Поняття та класифікація загроз безпеки інформації

Сучасна література поняття «інформаційна загроза» роз­глядає як потенційну можливість певним чином порушити ін­формаційну безпеку, чи як ступінь ймовірності виникнення такого явища (події), наслідком якого можуть бути небажані впливи на інформацію, тоді як намагання реалізувати загрозу розглядається як атака, а той, хто вчиняє таку спробу, як зло­вмисник. Потенційні зловмисники називаються джерелами за­грози. Успішність атаки може призводити до втрати інформацією однієї зі своїх головних особливостей – конфіденційності, ці­лісності чи доступу до неї.

Зазвичай загроза є наслідком_наявності уразливих місць у захисті інформаційних систем (таких, наприклад, як можливість доступу сторонніх осіб до критично важливого устатку­вання або помилки у програмному забезпеченні). Загроза інформації, що циркулює в інформаційній системі, залежать від її структури та конфігурації, технології обробки інформації в ній та стану навколишнього фізичного середовища, а також дій персоналу?

Варто підкреслити, що деякі загрози не варто вважати нас­лідком якихось помилок, прорахунків чи злого умислу, адже вони існують внаслідок самої природи інформаційних систем (загроза відключення електрики чи зміни її параметрів за до­пустимі межі існує в силу залежності апаратного забезпечення інформаційної системи від якісного електроживлення). Почасту виникають завдання шкоди системам обробки даних через фізичний вплив стихійних природних явищ, що не залежать від людини.

Зважаючи на це, розглянемо найпоширеніші загрози, яки­ми уразливі сучасні інформаційні системи, що уможливить вибір найбільш економічних засобів забезпечення безпеки. Ад­же необізнаність у цій справі може призвести до перевитрат коштів і, що ще гірше, до зосередження ресурсів там, де вони, по суті, й непотрібні, за рахунок послаблення насправді враз­ливих напрямів.

Найтиповішою природною загрозою системам обробки даних, що не завжди пов’язана з діяльністю людини, як це не прикро, є пожежа. А тому особливу увагу при проектуванні й екс­плуатації інформаційних систем варто приділяти захисту від пожежі носіїв комп’ютерних даних, файлів-серверів, окремих обчислювальних машин, центрів зв’язку, архівів, та іншого устаткування і приміщень або спеціальних контейнерів, де зосереджені величезні масиви важливої інформації.

З цією метою можуть бути використані спеціальні вогне­тривкі сейфи, контейнери тощо. Зокрема, добре зарекомен­дувало себе у Західній Європі і в нас, в Україні, устаткування для захисту носіїв інформації та інформаційно-обчислюваль­них комплексів німецької фірми «ЛАМПЕРТЦ», яку, завдяки своїй специфіці, найчастіше використовують в комерційних банках, де втрата інформації може призвести до катастрофіч­них наслідків.

Інша загроза для інформаційних систем – удари блискав­ки. Названа проблема виникає не часто, але шкода може бути заподіяна надто велика, причому шкода не стільки матеріальна, пов’язана з ремонтом або заміною техніки, що вийшла з ла­ду, а також і відновленням знищеної інформації, але насампе­ред (якщо не застосовуються потрібні технічні заходи захисту від потужних електромагнітних випромінювань грозових роз­рядів) виходять з ладу окремі робочі станції або сервери мережі, і на значний час паралізується робота усього об’єкта, а всі опе­рації припиняються. Фірма і особливо банк у такій ситуації втрачає свій імідж надійного партнера і, як наслідок, – клієнтів. Такі випадки мали місце в Києві, але зважаючи на вказану щойно причину, керівництвом банку приховувалися і не потрапили до преси. Для більшості суб’єктів бізнесу втрата імені, поява недобрих чуток про внутрішні проблеми набагато непри­ємніше фінансових втрат, часом навіть і досить відчутних.

Вивчаючи зміст поняття «загроза», бачимо, що за різних умов вони трактуються порізному. Зокрема, якщо фірма є від­носно відкрита, то для неї не існує загроз конфіденційності, оскільки вся інформація є загальнодоступна, тоді як для біль­шості фірм нелегальний доступ є серйозною небезпекою. Тобто загрози, як і все в інформаційній безпеці, залежить від суб’єк­тів інформаційних відносин.

Беручи до уваги типову фірму, загрози її інформаційній безпеці можна класифікувати за такими критеріями:

— за аспектом інформаційної безпеки (доступність, ціліс­ність, конфіденційність), на що спрямовані загрози в першу чергу;

— за компонентами інформаційних систем, на які спрямо­вані загрози (дані, програми, апаратура, підтримуюча інфраст­руктура);

— за способом здійснення (випадкові/навмисні/дії природ­ного/техногенного характеру);

— за розміщенням джерела загроз (всередині/ззовні інфор­маційної системи).

Далі дещо детальніше спинимося на характеристиці пере­лічених загроз, критерієм яких є аспект інформаційної безпе­ки (доступність, цілісність, конфіденційність).

Найбільш поширеними і небезпечними загрозами доступ­ності є ненавмисні помилки постійних користувачів, операто­рів, системних адміністраторів та інших осіб, які обслуговують інформаційні системи. Саме такі помилки зазвичай і стають загрозами (неправильно введені дані чи помилка у програмі, що призвела до краху системи), адже іноді вони створюють слабкі місця, якими можуть скористатися зловмисники. Ста­тистика свідчить, що близько 65% втрат – наслідок ненавмис­них помилок. Виходячи з цього, найрадикальніший спосіб боротьби з ненавмисними помилками – максимальна автоматизація і строгий контроль.

На другому місці за розмірами збитків перебувають кра­діжки і підробки. За даними фахівців, у 2006 р. у результаті подібних протиправних діянь з використанням персональних комп’ютерів американським організаціям було заподіяно сумар­ну шкоду у розмірі 1 млрд 882 млн дол. Можна припустити, що справжній розмір шкоди набагато більший, оскільки багато фірм зі зрозумілих причин приховують такі інциденти. У біль­шості розслідуваних випадків винуватцями виявлялися штат­ні співробітники фірм, що добре обізнані з режимом роботи і заходів безпеки, через що ми ще раз переконуємося, що внут­рішні загрози набагато небезпечніші від зовнішніх.

Інші загрози доступності класифікують за компонентами інформаційних систем, на які спрямовані загрози. Отже, це:

— відмовлення користувачів;

— внутрішня відмова інформаційних систем;

— відмова підтримуючої інфраструктури.

Науковці стосовно користувачів зазвичай розглядають такі загрози:

— небажання працювати з інформаційною системою (най­частіше виявляється за потреби освоювати нові можливості і за розбіжності між запитами користувачів і фактичними можли­востями й технічними характеристиками);

неможливість працювати із системою через відсутність належної підготовки (низький рівень загальної комп’ютерної грамотності, невміння інтерпретувати діагностичні повідом­лення, невміння працювати з документацією тощо);

– неможливість працювати із системою через відсутність технічної підтримки (неповнота документації, вади довідкової інформації і тощо).

Основними джерелами внутрішніх відмовлень є:

— невиконання (випадкове або навмисне) від установлених правил експлуатації;

— вихід системи зі штатного режиму експлуатації через випадкові або навмисні дії користувачів або обслуговуючого персоналу (перевищення розрахункової кількості запитів, над­мірний обсяг оброблюваної інформації тощо);

– відмовлення програмного й апаратного забезпечення;

— опромінення технічних засобів зондуючими сигналами, в результаті чого може мати місце викривлення чи знищення інформації, а при сильному опроміненню – вихід із ладу апаратури;

— загрози використання спеціальних методів і технічних засобів (фотографування, електронні закладки, що знищують або викривлюють інформацію);

— знищення інформаційних даних;

— пошкодження або знищення апаратури.

Стосовно підтримуючої інфраструктури рекомендується розглядати такі загрози:

– порушення роботи (випадкове або навмисне) систем зв’язку, електроживлення, водо- та/або теплопостачання, кондиціонування;

– пошкодження або знищення майна приміщень;

– неможливість або небажання обслуговуючого персоналу та/або користувачів виконувати свої обов’язки (громадські заворушення, аварії на транспорті, терористичний акт або його погроза, страйк тощо).

Досить небезпечними є так звані скривджені співробітники – нинішні і колишні. Як правило, вони прагнуть завдати шко­ду фірмі-«кривдникові», приміром:

– зіпсувати устаткування;

— вмонтувати логічну бомбу, що згодом зруйнує програми та/або дані;

– знищити дані.

А тому при звільненні таких співробітників варто слідку­вати за тим, щоб їхні права доступу (логічного і фізичного) до інформаційних ресурсів були анульовані.

Багато говорять і пишуть також про хакерів, але загрозу від них зазвичай перебільшують. Справді, майже кожен Інтернет-сервер декілька разів щодня піддається спробам проникнення; дійсно, іноді такі спроби виявляються вдалими; дійсно, інколи подібні дії пов’язані зі шпигунством. Однак загалом шкода від діяльності хакерів (порівняно з іншими загрозами) видається не настільки значною. Ймовірно, більш за все лякає непередбачуваність дій людей такого типу. Уявіть собі, що в будь-який момент до вас у квартиру можуть забратися сторонні люди. На­міть якщо вони не мають злого наміру, а зайшли просто так – подивитися, приємного в цьому мало.

Багато говорять і пишуть про програмні віруси. Однак до­тримання нескладних правил комп’ютерної гігієни зводить ризик зараження практично до нуля. Там, де працюють, а не гра­ють, кількість заражених комп’ютерів складає близько частки відсотка.

Отож, такими є основні загрози, на які припадає левова частка втрат, що їх зазнають інформаційні системи.

Серйозну загрозу інформаційній безпеці становлять також злочинні дії, спрямовані на розкрадання, привласнення, під­міну, підключення, поломку (знищення), диверсію. Такі дії можуть чинитися до, чи у процесі обробки інформації, з досту­пом до елементів інформаційної системи чи без нього, активно чи пасивно (тобто зі зміною стану системи чи без такої).

Залежно від цього основні типи злочинних загроз інформа­ції можна класифікувати в так:

— до обробки інформації та без доступу зловмисника до елементів інформаційної системи (підслуховування розмов; використання оптичних, візуальних чи акустичних засобів);

— у процесі обробки інформації та без доступу зловмисни­ка до елементів інформаційної системи (електромагнітні ви­промінювання; зовнішнє електромагнітне випромінювання; підключення реєструючої апаратури);

— до обробки інформації з доступом зловмисника до еле­ментів інформаційної системи, але без зміни останніх (копію­вання магнітних чи інших носіїв, вихідних чи інших докумен­тів; крадіжка виробничих відходів);

— у процесі обробки з доступом зловмисника до елементів інформаційної системи, але без зміни останніх (копіювання ін­формації у процесі обробки; маскування під зареєстрованого користувача; використання недоліків мов програмування, програмних пасток, недоліків операційних систем і вірусів);

— до обробки інформації з доступом зловмисника до еле­ментів інформаційної системи зі зміною останніх (підміна машинних носіїв, вихідних документів, апаратури, елементів програм, елементів баз даних, розкрадання носіїв і документів; включення у програми «троянських коней», «бомб» тощо; чи­тання залишкової інформації після виконання санкціонова­них запитів);

— у процесі обробки з доступом зловмисника до елементів інформаційної системи зі зміною останніх;

— незаконне підключення до апаратури і ліній зв’язку, зняття інформації на шинах живлення.

Джерелами названих вище загроз інформації можуть бути люди, апаратно-програмні засоби та середовище, що оточує ін­формаційну систему та її компоненти, що можуть впливати на інформацію ззовні (зовнішні джерела загроз) чи перебувати в середині інформаційної системи (внутрішні джерела загроз).

Зважаючи на це, до зовнішніх джерел загроз інформації відносять:

– діяльність розвідувальних і спеціальних служб;

– діяльність політичних, військових, фінансових та інших економічних структур, що спрямована проти інтересів держа­ви й бізнесу;

– злочинні дії окремих груп, формувань та фізичних осіб.

До внутрішніх джерел загроз відносять:

— протизаконну діяльність різних структур, угруповань й окремих осіб у сфері використання інформації з метою при­ховування правопорушень, завдання збитків законним інтере­сам інших юридичних чи фізичних осіб;

— порушення встановлених правил збирання, обробки і пе­редачі інформації.