SOS! ИНФОРМАЦИЯ НУЖДАЕТСЯ В ЗАЩИТЕ
По-настоящему безопасной можно считать лишь систему, которая выключена, замурована в бетонный корпус, заперта в помещении со свинцовыми стенами и охраняется вооруженным караулом, - но и в этом случае сомнения не оставляют меня.
Юджин X. Спаффорд
У России теперь новая ипостась - электронная
"Информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации. Национальная безопасность Российской Федерации существенным образом зависит от обеспечения информационной безопасности, и в ходе технического прогресса эта зависимость будет возрастать.
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, обществ и государства. Исходя из этих интересов, выделяются жизненно важные интересы страны в информационной сфере.
Обеспечение их безопасности предполагает соблюдение конституционных прав и свобод граждан в информационной деятельности, всестороннее развитие отечественной индустрии и связи, безопасность информационных и телекоммуникационных систем; накопление, сохранность и эффективность использования отечественных информационных ресурсов.
Выявление угроз этим интересам и противодействие им составляет основное содержание деятельности безопасности Российской федерации", - сказано в "Доктрине информационной безопасности Российской Федерации".
Электронный бизнес шагает по стране, все больше охватывая регионы и привлекая к себе все новых и новых "сторонников".
Осознание данного обстоятельства повлекло за собой его признание на государственном уровне. Премьер-министром РФ М. Касьяновым 29 января 2002 г. была подписана федеральная целевая программа "Электронная Россия" (2002-2010 гг.). "Электронную версию" Россия еще не имела, и что ожидает ее на этом пути "через тернии к звездам"?
Вся страна опутана компьютерными сетями, но в них, как и в обычных сетях, обнаруживаются бреши, через которые "имеют свойство" (не без участия людей, конечно) утекать деньги и информация. И бреши эти надо залатывать и охранять от последующих вторжений.
На открытии конференции "Информационная безопасность России в условиях глобального информационного общества", прошедшей в феврале 2002 г., генеральный директор ФАПСИ В. Матюхин объявил, что все находящиеся в Москве министерства и ведомства будут объединены в единую компьютерную сеть. Связь между 28 министерствами и ведомствами, а также офисами полномочных представителей Президента в регионах по задумке чиновников должна упростить работу и защитить информацию, которая хранится в настоящее время на бумаге и в обычных персональных компьютерах на рабочих местах. По словам Матюхина, в настоящее время в Доме правительства "уже заложена основа системы защищенного электронного документооборота". Однако планируется создать внутренний и внешний документооборот, с различными степенями защиты от проникновения посторонних пользователей в министерские сети, и основой нового электронного принципа межминистерского документооборота станет цифровая подпись.
В Америке роль информационных компьютерных технологий настолько велика, что, по заявлениям некоторых американских экспертов, отключение компьютерных систем может привести к разорению 20% средних компаний в течение нескольких часов, 48% потерпят крах в течение нескольких суток, остальные будут разорены в этом промежутке. Около 33% банков прекратят свое существование через несколько часов после такой катастрофы, а 50% смогут продержаться всего несколько суток. Именно благодаря интенсивному информационному обмену и поддерживается целостность современного мира.
В целях ликвидации "компьютерной безграмотности" в области защиты информации в феврале 2002 г. группа высокотехнологичных американских компаний (в том числе Microsoft, Cisco Systems и AT&T) совместно с правительственными структурами США (ФБР, Министерство обороны, Федеральная комиссия по торговле и др.) объявили о запуске новой образовательной кампании, направленной на обучение домашних пользователей и представителей малого бизнеса основам информационной безопасности. Связано это с тем, что именно эти категории американских пользователей Интернета являются наиболее уязвимыми, поскольку большинство из них используют круглосуточное кабельное или DSL-соединение, при этом зачастую не заботясь о соблюдении элементарных правил сетевой безопасности и регулярном обновлении баз антивирусного ПО.
Откуда исходит угроза
На этапе возрождения рынка в России, с расширением конкурентной среды, развитием компьютерной техники и средств связи, усложнением процедур обмена информацией и ее обработки особое значение приобрело решение проблемы информационной безопасности. Промышленный шпионаж, основной формой которого является несанкционированный доступ к конфиденциальной информации с помощью наступательных (атакующих) систем, стал "верным" спутником отечественного бизнеса.
Банковская сфера, как связанная с доходами и капиталом, как испытывала, так и продолжает испытывать, причем в гораздо более масштабных размерах, на себе мощный нажим со стороны мошенников извне, да и внутри нее, прямо скажем, обстановка далеко не спокойна: "нечестных конкурентов" разве что куры не клюют, и каждый так и норовит "попользоваться насчет клубнички". Желающих поживиться за счет чужой коммерческой информации или чьей-либо личной тайны в банковской среде, ох, как немало.
Существует и "внутренняя" угроза, исходящая со стороны лиц, работающих в самой фирме, - использование служебной информации или возможности ее получения в личных целях (например, продажа списка клиентов конкурирующей фирме).
Нельзя забывать и о хакерах, носителях вирусной преступности (сегодня в России официально зарегистрировано более 1000 видов и наименований вирусов!), виртуозов программного "взлома", известных своими изысками и изощренных в приемах.
Западные исследователи уже пришли к такому тревожному выводу, что только одна компьютерная преступность может нанести ущерб, сопоставимый с объемом хищения произведений искусства на всем земном шаре. В 1993-1997 гг. в России по фальшивым авизо, изготовленным в результате проникновения в компьютерные системы коммерческих банков, было похищено около 30 триллионов рублей. А по данным Американского Национального Центра Информации по компьютерной преступности в 1998 г. злоумышленники нанесли американским фирмам убытки в размере 500 млн долл. По словам X. Глассмана, отвечающего за безопасность в Bank of America, компьютерная преступность может стать причиной крушения экономики страны.
Заслуживает внимания тот факт, что в ряде стран согласно действующему законодательству ответственность за компьютерное преступление несет и "жертва". Скажем, фирма, предоставляющая те или иные информационные услуги или имеющая о своих клиентах информацию, которую последние не склонны распространять, в случае утечки информации может быть обвинена в организации недостаточно высокого уровня безопасности, что повлечет за собой выплату значительных штрафов, и страховые компании откажут этой фирме в выплате убытков по потере информации.
Уже в 1970-е гг., когда информация стала обрабатываться, храниться и передаваться с помощью компьютерной техники, специалистам стало понятно, что ее необходимо защищать. На тот момент в СССР и США были выработаны нормативно-правовые документы, направленные на обеспечение компьютерной безопасности, регламентирующие порядок контроля защищенности объектов, элетронно-вычислительных машин. Уже тогда вскрывались каналы, в том числе вероятные и возможные, утечки информации, их цепи и источники.
В 1997 г. на совместном российско-американском совещании, прошедшем в США, министры правоохранительных органов по вопросам компьютерной безопасности обоих государств констатировали тот факт, что случаи кражи конфиденциальной информации и денежных средств в виртуальной - сетевой - среде учащаются с угрожающей скоростью. К сожалению, приходится признать, что и сегодня торговля информации осуществляется без должного государственного контроля. И Федеральный закон "Об информации, информатизации и защите информации" в этом вопросе ничего не решает по причине отсутствия правовой практики его применения, особенно в коммерческой деятельности.
Виды "информационного оружия"
Определенные шаги в плане решения проблемы безопасности, безусловно, предпринимаются. Так, например, Президент РФ подписал Закон об ЭЦП, усилен валютный контроль, с 1 февраля 2002 г. вступило в силу Положение ЦБ РФ N 165-П, устанавливающее порядок контроля за исполнением кредитными организациями ФЗ "О противодействии легализации доходов, полученных преступным путем". Другое дело, как эти нормативные акты "поведут себя в жизни". Прогнозы строить не будем, но, как показывает российская практика, однозначности в их применении быть не может.
В подобных условиях российским предпринимателям живется несладко. Уже в ближайшее время, чтобы снизить риск потери нужной информации из-за "нечестной конкуренции", да и не только из-за нее, им придется заниматься охраной своих конфиденциальных секретов вплотную. Меры по организации интересов фирмы требуют, как правило, серьезных вложений. Статистика показывает, что 500 самых удачливых компаний мира расходуют от 15 до 20% своей прибыли на противодействие промышленному (информационному) шпионажу. Однако в данном случае цель оправдывает средства.
Каналы утечки информации весьма разнообразны. Нельзя смотреть на эту проблему с обывательской точки зрения. Новейшие устройства и технологии перехвата данных сегодня таковы, что при малейшей халатности и невнимании фирмы рискуют лишиться дорогой для них (и для кошелька, и для души) информации. Пронюхав, где курятник, лиса будет искать любой способ, чтобы в него попасть.
Уже сейчас производятся "клопы" и "жучки", записывающие необходимую информацию, хранящие ее в течение суток или недели, передающие ее в режиме быстродействия за считанные секунды, стирающие запись и продолжающие процесс заново. Добывается информация и по техническим несанкционированным каналам, причем как за пределами объекта шпионажа, так и внутри него. Для съема информации с дисплея компьютера применяются оптические и оптоэлектронные средства. Поскольку от дисплеев, накопителей на магнитных дисках, принтеров и соединительных кабелей исходят побочное электроизлучение и наводки, с них наиболее вероятен перехват сведений. Специальные устройства внедряются в клавиатуру, накопители на жестких магнитных дисках и т. д. Однако подобных мер следует опасаться предприятиям, работающих на "оборонку". А вот такое направление, как программные закладки, - реальная угроза для компаний и банков (о нем мы поговорим чуть ниже).
С точки зрения теории безопасность любого компонента компьютерной системы заключается в обеспечении трех его характеристик: секретности, целостности и доступности. Секретность состоит в том, что компонент системы доступен только авторизованным субъектам системы (пользователям, программам и т. д.) Для остальных (неавторизованных) субъектов он как бы не существует (невидим). Целостность компонента предполагает, что он может быть модифицирован только авторизованным для этого субъектом (подразумевается, что этот субъект осуществляет все модификации корректно и не ставит целью осложнение собственной жизни путем искажения собственных данных или поломки собственного устройства). Иными словами, целостность - гарантия правильности (работоспособности) компонента в любой момент времени. Доступность предполагает действительную доступность компонента авторизованному субъекту, т. е. последний может в любой момент без особых проблем получить доступ к необходимому компоненту.
Кратко охарактеризуем основные виды "информационного программного оружия" злоумышленников.
Программная закладка (ПЗ) - это специальная скрытно внедренная в защищенную систему программа (или специально дописанный фрагмент пользовательской программы), позволяющая злоумышленнику путем модификации свойств системы защиты осуществлять несанкционированный доступ к тем или иным ресурсам системы (в частности, к конфиденциальной информации).
Все существующие виды программные закладок можно разбить на классы в соответствии с целью их создания:
- П3-"исследователь";
- П3-"перехватчик";
- П3-"разрушитель";
- П3-"активная помеха".
ПЗ имеют достаточно специфическую форму реализации процедуры нападения, выполнения функций разведки и исследования систем защиты (например, паролей доступа) элементов вычислительной среды.
Выделяют несколько видов ПЗ: логический люк, троянская программа, логическая бомба, программная ловушка, программный червь.
Залезть в программу можно с помощью "люка". Люком называется не описанная в документации на программный продукт возможность работы с последним. Сущность использования "люков" состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности, выход в привилегированный режим).
Существуют программы, реализующие, помимо функций, описанных в документации, и некоторые другие. Такие программы называются "троянскими конями". Результатом их работы может стать изменение защиты файлов, содержащих конфиденциальную информацию (скажем, проект важного документа может оказаться доступен и известен всем).
"Логической бомбой" обычно называют программу или участок кода в программе, реализующий некоторую функцию при выполнении определенного условия. Прежде всего "логическая бомба" отличается от других программ тем, что при "взрыве" она реализует функцию, неожиданную и нежелательную для пользователя. Например, удаляет некоторые данные или разрушает некоторые системные структуры данных.
Программная ловушка - программа, использующая ошибки или неоднозначности в программном обеспечении.
Программный червь - программа, маскирующаяся под системные средства поиска свободных вычислительных ресурсов в сети.
Сетевым червем называется компьютерный вирус, обладающий свойством самостоятельного распространения в автоматизированной системе и заражающий ее элементы, функциональные сегменты либо систему в целом.
О способах борьбы
Существуют четыре универсальных метода зашиты и противодействия нарушениям безопасности компьютерных систем:
1) шифрование (некоторое обратимое однозначное преобразование данных, делающее их непонятными для неавторизованных лиц);
2) регулярное создание резервных копий системы целиком или ее наиболее важных компонентов.
Имея в запасе резервную копию и столкнувшись с искажением данных или их потерей, извлекается копия утерянных данных, и можно продолжать нормальную работу;
3) наличие так называемого следа контроля. Для любого захватчика серьезным поводом подумать о целесообразности атаки служит факт наличия в компьютерной системе средств осуществления контроля. Контроль системы заключается в выделении, накоплении в едином месте ("следе контроля"), защищенном хранении и предоставлении по требованию авторизованного (для выдачи такого требования) пользователя специальных данных о различных типах событий, происходящих в системе и так или иначе влияющих на состояние ее безопасности;
4) использование избыточных данных. В какой-то степени резервная копия - частный случай избыточных данных, но не единственный. Например, часто практикуется хранение в некотором защищенном месте системы так называемых сигнатур важных объектов системы. Скажем, для файла в качестве сигнатуры может быть использовано сочетание байта защиты файла с его именем, длиной и датой последней модификации. При каждом обращении к файлу или в случае возникновения подозрений текущие характеристики файла сравниваются с эталонными. Расхождение каких-то характеристик свидетельствуют о возможной модификации файла (может увеличиться или уменьшиться длина файла). Другим примером избыточных данных является применение контрольных сумм, контроль данных на чет-нечет, помехоустойчивое кодирование и т. д. В любом случае применение избыточных данных направлено на предотвращение появления в данных случайных ошибок и выявление неавторизованных модификаций.
Для банков в деле сохранности всяческих "секретов", отметим, непререкаемой является значимость аутентификации. Мы перечислим главные из средств аутентификации:
- биометрия (использование специальных устройств, способных идентифицировать пользователя по некоторым физическим характеристикам, подробнее см. в рубрике "Тезаурус");
- цифровые алгоритмы: инфраструктура открытых ключей, РК1. Помимо собственно шифрования алгоритмы, использующиеся в РК1, применяются и для создания электронно-цифровой подписи. Также это цифровые сертификаты;
- особую значимость кроме аутентификации и безопасной передачи данных на расстояние имеет безопасное хранение личных ключей (только не на жестком диске или на дискете, ведь в этом случае доступ к ним "лежит на поверхности");
- смарт-карта - то самое средство, которое защищает ключ от "посторонних глаз";
- отдельно следует отметить электронные ключи (как бы совмещающие в себе смарт-карту и считывающее устройство).
Важно, чтобы механизмы, используемые для выполнения аутентификации, были устойчивы к подлогу, подбору или подделке. После распознавания пользователя современная система должна выяснить, какие права предоставлены этому пользователю: какие данные он может использовать (читать, писать, модифицировать, удалять); какие программы выполнять; когда, как долго и с каким терминалом он может работать, и т. д.
Однако в процессе последующей работы пользователя с системой обычно требуется возможность дополнительной авторизации в отношении работы с конкретными ресурсами или выполнения конкретных действий. Существуют различные механизмы реализации разделения доступа. Одним из них являются "списки управления доступом". Смысл их состоит в том, что каждому ресурсу системы при необходимости может быть сопоставлен некоторым образом организованный список, где указаны идентификаторы всех пользователей, которым разрешен (или запрещен) доступ к данному ресурсу, а также определено, какой именно доступ разрешен. При обращении некоторого пользователя к данному ресурсу система автоматически проверяет наличие у данного ресурса списка управления доступом и, если он есть, проверяет, разрешено ли данному пользователю работать с ресурсом в запрошенном режиме. В качестве ресурсов могут выступать как отдельные объекты системы (файлы, устройства, носители, программы и т. д.), так и целые компоненты (все данные, все устройства или все программы) и даже вся система в целом.
Доступ к подобным механизмам должны иметь только специальные системные программы, обеспечивающие безопасность, а также строго ограниченный круг персонала, отвечающего за безопасность системы. Во-вторых, указанные механизмы сами должны быть тщательно защищены от случайного или преднамеренного доступа к ним лиц или программ, не авторизованных для этого, поскольку эти механизмы (данные и обслуживающие их специальные программы) являются одной из важнейших составляющих в обеспечении безопасности системы. Многие известные атаки на системы нацелены на поражение или обход именно средств разделения доступа, поскольку они составляют одно из самых существенных препятствий на пути любого злоумышленника.
В рамках одной статьи, безусловно, невозможно рассмотреть все аспекты защиты информации, но хочется отметить, что главным принципом построения систем безопасности нового поколения становится комплексный подход к данной проблеме, и только это позволит оградить такую "хрупкую" неосязаемую вещь, как информация, от постороннего воздействия.
Т. ТРЕТЬЯКОВСКАЯ, 3, стр. 8-11, Бухгалтерия и банки
26.03.2002
|