Computer Crime Problems Research Center

Козаченко І. П.,

Голубєв В. О.

 

ЗАГАЛЬНІ ПРИНЦИПИ ЗАХИСТУ БАНКІВСЬКОЇ

КОМП'ЮТЕРНОЇ ІНФОРМАЦІЇ

 

            Багато злочинів починається з витоку інформації. Банківська інформація представляє великий  інтерес для кримінальних елементів. Сьогодні у керівництва більшості банків немає сумнівів в необхідності серйозно піклуватися про інформаційну безпеку банку (збереженні банківської і комерційної таємниць, таємниці внесків, забезпеченні безпеки електронних документів). Застосування   сучасних інформаційних технологій в банківських системах розширює можливості для різних зловживань, пов’язаних з використанням обчислювальної техніки (так званих комп'ютерних злочинів). Щорічні втрати від злочинів в цій сфері складають в світі, по різних оцінках, від 170 млн. до 10 млрд. дол. За деякими даними, в промислово розвинених країнах середній збиток від одного комп'ютерного злочину (а значну частку таких злочинів складають зловживання в фінансовій сфері) близький до 450 тис. дол., а щорічні сумарні втрати в США і Західній Європі досягають 100 млрд. і 35 млрд. дол., відповідно. У останні десятиріччя зберігалася стійка тенденція до зросту збитків, пов’язаних з комп'ютерною злочинністю.   

        Комерційним і фінансовим установам доводиться реалізовувати широкий набір заходів, щоб захистити себе від комп'ютерних злочинів. Наслідки недооцінки питань безпеки можуть виявитися вельми сумними. Досить згадати про великі суми, украдені за допомогою підроблених авізо. На жаль, досвід західних фірм дає мало основ надіятися, що цей перелік не буде продовжений в майбутньому.

       У найближчий період потрібно чекати росту шахрайств з векселями та пластиковими картками, а також фактів незаконної емісії цінних паперів.  Найбільшу небезпеку для банків представляє інформаційна незахищеність, тому при забезпеченні інформаційної безпеки банку необхідно враховувати те, що щонайперша умова життєдіяльності  кожного банку - обмін інформацією. Відомо, що система забезпечення інформаційної безпеки  банку включає в себе збирання, класифікацію, аналіз, оцінку, захист і розповсюдження інформації для забезпечення захисту ресурсів банку.

      Для протидії комп'ютерним злочинам або зменшення збитку від них необхідно грамотно вибирати заходи і засоби забезпечення захисту інформації від навмисного руйнування, крадіжки і несанкціонованого доступу. Необхідне знання основних законодавчих положень в цій області, організаційних, економічних і інших заходів забезпечення безпеки інформації.

       Розглянемо питання інформаційної безпеки більш детально. Інтерес до питань захисту інформації останнім часом виріс. Це зв'язують з розширенням використання мереж, а отже, і можливостей несанкціонованого доступу до інформації.  У США випущений державний стандарт по цифровій криптографії (Data Encryption Standard, DES), у всьому світі розробляються математичні методи, які дозволять кодувати повідомлення в умовах експлуатації у відкритих мережах.

      Актуальність проблеми захисту інформації пов’язана з ростом можливостей обчислювальної техніки. Розвиток засобів, методів і форм автоматизації процесів обробки інформації і масове застосування персональних комп'ютерів роблять інформацію набагато більш уразливої. Основними чинниками, сприяючими підвищенню її уразливості, є:

 

·       збільшення обсягів інформації, що нагромаджується, зберігається та обробляється за допомогою комп'ютерів;

·       зосередження в базах даних інформації різного призначення і різній приналежності;

·       розширення кола користувачів, що мають безпосередній доступ до ресурсів обчислювальної

·       системи і масивам даних; 

·       ускладнення режимів роботи технічних засобів обчислювальних систем;

·       автоматизація обміну інформацією, в тому числі на великих відстанях.

 

     У умовах широкого застосування обчислювальної техніки і засобів обміну інформацією поширюються можливості несанкціонованого використання або модифікації інформації. В зв'язку з чим захисту інформації від несанкціонованого доступу приділяється все більше уваги.  Особливо уразливі незахищені системи зв'язку, в тому числі обчислювальні мережі. Інформація, циркулююча в них, може бути незаконно змінена, викрадена або знищена. Останнім часом в засобах масової інформації з’явилася безліч сенсаційних повідомлень про факти злочинних впливів на апаратуру обробки, зберігання і передачі інформації, що нанесли великого матеріального збитку.

      Розкриття комп'ютерних злочинів істотно утрудняється їх специфічністю і тим, що їх здійснюють, як правило, люди з незаплямованою репутацією, добре підготовлені в сфері інформаційних технологій.

       Bo всіх аспектах проблеми захисту інформації основним елементом є аналіз загроз, яких зазнає система (Рис. 1). У літературі запропоновані різні визначення загроз в залежності від їх специфіки, середи вияву, результату їх впливу. Під загрозами ми будемо розуміти цілеспрямовані дії, які підвищують уразливість інформації в автоматизованій системі,  приводять до її випадкової або навмисної зміни або знищення.

       Випадкові загрози включають в себе помилки, пропуски тощо, а також події, що не залежать від людини, наприклад природні явища (повінь, землетрус) або викликаними діяльністю людини (пожежа, війна). Заходи захисту від них - в основному, організаційні.

         K помилкам апаратних і програмних засобів відносяться пошкодження комп'ютерів і периферійних пристроїв (магнітних носіїв тощо), помилки в прикладних програмах. До помилок через неувагу, досить часто виникаючих під час технологічного циклу обробки, передачі або зберігання даних, відносяться помилки користувача, оператора або програміста, втручання під час виконання програм, пошкодження носіїв інформації і інші. Навмисні загрози можуть реалізувати як внутрішні для системи учасники процесу обробки даних (персонал організації тощо), так і особи,  так звані  "хакери".

        По частоті вияву навмисні загрози можна визначити в наступному порядку:

 

·       копіювання і крадіжка програмного забезпечення;

·       несанкціоноване введення даних;

·       зміна або знищення даних на магнітних носіях;

·       саботаж;

·       крадіжка інформації;

·       несанкціоноване використання ресурсів комп'ютерів;

·       несанкціоноване використання банківських автоматизованих систем;

·       несанкціонований доступ до інформації високого рівня секретності.

 

      Навмисні загрози приводять до безпосереднього розкриття або зміни даних. Шкідливі програми інколи неправильно ототожнюють з комп'ютерними вірусами, тоді як віруси - лише одні з численних видів шкідливих програм. Особа, яка здійснює несанкціоновану дію з метою підвищення уразливості інформації, ми будемо називати зловмисником. Дії зловмисника можна розділити на чотири основні категорії:

1. Переривання - припинення нормальної обробки інформації, наприклад, внаслідок руйнування обчислювальних засобів. Зазначимо, що переривання може мати серйозні наслідки навіть в тому випадку, коли сама інформація ніяких впливів не зазнає.

2. Крадіжка, розкриття - читання або копіювання інформації з метою отримання даних, які можуть бути використані або зловмисником, або третьою стороною.

3. Модифікація інформації.

4. Руйнування - безповоротна зміна інформації, наприклад стирання даних з диска.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1 - крадіжка магнітних носіїв

2 - крадіжка вихідних даних

3 - помилки користувача

4 - несанкціонований доступ

5 - помилки в роботі ЕОМ

6 - зловмисне використання лінії зв`язку

7 - помилки в використанні локальної мережі

 

Рис.1. Типові уразливі місця автоматизованої системи обробки даних

      Зазначимо, що існує ще ряд зловмисних дій, пов’язаних з отриманням вигоди в кредитно-банківських комп'ютерних системах, і заснованих на спотворенні електронного документа, підробці електронного підпису або відмові від неї. Розглянемо основні засоби несанкціонованого отримання інформації, сформульовані за зарубіжними даними: 

 

·       застосування підслуховуючих пристроїв (закладень);

·       дистанційного фотографування;

·       перехоплення електронних випромінювань;

·       примусовому електромагнітному опроміненню (підсвічуванню) ліній зв'язку з метою здійснення містифікації (маскування під запити системи);

·       перехоплення акустичних випромінювань і відновлення тексту принтера;

·       розкрадання носіїв інформації і виробничих відходів;

·       прочитання даних з масивів інших користувачів;

·       читання залишкової інформації з пам'яті системи після виконання санкціонованих запитів;

·       копіювання носіїв інформації з подоланням заходів захисту;

·       маскування під зареєстрованого користувача;

·       використання програмних пасток;

·       незаконному підключені до апаратури та ліній зв'язку.

 

       У загальній системі забезпечення безпеки банку  захист інформації грає істотну роль. У літературі виділяють наступні засоби захисту:

 

·       фізичні (перешкоди);

·       законодавчі;

·       управління доступом;

·       криптографічне шифрування.

 

     Фізичні засоби захисту засновані на створенні фізичних перешкод для зловмисника, які перегороджують йому шлях до інформації (сувора система пропуску на територію і в приміщення з апаратурою або з носіями інформації). Ці засоби дають захист тільки від  "зовнішніх" зловмисників і не захищають інформацію від тих осіб, які володіють правом входу в приміщення. До законодавчих засобів захисту відносяться законодавчі акти, які регламентують правила використання і обробки інформації обмеженого доступу і встановлюють заходи відповідальності за порушення цих правил.

    Під управлінням доступом розуміється захист інформації шляхом регулювання доступу до всіх ресурсів системи (технічним, програмним, елементам баз даних). У автоматизованих системах інформаційного забезпечення повинні бути регламентовані порядок роботи користувачів і персоналу, право доступу до окремих файлів в базах даних тощо.

     У комп'ютерних мережах найбільш ефективні криптографічні засоби захисту інформації. Коли фізичні засоби захисту можуть бути подолані шляхом, наприклад, дистанційного нагляду, підключення до мережі або підкупу персоналу, законодавчі не завжди стримують зловмисника, а управління доступом не гарантує від проникнення витончених хакерів, то криптографічні методи, коли вони задовольняють відповідним вимогам, характеризуються найбільшою мірою  "міцності".

     Вибір засобів захисту інформації в автоматизованій системі інформаційного забезпечення - складна задача, при розв’язанні якої потрібно враховувати імовірності різних загроз інформації, вартість реалізації різних засобів захисту і наявність різних зацікавлених сторін. Користувачам важливо знати, що сучасна наука має в своєму розпорядженні методи, що дозволяють вибрати таку сукупність засобів захисту, яка забезпечить максимізацію міри безпеки інформації при даних витратах або мінімізацію витрат при заданому рівні безпеки інформації.

 Як один із засобів захисту інформації, розглянемо управління доступом. Управління доступом - це засіб захисту інформації шляхом регулювання використання всіх ресурсів системи (технічних і програмних засобів, елементів баз даних). Воно передбачає наступні функції захисту:

 

·       ідентифікацію користувачів, персоналу і ресурсів системи. Ідентифікація включає в себе  привласнення кожному об'єкту персонального ідентифікатора (імені, коду, пароля тощо);

·       аутентифікація (встановлення автентичності) суб'єкта або об'єкта по пред'явленому      ідентифікатору;

·       авторизацію (перевірку повноважень), що полягає в перевірці співвідношення часу, ресурсів і    процедур встановленому регламенту;

·       дозвіл доступу і створення умов роботи в межах (і тільки в межах) встановленого    регламенту;

·       реєстрацію (протоколювання) звернень до ресурсів, що захищаються; 

·       реагування (затримка робіт, відмова, відключення, сигналізація) при спробах несанкціонованих дій.

 

            Самим поширеним методом встановлення автентичності є метод паролів. Він простий і дешевий в реалізації. Пароль являє собою рядок символів, який користувач повинен ввести в систему яким-небудь засобом (надрукувати, набрати на клавіатурі тощо). Якщо введений пароль відповідає встановленому, то користувач отримує доступ до інформації, захищеної цим паролем.

Паролі широко застосовується в системах захисту інформації. Такий захист характеризується простотою і дешевизною реалізації, малими витратами машинного часу і не вимагає великих об'ємів пам'яті. Однак він часто не дає достатнього ефекту. Основні причини цього такі:

 

1. Звичайно задають занадто довгі паролі. Користувач для того, щоб запам'ятати пароль,

записує його на папір, що відразу робить пароль уразливим.

 

2. Користувачі схильні до вибору тривіальних паролів, які можна підібрати після невеликого числа спроб.

 

3. Процес введення пароля в систему піддається спостереженню навіть в тому випадку, коли символи, що вводяться не відображаються на екрані.

 

4. Таблиця паролів, яка входить звичайно до складу програмного забезпечення операційної системи, може бути змінена, що нерідко і відбувається. Тому таблиця паролів повинна бути закодована, а  ключ алгоритму декодування повинен знаходитися тільки у особи, що відповідає за безпеку інформації.

 

5. У систему може бути внесений  "троянський кінь", що перехоплює паролі, що вводяться і що записує їх в  окремий файл (такі випадки відомі). Тому при роботі з новими програмними продуктами необхідна велика обережність.

 

 

Главная | Библиотека | Статьи | Форум
Ссылки | Команда | Контакты
Copyright © 2001 Crime-Research.org . Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на Crime-Research.org обязательна.