12.1. Загрози безпеки АІС, причини виникнення загроз
Будь-яка інформація, що обробляється та зберігається в інформаційних системах, чогось варта при умові її достовірності та гарантованості, а тому інформація має бути надійно захищена. Законом України "Про захист інформації в автоматизованих системах", положенням "Про технічний захист інформації в Україні" від 09.09.1994 та Кримінальним кодексом України передбачена адміністративна та кримінальна відповідальність за комп'ютерні злочини.
Причинами виникнення загроз для функціонування АІС є наступне:
°> інформація - товар: має ціну, стоїть грошей, може купуватись і продаватись, загалом представляє інтереси багатьох груп людей, бізнесу, може цікавити конкурентів, опонентів тощо;
°> інформація - гроші: реальні гроші у вигляді файлових структур, електронних документів тощо;
^ відкритість інформаційних каналів: використання глобальних мереж передачі інформації, кожен клієнт є учасником одного загального цілого і фізично з допомогою телекомунікацій має доступ до решти учасників процесу.
Більш конкретно, загострення проблем захисту інформації в АІС та зростання злочинності в інформаційній галузі у наш час визначається наступними причинами:
Р високими темпами зростання парку засобів обчислювальної техніки і зв 'язку, розширенням областей використання електронно-обчислювальних машин (ЕОМ);
Р залученням в процес інформаційної взаємодії все більшого числа людей і організацій;
Р підвищенням рівня довір 'я до автоматизованих систем управління і обробки інформації, використанням їх в критичних технологіях;
Р ставленням до інформації, як до товару, переходом до ринкових відносин, з властивою ним конкуренцією і промисловим шпигунством, в області створення і збуту (надання) інформаційних послуг;
Р концентрацією великих обсягів інформації різного призначення і приналежності на електронних носіях;
Р наявністю інтенсивного обміну інформацією між учасниками цього процесу;
Р кількісним і якісним вдосконаленням способів доступу користувачів до інформаційних ресурсів;
Р загостренням протиріч між об'єктивно існуючими потребами суспільства в розширенні вільного обміну інформацією і надмірними або навпаки недостатніми обмеженнями на її поширення і використання;
Р диференціацією рівнів втрат (збитку) від знищення, модифікації, витоку або незаконного блокування інформації;
Р різноманіттям видів загроз і можливих каналів несанкціонованого доступу до інформації;
Р зростанням числа кваліфікованих користувачів обчислювальної техніки і можливостей по створенню ними програмно-технічних впливів на систему;
Р розвитком ринкових відносин (в галузі розробки, постачання, обслуговування обчислювальної техніки, розробки програмних засобів, в тому числі засобів захисту).
Саме з метою вирішення проблеми безпеки АІС 5 липня 1994 року був прийнятий Закон України "Про захист інформації в автоматизованих системах", який встановив правові засади забезпечення реалізації та непорушності права власності на інформацію. Незважаючи на закріплення в свій час прогресивних положень, які встановили основи правового регулювання питань захисту інформації в автоматизованих системах, цей закон вже не в повній мірі відповідає тим змінам, які обумовив бурхливий розвиток інформатизації нашого суспільства за останніх десять років.
Природно, в такій ситуації виникає потреба в захисті інформації від несанкціонованого доступу, знищення, модифікації та інших злочинних і небажаних дій. В усіх аспектах проблеми захисту інформації в АІС основним елементом є аналіз загроз, яким піддається система. Загрози інформації в АІС можна розділити на два класи:
<=> об'єктивні (природні), що характеризуються впливом на об'єкт захисту фізичних процесів або стихійних природних явищ, які не залежать від людини;
& суб'єктивні, пов 'язані з діяльністю людини, серед яких можна виділити: ненавмисні, викликані помилковими діями співробітників і відвідувачів об'єкта та навмисні, що є результатом зловживань порушників.
Навмисні загрози можуть бути внутрішніми - виникати зсередини системи, з боку учасників процесу обробки інформації, персоналу, так і зовнішніми - сторонніми особами.
Отже джерела загроз АІС можна поділити ще на дві групи: внутрішні, що можуть виникати безпосередньо на території та завдяки персоналу фінансової установи та зовнішні, що виникають за територією, а іноді на великій відстані, і завдяки сторонньому втручанню в систему. Наведемо нижче характеристику основних джерел загроз для функціонування інформаційних систем:
вз" Проникнення у систему через комунікаційні канали зв'язку з присвоєнням повноважень легального користувача з метою підробки, копіювання або знищення даних. Реалізується розпізнаванням або підбором паролів і протоколів, перехопленням паролів при негласному підключенні до каналу під час сеансу зв'язку, дистанційним перехопленням паролів у результаті прийому електромагнітного випромінювання.
в®" Проникнення в систему через комунікаційні канали зв'язку при перекоммутації каналу на модем порушника після входження легального користувача в мережу й пред'явлення ним своїх повноважень з метою присвоєння прав цього користувача на доступ до даних.
в®" Підключення до каналу зв 'язку в ролі активного ретранслятора для фальсифікації платіжних документів, зміни їх утримання, порядку проходження, повторної передачі, затримання доставки.
в®" Негласна перебудова устаткування або програмного забезпечення з метою впровадження засобів несанкціонованого доступу до ш$0/шаі(и'(програм-перехоплювачів і "троянських коней", апаратури аналізу інформації тощо), а також знищення інформації або устаткування (наприклад, за допомогою програм-вірусів, ліквідаторів із дистанційним управлінням тощо).
из* Вірусні атаки, що можуть знищувати інформацію та виводити з ладу деякі апаратні пристрої. Основний засіб боротьби - використання антивірусного ПЗ, що дозволяє вести профілактичні заходи та лікування у разі необхідності. Вірусні атаки можуть бути проведені ззовні через мережі передачі даних або шляхом внесення вірусів у систему в неробочий час, наприклад використуння співробітником "подарунка" у вигляді нової комп'ютерної гри.
т- Апаратні збої, що загрожують частковим або повним втратам інформації, програмного забезпечення, систем обробки даних. Захист інформації полягає в забезпеченні дублювання інформації на паралельно працюючому сервері, збереженні баз даних в архівах на змінних носіях інформації, як наприклад блоках флеш пам'яті, компакт-дисках, магнітних стрічках тощо.
ш- Випромінювання електромагнітних хвиль, що присутнє при роботі процесора на відповідних частотах і загрожує конфіденційності інформації, що обробляється. Перехоплення електромагнітного випромінювання від дисплеїв, серверів або робочих станцій для копіювання інформації і виявлення процедур доступу. Випромінювання електромагнітних хвиль є слабим місцем комп'ютера, адже вони можуть бути прийняті чутливими приймачами і після певної обробки інформація, що оброблялася в даний час на комп'ютері відновлена. Захист полягає в екранізації приміщень де обробляється конфіденційна інформація та встановленні генераторів шуму, що працюють на резонансних частотах.
вз* Зловживання привілеями супервізора для порушення механізмів безпеки локальної мережі.
eg- Диверсії- зловмисне фізичне розрушення апаратних засобів та комп'ютерних систем, з метою знищення інформації, системи тощо. Це може бути знищення устаткування, магнітних носіїв або дистанційне знищення інформації, встановлення ліквідаторів уповільненої дії або з дистанційним управлінням (програмних, апаратних або апаратно-програмних).
из* Зчитування інформації з жорстких і гнучких дисків (у тому числі залишків "стертих" файлів), магнітних стрічок при копіюванні даних з устаткування на робочих місцях у неробочий час.
вз= Використання залишеного без нагляду устаткування у робочий час. підміна елементів устаткування, що були залишені без нагляду у робочий час.
в®" Встановлення програмних закладок для передачі інформації або паролів по легальних каналах зв'язку з комп'ютерною системою (електронної пошти).
вз= Блокування каналу зв'язку власними повідомленнями, що викликає відмову від обслуговування легальних користувачів.
в®* Крадіжки - викрадення інформації з метою використовувати її в своїх власних цілях. Так викрадення устаткування, у тому числі окремих плат, дисководів, мікросхем, кабелів, дисків, стрічок з метою продажу призводить до втрати працездатності системи, а іноді й до знищення даних. Викрадення магнітних носіїв з метою одержання доступу до даних та програм.
сэ* Внесення змін або зчитування інформації у базах даних або окремих файлах через присвоєння чужих повноважень у результаті добору паролів з метою копіювання, підробки або знищення фінансової інформації.
вз> Виявлення паролів при викраденні або візуальному спостереженні. Збір і аналіз використаної друкованої інформації, документації та інших матеріалів для копіювання інформації або виявлення паролів, ідентифікаторів, процедур доступу і ключів. Візуальне перехоплення інформації, виведеної на екрани дисплеїв або вводу з клавіатури для виявлення паролів, ідентифікаторів і процедур доступу.
вэ* Використання програмних засобів для подолання захисних можливостей системи.
вз* Копіювання інформації і паролів при негласному пасивному підключенні до локальної мережі або прийомі електромагнітного випромінювання мережевого адаптеру. Виявлення паролів легальних користувачів при негласному активному підключенні до локальної мережі при імітації запиту операційної системи мережі.
вз* Відмова абонента від факту прийому (передачі) інформації або створення помилкових відомостей про час прийому (передачі) повідомлень для зняття з себе відповідальності за виконання цих операцій.
в®* Несанкціонована передача конфіденційної інформації в складі легального повідомлення для виявлення паролів, ключів і протоколів доступу;
оз" Несанкціоноване перевищення своїх повноважень на доступ або повноважень інших користувачів в обхід механізмів безпеки;
из" Вилучення інформації із статистичних баз даних у результаті використання семантичних зв'язків між секретною та несекретною інформацією з метою добування конфіденційних відомостей.
вз" Заміна та викривлення інформації - переслідує власні мотиви або осіб замовників, з метою нашкодити з певних інтересів. Внесення змін у дані, записані на залишених без нагляду магнітних носіях.
к§= Піратство - порушення авторських прав власника програмного забезпечення, незаконне копіювання та розповсюдження інформації.
вз- Пігебінг- проникнення в мережу, систему обробки інформації після некоректно завершеного сеасу роботи користувача.
us" Перехват - заволодіння та використання в своїх цілях чужої інформації в електронному вигляді. Захист полягає в шифруванні інформації на ділянках де обробляється таємна та конфіденційна інформація.
вз- Помилки маршрутизації - інформація надіслана іншому користувачеві помилково.
вз" Мережеві аналізатори - системи для несанкціонованого проникнення в мережі обробки інформації. Відомі продукти LAV Analiyzer. Network Analizer. Protocol Analizer, що запускаються на робочій станції мережі і читають потоки даних в мережі. Аналіз трафіка при пасивному підключенні до каналу зв'язку або при перехопленні електромагнітного випромінювання апаратури для виявлення протоколів обміну.
т- Маскарад - проникнення в інформаційну систему шляхом перехвату пароля або злому. Оголошення себе іншим користувачем (маскування) для порушення адресації повідомлень або відмови у законному обслуговуванні.
Як правило, для реалізації атаки з метою проникнення в інформаційну систему, зловмисник може захопити або мати вплив на:
•=> ЛІС у цілому - робиться спроба проникнути в систему для виконання несанкціонованих дій, як правило за методом "маскарад ".
£> Об'єкти ЛІС - робиться спроба оволодіння інформацією на жорстких дисках, в ОЗУ, мережі тощо.
<=> Суб'єкти ЛІС - робиться спроба захопити процеси користувачів, з метою використання привілегій чужих повноважень та доступу у своїх власних цілях або змін пріоритетів доступу тощо.
о Канали передачі даних - робиться спроба прослуховуння каналів передачі даних, підміна та модифікація пакетів даних, порушення адресації, доступу в мережі тощо.
З метою надійного захисту інформації в системах, каналах передачі даних безпечна робота забезпечується наступними рівнями:
Ь Організаційним: створення відповідних умов для захисту приміщень, комп 'ютерів, облік конфіденційної, таємної інформації, гримування, контроль за розповсюдженням, копіюванням, діями персоналу.
Ь Технічним: апаратно-програмний захист, розподіл доступу до баз даних, мереж: передачі, введення паролів, криптозахист, накладання електронних цифрових підписів (ЕЦП).
Таким чином є найширший спектр варіантів шляхів навмисного несанкціонованого доступу до даних і втручання в процеси обробки і обміну інформацією. Правильно побудована система захисту інформації в АІС - важлива складова успішного проведення аналізу ризику і забезпечення безпеки роботи автоматизованої системи.
Зважаючи на те, що питання боротьби та профілактики комп'ютерної злочинності в сфері фінансової та банківської діяльності в нашій державі почали вивчати лише з 90-х років, а в деяких зарубіжних країнах це питання вивчається дуже давно, нам слід упровадити провідний досвід цих країн у вітчизняну практику, враховуючи діючу нормативно-правову базу України.