Угрозы информации
Угроза - это потенциальная возможность определенным образом нарушить информационную безопасность. Попытка реализации угрозы называется атакой. Тот, кто предпринимает попытку реализации угрозы называется злоумышленником. Потенциальные злоумышленники называются источниками угрозы. Чаще всего угроза является следствием наличия уязвимых мест в защите информационных систем. Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности, ассоциированным с данным уязвимым местом. Пока существует окно опасности, возможны успешные атаки на информационные системы.
Если речь идет об ошибках в программном обеспечении, то окно опасности "открывается" с появлением средств использования ошибки и ликвидируется при наложении заплат, ее исправляющих. Для большинства уязвимых мест окно опасности существует сравнительно долго, поскольку за это время должны произойти следующие события:
<![if !supportLists]>· <![endif]>должно стать известно о средствах использования пробела в защите;
<![if !supportLists]>· <![endif]>должны быть выпущены соответствующие заплаты;
<![if !supportLists]>· <![endif]>заплаты должны быть установлены в защищаемой информационной системе.
Совершенно понятно, что новые уязвимые места и средства их использования появляются постоянно. А это означает, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат - как можно более оперативно. При этом некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных технологий, например, угроза отключения электричества.
Но, определяя угрозы нашей информации, следует отдавать себе отчет в том, что само понятие "угроза" в разных ситуациях может трактоваться по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать - вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в системе информационной безопасности, зависят от интересов конкретных организаций и от того, какой ущерб является для них неприемлемым. Но не будем брать крайние случаи, а попытаемся взглянуть на угрозы с точки зрения средней коммерческой организации. Угрозы можно классифицировать по нескольким критериям:
<![if !supportLists]>· <![endif]>по аспекту информационной безопасности, против которого угрозы направлены в первую очередь;
<![if !supportLists]>· <![endif]>по компонентам информационных систем, на которые угрозы нацелены;
<![if !supportLists]>· <![endif]>по способу осуществления;
<![if !supportLists]>· <![endif]>по расположению источника угроз (внутренние и внешние).
Самыми частыми являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы.
Иногда такие ошибки и являются собственно угрозами, иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники. По некоторым данным, до 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль. Другие угрозы доступности их всего три:
<![if !supportLists]>· <![endif]>отказ пользователей;
<![if !supportLists]>· <![endif]>внутренний отказ информационной системы;
<![if !supportLists]>· <![endif]>отказ поддерживающей инфраструктуры.
Обычно применительно к пользователям рассматриваются следующие угрозы:
<![if !supportLists]>· <![endif]>нежелание работать с информационной системой;
<![if !supportLists]>· <![endif]>невозможность работать с системой в силу отсутствия соответствующей подготовки;
<![if !supportLists]>· <![endif]>невозможность работать с системой в силу отсутствия технической поддержки.
Основными источниками внутренних отказов являются: отступление (случайное или умышленное) от установленных правил эксплуатации; выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала; ошибки при изменении конфигурации системы; отказы программного и аппаратного обеспечения; разрушение данных; разрушение или повреждение аппаратуры. По отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие угрозы:
<![if !supportLists]>· <![endif]>нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
<![if !supportLists]>· <![endif]>разрушение или повреждение помещений;
<![if !supportLists]>· <![endif]>невозможность или нежелание обслуживающего персонала (или пользователей) выполнять свои обязанности.
Крайне опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как правило, они стремятся нанести вред организации-"обидчику", например:
<![if !supportLists]>· <![endif]>испортить оборудование;
<![if !supportLists]>· <![endif]>встроить логическую бомбу, которая со временем разрушит программы и/или данные;
<![if !supportLists]>· <![endif]>удалить данные.
Обиженные сотрудники, даже бывшие, знакомы с порядками в организации и способны нанести немалый ущерб. Необходимо следить за тем, чтобы при увольнении сотрудника его права доступа (логического и физического) к информационным ресурсам аннулировались. Одним из опаснейших способов проведения атак является внедрение в атакуемые системы вредоносного программного обеспечения. Можно выделить следующие грани вредоносного ПО:
<![if !supportLists]>· <![endif]>вредоносная функция;
<![if !supportLists]>· <![endif]>способ распространения;
<![if !supportLists]>· <![endif]>внешнее представление.
Часть, осуществляющую разрушительную функцию, будем называть "бомбой". Вообще говоря, спектр вредоносных функций неограничен, поскольку "бомба", как и любая другая программа, может обладать сколь угодно сложной логикой, но обычно "бомбы" предназначаются для:
<![if !supportLists]>· <![endif]>внедрения другого вредоносного ПО;
<![if !supportLists]>· <![endif]>получения контроля над атакуемой системой;
<![if !supportLists]>· <![endif]>агрессивного потребления ресурсов;
<![if !supportLists]>· <![endif]>изменения или разрушения программ и/или данных.
По механизму распространения различают: вирусы - код, обладающий способностью к распространению (возможно, с изменениями) путем внедрения в другие программы; "черви" - код, способный самостоятельно, то есть без внедрения в другие программы, вызывать распространение своих копий по ИС и их выполнение. На втором месте по размерам ущерба стоят кражи и подлоги. В большинстве случаев виновниками оказывались штатные сотрудники организаций, отлично знакомые с режимом работы и мерами защиты. Это еще раз подтверждает опасность внутренних угроз, хотя говорят и пишут о них значительно меньше, чем о внешних. С целью нарушения статической целостности злоумышленник может:
<![if !supportLists]>· <![endif]>ввести неверные данные;
<![if !supportLists]>· <![endif]>изменить данные.
Иногда изменяются содержательные данные, иногда - служебная информация. Заголовки электронного письма могут быть подделаны; письмо в целом может быть фальсифицировано лицом, знающим пароль отправителя. Последнее возможно даже тогда, когда целостность контролируется криптографическими средствами. Здесь имеет место взаимодействие разных аспектов информационной безопасности: если нарушена конфиденциальность, может пострадать целостность.
Еще один урок: угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства. Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.
Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер. Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем. Если для доступа к таким системам используются многоразовые пароли или иная конфиденциальная информация, то наверняка эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе, а то и попросту теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности парольной схемы. Невозможно помнить много разных паролей; рекомендации по их регулярной смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым паролям.
Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании ИС, но и, что очень важно, при всех изменениях. Весьма опасной угрозой являются... выставки, на которые многие организации, недолго думая, отправляют оборудование из производственной сети, со всеми хранящимися на них данными. Остаются прежними пароли, при удаленном доступе они продолжают передаваться в открытом виде. Это плохо даже в пределах защищенной сети организации; в объединенной сети выставки - это слишком суровое испытание честности всех участников.
Еще один пример изменения, о котором часто забывают, - хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах и получить доступ к ним могут многие.
Перехват данных - очень серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например на кабельную сеть, может кто угодно, так что эту угрозу нужно принимать во внимание по отношению не только к внешним, но и к внутренним коммуникациям.
Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных. Часто ноутбуки оставляют без присмотра на работе или в автомобиле, иногда просто теряют.
Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как маскарад - выполнение действий под видом лица, обладающего полномочиями для доступа к данным. К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями. На многих типах систем привилегированный пользователь способен прочитать любой файл, получить доступ к почте любого пользователя и т.д. Другой пример - нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.