Правонарушения, совершаемые в сети Интернет, связанные с обманом и злоупотреблением доверием с целью получения конфиденциальной информации: некоторые проблемы и способы их решения
(Атаманов Р.) ("Правовые вопросы связи", 2010, N 2) Текст документаПРАВОНАРУШЕНИЯ, СОВЕРШАЕМЫЕ В СЕТИ ИНТЕРНЕТ, СВЯЗАННЫЕ С ОБМАНОМ И ЗЛОУПОТРЕБЛЕНИЕМ ДОВЕРИЕМ С ЦЕЛЬЮ ПОЛУЧЕНИЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ: НЕКОТОРЫЕ ПРОБЛЕМЫ И СПОСОБЫ ИХ РЕШЕНИЯ
Р. АТАМАНОВ
Атаманов Р., доктор философских наук, профессор Саратовской государственной академии права.
Анализируя методы и способы хранения и защиты информации, можно отметить, что в настоящее время человек очень многое доверяет компьютерам. В частности, подобную ситуацию можно отчетливо наблюдать в сфере предпринимательства, где в широком ассортименте представлено программное обеспечение, облегчающее решение таких проблем, как, в частности, сбор, хранение и защита информации. Тем не менее использование подобных программ не способно полностью устранить угрозу хищения и/или разглашения конфиденциальной информации. В данной статье будет рассмотрено поведение человека как фактор, влияющий на степень защищенности конфиденциальной компьютерной информации, а также будут предложены пути решения проблемы поведения пользователя, при котором не только понижается степень защиты информации, но и создается опасность стать жертвой преступления. Представляется, что одним из главных факторов небезопасности информации, при прочих равных условиях, является виктимное поведение человека, имеющего доступ к данной информации. Под виктимностью понимается склонность субъекта к такому поведению, при котором шансы на совершение преступления в отношении этого субъекта выше, чем в том случае, когда он ведет себя надлежащим образом. Причем деяния этого субъекта, выраженные в форме действия или бездействия, не подразумевают прямого намерения сделать возможным совершение преступления. Здесь в большинстве случаев имеет место легкомысленное или небрежное отношение к безопасности. Таким образом, виктимным следует признавать такое поведение (вызывающее, противоправное, легкомысленное, небрежное, безнравственное), которое в конечном счете послужило поводом для совершения преступления. Применительно к интернет-преступлениям виктимное поведение проявляется, как правило, в легкомысленности и небрежности. Это выражается, в частности, в несоблюдении правил безопасности и отказе следовать различным рекомендациям, относящимся, например, к хранению информации в памяти компьютера. Человек, работая, проводя досуг или в иных целях находясь в сети Интернет, очень часто не знает даже о половине тех угроз, с которыми он может столкнуться. Практически во всех случаях такие угрозы носят скрытый характер. Отсутствие необходимых навыков работы с программным обеспечением, а также желания применять их на практике является одним из главных факторов опасности при работе с конфиденциальной информацией. В качестве примера можно привести интернет-мошенничество, примерно в 75% случаях совершения которого успех преступников достигался по причине соответствующего виктимного поведения их жертв. Предпосылки виктимного поведения различны и многообразны. Однако представляется, что основными можно считать следующие: 1) отсутствие необходимых знаний и умений обращения с компьютерами, их сетью, программным обеспечением; 2) легкомысленное, небрежное отношение к конфиденциальной информации. Представляется необходимым указать еще одну предпосылку, которую можно отнести к обоим пунктам, - ложные представления пользователя о степени защищенности информации. В данном случае проблема заключается в том, что набор программного обеспечения у большинства пользователей если не одинаков, то очень похож. Популяризация различных программ всегда вызывает интерес у вирусописателей <1>, поскольку в таких случаях одна вредоносная программа сможет быть успешно применена в отношении большего количества пользователей. Даже использование защитных программ (антивирусов, фаерволов и т. д.) не способно обеспечить стопроцентную защиту информации <2>. -------------------------------- <1> В настоящей статье под вирусописателем понимается лицо, занимающееся созданием любых вредоносных программ (вирусов, червей, троянских коней и т. д.). <2> Реальная жизнь такова, что в гонке между вирусописателями и разработчиками антивирусных программ последние вынуждены догонять первых.
В связи с этим, на наш взгляд, будет логичным предложить в качестве одной из мер по снижению риска получения неправомерного доступа к информации использование альтернативного программного обеспечения, способного в полном объеме удовлетворить потребности пользователя. В некоторых случаях данная мера может сэкономить часть затрат на программное обеспечение, что актуально не только для организаций, но и для рядовых пользователей. К тому же использование альтернативного программного обеспечения, в частности операционных систем, само по себе обеспечивает защиту достаточно большого количества угроз, в основном выступающих в виде вредоносных программ <3>. -------------------------------- <3> Например, операционным системам на основе ядра Linux изначально невозможно нанести ущерб вредоносными программами, созданными для операционных систем семейства Windows, а те из них, что создаются специально для Linux, ориентированы на конкретную версию ядра. Поэтому Linux в ряде случаев может успешно заменить Windows за счет архитектуры ядра и своей небольшой распространенности относительно последней (как следствие, не представляющей повышенного интереса для вирусописателей).
Распространение и использование вредоносных программ очень часто реализуется с помощью социальной инженерии. В общем виде под социальной инженерией понимается метод управления поведением человека без использования технических средств. Опасность данного метода обусловлена тем, что в его основе - манипулирование слабостями человека. За счет этого применение различных техник социальной инженерии позволяет, в частности, получить доступ к нужной информации. Техники социальной инженерии направлены в конечном счете на получение информации, например учетных данных (имени и пароля), для получения доступа к закрытой базе данных. Не вдаваясь в подробности, отметим, что практически все техники социальной инженерии можно разделить на две группы: применяемые через сеть Интернет и применяемые с использованием телефона; причем они могут комбинироваться. Результатом их применения становится вхождение в доверие к потенциальной жертве, которая впоследствии выполняет необходимые злоумышленнику действия либо дает искомую информацию. То есть налицо виктимное поведение. Например, пренебрегая проверкой личности позвонившего лица, представившегося сотрудником той же, что и жертва, фирмы. Существуют методы противодействия социальной инженерии, которые можно объединить в две группы: методы технической защиты и методы антропогенной защиты. Методы технической защиты подразумевают использование специального программного обеспечения, имеющего следующее назначение: 1) ограничение доступа к охраняемой информации с возможностью получения доступа к ней только авторизованными пользователями; 2) воспрепятствование использованию информации злоумышленником (если утечка стала возможной) посредством, например, шифрования данных либо ограничения мест использования информации (например, возможность работать с определенной информацией только на одном определенном компьютере). Также для противодействия социальной инженерии разрабатываются, развиваются и активно внедряются методы антропогенной защиты. Это особенно актуально при построении системы защиты информации в крупных организациях. Методы антропогенной защиты информации должны преследовать следующие цели: 1) привлечение внимания целевой аудитории (постановка вопросов безопасности информации и акцентирование внимания на ключевых моментах защиты информации <4>); -------------------------------- <4> Определение ключевых моментов связано с характером деятельности представителей целевой аудитории пользователей.
2) проведение комплекса мероприятий, итогом которых должно стать осознание серьезности поставленных вопросов и принятие решения о необходимости минимизации риска утечки конфиденциальной информации со стороны каждого субъекта; 3) принятие политики информационной безопасности <5>, включающее в себя изучение с последующим внедрением методов, позволяющих минимизировать риск попадания конфиденциальной информации в распоряжение злоумышленника. -------------------------------- <5> Политика безопасности (информации в организации) - это совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности. См.: Национальный стандарт РФ. Защита информации. Основные термины и определения. ГОСТ Р 50922-2006 (утвержден Приказом Ростехрегулирования от 27 декабря 2006 г. N 373-ст).
За счет своего пассивного характера антропогенные методы малоэффективны. Особенно четко это прослеживается на примере обычных пользователей сети Интернет, которые, стремясь заполучить желаемое, забывают о мерах предосторожности, а при наличии предупреждений игнорируют их, даже если эти предупреждения выделяются. В области информационной безопасности такое явление называют "пляшущими свинками" <6>. На наш взгляд, наиболее полно его описывает Брюс Шнайер, который указывал, что, если случайный посетитель интернет-сайта, кликая на кнопку, обещающую пляшущих по экрану свиней, получит сообщение от системы о потенциальной опасности производимого действия, он вряд ли откажется от пляшущих свиней. Даже если система запросит подтверждения с текстом: "Приложение "Пляшущие свинки", возможно, содержит зловредный код, который может нанести необратимый ущерб вашему компьютеру, украсть все ваши сбережения", пользователь проигнорирует сообщение. А спустя некоторое время он вообще забудет, что сталкивался с таким предупреждением <7>. -------------------------------- <6> "Пляшущие свинки" - одна из проблем компьютерной безопасности, заключающаяся в специфическом отношении пользователя к информации, который стремится получить желаемое, игнорируя при этом угрозы безопасности. <7> См.: Шнайер Брюс. Секреты и ложь. Безопасность данных в цифровом мире. СПб., 2003.
Представляется, что использование методов защиты информации только одной из описанных групп не способно обеспечить максимальную степень защиты. Наиболее эффективным представляется принятие политики безопасности информации на основе сочетания и антропогенных, и технических методов защиты. Это позволит, в частности, программам выполнять действия по предупреждению и устранению угроз для информации, не запрашивая при этом подтверждения пользователя. При таком подходе, с одной стороны, пользователи будут информированы о наиболее часто встречающихся и наиболее опасных угрозах, с которыми они могут столкнуться, а с другой - использование специализированного программного обеспечения позволит автоматизировать процесс защиты информации, отслеживая и анализируя все процессы в системе и при возникновении угрозы устраняя проблему и/или предупреждая о ней пользователя. Повышение результативности применения антропогенных методов защиты информации до необходимого высокого уровня, на наш взгляд, станет возможным лишь при соблюдении в первую очередь требований понятности и доступности информации, подаваемой пользователям. Информация, которая ясно воспринимается и легкодоступна, имеет более высокий коэффициент полезного действия, т. е. пользователь, ознакомившийся с ней в полном объеме, в большей степени осознает серьезность выдвинутых проблем и необходимость их решения и, следовательно, будет прежде всего поступать исходя из мер безопасности и только потом - из своих желаний. В свою очередь, по-настоящему успешное применение технических средств защиты информации возможно не в последнюю очередь благодаря грамотному применению антропогенных методов защиты информации, поскольку невнимательность, легкомыслие, небрежность и безответственность способны свести на нет все результаты работы программ. Таким образом, сочетание информационного воздействия на пользователей (как обычных, так и сотрудников организаций) и правильно подобранного программного обеспечения должно обеспечить максимально возможный в данной ситуации уровень защиты информации. Подводя итог, необходимо сказать следующее. Для решения проблемы виктимного поведения пользователей компьютеров и их сетей, а также минимизации негативных результатов такого поведения необходимо проводить комплекс мероприятий, направленных, с одной стороны, на плотную информационную и обучающую работу среди пользователей, а с другой - на предоставление широких возможностей для выбора, приобретения и использования программного обеспечения, что в результате дополнит и упростит защиту конфиденциальной информации.
Название документа