Умышленные угрозы подразделяют на пассивные и активные.
Пассивные угрозы направлены в основном на несанкционированное использование информационных ресурсов АИС, не оказывая влияния при этом на ее функционирование. Например, несанкционированный доступ к базам данных, прослушивание каналов связи и т. д.
Активные угрозы имеют целью нарушение нормального функционирования АИС путем целенаправленного воздействия на ее компоненты. К активным угрозам относятся, например, вывод строя ПЭВМ или ее операционной системы, искажений сведений в АБД, разрушение программного обеспечения (ПО) ЭВМ, нарушение работы линий связи и т. д. Источником активных угроз могут быть действия взломщиков, вредоносные программы и т. д.
Умышленные угрозы подразделяются на внутренние (возникающие внутри управляемой организации) и внешние. Внутренние угрозы чаще всего определяются социальной напряженностью и тяжелым моральным климатом. Внешние угрозы могут определяться злонамеренными действиями конкурентов, экономическими условиями и другими причинами (например, даже стихийными бедствиями). По данным зарубежной литературы, получил широкое распространение промышленный шпионаж – это наносящие ущерб владельцу коммерческой тайны незаконный сбор, присвоение и передача сведений, составляющих коммерческую тайну, лицом, не уполномоченным на это ее владельцем.
Основные угрозы безопасности информации и нормального функционирования АИС
К ним относят:
- утечку конфиденциальной информации;
- компрометацию информации;
- несанкционированное использование информационных ресурсов;
- ошибочное использование информационных ресурсов;
- несанкционированный обмен информацией между абонентами;
- отказ от информации;
- нарушение информационного обслуживания;
- незаконное использование привилегий;
- несанкционированный доступ;
- особые виды угроз;
- вредоносные программы.
Утечка конфиденциальной информации – это бесконтрольный выход конфиденциальной информации за пределы АИС или круга лиц, которым она была доверена по службе или стала известна в процессе работы. Эта утечка может быть следствием:
- разглашения конфиденциальной информации;
- ухода информации по различным, главным образом техническим каналам;
- несанкционированного доступа к конфиденциальной информации различными способами.
Компрометация информации – один из видов информационных инфекций. Реализуется, как правило, посредством несанкционированных изменений в базе данных, в результате чего потребитель вынужден либо отказаться от нее, либо прилагать дополнительные усилия для выполнения изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими отсюда последствиями.
Несанкционированное использование информационных ресурсов. С одной стороны, это явление является последствием утечки информации и средством ее компроментации. С другой стороны, оно имеет самостоятельное значение, так как может нанести большой ущерб управляемой системе (вплоть до выхода АИС из строя) или ущерб ее абонентам.
Ошибочное использование информационных ресурсов, будучи санкционированным, тем не менее может привести к разрушению, утечке или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок из имеющихся в ПО АИС.
Несанкционированный обмен информации между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен. Последствия те же, что при несанкционированном доступе.
Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправки. Это позволяет одной из сторон расторгать заключение финансового соглашения «техническим» путем, формально не отказываясь от них, нанося тем самым второй стороне значительный ущерб.
Нарушение информационного обслуживания - угроза, источником которой является сама АИС. Задержка с представлением информационных ресурсов абоненту может привести к тяжелым для него последствиям. Отсутствие у пользователя современных данных, необходимых для принятия решений, может вызвать его нерациональные действия.
Незаконное использование привилегий. Любая защищенная система содержит средства, используемые в чрезвычайных ситуациях, или средства, которые способны функционировать с нарушением существующей политики безопасности. Например, иногда на случай внезапной проверки пользователь должен иметь возможность доступа ко всем наборам системы. Обычно эти средства используются администраторами, операторами, системными программистами и другими пользователями, выполняющими специальные функции.
Большинство систем защиты в таких случаях используют наборы привилегий, т.е. для выполнения определенной функции требуется определенная привилегия. Обычно пользователи имеют минимальный набор привилегий, администраторы - максимальные.
Наборы привилегий охраняются системой защиты. Несанкционированный (незаконный) захват привилегий приводит, таким образом, к возможности несанкционированного выполнения определенной функции. Расширенный набор привилегий - мечта любого злоумышленника. Он позволит злоумышленнику совершать желаемое для него действие в обход всех мер контроля. Незаконный захват привилегий возможен при наличии ошибок в системе защиты, но чаще всего при халатности в процессе управления системой защиты, в частности при пользовании привилегиями.
Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим право доступа к охраняемым сведений. Наиболее распространенными путями несанкционированного доступа к информации являются:
- перехват электронных излучений;
- принудительное электромагнитное облучение (подсведка) линий связи с целью получения паразитной модуляции несущей;
- Применение подслушивающих устройств (закладок);
- дистанционное фотографирование;
- перехват акустических излучений, восстановление текста принтера;
- чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
- копирование носителей информации с преодолением мер защиты;
- маскировка под зарегистрированного пользователя;
- маскировка под запросы системы;
- использование программных ловушек;
- использование недостатков языков программирования и операционных систем;
- незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ к информации;
- злоумышленный вывод из строя механизмов защиты;
- расшифровка специальными программами зашифрованной информации;
- информационные инфекции.
Перечисленные виды несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы утечки - это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Среди каналов утечки известны визуально-оптические, акустические, электромагнитные и др. Причиной возникновения каналов утечки являются конструктивные технологические несовершенства схемных решений, либо эксплуатационных износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации - канал утечки.
Однако есть и достаточно примитивные пути несанкционированного доступа:
- хищение носителей информации и документальных отходов;
- инициативное сотрудничество;
- склонение к сотрудничеству со стороны взломщика;
- выпытывание;
- подслушивание;
- наблюдение и другие пути.
Любые способы утечки конфиденциальной информации могут привести к значительному материальному и моральному ущербу как для организации, где функционирует АИС, так и для ее пользователей.
Менеджерам следует помнить, что довольно большая часть причин и условий, создающих предпосылки и возможность неправомерного овладения конфиденциальной информации, возникает из-за элементарных недоработок руководителей предприятий и их сотрудников. Например, к причинам и условиям, создающим предпосылки для утечки коммерческих секретов, могут относиться:
- недостаточное знание работников предприятия правил защиты конфиденциальной информации и непонимание необходимости их тщательного соблюдения;
- использование неаттестованных технических средств обработки конфиденциальной информации;
- слабый контроль за соблюдением правил защиты информации правовыми, организационными и инженерно-техническими мерами;
- текучесть кадров, в том числе владеющих сведениями, составляющими коммерческую тайну;
- другие результаты организационных недоработок, в результате которых виновниками утечки информации являются люди - сотрудники АИС.