Угрозы безопасности. Основные виды и источники атак на информацию
В современных условиях обладание информацией в различных формах ее проявления является важным преимуществом. Именно по этой причине проблема ее защиты от угроз безопасности информационных технологий и информации является весьма актуальной. Основными видами угроз безопасности являются:
- раскрытие конфиденциальной информации, которое реализуется посредством несанкционированного доступа к базам данных, прослушиванием каналов передачи и т.п.;
- компрометация информации, которая реализуется посредством внесения несанкционированных изменений в базы данных, вследствие чего потребитель информации подвергается опасности принятия неверных решений;
- несанкционированное использование информационных ресурсов, с одной стороны это раскрытие или компрометация информации, с другой стороны имеет самостоятельное значение;
- ошибочное использование информационных ресурсов, которое реализуется посредством ошибок в программном обеспечении и может привести к разрушению, раскрытию или компрометации информации;
- несанкционированный обмен информацией между абонентами может привести к получению одним из абонентов сведений, доступ к которым для него запрещен;
- отказ от информации состоит в отрицании факта получения или отправки информации;
- отказ в обслуживании, который реализуется посредством отказа технических средств автоматизированной информационной системы, что представляет серьезную опасность в ситуациях принятия решения;
- стихийные бедствия и аварии (наводнения, ураган, землетрясения, пожар и т.п.);
- последствия ошибок проектирования и разработки компонентов автоматизированных систем управления (аппаратных средств, технологии обработки информации, программ, структур данных, и.т.п.);
- ошибки эксплуатации пользователей, операторов и пр.;
- преднамеренные действия нарушителей и злоумышленников.
По природе возникновения угрозы безопасности подразделяются на: естественные угрозы - угрозы, вызванные воздействиями объективных физических процессов или природных явлений и искусственные угрозы - угрозы, вызванные деятельностью человека. Искусственные угрозы подразделяются на преднамеренные угрозы и непреднамеренные. Основные непреднамеренные угрозы:
- неумышленные действия, приводящие к отказу информационной системы или порче (разрушению) аппаратных, программных, и информационных ресурсов;
- неправомерное включение оборудования или изменение режима работы аппаратных устройств или программ;
- игнорирование организационных ограничений;
- неумышленная порча носителей информации;
- нелегальное внедрение и использование программ, не входящих в комплект АСУ;
- некомпетентное использование технологических программ;
- некомпетентное использование или отключение средств зашиты службы безопасности;
- вход в систему в обход средств защиты;
- неумышленное повреждение каналов связи;
- ввод ошибочных данных;
- передача данных по ошибочному адресу;
- заражение компьютерными вирусами;
- разглашение (утрата) атрибутов разграничения доступа;
- случайное разглашение конфиденциальной информации.
Основные преднамеренные искусственные угрозы:
- преднамеренное физическое разрушение системы или вывод из строя отдельных ее компонентов;
- отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем;
- преднамеренные действия по дезорганизации функционирования системы: изменение режимов работы, саботаж, установка мощных активных радиопомех и пр.;
- перехват данных, передаваемых по каналам связи с целью авторизации пользователя для последующего проникновения в систему;
- несанкционированное копирование информации;
- несанкционированное чтение информации из оперативной памяти или с внешних устройств;
- несанкционированное использование терминалов пользователей;
- раскрытие шифров криптозащиты информации;
- применение подслушивающих устройств;
- хищение носителей информации;
- хищение паролей и других реквизитов разграничения доступа;
- внедрение аппаратных устройств, программ, вирусов, позволяющих преодолеть систему защиты;
- подключение к линиям связи с целью ввода ложной информации или модификации передаваемых сообщений;
- внедрение агентов;
- вербовка персонала.
Злоумышленники[5] пытаются дезорганизовать работу, вывести из строя систему или проникнуть в систему с целью доступа к конфиденциальной информации, используя при этом не один способ, а некоторую их совокупность. В современном обществе атаки на информацию стали обыденной практикой. Злоумышленники используют как ошибки в написании и администрировании программ, так и методы социальной психологии для получения желаемой информации. Атака на информацию – это умышленное нарушение правил работы с информацией. Атаки на информацию могут принести предприятию огромные убытки. На сегодняшний день примерно 90% всех атак на информацию производят ныне работающие либо уволенные с предприятия сотрудники.
Часто злоумышленники проникают в систему не напрямую, через систему шифрования или идентификации[6], а, используя промахи создателей программных продуктов и ошибки в реализации программ защиты, кроме того, используют и психологические приемы для получения нужной информации у рядовых сотрудников фирм.
Основной особенностью любой сетевой информационной системы является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений (коаксиальный кабель, витая пара, оптоволокно и т. п.) и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена. К сетевым системам наряду с обычными (локальными) атаками, осуществляемыми в пределах одной компьютерной системы, применимы удаленные атаки. Удаленные атаки характеризуются следующим:
- злоумышленник может находиться за тысячи километров от атакуемого объекта;
- нападению может подвергаться не конкретный компьютер, а информация, передаваемая по сетевым соединениям.
С развитием локальных и глобальных сетей именно удаленные атаки становятся лидирующими по количеству попыток и по успешности их применения. Поэтому обеспечение безопасности вычислительных сетей приобретает первостепенное значение. Специфика распределенных вычислительных сетей состоит в том, что если в локальных вычислительных сетях наиболее частыми были угрозы раскрытия и целостности, то в сетевых системах, на первое место выходит угроза отказа в обслуживании. Возможные последствия атак на информацию:
- раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке;
- известие о краже большого объема информации обычно серьезно влияет на репутацию фирмы, приводя косвенно к потерям в объемах торговых операций;
- фирмы-конкуренты могут воспользоваться кражей информации, если та осталась незамеченной, для того чтобы полностью разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки;
- подмена информации, как на этапе передачи, так и на этапе хранения в фирме может привести к огромным убыткам;
- многократные успешные атаки на фирму, предоставляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объеме доходов;
- компьютерные атаки могут принести огромный моральный ущерб конфиденциальному личному и деловому общению.
На рис. 6.1 и 6.2 приведены данные об атаках на информацию, полученные исследовательским центром DataPro Research .
Основные причины повреждений электронной информации распределились следующим образом:
- неумышленная ошибка человека - 52% случаев;
- умышленные действия человека - 10% случаев;
- отказ техники - 10% случаев;
- повреждения в результате пожара - 15% случаев;
- повреждения водой - 10% случаев.
Исполнителями этих действий были:
- текущий кадровый состав учреждений - 81% случаев;
- посторонние люди - 13% случаев;
- бывшие работники учреждений - 6% случаев.
Действия, предпринятые злоумышленниками, добравшимися до информации:
- кражи денег с электронных счетов 44% случаев;
- вывод из строя программного обеспечения - 16% случаев;
- кража информации с различными последствиями - 16% случаев;
- фальсификация информации - 12% случаев;
- использование услуг, к которым закрыт доступ - 10% случаев.
По данным совместного исследования Computer Security Institute и ФБР (CSI/FBI Computer Crime and Security Survey), участвовавших в опросе 1000 предприятий США, объем потерь от утечки информации составил более $70 млн. Этот показатель значительно опередил другие угрозы, в том числе вирусы - $27 млн., хакерские атаки - $65 млн., финансовые мошенничества - $10 млн. и составил около 40% общего объема зарегистрированного ущерба[7] (рис. 6.3).
Компания Ernst&Young подтверждает данными ежегодного исследования проблем информационной безопасности, что наибольший рост наблюдается в области внутренних угроз[8]. По результатам исследований угрозы нормальному функционированию информационных систем составляет (рис. 6.4):
- неправомерные действия сотрудников - 60%;
- спам - 56%;
- DoS-атаки - 48%;
- финансовое мошенничество - 45%;
- бреши в системах безопасности программного обеспечения - 39%;
- угрозы со стороны вирусов и червей - 77%.
Проблема внутренней информационной безопасности имеет измерение в конкретных финансовых показателях. По данным Association of Certified Fraud Examiners американские компании в среднем теряют 6% доходов из-за инцидентов, связанных с различными способами обмана и кражи информации. В прошлом году общий объем таких потерь составил около $660 млрд. По оценке InfoWatch порядка 50-55% этой суммы составляют потери по причине неправомерных действий сотрудников. Другое исследование Ernst&Young - по проблемам электронного мошенничества – свидетельствует, что 20% работников уверены в утечке конфиденциальной корпоративной информации со стороны коллег. Приведенные данные наглядно свидетельствуют о понимании опасности, которую представляют сотрудники. С другой стороны, оказывается, что руководство компаний практически бездействует, уделяя этой проблеме мало внимания.
По оценкам экспертов, количество киберпреступлений в США достигает 80%, в Великобритании - до 85%, в ФРГ - 75%, в России - более 90%. По мнению Ernst&Young статистика отражает только около 45% совершенных преступлений. Это объясняется тем, что большая часть организаций в случае обнаружения инцидента предпочитает не разглашать сведения о нем из-за боязни повредить своему конкурентному положению, имиджу в глазах общественности и боязни негативного влияния на стоимость акций на фондовой бирже. Также очевидно, что с развитием и расширением предприятия возможностей для краж становится больше, а риск быть пойманным уменьшается.
«Многие организации даже не представляют, что причиняет им ущерб, и в каком объеме. В то время как паникеры фокусируют внимание пользователей на внешних угрозах, аргументируя сомнительными оценками потерь, для организаций большую опасность представляют инсайдеры - неправомерные действия, халатность, недосмотр сотрудников… Поскольку многие инсайдерские инциденты тщательно маскируются и не контролируются, организации часто оказываются не в курсе, что они подвергаются атаке изнутри», - отметил в выводах Эдвин Беннет (Edwin Bennett), управляющий Technology and Security Risk Services компании Ernst&Young.
Серьезным фактором недостатка внимания к решению проблемы внутренних угроз является практически полное отсутствие комплексных систем защиты от внутренних угроз, в частности от утечки конфиденциальной информации. По данным Ernst&Young, почти 100% опрошенных подтвердили наличие в корпоративных сетях антивирусного программного обеспечения, 71% - антиспамовых систем, но о защите от внутренних угроз не было сообщений.
Потеря конфиденциальной информации наносит организациям значительный ущерб. Сообщая о росте компьютерных преступлений, газета «The New York Times» писала, что «взаимосвязанная экономика, возрастающая ценность циркулирующей в киберпространстве информации и относительная простота совершения подобных преступлений являются одними из причин, которые облегчают компьютерным умельцам и корпоративным служащим похищение конфиденциальных данных. Общемировые потери в результате киберпреступлений оцениваются в миллионы или даже миллиарды долларов в год[9]».
Вся электронная информация уязвима. Сюда можно отнести любые виды данных – от частных записок и интерактивных данных для заказчиков до военных оборонных стратегий и другой секретной правительственной информации. В своем отчете компания Price water house Coopers отметила, что за последние годы почти в третьей части всех наиболее серьезных нарушений информационной безопасности был повинен собственный персонал организаций, а в больших компаниях доля таких нарушений возрастает почти до половины. Доля атак, производимых сотрудниками фирм и предприятий, говорит о том, что следует принимать не только технические, но и психологические методы профилактики подобных действий.
Исходя из вышесказанного, можно выделить три основных мотива нарушений информационной безопасности: безответственность, самоутверждение, корыстный интерес. При нарушениях, вызванных безответственностью, пользователь целенаправленно или случайно производит какие-либо разрушающие действия, не связанный со злым умыслом. В большинстве случаев это следствие некомпетентности или небрежности. Некоторые пользователи ради самоутверждения проводят игру «пользователь против системы». Пользователь, имеющий корыстный интерес, будет целенаправленно пытаться преодолеть систему защиты для получения доступа к хранимой, передаваемой или обрабатываемой информации.
Для минимизации риска потерь от внутренних угроз необходимо проведение комплекса технических, нормативных и образовательных мер. Эффективное внедрение средств защиты конфиденциальной информации невозможно без проведения мероприятий организационного характера, которые включают подготовку документации, описывающей политику обращения с электронной конфиденциальной информацией и регулярные тренинги персонала. Политика должна описывать виды хранящейся и обрабатываемой информации, присваивать каждому виду информации категорию ее конфиденциальности и определять правила работы с ней. В результате этих действий создается нормативная база комплекса защиты от внутренних угроз, которая приводит его в соответствии с действующим законодательством.