Класифікація загроз безпеки. Характеристика найбільш популярних загроз безпеки банківських систем

Основним елементом при дослідженні проблем захисту інформації є аналіз загроз, яким піддається система.

Під загрозою будемо розуміти потенційно можливі дії на систему, які прямо або побічно можуть завдати шкоди користувачеві. Безпосередню реалізацію загрози називають атакою .

Загрози реалізуються на практиці в результаті збігу випадкових обставин (помилки, пропуски, події, які не залежать від людини, наприклад, природні лиха) або через навмисних дій зловмисників.

Навмисні загрози можуть реалізовувати як внутрішні для системи учасники процесу обробки даних (персонал організації, сервісне ланка і т.д.), так і люди, зовнішні по відношенню до системи, так звані хакери.

Не існує загальноприйнятої класифікації загроз безпеки. Один з варіантів класифікації може бути виконаний за такими ознаками:

За мети реалізації:

  • - Порушення конфіденційності;
  • - Порушення цілісності даних;
  • - Порушення працездатності системи.

За принципом дії на систему:

  • - З використанням доступу суб'єкта до об'єктів системи (файлу даних, каналу зв'язку);
  • - З використанням прихованих каналів.

За характером впливу на систему:

  • - Активний вплив - завжди пов'язане з виконанням будь-яких дій (стан системи змінюється);
  • - Пасивне - здійснюється шляхом спостереження користувачем побічних ефектів і їх подальшим аналізом (стан системи не змінюється).

Унаслідок появи використовуваної помилки захисту:

  • - Неадекватність захисту системі (при розробці заходів захисту загроза не враховувалася);
  • - Помилки адміністративного управління;
  • - Помилки в алгоритмах програм.

За способом впливу на систему:

  • - В інтерактивному режимі;
  • - В пакетному режимі.

По використовуваних засобів атаки:

  • - Стандартне програмне забезпечення;
  • - Спеціально розроблені програми.

Розглянемо найбільш популярні загрози безпеки.

Несанкціонований доступ. Несанкціонований доступ (НСД) - найбільш поширений вид комп'ютерних порушень. Він полягає в отриманні користувачем доступу до об'єкта, на який у нього немає дозволу відповідно до прийнятої в організації політикою безпеки. Зазвичай найголовніша проблема - визначити, хто і до яких наборів даних повинен мати доступ.

Незаконне використання привілеїв. Зловмисники, які застосовують даний спосіб атаки, зазвичай використовують штатний програмне забезпечення, яке функціонує в позаштатному режимі. Незаконне захоплення привілеїв можливий або при наявності помилок в самій системі захисту (що, наприклад, виявилося можливим в одній з версій UNIX), або в разі недбалості при керуванні системою, і привілеями зокрема. Суворе дотримання правил управління системою захисту, дотримання принципу мінімуму привілеїв дозволяє уникнути таких порушень.

Атаки "салямі". Атаки "салямі" (salami attack ) найбільше характерні для систем, що обробляють грошові рахунки, і, отже, найбільшу небезпеку такі порушення представляють для банків. При реалізації розрахунків обчислюються різного роду частки, які округлюються в більшу або меншу сторону. Атака "салямі" складається в нагромадженні на окремому рахунку цих часток грошової одиниці. Практика довела, що експлуатація такої програми забезпечує накопичення значних сум.

"Приховані канали". Приховані канали - це програми, що передають інформацію особам, які в звичайних умовах цю інформацію отримувати не повинні. Зловмисник нс завжди має безпосередній доступ до комп'ютерної системи. Для прихованої передачі інформації використовують різні елементи, формати нешкідливих звітів, наприклад, різну довжину рядків, пропуски між рядками, наявність або відсутність службових заголовків, керований висновок незначущих цифр в виводяться величинах, кількість прогалин або інших символів в певних місцях звіту і т.д. При використанні прихованих каналів для отримання відносно невеликих обсягів інформації загарбник змушений виконати досить велику роботу. Тому приховані канали більш прийнятні в ситуаціях, коли порушника цікавить не сама інформація, а факт її наявності. Може виникнути ситуація, коли прихований канал повідомляє про наявність в системі певної інформації, що, в свою чергу, є ознакою роботи в системі певного процесу, що дозволяє провести атаку іншого типу.

"Маскарад". Під "маскарадом" розуміється виконання будь-яких дій одним користувачем банківської електронної системи від імені іншого користувача. При цьому такі дії іншому користувачеві можуть бути дозволені. Порушення полягає в привласненні прав і привілеїв. Найбільш небезпечний "маскарад" в банківських системах електронних платежів, де неправильна ідентифікація клієнта може привести до величезних збитків. Особливо це стосується платежів за допомогою електронних банківських карт. Сам по собі метод ідентифікації за допомогою персонального ідентифікатора (Personal Identification Number: PIN) досить надійний, порушення можуть відбуватися внаслідок помилок його використання. Це станеться, наприклад, у випадку втрати банківської карти, при використанні очевидного ідентифікатора (свого імені, ключового слова і т.д.). Тому клієнтам треба строго дотримуватися всіх рекомендацій банку по виконанню такого роду платежів.

"Прибирання сміття". Після закінчення роботи обробляється інформація нс завжди повністю видаляється з пам'яті. Дані зберігаються на носії до перезапису або знищення; при виконанні цих дій на звільненому просторі диска знаходяться їх залишки. Хоча при спотворенні заголовка файлу їх прочитати важко, однак, використовуючи спеціальні програми і обладнання, все ж можливо. Такий процес, який може привести до витоку важливої інформації, прийнято називати "складанням сміття". Для захисту використовуються спеціальні механізми. Прикладами таких механізмів є стирає зразок і мітка повноти.

"Злом системи". Під "зломом системи" розуміють умисне проникнення в систему з несанкціонованими параметрами входу, тобто ім'ям користувача і його паролем. Основне навантаження на захист системи від злому несе програма входу. Алгоритм введення імені і пароля, їх шифрування, правила зберігання і зміни паролів не повинні містити помилок.

"Люки". "Люки", або "trap door", - не описати в документації можливості роботи з програмним продуктом. Сутність використання "люків" полягає в тому, що при реалізації користувачем не описані, в документації дій він отримує доступ до ресурсів і даних, які в звичайних умовах для нього закриті (зокрема, вхід в привілейований режим обслуговування).

"Люки" найчастіше є результатом забудькуватості розробників. У процесі розробки програми створюються тимчасові механізми, що полегшують ведення налагодження за рахунок прямого доступу до продукту.

Одним із прикладів використання забутих "люків" є інцидент з вірусом Морріса. Причиною, що обумовило поширення цього вірусу, була помилка розробника програми електронної пошти, що входить до складу однієї з версій ОС UNIX, яка призвела до появи малопомітного "люка".

"Люки" можуть утворитися також в результаті часто практикується технології розробки програмних продуктів зверху вниз. При цьому програміст приступає до написання керуючої програми, замінюючи передбачувані в майбутньому підпрограми так званими заглушками - групами команд, що імітують або позначають місце приєднання майбутніх підпрограм. У процесі роботи ці заглушки замінюються реальними подпрограммами.

На момент заміни останньої заглушки реальної підпрограмою програма вважається закінченою. Але на практиці подібна заміна виконується не завжди. По-перше, через порушення термінів розробки і здачі в експлуатацію і, по-друге, через незатребуваність даної підпрограми. Таким чином, заглушка залишається, бувши слабке місце системи з точки зору інформаційної безпеки. Таку ситуацію в програмі можна спеціально створити для того, щоб отримати доступ до певних ресурсів і даних. У більшості випадків виявлення "люків" - результат випадкового пошуку.

Повторне використання об'єктів. Повторне використання об'єктів (object reutilization ) - полягає у відновленні і повторному використанні віддалених об'єктів системи.

Прикладом реалізації такого зловживання служить видалення файлів операційною системою. Коли ОС видає повідомлення, що деякий файл видалений, то це не означає, що інформація, що міститься в цьому файлі, знищена в прямому сенсі слова. Дане повідомлення означає, що система позначила блоки пам'яті, що раніше складали вміст файлу, спеціальним прапорцем, що говорить про те, що даний блок не входить до складу будь-якого файлу і може бути використаний для розміщення в ньому іншої інформації. Але інформація, яка була в даному блоці, нікуди не зникає до моменту запису на це місце іншої інформації. Таким чином, якщо прочитати зміст блоку, можна отримати доступ до "віддаленої" інформації.

Запуск "повітряного змія". Для реалізації подібного програмного зловживання використовується наступна послідовність дій. У двох або більше банках відкриваються рахунки. Грошові кошти переводяться з одного банку в інший з зростаючими розмірами. Суть зловживання полягає в тому, щоб замаскувати незабезпечений коштами переклад. Даний цикл повторюється багато разів, поки на конкретному рахунку не осяде значна сума. Після цього кошти знімаються і операції припиняються. Слід зазначити, що дане зловживання вимагає точного розрахунку і синхронізації послідовності дій порушників.

"Відмови в обслуговуванні". Несанкціоноване використання комп'ютерної системи в своїх цілях (наприклад, для безкоштовного вирішення своїх завдань), або блокування системи для відмови в обслуговуванні іншим користувачам. Для реалізації такого зловживання використовуються програми, здатні захопити монопольно певний ресурс системи (причому необов'язково центральний процесор). Останнім часом великого поширення набули атаки класу "відмова в обслуговуванні", так звані розподілені атаки, що призводять до того, що Web -сервери кредитно-фінансових установ виявляються перевантаженими помилковими запитами і не можуть обслуговувати клієнтів. Останнім часом ці атаки набули неабиякої популярності. Зловмисник може реалізувати посилку великого обсягу даних відразу з усіх вузлів, які задіяні в розподіленої атаки. В цьому випадку атакується вузол захлинеться величезним трафіком і не зможе обробляти запити від нормальних користувачів.

Робота між рядків. Робота між рядків (between lines ) - підключення до ліній зв'язку та впровадження в комп'ютерну систему з використанням проміжків в діях законного користувача. При інтерактивній роботі користувача утворюються своєрідні вікна (наприклад, відгук системи випереджає дії користувача, якому потрібен час для обмірковування подальших дій). Ці вікна цілком можуть бути використані порушником для роботи з системою під маскою користувача.

Аналіз трафіку. Аналіз трафіку (trafic analysis) - спеціалізована програма аналізує проходить по мережі трафік і декодує його, в результаті чого можна отримати великий обсяг інформації: топологію мережі, про користувачів, що працюють в даний момент в мережі, паролі користувачів і т.д.

"Підкладання свині": "Підкладання свині" ( piggback ) - порушник підключається до ліній зв'язку та імітує роботу системи з метою здійснення незаконних маніпуляцій. Наприклад, він може імітувати сеанс зв'язку і отримати дані під виглядом легального користувача. Користувач, не підозрюючи про це, передає інформацію і (або) отримує її. Таким чином може здійснюватися нс тільки шпигунство, але і дезінформація, що також негативно позначається на роботі АІС і об'єкта управління в цілому.

Розвиток засобів зв'язку та електронної пошти виділив зловживання, яке відноситься до класу комп'ютерного хуліганства і в літературі отримало назву "пінаніе" (pinging). У середовищі фахівців це явище носить назву spam. Суть даного зловживання полягає в тому, що, використовуючи стандартні або спеціально розроблені програмні засоби, зловмисник може вивести з ладу електронну адресу, бомбардуючи його численними поштовими повідомленнями. Наслідком цього можуть стати ускладнення і можливість ненавмисного ігнорування отримане повідомлення електронної пошти.

Останнім часом почастішали випадки впливу на обчислювальну систему за допомогою спеціально створених програм. Для позначення всіх програм такого роду був запропонований термін "шкідливі програми" . Ці програми прямо або побічно дезорганізують процес обробки інформації або сприяють витоку або спотворення інформації. Розглянемо найпоширеніші види подібних програм.

"Троянський кінь " (Trojan horses) - це програма, яка призводить до несподіваних (зазвичай небажаним) результатами. Особливістю цих програм є те, що користувач звертається до цієї програми, яку нині вважає корисною. "Троянські коні" здатні розкрити, змінити або знищити дані або файли. Їх вбудовують в програми широкого користування, наприклад в програми обслуговування мережі, електронної пошти. Реалізація додаткових функцій виконується прихованим від користувача модулем, який може вбудовуватися в системне і прикладне програмне забезпечення. При реалізації ураженої програми "троянський кінь" отримує доступ до ресурсів разом з користувачем. Комп'ютерні системи, що використовує дескрипторно методи управління доступом (в тому числі такі, як повноваження, списки управління доступом і ін.), Стають практично беззахисними проти програм типу "троянський кінь". Антивірусні кошти не виявляють ці програми, але системи управління доступом в великих комп'ютерах мають механізмами ідентифікації та обмеження їх дії. В Помаранчевої книзі ведеться постійно оновлюваний список відомих програм цього роду.

"Черв'яки" (worms) - це програми, які поширюються в системах і мережах по лініях зв'язку. Такі програми подібні вірусам в тому, що заражають інші програми, а відрізняються від них тим, що не здатні самовідтворюватися.

Вірус (viruses ) - це програма, яка здатна заражати інші програми, модифікуючи їх так, щоб вони включали в себе копію вірусу.

"Жадібний програма " (greedy program) - програма, яка захоплює (монополізує) окремі ресурси обчислювальної системи, не даючи іншим програмам можливості його використовувати.

"Загарбник паролів" (password grabber) - програми, спеціально призначені для отримання ідентифікаторів і паролів користувачів. Програми відкриття паролів послідовно генерують всі можливі варіанти пароля і видають їх системі до тих пір, поки не буде визначено необхідний пароль. Паролі є основним засобом ідентифікації користувачів в багатокористувацьких комп'ютерних системах, і відкриття пароля і вхідного імені користувача дозволяє організувати доступ до конкретної інформації. Програми захоплення паролів імітують різні події в ІС, наприклад системний збій в роботі комп'ютера (перезавантаження операційної системи, відключення мережі та ін.), І запитують у користувача ідентифікатор і пароль, після чого передають управління робочій програмі, операційній системі або іншим програмам.

Програмні закладки - програми, які зберігають інформацію, що вводиться з клавіатури інформацію (в тому числі і паролі) в деякій зарезервованої для цього області. Даний тип програмних зловживань включає:

  • - Закладки, асоційовані з програмно-апаратної середовищем (BIOS);
  • - Закладки, асоційовані з програмами первинного завантаження, що знаходяться в Master Boot Record або Root секторів активних розділів;
  • - Закладки, асоційовані з завантаженням драйверів, командного інтерпретатора, мережевих драйверів;
  • - Закладки, асоційовані з прикладним програмним забезпеченням загального призначення (вбудовані в клавіатурні або екранні драйвери, програми тестування, утиліти і оболонки типу Norton Commander);
  • - Виконувані модулі, що містять тільки код закладки (як правило, впроваджуються в пакетні файли типу ВАТ);
  • - Модулі-імітатори, що збігаються за зовнішнім: виду з програмами, які вимагають введення конфіденційної інформації;
  • - Закладки, маскуються під програмні засоби оптимизационного призначення (архіватори, прискорювачі і т.д.);
  • - Закладки, маскуються під програмні засоби ігрового і розважального призначення.

"Бактерія" ( bacteria ) - програма, яка робить копії самої себе і стає паразитом, перевантажуючи пам'ять і процесор.

"Логічні бомби" (logic bombs) - програма, яка призводить до пошкодження файлів або комп'ютерів (від спотворення даних до повного знищення даних). "Логічний бомбу" вставляють, як правило, під час розробки програми, а спрацьовує вона при виконанні деякої умови (час, дата, кодове слово). "Логічні бомби", в яких спрацьовування прихованого модуля визначається часом (поточною датою), називають бомбами з годинниковим механізмом (time bomb). Подібні програми реалізують свій механізм після конкретного числа виконань при наявності або, навпаки, відсутність певного файлу, а також відповідного запису в файлі. У зв'язку з тим що подібні програми мають обмежений доступ до ресурсів системи, руйнівний ефект залишається досить низьким. Небезпека може значно збільшитися, якщо "логічна бомба" буде вбудована в системне програмне забезпечення, що призведе до знищення файлів, переформатування машинних носіїв або до інших руйнують наслідків. Основною метою функціонування програм типу логічної бомби слід вважати порушення нормальної роботи комп'ютерної системи.

Реплікатори - можуть створювати одну чи більше її копій в комп'ютерній системі. Це призводить до швидкого переповнення пам'яті комп'ютера, але дані дії можуть бути виявлені досвідченим користувачем і досить легко усунені. Усунення програми репликатора ускладнюється в тих випадках, коли реплікація виконується з модифікацією початкового тексту: програми, - що ускладнює розпізнавання її нових копій. Репликаторні програми стають особливо небезпечними, коли до функції розмноження будуть додані інші руйнують впливу.

Необхідно відзначити, що при плануванні і розробці зловживань порушниками можуть створюватися нові, які не наведені в даній класифікації, а також застосовуватися будь-які поєднання описаних зловживань.

Аналіз статистики дозволяє зробити важливий висновок: захист фінансових організацій (в тому числі і банків) будується трохи інакше, ніж звичайних комерційних і державних організацій. Для захисту банківських електронних систем цілком можливо застосовувати ті ж самі технічні та організаційні рішення, які були розроблені для стандартних ситуацій, проте необхідно враховувати специфіку конкретної фінансової організації.

Оцінка вразливості системи і побудова моделі впливів передбачає вивчення всіх варіантів реалізації перерахованих вище загроз (виявлення наслідків, до яких вони призводять).

Нижче наведено перелік найбільш ймовірних випадкових подій і злочинних дій, яким слід керуватися при оцінці ступеня уразливості будь проектованої або експлуатованої електронної системи комерційного банку.

  • 1. Події, пов'язані з технічними причинами:
    • - Вихід з ладу дискового накопичувача з пошкодженням диска;
    • - Відмови, викликані помилками в програмному забезпеченні;
    • - Пошкодження магнітних носіїв: магнітних стрічок, гнучких дисків;
    • - Відмови електронних схем комп'ютерів і периферійного обладнання;
    • - Порушення в мережі електроживлення: перенапруження або імпульсні викиди, аварійне відключення електроживлення;
    • - Вплив статичної електрики;
    • - Помилки при передачі даних по каналах зв'язку;
    • - Пошкодження кабелів зв'язку при будівельних роботах.
  • 2. Події, пов'язані зі стихійними лихами:
    • - Пожежа;
    • - Затоплення при аварії водопроводу, опалення або каналізації;
    • - Руйнування старих елементів конструкції будівлі;
    • - Пряме попадання блискавки або наводка імпульсних струмів під час грози.
  • 3. Події, пов'язані з ненавмисними діями людей:
    • - Ненавмисне зараження комп'ютера вірусом при використанні сторонньої програми - ігри, навчального пакету і т.п .;
    • - Неправильні дії малокваліфікованої персоналу при профілактиці, технічному обслуговуванні або ремонті;
    • - Ненавмисне пошкодження апаратури в результаті випадкових дій безвідповідальних осіб, наприклад: обрив з'єднувального кабелю або пошкодження апаратури при необережному поводженні в приміщенні, де встановлена ​​комп'ютерна система;
    • - Помилкові дії оператора при роботі, що призводять до руйнування даних;
    • - Неправильне поводження з гнучкими дисками або іншими магнітними носіями при їх використанні або зберіганні.
  • 4. злочинних дій людей:
    • - Проникнення в систему через зовнішній (наприклад, телефонний) канал зв'язку з присвоєнням повноважень одного з легальних користувачів з метою підробки, копіювання або знищення даних про платежі. Реалізується вгадування або підбором паролів, виявленням паролів і протоколів через агентуру в банку, перехопленням паролів при негласному підключенні до канату під час сеансу зв'язку, дистанційним перехопленням паролів в результаті прийому електромагнітного випромінювання;
    • - Проникнення в систему через телефонну мережу при перекоммутации каналу на модем зловмисника після входження легального користувача в зв'язок і пред'явлення їм своїх повноважень з метою привласнення прав цього користувача на доступ до даних;
    • - Копіювання фінансової інформації і паролів при негласному пасивному підключенні до кабелю локальної мережі або прийомі електромагнітного випромінювання мережевого адаптера;
    • - Виявлення паролів легальних користувачів при негласному активному підключенні до комунікаційної мережі при імітації запиту мережевої операційної системи;
    • - Аналіз трафіку при пасивному підключенні до каналу зв'язку або при перехопленні електромагнітного випромінювання апаратури для виявлення протоколів обміну;
    • - Підключення до каналу зв'язку в якості активного ретранслятора для фальсифікації платіжних документів, зміни їх змісту, порядку проходження, повторної передачі, доставки з затримкою або попередженням;
    • - Блокування каналу зв'язку власними повідомленнями, що викликає відмова в обслуговуванні легальних користувачів;
    • - Відмова абонента від факту прийому (передачі) платіжних документів або формування неправдивих відомостей про час прийому (передачі) повідомлень для зняття з себе відповідальності за виконання цих операцій;
    • - Формування хибних тверджень про отримані (переданих) платіжних документах;
    • - Прихована несанкціонована передача конфіденційної інформації в складі легального повідомлення для виявлення паролів, ключів і протоколів доступу;
    • - Неправдиве оголошення себе іншим користувачем (маскування) для порушення адресації повідомлень або виникнення відмови в законному обслуговуванні;
    • - Збір і аналіз використаних роздруківок, документації та інших матеріалів для копіювання інформації або виявлення паролів, ідентифікаторів, процедур доступу і ключів;

візуальний перехоплення інформації, виведеної на екран дисплеїв, або вводиться з клавіатури для виявлення паролів, ідентифікаторів і процедур доступу;

  • - Негласна переробка обладнання або програмного забезпечення на фірмі-виробнику, фірмі-постачальнику, в місці складування або під час перевезення до замовника. Мета - впровадження засобів несанкціонованого доступу до інформації ззовні (програм-перехоплювачів і "троянських коней", апаратури виведення інформації і т.п.), а також дані або обладнання (наприклад, за допомогою програм-вірусів, ліквідаторів з дистанційним управлінням або уповільненої дії і т.п.);
  • - Руйнування інформації або створення збої в комп'ютерній системі за допомогою вірусів для дезорганізації діяльності банку. Реалізується завантаження вірусів в систему в неробочий час, підміни ігрових програм, що використовуються співробітниками банку в робочих приміщеннях, або врученням співробітникові банку "подарунка" у вигляді нової комп'ютерної гри або інший цікавої програми;
  • - Викрадення обладнання, в тому числі окремих плат, дисководів, дорогих мікросхем, кабелів, дисків, стрічок, з метою продажу. Тягне за собою втрату працездатності системи, а іноді і знищення даних;
  • - Викрадення магнітних носіїв з метою отримання доступу до даних і програм;
  • - Руйнування обладнання, магнітних носіїв або дистанційне стирання інформації (наприклад, за допомогою магнітів);
  • - Зчитування інформації з жорстких і гнучких дисків (в тому числі і залишків "стертих" файлів), магнітних стрічок при копіюванні даних з устаткування на робочих місцях в неробочий час; копіюванні даних з використанням терміналів, залишених без нагляду в робочий час;
  • - Копіювання даних з магнітних носіїв, залишених на столах або в комп'ютерах, столах, шафах і т.д .; копіювання даних з устаткування і магнітних носіїв, прибраних в спеціальні сховища при їх розтині або зломі;
  • - Внесення змін до даних і програми для підробки і фальсифікації фінансових документів при включенні комп'ютерної системи під час негласного відвідування в неробочий час; використання залишеного без нагляду обладнання в робочий час; внесення змін до даних, записані на залишених без нагляду магнітних носіях;
  • - Установка прихованих передавачів для виведення інформації паролів з метою копіювання даних або доступу до них легальними каналами зв'язку з комп'ютерною системою в результаті:
    • • негласного відвідування в неробочий час,
    • • відвідування з метою ремонту, настройки, профілактики обладнання або налагодження програмного забезпечення,
    • • прихованої підміни елементів обладнання при залишенні їх без нагляду в робочий час,
    • • установки ліквідаторів уповільненої дії або з дистанційним управлінням (програмних, апаратних або апаратно-програмних з виконавчим механізмом вибухового, хімічного, електричного або вірусного дії) з метою знищення інформації чи обладнання;
  • - Несанкціонованих змін своїх повноважень на доступ або повноважень інших користувачів в обхід механізмів безпеки;
  • - Внесення змін до бази даних або окремі файли в межах виділених повноважень для підробки або знищення фінансової інформації.

Наведений перелік може на перший погляд здатися занадто великим і за деякими пунктами надуманим. Однак статистика комп'ютерних пригод і злочинів говорить про інше. Більш того, у міру вдосконалення засобів і методів захисту комп'ютерних систем зловмисниками створюються нові, досить незвичайні способи їх подолання. Тому аналіз усього комплексу загроз і оцінка наслідків їх реалізації становить одну з перших завдань відповідальних за безпеку.

При аналізі загроз, викликаних зловмисними діями, доцільно оточити їх ймовірні мотиви, цілі та наслідки, а також визначити коло потенційних ініціаторів (суб'єктів) таких дій. Основними дійовими особами можуть бути співробітники банку (нинішні і колишні), клієнти банку, конкуренти банку, конкуренти клієнтів банку і співробітники державних органів. Згідно зі статистикою комп'ютерних злочинів в фінансових установах основним їх мотивом виявляється незаконне збагачення. Причому найчастіше в якості суб'єктів злочинів виступають співробітники (колишні співробітники) банків.

Значно рідше фігурують такі причини, як помста скривджених співробітників або завоювання престижу серед певної групи фахівців.

При аналізі способів здійснення злочинних дій слід розрізняти суб'єкта дій і конкретних виконавців. Так, наприклад, для шпигунства або диверсії в ролі агентів можуть бути використані співробітники банку, його клієнти, обслуговуючий персонал із зовнішніх організацій, просто сторонні, тобто всі ті особи, які можуть отримати доступ до комп'ютерної системи або її елементів.

За характером виконання зловмисні дії доцільно розділити на три види.

  • 1. Дії, які не пов'язані з проникненням виконавців в приміщення, де розташовані комп'ютерні системи.
  • 2. Дії з одиничними проникненнями виконавців в приміщення комп'ютерних систем:
    • - Відкритими, під виглядом відвідувачів, співробітників комунальних служб (прибиральників, водопровідників, телефоністів, електриків) і т.п .;
    • - Негласними, у вихідні дні або вночі.
  • 3. Дії, які передбачають наявність виконавців в середовищі співробітників банку, його клієнтів або постачальників обладнання, які постійно працюють в приміщеннях комп'ютерної системи, а також постійного обслуговуючого персоналу.

Слід зазначити, що деякі комп'ютерні злочини можуть здійснюватися із застосуванням одночасно декількох видів злочинних дій. Наприклад, агент з постійного обслуговуючого персоналу проводить розвідку і видобуває дублікати ключів або кодових комбінацій замків приміщень, документацію, інформацію про систему захисту; негласне відвідування фахівців дозволяє отримати паролі доступу до системи, а власне зловмисна дія, спрямоване на знищення, перекручення або копіювання інформації, буде виконуватися ззовні.

Виходячи зі списку існуючих загроз для банківських електронних систем і можливих подій, можна виділити наступні основні напрямки захисту.

  • 1. Захист апаратури і носіїв інформації від викрадення, пошкодження та знищення. Це завдання - частина загальної проблеми захисту майнових прав організації. Для боротьби з погрозами цього виду використовується традиційний комплекс організаційно-технічних заходів: фізична охорона та обмеження доступу до апаратури і носіїв даних, огородження будівель і територій, обладнання приміщень замками, охоронною сигналізацією, а також різні пристрої, що перешкоджають викраденню комп'ютерної апаратури, її компонентів та вузлів.
  • 2. Захист інформаційних ресурсів від несанкціонованого використання. Для цього використовуються засоби контролю включення живлення і завантаження програмного забезпечення, а також методи парольного захисту при вході в систему.
  • 3. Захист інформаційних ресурсів від несанкціонованого доступу. Забезпечує захист конфіденційності, цілісності та готовності (доступності) інформації і автоматизованих служб системи.
  • 4. Захист від витоку по побічних каналах електромагнітних випромінювань і наведень. Реалізується екрануванням апаратури і приміщень, експлуатацією спеціальної захищеної апаратури, застосуванням маскувальних генераторів шумів і перешкод, а також додатковою перевіркою апаратури на наявність компрометуючих випромінювань.
  • 5. Захист інформації в каналах зв'язку і вузлах комутації. Блокує загрози, пов'язані з пасивним підключенням до каналу (підслуховування), запобігає активне підключення з фальсифікацією повідомлень або ретрансляцією щирих повідомлень, а також перешкоджає блокуванню каналів зв'язку. Для захисту використовуються процедури аутентифікації абонентів і повідомлень, шифрування і спеціальні протоколи зв'язку.
  • 6. Захист юридичної значимості електронних документів. При передачі документів (платіжних доручень, контрактів, розпоряджень) по комп'ютерних мережах необхідно забезпечити доказ істинності того, що документ був дійсно створений і відправлений автором, а не фальсифікований або модифікований одержувачем або будь-якою третьою особою. Крім того, існує загроза заперечення авторства відправником з метою сяяти з себе відповідальність за передачу документа. Для захисту від таких загроз в практиці обміну фінансовими документами використовуються методи аутентифікації повідомлень за відсутності у сторін довіри один до одного. Документ (повідомлення) доповнюється так званої цифровим підписом - спеціальною міткою, нерозривно логічно пов'язаної з текстом і формованої за допомогою секретного криптографічного ключа. Підробка таких міток без знання ключа сторонніми особами виключається і неспростовно свідчить про авторство. Порушник також не може відмовитися від авторства документа.
  • 7. Захист автоматизованих систем від комп'ютерних вірусів і незаконної модифікації. Реалізується застосуванням іммуностойкой програм і механізмів виявлення фактів модифікації програмного забезпечення.
 
< Попер   ЗМІСТ   Наст >