Меры защиты: четыре уровня защиты

Предотвращение - только авторизованный персонал имеет доступ к информации и технологии

Обнаружение - обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены

Ограничение - уменьшается размер потерь, если преступление все-таки произошло несмотря на меры по его предотвращению и обнаружению.

Восстановление - обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению.

Трудно обобщать, но теперь компьютерным преступником может быть...

• конечный пользователь, не технический служащий и не хакер
• тот, кто не находится на руководящей должности
• тот, у кого нет судимостей
• умный, талантливый сотрудник
• тот, кто много работает
• тот, кто не разбирается в компьютерах
• тот, кого вы подозревали бы в последнюю очередь
• именно тот, кого вы взяли бы на работу

КОМПЬЮТЕРНЫМ ПРЕСТУПНИКОМ МОЖЕТ БЫТЬ ЛЮБОЙ

Типичный компьютерный преступник - это не молодой хакер, использующий телефон и домашний компьютер для получения доступа к большим компьютерам. Типичный компьютерный преступник - это служащий, которому разрешен доступ к системе, нетехническим пользователем которой он является. В США компьютерные преступления, совершенные служащими, составляют 70-80 процентов ежегодного ущерба, связанного с компьютерами. Остальные 20 процентов дают действия нечестных и недовольных сотрудников. И совершаются они по целому ряду причин.

ПОЧЕМУ ЛЮДИ СОВЕРШАЮТ КОМПЬЮТЕРНЫЕ ПРЕСТУПЛЕНИЯ

• личная или финансовая выгода
• развлечение
• месть
• попытка добиться расположения кого-либо к себе
• самовыражение
• случайность
• вандализм

Но значительно больший ущерб, около 60 процентов всех потерь, наносят ошибки людей и инциденты. Предотвращение компьютерных потерь, как из-за умышленных преступлений, так и из-за неумышленных ошибок, требует знаний в области безопасности. Опросы, проводимые периодически в США, показывают, что именно служащие, имевшие знания в области компьютерной безопасности, были основной причиной выявления компьютерных преступлений.

ПРИЗНАКИ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

Обращайте внимание на:

· неавторизованное использование компьютерного времени

· неавторизованные попытки доступа к файлам данных

· кражи частей компьютеров

· кражи программ

· физическое разрушение оборудования

· уничтожение данных или программ

· неавторизованное носителями информации

ТЕХНОЛОГИИ СОВЕРШЕНИЯ КОМПЬЮТЕРНЫХ ПРЕСТУПЛЕНИЙ

ПЯТЬ ОСНОВНЫХ ТЕХНОЛОГИЙ

Мошенничества

1. Ввод неавторизованной информации

2. Манипуляции разрешенной для ввода информацией

3. Манипуляции или неправильное использование файлов с информацией

4. Создание неавторизованных файлов с информацией

5. Обход внутренних мер защиты

Злоупотребления

1. Кража компьютерного времени, программ, информации и оборудования

2. Ввод неавторизованной информации

3. Создание неавторизованных файлов с информацией

4. Разработка компьютерных программ для неслужебного использования

5. Манипулирование или неправильное использование возможностей по проведению работ на компьютерах

 

С другой стороны, стоит рассмотреть основные методы, использовавшиеся для их совершения.

Они включают:

1. Надувательство с данными. Наверное, самый распространенный метод при совершении компьютерных преступлений, так как он не требует технических знаний и относительно безопасен. Информация меняется в процессе ее ввода в компьютер или во время вывода. Например, при вводе документы могут быть заменены фальшивыми, вместо рабочих дискет подсунуты чужие, и данные могут быть сфальсифицированы.

2. Сканирование. Другой распространенный метод получения информации, который может привести к преступлению. Служащие, читающие файлы других, могут обнаружить там персональную информацию о своих коллегах. Информация, позволяющая получить доступ к компьютерным файлам или изменить их, может быть найдена после просмотра мусорных корзин. Дискеты, оставленные на столе, могут быть прочитаны, скопированы, и украдены. Очень хитрый сканирующий может даже просматривать остаточную информацию, оставшуюся на компьютере или на носителе информации после выполнения сотрудником задания и удаления своих файлов.

3. Троянский конь. Этот метод предполагает, что пользователь не заметил, что компьютерная программа была изменена таким образом, что включает в себя дополнительные функции. Программа, выполняющая полезные функции, пишется таким образом, что содержит дополнительные скрытые функции, которые будут использовать особенности механизмов защиты системы(возможности пользователя, запустившего программу, по доступу к файлам)

4. Люк. Этот метод основан на использовании скрытого программного или аппаратного механизма, позволяющего обойти методы защиты в системе. Этот механизм активируется некоторым неочевидным образом. Иногда программа пишется таким образом, что специфическое событие, например, число транзакций, обработанных в определенный день, вызовет запуск неавторизованного механизма.

5. Технология салями Названа так из-за того, что преступление совершается понемногу, небольшими частями, настолько маленькими, что они незаметны. Обычно эта технология сопровождается изменением компьютерной программы. Например, платежи могут округляться до нескольких центов, и разница между реальной и округленной суммой поступать на специально открытый счет злоумышленника.

6. Суперотключение. Названа по имени программы, использовавшейся в ряде компьютерных центров, обходившей системные меры защиты и использовавшейся при аварийных ситуациях. Владение этим "мастер-ключом" дает возможность в любое время получить доступ к компьютеру и информации, находящейся в нем.

Примеры компьютерных преступлений:

· Оператор по приему платежей узнав о смерти вкладчика, открыл счет в банке, используя имя клиента и другие его данные. Вкладчик не был удален из списка клиентов, на счета которых начислялись проценты, а в с помощью компьютерной системы был заменен его адрес и запрошен прямой перевод процентов на счет, открытый оператором

· Большой ущерб был нанесен при доставке заказа на оборудование от федерального правительства. Были приготовлены фиктивные реквизиты для счета, направленного на большой центр. Эти реквизиты приводили к отправке оборудования реальной частной фирме, выполняющей государственные заказы. Перед самой доставкой один из злоумышленников позвонил в эту фирму и предупредил об их "ошибке", а потом доставил оборудование самим злоумышленникам.

· три оператора, используя удаленный терминал, ввели фиктивный запрос в компьютер на получение 150 тысяч долларов по процентам и затем удалили записи об этих транзакциях.

Особо стоит остановиться на необычном для России виде компьютерных преступлений - краже информации. Обычно либо продается персональная информация, информация об условиях контракта, и конфиденциальная информация компании(например, технология создания продукта) посторонним лицам, либо копируются и используются программы для личной выгоды.

Признаки

Следующие признаки могут свидетельствовать о наличии уязвимых мест в информационной безопасности.

1. Не разработано положений о защите информации или они не соблюдаются. Не назначен ответственный за информационную безопасность.

2. Пароли пишутся на компьютерных терминалах, помещаются в общедоступные места, ими делятся с другими, или они появляются на компьютерном экране при их вводе

3. Удаленные терминалы и микрокомпьютеры оставляются без присмотра в рабочие и нерабочие часы. Данные отображаются на компьютерных экранах, оставленных без присмотра.

4. Не существует ограничений на доступ к информации, или на характер ее использования. Все пользователи имеют доступ ко всей информации и могут использовать все функции системы.

5. Не ведется системных журналов, и не хранится информация о том, кто и для чего использует компьютер.

6. Изменения в программы могут вноситься без их предварительного утверждения руководством.

7. Отсутствует документация или она не позволяет делать следующее: понимать получаемые отчеты и формулы, по которым получаются результаты, модифицировать программы, готовить данные для ввода, исправлять ошибки, производить оценку мер защиты, и понимать сами данные - их источники, формат хранения, взаимосвязи между ними.

8. Делаются многочисленные попытки войти в систему с неправильными паролями.

9. Вводимые данные не проверяются на корректность и точность, или при их проверке много данных отвергается из-за ошибок в них, требуется сделать много исправлений в данных, не делается записей в журналах об отвергнутых транзакциях.

10. Имеют место выходы из строя системы, приносящие большие убытки

11. Не производился анализ информации, обрабатываемой в компьютере, с целью определения необходимого для нее уровня безопасности

12. Мало внимания уделяется информационной безопасности. Хотя политика безопасности и существует, большинство людей считает, что на самом деле она не нужна.

Техника для шпионажа

По мнению экспертов, ущерб российской экономики от промышленного шпионажа может составить в этом году порядка 20 млрд. евро. Для получения информации используется обширный набор современных высокотехнологичных устройств: электронные жучки, скрытые камеры, специально оснащенные мобильные телефоны, радиозакладки и другая шпионская техника. Криминальные сводки пестрят заявлениями об ущербе, нанесенном электронными жучками: