 | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|
| | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
|
Замечание об авторских правах. На представленный ниже текст распространяется действие Закона РФ N 5351-I "Об авторском праве и смежных правах" (с изменениями и дополнениями на текущий момент). Удаление размещённых на этой странице знаков охраны авторских прав либо замещение их иными при копировании данного текста и последующем его воспроизведении в электронных сетях является грубейшим нарушением статьи 9 упомянутого Федерального Закона. Использование данного текста в качестве содержательного контента при изготовлении разного рода печатной продукции (антологий, альманахов, хрестоматий и пр.), подготовке документов, текстов речей и выступлений, использование в аудиовизуальных произведениях без указания источника его происхождения (то есть данного сайта) является грубейшим нарушением статьи 11 упомянутого Федерального Закона РФ. Напоминаем, что раздел V упомянутого Федерального Закона, а также действующее гражданское, административное и уголовное законодательство Российской Федерации предоставляют авторам широкие возможности как по преследованию плагиаторов, так и по защите своих имущественных интересов, в том числе позволяют добиваться, помимо наложения предусмотренного законом наказания, также получения с ответчиков компенсации, возмещения морального вреда и упущенной выгоды на протяжении 70 лет с момента возникновения их авторского права.
Добросовестное некоммерческое использование данного текста без согласия или уведомления автора предполагает наличие ссылки на источник его происхождения (данный сайт), для коммерческого использования в любой форме необходимо прямое и явно выраженное согласие автора.
© П.М.Корявцев, 2000 г.
© "Теория антисистем. Источники и документы", 2004 г.
Корявцев П.М.
Обеспечение информационной безопасности. Критерии оценки.
//Сборник материалов юбилейной научно-практической конференции СЗТУ. С-Пб.: 2000.
Обеспечение информационной безопасности систем управления это комплекс мероприятий и научно-технических решений, исключающих какие-либо нарушения устойчивости функционирования системы, вызываемые внешними информационными воздействиями либо с конкретной целью постоянного или временного вывода системы из строя, либо имеющие такие нарушения устойчивости системы своим побочным эффектом.
Внешние воздействия на систему управления по их характеру можно условно подразделить на три класса:
1 класс - воздействия на входные информационные потоки системы. Для человеко-машинных систем это может быть и просто примитивная дезинформация персонала, для компьютерных систем это может быть как некорректная модификация входных данных (изменение их характера), аналогичная по сути "человеческой" дезинформации, случайная или целенаправленная, приводящая к выработке неверных решений на управление, так и формирование характеристик формально корректных входных данных(например объема), превышающих возможности конкретной системы по их обработке. К такому типу относятся, в частности, и ставшие модными в последнее время так называемые DDOS-атаки в Интернет - атаки типа "отказ в обслуживании" по Медведовскому (И.Медведовский и коллектив авторов. Атака через Интернет. И. Медведовский Атака на Интернет). Авторизация/идентификация источников воздействий этого класса как правило затруднена или невозможна.
2 класс - воздействия на собственно саму систему, ее функциональную часть. Как правило, такие воздействия выражаются в однократных или перманентных воздействиях на конкретный элемент системы либо их группу. При этом сложность системы как правило обратно пропорциональна устойчивости ее к этому классу воздействий - в сложных автоматизированных человеко-машинных системах зачастую для достижения желаемого результата достаточно однократного воздействия на один элемент системы, что приводит к минимизации общих затрат по выводу системы из строя. В компьютерных системах примером подобного воздействия может служить взлом хакером извне системы идентификации пользователей и его последующая работа уже внутри системы обычно с правами легального администратора, направленная на нанесение ущерба системе или выработку неверных решений на управление (например перевод денег на счет банковской системой управления хакера). Воздействия данного класса при надлежащей постановке работы по обеспечению безопасности достаточно легко идентифицируемы внутри системы. К этому же классу относятся и спонтанные самоинициирующиеся реакции элементов системы - например их саморазрушение или блокирование.
3 класс - воздействия на выходные информационные потоки системы и уже сформированные ею решения на управление. Воздействия этого класса подобно воздействиям 1 класса не предполагают вторжение непосредственно в систему. Для компьютерных систем это может быть как несанкционированная модификация выходных данных, так и направление этих данных по некорректному адресу. Подобные атаки практикуются в Интернет например путем подмены реального IP-адреса на DNS-сервере (атака DNS по Медведовскому). В результате такой атаки выработанные решения на управление не попадают к объектам управления, что в большинстве случаем исключает корректную реакцию системы в целом на поступившие входные данные. Идентификация инициаторов воздействий этого класса также крайне затруднена.
При разработке конкретных мер по обеспечению информационной безопасности и организации противодействия внешним воздействиям всех трех перечисленных классов необходимо учитывать, что в практической деятельности основное влияние на степень устойчивости управляющей системы любого типа наряду с объективными факторами типа степени сложности системы, степени критичности обрабатываемой информации и степени защищенности системы оказывает чисто субъективный человеческий фактор, общая недооценка важности которого приводит с ростом применения информационных технологий к все более и более печальным последствиям.
Рост преступлений в различных высокотехнологичных сферах и в сфере компьютерной информации в частности в течении последних 3-4 лет логично привел к появлению в уголовном законодательстве РФ новых составов преступлений, связанных с непосредственным использованием компьютерной техники для их совершения и преступлений, объектом которых являются компьютерные программы и базы данных, ЭВМ и их системы.
Однако темп роста преступности в этой сфере намного опережает возможности правоохранительных органов по противодействию различным противоправным посягательствам в этой области. Ситуация усложняется отсутствием правоприменительной практики по новым уголовным составам, что делает весьма проблематичным привлечение к уголовной ответственности даже отдельных лиц, не говоря об организованных преступных формированиях.
В силу этих обстоятельств возникли реальные предпосылки для появления крупных преступных формирований, специализирующихся исключительно на совершении преступлений в сфере высоких технологий, значительном расширении ими территории охвата и увеличении их численности, выходе их на международный уровень.
Участились ранее бывшие единичными случаи продажи информации из массивов данных, как предназначенных для служебного пользования, так и секретных, хранящихся в различных органах государственной власти и правоохранительных органах. Сведения из этих массивов представляют большой интерес как для коммерческих, так и для криминальных структур. Наибольшей "популярностью" пользуется информация о судимости, о прописке определенных лиц в определенных адресах, позволяющая определить принадлежность телефонного номера, состав учредителей коммерческих фирм, сведения об оперативных разработках и каналах получения оперативной информации и т.д..
Сформировалась разветвленная сеть сбыта подобной информации, на криминальном рынке установились устойчивые расценки на подобного рода услуги. В настоящее время предложение подобных услуг даже превысило спрос на них у криминальных и коммерческих структур, что вынуждает сбытчиков активно искать новые каналы сбыта, источники получения массивов данных и свидетельствует об относительной легкости нелегального получения этой информации.
Условно можно выделить два вида подобных услуг:
1. Продажа массивов данных целиком. Как правило, подобные массивы данных похищаются из распоряжающихся ими органов или передаются непосредственно сотрудниками этих органов за взятки, изредка - приобретаются на псевдолегальной основе. Подобный вид нелегального доступа обладает таким преимуществом, как широкий охват информации и относительно простой доступ к ней, к числу недостатков его можно отнести относительно высокую стоимость приобретения массива данных целиком и его статичность, т.е. быстрое старение информации в нем, поскольку даже при регулярном приобретении свежих массивов возникают чисто технологические проблемы с их обновлением.
2. Разовое получение сведений из интересующих массивов данных. Подобные услуги в отличие от первого вида оказываются как нелегальными сбытчиками, так и легальными структурами, например охранными фирмами. К достоинствам этого вида можно отнести высокую оперативность получения информации, ее актуальность и невысокие накладные расходы, позволяющие получать подобные сведения даже лицам с невысокими доходами. К недостаткам можно отнести необходимость поддержания постоянного канала связи по которому предоставляется информация. Подобный вид услуг предоставляется двумя путями - либо путем получения несанкционированного доступа к массивам данных со стороны (как правило при этом используются возможности бывших или действующих сотрудников соответствующих органов, состоящих в доверительных отношениях с предоставляющим услуги), либо путем систематической дачи взяток действующим сотрудникам, занимающимся обслуживанием интересующих массивов данных.
Оперативная разработка и активное противодействие лицам, совершающим преступления, связанные с компьютерной информацией, профилактика подобных преступлений в настоящее время практически невозможны несмотря на появление законодательной базы. Основными препятствиями этому служат недостаток подготовленных оперативных работников, способных технически грамотно проводить подобные мероприятия, а также отсутствие специализированных технически оснащенных подразделений информационной разведки в структуре соответствующих ведомств. Это, а также высокая насыщенность преступных формирований компьютерной техникой, и привело в настоящее время к небывалому дотоле росту случаев несанкционированного доступа к секретной и ДСП информации, в том числе и по компьютерным сетям. Компьютерные сети общего пользования кроме того активно используются в качестве каналов связи и получения информации как отдельными преступниками, так и организованными преступными формированиями, в том числе и для поиска каналов сбыта похищенного имущества и предметов, запрещенных в гражданском обиходе, изредка - для поиска исполнителей конкретных преступных замыслов (например, изготовления оружия и взрывчатки, поддельных документов, технических средств контроля каналов связи и т.д.). При этом мониторинг хождения такой информации затрудняется наличием у преступников возможностей по ее шифровке и передаче в зашифрованном виде. Однако указанные возможности преступниками в настоящее время почти не используются, поскольку они практически не сталкиваются, за исключением единичных случаев (являющихся редким исключением и имеющим место только благодаря личной инициативе отдельных сотрудников правоохранительных органов), с негласным контролем за циркулирующей по информационным сетям информацией со стороны заинтересованных органов.
В действующем уголовном законодательстве по сравнению с ранее существовавшим введена уголовная ответственность за ряд правонарушений объектом которых являются права на компьютерную информацию и компьютерные программы, безопасность пользования средствами вычислительной техники. Однако, несмотря на широкое распространение подобного рода правонарушений в целом ряде регионов РФ, имеют место лишь единичные прецеденты применения этих правовых норм, причем только в периферийных регионах РФ (Сахалин, Ростов-на-Дону). Между тем в Санкт-Петербурге и Москве динамика развития этого вида правонарушений принимает угрожающий характер. Лица, склонные к совершению правонарушений этой категории, объединяются в устойчивые межрегиональные и даже международные организованные преступные формирования с четко определенной иерархией. Основными источниками доходов членов таких формирований служат средства, выручаемые от продаж баз данных различных государственных организаций, похищенных либо приобретенных за взятки, вознаграждения за взлом различных систем защиты и средства, похищаемые в различных кредитно-финансовых и торгующих организациях путем фальсификации электронных платежей. Изредка имеют место вознаграждения за фальсификацию электронных форм финансовых документов.
В последнее время ряд преступных авторитетов крупных ОПС оценили прибыльность данного вида преступной деятельности и ценность нелегально добываемых массивов данных госучреждений. Начался процесс сращивания группировок компьютерных взломщиков ("компьютерных пиратов", "хакеров") и ОПС, которые держат эти группировки под контролем, финансируя их и пользуясь их техническими и интеллектуальными возможностями. Благодаря им организованные преступные сообщества и ряд более мелких организованных преступных формирований получили через свои легальные структуры ( охранные фирмы и т.д. ) доступ к охраняемой законодательством РФ информации, держателями которой являются правоохранительные, контролирующие, налоговые, и финансово-кредитные госорганы, а также органы власти и управления. Зачастую получение нелегального доступа к информации сопряжено с дачей взяток должностным лицам и техническому персоналу органов власти, злоупотреблениями ими своими служебными полномочиями в интересах конкретных группировок хакеров и стоящих за ними преступных сообществ.
Противодействие подобным преступных посягательствам в настоящее время затруднено тем, что большинство как оперативных, так и следственных работников не имеют опыта в оперативной разработке и последующем расследовании данного вида преступлений, "нематериальный" объект правонарушений создает определенные трудности в квалификации деятельности преступников, провоцирует возникновение иллюзии "несущественности" и небольшой общественной опасности подобных преступлений, отсутствие прецедентов связывает инициативу прокурорских и следственных работников.
Особым видом преступлений, связанных в том числе и с компьютерной информацией, стало так называемое "псевдолицензирование", то есть заключение договоров о лицензировании объектов авторского права различными организациями, не имеющими реально полномочий на заключение таких договоров, в нарушение действующего законодательства в области охраны авторских прав. Некоторые из них помимо преступлений в сфере компьютерной информации занимаются "псевдолицензированием" и аудиовидеопродукции, а также ее пиратским тиражированием. Указанные преступные формирования активно привлекают к соучастию в преступной деятельности сотрудников милиции и других правоохранительных органов.
Все эти формирования имеют схожую структуру и действуют примерно по одной и той же типовой схеме. Во главе их стоит обычно лицо, имеющее богатый криминальный опыт , организаторы противоправных акций как правило тоже ранее совершали правонарушения или даже привлекались к уголовной ответственности. Как правило все подобные организации действуют одинаково: проводят совместно с "своим" сотрудником милиции или налоговой полиции карательную акцию в избранной торговой точке (как правило - контрольную закупку) в ходе которой обязательно изымают все запасы товара и затем предлагают перевести деньги на счет организации под разнообразными предлогами - либо как "компенсацию за ущерб", либо как "оплату лицензии", после чего контрафактная продукция якобы становится легальной. В случае отказа исполнить их требования обычно следуют меры по запугиванию, выражающиеся в привлечении торговцев контрафактной продукцией к различным видам ответственности по заявлениям этих организаций и при содействии привлеченных к сотрудничеству работников правоохранительных структур. В случае же согласия торговцев с предложенными условиями им может быть даже возвращен изъятый товар и представитель организации обещает им при своевременной уплате денег на счет организации защиту от официальных проверок, хотя на самом деле реально такую защиту ни одна из таких организаций обеспечить не может.
Таким образом, в общем случае деятельность всех этих группировок можно квалифицировать как мошенничество, хотя в большинстве случаев оно сопряжено с другими составами преступлений. Так например это может быть вымогательство взяток (либо коммерческого подкупа) с торговцев и дача взяток сотрудникам правоохранительных органов, нарушение авторских и смежных прав, незаконное использование зарегистрированных торговых марок и товарных знаков, распространение вредоносных программ, торговля порнографической продукцией, нарушение прав потребителей. Ряд перечисленных уголовных составов являются тяжкими, вследствие чего можно утверждать, что люди, объединившиеся в эти преступные формирования и действующие под вывесками соответствующих юридических лиц с использованием их структуры и иерархии, по сути создали преступные организации в том значении этих слов, который определен действующим уголовным законодательством РФ.
Группировки хакеров, первоначально достаточно мелкие и разрозненные, в 1992-1993 годах начали объединяться вокруг неформальных лидеров, которыми становились зачастую не наиболее талантливые хакеры, а лица, уже имеющие определенную поддержку, в том числе и финансовую, в крупных криминальных структурах. Это привело к созданию на рубеже 1995 года ряда неформальных организаций хакеров. Они вскоре организовали свои филиалы за границей, в частности в Германии, Израиле, Молдавии и на Украине, создали собственную закрытую компьютерную сеть, поддерживают тесные контакты с аналогичными группировками в Западной Европе и США. Основными направлениями деятельности таких организаций являются создание и распространение вредоносных программ, причем как по заказу, так и в инициативном порядке, организация хищения массивов данных в государственных и муниципальных органах, крупных коммерческих фирмах с целью их последующего тиражирования и сбыта, организация и обеспечение неправомерного доступа к информации и массивам данных указанных структур, создание специализированных программ и последующее совершение с их помощью хищений финансовых средств с использованием электронных систем платежей и систем расчетов по банковским и кредитным картам. Наличие в указанных организациях четко сформированной иерархии и жесткого разделения обязанностей, а также направленность их на совершение тяжких преступлений дает основание утверждать, что указанные структуры являются преступными организациями. В настоящее время они предпринимают попытки с одной стороны обезопасить себя от карательных мер со стороны правоохранительных органов, а с другой стороны - максимально принудить к подчинению мелкие хакерские группы и отдельных хакеров-индивидуалов, обладающих существенно более высокой квалификацией, чем подавляющее большинство членов таких организаций.
В последнее время наметилась тенденция сращивания группировок хакеров и фирм, занимающихся "псевдолицензированием", а также распространителей контрафактной программной продукции. Хакеры пользуются их услугами для тиражирования вредоносных программ и краденых массивов данных, организации их последующего сбыта, торговая сеть этих фирм обычно служит для легализации торговых точек хакеров и является источником финансовых поступлений для группировок хакеров и контролирующих их преступных сообществ.
Для хакеров характерно использование в общении и переписке кличек, создание в глобальных или локальных сетях "виртуальных личностей", при помощи которых они могут проводить свои противоправные акции, в частности - принимать заказы на "взлом" коммерческих программных продуктов или информационных сетей, искать заказчиков для сбыта похищенных массивов данных. В этих же целях широко используются т.н. анонимные службы электронной почты. Вместе с тем большинство хакеров отличаются некоторым инфантилизмом, вследствие чего зачастую не осознают степени общественной опасности совершаемых ими деяний. Это позволяет преступным сообществам совершать с их помощью тяжкие преступления, например крупные хищения, с существенно меньшими накладными расходами, чем при использовании любых других методов хищения.
Группировки хакеров для связи внутри своих сообществ используют обычно информационные сети различных стандартов, зачастую создают свои собственные локальные и даже международные сети, общение в которых практически невозможно без знания специфического "хакерского" сленга и определенных традиций, по большей части заимствованных у англоязычных хакеров. Помимо чисто сетевого общения хакеры периодически собираются на своеобразные общие сборы, по организации аналогичные воровским "сходнякам". На них, также как и при общении по сети, жестко соблюдается субординация и иерархия хакерского сообщества, нижестоящие обязаны делать подношения вышестоящим, пусть и чисто символические. Следует учитывать, что оперативность распространения любой информации внутри хакерских сообществ благодаря используемым ими передовым технологиям намного выше, чем у правоохранительных органов, а возможности по контролю за такой информацией - минимальны, поскольку даже использование примитивного персонального компьютера позволяет зашифровать любую информацию с достаточно высокой степенью устойчивости шифра. Также в последнее время участились случаи вхождения бывших и даже действующих сотрудников правоохранительных органов в такие группировки, они все чаще стали занимать высокие ступени в иерархии этих организаций. При этом как правило действующие сотрудники правоохранительных органов, занимающиеся вопросами информационного обеспечения своих подразделений, злоупотребляют своим служебным положением, оказывая содействие группировкам хакеров в их противоправной деятельности и получая за это часть доходов группировки, то есть действуют явно вопреки интересов службы.
Таким образом, можно сделать вывод, что несмотря на бурное развитие техники и совершенствование, глобализацию и автоматизацию систем управления обеспечение информационной безопасности таких систем разных типов и уровней, устойчивости их функционирования, на современном этапе развития технических средств управления как и прежде лежит в первую очередь в плоскости организационных и кадровых мероприятий, а уже потом в сфере технических средств защиты информации. Человеческий фактор продолжает играть определяющую роль в обеспечении информационной безопасности и никакие сверхсовершенные автоматические системы защиты не могут заменить комплексного подхода к рассмотрению степени уязвимости конкретной системы управления и разработке мер противодействия внешним информационным воздействиям.