2018-02-13
2627Лекція 1: Поняття інформаційної безпеки. Основні складові. Важливість проблеми
Поняття інформаційної безпеки
2. Основні складові інформаційної безпеки
3. Важливість і складність проблеми інформаційної безпеки
Під інформаційною безпекою (ІБ) слід розуміти захист інтересів суб'єктів інформаційних відносин. Нижче описані основні її складові - конфіденційність, цілісність, доступність. Наводиться статистика порушень ІБ, описуються найбільш характерні випадки.
Поняття інформаційної безпеки
Словосполучення "інформаційна безпека" в різних контекстах може мати різний зміст. У доктринах інформаційної безпеки більшості держав термін "інформаційна безпека" використовується в широкому сенсі. Мається на увазі стан захищеності національних інтересів в інформаційній сфері, визначених сукупністю збалансованих інтересів особистості, суспільства і держави.
Найчастіше інформаційна безпека визначається як стан захищеності інформаційного середовища суспільства, що забезпечує її формування, використання і розвиток в інтересах громадян, організацій, держави.
|
|
|
У даному курсі наша увага буде зосереджена на зберіганні, обробці та передачі інформації незалежно від того, якою мовою (українською або якому-небудь іншому) вона закодована, хто або що є її джерелом і який психологічний вплив вона справляє на людей. Тому термін "інформаційна безпека" використовуватиметься у вузькому сенсі, так, як це прийнято, наприклад, в англомовній літературі.
Під інформаційною безпекою ми будемо розуміти захищеність інформації і підтримуючої інфраструктури від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятний збиток суб'єктам інформаційних відносин, у тому числі власникам і користувачам інформації і підтримуючої інфраструктури. (Трохи далі ми пояснимо, що слід розуміти під підтримуючої інфраструктурою.)
Захист інформації - це комплекс заходів, спрямованих на забезпечення інформаційної безпеки.
Таким чином, правильний з методологічної точки зору підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин та інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем (ІС). Загрози інформаційній безпеці - це зворотний бік використання інформаційних технологій.
З цього положення можна вивести два важливих наслідки:
1. Трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно різнитися. Для ілюстрації досить зіставити режимні державні організації та навчальні інститути. У першому випадку "хай краще все зламається, ніж ворог дізнається хоч один секретний біт", у другому - "так немає у нас жодних секретів, аби все працювало".
|
|
|
2. Інформаційна безпека не зводиться виключно до захисту від несанкціонованого доступу до інформації, це принципово ширше поняття. Суб’єкт інформаційних відносин може постраждати (зазнати збитки та/або отримати моральну шкоду) не тільки від несанкціонованого доступу, а й від поломки системи, що викликала перерву в роботі. Більше того, для багатьох відкритих організацій (наприклад, навчальних) власне захист від несанкціонованого доступу до інформації стоїть за важливістю аж ніяк не на першому місці.
Повертаючись до питань термінології, відзначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) представляється занадто вузьким. Комп’ютери - лише одна зі складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, яка зберігається, обробляється і передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових і, в першу чергу,найслабшою ланкою, яким у переважній більшості випадків виявляється людина (записав, наприклад, свій пароль на "гірчичник", приліпленим до монітора).
Згідно визначення інформаційної безпеки, вона залежить не тільки від комп'ютерів, але і від підтримуючої інфраструктури, до якої можна віднести системи електро-, водо-і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою приписаних їй функцій.
Звернемо увагу, що у визначенні ІБ перед іменником "шкода" стоїть прикметник "неприйнятний". Очевидно, застрахуватися від всіх видів збитку неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів і заходів не перевищує розмір очікуваного збитку. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимим збитком є нанесення шкоди здоров'ю людей або стану навколишнього середовища, але частіше поріг неприйнятність має матеріальне (грошове) вираження, а метою захисту інформації стає зменшення розмірів збитку до допустимих значень.
2. Основні складові інформаційної безпеки
Інформаційна безпека - багатогранна, можна навіть сказати, багатовимірна область діяльності, в якій успіх може принести тільки систематичний, комплексний підхід.
Спектр інтересів суб'єктів, пов'язаних з використанням інформаційних систем, можна розділити на наступні категорії: забезпечення доступності, цілісності і конфіденційності інформаційних ресурсів і підтримуючої інфраструктури.
Іноді в число основних складових ІБ включають захист від несанкціонованого копіювання інформації, але, на наш погляд, це дуже специфічний аспект з сумнівними шансами на успіх, тому ми не станемо його виділяти.
Пояснимо поняття доступності, цілісності і конфіденційності.
Доступність - це можливість за прийнятний час одержати необхідну інформаційну послугу.
Під цілісністю мається на увазі актуальність і несуперечність інформації, її захищеність від руйнування і несанкціонованого зміни.
Конфіденційність - це захист від несанкціонованого доступу до інформації.
Доступність. Інформаційні системи створюються (купуються) для отримання певних інформаційних послуг. Якщо з тих чи інших причин надати ці послуги користувачам стає неможливо, це, очевидно, завдає шкоди всім суб'єктам інформаційних відносин. Тому, не протиставляючи доступність іншим аспектам, ми виділяємо її як найважливіший елемент інформаційної безпеки.
|
|
|
Особливо яскраво провідна роль доступності виявляється в різного роду системах управління - виробництвом, транспортом і т.п. Зовні менш драматичні, але також досить неприємні наслідки - і матеріальні, і моральні - може мати тривала недоступність інформаційних послуг, якими користується велика кількість людей (продаж залізничних та авіаквитків, банківські послуги тощо).
Цілісність. Цілісність можна підрозділити на статичну (що розуміється як незмінність інформаційних об'єктів) та динамічну (що відноситься до коректного виконання складних дій (транзакцій)).Засоби контролю динамічної цілісності застосовуються, зокрема, при аналізі потоку фінансових повідомлень з метою виявлення крадіжки, переупорядкування або дублювання окремих повідомлень.
Цілісність виявляється найважливішим аспектом ІБ в тих випадках, коли інформація служить "керівництвом до дії". Рецептура ліків, запропоновані медичні процедури, набір і характеристики комплектуючих виробів, хід технологічного процесу - все це приклади інформації, порушення цілісності якої може опинитися в буквальному сенсі смертельним. Неприємно і спотворення офіційної інформації, будь то текст закону або сторінка Web-сервера будь-якої урядової організації.
Конфіденційність - самий опрацьований у нас в країні аспект інформаційної безпеки. На жаль, практична реалізація заходів щодо забезпечення конфіденційності сучасних інформаційних систем натрапляє в Україну на серйозні труднощі. По-перше, відомості про технічні каналах витоку інформації є закритими, так що більшість користувачів позбавлене можливості скласти уявлення про потенційні ризики. По-друге, на шляху користувальницької криптографії як основного засобу забезпечення конфіденційності стоять численні законодавчі перепони і технічні проблеми.
Якщо повернутися до аналізу інтересів різних категорій суб'єктів інформаційних відносин, то майже для всіх, хто реально використовує ІС, на першому місці стоїть доступність. Практично не поступається їй за важливості цілісність - який сенс в інформаційній послузі, якщо вона містить спотворені відомості?
|
|
|
Нарешті, конфіденційні моменти є також у багатьох організацій (навіть у згадуваних вище учбових інститутах намагаються не розголошувати відомості про зарплату працівників) та окремих користувачів (наприклад, паролі).
Важливість і складність проблеми інформаційної безпеки
Інформаційна безпека є одним з найважливіших аспектів інтегральної безпеки, на якому б рівні ми не розглядали останню - глобальному, національному, галузевому, корпоративному або персональному.
Для ілюстрації цього положення обмежимося декількома прикладами.
· За розпорядженням президента США (від 15 липня 1996 року, номер 13 010) була створена Комісія з захисту критично важливої інфраструктури як від фізичних нападів, так і від атак, зроблених за допомогою інформаційної зброї. На початку жовтня 1997 року при підготовці доповіді президентові глава вищезгаданої комісії Роберт Марш заявив, що в даний час ні уряд, ні приватний сектор не мають у своєму розпорядженні засобами захисту від комп'ютерних атак, здатних вивести з ладу комунікаційні мережі та мережі енергопостачання.
· Американський ракетний крейсер "Йорктаун" був змушений повернутися в порт через численних проблем з програмним забезпеченням, що функціонували на платформі Windows NT 4.0 (Government Computer News, липень 1998).Таким виявився побічний ефект програми ВМФ США за максимально широкого використання комерційного програмного забезпечення з метою зниження вартості військової техніки.
· Як повідомив журнал Internet Week від 23 березня 2011 року, втрати найбільших компаній, викликані комп'ютерними вторгненнями, продовжують збільшуватися, незважаючи на зростання витрат на засоби забезпечення безпеки. Згідно з результатами спільного дослідження Інституту інформаційної безпеки та ФБР, в 2011 році збиток від комп'ютерних злочинів досяг 2136 мільйонів доларів, що на 36% більше, ніж у 2008 році. Кожен комп'ютерний злочин завдає збитки приблизно в 200 тисяч доларів.
· У середині липня 2006 корпорація General Motors відкликала 292860 автомобілів марки Pontiac, Oldsmobile і Buick, оскільки помилка у програмному забезпеченні двигуна могла призвести до пожежі.
· У лютому 2011 року двоє колишніх співробітників компанії Commerce One, скориставшись паролем адміністратора, видалили з сервера файли, що складали крупний (на декілька мільйонів доларів) проект для іноземного замовника. На щастя, була резервна копія проекту, так що реальні втрати обмежилися витратами на слідство та засоби захисту від подібних інцидентів у майбутньому. У серпні 2012 року злочинці постали перед судом.
· Одна студентка втратила стипендію в 18 тисяч доларів в Мічиганському університеті через те, що її сусідка по кімнаті скористалася їх загальним системним входом і відправила від імені своєї жертви електронний лист з відмовою від стипендії.
При аналізі проблематики, пов'язаної з інформаційною безпекою, необхідно враховувати специфіку даного аспекту безпеки, яка полягає в тому, що інформаційна безпека є складова частина інформаційних технологій - області, що розвивається безпрецедентно високими темпами. Тут важливі не стільки окремі рішення (закони, навчальні курси, програмно-технічні вироби), що знаходяться на сучасному рівні, скільки механізми генерації нових рішень, що дозволяють жити в темпі технічного прогресу.
На жаль, сучасна технологія програмування не дозволяє створювати безпомилкові програми, що не сприяє швидкому розвитку засобів забезпечення ІБ. Слід виходити з того, що необхідно конструювати надійні системи (інформаційної безпеки) з залученням ненадійних компонентів (програм).У принципі, це можливо, але вимагає дотримання певних архітектурних принципів і контролю стану захищеності на всьому протязі життєвого циклу ІС.
Наведемо ще кілька цифр. У березні 2009 року був опублікований черговий, четвертий за рахунком, річний звіт "Комп'ютерна злочинність і безпека-2009: проблеми та тенденції" (Issues and Trends: 1999 CSI / FBI Computer Crime and Security Survey).У звіті відзначається різке зростання числа звернень в правоохоронні органи з приводу комп'ютерних злочинів (32% з числа опитаних); 30% респондентів повідомили про те, що їх інформаційні системи були зламані зовнішніми зловмисниками; атакам через Internet піддавалися 57% опитаних;в 55% випадках відмічалися порушення з боку власних співробітників. Примітно, що 33% респондентів на запитання "чи були зламані ваші Web-сервери і системи електронної комерції за останні 12 місяців?" відповіли "не знаю".
В аналогічному звіті, опублікованому в квітні 2014 року, цифри змінилися, але тенденція залишилася колишньою: 90% респондентів (переважно з великих компаній і урядових структур) повідомили, що за останні 12 місяців в їхніх організаціях мали місце порушення інформаційної безпеки;80% констатували фінансові втрати від цих порушень; 44% (223 респонденти) змогли та / або захотіли оцінити втрати кількісно, загальна сума склала більше 455 млн. доларів. Найбільшого збитку завдали крадіжки та підробки (більше 170 і 115 млн. доларів відповідно).
Настільки ж тривожні результати містяться в огляді InformationWeek, опублікованому 12 липня 2014 року. Лише 22% респондентів заявили про відсутність порушень інформаційної безпеки. Разом з розповсюдженням вірусів відзначається різке зростання числа зовнішніх атак.
Збільшення кількості атак - ще не найбільша неприємність. Гірше те, що постійно виявляються нові вразливі місця в програмному забезпеченні (вище ми вказували на обмеженість сучасної технології програмування) і, як наслідок, з'являються нові види атак.
Так, в інформаційному листі Національного центру захисту інфраструктури США (National Infrastructure Protection Center, NIPC) від 21 липня 2013 року повідомляє, що за період з 3 по 16 липня 2013 виявлено дев'ять проблем з ПЗ, ризик використання яких оцінюється як середній або високий (загальне число виявлених вразливих місць дорівнює 17).Серед "постраждалих" операційних платформ - майже всі різновиди ОС Unix, Windows, MacOS, так що ніхто не може почувати себе спокійно, оскільки нові помилки тут же починають активно використовуватися зловмисниками.
ВИСНОВКИ
Системи інформаційної безпеки повинні вміти протистояти різноманітним атакам, як зовнішнім, так і внутрішнім, атакам автоматизованим і скоординованим. Іноді напад триває долі секунди, а часом промацування вразливих місць ведеться поволі і розтягується на години, так що підозріла активність практично непомітна. Метою зловмисників може бути порушення всіх складових ІБ - доступності, цілісності та конфіденційності.
