delež (več kot
polovica) anketirancev, zaposlenih v knjižnicah, sicer potrdil obstoj varnostnih politik, vendar
pa z njihovo vsebino niso seznanjeni. V anketi med osebjem IKT pa le ena knjižnica navaja, da
ima izdelano in potrjeno politiko informacijske varnosti. Na osnovi anketnih odgovorov bi tudi
težko sklepali, da knjižnice že izvajajo ustrezne ukrepe za zavarovanje informacij sistematično,
kajti osebe, zadolžene za IKT, večinsko odgovarjajo, da knjižnice ne sledijo domačim oziroma
mednarodnim smernicam/standardom informacijske varnosti.
Predpostavka iz Hipoteze 4, da je stopnja informacijske varnostne obveščenosti in
ozaveščenosti zaposlenih v knjižnicah, ki se izkazuje v njihovem poznavanju ter varni rabi
informacijskih tehnologij, zadovoljiva, se je izkazala kot pretežno pravilna. Večina zaposlenih
se namreč zaveda problematike dolžine in kompleksnosti osebnih gesel, svojih uporabniških
imen oziroma gesel ne delijo z ostalimi sodelavci, ne ravnajo pa dovolj skrbno pri njihovi
menjavi. O zaščitnih ukrepih pred okužbami so dobro podučeni in ne odpirajo sumljivih priponk
v elektronski pošti, prav tako se zavedajo, kaj sodi v sprejemljivo rabo službenega poštnega
naslova. Za pomoč se jih večina obrne na osebje zadolženo za IKT. Dobra polovica zaposlenih
dela tudi od doma in za dostop uporabljajo lastne računalnike, vendar računalnikov ne dajejo v
uporabo tretjim osebam. Na osnovi omenjenih ugotovitev lahko Hipotezo 4 potrdimo.
V Hipotezi 5 smo postavili trditev, da se izobraževanje zaposlenih o informacijski varnosti v
slovenskih javnih knjižnicah še ne izvaja redno in sistematično. Predpostavko potrjujejo tako
rezultati ankete za osebe, odgovorne za področje informacijske varnosti kot tudi ankete za
zaposlene v knjižnicah, ki so pokazali, da se na področju informacijske varnosti zaposleni (z
izjemo osebja, ki upravlja opremo IKT) izobražujejo le občasno ali da se tovrstnih izobraževanj
sploh ne udeležujejo. Tudi v ponudbi neformalnih izobraževanj za knjižničarje izobraževalnih
100
oblik s področja informacijske varnosti, ki bi se izvajale redno, ne zasledimo. Postavljeno
Hipotezo 5 zato lahko potrdimo.
Predpostavka, da nacionalni knjižnični informacijski sistem (COBISS.SI), ki ga uporabljajo
slovenske knjižnice za izdelavo katalogov in kot orodje za zagotavljanje avtomatiziranih
knjižničnih storitev, zagotavlja visoko stopnjo informacijske varnosti, se je v celoti potrdila.
Nosilec sistema, tj. IZUM, zagotavlja celovite ukrepe za nemoteno delovanje opreme IKT,
nadzor informacijske strukture, omejitev fizičnega dostopa do ključnih informacijskih dobrin
za hranjenje in obdelavo podatkov, tehnično varovanje prostorov in opreme, zaščito integritete
podatkov, varnostno kopiranje podatkov in za varovanje osebnih podatkov. Postavljeno
Hipotezo 6 zato lahko potrdimo.
Predpostavko, da NUK zagotavlja visoko stopnjo informacijske varnosti informacij in
informacijskih sistemov smo preverjali tako na osnovi analize obstoječih dokumentov in
procesov kot tudi analize uresničevanja ciljev in kontrol v skladu z relevantnim standardom
ISO za področje upravljanja informacijske varnosti. Postavljeno Hipotezo 7 lahko na osnovi
rezultatov raziskave potrdimo delno, kajti ugotovljene so bile tudi nekatere slabosti, ki lahko
predstavljajo tveganja za informacijsko varnost.
Opravljena analiza informacijskega sistema knjižnice po standardu ISO 27001 je dala podobne
izsledke kot zunanja presoja/revizija informacijskega sistema, opravljena v letu 2012.
Knjižnični informacijski sistem je glede na dane razmere tehnično zelo dobro opremljen in
vzdrževan, strežniška oprema je glede na omejeno financiranje zadostno dimenzionirana za
trenutne potrebe knjižnice, za fizično varovanje strežniške sobe in ostale opreme IKT je
ustrezno poskrbljeno. Večje težave pa se kažejo pri nadgrajevanju računalniških delovnih postaj
zaposlenih, saj je povprečna starost delovne postaje trenutno že prek sedem let. Zaradi
omejenega proračunskega financiranja zadnje dve leti knjižnica ni kupila nobene delovne
postaje, glede na njihovo amortizacijsko dobo (5 let) pa bi bilo treba letno kupiti vsaj 20
odstotkov novih računalnikov, tj. vsaj 40 delovnih postaj.
Potencialno varnostno tveganje predstavlja tudi dejstvo, da knjižnica še nima izdelanega
krovnega dokumenta z opredeljeno strategijo razvoja informatike, ki naj bi vključeval tudi
krovno politiko informacijske varnosti. Že presojevalec je v okviru revizije informacijskega
sistema predlagal izdelavo informacijske varnostne politike, za upravljanje knjižničnega
101
informacijskega sistema pa bi po njegovi presoji knjižnica potrebovala sistemizirano in
zasedeno delovno mesto osebe za strateško načrtovanje informatike in informacijske varnosti
oziroma glavnega upravljavca informacijskega sistema (CIO – Chief Information Officer), ki
bi skrbel za izdelavo, izvajanje in prilagajanje varnostnih politik. Varčevalni ukrepi, s katerimi
se NUK sooča zadnja leta, ne vplivajo le na postopno staranje opreme IKT ter s tem na njeno
večjo izpostavljenost varnostnim tveganjem, ampak preprečujejo tudi hitrejšo izgradnjo
celovitega sistema upravljanja informacijske varnosti (SUIV) v skladu s standardi in
priporočili. Onemogočili so tudi ustrezno kadrovsko dopolnitev enote, odgovorne za
upravljanje in razvoj informacijskega sistema knjižnice, ter zaposlitev ključne osebe za
področje upravljanja informacijske varnosti.
Rezultati ankete za zaposlene v knjižnicah so v primeru NUK pokazali, da se njegovi zaposleni
večinsko zavedajo pomembnosti varnih gesel, so pazljivi pri odpiranju priponk znotraj
elektronske pošte in ne delijo svojih uporabniških imen/gesel z ostalimi zaposlenimi. Anketa je
potrdila predhodna predvidevanja, da zaposleni (z izjemo osebja v službi za storitve IKT) še
niso sistematično vključeni v izobraževanja s področja informacijske varnosti, kar pa ni težava
le v primeru NUK, ampak celotnega knjižničarskega sektorja in verjetno tudi večine drugih
sektorjev v državi. Raven znanj in obveščenosti zaposlenih na področju informacijske varnosti
bi bilo zato treba dvigniti. S tem bi zmanjšali tudi verjetnost potencialnih vdorov v informacijski
sistem, ki za izhodiščno točko vdora uporabljajo socialni inženiring.
Kljub omejeni veljavnosti in uporabnosti rezultatov raziskave menimo, da bo lahko prispevala
k večji ozaveščenosti slovenskih knjižnic oziroma knjižničarjev o pomenu informacijske
varnosti ter k vključevanju potrebnih ukrepov za njeno zagotavljanje tako v strateške in druge
dokumente knjižnic kot tudi v njihove vsakodnevne dejavnosti. Upamo tudi, da bo spodbudila
nadaljnje znanstveno preučevanje tematike ter izdelavo načrta sistematičnega izobraževanja
zaposlenih v knjižnicah o ukrepih in ravnanjih za zagotovitev informacijske varnosti.
Seveda pa za zagotavljanje informacijske varnosti ne bodo dovolj le ukrepi na ravni knjižnic.
Njihova dejavnost je namreč vse bolj odvisna od sodobnih tehnologij, ki zahtevajo ustrezne
finančne in kadrovske vložke za njihovo upravljanje ter razvoj. Varčevalni ukrepi v javnem
sektorju, ki so v zadnjih petih letih opazno poslabšali pogoje delovanja knjižnic v elektronskem
okolju, posredno vplivajo tudi na njihovo zmožnost zagotavljanja zadovoljive ravni
informacijske varnosti.
102
103
7 LITERATURA IN VIRI
1. BATIČ, BOŠTJAN in ŠOŠTARIČ, DAVOR (2013) Koncept avtentikacijske in
avtorizacijske infrastrukture v sistemu COBISS. Organizacija znanja, 18 (1–4). Dostopno
prek: http://home.izum.si/cobiss/oz/2013_1-4/html/clanek_00.html (5. 10. 2016).
2. BERNIK, IGOR in PRISLAN, KAJA (2012) Upravljanje varnostnih tveganj pri rabi
mobilnih naprav. V: BERNIK, IGOR in MEŠKO, BORUT (ur.). Konferenca
Informacijska varnost: odgovori na sodobne izzive, Ljubljana, 20. jan. 2012. Ljubljana:
Fakulteta za varnostne vede. Dostopno prek: https://www.fvv.um.si/KonferencaIV/
zbornik/Bernik_Prislan.pdf (13. 4. 2017).
3. BERNIK, IGOR in ZVER, DENIS (2012) Uporaba ISO-standardov skozi informacijsko
varnostne politike nadzora dostopa do informacijskega sistema. Dostopno prek:
https://dk.um.si/Dokument.php?id=74542&lang=slv (12. 10. 2016).
4. BIBSIST ONLINE. Statistični podatki o knjižnicah. Dostopno prek: https://bibsist.
nuk.uni-lj.si/statistika/index.php (25. 3. 2017).
5. BON, MILENA (2013) Informacijsko-komunikacijska (IKT) oprema v splošnih
knjižnicah: popis za leto 2010 in analiza stanja po območjih glede na veljavna domača in
tuja priporočila. Knjižnica, 57 (2-3), str. 70–94.
6. BOŽIĆ, FILIP (2016) Človeški dejavnik pri zagotavljanju informacijske varnosti.
Magistrsko delo. Ljubljana: Univerza v Ljubljani, Fakulteta za računalništvo in
informatiko. Dostopno prek: http://eprints.fri.uni-lj.si/3538/1/63970021-
FILIP_BO%C5%BDI%C4%86-%C4%8Clove%C5%A1ki_dejavnik_pri_zagotavljanju_
informacijske_varnosti.pdf (30. 11. 2016).
7. BREEDING, MARSHALL (2011) A Cloudy Forecast for Libraries. Computers in
Libraries, 31 (7), str. 32-35. Dostopno prek: https://librarytechnology.org/repository/
item.pl?id=16151 (19. 2. 2017).
8. BREEDING, MARSHALL (2005) The Library Wireless Hotspot. Library Technology
Reports, 41 (5), str. 31–36. Dostopno prek: https://journals.ala.org/index.php/ltr/
article/download/4638/5487 (15. 1. 2017).
9. BREZAVŠČEK, ALENKA in MOŠKON, STANE (2010) Vzpostavitev sistema za
upravljanje informacijske varnosti v organizaciji. Uporabna informatika, 18 (2), str. 101–
108. Dostopno prek: http://www.dlib.si/?URN=URN:NBN:SI:DOC-HMQQRLCH
(7. 1. 2017).
104
105
10. CARTER, HOWARD (2002) Misuse of Library Public Access Computers: Balancing
Privacy, Accountability, and Security. Journal of Library Administration, 36 (4),
str. 29–48.
11. CARVER, BLAKE (2014) IT Security for You and Your Library. Computers in
Libraries, 34 (1), str. 13–16. Dostopno prek: http://www.infotoday.com/cilmag/jan14/
Carver--IT-Security-for-You-and-Your-Library.shtml (8. 1. 2017).
12. CRUZ, REBECA (2013) Security in the Library. Public Libraries Online, 24. 9. 2013.
Dostopno prek: http://publiclibrariesonline.org/2013/09/security-in-the-library/
(28. 11. 2016).
13. DAMIJ, TALIB (2004) Poslovna informatika. Ljubljana: Ekonomska fakulteta.
14. DELAK, BOŠTJAN in BAJEC, MARKO (2010) Celovit pristop izvedbe skrbnega
pregleda informacijskega sistema. Uporabna informatika, 18 (4), str. 193–204. Dostopno
prek: http://www.dlib.si/stream/URN:NBN:SI:doc-CF7SCN9O/daca967b-d019-4cdd-
a4aa-43fdbe31c42d/PDF (12. 12. 2016).
15. DIXON, PAM (2008) Ethical Issues Implicit in Library Authentication and Access
Management: Ris and Best Practices. Journal of Library Administration, 47 (3-4),
str. 141–162.
16. ELLERN, GILLIAN D., HITCH, ROBIN in STOFFAN, MARK A. (2015) User
Authentication in the Public Area of Academic Libraries in North Carolina. Information
Technology and Libraries, 34 (2), str. 103–132. Dostopno prek:
http://ejournals.bc.edu/ojs/index.php/ital/article/view/5770 (5. 11. 2016).
17. Enotne tehnološke zahteve 2.1 – I. del. (ETZ). Ministrstvo za kulturo, Arhiv Republike
Slovenije. Dostopno prek: http://www.arhiv.gov.si/fileadmin/arhiv.gov.si/
pageuploads/E-ARHIVI/ETZ_2_1/ETZ_-_1_del_razlicica_2.1_-_koncna.pdf
(12. 3. 2017).
18. Enotne tehnološke zahteve 2.1 – II. del. (ETZ). Ministrstvo za kulturo, Arhiv Republike
Slovenije. Dostopno prek: http://www.arhiv.gov.si/fileadmin/arhiv.gov.si/
pageuploads/E-ARHIVI/ETZ_2_1/ETZ_-_II._del_razlicica_2.1_-_koncna.doc.pdf (12. 3.
2017).
19. Enotne tehnološke zahteve 2.1 – III. del. (ETZ). Ministrstvo za kulturo, Arhiv Republike
Slovenije. Dostopno prek: http://www.arhiv.gov.si/fileadmin/arhiv.gov.si/
pageuploads/E-ARHIVI/ETZ_2_1/ETZ_2.1_III.del_-_koncna.pdf (12. 3. 2017).
106
107
20. GERDIN, DUŠAN (2009) Radiofrekvenčna identifikacija – poslovna priložnost
slovenskih splošnih in univerzitetnih knjižnic. Magistrsko delo. Koper: Univerza na
Primorskem, Fakulteta za management. Dostopno prek: https://repozitorij.upr.si/
Dokument.php?id=3881&lang=slv (13. 12. 2016).
21. GRAHAM, WARREN DAVIS (2012) The Black Belt Librarian : Real-world Safety &
Security. Chicago: ALA Editions.
22. GRESSEL, MICHAEL (2014). Are Libraries Doing Enough to Safeguard Their Patrons'
Digital Privacy? Serials Librarian, 67 (2), str. 137–142.
23. HADOW, KATHARINE (2009) Data Security for Libraries: Prevent Problems, Don't
Detect Them. Feliciter, 55 (2), str. 50–52. Dostopno prek: http://www.cla.ca/
AM/Template.cfm?Section=Vol_55_No_2&Template=/CM/HTMLDisplay.cfm&Content
ID=8277 (17. 11. 2016).
24. HAO, TINGTING (2015) The Information Security Analysis of Digital Library. V: 2015
8th International Conference on Intelligent Computation Technology and Automation
(ICICTA), 14-15 June 2015. New York: IEEE, str. 983–984.
25. HUFF, BRIAN in MACMILLAN, ANDY (2009) A Pragmatic Strategy for Oracle
Enterprise Content Management. Dostopno prek: https://www.slideshare.net/bexmex/
a-pragmatic-strategy-for-oracle-enterprise-content-management-presentation-902196 (14.
1. 2017).
26. ITECH. WSUS Overview. Dostopno prek: https://i-technet.sec.s-msft.com/dynimg/
IC16980.gif (14. 4. 2017).
27. IVANC, BLAŽ (2013) Varovanje občutljivih podatkov v informacijskih sistemih. V:
BERNIK, IGOR in MARKELJ, BLAŽ (ur.) Sodobni aspekti informacijske varnosti.
Ljubljana: Fakulteta za varnostne vede, str. 5–13. Dostopno prek: http://www.fvv.uni-
mb.si/knjigarna/eknjige/pdf/Sodobni_aspekti_informacijske_varnosti.pdf (27. 2. 2017).
28. KAHN, MIRIAM B. (2008) The Library Security and Safety Guide to Prevention,
Planning, and Response. Chicago: ALA Editions.
29. KARUN, BREDA, KONČAN, MATEJ, KUHAR, UROŠ, PEPELKO ALAN, ROZMAN
SALOBIR, MARTINA, SIRK, IRENA, ŠALAMON, DANIEL, ZEME, MATEJ in
ŽITKO, MIHA (2010) Informacijsko-komunikacijska tehnologija v splošnih knjižnicah.
Priročnik (2010). Ljubljana: Narodna in univerzitetna knjižnica. Dostopno prek:
http://cezar.nuk.uni-lj.si/ook/pages/files/
IKT%20v%20SK%202010%20za%20spletm.pdf (18. 11. 2016).
108
109
30. Kazenski zakonik (KZ-1). Uradni list Republike Slovenije 50/12 – UPB, 54/15, 6/16 –
popr. in 38/16. Dostopno prek: http://www.pisrs.si/Pis.web/pregledPredpisa?id=
ZAKO5050 (15. 2. 2017).
31. KISSEL, RICHARD (ur.) (2013) Glossary of Key Information Security Terms.
Gaithersburg, MD: National Institute of Standards and Technology. Dostopno prek:
http://dx.doi.org/10.6028/NIST.IR.7298r2 (15. 3. 2016).
32. KLENOVŠEK, NATAŠA (2012) Nivo informacijske varnosti v slovenskih podjetjih.
Diplomsko delo. Maribor: Univerza v Mariboru, Fakulteta za elektrotehniko,
računalništvo in informatiko. Dostopno prek: https://dk.um.si/IzpisGradiva.php?id=
37300 (26. 4. 2016).
33. KLINEFELTER, ANNE (2007) Privacy and Library Public Services: Or, I Know What
You Read Last Summer. Legal Reference Services Quarterly, 26 (1-2), str. 253–279.
34. KNEZ, MARKO (2009) Varovanje zasebnosti in zaščita podatkov na internetu.
Diplomsko delo. Ljubljana: Univerza v Ljubljani, Fakulteta za upravo. Dostopno prek:
https://repozitorij.uni-lj.si/IzpisGradiva.php?id=2109 (17. 1. 2017).
35. KOJC, MARKO (2010) Informacijska varnost v Republiki Sloveniji. Diplomsko delo.
Ljubljana: Univerza v Ljubljani, Fakulteta za družbene vede. Dostopno prek:
http://dk.fdv.uni-lj.si/diplomska/pdfs/kojc-marko.pdf (12. 1. 2017).
36. KOŠĆAK, DAMJAN (2011) Varovanje informacij v skladu s standardom ISO/IEC
27000. Diplomsko delo. Ljubljana: Univerza v Ljubljani, Fakulteta za računalništvo in
informatiko. Dostopno prek: http://eprints.fri.uni-lj.si/1362/1/Koscak_D.1.pdf (12. 9.
2016).
37. KRAFT, MICHELLE (2007) The Holy Grail of One User ID. Library Journal; Fall2007
Net Connect, 132, str. 10–11.
38. KRALJ, ROBERT (2013) Informacijska varnostna politika Univerze v Mariboru.
Magistrsko delo. Ljubljana: Univerza v Mariboru, Fakulteta za varnostne vede. Dostopno
prek: https://dk.um.si/IzpisGradiva.php?id=42180 (10. 10. 2016).
39. LESJAK, BLAŽ in BAHOR, STANISLAV (2017) Poročilo o meritvah šolskih knjižnic.
Ljubljana: Narodna in univerzitetna knjižnica. Dostopno prek: http://cezar.nuk.uni-
lj.si/common/files/studije/porocilo_solske.pdf (21. 4. 2017).
40. Letno poročilo 2016 (2017). Ljubljana: Narodna in univerzitetna knjižnica. Dostopno
prek: http://www.nuk.uni-lj.si/sites/default/files/dokumenti/2017/NUK_porocilo_
2017_20170228_splet.pdf (17. 5. 2017).
110
111
41. Letno poročilo o delu IZUM za leto 2016 (2017). Maribor: Institut informacijskih
znanosti.
42. Library Security Guidelines Document (2010). Chicago, ILL: ALA/LLAMA BES Safety
and Security of Buildings Committee. Dostopno prek: http://www.ala.org/
llama/files/publications/LibrarySecurityGuide.pdf (10. 1. 2017).
43. LYNETT, MIKE (2015) A History of Information Security From Past to Present. Weblog
[Online] 25. november. Dostopno prek: http://blog.mesltd.ca/a-history-of-information-
security-from-past-to-present (23. 12. 2016).
44. LOBNIKAR, BRANKO, PRISLAN, KAJA, MARKELJ, BLAŽ in BANUTAI,
EMANUEL (2012) Informacijskovarnostna ozaveščenost v javnem in zasebnem sektorju
v Sloveniji. Varstvoslovje, 14 (3), str. 345–363.
45. MARKELJ, BLAŽ (2009) Centralizacija informacijske tehnologije Knjižnice Ivana
Tavčarja Škofja Loka in podružnic. Diplomsko delo. Kranj: Univerza v Mariboru,
Fakulteta za organizacijske vede. Dostopno prek: https://dk.um.si/
IzpisGradiva.php?id=12578&lang=slv (20. 12. 2016).
46. MARKELJ, BLAŽ (2014) Grožnje informacijski varnosti pri rabi mobilnih naprav.
Doktorska disertacija. Ljubljana: Univerza v Mariboru, Fakulteta za varnostne vede.
Dostopno prek: https://dk.um.si/IzpisGradiva.php?id=45000&lang=slv (15. 2. 2017).
47. MARKELJ, BLAŽ in BERNIK, IGOR (2012) Pogledi informacijske varnosti na storitve
računalništva v oblaku. V: BERNIK, IGOR in MEŠKO, GORAZD (ur.) Konferenca
Informacijska varnost: Odgovori na sodobne izzive. Ljubljana: Fakulteta za varnostne
vede. Dostopno prek: https://www.fvv.um.si/IV-2012-01/zbornik/
Markelj_Bernik.pdf (17. 9. 2016).
48. MARKELJ, BLAŽ in ZGAGA, SABINA (2013) Možnosti izgube podatkov in
kazenskopravne posledice. V: BERNIK, IGOR in MARKELJ, BLAŽ (ur.) Sodobni
aspekti informacijske varnosti. Ljubljana: Univerza v Mariboru, Fakulteta za varnostne
vede, str. 95–109. Dostopno prek: http://www.fvv.uni-mb.si/knjigarna/
eknjige/pdf/Sodobni_aspekti_informacijske_varnosti.pdf (27. 10. 2016).
49. MOHORIČ, TOMAŽ (1999) O podatku in informaciji. Organizacija, 32 (8-9), str. 445–
448. Dostopno prek: http://lopes1.fov.uni-mb.si/IS/99/org/mohoric.pdf (12. 12. 2016).
50. NARODNA IN UNIVERZITETNA KNJIŽNICA. Organigram knjižnice. Dostopno prek:
http://www.nuk.uni-lj.si/sites/default/files/dokumenti/2015/organigram-slo.png (13. 3.
2017).
112
113
51. NEWBY, GREGORY B. (2002) Information security for libraries. V: KISIELNICKI,
JERZY (ur.) Modern Organizations in Virtual Communities. Hershey, PA: IRM Press, str.
134–144.
52. NICHOLS HESS, AMANDA, LAPORTE-FIORI, RACHELLE in ENGWALL, KEITH
(2015) Preserving Patron Privacy in the 21st Century Academic Library. Journal of
Academic Librarianship, 41 (1), str. 105–114.
53. OCLC (2015a) EZproxy Overview. Dostopno prek: https://www.oclc.org/support/
services/ezproxy/documentation/learn/overview.en.html (13. 2. 2017).
54. OCLC (2015b) Security Whitepaper: OCLC's Commitment to Secure Library Services.
Dostopno prek: http://www.oclc.org/content/dam/oclc/policies/security/
oclcinformationsecuritywhitepaper.pdf (20. 12. 2016).
55. OMOSEKEJIMI ADEMOLA, FERDINARD, IJIEKHUAMHEN OSAZE, PATRICK in
OJEME, THELMA NNEKA (2015) Library and Information Resource's Security:
Traditional and Electronic Security Measures. International Journal of Academic
Research and Reflection, 3 (3), str. 45–56. Dostopno prek: http://www.idpublications.
org/wp-content/uploads/2015/02/LIBRARY-AND-INFORMATION-
RESOURCES%E2%80%99-SECURITY-TRADITIONAL-AND-ELECTRONIC-
SECURITY-MEASURES.pdf (13. 11. 2016).
56. PARKER, THEODORE (2016) Security Concepts. Dostopno prek: http://www.
subspacefield.org/security/security_concepts/security_concepts.pdf (19. 1. 2017).
57. PELTIER, THOMAS R., PELTIER, JUSTIN in BLACKLEY, JOHN (2004) Information
Security Fundamentals. Boca Raton, FL: CRC Press.
58. PHELPS, DANIEL C. (2005) Information System Security: Self-Efficacy and Security
Effectiveness in Florida Libraries. Tallahassee, FL: Florida State University. Dostopno
prek: https://www.researchgate.net/publication/35200399_Information_
system_security_Self-efficacy_and_security_effectiveness_in_Florida_libraries
(10. 9. 2016).
59. POLH, JOŽE (2014) Upravljanje identitet v podjetju je temelj varnosti. Delo, 13. oktober
2014. Dostopno prek: http://www.delo.si/gospodarstvo/podjetja/upravljanje-identitet-v-
podjetju-je-temelj-varnosti.html (10. 12. 2016).
60. POTOČNIK, MARJAN (2012) Revizija informacijskega sistema NUK. Ljubljana: MIT
investments d.o.o.
114
115
61. Pravila ravnanja delavcev v delovnem razmerju v Narodni in univerzitetni knjižnici
(2005). Ljubljana: Narodna in univerzitetna knjižnica.
62. Pravilnik o postopkih za zavarovanje osebnih podatkov v Narodni in univerzitetni
knjižnici (2007). Ljubljana: Narodna in univerzitetna knjižnica.
63. Pravilnik o splošnih pogojih poslovanja Narodne in univerzitetne knjižnice (2015).
Ljubljana: Narodna in univerzitetna knjižnica. Dostopno prek: http://www.nuk.uni-
lj.si/sites/default/files/dokumenti/2015/pravilnik-poslovanje-nuk.pdf (17. 2. 2017).
64. PRIMC, SIMON (2012) Mehanizmi zaščite pred grožnjami informacijske varnosti.
Diplomsko delo. Ljubljana: Univerza v Mariboru, Fakulteta za varnostne vede. Dostopno
prek: https://dk.um.si/IzpisGradiva.php?id=36864 (15. 8. 2016).
65. PRIMC, ŽIGA (2015) Predstavitev raziskave »USB ključ«. [LinkedIn] 17. junij. Dostopno
prek: https://www.linkedin.com/pulse/predstavitev-raziskave-usb-klju%C4%8D-
%C5%BEiga-primc (17. 1. 2017).
66. RAMESH, M. R. (2012) Biometric Recognition: A new Approach for Library Patron
Autentication. International Journal of Library Science, 1 (5), str. 72–74. Dostopno prek:
DOI: 10.5923/j.library.20120105.01 (20. 12. 2016).
67. RANČIGAJ, KATJA (2010) Informacijska varnostna kultura v državni upravi.
Magistrsko delo. Ljubljana: Univerza v Ljubljani, Fakulteta za družbene vede. Dostopno
prek: http://dk.fdv.uni-lj.si/magistrska/pdfs/mag_rancigaj-katja.pdf
(25. 10. 2016).
68. RANČIGAJ, KATJA in LOBNIKAR, BRANKO (2012) Vedenjski vidiki zagotavljanja
informacijske varnosti: pomen upravljanja informacijske varnostne kulture. V: BERNIK,
IGOR in MEŠKO, GORAZD (ur.) Konferenca Informacijska varnost: Odgovori na
sodobne izzive. Ljubljana: Univerza v Mariboru, Fakulteta za varnostne vede. Dostopno
prek: http://www.fvv.um.si/KonferencaIV/zbornik.html (17. 11. 2016).
69. RATHINASABAPATHY, G., MOHANA SUNDARI, T. in RAJENDRAN, THIRU L.
(2008) Biometric Applications in Library and Information Centres: Prospects and
Problems. V: International CALIBER-2008, Volume: I. Allahabad: University of
Allahabad, str. 182–189. Dostopno prek: DOI: 10.13140/RG.2.1.2507.4081 (21. 12.
2016).
116
117
70. RHODES-OUSLEY, MARK (2013) Information Security: Second Edition. New York:
McGraw-Hill. Dostopno prek: http://www.mvatcybernet.com/IT%20E-
BOOKS/IT%20PDF%20Books/IT%20BOOKS/NETWORKING/INFORMATION%20S
ECURITY%20THE%20COMPLETE%20REFERENCE%202ND%20EDITION.
pdf (15. 9. 2016).
71. RIHTER, UROŠ (2015) Analiza informacijske varnosti v podjetju BSH Hišni aparati,
d. o . o. Nazarje in primerjava s standardom ISI/IEC 27001. Diplomsko delo. Maribor:
Univerza v Mariboru, Fakulteta za elektrotehniko, računalništvo in informatiko. Dostopno
prek: https://dk.um.si/IzpisGradiva.php?lang=slv&id=54837 (20. 12. 2016)
72. SELAN, DAŠA in BERNIK, IGOR (2011) Upravljanje informacijske varnosti – strateški
in operativni vidik. V: PAVŠIČ MREVLJE, TINKARA (ur.) Zbornik prispevkov ; 12.
Slovenski dnevi varstvoslovja. Ljubljana: Fakulteta za varnostne vede. Dostopno prek:
http://www.fvv.um.si/dv2011/zbornik.html (20. 8. 2016).
73. SIRK, IRENA (2010) Dokumentiranje. V: KARUN, BREDA in drugi Informacijsko-
komunikacijska tehnologija v splošnih knjižnicah. Priročnik (2010). Ljubljana: Narodna in
univerzitetna knjižnica, str. 7–9. Dostopno prek: http://cezar.nuk.uni-
lj.si/ook/pages/files/IKT%20v%20SK%202010%20za%20spletm.pdf (18. 11. 2016).
74. SIRK, IRENA (2013) Uvajanje standardov s področja informacijske tehnologije v
Mariborski knjižnici. Diplomsko delo. Kranj: Univerza v Mariboru, Fakulteta za
organizacijske vede. Dostopno prek: https://dk.um.si/Dokument.php?id=55480&lang=
slv (5. 6. 2016).
75. SIRK, IRENA in KUHAR, UROŠ (2010) Varnost. V: KARUN, BREDA in drugi
Informacijsko-komunikacijska tehnologija v splošnih knjižnicah. Priročnik. Ljubljana:
Narodna in univerzitetna knjižnica, str. 9–13. Dostopno prek: http://cezar.nuk.uni-
lj.si/ook/pages/files/IKT%20v%20SK%202010%20za%20spletm.pdf (18. 11. 2016).
76. SIST ISO/IEC 27000:2011 - Informacijska tehnologija - Varnostne tehnike - Sistemi
upravljanja informacijske varnosti - Pregled in izrazoslovje (2011). Ljubljana: Slovenski
inštitut za standardizacijo.
77. SIST ISO/IEC 27001:2013 - Informacijska tehnologija - Varnostne tehnike - Sistemi
upravljanja informacijske varnosti (2013). Ljubljana: Slovenski inštitut za
standardizacijo.
118
119
78. Smernice za zajem, dolgotrajno ohranjanje in dostop do kulturne dediščine v digitalni
obliki (2013). Ljubljana: Ministrstvo za kulturo RS. Dostopno prek: https://www.nuk.uni-
lj.si/sites/default/files/dokumenti/2015/Smernice_za_zajem_
dolgotrajno_ohranjanje_in_dostop_do_kulturne_dediscine_v_digitalni_obliki.pdf (15. 3.
2017).
79. Socialni inženiring in kako se pred njim ubraniti? (2009). Ljubljana: Informacijski
pooblaščenec. Dostopno prek: https://www.ip-rs.si/fileadmin/user_upload/Pdf/
smernice/socialni-inzeniring-in-kako-se-pred-njim-ubraniti.pdf (22. 12. 2016).
80. Strategija kibernetske varnosti: vzpostavitev sistema zagotavljanja visokega nivoja
kibernetske varnosti (2016). Dostopno prek: http://www.mizs.gov.si/fileadmin/
mizs.gov.si/pageuploads/Informacijska_druzba/pdf/DSI2020_Strategija_Kibernetske_Var
nosti.pdf (12. 1. 2017).
81. Strategija trajnega ohranjanja digitalnih virov v Narodni in univerzitetni knjižnici 2012–
2020 (2012). Ljubljana: Narodna in univerzitetna knjižnica. Dostopno prek:
http://www.nuk.uni-lj.si/sites/default/files/dokumenti/2015/URN_NBN_SI_DOC-
HPEWEXEN.pdf (17. 2. 2017).
82. Strateški načrt Mariborske knjižnice 2014–2020 (2014). Maribor: Mariborska knjižnica.
Dostopno prek: http://www.mb.sik.si/datoteke/Mariborska_knjiznica/
Pomembni_dokumenti/Strateski_nacrt_MK2014_2020_ZV.pdf (12. 1. 2017).
83. Strateški načrt Narodne in univerzitetne knjižnice za obdobje 2015-2019 (2014).
Ljubljana: Narodna in univerzitetna knjižnica. Dostopno prek: http://www.nuk.uni-
lj.si/sites/default/files/dokumenti/2015/STRATESKI_NACRT_NUK_2015-2019.pdf (17.
2. 2017).
84. SWANSON, BURTON E. (2010) Information Systems. V: MCDONALD, JOHN D. in
LEVINE-CLARK, MICHAEL (ur.) Encyclopedia of Library and Information Science.
Third Edition. Boca Raton, FL: CRC Press, str. 2635–2642.
85. TARZEY, BOB in ØSTERGAARD, BERNT (2014) What Keeps Your CEO Up At
Night? The insider threat: solved with DRM. Quocirca, 23. 6. 2014. Dostopno prek:
http://quocirca.com/content/what-keeps-your-ceo-night-insider-threat-solved-drm (19. 5.
2016).
120
121
86. THOMPSON, SAMUEL T. C. (2006) Helping the Hacker? Library Information, Security,
and Social Engineering. Information Technology and Libraries, 25 (4), str. 222–225.
Dostopno prek: http://ejournals.bc.edu/ojs/index.php/ital/article/view/
3355/2966 (11. 12. 2016).
87. TRAPSKIN, BEN (2008) A Changing of the Guard: Emerging Trends in Public Library
Security. Library & Archival Security, 21 (2), str. 69–76.
88. Uprave in vodstva, odobrite proračun za IT-varnost in zavarujte poslovanje (2015) IKT-
Informator, 19. november 2015, str. 27. Dostopno prek: http://www.snt.si/wp-
content/uploads/2015/11/SnT_IKT_informator_nov15.pdf?utm_source=IKT%20informat
or%20(ocena%20IT%20varnosti%20v%20podjetjih)&utm_medium=pdf&utm_campaign
=Samoocena%20IT%20varnosti%20(IKT%20informator%2F11%202015
(10. 11. 2016).
89. Uredba o varstvu dokumentarnega in arhivskega gradiva (UVDAG) Uradni list Republike
Slovenije 86/06. Dostopno prek: http://www.pisrs.si/Pis.web/
pregledPredpisa?id=URED3462 (18. 3. 2017).
90. VARGA VODIČKA, SUZANA (2015) Revizija informacijskih sustava primjenom CobiT
metodologije. Poslijediplomski specijalistički rad. Zagreb: Sveučilište u Zagrebu,
Ekonomski fakultet.
91. VEHAR, KLEMEN, BREZAVŠČEK, ALENKA in KERN, TOMAŽ (2013) Projekt
vpeljave sistema za upravljanje informacijske varnosti v organizacijo. V: BERNIK, IGOR
in MARKELJ, BLAŽ (ur.) Sodobni aspekti informacijske varnosti. Ljubljana: Fakulteta
za varnostne vede, str. 28–41. Dostopno prek: https://www.fvv.um.si/
knjigarna/eknjige/pdf/Sodobni_aspekti_informacijske_varnosti.pdf (20. 2. 2017).
92. VOLOVICH, IGOR (2016) Evolve to Demand. Demand to Evolve. Global CISO Forum,
Atlanta, Georgia, September 15–16, 2016. Dostopno prek: https://www.
slideshare.net/EC-Council/evolve-to-demand-demand-to-evolve-by-igor-volovich (14. 4.
2017).
93. WARKENTIN, MERRILL, JOHNSTON, ALLEN, SHROPSHIRE, JORDAN in
BARNETT, WILLIAM D. (2016) Continuance of protective security behavior: A
longitudinal study. Decision Support Systems, 92 (December), str. 25–35.
94. YI, MYONGHO (2011) Balanced Security Controls for 21st Century Libraries. Library &
Archival Security, 24 (1), str. 39–45.
122
123
95. Zakon o dostopu do informacij javnega značaja (ZDIJZ). Uradni list Republike Slovenije
51/06 – UPB, 117/06 – ZdavP-2, 23/14, 19/15 – odl. US in 102/15. Dostopno prek:
http://www.pisrs.si/Pis.web/pregledPredpisa?id=ZAKO3336 (18. 3. 2017)
96. Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP). Uradni list
Republike Slovenije 98/04 – UPB, 61/06 – ZEPT in 46/14. Dostopno prek:
http://www.pisrs.si/Pis.web/pregledPredpisa?id=ZAKO1973 (18. 3. 2017).
97. Zakon o elektronskem poslovanju na trgu (ZEPT). Uradni list Republike Slovenije 96/09 –
UPB in 19/15. Dostopno prek: http://www.pisrs.si/Pis.web/
pregledPredpisa?id=ZAKO4600 (18. 3. 2017).
98. Zakon o elektronskih komunikacijah (ZEKom-1). Uradni list Republike Slovenije 109/12,
110/13, 40/14 – ZIN-B, 54/14 – odl. US in 81/15. Dostopno prek:
http://www.pisrs.si/Pis.web/pregledPredpisa?id=ZAKO6405 (17. 3. 2017).
99. Zakon o Informacijskem pooblaščencu (ZInfP). Uradni list Republike Slovenije 113/05 in
51/07 – ZustS-A. Dostopno prek: http://www.pisrs.si/Pis.web/
pregledPredpisa?id=ZAKO4498 (17. 3.2017).
100. Zakon o knjižničarstvu (ZKnj-1). Uradni list Republike Slovenije 87/01, 96/02 – ZUJIK in
92/15. Dostopno prek: http://www.pisrs.si/Pis.web/pregledPredpisa?id=
ZAKO2442 (12. 2. 2017).
101. Zakon o obveznem izvodu publikacij (ZOIPub). Uradni list Republike Slovenije 69/06 in
86/09. Dostopno prek: http://www.pisrs.si/Pis.web/pregledPredpisa?id=ZAKO3606 (13.
3. 2017).
102. Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA). Uradni
list Republike Slovenije 30/06 in 51/14. Dostopno prek: http://www.pisrs.si/
Pis.web/pregledPredpisa?id=ZAKO4284 (13. 3. 2017).
103. Zakon o varstvu osebnih podatkov (ZVOP-1). Uradni list Republike Slovenije 94/07 –
UPB-1. Dostopno prek: http://www.pisrs.si/Pis.web/pregledPredpisa?id=ZAKO3906 (17.
3. 2017).
104. ZHENGBIAO, HAN, SHUIQING, HUANG in HUAN, LI (2016) Risk assessment of
digital library information security: a case study. The Electronic Library, 34 (3), str. 471–
487.
105. ZVER, KARMEN (2011) Varnost računalništva v oblaku. Diplomsko delo. Maribor:
Univerza v Mariboru, Ekonomsko-poslovna fakulteta. Dostopno prek:
https://dk.um.si/IzpisGradiva.php?id=20439 (25. 6. 2016).
124
PRILOGE
Priloga 1: Anketni vprašalnik za osebe, odgovorne za informacijsko varnost knjižnic
Priloga 2: Anketni vprašalnik za zaposlene v knjižnicah
Priloga 3: Zbirni rezultati ankete za osebe, odgovorne za informacijsko varnost knjižnic
Priloga 4: Zbirni rezultati ankete za zaposlene v knjižnicah
Priloga 5: Standard SIST ISO 27001:2013 – Cilji kontrol in kontrole: Analiza stanja in potrebni
ukrepi v Narodni in univerzitetni knjižnici
Priloga 1: Anketni vprašalnik za osebe, odgovorne za informacijsko varnost knjižnic
Pozdravljeni,
prosim Vas za sodelovanje v anketi, s katero želim pridobiti podatke o dejavnikih (tehničnih in
organizacijskih), ki vplivajo na stopnjo informacijske varnosti knjižnic. Podatki bodo uporabljeni za
dokončanje magistrske naloge z naslovom "Knjižnice in zagotavljanje informacijske varnosti v
elektronskem okolju", ki jo pripravljam v okviru študija na Fakulteti za informacijske študije v Novem
mestu.
Anketa je anonimna, brez piškotkov in brez IP sledenja. Rezultati bodo v nalogi predstavljeni na
način, da v nobenem primeru ne bo mogoča identifikacija sodelujočih v anketi ali razkriti podatki, ki
bi lahko predstavljali grožnjo informacijski varnosti v raziskavi sodelujočih knjižnic.
Anketa bo potekala od 3. do 17. aprila 2017. Izrazi, ki se nanašajo na osebe in so zapisani v moškem
spolu, so uporabljeni kot nevtralni za ženski in moški spol.
Prosim, če si vzamete približno sedem minut časa in s klikom na Naslednja stran pričnete z
izpolnjevanjem ankete. Za izpolnjen vprašalnik se Vam že vnaprej lepo zahvaljujem.
Črt Ambrožič
1 - KNJIŽNICA IN INFORMACIJSKO-KOMUNIKACIJSKA (IKT) OPREMA
V1 - Število (vseh) zaposlenih v knjižnici (v EPZ) ob koncu leta 2016:
do 5
6–10
11–20
21–50
več kot 50
V2 - Vrsta knjižnice:
splošna
visokošolska
specialna
V3 - Status knjižnice:
samostojna pravna oseba
organizacijska enota pravne osebe (npr. visokošolskega zavoda)
drugo:
V4 - Število vseh računalniških delovnih postaj knjižnice, ki jih uporabljajo zaposleni in
uporabniki knjižnice?
1–10
11–50
51–100
101–150
več kot 150
V5 - Kateri operacijski sistemi so nameščeni na računalniških delovnih postajah knjižnice?
Možnih je več odgovorov
Windows XP
Windows 7
Windows 8/8.1
Windows 10
Linux
Mac OS
drugo:
V6 - Ali je v knjižnici zaposlena oseba, ki skrbi oziroma je odgovorna za delovanje in
vzdrževanje IKT knjižnice?
da
da, a s podporo informatikov matične organizacije (za zahtevnejša opravila)
da, a s podporo zunanjega izvajalca (za zahtevnejša opravila)
ne, podporo zagotavljajo informatiki matične organizacije
ne, najemamo zunanje izvajalce (outsourcing)
drugo:
V7 - Ali ima knjižnica na razpolago osebo, ki zanjo opravlja naloge sistemskega/varnostnega
administratorja?
da, knjižnica ima zaposlenega lastnega administratorja
da, dela opravlja eden od knjižničarjev
da, dela administratorja opravlja informatik matične organizacije
da, dela administratorja opravlja zunanji izvajalec
ne
drugo:
2 - POLITIKA KNJIŽNICE O INFORMACIJSKI VARNOSTI
V8 - Ali ima vaša knjižnica izdelano in sprejeto politiko informacijske varnosti?
da
ne, dokument je v pripravi
ne, ampak o pripravi dokumenta razmišljamo
ne, dokumenta nimamo
IF (1) V8 = [1]
V9 - Ali v knjižnici upoštevate in sledite sprejeti politiki informacijske varnosti?
da, v celoti
da, a le na nekaterih področjih informacijske varnosti
ne
V10 - Ali v knjižnici sledite domačim oziroma mednarodnim smernicam/standardom
informacijske varnosti?
da, v celoti
da, a le na nekaterih področjih informacijske varnosti
ne
IF (2) V10 = [1, 2] V11 - Katerim smernicam/standardom informacijske varnosti sledite? Možnih je več odgovorov
COBIT
ITIL
NIST
ISO 27001
Drugo:
3 - UKREPI ZA ZAŠČITO PODATKOV
V12 - Kako pogosto izdelujete varnostne kopije ključnih podatkov knjižnice?
dnevno
tedensko
mesečno
ne delamo varnostnih kopij
drugo:
IF (3) V12 = [1, 2, 3, 5] V13 - Na katere podatkovne medije shranjujete varnostne kopije podatkov? Možnih je več
odgovorov
zunanji trdi disk
USB ključek
optični mediji (DVD/CD)
tračne enote
računalniški oblak
strežnik
drugo:
V14 - Ali ima knjižnica (oziroma njena matična organizacija) sprejet načrt za ponovno
vzpostavitev informacijskega sistema in strojne opreme v primeru "katastrofe" (angl. disaster
recovery plan)?
da
ne
ne vem
V15 - Ali pri posredovanju občutljivih osebnih ali poslovnih podatkov v elektronski obliki
organizacijam ali posameznikom zunaj knjižnice uporabljate šifriranje?
da
ne
ne vem
4 - UKREPI ZA ZAŠČITO RAČUNALNIŠKE OPREME KNJIŽNICE
V16 - Ali na vseh računalniških delovnih postajah knjižnice (tj. za uporabnike in zaposlene)
uporabljate zaščito proti zlonamerni kodi (npr. računalniškim virusom)?
da
ne
V17 - Kakšne vrste varnostne zaščite računalniškega omrežja uporabljate? Možnih je več
odgovorov
antivirusna zaščita
antiSpyware orodja
delujoč (vklopljen) požarni zid na računalniškihdelovnih postajah
požarni zid med LAN in WAN delom omrežja
zaposleni nimajo administratorskih pravic
grupne politike (GPO)
programe za nadzor prometa v omrežju
sisteme za preprečevanje izgube podatkov (DLP)
seznam varnih aplikacij
drugo:
V18 - Če ste že kdaj imeli okužbo računalniškega sistema knjižnice z izsiljevalskimi virusi (angl.
ransomware), kako ste ravnali?
okužbo smo ustavili pred izgubo podatkov
podatke smo povrnili iz varnostnih kopij
za pomoč smo se obrnili na SI-CERT
plačali smo odškodnino za povrnitev šifriranih podatkov
drugo:
nismo še imeli takega primera
V19 - Kdo skrbi za posodabljanje programske opreme (npr. Java, Adobe Flash, Adobe Reader
...) na računalniških delovnih postajah knjižnice?
oseba, zadolžena za opremo IKT
zaposleni sami
zaposleni in oseba, zadolžena za opremo IKT
programska oprema se ne posodablja
ne vem
V20 - Na kakšen način posodabljate programsko opremo na računalniških delovnih postajah
knjižnice?
ročno (na vsaki delovni postaji posebej)
avtomatizirano z enega mesta
ne posodabljamo programske opreme
ne vem
V21 - Ali imajo vsi lokalni administratorski računi na računalniških delovnih postajah knjižnice
enako geslo?
da
ne
ne vem
V22 - Ali ob zaključku delovnega dne zaposleni v knjižnici izklopijo (shut down/turn off)
računalniške delovne postaje, ki jih uporabljajo?
da
ne
po lastni presoji (pravil za to knjižnica nima)
5 - UPORABNIŠKA GESLA
V22_2 - Ali ima knjižnica oz. njena matična organizacija sprejet dokument o varnostni politiki
uporabniških gesel?
da
ne, dokument je v pripravi
ne
ne vem
V23 - Kakšna so vaša pravila glede spreminjanja uporabniških gesel, ki jih zaposleni
uporabljajo za prijavo na svojo računalniško delovno postajo v knjižnici?
sistem sam zahteva redno menjavo gesel
spreminjanje gesel je prepuščeno zaposlenim
drugo:
V24 - Kakšna so vaša pravila glede dolžine in zahtevnosti uporabniških gesel, ki jih zaposleni
uporabljajo za prijavo na svojo računalniško delovno postajo v knjižnici?
sistem sam preverja dolžino in zahtevnost gesel
odločitev je prepuščena zaposlenim
drugo:
6 - DOSTOP DO SLUŽBENIH RAČUNALNIKOV IN ELEKTRONSKE POŠTE NA
DALJAVO
V25 - Ali imajo zaposleni v knjižnici možnost dela na daljavo (npr. od doma)?
da, vsi
da, vendar samo določeni zaposleni
ne
IF (4) V25 = [1, 2]
V26 - Katere možnosti povezovanja za delo na daljavo lahko uporabljajo zaposleni v knjižnici? Možnih je več odgovorov
RDP (Remote Desktop Protocol)
VPN (Virtual Private Network)
FTP (File Transfer Protocol)
drugo:
IF (4) V25 = [1, 2]
V27 - Katero programsko podporo uporabljajo zaposleni v knjižnici za dostop do službene e-
pošte na daljavo (z oddaljene lokacije)?
Outlook/Exchange
Office 365/Azure
Arnes
Gmail
drugo:
7 - LOKALNO BREZŽIČNO OMREŽJE
V28 - Ali imate v knjižnici brezžično lokalno omrežje (WLAN)? Možnih je več odgovorov
da, lastno brezžično omrežje oz. omrežje matične organizacije
da, Libroam
da, Eduroam
drugo:
IF (5) V28 = [V28a] V29 - Kako je zaščiteno (lastno) brezžično omrežje knjižnice? Možnih je več odgovorov
WEP
omejevanje naslovov MAC
WPA
WPA2
dostop s certifikati
RADIUS
drugo:
IF (5) V28 = [V28a]
V30 - Ali je možen prek (lastnega) brezžičnega omrežja (poleg dostopa do spleta) tudi dostop do
internega omrežja knjižnice, tj. do vsebine strežnikov in datotek na službenih računalniških
delovnih postajah?
da
ne
ne vem
8 - IZOBRAŽEVANJE ZA INFORMACIJSKO VARNOST
V31 - Kako pogosto se zaposleni v knjižnici udeležujejo izobraževanj s področja informacijske
varnosti?
izobražujejo se redno
izobražujejo se občasno
izobraževanja načrtujemo v prihodnje
tovrstnih izobraževanj se ne udeležujejo
IF (6) V31 = [2, 1]
V32 - Kdo v knjižnici se izobražuje na področju informacijske varnosti?
vsi zaposleni
zaposleni, ki upravljajo s službenimi podatki
zaposleni, ki so zadolženi za IKT
drugo:
Priloga 2: Anketni vprašalnik za zaposlene v knjižnicah
Pozdravljeni,
prosim Vas za sodelovanje v anketi za zaposlene v knjižnicah, s katero želim pridobiti podatke o
ravnanjih, ki vplivajo na stopnjo informacijske varnosti. Podatki bodo uporabljeni za dokončanje
magistrske naloge z naslovom "Knjižnice in zagotavljanje informacijske varnosti v elektronskem
okolju", ki jo pripravljam v okviru študija na Fakulteti za informacijske študije v Novem mestu.
Anketa je anonimna, brez piškotkov in brez IP sledenja.
Rezultati bodo v nalogi predstavljeni na način, da v nobenem primeru ne bo mogoča identifikacija
sodelujočih v anketi ali razkriti podatki, ki bi lahko predstavljali grožnjo informacijski varnosti v
raziskavi sodelujočih knjižnic.
Anketa bo potekala od 3. do 17. aprila 2017. Izrazi, ki se nanašajo na osebe in so zapisani v moškem
spolu, so uporabljeni kot nevtralni za ženski in moški spol.
Prosim, če si vzamete približno sedem minut časa in s klikom na Naslednja stran pričnete z
izpolnjevanjem ankete. Za izpolnjen anketni vprašalnik se Vam že vnaprej lepo zahvaljujem.
Črt Ambrožič
1 - PODATKI O VAŠI KNJIŽNICI IN VAŠE DELOVNO MESTO
V1 - Število (vseh) zaposlenih v knjižnici (v EPZ) ob koncu leta 2016:
do 5
6-10
11-20
21-50
več kot 50
V2 - Vrsta knjižnice:
splošna
visokošolska
specialna
nacionalna
V3 - Status knjižnice:
samostojna pravna oseba
organizacijska enota pravne osebe (npr. visokošolskega zavoda)
drugo:
V4 - Dela in naloge, ki jih opravljate v knjižnici:
strokovna knjižničarska dela
druga strokovna dela (npr. informatik, administrator IT, restavrator/konzervator...)
strokovna knjižničarska in druga strokovna dela
administrativno-tehnična dela
drugo:
2 - VARNOST SLUŽBENIH RAČUNALNIŠKIH GESEL
V5 - Skupaj koliko različnih gesel uporabljate na svojem delovnem mestu za prijavo na
računalniške delovne postaje, za dostop do različnih aplikacij/programov (npr. COBISS) ter
spletnih strani oziroma spletnih storitev?
V6 - Ali za službene namene uporabljate enaka gesla za več različnih prijav na računalniške
delovne postaje, za dostop do aplikacij/programov (npr. COBISS) ter spletnih strani oziroma
spletnih storitev?
da
ne
V7 - Če uporabljate več različnih gesel, ali takrat, ko jih oblikujete, razmišljate o tem, da morajo
biti nekatera gesla zaradi varnosti zahtevnejša?
da, uporabljam različno zahtevna gesla
ne, uporabljam enako zahtevna gesla
ne razmišljam o tem
uporabljam samo eno geslo
V8 - Ko spremenite določeno geslo, ali to najpogosteje storite zaradi zahtev varnostne politike
knjižnice oziroma njenega računalniškega sistema ali zaradi vaše lastne iniciative?
zaradi zahtev varnostne politike/sistema
zaradi lastne iniciative
drugo:
V9 - Kako pogosto v primerih, ko zamenjave gesla ne zahteva računalniški sistem sam,
menjavate vaša gesla?
vsaj enkrat mesečno
vsaj enkrat na tri mesece
vsaj enkrat na pol leta
vsaj enkrat letno
redkeje kot enkrat letno
gesel ne spreminjam, če to ne zahteva sistem
V10_2 - Ali pri oblikovanju gesel upoštevate varnostna priporočila?
da
ne
IF (1) V10_2 = [1]
V10 - Katera varnostna priporočila najpogosteje upoštevate pri oblikovanju gesel: Možnih je več odgovorov
dolžina gesla (vsaj 16 znakov)
kombinacija malih in velikih črk ter številk
uporaba posebnih znakov (npr. *,^, #)
drugo:
V11 - Ali pri menjavi gesla kot osnovo za novo geslo najpogosteje uporabite staro/prejšnje (npr.
geslo poletje26 postane geslo poletje27)?
da
ne
V12 - Ali si gesla zapišete na papir?
da, vedno
da, a le nekatera
ne
V13 - Ali si gesla shranite v elektronsko datoteko (npr. v Wordov dokument)?
da, vedno
da, a le nekatera
ne
IF (2) V13 = [1, 2]
V14 - Ali datoteko z zapisanimi gesli zaščitite z geslom, s šifriranjem ali kako drugače?
da
ne
V15 - Ali za shranjevanje gesel uporabljate programsko opremo, npr. Internet Explorer
password manager, Firefox password manager, Password manager, Lastpass ipd.?
da
ne, a za takšno programsko opremo sem že slišal
ne, takšne programske opreme ne poznam
V16 - Varna gesla so pomembna za zaščito pred nepooblaščenim dostopom do informacij.
Označite gesla, ki so po vašem mnenju dovolj varna za uporabo? Možnih je več odgovorov
administrator
$jelF2bb23BB$gde
%4Btv
Tomaž je zgodaj prišel domov.
Skrivnost67
0911198654744899
Geslo12345678
V17 – Kateri od naštetih načinov sestavljanja gesel se vam zdijo varni? Možnih je več odgovorov
uporaba imen otrok ali hišnih ljubljencev
uporaba naključnega stavka v slovenskem jeziku
kombinacija velikih in malih črk, pomešanih s posebnimi znaki
uporaba splošnih besed iz »slovarja« najpogostejših besed (npr. svoboda, ljubezen, knjižnica)
uporaba daljše številke (npr. 1363262456)
V18 - Ali vas je kdo od vaših sodelavcev (z izjemo oseb, odgovornih za delovanje opreme IKT) že
kdaj prosil za vaše geslo?
da, prošnji sem ustregel
da, vendar mu gesla nisem zaupal
ne
V19 - Kaj bi vi storili v primeru, ko bi predvidevali, da si je nekdo prisvojil vaše geslo? Možnih je več odgovorov
takoj bi spremenil geslo
obvestil bi sodelavca, ki je zadolžen za IKT oz. za informacijsko varnost v knjižnici
incident bi prijavil pristojnim organom (npr. Si-Cert)
zamenjal bi tudi druga gesla, ki bi lahko bila povezana z odtujenim
drugo:
3 - VARNOST SLUŽBENIH RAČUNALNIŠKIH DELOVNIH POSTAJ
V20 - Ali ob zapustitvi vašega delovnega mesta zaklenete računalniško delovno postajo
(uporabite npr. funkcijo Lock)?
da, vedno
da, a ne vedno
ne
V21 - Ali se pri odhodu iz službe odjavite z računalniške delovne postaje, ki ste jo uporabljali
(uporabite funkcijo Log Off/Sign Out)?
da, vedno
da, a ne vedno
ne
V22 - Ko zapustite delovno mesto (npr. zaradi odhoda na malico), kaj najpogosteje storite
z računalniško delovno postajo, ki ste jo uporabljali?
ugasnem zaslon računalnika
se odjavim (Log Off)
zaklenem računalniški zaslon (Lock)
ugasnem računalnik
imam z geslom zaščiten ohranjevalnik zaslona
ne storim ničesar
ne storim ničesar, ker delovno postajo uporablja več sodelavcev (z istim uporabniškim imenom)
V23 - Ali ste že kdaj dovolili sodelavcu, da se na službeno računalniško delovno postajo prijavi z
vašim uporabniškim imenom in geslom?
da
ne
4 - GROŽNJE INFORMACIJSKI VARNOSTI
V24 - Kateri način širjenja računalniških virusov je po vašem mnenju najbolj pogost?
e-pošta
programi za instantno sporočanje (npr. Skype, Snapchat, WhatsApp …)
prenos s spleta (npr. prek brskalnika ali omrežja torrent)
prenosne naprave (npr. ključki USB in prenosni diski)
drugo:
V25 - Kateri so po vašem mnenju ukrepi, ki preprečujejo zlonamerno pridobivanje
podatkov/informacij z metodami socialnega inženiringa? Možnih je več odgovorov
ne dajemo informacij o svojem računalniku in računalniškem omrežju nepooblaščenim osebam
ne opravljamo službenih zadev na nezaščiteni (oz. tuji) računalniški opremi
ne pošiljamo občutljivih službenih informacij zunaj zaščitenega omrežja knjižnice
ne posredujemo osebnih podatkov, zapisov ali vsebin prek družbenih omrežjih
nepoznanim klicateljem ne zaupamo zaupnih službenih informacij
V26 - Ali odpirate službeno elektronsko pošto, ki jo prejmete od pošiljateljev z neobičajnimi
poštnimi naslovi (npr. [email protected])?
da, vedno
da, a le izjemoma
ne
V27 - Kako ravnate, če prejmete službeno elektronsko pošto, ki vsebuje priponko? Možnih je več odgovorov
priponko odprem, če poznam pošiljatelja
priponko odprem, če ima znano končnico (npr. word, excel, jpg, power point), nikoli pa tistih z
neobičajnimi končnicami (npr. .js, .exe, .cab, vbs)
priponko odprem, saj imam dober antivirusni program, ki me ščiti pred okužbo
priponke ne odprem, tudi če poznam pošiljatelja, a je sporočilo neobičajno
priponke ne odprem, če je sporočilo slovnično pomanjkljivo
V28 - Ali pri pošiljanju službene elektronske pošte kdaj uporabljate programsko podporo za
šifriranje (enkripcijo) sporočil?
da
ne
ne vem, kaj je programska podpora za šifriranje
V29 - Ali na službeni računalniški delovni postaji kdaj uporabljate spletne ponudnike
elektronske pošte (npr. Gmail, Hotmail, Yahoo ipd.)?
da
ne
V30 - Kaj je po vašem mnenju najpametneje narediti ob prejetju elektronske pošte od
neznanega oziroma sumljivega pošiljatelja?
odpreti sporočilo
takoj izbrisati sporočilo
preposlati sporočilo vodstvu knjižnice oziroma matične organizacije
preposlati sporočilo osebi, zadolženi za IKT opremo
preposlati sporočilo sodelavcem v presojo
preposlati sporočilo na osebni poštni račun in ga odpreti doma
drugo:
V31 - Kateri je po vašem mnenju najboljši (najbolj zanesljiv) način za preprečevanje okužbe z
računalniškimi virusi prek elektronske pošte neznanih oziroma sumljivih pošiljateljev?
brisanje sporočil brez odpiranja priponk
antivirusni pregled priponk pred njihovim odpiranjem
posvetovanje s sodelavci pred odpiranjem sporočila in priponk
prepošiljanje sporočil osebi odgovorni za IKT v pregled
V32 - Kaj od naštetega po vašem mnenju sodi v sprejemljivo rabo službenega elektronskega
poštnega predala? Možnih je več odgovorov
posredovanje vaših osebnih sporočil znancem
pošiljanje zabavnih sporočil sodelavcem
obveščanje sodelavcev o zanimivi spletni ponudbi izdelkov
obveščanje znancev o zanimivih (kulturnih) dogodkih oziroma Dogodkih, povezanih s
knjižničarstvom
sprejemanje ponudb za zasebne projekte
posredovanje verižnih pisem
V33 - Na kakšen način bi vi nekomu posredovali vaše (občutljive) osebne podatke (npr. podatek
o davčni številki, članstvu v sindikatu, EMŠO ...)? Možnih je več odgovorov
kot običajno e-sporočilo
kot šifrirano e-sporočilo
prek službenega intraneta
z uporabo storitve za spletno pošiljanje datotek (npr. WeTransfer)
telefonsko
z ročno dostavo na ključku USB ali na zunanjem disku
kot priporočeno poštno pošiljko
drugo:
6 - POMOČ PRI TEŽAVAH Z RAČUNALNIŠKO OPREMO
V34 - Na koga se najpogosteje obrnete v primeru težav s službeno računalniško opremo?
nadrejenega
sodelavca
sistemskega administratorja oz. osebo, odgovorno za opremo IKT
na prijatelja oz. znanca
drugo:
V35 - Ali v primeru težav z računalniško opremo svoje geslo za prijavo na službeno
računalniško delovno postajo zaupate sistemskemu administratorju oz. osebi odgovorni za
delovanje IKT?
da
ne
7 - DOSTOP NA DALJAVO DO SLUŽBENEGA RAČUNALNIKA
V36 - Ali za službo kdaj delate tudi na domu in pri tem uporabljate računalniško opremo?
da
ne
IF (3) V36 = [1]
V37 - Ali za delo doma uporabljate službeni ali lasten računalnik?
službeni računalnik
lasten računalnik
oboje
IF (3) V36 = [1]
IF (4) V37 = [2, 3]
V38 - Na kakšen način doma narejene datoteke z vašega lastnega računalnika prenesete na
računalniško delovno postajo v službi?
ključek USB ali zunanji disk
spletne storitve za shranjevanje datotek (oblak)
dostop na daljavo do službene delovne postaje
datoteke si pošljem prek službene e-pošte
datoteke si pošljem prek osebne e-pošte
drugo:
IF (3) V36 = [1]
V39 - Ali pri delu na domu uporabljate dostop na daljavo (remote access) do računalniške
delovne postaje v službi?
da
ne
IF (3) V36 = [1]
IF (5) V39 = [1]
V40 - Ali v primeru brezžičnega povezovanja v internet za dostop na daljavo do računalniške
delovne postaje v službi uporabljate varnostno zaščiteno brezžično omrežje (šifriranje WPA,
Eduroam ipd.)?
da
ne
ne vem
ne uporabljam brezžičnega povezovanja
IF (3) V36 = [1]
IF (5) V39 = [1]
V41 - Ali tudi druge osebe (družinski člani, znanci …) uporabljajo računalnik, s katerim
oddaljeno dostopate do računalniške delovne postaje v službi?
da
ne
8 - VARNOSTNE POLITIKE IN IZOBRAŽEVANJE O INFORMACIJSKI
VARNOSTI
V42 - Ali imate v vaši knjižnici oz. matični organizaciji izdelane in sprejete varnostne politike za
zaščito računalniške opreme in podatkov/informacij?
da
ne
ne vem
IF (6) V42 = [1]
V43 - Ali poznate vsebino varnostnih politik?
da
ne
QV44 - Ali ste se že kdaj udeležili izobraževanja s področja računalniške oziroma informacijske
varnosti?
da
ne, bi si pa želel
ne, tovrstnega izobraževanja ne potrebujem
Priloga 3: Zbirni rezultati ankete za osebe, odgovorne za informacijsko varnost knjižnic
1 - KNJIŽNICA IN INFORMACIJSKO-KOMUNIKACIJSKA (IKT) OPREMA
Število (vseh) zaposlenih v knjižnici (v EPZ) ob koncu leta 2016: (n = 31)
Vrsta knjižnice: (n = 31)
Status knjižnice: (n = 31)
Število vseh računalniških delovnih postaj knjižnice, ki jih uporabljajo zaposleni in uporabniki
knjižnice? (n = 29)
Kateri operacijski sistemi so nameščeni na računalniških delovnih postajah knjižnice? (n = 29)
Možnih je več odgovorov
Ali je v knjižnici zaposlena oseba, ki skrbi oziroma je odgovorna za delovanje in vzdrževanje
IKT knjižnice? (n = 29)
Drugo: pogodba z zunanjim izvajalcem
Ali ima knjižnica na razpolago osebo, ki zanjo opravlja naloge sistemskega/varnostnega
administratorja? (n = 29)
2 - POLITIKA KNJIŽNICE O INFORMACIJSKI VARNOSTI
Ali ima vaša knjižnica izdelano in sprejeto politiko informacijske varnosti? (n = 29)
Ali v knjižnici upoštevate in sledite sprejeti politiki informacijske varnosti? (n = 1)
Ali v knjižnici sledite domačim oziroma mednarodnim smernicam/standardom informacijske
varnosti? (n = 29)
Katerim smernicam/standardom informacijske varnosti sledite? (n = 9)
Možnih je več odgovorov
Drugo: smernicam, ki jih je podal neodvisni revizor informacijskih sistemov; v knjižnici javni
uslužbenci ne sledimo smernicam inf. varnosti, sledi pa temu zunanji izvajalec, s katerim imamo
sklenjeno pogodbo; nič
3 - UKREPI ZA ZAŠČITO PODATKOV
Kako pogosto izdelujete varnostne kopije ključnih podatkov knjižnice? (n = 27)
Drugo: izdeluje jih izum; letno
Na katere podatkovne medije shranjujete varnostne kopije podatkov? (n = 23)
Možnih je več odgovorov
Drugo: izum
Ali ima knjižnica (oziroma njena matična organizacija) sprejet načrt za ponovno vzpostavitev
informacijskega sistema in strojne opreme v primeru "katastrofe" (angl. disaster recovery
plan)? (n = 27)
Ali pri posredovanju občutljivih osebnih ali poslovnih podatkov v elektronski obliki
organizacijam ali posameznikom zunaj knjižnice uporabljate šifriranje? (n = 27)
4 - UKREPI ZA ZAŠČITO RAČUNALNIŠKE OPREME KNJIŽNICE
Ali na vseh računalniških delovnih postajah knjižnice (tj. za uporabnike in zaposlene)
uporabljate zaščito proti zlonamerni kodi (npr. računalniškim virusom)? (n = 26)
Kakšne vrste varnostne zaščite računalniškega omrežja uporabljate? (n = 26)
Možnih je več odgovorov
Če ste že kdaj imeli okužbo računalniškega sistema knjižnice z izsiljevalskimi virusi (angl.
ransomware), kako ste ravnali? (n = 26)
Drugo: izgubili smo podatke
Kdo skrbi za posodabljanje programske opreme (npr. Java, Adobe Flash, Adobe Reader ...) na
računalniških delovnih postajah knjižnice? (n = 26)
Na kakšen način posodabljate programsko opremo na računalniških delovnih postajah
knjižnice? (n = 26)
Ali imajo vsi lokalni administratorski računi na računalniških delovnih postajah knjižnice
enako geslo? (n = 26)
Ali ob zaključku delovnega dne zaposleni v knjižnici izklopijo (shut down/turn off) računalniške
delovne postaje, ki jih uporabljajo? (n = 26)
5 - UPORABNIŠKA GESLA
Ali ima knjižnica oz. njena matična organizacija sprejet dokument o varnostni politiki
uporabniških gesel? (n = 26)
Kakšna so vaša pravila glede spreminjanja uporabniških gesel, ki jih zaposleni uporabljajo za
prijavo na svojo računalniško delovno postajo v knjižnici? (n = 26)
Kakšna so vaša pravila glede dolžine in zahtevnosti uporabniških gesel, ki jih zaposleni
uporabljajo za prijavo na svojo računalniško delovno postajo v knjižnici? (n = 26)
7 - DOSTOP DO SLUŽBENIH RAČUNALNIKOV IN ELEKTRONSKE POŠTE NA
DALJAVO
Ali imajo zaposleni v knjižnici možnost dela na daljavo (npr. od doma)? (n = 26)
Katere možnosti povezovanja za delo na daljavo lahko uporabljajo zaposleni v knjižnici? (n =
11)
Možnih je več odgovorov
Drugo: remotewebaccess-vdi; dostop do poštnega strežnika preko www odjemalca; remote desktop
connection; owncloud
Katero programsko podporo uporabljajo zaposleni v knjižnici za dostop do službene e-pošte na
daljavo (z oddaljene lokacije)? (n = 11)
Drugo: roundcube webmail; roundcube webmail, drugi email klienti; outlook web access (spletni
odjamalec za exchange)
8 - LOKALNO BREZŽIČNO OMREŽJE
Ali imate v knjižnici brezžično lokalno omrežje (WLAN)? (n = 25)
Možnih je več odgovorov
Drugo: ločeno za stranke
Kako je zaščiteno (lastno) brezžično omrežje knjižnice? (n = 16)
Možnih je več odgovorov
Drugo: zunanji rač servis kabi; kuponi za 1 uro dela
Ali je možen prek (lastnega) brezžičnega omrežja (poleg dostopa do spleta) tudi dostop do
internega omrežja knjižnice, tj. do vsebine strežnikov in datotek na službenih računalniških
delovnih postajah? (n = 17)
9 - IZOBRAŽEVANJE ZA INFORMACIJSKO VARNOST
Kako pogosto se zaposleni v knjižnici udeležujejo izobraževanj s področja informacijske
varnosti? (n = 24)
Kdo v knjižnici se izobražuje na področju informacijske varnosti? (n = 13)
Priloga 4: Zbirni rezultati ankete za zaposlene v knjižnicah
1 - PODATKI O KNJIŽNICI IN DELOVNEM MESTU ANKETIRANCA
Število (vseh) zaposlenih v knjižnici (v EPZ) ob koncu leta 2016: (n = 153)
Vrsta knjižnice: (n = 153)
Status knjižnice: (n = 154)
Drugo: organizacijska enota treh pravnih oseb (smo spec. in vk); notranja organizacijska enota; nuk;
občinska; specialna knjižnica kot del zavoda; del sektorja javnega zavoda; zavod
Dela in naloge, ki jih opravljate v knjižnici: (n = 154)
Drugo: ravnatelj knjižnice; raziskovalno delo; vodstvena; vse; koordinacija; strokovna knjižničarska
dela, publiciteta gradiva, razstave
2 - VARNOST SLUŽBENIH RAČUNALNIŠKIH GESEL
Skupaj koliko različnih gesel uporabljate na svojem delovnem mestu za prijavo na računalniške
delovne postaje, za dostop do različnih aplikacij/programov (npr. COBISS) ter spletnih strani
oziroma spletnih storitev? (n = 149)
Ali za službene namene uporabljate enaka gesla za več različnih prijav na računalniške delovne
postaje, za dostop do aplikacij/programov (npr. COBISS) ter spletnih strani oziroma spletnih
storitev? (n = 149)
Če uporabljate več različnih gesel, ali takrat, ko jih oblikujete, razmišljate o tem, da morajo biti
nekatera gesla zaradi varnosti zahtevnejša? (n = 149)
Ko spremenite določeno geslo, ali to najpogosteje storite zaradi zahtev varnostne politike
knjižnice oziroma njenega računalniškega sistema ali zaradi vaše lastne iniciative? (n = 149)
Drugo: odvisno od sistema, v katerega se prijavljamo; ne spreminjam gesel, te določi direktor; ker vi
admini tako naštimate z jeb*** stavki in pikami in ostalimi ločili... :)
Kako pogosto v primerih, ko zamenjave gesla ne zahteva računalniški sistem sam, menjavate
vaša gesla? (n = 149)
Ali pri oblikovanju gesel upoštevate varnostna priporočila? (n = 149)
Katera varnostna priporočila najpogosteje upoštevate pri oblikovanju gesel: (n = 117)
Možnih je več odgovorov
Drugo: uporabljam številke in črke; besede in številke, ter pika; menjava črk za številke, neknjižna
narečna raba slovenščine, 1337, kontekstno nepovezane fraze; uporaba kombinacija črk, ki ne tvorijo
smiselne besede/imena ipd.
Ali pri menjavi gesla kot osnovo za novo geslo najpogosteje uporabite staro/prejšnje (npr. geslo
poletje26 postane geslo poletje27)? (n = 148)
Ali si gesla zapišete na papir? (n = 149)
Ali si gesla shranite v elektronsko datoteko (npr. v Wordov dokument)? (n = 149)
Ali datoteko z zapisanimi gesli zaščitite z geslom, s šifriranjem ali kako drugače? (n = 23)
Ali za shranjevanje gesel uporabljate programsko opremo, npr. Internet Explorer password
manager, Firefox password manager, Password manager, Lastpass ipd.? (n = 148)
Varna gesla so pomembna za zaščito pred nepooblaščenim dostopom do informacij. Označite
gesla, ki so po vašem mnenju dovolj varna za uporabo? (n = 147)
Možnih je več odgovorov
Kateri od naštetih načinov sestavljanja gesel se vam zdijo varni? (n = 147)
Možnih je več odgovorov
Ali vas je kdo od vaših sodelavcev (z izjemo oseb, odgovornih za delovanje opreme IKT) že kdaj
prosil za vaše geslo? (n = 148)
Kaj bi vi storili v primeru, ko bi predvidevali, da si je nekdo prisvojil vaše geslo? (n = 148)
Možnih je več odgovorov
Drugo: obvestiti vodstvo; čestital bi mu; zamenjal bi vsa gesla in obvestil sodelavca za ikt; zelo vesela
bi bila, če gesel ne bi bolo. kaj pa skrivamo. pred kom. hekerji ropajo zageslane banke. smešni se s
temi gesli
3 - VARNOST SLUŽBENIH RAČUNALNIŠKIH DELOVNIH POSTAJ
Ali ob zapustitvi vašega delovnega mesta zaklenete računalniško delovno postajo (uporabite npr.
funkcijo Lock)? (n = 148)
Ali se pri odhodu iz službe odjavite z računalniške delovne postaje, ki ste jo uporabljali
(uporabite funkcijo Log Off/Sign Out)? (n = 148)
Ko zapustite delovno mesto (npr. zaradi odhoda na malico), kaj najpogosteje storite
z računalniško delovno postajo, ki ste jo uporabljali? (n = 148)
Ali ste že kdaj dovolili sodelavcu, da se na službeno računalniško delovno postajo prijavi z vašim
uporabniškim imenom in geslom? (n = 147)
4 - GROŽNJE INFORMACIJSKI VARNOSTI
Kateri način širjenja računalniških virusov je po vašem mnenju najbolj pogost? (n = 146)
Drugo: vse od naštetega; ne vem; torrent je po mojem tud blizi; zgoraj nisem mogla napisat, po
potrebi delamo na računalnikih eden drugega na izposoji. treba je delat, ne vem če razumete, ampak
od gesel knjižnica ne živi
Kateri so po vašem mnenju ukrepi, ki preprečujejo zlonamerno pridobivanje
podatkov/informacij z metodami socialnega inženiringa? (n = 146)
Možnih je več odgovorov
Ali odpirate službeno elektronsko pošto, ki jo prejmete od pošiljateljev z neobičajnimi poštnimi
naslovi (npr. [email protected])? (n = 144)
Kako ravnate, če prejmete službeno elektronsko pošto, ki vsebuje priponko? (n = 144)
Možnih je več odgovorov
Ali pri pošiljanju službene elektronske pošte kdaj uporabljate programsko podporo za šifriranje
(enkripcijo) sporočil? (n = 144)
Ali na službeni računalniški delovni postaji kdaj uporabljate spletne ponudnike elektronske
pošte (npr. Gmail, Hotmail, Yahoo ipd.)? (n = 144)
Kaj je po vašem mnenju najpametneje narediti ob prejetju elektronske pošte od neznanega
oziroma sumljivega pošiljatelja? (n = 143)
Drugo: obvestiti sodelavce v ikt, vendar ne preposlati sporočilo; javiti ikt osebi, ne je pa preposlati;
poiskati informacijo pri sodelavcu; poslati kolegu... :) ..izbrisati, ja; nič, označiti kot spam; takoj
izbrisati in obvestiti osebo, zadolženo za ikt opremo; poklicati osebo, zadolženi za ikt opremo
Kateri je po vašem mnenju najboljši (najbolj zanesljiv) način za preprečevanje okužbe z
računalniškimi virusi prek elektronske pošte neznanih oziroma sumljivih pošiljateljev? (n = 143)
Kaj od naštetega po vašem mnenju sodi v sprejemljivo rabo službenega elektronskega poštnega
predala? (n = 133)
Možnih je več odgovorov
Na kakšen način bi vi nekomu posredovali vaše (občutljive) osebne podatke (npr. podatek o
davčni številki, članstvu v sindikatu, EMŠO ...)? (n = 142)
Možnih je več odgovorov
Drugo: z osebno dostavo; zapisano na papirju ali ustno; ne bi tega storila; osebno (f = 9); ne pošiljam
osebnih podatkov; brez posredovanja takih podatkov; lahko se ščitim kot omenjate zgoraj. pravzaprav
svojih osebnih podatkov ne pošiljam nikomur in nikakor po elektronski poti. začuda pa me kar naprej
klicarijo nam mojo zasebno telefonsko številko z raznih zavarovalnic. števuilke nimam objavljene v
imeniku. skratka, gospod, vaša anketa je lari fari. mogoče boste vi uporabili podatke o meni za bog ve
kaj.; ne posredujem osebnih podatkov, dostavim jih osebno; ne bi posredovala
6 - POMOČ PRI TEŽAVAH Z RAČUNALNIŠKO OPREMO
Na koga se najpogosteje obrnete v primeru težav s službeno računalniško opremo? (n = 142)
Drugo: 1: google, 2: janez, 3: tadej poštima :); za vsak program imamo posebnega serviserja
Ali v primeru težav z računalniško opremo svoje geslo za prijavo na službeno računalniško
delovno postajo zaupate sistemskemu administratorju oz. osebi odgovorni za delovanje IKT? (n = 141)
7 - DOSTOP NA DALJAVO DO SLUŽBENEGA RAČUNALNIKA
Ali za službo kdaj delate tudi na domu in pri tem uporabljate računalniško opremo? (n = 142)
Ali za delo doma uporabljate službeni ali lasten računalnik? (n = 77)
Na kakšen način doma narejene datoteke z vašega lastnega računalnika prenesete na
računalniško delovno postajo v službi? (n = 65)
Možnih je več odgovorov
Drugo: ctrl+c, ctrl+v
Ali pri delu na domu uporabljate dostop na daljavo (remote access) do računalniške delovne
postaje v službi? (n = 77)
Ali v primeru brezžičnega povezovanja v internet za dostop na daljavo do računalniške delovne
postaje v službi uporabljate varnostno zaščiteno brezžično omrežje (šifriranje WPA, Eduroam
ipd.)? (n = 33)
Ali tudi druge osebe (družinski člani, znanci …) uporabljajo računalnik, s katerim oddaljeno
dostopate do računalniške delovne postaje v službi? (n = 33)
8 - VARNOSTNE POLITIKE IN IZOBRAŽEVANJE O INFORMACIJSKI VARNOSTI
Ali imate v vaši knjižnici oz. matični organizaciji izdelane in sprejete varnostne politike za
zaščito računalniške opreme in podatkov/informacij? (n = 142)
Ali poznate vsebino varnostnih politik? (n = 69)
Ali ste se že kdaj udeležili izobraževanja s področja računalniške oziroma informacijske
varnosti? (n = 142)
Priloga 5: Standard SIST ISO 27001:2013 – Cilji kontrol in kontrole: Analiza stanja in
potrebni ukrepi v Narodni in univerzitetni knjižnici
Na osnovi pregleda uresničevanja referenčnih ciljev kontrol, ki jih vključuje Dodatek A Standarda SIST
ISO 27001 (2013), ugotavljamo na področju upravljanja informacijske varnosti naslednje stanje:
Informacijske varnostne politike
Stanje: knjižnica še nima krovnega dokumenta o informacijski varnosti. Sprejete ima politike (navodila)
za posamezna področja informacijske varnosti, ki se redno posodabljajo.
Potrebni ukrepi: priprava in sprejem krovnega dokumenta, pregled obstoječih politik in po potrebi
njihova dopolnitev.
Organiziranje informacijske varnosti
Stanje: odgovornosti in dolžnosti za varovanje informacij so v dokumentih knjižnice opredeljene glede
na zadolžitve in vloge (delovna mesta) zaposlenih v poslovnih procesih. Varnostna tveganja na področju
dostopa do internega omrežja prek mobilnih naprav ne obstajajo, ker tovrsten dostop do omrežja ni
mogoč. Politika in podporni varnostni ukrepi so zagotovljeni na področju dela zaposlenih na daljavo,
oddaljenega dostopa do elektronskih informacijskih virov za uporabnike ter dostopa do informacijskega
sistema za partnerje in tretje osebe. Knjižnica sodeluje s službami in organi, ki urejajo področje
varovanja informacij in ima za svetovanje sklenjene pogodbe s kompetentnimi zunanjimi izvajalci.
Potrebni ukrepi: vzpostavitev sistema upravljanja informacijske varnosti po posameznih projektih.
Priprava pisne politike o uporabi mobilnih naprav za zaposlene in zunanje izvajalce.
Varnost človeških virov
Stanje: varnostno preverjanje kandidatov za zaposlitev se opravlja v skladu z zakonodajo in etiko ter
sorazmerno s poslovnimi zahtevami in razvrstitvijo informacij, do katerih bodo dostopali ob morebitni
zaposlitvi. Pogodbe o delu vključujejo opredelitev odgovornosti na področju varovanja informacij.
Pogodbeniki in tretje stranke so dolžni spoštovati pogodbena določila, ki se nanašajo na varovanje
informacij. Knjižnica še nima celovitega programa izobraževanja in usposabljanja zaposlenih s področja
informacijske varnosti, ukrepi za ozaveščanje, izobraževanje in usposabljanje za informacijsko varnost
niso vključeni v strateške in druge dokumente knjižnice. Formalni in sporočeni disciplinski proces za
ukrepanje proti zaposlenim, ki bi kršili informacijsko varnost, določa interni akt o disciplinski
odgovornosti in disciplinskem postopku. Ob prekinitvi zaposlitve se uvedejo ukrepi, ki zaposlenemu
onemogočijo dostop do informacijskega sistema in dobrin knjižnice.
Potrebni ukrepi: v okviru strateškega dokumenta o razvoju informatike opredeliti dolgoročne cilje ter
ukrepe na področju ozaveščanja, izobraževanja in usposabljanja zaposlenih o informacijski varnosti.
Upravljanje dobrin
Stanje: vzpostavljen je sistem odgovornosti za dobrine. Popis organizacijskih dobrin se redno
posodablja. Skrbništvo dobrin, povezanih z informacijami in napravami za njihovo obdelavo, je
določeno tako za zaposlene kot pogodbene partnerje. Pisnega dokumenta o sprejemljivi uporabi
informacij in dobrin, povezanih z njimi, knjižnica nima. Vendar pa se zaposleni ob prejemu dobrine v
uporabo pisno zaveže, da jo bo uporabljal kot dober gospodar, na njej ne bo opravljal tehničnih posegov,
je ne bo dajal v uporabo tretjim osebam in bo skrbel za njeno potrebno zaščito in varovanje. Posebnega
dokumenta o razvrstitvi vseh vrst informacij glede na zakonske zahteve, vrednost, kritičnost in
občutljivost na nepooblaščeno razkritje ali spreminjanje, knjižnica nima. Ima pravila in navodila o
ravnanju z informacijami, ki se nanašajo na posamezna poslovna področja (npr. finančne in kadrovske
informacije, osebni podatki). Nosilci podatkov/informacij se po poteku uporabe varno odstranijo v
skladu s pravili knjižnice in zakonodajo (npr. način odstranitve občutljivih poslovnih ali osebnih
podatkov iz uporabe). Nosilci podatkov/informacij, ki vsebujejo informacije, so zaščiteni pred
nepooblaščenim dostopom, zlorabo ali okvaro med prenašanjem.
Potrebni ukrepi: ocenjujemo, da dodatni ukrepi niso potrebni.
Nadzor dostopa
Stanje: politika nadzora dostopa do informacij in naprav za obdelavo informacij še ni bila sprejeta.
Dostop do omrežij in omrežnih storitev je nepooblaščenim osebam onemogočen. Politika formalnega
procesa upravljanja uporabniškega dostopa do sistemov in storitev še ni sprejeta, zato kontrole niso
formalizirane. Proces upravljanja nadzora se kljub temu v praksi izvaja. Nadzor dostopa do aplikacij in
informacij ni centralno upravljan, izjema je uporabniško okolje Windows.
Potrebni ukrepi: sprejem varnostne politike in pravil za upravljanje uporabniškega dostopa.
Kriptografija
Stanje: knjižnica pisne politike o uporabi kriptografije nima. Seznam certifikatov in njihove veljavnosti
se vodi ročno v elektronski obliki.
Potrebni ukrepi: sprejem varnostne politike o uporabi kriptografije. Uvedba avtomatiziranega sistema
s pomočjo programske opreme, ki skrbi za upravljanje s certifikati in preverja njihovo življenjsko dobo.
Fizična in okoljska varnost
Varovana območja:
Stanje: knjižnica ima fizično ločene in varovane prostore za zaščito območij, kjer se obdelujejo in
hranijo ključne informacije (v klasični in elektronski obliki) ter informacijske naprave. Pisne politike
knjižnica nima, sprejeta so navodila po posameznih sektorjih dejavnosti knjižnice. Delovni/poslovni
prostori se ob odsotnosti zaposlenih zaklepajo. Dostop ima (praviloma) izven delovnega časa čistilni
servis, ob nadzoru pooblaščene osebe tudi pogodbeno vzdrževalno osebje. Na računalniških delovnih
postajah so oblikovani osebni profili, zaščiteni z uporabniškim imenom in geslom. Dostopi uporabnikov
knjižnice do prostorov in opreme v varovana območja so onemogočeni. Načrt knjižnice za ravnanje v
primeru izrednih dogodkov je izdelan, opredeljene so pooblaščene osebe za njegovo izvajanje. Uporaba
računalniških delovnih postaj je omogočena na osnovi osebnih profilov, varnostno kopiranje podatkov
je zagotovljeno, obstaja lokacijsko ločena namestitev ključnih naprav. Delo na varovanih območjih
lahko opravljajo le pooblaščene osebe, pogodbeniki le ob nadzoru pooblaščene osebe. Dostop
obiskovalcev do prostorov na lokaciji Turjaška je nadzorovan prek elektronske kontrole dostopa,
receptorske in varnostne službe ter videonadzora, na lokaciji Leskoškova prek receptorske službe in
elektronskega varovanja dostopa (restavratorski center, računalniški center) ter alarmnih sistemov.
Potrebni ukrepi: sprejem varnostne politike o zaščiti območij, ki vsebujejo občutljive ali ključne
informacije ter naprave za obdelavo informacij.
Oprema:
Stanje: postopek namestitve in zaščite opreme posebej pisno ni določen, v primeru opreme IKT se
upoštevajo predpisi in priporočila s tega področja ter priporočila oziroma načrti ustrezno usposobljenih
pogodbenih izvajalcev. Za zaščito delovanja strežniških prostorov na lokaciji Leskoškova ima knjižnica
rezervno napajanje (UPS) in za primere daljših izpadov agregat na dizel gorivo. Mrežna oprema na
lokaciji Turjaška in delovne postaje nimajo možnosti rezervnega napajanja. Električno in
telekomunikacijsko ožičenje je zavarovano pred poškodbami. Oprema knjižnice je ustrezno vzdrževana
(lastno osebje IKT, pogodbeni izvajalci). Za obveščanje o napakah je zagotovljen odziv pooblaščenih
oseb tudi zunaj rednega delovnega časa. Oprema knjižnice se zunaj njenih prostorov lahko uporablja le
kontrolirano. Zagotovljena sta varna odstranitev in uničenje dotrajane opreme v skladu z zakonom.
Politika čiste mize za papir in prenosne nosilce za shranjevanje ter politika praznega zaslona za naprave
za obdelavo informacij v pisni obliki ni sprejeta.
Potrebni ukrepi: sprejem varnostne politike za preprečitev izgube, poškodbe, kraje ali zlorabe dobrin in
prekinitve operacij organizacije. Sprejem varnostne politike za ravnanje z računalniško in
komunikacijsko opremo knjižnice (politika čiste mize in praznega zaslona).
Varnost operacij
Operativni postopki in odgovornosti:
Stanje: knjižnica nima pisnih navodil za delo z vsemi vrstami naprav za obdelavo informacij.
Spremembe v poslovnem procesu se nadzorujejo, njihovo dokumentiranje ni sprotno. Projekcije
prihodnjih potreb se izvajajo in so osnova za načrtovanje investicij v opremo IKT. Pri razvoju
programske opreme se uporablja sistem za vodenje in upravljanje z verzijami, kot tudi testno okolje, ki
je zaprto za dostop izven omrežja NUK.
Potrebni ukrepi: sprotno dokumentiranje postopkov delovanja in sprememb naprav za obdelavo
informacij.
Zaščita pred zlonamerno programsko opremo:
Stanje: za zaščito pred zlonamerno programsko opremo knjižnica uporablja več ravni zaščit.
Elektronska pošta se pregleda že pred prispetjem v NUK (Microsoft Azure) in tudi ob prehodu v notranje
omrežje. Na vseh delovnih postajah knjižnice je nameščena protivirusna zaščita, ki se redno posodablja.
V premeru okužb se uporabnika poduči o pravilni uporabi elektronske pošte in vnosa datotek v poslovno
omrežje.
Potrebni ukrepi: uvedba rednega izobraževanja in ozaveščanja zaposlenih o nevarnostih zlonamerne
programske opreme.
Varnostno kopiranje:
Stanje: varnostne kopije se redno izdelujejo in preizkušajo. Politika varnostnega kopiranja ni sprejeta v
pisni obliki.
Potrebni ukrepi: sprejem politike varnostnega kopiranja.
Beleženje in spremljanje dogodkov:
Stanje: dnevniki dogodkov, ki beležijo aktivnosti uporabnikov, izjeme, okvare in informacijske
varnostne dogodke, se zapisujejo, hranijo in redno pregledujejo. Sistemske ure vseh pomembnih
sistemov za obdelavo informacij v organizaciji so usklajene z enotnim referenčnim časovnim virom.
Potrebni ukrepi: uvedba naprave ali sistema za zaščito pred nedovoljenimi posegi v zabeležene
dogodke.
Nadzor operativne programske opreme in spremljanje tehničnih ranljivosti:
Stanje: nameščanje operativne programske opreme na operativne sisteme je omogočeno le sistemskim
administratorjem. Informacije o tehničnih ranljivostih informacijskih sistemov v uporabi se pridobivajo
sprotno in pravočasno za načrtovanje ukrepov.
Potrebni ukrepi: vzpostavitev sistemske varnostne politike za določanje postopkov pri nameščanju
programske opreme na operativne sisteme ter dokumentiranja nameščanj.
Varnost komunikacije
Stanje: omrežja so ustrezno upravljana in nadzorovana s pomočjo požarnega zidu. Intervencije ter večji
posegi se izvajajo v sodelovanju z usposobljenimi zunanjimi izvajalci. Omrežje poslovnega okolja je
ločeno od omrežja za tretje osebe (uporabnike storitev knjižnice). Postopki za prenos informacij še niso
formalizirani.
Potrebni ukrepi: zamenjava obstoječega požarnega zidu z varnostnimi rešitvami nove generacije, ki
omogočajo večji nadzor nad lokalnim omrežjem v poslovnem okolju. Sprejem varnostne politike
posredovanja informacij.
Pridobivanje, razvoj in vzdrževanje sistemov
Stanje: informacijske sisteme se vzdržuje in nadgrajuje glede na zahteve v zvezi z informacijsko
varnostjo. Kjer je stroškovno in organizacijsko možno, se informacijske sisteme tudi seli na nove verzije
operacijskih sistemov. Pred večjimi nadgradnjami informacijskih sistemov se naredi varnostna kopija
celotnega sistema in se vse spremembe na sistemu, ki nastanejo med njegovo zamenjavo oziroma
nadgradnjo, dokumentira. Pred nameščanjem večjih posodobitev se le-te tudi testira v službi za
informacijsko-komunikacijsko podporo. Javna omrežja so ločena od lokalne mreže poslovnega okolja,
za njihovo vzdrževanje in nadgrajevanje je sklenjena pogodba z zunanjim izvajalcem. Informacije, ki
so vključene v aplikacijske storitve, so varovane s šifriranjem na osnovi certifikatov.
Potrebni ukrepi: sprejem akcijskega načrta za zamenjavo/opustitev informacijskih sistemov, ki so v
zadnjem ciklu življenjskega obdobja, vendar za njihovo zamenjavo do zdaj ni bilo investicijskih
sredstev. Vzpostaviti testno okolje za predhodno testiranje nadgradenj ključnih komponent, ki bo
popolnoma ločeno od produkcijskega okolja in bo vsebovalo zrcalne kopije ključnih informacijskih
sistemov.
Odnosi z dobavitelji
Stanje: z zunanjimi dobavitelji so sklenjene pogodbe o vzdrževanju, odzivni časi so določeni glede na
zahteve informacijskih sistemov. Za ključne strežniške strojne rezervne dele so sklenjeni dogovori za
hitro dobavo in zamenjavo v primeru odpovedi. Redno se spremlja, pregleduje in izvaja presoja izvajanja
storitev dobaviteljev.
Potrebni ukrepi: sprejem dokumenta, v katerem bo natančno določeno, za katera področja in za katero
opremo je odgovoren določen zunanji dobavitelj, in bodo navedene tudi kontaktne osebe s telefonskimi
številkami za primere odpovedi ali drugih potrebnih intervencij na dobrinah organizacije.
Upravljanje informacijskih varnostnih incidentov
Stanje: v primerih varnostnih incidentov se izvedejo potrebni postopki za čim hitrejšo odpravo
varnostne grožnje in za vzpostavitev stanja informacijskih sistemov pred varnostnim incidentom. O
informacijskih varnostnih dogodkih se sprotno poroča vodstvu. Ob varnostnih incidentih se opravi
postopke za prepoznavo ter zbiranje, pridobivanje in hranjenje informacij, ki lahko v nadaljnjem
postopku služijo kot dokazi. Znanje, pridobljeno pri odpravljanju varnostnih incidentov, se uporabi za
zmanjšanje možnosti ali vplivov prihodnjih incidentov.
Potrebni ukrepi: sprejem varnostne politike za pristope k upravljanju informacijskih varnostnih
incidentov, kjer bodo v dokumentu definirani vsi koraki od zaznavanja incidentov do njihove prijave
pristojnim organom.
Vidiki informacijske varnosti pri upravljanju neprekinjenega poslovanja
Stanje: za zagotavljanje neprekinjenega poslovanja so vse kritične komponente informacijskih sistemov
podvojene, za rezervno napajanje skrbijo naprave UPS in dizelski agregat. Kritični podatki so
geografsko razpršeni na več lokacijah, varnostne kopije so shranjene v protipožarnih sefih. Periodično
se testira scenarije okrevanja pri večjih izpadih električne energije ali ključne strežniške opreme.
Potrebni ukrepi: sprejem varnostne politike pri upravljanju neprekinjenega poslovanja. Vzpostavitev
rezervne lokacije, ki v primerih večjih kriz ali katastrof omogoča neprekinjeno poslovanje ključnih
informacijskih sistemov.
Skladnost
Stanje: pri zagotavljanju informacijske varnosti se zagotavlja skladnost z zakonodajo, predpisi in
pogodbami. Izvajajo se ustrezni postopki za zagotovitev skladnosti v zvezi s pravicami intelektualne
lastnine, vsi informacijski sistemi so ustrezno licencirani, prav tako programski izdelki. Zapise se ščiti
pred izgubo, uničenjem, ponarejanjem in nepooblaščenimi dostopi v skladu z zahtevami zakonodaje.
Zasebnost in varovanje osebnih podatkov sta zagotovljena. Podrobna določila vsebuje pravilnik
knjižnice o zavarovanju osebnih podatkov ter posamezna pravila o poslovanju služb. Izvajajo se
periodični neodvisni pregledi informacijske varnosti, njihove izsledke se upošteva v nadaljnjih
izboljšavah in nadgradnjah informacijske varnosti.
Potrebni ukrepi: dokumentirati pristop k upravljanju informacijske varnosti in njegovo izvajanje
(kontrole, politike, procesi in postopki za informacijsko varnost).
