Виды угроз безопасности в экономических информационных системах
Наряду с интенсивным развитием вычислительных средств и систем передачи информации все более актуальной становится проблема обеспечения ее безопасности. Меры безопасности направлены на предотвращение или несанкционированное получение информации, на защиту от физического уничтожения или модификации защищаемой информации.
Зарубежные публикации последних лет показывают, что злоупотребления информацией, передаваемой по каналам связи, совершенствовались не менее интенсивно, чем средства их предупреждения. В этом случае для защиты информации требуется не просто разработка частных механизмов защиты, а организация целого комплекса мер, т.е. использование специальных средств, методов и мероприятий с целью предотвращения потери информации. Сегодня рождается новая современная технология — технология защиты информации в компьютерных информационных системах и в сетях передачи данных.
Риски и угрозы безопасности
Несмотря на предпринимаемые дорогостоящие методы, функционирование компьютерных информационных систем обнаружило слабые места в защите информации. Неизбежным следствием стали постоянно увеличивающиеся расходы и усилия на защиту информации.
Однако для того, чтобы принятые меры оказались эффективными, необходимо определить, что представляет угрозу безопасности информации, а также выявить возможные каналы утечки информации и пути несанкционированного доступа к защищаемым данным.
Риск нарушения безопасности может пониматься как вероятность осуществления такого события. Если такие события происходят достаточно часто, по их частоте можно довольно точно оценить соответствующий риск. Если такие события случаются редко, риск можно оценивать на основе опыта и знаний экспертов, но это будут уже только субъективные вероятности. Тем не менее, в некоторых случаях иначе оценить риск невозможно, потому что он всегда предполагает неполноту знаний о ситуации, иногда даже невозможность получения достоверного знания о ней, о тех ограничениях, которые определяются внешними обстоятельствами. Как правило, уровень риска пропорционален уровню приложения усилий в защите информации и обеспечении безопасности в целом: чем выше риск, тем такие усилия должны быть больше, чем ниже – тем могут быть меньше. Нужно только помнить, что высокий уровень вероятности не определяет, что событие обязательно произойдёт, а низкий – что такого события не случится. Наличие таких рисков, наряду с нематериальным характером информации, определяет высокий уровень сложности обеспечения её защиты.
Под угрозой безопасности информации понимается действие или событие, которое может привести к разрушению, искажению или несанкционированному использованию информационных ресурсов, включая хранимую, передаваемую и обрабатываемую информацию, а также программные и аппаратные средства.
Угрозы принято делить на случайные, или непреднамеренные, и умышленные. Источником первых могут быть ошибки в программном обеспечении, выходы из строя аппаратных средств, неправильные действия пользователей или администрации и т.п. Умышленные угрозы, в отличие от случайных, преследуют цель нанесения ущерба пользователям автоматизированных информационных систем и, в свою очередь, подразделяются на активные и пассивные.
Пассивные угрозы, как правило, направлены на несанкционированное использование информационных ресурсов, не оказывая при этом влияния на ее функционирование. Пассивной угрозой является, например, попытка получения информации, циркулирующей в каналах, посредством их прослушивания.
Активные угрозы имеют целью нарушение нормального процесса функционирования посредством целенаправленного воздействия на аппаратные, программные и информационные ресурсы. К активным угрозам относятся, например, разрушение или радиоэлектронное подавление линий связи, вывод из строя компьютеров или их операционных систем, искажение сведений в базах данных или в системной информации в компьютерах и т.п. Источниками активных угроз могут быть непосредственные действия злоумышленников, вредоносные программы, например, вирусы или троянские программы и т.п.
Система безопасности должна строиться так, чтобы снижать вероятности рисков и противодействовать возможным угрозам безопасности, а также быть способной содействовать осуществлению выхода из наступившей опасной ситуации с наименьшими потерями. Иначе говоря, необходимо строить систему безопасности так, чтобы она сильнее защищала от высоких рисков и от наиболее значимых угроз нарушения защиты информации.
Виды угроз безопасности
К основным угрозам безопасности информации относят:
· раскрытие конфиденциальной информации;
· компрометация информации;
· несанкционированное использование информационных ресурсов;
· ошибочное использование информационных ресурсов;
· несанкционированный обмен информацией;
· отказ от информации;
· отказ в обслуживании.
Средствами реализации угрозы раскрытия конфиденциальной информации могут быть несанкционированный доступ к базам данных, прослушивание каналов связи и т.п. В любом случае получение информации, являющейся достоянием некоторого лица (группы лиц) другими лицами, наносит ее владельцам существенный ущерб.
Компрометация информации, как правило, реализуется посредством внесения несанкционированных изменений в базы данных, в результате чего ее потребитель вынужден либо отказаться от нее, либо предпринимать дополнительные усилия для выявления изменений и восстановления истинных сведений. В случае использования скомпрометированной информации потребитель подвергается опасности принятия неверных решений со всеми вытекающими отсюда последствиями, потому что он не может гарантировать соответствие своих копий информации тем сведениям, которые находятся в её источнике.
Несанкционированное использование информационных ресурсов, с одной стороны, является средством раскрытия или компрометации информации, а с другой — имеет самостоятельное значение, поскольку, даже не касаясь пользовательской или системной информации, может нанести определенный ущерб абонентам и администрации. Этот ущерб может варьироваться в весьма широких пределах - от сокращения поступления финансовых средств до полного выхода автоматизированных информационных систем из строя.
Ошибочное использование информационных ресурсов будучи санкционированным тем не менее может привести к разрушению, раскрытию или компрометации указанных ресурсов. Данная угроза чаще всего является следствием ошибок, имеющихся в программном обеспечении автоматизированных информационных систем.
Несанкционированный обмен информацией между абонентами может привести к получению одним из них сведений, доступ к которым ему запрещен, что по своим последствиям равносильно раскрытию содержания информации. Определённым решением этой проблемы в сфере информатике стало использование бесплатных и условно бесплатных компьютерных программ. Эти программы свободно распространяются, в частности, через сеть Интернет, любой пользователь может их применять: бесплатные – без ограничений по времени, но нередко только для себя и для некоммерческих действий, а условно бесплатные – в течение определённого периода времени бесплатно, а затем должен заплатить небольшую сумму разработчику или прекратить использовать эту программу. Таким образом разработчики бесплатных программ знакомят с собой и со своей продукцией широкие группы пользователей, которые после некоторого периода бесплатного использования программ покупают их платные, более совершенные и мощные версии. В случаях распространения бесплатных и условно бесплатных компьютерных программ несанкционированный обмен информацией, в данном случае, компьютерными программами исключается, поскольку сами авторы таких программ дают на такие обмены свои разрешения.
Отказ от информации состоит в непризнании получателем или отправителем этой информации фактов ее получения или отправки. В условиях банковской деятельности это, в частности, позволяет одной из сторон расторгать заключенные финансовые соглашения «техническим» путем, формально не отказываясь от них и нанося тем самым второй стороне значительный ущерб.
Отказ в обслуживании представляет собой весьма существенную и распространенную угрозу, источником которой является сама автоматизированная информационная система. Подобный отказ особенно опасен в ситуациях, когда задержка с предоставлением ресурсов абоненту может привести к тяжелым для него последствиям. Так, отсутствие у пользователя данных, необходимых для принятия решения, в течение периода времени, когда это решение еще возможно эффективно реализовать, может стать причиной его нерациональных или даже антимонопольных действий.
Примеры угроз безопасности
Сейчас больше чем когда-либо необходима продуманная комплексная защита корпоративного информационного пространства от посягательств со стороны злоумышленников - как извне, так и изнутри компании.
Прошли те времена, когда самым большим источником опасности для наших данных были дискеты, зараженные "классическими" вирусами.
Сегодня и работа, и отдых немыслимы без сети Интернет, и этим активно пользуются авторы вирусов, хакеры и спамеры - часто в одном лице. Хакеры создают новые вирусы и другие вредоносные программы, чтобы незаконно проникать на наши компьютеры, подчинять их себе и затем рассылать с них спам. Угрозы информационной безопасности становятся всё более комплексными.
Количество вредоносных программ уже приближается к ста тысячам, появились десятки новых их типов и разновидностей - всё чаще смешанных, объединяющих все последние достижения "черной" компьютерной индустрии. Сама эта индустрия набирает обороты, уже начались "гангстерские войны" между кланами компьютерных преступников.
Только зарегистрированные потери от компьютерных преступлений исчисляются уже десятками миллиардов долларов, и цифры эти растут угрожающими темпами.
В последние годы эксперты отмечают, что ущерб, причиняемый вирусами, все возрастает. По данным Computer Economics в 2002 году ущерб составил примерно $11 млрд., в 2003 году эта цифра достигла $12,5 млрд, а в начале 2004 года ущерб только от эпидемии MyDoom составил более $4 млрд.
Ущерб от спама в 2004 году возрастет еще заметней: с непрошеной корреспонденцией будет рассылаться всё больше вирусов и троянских программ. Кроме того, ущерб от потери рабочего времени на разбор и чтение спама по разным оценкам составляет уже $50-200 в год в расчете на одного сотрудника, и эти цифры в 2004 году также вырастут.
Зафиксированный объем потерь от компьютерных преступлений, совершаемых хакерами, и от кражи конфиденциальной информации сотрудниками компании исчисляется уже сотнями миллиардов долларов.