Поделиться Поделиться

Захист інформації в світових інформаційних системах

Загрози безпеці інформаційних систем та їх характеристика

Посилення уваги до питань захисту інформації обумовлене зростанням доступу до неї. У нинішньому інформаційному столітті нові покоління електронно-обчислювальних машин з'являються з надзвичайною швидкістю. Збільшується пам'ять машин, змінюється їх структура й операційна система. Творці нової обчислювальної техніки намагаються за певними параметрами суміщати нову техніку із застарілою. Проте поява процесорів Pentium, здатних паралельно виконувати кілька задач, свідчить, що програми, написані для старих, повільних чипів, не варті того, щоби витрачати кошти на їх удосконалення. Для чипів Pentium створено нове сімейство програм. Однак помилки, що допускалися в старих версіях програм, неухильно з'являються і в нових версіях. Зазначимо, що операційні системи завжди відрізнялися недосконалістю та складністю своєї документації. Навіть найпоширеніша операційна система Windows, не зважаючи на регулярне відновлення, не позбавлена помилок. Це викликає особливу тривогу, через те що сучасна індустрія досить сильно залежить від роботи комп'ютерної мережі. Ситуація ускладнюється також й зростанням кількості витончених вірусних атак.

Для гарантованої безпеки функціонування інформаційної мережі застосовуються різні протоколи шифрування конфіденційної інформації, електронні підписи, здійснюється сертифікація інформації. Заборона на несанкціоноване переміщення даних поміж локальною мережею міжнародної компанії та глобальною мережею може забезпечуватися спеціальними комп'ютерами чи програмами (брандмауерами). Інтелектуальні скарби нації мають бути надійно захищені. Як справедливо зазначає Михайло Згуровський [88], найважливішим напрямком захисту знань є "інвентаризація рідкісних даних із занесенням їх у "білу книгу" та визначення пріоритетів їхнього захисту", необхідно подбати про "розвиток нового виду діяльності - менеджменту даних". Автор підкреслює важливість "захисту та конфіденційності наукових даних на індивідуальному, національному і корпоративному рівні". Л. С. Винарик, О. М. Щедрін,

Н. Ф. Васильєва стверджують: "Входження України до світового інформаційно-економічного простору може бути забезпечено лише через створення відповідної нормативно-правової бази" [44]. Реалізація цього завдання вимагає вивчення досвіду, накопиченого передовими державами у цій галузі. У нашій країні відносини з приводу захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах на Україні регулюється Законом України "Про захист інформації в інформаційно-телекомунікаційних системах" [4].

Автоматизовані інформаційні системи, відкриваючи нові можливості для організації міжнародної економічної діяльності, для підвищення її якості та надійності, водночас є однією з найуразливіших сторін міжнародної компанії, яка притягує до себе зловмисників як із числа персоналу компанії, так і тих, що працюють поза межами підприємства.

Гострота проблеми безпеки автоматизованих систем обумовлена низкою об'єктивних причин. Основна з них - високий рівень довіри до автоматизованої системи. Цілком вірогідно, що незаконне маніпулювання такою інформацією може призвести до величезних збитків.

Проблема безпеки інформації ускладнюється також й у зв'язку з розвитком та розширенням мереж ЕОМ. Розподілені системи і системи з віддаленим доступом висунули на перший план питання захисту інформації, що обробляється та передається.

Під безпекою інформаційної системи розуміється її захищеність від випадкового чи навмисного втручання в нормальний процес її функціонування, а також від спроб розкрадання, модифікації чи руйнування її компонентів. Інакше кажучи, це спроможність протидіяти різноманітним діям, що завдають шкоди інформаційній системі.

Безпека інформаційної системи досягається організацією конфіденційності оброблюваної інформації, а також цілісністю і доступністю компонентів і ресурсів системи.

Конфіденційність інформації - це властивість інформації бути відомою тільки для допущених суб'єктів системи (користувачів, програм, процесів і т. ін.), які пройшли відповідну перевірку.

Таких суб'єктів у літературі називають авторизованими. Для інших об'єктів системи ця інформація ніби не існує.

Цілісність компонента (ресурсу) - це властивість компонента бути незміненим (у семантичному, змістовному розумінні) у процесі функціонування системи.

Доступність компонента (ресурсу) - це властивість компонента бути доступним для використання авторизованими суб'єктами в будь-котрий час.

Метою будь-яких заходів відносно організації безпеки автоматизованої інформаційної системи (АІС) є захист власника і законних користувачів

АІС від нанесення їм матеріального чи морального збитку в результаті випадкового чи навмисного впливу на систему.

Розрізняють зовнішню і внутрішню безпеку АІС. Зовнішня безпека системи передбачає її захист як від випадкових зовнішніх впливів (наприклад, природних - повінь, пожежа і т. ін.), так і від несанкціонованого доступу до інформації і будь-яких несанкціонованих дій. Внутрішня безпека пов'язана з регламентацією діяльності користувачів інформаційної системи і обслуговуючого персоналу, з організацією дисципліни прямого чи непрямого доступу до ресурсів системи і до інформації.

Центральним питанням безпеки АІС є захист інформації. Один із напрямків організації інформаційної системи полягає у створенні інтегрованих систем обробки даних (ІСОД). Як правило, при цьому забезпечується мінімальна вартість створення й функціонування інформаційної системи, оскільки використовуються колективні ресурси для всіх її користувачів, до яких відносять апаратні й програмні засоби обробки інформації, засоби її збереження і т. ін. Вдало вибрана організація й можливості колективного користування (обсяг пам'яті, швидкодія центральної електронної обчислювальної машини (ЕОМ) і т. ін.) значно знижують вартість створення й експлуатації систем.

Проте використання можливостей колективного ресурсу не означає його доступності для кожного користувача. Відповідний доступ має бути санкціонованим і визначатися тими правилами (вимогами), що формулюються під час створення інформаційної системи. Реалізація всіх вимог санкціонованого доступу вимагає деякого збільшення вартості заходів створення й реалізації системи.

Використання персональної обчислювальної машини (ПЕОМ), підключення їх до локальних обчислювальних мереж, а тим більше - до глобальних мереж, ускладнюють реалізацію заходів безпеки інформаційних систем. Це пов'язано із забезпеченням цілісності інформації як у пам'яті ЕОМ, так і на носіях, що зберігаються окремо від ЕОМ а також з ідентифікацією прийнятої інформації та зі збереженням її достовірності під час передачі по каналах зв'язку.

За будь-якого підходу до організації роботи інформаційної системи заходи відносно її безпеки викликають деякі незручності. Головні з них такі: додаткове ускладнення роботи з більшістю захищених систем; збільшення вартості захищеної системи; додаткове навантаження на системні ресурси, що потребує збільшення робочого часу для виконання того самого завдання у зв'язку з уповільненням доступу до даних і виконанням операцій у цілому; необхідність залучення додаткового персоналу, відповідального за підтримку працездатності системи захисту.

Охарактеризуємо найбільш типові ситуації, за яких створюється загроза безпеці інформаційних систем.

Несанкціонований доступ - один із найбільш поширених видів комп'ютерних порушень, котрий полягає в одержанні користувачем доступу до об'єкта, на котрий у нього немає дозволу згідно з прийнятою в даній системі політикою безпеки.

Несанкціонований доступ уможливлюється через невдалий вибір засобів захисту, їх некоректної установки та настроювання, а також через недбале ставлення до захисту власних даних.

Незаконне використання привілеїв. У будь-якій захищеній системі передбачені засоби, які використовують за надзвичайних ситуацій, чи засоби, які спроможні функціонувати навіть у разі порушення правил запровадженої політики безпеки. Наприклад, у разі несподіваної перевірки роботи системи користувач повинен мати доступ до всіх наборів системи. Звичайно, дані засоби використовуються адміністраторами, операторами, системними програмістами й іншими користувачами, що виконують спеціальні функції.

Під загрозою безпеці розуміється потенційно можливий вплив, що може безпосередньо чи опосередковано завдати шкоди користувачам чи власникам інформаційних систем.

Наражатися на небезпеку можуть:

інформаційна система в цілому - зловмисник намагається проникнути в систему для подальшого виконання яких-небудь несанкціонованих дій. Для цього він звичайно використовує метод "маскараду", перехоплення чи підробки пароля, злому;

об'єкти інформаційної системи - дані чи програми в оперативному запам'ятовуючому пристрої (ОЗП) чи на зовнішніх носіях; самі пристрої системи як зовнішні (дисководи, мережні пристрої, термінали), так і внутрішні (ОЗП, процесор). Злочинний вплив на об'єкти системи звичайно має на меті доступ до їхнього вмісту (порушення конфіденційності чи цілісності інформації, що на них зберігається), чи порушення їхньої функціональності (наприклад, заповнення всієї ОЗП безглуздою інформацією чи завантаження процесора комп'ютера задачею з необмеженим часом виконання);

суб'єкти автоматизованої системи, тобто процеси чи підпроцеси користувачів. Метою таких атак є прямий вплив на перебіг процесу - його припинення, зміна привілеїв, чи зворотний вплив - використання зловмисником привілеїв і характеристик іншого процесу зі своєю метою;

канали передачі даних (самі канали чи пакети даних, переданих по каналу). Вплив на пакети даних може розглядатися як атака на об'єкти мережі; вплив на канали - як специфічний тип атак, характерний для певної мережі.

Від стану об'єкта атаки в момент її здійснення багато в через що залежать результати атаки і заходи з ліквідації її наслідків. Об'єкт атаки може перебувати в одному з трьох станів:

- зберігання інформації на машинному носії в пасивному стані. При цьому вплив на об'єкт здійснюється з використанням доступу;

- передача інформації по лінії зв'язку поміж вузлами мережі чи всередині вузла. Вплив припускає доступ до фрагментів інформації, що передається (наприклад, перехоплення пакетів на ретрансляторі мережі), чи просто прослуховування з використанням таємних каналів;

- оброблення інформації у тих ситуаціях, коли об'єктом атаки є процес користувача.

Атаки розрізняють за способом впливу на об'єкт:

- безпосередній вплив на об'єкт атаки, наприклад, безпосередній доступ до набору даних, до програми, служби, каналу зв'язку і т. ін. через використання якоїсь помилки засобу захисту. Таким діям, звичайно, легко завадити за допомогою засобів контролю доступу;

- вплив на систему дозволів (у через те числі захоплення привілеїв). У цьому разі несанкціоновані дії стосуються прав користувачів на об'єкт атаки, а безпосередній доступ здійснюється після цього як законний;

- опосередкований вплив (через інших користувачів). Класифікують загрози безпеці інформації і за іншими ознаками: за

метою реалізації, за принципом впливу, за характером впливу тощо. Численність класифікацій зумовлює складність як визначення небезпеки, так і засобів захисту від неї.

Безпека інформаційних систем в умовах глобалізації в останній час стає одною з головніших проблем розвитку процесів інформатизації. Компанія Cisco Systems, що налічує коло 57 тисяч співробітників, розосереджених по всьому світу, продовжує традиції новаторства і розробляє кращі в галузі продукти і рішення у сфері сучасних технологій, до яких відносяться: IP- комунікації; сітьова безпека; бездротові мережі LAN; домашні мережі; відеосистеми; прикладні мережеві послуги. До найважливіших проблем безпеки керівництво компанії відносить проблеми проникнень черв'яків та вірусів, розкрадення інформації, зниження ефективності роботи комп'ютерів у зв'язку з використанням їх ресурсів зловмисниками для інших цілей, велику швидкість модифікації загроз, недосконалість законодавчої бази. Дуже важливим аспектом загроз є загроза витоку інформації. Зараз вона набуває великих розмірів (табл. 5.1). На сьогоднішній день це часто відбувається у зв'язку зі збереженням даних на мобільному пристрої.

Для банківської сфери витік інформації за даними аналітичного центру Info Watch розподілився в такий спосіб (рис. 5.1). В першу чергу потребує удосконалення форм захисту інформація, що передається через мобільні телефони, електронну пошту, Інтернет (веб-пошта, форуми).

Таблиця 5.1. Інциденти з витоку інформації у США (За даними ComputerWorld/Украина)

№ з/п

Інцидент

Кількість потерпілих

Збитки (дол.)

1

Витік даних про ветеранів та військовослужбовців США

28,7 млн.

45 млрд.

2

Викрадено ноутбук співробітника Natiowide Building Society

11 млн.

1,5 млрд.

3

Крадіжка диску з приватною інформацією клієнтів Dai Nippon Printing

8,64 млн.

1,2 млрд.

4

3 медичного центру викрадено ноутбук з персональними картками лікарів та пацієнтів

1,8 млн.

367 млн.

5

3 офісу Affiliated Computer Services викрадено ноутбук з даними клієнтів

1,4 млн.

320 млн.

6

Фірма-підрядник Texas Guaranteed загубила леп-топ з даними клієнтів

1,3 млн.

237 млн.

7

Пропав лептоп з автомобіля співробітника Boeing

382 тис.

147 млн.

8

3 офісу страхової компанії CS Stars пропав ноутбук з іменами, адресами та номерами соцстрахування робітників Нью-Йорка

540 тис.

84 млн.

9

Співробітник бухгалтерської фірми Hancock Askew втратив ноутбук з персональними даними клієнтів

401 тис.

73 млн.

10

В медичному центрі Vassar Brothers зник лептоп та резервний диск з медичними картками пацієнтів

257 тис.

47 млн.

Боротьба з цим видом злочинності у США та країнах Євросоюзу проводиться законодавчими методами, де міжнародна компанія, через якому відбувся витік інформації, несе відповідальність, в Україні поки що такого механізму немає.

Порушниками охорони інформації, насамперед, виявляються користувачі і робітники інформаційної системи, які мають до неї доступ. Основними причинами порушення захисту інформації є: безвідповідальність, самовпевненість і корисливий інтерес персоналу. За даними статистики, 81,7 % порушень допускається службовцями компанії, які мають доступ до інформаційної системи, і тільки 17,3 %- сторонніми особами (у через те числі 1 % припадає на випадкових осіб). Таким чином, головне джерело порушень безпеки інформації знаходиться всередині самих інформаційних систем, тож для будь-якої з них внутрішній захист має бути обов'язковим.

Рис. 5.1. Канали витоку інформації у банках

Однією з найбільших загроз інформаційних систем є ураження вірусними програмами, що проникають через різні носії інформації, особливо через глобальні інформаційні мережі. За словами Володимира Тихонова, спеціаліста служби консалтингу "Лабораторії Кас-перського", у 2006 році було зафіксовано 7 великих вірусних епідемій. Епідемії 2006 року він ділить на такі групи: черв'як, черв'яки сімейств Ва§іе та Warezov, серед яких багато поштових черв'яків, а також варіант троянця-шифрувальника Єрсосіе. У 2006 році з'явилось біля 60 тис. нових вірусів, що на 41 % більше, ніж у 2005 році [164].

Розповсюдженню цих програм сприяє те, що більшість програмістів-створювачів вірусних програм нічого на мають проти відкритості коду їх програм. Дані програми вільно появляються у друкованих виданнях. Насправді закритою є уразливість програм. Так, уразливість у процедурі обробки WMF-фaйлiв у кінці минулого року продавалась за 4 тисячі доларів.

Останнім часом набули глобального масштабу проблеми, пов'язані з поширенням інформатизації у світі. Серед них - інтелектуальне (комп'ютерне, інформаційне) піратство.

Є загальні причини і наслідки піратства в софтверному світі. Піратство програмного забезпечення (ПЗ) як таке має три основних напрямки негативного впливу:

- Економічне - піратство завдає економічної шкоди не тільки через погіршення інвестиційного клімату, проте також через недоодержання податків при продажі легального софту, через те, що пірати податків не платять.

- Інтелектуальне - піратство практично знищило раніше існуючу українську індустрію ПЗ, і через те програм українського виробництва на наших комп'ютерах немає чи майже немає, і український програміст у кращому випадку працює в аутсорсинговому чи офшорному секторі, що найчастіше в нас знаходяться в тіні. За винятком того, авторських прав на програмне забезпечення - економічної основи софтверної індустрії - українські програмісти не одержують. У результаті безліч дрібних і середніх українських софтверних компаній виконують закордонні замовлення в абсолютній тіні і без яких-небудь авторських прав;

- Технологічне - піратські версії ПЗ мають низьку якість і це впливає як на можливість їх якісного використання, так і на формування негативного іміджу компанії-виробника ліцензованого продукту.

- Політичне - розвинуте піратство погіршує імідж і інвестиційний клімат держави. Це продовжується вже багато років: Україна - єдина країна у світі, що 4 роки носила малопочесний титул пріоритетної країни по піратству. Протягом кількох років Україні вдалося привести законодавство у сфері інтелектуальної власності у повну відповідність до європейського законодавства та міжнародних угод, які діють у цій сфері, а також запровадити дієві механізми його реалізації. Через те зараз змінено статус України зі статусу "Пріоритетної іноземної країни" відносно торгівельних санкцій у зв'язку з порушенням прав інтелектуальної власності на статус країни, що належить до "Переліку країн пріоритетного спостереження" (Priority Watch List) (табл. 5.2) в рамках списку "Special 301" [96] - Україну виключено з Priority Foreign Country. За дослідженням міжнародної консалтингової компанії "Yankee Group", а також організації Business Software Alliance" 35 % усього ПЗ у світі є неліцензійним. З 97 країн, де проходило дослідження, у 51-ї рівень піратства складає не менше 64 %.

Таблиця 5.2. Список країн пріоритетного спостереження (Priority Watch List) у рамках списку IIPA 2007 "Special 301" (орієнтовані втрати в результаті порушення прав інтелектуальної власності за рік)

Країна

Ділове ПО

Загальний збиток від піратської діяльності, млн. $

млн. $

Рівень піратства

Аргентина

215,0

76 %

301,0

Венесуела

124,0

84 %

174,6

Домініканська республіка

10,0

77 %

20,9

Єгипет

47,0

63 %

90,0

Ізраїль

41,0

32 %

98,4

Індія

318,0

70 %

496,3

Канада

551,0

34 %

551,0

Китай

1949,0

82 %

2207,0

Коста-Ріка

12,0

65 %

27,1

Мексика

296,0

63 %

1005,6

Росія

1433,0

83 %

2180,1

Саудівська Аравія

112,0

51 %

140,0

Таїланд

164,0

80 %

219,7

Туреччина

203,0

66 %

243,0

Україна

290,0

85 %

320,0

Чилі

65,0

64 %

95,6

← Предыдущая страница | Следующая страница →