Современные предприятия широко используют ЭВМ. По какой бы схеме (технологии) ни работали последние, вся совокупность электронных технических средств предприятия образует обычно автоматизированную систему управления (АСУ), находящуюся на той или иной степени развития. Как известно использование АСУ организационного управления представляет собой ни что иное, как применение информационной (математической) модели реального объекта. «Проигрывание» этой модели на компьютерах, заменяющее натурные испытания, позволяют получить разнообразные показатели, отражающие результаты фактического или планируемого функционирования модели. При условии достаточной адекватности информационной модели реальному объекту произведенные испытания позволяют полученные выводы переносить на реальный объект, анализировать показатели, делать выводы, принимать управленческие решения.
Из сказанного видно, какое огромное значение имеет безопасность Автоматизированной информационной системы (АИС), т. е. защищенность системы от случайного или преднамеренного вмешательства в нормальный процесс ее функционирования, от попыток хищения (несанкционированного получения) информации, модификации или физического разрушения ее компонентов.
Под угрозой безопасности информации понимаются события или действия, которые могут привести к искажению, несанкционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств.
Если исходить из классического рассмотрения кибернетической модели любой управляемой системы, возмущающие воздействия на нее могут носить случайный характер. Поэтому среди угроз безопасности информации следует выделять, как один из видов, угрозы случайные или непреднамеренные. Их источником могут быть выход из строя аппаратных средств, неправильные действия работников АИС или ее пользователей, непреднамеренные ошибки в программном обеспечении и т. д. Такие угрозы тоже следует держать во внимании т.к. ущерб от них может быть значительным (см. приведенные ниже примеры). Однако в данном пособии наибольшее внимание уделяется угрозам умышленным, которые в отличие от случайных преследуют цель нанесение ущерба управляемой системе или пользователям ее АИС. Это делается нередко ради получения личной выгоды.
Человека, пытающегося нарушить работу информационной системы или получить несанкционированный доступ к информации, одинаково часто именуют либо взломщиком, либо «компьютерным пиратом», либо «хакером».
В своих противоправных действиях, направленных на обладание чужими секретами, взломщики стремятся найти такие источники конфиденциальной информации, которые бы давали им наиболее достоверную информацию в максимальных объемах с минимальными затратами на ее получение. Прибегая к различным уловкам, использую множество приемов и средств, подбираются пути и подходы к таким источникам. В данном случае под источником информации подразумевается материальный объект, обладающий определенными сведениями, (например, машинный носитель информации) причем сведениями, представляющими конкретный интерес для злоумышленников или конкурентов.
Защита от умышленных угроз – это своего рода соревнование обороны и нападения: кто больше знает, кто больше разбирается в деталях работы компьютерных систем, предусматривает более действенные меры, тот и выигрывает.
Многочисленные публикации последних лет показывают, что злоупотребления информацией, циркулирующей в АИС или передаваемых по каналам связи, совершенствовались не менее интенсивно, чем меры защиты от них. Разработано огромное количество частных механизмов защиты, однако, как показывает жизнь, они обеспечивают лишь временную защиту. В настоящее время совершенно очевидно, что для обеспечения защиты информации требуется не просто разработка частных механизмов защиты, а реализация системного подхода, включающего комплекс взаимосвязанных мер (использование специальных технических и программных средств, организационных мероприятий, нормативно-правовых актов, морально-этических мер противодействия и т. д.) Комплексный характер защиты проистекает из комплексных действий злоумышленников, стремящихся любыми средствами добыть важную для них информацию.
Оружие защиты должно быть адекватным оружию нападения. Второе десятилетие идет развитие новой современной технологии – технологии защиты информации – в компьютерных информационных системах и в сетях передачи данных. Реализация этой технологии требует увеличившихся расходов и усилий. Однако все это позволяет избежать значительно превосходящих потерь и ущерба, которые могут возникнуть при реальном осуществлении угроз АИС.
Приведенные ниже данные хорошо характеризуют возможный ущерб. Данные – старые (по времени), они соответствуют началу расцвета компьютерных преступлений. Однако нельзя утверждать, что теперь потери снизились. Скорее они многократно возросли.
По данным одного из литературных источников, в 1988 г. ущерб от компьютерных преступлений в автоматизированных банковских системах составил 555 млн долларов, 930 лет рабочего времени и 15,5 года машинного времени. По другим данным ущерб финансовых организаций составляет от 173 млн до 41 млрд долларов в год. Средняя банковская кража составляла на начало девяностых годов около 9000 долларов.
Приведем примеры наиболее крупных преступлений последних лет в отечественной практике [4].
- хищение в 1991 году 125,5 тыс. долларов США во Внешэкономбанке (г. Москва);
- попытка «электронного мошенничества» на сумму более 68 млрд рублей в Центральном банке России в сентябре 1993 г.;
- умышленное нарушение работы программ АСУ ядерных реакторов Игналинской АЭС в 1992 г.
Опишем несколько примеров, как наносится вред информационной системе управляемого объекта, по какой это может происходить причине, к каким последствиям приводит и т.д. Но надо иметь ввиду, что эти примеры – ничтожно малая часть огромного многообразия уже совершенных и совершающихся нарушений работы информационных систем в разных областях деятельности. В данном случае приводятся данные французских исследователей (сведения приведены для различных управляемых систем, чтобы показать, что объектом внимания компьютерных пиратов может стать любой объект) [4].
Начнем с примера для торгового предприятия
Супермаркет. Компьютерными вирусами нарушена работа процесса кассовой системы огромного супермаркета. Образовались длинные очереди недовольных покупателей у касс. После двух часов бесплодных попыток восстановить систему дирекция обратилась к силам порядка, чтобы выдворить из зала протестующих покупателей. Легко можно представить себе ущерб клиентуры в результате этого события и падение престижа данного предприятия. Ущерб магазина составил 4 млн. франков.
Действия в целях хищения
Банк. Оператор системы электронного перевода денег с одного счета на другой вошел в соглашение с представителем этой же системы, ответственным за шифрование, пароли и протоколы обмена. Провели изменение сумм и адресных счетов. Похищенная сумма составила порядка 25 млн. франков.
Банк. Вторжение пирата с помощью «видеотекст/клиент». Через руководителя проекта системы ему удалось ознакомиться с перечнем кодов разграничения доступа и совершить фиктивное открытие международного кредита на сумму более 25 млн. франков и перевести их с одного счета на другой.
Банк. Ответственное за вклады лицо снимало со счетов клиентов деньги и пускало их в оборот. Проценты зачисляло на свой счет. Хищение продолжалось 13 месяцев и обошлось в 8 млн. франков.
Страховая компания. Один сотрудник создал видимость убытков от несчастных случаев на небольшую сумму относительно подлинных контрактов. Он действовал совместно с программистом, который изменил программу платежей в качестве возмещения за убытки для каталогов страховых полисов в интересах полисов сообщников. Хищение длилось два года и составило сумму в 3 млн. франков.
Приведем столько же примеров злонамеренных действий в целях нанесения вреда конкурентам.
Банк. Злонамеренные действия привели к разрушению основной базы данных. Восстановление заняло 8 часов, что задержало часть операций на 2 дня. Общие потери оценены в 4,2 млн. франков.
Организация. Руководству организации посылается угроза заражения АИС вирусом. Ответственные лица не приняли всерьез эту угрозу, но приняли меры по проверке системы. Были сменены все пароли. Именно в этот момент злоумышленники путем прослушивания по линии связи установили новые системные пароли и воспользовались этим для того, чтобы внедрить активный вирус. Ущерб оценивается в 7 млн. франков.
Угрозы безопасности АИС в результате безответственности, самоутверждения или корыстного интереса персонала самой системы
Банк. В результате некоторого расхождения в структуре программного обеспечения и словарей баз данный был произведен информационный обмен, приведший к расхождению итоговых результатов. Общие потери от расходов на восстановление и компенсацию утраты интересов составили 3,2 млн. франков.
Промышленность. В программное обеспечение робота-манипулятора была введена «логическая бомба», вследствие чего резко увеличилась скорость действий манипулятора, приведшая к его поломке. Ущерб составил 1 млн. франков непосредственно и примерно 14 млн. франков из-за остановки производства.
Транспорт. Из-за конфликта между дирекцией и группой информационных служащих, последние установили «логические бомбы» в программы электронного резервирования мест. Нарушения работы программ были весьма значительными в течение двух месяцев и обернулись потерей клиентов и дополнительными издержками в общем на сумму порядка 30 млн франков.
Приведенное выше небольшое количество примеров служит подтверждению целесообразности затрат и усилий на создание комплексных систем защиты информации.