Кібернетична безпека

Размещено на http://allbest.ru

2

Курсова робота

Кібернетична безпека

ВСТУП

інформаційний мережа захист

Будь-яка інформація, що обробляється та зберігається в інформаційних системах, чогось варта при умові її достовірності та гарантованості, а тому інформація має бути надійно захищена.

В наш час комп'ютерні інформаційні технології швидко розвиваються і помітно змінюють життя людей. Інформація це товар який має свою ціну. Особливо цінна інформація потребує відповідного захисту. Адже від ступеня її захисту залежить благополуччя, а іноді навіть життя людей.

Кібернетична безпека має забезпечуватися на всіх рівнях: від державних органів, до малих підприємств та фізичних осіб.

В Україні люди все частіше використовують безготівкову форму оплати товарів та послуг, що передбачає використання банківських рахунків та фінансових транзакцій. Більшість дрібних аферистів не використовують високотехнологічні способи обману, а розраховують на інформаційну та фінансову безграмотність пересічних громадян. Тож для комфортного і благополучного життя нам слід знати основи захисту інформації та мати уявлення про принципи роботи банківської системи. Не тільки технологічні, а й юридичні.

На рівні бізнесу дотримання інформаційної безпеки є складнішим у порівнянні з фізичними особами, в залежності від сфери діяльності та величини обігу, потребує фінансових затрат: наймання спеціалістів, придбання дорогого програмного забезпечення, профілактичній роботі з персоналом, тощо.

На державному рівні від кібернетичної безпеки залежить національна безпека. Державні органи мають дотримуватись захищеності державної та військової таємниці.

Природно, в такій ситуації виникає потреба в захисті інформації від несанкціонованого доступу, знищення, модифікації та інших злочинних і небажаних дій. В усіх аспектах проблеми захисту інформації, основним елементом є аналіз загроз, яким піддається система.

У зв'язку з існуванням великої кількості технологічних засобів забезпечення кібернетичної безпеки і відповідними складними технічними деталями, я напишу лише основні поняття захисту інформації, без вдавання в технологічні деталі.

РОЗДІЛ 1

1.1 Інформаційна безпека

Інформаційна безпека (захист інформації) -- це стан захищеності систем обробки і зберігання даних, при якому забезпечено конфіденційність, доступність і цілісність інформації, або комплекс заходів, спрямованих на забезпечення захищеності інформації від несанкціонованого доступу, використання, оприлюднення, руйнування, внесення змін, ознайомлення, перевірки, запису чи знищення.

Інформаційна безпека держави характеризується ступенем захищеності і, отже, стійкістю основних сфер життєдіяльності (економіки, науки, техносфери, сфери управління, військової справи, суспільної свідомості і т. д.) по відношенню до небезпечних (дестабілізуючих, деструктивних, суперечних інтересам країни тощо), інформаційним впливам, причому як до впровадження, так і до вилучення інформації.

Поняття інформаційної безпеки не обмежується безпекою технічних інформаційних систем чи безпекою інформації у чисельному чи електронному вигляді, а стосується усіх аспектів захисту даних чи інформації незалежно від форми, у якій вони перебувають^[6].

Поняття інформаційних технологій (ІТ) включає в себе широкий обсяг дисциплін і сфер діяльності і стосується технічних засобів обробки і передачі даних (чи інформації).

В англійській мові поняття безпеки ІТ має два значення. Поняття функціональної безпеки (англ.. Safety) означає, що система коректно і у повному обсязі реалізує ті і лише ті цілі, що відповідають намірам її власника, тобто функціонує відповідно до існуючих вимог. Поняття власне інформаційної безпеки (англ.. Security) стосується безпечності процесу технічної обробки інформації і є властивістю функціонально безпечної системи. Така система повинна унеможливлювати несанкціонований доступ до даних та запобігати їхній втраті у разі виникнення збоїв.

Говорячи про інформаційну безпеку, часто мають на увазі інформаційну безпеку в найзагальнішому сенсі, як комплекс заходів, покликаний зменшити число ймовірних шкідливих сценаріїв чи розмір збитків, яких може зазнати підприємство у разі розголошення конфіденційної інформації. З цієї точки зору інформаційна безпека -- це економічний параметр, який повинен враховуватися у роботі підприємства, а інформацію (або дані) можна розглядати як певний товар або цінність, що підлягає захисту, а відтак вона має бути доступною лише для авторизованих користувачів чи програм.

Інформаційні системи можна розділити на три частини: програмне забезпечення, апаратне забезпечення та комунікації з метою цільового застосування (як механізму захисту і попередження) стандартів інформаційної безпеки. Самі механізми захисту реалізуються на трьох рівнях або шарах: фізичному, особистісному та організаційному. По суті, реалізація політик і процедур безпеки покликана надавати інформацію адміністраторам, користувачам і операторам про те як правильно використовувати готові рішення для підтримки безпеки.

Інформаційна безпека держави -- стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.

Інформаційна безпека організації -- цілеспрямована діяльність її органів та посадових осіб з використанням дозволених сил і засобів по досягненню стану захищеності інформаційного середовища організації, що забезпечує її нормальне функціонування і динамічний розвиток.

Інформаційна безпеки особистості характеризується як стан захищеності особистості, різноманітних соціальних груп та об'єднань людей від впливів, здатних проти їхньої волі та бажання змінювати психічні стани і психологічні характеристики людини, модифікувати її поведінку та обмежувати свободу вибору.

Для характеристики основних властивостей інформації як об'єкта захисту часто використовується модель CIA[7]:

· Конфіденційність (англ.. Confidentiality) -- властивість інформації, яка полягає в тому, що інформація не може бути отримана неавторизованим користувачем.

· Цілісність (англ.. Integrity) -- означає неможливість модифікації неавторизованим користувачем.

· Доступність (англ.. Availability) -- властивість інформації бути отриманою авторизованим користувачем, за наявності у нього відповідних повноважень, в необхідний для нього час.

Додатково також використовують такі властивості:

· Апелювання (англ.. Non-repudiation) -- можливість довести, що автором є саме заявлена людина (юридична особа), і ніхто інший.

· Підзвітність (англ.. Accountability) -- властивість інформаційної системи, що дозволяє фіксувати діяльність користувачів, використання ними пасивних об`єктів та однозначно встановлювати авторів певних дій в системі.

· Достовірність (англ.. Reliability) - властивість інформації, яка визначає ступінь об'єктивного, точного відображення подій, фактів, що мали місце.

· Автентичність (англ.. Authenticity) -- властивість, яка гарантує, що суб'єкт або ресурс ідентичні заявленим.

Принципи забезпечення інформаційної безпеки включать в себе: законність, баланс інтересів особи, суспільства і держави; комплексність; системність; інтеграція з міжнародними системами безпеки; економічна ефективність^[6].

Згідно з українським законодавством, вирішення проблеми інформаційної безпеки держави має здійснюватися шляхом:

· створення повнофункціональної інформаційної інфраструктури держави та забезпечення захисту її критичних елементів;

· підвищення рівня координації діяльності державних органів щодо виявлення, оцінки і прогнозування загроз інформаційній безпеці, запобігання таким загрозам та забезпечення ліквідації їхніх наслідків, здійснення міжнародного співробітництва з цих питань;

· вдосконалення нормативно-правової бази щодо забезпечення інформаційної безпеки, зокрема захисту інформаційних ресурсів, протидії комп'ютерній злочинності, захисту персональних даних, а також правоохоронної діяльності в інформаційній сфері;

· розгортання та розвитку Національної системи конфіденційного зв'язку як сучасної захищеної транспортної основи, здатної інтегрувати територіально розподілені інформаційні системи, в яких обробляється конфіденційна інформація. В Україні забезпечення ІБ здійснюється шляхом захисту інформації -- у випадку, коли необхідність захисту інформації визначена законодавством в галузі ЗІ. Для реалізації захисту інформації створюється Комплексна система захисту інформації (КСЗІ).

Або, у випадку, коли суб'єкт ІБ має наміри розробити і реалізувати політику ІБ і може реалізовувати їх без порушення вимог законодавства:

· міжнародними стандартами ISO: ISO/IEC 17799:2005, ISO/IEC 27001:2013 та ін. -- для підтримки рішень на основі ITIL та COBIT і виконання вимог англ.. Sarbanes-Oxley Act (акту Сербайнза-Оклі про відповідальність акціонерів за обізнаність про стан своїх активів). Тоді на підприємстві створюється Система управління інформаційною безпекою (СУІБ), яка повинна відповідати усім вимогам міжнародних стандартів в галузі ІБ.

· власними розробками.

1.2 Основні поняття безпеки інформаційних технологій

Загроза безпеці інформації (англ.. Security threat) -- загрози викрадення, зміни або знищення інформації.

У найзагальнішому випадку загрози проявляються такими шляхами:

· внаслідок дій зловмисників, спостереження за джерелами інформації;

· підслухування конфіденційних розмов людей і сигналів акустичних працюючих механізмів;

· перехоплення електричних, магнітних і електромагнітних полів, сигналів електричних і випромінювання радіоактивного;

· несанкціонованого розповсюдження матеріально-речовинних носіїв за межі контрольованої зони;

· розголошення інформації людьми, що володіють інформацією секретною або конфіденційною;

· втрати носіїв з інформацією (документів, носіїв машинних, зразків матеріалів і т. ін.);

· несанкціонованого розповсюдження інформації через поля і електричні сигнали, що випадково виникають в електричних і радіоелектронних приладах в результаті їхнього старіння, неякісного конструювання (виготовлення) та порушень правил експлуатації, впливу стихійних сил, насамперед, вогню під час пожежі і води в ході гасіння пожежі та витоку води в аварійних трубах водопостачання;

· збоїв в роботі апаратури збирання, оброблення, зберігання і передавання інформації, викликаних її несправністю, а також ненавмисних помилок користувачів або обслуговуючого персоналу;

· впливу потужних електромагнітних і електричних промислових і природних завад.

Загроза інформаційній безпеці (англ.. Information security treat) -- сукупність умов і факторів, що створюють небезпеку життєво важливим інтересам особистості, суспільства і держави в інформаційній сфері. Основні загрози інформаційній безпеці можна розділити на три групи:

· загрози впливу неякісної інформації (недостовірної, фальшивої, дезінформації) на особистість, суспільство, державу;

· загрози несанкціонованого і неправомірного впливу сторонніх осіб на інформацію і інформаційні ресурси (на виробництво інформації, інформаційні ресурси, на системи їхнього формування і використання);

· загрози інформаційним правам і свободам особистості (праву на виробництво, розповсюдження, пошук, одержання, передавання і використання інформації; праву на інтелектуальну власність на інформацію і речову власність на документовану інформацію; праву на особисту таємницю; праву на захист честі і достоїнства і т. Ін.).

Під загрозою безпеки розуміють потенційні дії або події, які можуть прямо чи опосередковано принести втрати - привести до розладу, спотворення чи несанкціонованого використання ресурсів мережі, включаючи інформацію, що зберігається, передається або обробляється, а також програмні і апаратні засоби.

Не існує єдиної загальноприйнятої класифікації загроз, хоча існує багато її варіантів. Приведемо перелік тем подібних класифікацій:

· по цілі реалізації;

· по принципу дії на систему;

· по характеру впливу на систему;

· по причині появи помилки захисту;

· по способу дії атаки на об'єкт;

· по об'єкту атаки;

· по використовуваних засобах атаки;

· по стану об'єкту атаки.

Загрози прийнято ділити на випадкові (або ненавмисні) і навмисні. Джерелом перших можуть бути помилки в забезпеченні, виходи з ладу апаратних засобів, неправильні дії користувачів або адміністрації локальної обчислювальної мережі і, так далі. Навмисні загрози, на відміну від випадкових, прагнуть нанести шкоду користувачам (абонентам) локальної обчислювальної мережі і, в свою чергу, діляться на активні і пасивні. Пасивні загрози, як правило, спрямовані на несанкціоноване використання інформаційних ресурсів локальної обчислювальної мережі, не впливаючи при цьому на її функціонування. Нормальне загрозою є, наприклад, спроба отримання інформації, що циркулює в каналах передачі даної локальної обчислювальної мережі, шляхом підслуховування. Активні загрози прагнуть порушити нормальне функціонування локальної обчислювальної мережі шляхом цілеспрямованого впливу на її апаратні, програмні і інформаційні ресурси. До активних загроз відносяться, наприклад, порушення або радіоелектронне заглушення ліній зв'язку локальної обчислювальної мережі, вивід з ладу ЕОМ або її операційної системи, спотворення відомостей в користувацьких базах даних або системної інформації локальної обчислювальної мережі і т.д. Джерелами активних загроз можуть бути безпосередні дії зловмисників, програмні віруси і, так далі.

За даними ІТ-гіганта Cisco (світовий лідер з розробки мережевого обладнання), країни СНД (включаючи Україну) знаходяться на першому місці у світі за кількістю заражених шкідливими програмами комп'ютерів та іншого обладнання. Радник з інформаційної безпеки одної київської ІТ-компанії Геннадій Гулак каже, що основною причиною цього є піратство - наші люди ще не звикли платити за ліцензійні програми - в дев'ятьох з десяти випадків взломані програми містять в собі шкідливий код. Піратство в Україні прогресує настільки, що велике число людей для захисту використовують взломаний антивірус. Також немалу роль грає недостатня компетентність користувачів, які не розуміють, що не слід відкривати дивні посилання, отримані в повідомленнях мессенжерів, відвідувати підозрілі сайти, особливо ті, в яких йдеться про різні безкоштовні товари та послуги.

Результати роботи шкідливих програм бувають різні: від некоректної роботи обладнання (ПК, мобільного телефону, планшету, серверу, тощо) до зникнення персональних даних і крадіжки грошей з рахунків.

Універсальна порада - встановити легальний антивірус від одного з іменитих виробників, тим паче, що навіть безкоштовні версії можуть забезпечити непоганий захист (додаток 2).

Після установки антивірусу варто одразу увімкнути повну автоматичну перевірку обладнання.

Перед тим, як перейти по незнайомому посиланню, варто вважити на репутацію сайту.

Час від часу варто обновлювати установлені програми на обладнанні.

Мал.1. Поняття і методи забезпечення інформаційної безпеки

1.3 Законодавчі вимоги і регулювання інформаційної безпеки

В 1985 році Національним центром комп'ютерної безпеки Міністерства оборони США опублікована, так звана «Оранжева книга» («Критерії оцінки достовірності обчислювальних систем Міністерства оборони»). В ній були приведені основні положення, по яких американське відомство оборони визначало ступінь захищеності інформаційно-обчислювальних систем. В ній у систематизованому вигляді наводились основні поняття, рекомендації і класифікація по видах загроз безпеці інформаційних систем і методи захисту від них. В подальшому книга перетворилась в збірку науково-обгрунтованих норм і правил, що описують системний підхід для забезпечення безпеки інформаційних систем і їх елементів, і стала настільною книгою для спеціалістів в галузі захисту інформації. Запропонована в «Оранжевій книзі» методологія по суті стала загальноприйнятою і в тій чи іншій мірі увійшла в національні стандарти.

Системний підхід згідно з «Оранжевою книгою» вимагає:

- прийняття принципових рішень в галузі безпеки на основі поточного стану інформаційної системи;

- прогнозування можливих загроз і аналізу пов'язаного з ними ризику для інформаційної системи;

- планування заходів по запобіганню виникнення критичних ситуацій;

- планування заходів по виходу з критичних ситуацій на випадок, коли вони виникнуть.

Одне з основних понять, введених в «Оранжевій книзі», це політика безпеки. Політика безпеки - це сукупність норм, правил і методик, на основі яких в подальшому будується діяльність інформаційної системи в галузі обробки, зберігання і розподілення критичної інформації. При цьому під інформаційною системою розуміється не тільки процес-програмний комплекс, але і обслуговуючий персонал.

Система забезпечення інформаційної безпеки України створюється і розвивається відповідно до Конституції України та інших нормативно-правових актів, що регулюють суспільні відносини в інформаційній сфері. Основу даної системи складають органи, сили та засоби забезпечення інформаційної безпеки, які вживають систему адміністративно-правових, інформаційно-аналітичних, організаційно-управлінських, та інших заходів, спрямованих на забезпечення стійкого функціонування системи державного управління.

Основними принципами забезпечення інформаційної безпеки України є:

· пріоритет прав людини;

· верховенство права;

· пріоритет договірних (мирних) засобів у вирішенні інформаційних конфліктів;

· адекватність заходів захисту національних інтересів України в інформаційній сфері реальним та потенційним загрозам;

· громадський контроль за діяльністю органів державної влади, що входять до системи забезпечення інформаційної безпеки України;

· додержання балансу інтересів особи, суспільства, держави, їх взаємна відповідальність;

· чітке розмежування повноважень та функцій органів державної влади в системі забезпечення інформаційної безпеки України.

Національний банк України визначив галузевий стандарт методів захисту інформаційних технологій щодо системи управління інформаційною безпекою ISO/IEC 27001:2005, MOD. MOD означає що він модифікований і станом на 2010 рік називається ГСТУ СУІБ 1.0/ISO/IEC 27001:2010.

Національний банк України визначив галузевий стандарт методів захисту інформаційних технологій “ Звід правил для управління інформаційною безпекою ” ISO/IEC 27002:2005, MOD. MOD означає що він модифікований і станом на 2010 рік називається ГСТУ СУІБ 2.0/ISO/IEC 27002:2010.

РОЗДІЛ 2

2.1 Інформаційна безпека в мережах

З розвитком безготівкових платежів, потрібна інформація в мережі Інтернет стала методом обману зі сторони шахраїв, не тільки держави або бізнесу, але і фізичних осіб. Ніякий захист не може гарантувати повну конфіденційність, але навіть дотримання простих правил уже спричиняє великі труднощі для більшості зловмисників.

На державному рівні безпека в мережах має дотримуватись найбільш сильно, бо потенційні суперники державної безпеки - професіонали, більшість яких працює на певну іншу державу. Не обов'язково сусідню і не обов'язково явного агресора, шпигуни є й у союзників. При роботі з державною таємницею надійніше не користуватись мережею взагалі, але це буває неможливо. При пересиланні даних застосовуються складні криптографічні алгоритми.

Велика увага має приділятись держслужбовцям. Витікання інформації через рядових робітників може відбуватися навіть не зі злого наміру, а просто через необережність. Тож з ними час від часу бажано проводити профілактичну роботу, робити консультації, давати правила. Одне з правил, наприклад, полягає в тому, що не можна у службових цілях користуватись мережами, сервери яких знаходяться не в Україні і не підконтрольні державному впливу. Це все одно, що попросити незнайому людину передати комусь цінну інформацію зі словами “ передай, але не використовуй у своїх цілях ”.

На рівні бізнесу потенційні вороги - конкуренти та “продвинуті” хакери. В останнє сторіччя з'явилося багато галузей виробництва, які майже на 100% складаються з однієї інформації, наприклад дизайн, створення програмного забезпечення, реклама та ін. Яскраво демонструє підвищення ролі інформації у виробничих процесах поява такого заняття, як промислове шпигунство.

Задля безпеки бізнесу в мережах, частіше всього користуються послугами спеціалістів з безпеки. Якщо дані коштують великих грошей, можна найняти розробників, які створять спеціальне автентичне ПЗ, яке буде захищене від передбачених загроз. Для успішного захисту цінних даних необхідно знати весь перелік загроз безпеки. Тип загроз і їх кількість залежать від виду діяльності підприємства, але якщо розробник має повний список загроз, то він зможе вибрати необхідні і застосувати потрібні для їх усунення відповідні засоби захисту. (див. додаток 1).

Міжнародний союз електрозв'язку (ITU) - організація, яка працює під егідою ООН - недавно звернувся до регулюючих органів країн світу із застереженням щодо небезпеки хакерських атак на мобільні телефони. При цьому йдеться не лише про смартфони з доступом до Інтернету, які зазвичай зазнають атак через віруси, але й про старі телефони.

Хакери, як зауважують в ITU, можуть легко зламати код безпеки сім-карт, що використовують старий стандарт шифрування сигналу DES. Це дає зловмисникам можливість взяти номер телефону абонента під повний контроль: здійснювати дзвінки, прослуховувати розмови, відсилати від імені власника номера текстові повідомлення, застерігає німецький фахівець з питань безпеки телекомунікацій Карстен Нолль. Саме він з командою однодумців першим дослідив проблему вразливості стандарту DES і звернув на неї увагу фахівців ООН.

Стандарт шифрування даних DES був розроблений у США ще у 70-их роках минулого століття. Шифрування відбувається за допомогою 56-бітного алгоритму, який, як довів Карстен Нолль, дуже вразливий до хакерських атак. Останніми роками виробники сім-карт перейшли до використання стандарту 3DES, який використовує втричі довший алгоритм на 168 біт. Такі картки значно більш надійні за умови, що використовується унікальний код.

Втім, в деяких випадках Нолль з колегами під час тестів натрапили на 168-бітні коди, в яких просто тричі поспіль повторювався 56-бітний код. Таким чином, стандарт 3DES не завжди автоматично додає користувачам безпеки, застерігають німецькі фахівці.

Атаки хакерів на сім-карти особливо підступні. Адже якщо віруси можна легко розпізнати за допомогою антивірусних програм, то злам шифру сім-карти відбувається абсолютно непомітно і можливий навіть без доступу в інтернет. Для цього хакеру потрібно лише знати номер телефону "жертви". На нього висилається смс-повідомлення, яке, втім, для користувача залишається непомітним.

Якщо в телефоні стоїть картка, зашифрована старим стандартом DES, жодних проблем зламати її немає, наголошує Карстен Нолль. "Сім-карта відкриває хакерам такий самий доступ до чужого телефону, як і вірус. Але злам за допомогою вірусу значно легше помітити", - цитує слова Ноля видання Die Zeit.

Аби отримати доступ до чужої сім-карти, Карстен Нолль видає себе за сервер оператора телефонного зв'язку, якому належить карта. Річ у тім, пояснив фахівець у розмові з журналістами Die Zeit, що телефон постійно обмінюється даними із "материнським" сервером.

Якщо надіслати на номер повідомлення з невірним шифром, то картки нового формату на нього не зреагують. Але картки старого формату надсилають у відповідь повідомлення про помилковість шифру. Саме за допомогою цих вихідних повідомлень хакер може доволі легко зламати шифр, наголошує Нолль.

Без доступу телефону до інтернету, найгірше, що може статися, це те, що хтось може дзвонити за ваш рахунок. Гірше, якщо в телефоні збережені паролі доступу до електронної пошти чи від електронного банкінгу, або навіть дані кредитної картки для покупок в інтернет-магазинах. Тоді збитки від хакерської атаки можуть бути значно більшими.

2.2 Класифікація і різновиди шкідливих програм

Шкідливе програмне забезпечення - це програма, створена з метою нанести шкоду обладнанню, а отже і його власнику. Запис таких програм називається зараженням комп'ютеру.

Найпоширеніші причини створення шкідливого ПЗ, це жарти, бажання самоствердження, викрадання особистої інформації, здирництво грошей, помста та розповсюдження спаму через заражені пристрої^[5].

Червяк. Робить копії самого себе у різноманітних директоріях. Гальмує роботу обладнання. Наприклад, програми запускаються після довгої паузи, повільно відкриваються нові вікна.

На рівні бізнесу, спеціально розроблений різновид цього вірусу може використовуватися задля суттєвого сповільнення виробничого процесу, іншими словами - для саботажу виробництва.

Троян. Маскуються під програми або файли операційної системи. Створені для того щоб після запуску поцупити дані, паролі, змінити або видалити певні файли.

Експлойт (від англ.- exploit - експлуатувати). Програма яка використовує недоліки операційної системи і дозволяє зловмисникам отримати права доступу адміністратору. Цей термін використовується і для вірусів, які беруть під своє управління мережні сервери, та використовують їх у своїх цілях.

Маніпулятори (Rootkit). Забезпечують дистанційне управління обладнанням, яке після цього може брати участь у DDoS-атаках.

Блокувальники. Блокують вхід в операційну систему, вимагаючи від користувача перерахувати гроші для розблокування. Платити не потрібно, зловмисники скоріш за все не розблокують. Щоб зняти блок, у більшості випадків достатньо підключити заражений диск до іншого пристрою, захищеного антивірусом, і здійснити повну перевірку і лікування диску.

Є різновид блокувальників, які блокують модем, і не дають вийти у мережу. В ідеалі, модем варто понести в сервісний центр. Але є чутки, що можна використати апаратну функцію переходу до стандартних заводських установок (Закоротити гніздо з написом Reset на корпусі модему).

Рекламні програми. Показують реклами, зміст якої залежить від запитів користувача. Користувачу варто приділити увагу, якщо він використовував у переписці певні слова, а потім на ту тему у браузері зявляється реклама. Наприклад, користувач писав про те, що в нього народилась дитина, а на наступний день приходить спам з рекламою підгузок та іграшок. Така ситуація свідчить про те, що переписка не є конфіденційною і певна програма аналізує текст переписки за ключовими словами. Це значить, що є ризик, що за бажанням, замість програми переписку може почитати третя особа.

Farming. Маніпуляція host-файлом на браузер. Він відправляє користувача на фальшивий сайт. В такий спосіб зловмисники збільшують відвідуваність потрібних для них сторінок, відслідковують введення персональних реквізитів або зафіксують послідовність введених символів з клавіатури.

Це відбувається наступним чином:

Користувач відвідує заражений шкідливим скриптовірусом веб-сервер або активує поштове повідомлення, що містить ту ж заразу. Потім вірус поселяється в обладнанні користувача. Його активація відбувається в момент, коли користувач заходить на сайт (набирає URL-адресу), який міститься в його пам`яті (а це будуть найбільш поширені інтернет-банкінги, обмінники, платіжні ресурси - тобто місця віртуального світу, де користувачі залишають свої секретні ідентифікаційні дані, пов`язані з грошовими операціями. Суть активації вірусу полягає в тому, що користувача, шляхом заміни на серверах DNS цифрових адрес легітимних інтернет-ресурсів, якими він захотів скористатися, перенаправляють на заздалегідь створені фіктивні їх клони. Сторінка, куди потрапляє користувач, буде максимально наближеною копією до оригіналу, де він, не підозрюючи про підміну, залишить свої персональні дані, якими й заволодіють зловмисники.

Ознаки зараження шкідливим ПЗ:

· блокування доступу до сайтів розробників антивірусів;

· поява нових програм в автозапуску;

· робота невідомих нових процесів;

· самовільне відкриття вікон, зображень, відео, звуків;

· самовільне вимкнення або перезавантаження комп'ютера (за відсутності проблем в електропостачанні);

· зниження продуктивності роботи обладнання;

· несподіване відкриття лоту дисководу;

· зникнення або зміна файлів та папок;

· поява нових файлів, частіше в їх назві нема ніякого сенсу;

· зниження швидкості завантаження з мережі Інтернет;

· зайві відправлені або прийняті пакети даних через мережу (складно проконтролювати, але можливо при уважності);

· активна робота жорстких дисків за відсутності задач, заданих користувачем;

2.3 Методи захисту інформації

У фінансових установах є два підходи до захисту інформації:

Автономний - направлений на захист конкретної дільниці або частини інформаційної системи, яка як правило є найбільш вразливою або може бути джерелом зловживань.

Комплексний - захищає інформаційну систему в цілому, всі її складові частини, приміщення, персонал тощо.

Важливим елементом попередження комп'ютерних злочинів у фінансовій діяльності стає застосування сучасних технічних засобів захисту інформації (під захистом розуміється обмеження доступу чи використання всієї або частини комп'ютерної системи). У Положенні про технічний захист інформації в Україні зазначено: технічний захист інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки спрямовано на запобігання порушенню цілісності інформації з обмеженим доступом та її просочення шляхом:

· несанкціонованого доступу;

· приймання й аналізу побічних електромагнітних випромінювань і наводок;

· використання закладних пристроїв;

· впровадження комп'ютерних вірусів та іншого впливу.

Технічний захист інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки, призначених для формування, пересилання, приймання, перетворення, відображення та зберігання інформації, забезпечується комплексом конструкторських, організаційних, програмних і технічних заходів на всіх етапах їх створення й експлуатації.

Основними методами та засобами технічного захисту інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки є:

· використання захищеного обладнання;

· регламентування роботи користувачів, технічного персоналу, програмних засобів, елементів баз даних і носіїв інформації з обмеженим доступом (розмежування доступу);

· регламентування архітектури автоматизованих систем і засобів обчислювальної техніки;

· інженерно-технічне оснащення споруд і комунікацій, призначених для експлуатації автоматизованих систем і засобів обчислювальної техніки;

· пошук, виявлення і блокування закладних пристроїв.

До основних засобів захисту інформації можна віднести такі: фізичні засоби, апаратні засоби, програмні засоби, апаратно-програмні засоби, криптографічні та організаційні методи.

Фізичні засоби захисту - це засоби, необхідні для зовнішнього захисту засобів обчислювальної техніки, території та об'єктів на базі ПК, які спеціально призначені для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів інформаційних систем та інформації, що захищаються.

Найпростіший і надійний спосіб захисту інформації від загроз несанкціонованого доступу - режим автономного використання ПК одним користувачем у спеціально виділеному приміщенні при відсутності сторонніх осіб. У робочий час, коли ПК працює, можливий витік інформації каналами побічного електромагнітного випромінювання.

Спектр сучасних фізичних засобів захисту дуже широкий. До цієї групи засобів захисту належать також різні засоби екранування робочих приміщень та каналів передачі даних.

Апаратні засоби захисту - це різні електронні, електронно-механічні та інші пристрої, які вмонтовуються в серійні блоки електронних систем обробки і передачі даних для внутрішнього захисту засобів обчислювальної техніки: терміналів, пристроїв введення та виведення даних, процесорів, ліній зв 'язку тощо.

Основні функції апаратних засобів захисту:

· заборона несанкціонованого (неавторизованого) зовнішнього доступу віддаленого користувача;

· заборона несанкціонованого (неавторизованого) внутрішнього доступу до баз даних в результаті випадкових чи умисних дій персоналу;

· захист цілісності програмного забезпечення.

Ці функції реалізуються шляхом:

· ідентифікації суб'єктів (користувачів, обслуговуючого персоналу) і об'єктів (ресурсів) системи;

· аутентифікації суб'єкта за наданим ним ідентифікатором;

· перевірки повноважень, яка полягає в перевірці дозволу на певні види робіт;

· реєстрації (протоколювання) при звертаннях до заборонених ресурсів;

· реєстрації спроб несанкціонованого доступу.

Реалізація цих функцій здійснюється за допомогою застосування різних технічних пристроїв спеціального призначення. До них, зокрема, належать:

· джерела безперебійного живлення апаратури, а також: пристрої стабілізації, що оберігають від стрибкоподібних перепадів напруги і пікових навантажень у мережі електроживлення;

· пристрої екранування апаратури, ліній зв'язку та приміщень, в яких знаходиться комп'ютерна техніка;

· пристрої ідентифікації і фіксації терміналів і користувачів при спробах несанкціонованого доступу до комп'ютерної мережі;

· засоби захисту портів комп'ютерної техніки тощо.

Програмні засоби захисту необхідні для виконання логічних і інтелектуальних функцій захисту, які вмонтовані до складу програмного забезпечення системи.

З допомогою програмних засобів захисту реалізуються наступні задачі безпеки:

· контроль завантаження та входу в систему за допомогою системи паролів;

· розмежування і контроль прав доступу до системних ресурсів, терміналів, зовнішніх ресурсів, постійних та тимчасових наборів даних тощо;

· захист файлів від вірусів;

· автоматичний контроль за роботою користувачів шляхом протоколювання їх дій.

Апаратно-програмні засоби захисту - це засоби, які основані на синтезі програмних та апаратних засобів.

Ці засоби широко використовуються при автентифікації користувачів автоматизованих банківських систем. Автентифікація - це ідентифікація користувача в системі з допомогою його імені або псевдоніма, що приймає участь в реєстраційній процедурі та пароля доступу, що відомий лише користувачу. Пароль - це код (набір символів), що забезпечує доступ до систем, файлів, апаратних засобів, тощо. Апаратно-програмні засоби захисту використовуються також при накладанні електронно-цифрових підписів відповідальних користувачів. Найпоширенішим в автоматизованих банківських системах є використання смарт-карт, які містять паролі та ключі користувачів.

Організаційні заходи захисту засобів комп'ютерної інформації складають сукупність заходів щодо підбору, перевірки та навчання персоналу, який бере участь у всіх стадіях інформаційного процесу.

Досвід зарубіжних країн свідчить про те, що найефективнішим захистом інформаційних систем є введення до штату організації посади фахівця з комп'ютерної безпеки або створення спеціальних служб, як приватних, так і централізованих, виходячи з конкретної ситуації. Наявність такого відділу (служби) в банківській структурі, за оцінками зарубіжних фахівців, удвічі знижує ймовірність вчинення злочинів у сфері використання комп'ютерних технологій.

Згідно законодавства України, у державних установах та організаціях можуть створюватись підрозділи, служби, які організують роботу, пов'язану із захистом інформації, підтримкою рівня захисту інформації в автоматизованих системах і несуть відповідальність за ефективність захисту інформації. Зазначимо, що ця норма за характером не є обов'язковою, а рекомендованою. З її змісту в поєднанні з іншими нормами Закону "Про захист інформації в автоматизованих системах" витікає, що захист інформації в автоматизованих системах є обов'язковою функцією, проте необов'язково під цю функцію може створюватися окрема функціональна організаційна структура. Ця функція може бути складовою іншої організаційної структури, тобто здійснюватися у поєднанні з іншими функціями.

Однак в банківських установах створення спеціальних структур для захисту інформації, фінансової безпеки є обов'язковим. В них мають бути створені спеціальні відділи комп'ютерної безпеки в рамках діючих служб економічної безпеки та фізичного захисту, діяльністю яких має керувати один із спеціально призначених для цих цілей заступник начальника служби безпеки, який має у своєму розпорядженні відповідні ресурси для вирішення поставлених завдань.

До функціональних обов'язків таких осіб (структурних підрозділів) має входити здійснення, передусім, таких організаційних заходів:

· забезпечення підтримки з боку керівництва конкретної організації вимог захисту засобів комп'ютерної техніки;

· розробка комплексного плану захисту інформації;

· визначення пріоритетних напрямів захисту інформації з урахуванням специфіки діяльності організації;

· складання загального кошторису витрат фінансування охоронних заходів відповідно до розробленого плану та затвердження його як додатку до плану керівництвом організації;

· визначення відповідальності співробітників організації за безпеку інформації в межах встановленої компетенції шляхом укладення відповідних договорів між співробітником та адміністрацією;

· розробка, впровадження і контроль за виконанням різного роду інструкцій, правил та наказів, які регламентують форми допуску, рівні секретності інформації, конкретних осіб, допущених до роботи з секретними (конфіденційними) даними тощо;

· розробка ефективних заходів боротьби з порушниками захисту засобів комп'ютерної техніки.

Надійним засобом підвищення ефективності заходів інформаційної безпеки є навчання та інструктаж працюючого персоналу щодо організаційно-технічних заходів захисту, які застосовуються в конкретній організації. Крім цього, обов'язково мають бути реалізовані наступні організаційні заходи:

· для всіх осіб, що мають право доступу до засобів комп'ютерної техніки, потрібно визначити категорії допуску, тобто коло службових інтересів конкретної особи, види інформації, до яких вона має право доступу, а також: вид такого дозволу, правомочність особи, яка уповноважується для здійснення тих або інших маніпуляцій з засобами комп'ютерної техніки;

· слід визначити адміністративну відповідальність за збереження і санкціонування доступу до інформаційних ресурсів. При цьому, за кожний вид ресурсів відповідальність повинна нести одна конкретна особа;

· налагодити періодичний системний контроль за якістю захисту інформації шляхом проведення регламентних робіт як особою, відповідальною за безпеку, так і залученням компетентних фахівців (експертів) з інших організацій;

· провести класифікацію інформації відповідно до Ті важливості, диференціювати на основі цього заходи захисту; визначити порядок охорони та знищення інформації;

· організувати фізичний захист засобів комп'ютерної техніки. Криптографічні методи захисту. З метою захисту інформації при її передачі зазвичай використовують різні методи шифрування даних перед їх введенням до каналу зв'язку або на фізичний носій з наступною розшифровкою. Методи шифрування дозволяють досить надійно захищати комп'ютерну інформацію від злочинних посягань.

Застосування криптографічного захисту, тобто кодування тексту з допомогою складних математичних алгоритмів, завойовує все більшу популярність. Звичайно, жоден з шифрувальних алгоритмів не дає цілковитої гарантії захисту від зловмисників, але деякі методи шифрування настільки складні, що ознайомитися зі змістом зашифрованих повідомлень практично неможливо.

Потужним та дієвим є застосування для захисту інформації систем, що дозволяють шифрувати та дешифрувати інформаційні потоки. Традиційна криптографія виходила з того, що для шифрування та дешифрування використовувався один і той же секретний ключ, який мав мати відправник і отримувач повідомлення. Одним з поширених, сьогодні, методів шифрування є алгоритм RSA, в основі якого кожен учасник процесу має власний таємний ключ та відкритий ключ, що не є секретним з допомогою якого проводиться обмін повідомленнями. Електронний цифровий підпис (ЕЦП) - це аналог власного підпису посадової особи в електронному вигляді.

Криптографічні методи захисту інформації широко використовуються в автоматизованих банківських системах і реалізуються у вигляді апаратних, програмних чи програмно-апаратних методів захисту. Використовуючи шифрування повідомлень в поєднанні з правильною установкою комунікаційних засобів, належними процедурами ідентифікації користувача, можна добитися високого рівня захисту інформаційного обміну.

Криптографія є одним з найкращих засобів забезпечення конфіденційності і контролю цілісності інформації. Вона займає центральне місце серед програмно-технічних регулювальників безпеки, є основою реалізації багатьох з них і, в той же час, останнім захисним рубежем.

РОЗДІЛ 3

3.1 Історія розвитку поняття цінності інформації

Враховуючи вплив на трансформацію ідей інформаційної безпеки, в розвитку засобів інформаційних комунікацій можна виділити декілька етапів:

Перший етап -- до 1816 року -- характеризується використанням природно виникаючих засобів інформаційних комунікацій. В цей період основне завдання інформаційної безпеки полягало в захисті відомостей про події, факти, майно, місцезнаходження і інші дані, що мають для людини особисто або співтовариства, до якого вона належала, життєве значення.

Другий етап -- починаючи з 1816 року -- пов'язаний з початком використання штучно створюваних технічних засобів електро- і радіозв'язку. Для забезпечення прихованості і перешкодостійкості радіозв'язку необхідно було використовувати досвід першого періоду інформаційної безпеки на вищому технологічному рівні, а саме застосування перешкодостійкого кодування повідомлення (сигналу) з подальшим декодуванням прийнятого повідомлення (сигналу).

Третій етап -- починаючи з 1935 року -- пов'язаний з появою засобів радіолокації і гідроакустики. Основним способом забезпечення інформаційної безпеки в цей період було поєднання організаційних і технічних заходів, направлених на підвищення захищеності засобів радіолокації від дії на їхні приймальні пристрої активними маскуючими і пасивними імітуючими радіоелектронними перешкодами.

Яскравим прикладом цього етапу виступає фільм “ Гра в імітацію ” - про Алана Тюринга, машину “ Енігма ”, кодування, декодування. В цьому фільмі добре передано розвиток поняття важливості інформаційної безпеки, передано, що від декількох рядків тексту може залежати життя декількох сотень людей.

Четвертий етап -- починаючи з 1946 року -- пов'язаний з винаходом і впровадженням в практичну діяльність електронно-обчислювальних машин (комп'ютерів). Завдання інформаційної безпеки вирішувалися, в основному, методами і способами обмеження фізичного доступу до устаткування засобів добування, переробки і передачі інформації.

Пятий етап -- починаючи з 1965 року -- обумовлений створенням і розвитком локальних інформаційно-комунікаційних мереж. Завдання інформаційної безпеки також вирішувалися, в основному, методами і способами фізичного захисту засобів добування, переробки і передачі інформації, об'єднаних в локальну мережу шляхом адміністрування і управління доступом до мережевих ресурсів.

Шостий етап -- починаючи з 1973 року -- пов'язаний з використанням високомобільних комунікаційних пристроїв з широким спектром завдань. Загрози інформаційній безпеці стали набагато серйознішими. Для забезпечення інформаційної безпеки в комп'ютерних системах з безпровідними мережами передачі даних потрібно було розробити нові критерії безпеки. Утворилися співтовариства людей -- хакерів, що ставлять собі за мету нанесення збитку інформаційній безпеці окремих користувачів, організацій і цілих країн. Інформаційний ресурс став найважливішим ресурсом держави, а забезпечення його безпеки -- найважливішою і обов'язковою складовою національної безпеки. Формується інформаційне право -- нова галузь міжнародної правової системи.

Сьомий етап -- починаючи з 1985 року -- пов'язаний із створенням і розвитком глобальних інформаційно-комунікаційних мереж з використанням космічних засобів забезпечення. Можна припустити що черговий етап розвитку інформаційної безпеки, очевидно, буде пов'язаний з широким використанням високомобільних комунікаційних пристроїв з широким спектром завдань і глобальним охопленням у просторі та часі, забезпечуваним космічними інформаційно-комунікаційними системами. Для вирішення завдань інформаційної безпеки на цьому етапі необхідним є створення макросистеми інформаційної безпеки людства під егідою ведучих міжнародних форумів.

Восьмий етап - починаючи з 2000 року - пов'язаний з глобальним впровадженням нанотехнологій у всіх галузях економіки, розвитком технологій мультиагентних систем та штучного інтелекту, масовим підключенням до глобальної мережі усіх заселених частин світу. У зв'язку зі значним підвищенням складності радіо- і телекомунікацій на всіх рівнях, стало значно складніше дотримуватись інформаційної безпеки, знаходити діри в безпеці, слідкувати за тенденціями і особливостями розвитку інформаційних технологій.

3.2 Приклади і методи шахрайства

3.2.1 Афери з картками^[4]

Використання вкраденої картки та ПІН-коду, розголошеного її власником (в тому числі випадки, коли ПІН-код зберігається поряд з картою або записується на ній).

«Дружнє шахрайство». Використання картки шляхом вільного доступу членами сім`ї, близькими друзями, колегами по роботі. Також може бути розголошений ПІН-код.

Підглядання ПІН-коду з-за плеча, а потім викрадання карти - найпростіший, але поширений метод.

«Ліванська петля» (трапінг). Спеціальним пристроєм блокується вікно подачі карти так, щоб вона застрягла в банкоматі. Зловмисник попередньо підглядає ПІН-код, або підказує жертві, що треба його ввести, а потім співчуває і рекомендує терміново йти і дзвонити в банк або сервісну службу. Тільки-но власник відходить, злочинець витягує картку, звільняє вікно банкомату і знімає гроші.

Фальшиві банкомати. Спосіб, який нечасто використовується і вимагає технічного обладнання. Шахраї виготовляють фальшиві банкомати, які виглядають як справжні, або переробляють старі і розміщують їх у людних місцях. Такий банкомат приймає картку, вимагає введення ПІН-коду, після чого видає повідомлення про неможливість видачі грошей (нібито через їх відсутність у банкоматі або технічну помилку) і повертає карту. У банкоматі відбувається копіювання даних з картки та ПІН-коду, що дозволяє шахраям потім виготовити дублікат і зняти з його допомогою гроші з рахунку клієнта.

Копіювання магнітної смуги (Skimming (від анлг. skim - знімати, прочитувати)) за допомогою підставних пристроїв зчитування. Такі пристрої встановлюють на банкомат (зчитувач - на картоприймач, додатковою клавіатурою накривають справжню). При користуванні таким банкоматом зчитувач зберігає дані з карток, які вставляються в банкомат, а клавіатура - ПІН-коди. Як і в попередньому випадку, вкрадених даних достатньо для виробництва дубліката картки і зняття грошей з рахунку власника. Власне той же трапінг можна віднести до різновиду скіммінгу. Але суттєвою різницею стає те, що в першому випадку шахрай повинен особисто бути присутнім на місці скоєння своєї акції, щоб очима відстежити або підручними засобами зняти результат від щойно набраного PIN-коду. Скіммінг ж в чистому вигляді не вимагає безпосереднього знаходження шахрая біля банкомату і своїх жертв. Він, як той браконьєр, розставляє свої карткові капкани з тим, щоб через час провести обхід своїх пасток і перевірити, чи попалася якась туди дичина.

Шиммінг (shimming) - це використання пристрою, що зчитує дані, який повністю занурюється в щілину картоприймача. Саме пристосування, щоб поміститися в отворі і не заважати при цьому зануренню туди ж карти, дуже мініатюрне (менше 0,1 мм), від того високотехнологічне, дорого коштує і відповідно менш поширене, ніж класичні скімери. Але якщо вже шахраї ним скористалися, то протиставити йому що-небудь на рівні користувача вкрай складно.

Підроблений ПІН-ПАД (пристрій для вводу ПІН-коду в платіжних терміналах), або додатковий елемент на електронний замок в приміщення з банкоматом, який відкривається за допомогою карти.

Встановлення поруч з банкоматом мініатюрних телекамер для викрадання ПІН-кодів. Така камера може бути замаскована під встановлений поряд чи прикріплений до банкомату або стіні поруч із ним предмет (наприклад рекламу).

Крадіжка пін-коду за допомогою банкомату: з використанням високочутливої інфрачервоної камери. Зловмисник, який стоїть у черзі, робить знімок клавіатури, на якій попередній користувач набирав ПІН-код. Клавіші, до яких торкалися, трохи тепліші, причому остання натиснута клавіша тепліша від передостанньої і т.д. Причому успішність цього методу залежить від типу клавіатури (металеві клавіатури мають більшу теплопровідність, і температура їх клавіш швидко вирівнюється) і від того, чи не набирав клієнт ще якісь комбінації, наприклад, суму. Для уникнення зняття ПІН-коду за тепловим відбитком достатньо після роботи з клавіатурою на короткий час покласти на неї долоню.

Соціальна інженерія: коли шахраї намагаються, щоб особа сама повідомила потрібні дані. Це відбувається різними способами: надсилання на електронну пошту листів ніби від банку, провайдеру, або іншої компанії з проханням або вимогою надати певну інформацію або перейти по певному посиланню. Наприклад: лист в якому банк ніби вимагає задля верифікації повідомити номер свого рахунку, CVV2 код, написання прізвища та імені клієнта латиною, та термін дії картки. Також, з тою ж метою можуть здійснюватися телефонні дзвінки та SMS-повідомлення.

Шаттер (shut - англ. закривати) шахраї можуть здійснювати блокування не тільки карти в картоприймачі банкомату, а й самих грошей. Для цього на шаттер (проріз, через яку відбувається видача грошей) буде наклеєно сторонній пристрій, блокуючий видачу купюр банкоматом власнику картки. Відбувається це за рахунок розміщення липкої стрічки на внутрішній частині пристрою, до якої і пристають купюри. Відповідно, даний чужорідний елемент не дасть банкомату забрати гроші назад (банкомати оснащені функцією втягування назад незатребуваних купюр по закінченні певного часу). У результаті ні користувач, ні банкомат не зможуть забрати гроші. Їх власником стане господар пристосування - шахрай, що з`явиться трохи загодя і зніме накладку з уловом.

Захват SIM-карти . Використовуючи послугу мобільних операторів по відновленню втраченої «сімки», шахраї дзвонять жертві з трьох різних номерів, а потім в офісі оператора називають ці три номери, отримуючи SIM-карту з номером жертви, а потім, знаючи телефонний номер і номер банківської карти, знімають гроші з банкоматів, користуючись послугою «Екстрені гроші» . Але даний трюк застосовується тільки для клієнтів ПриватБанку.