ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Страница 7
4. Установить ответственность администрации за непринятие мер безопасности, приведшее к совершению компьютерных преступлений.
Анализ субъектов информационных отношений показывает, что среди них выделяются следующие категории лиц:
• владельцы информационных систем;
• персонал информационных систем;
• собственники информации;
• источники информации;
• пользователи;
• посторонние лица.
В среде традиционной обработки информации все указанные категории можно разделить на две группы: лица, которым разрешен доступ к информации, и лица, которым такой доступ не разрешен. Правонарушения и преступления могут быть совершены:
• по неосторожности (по некомпетентности);
• по халатности;
• умышленно.
При классификации правонарушений и преступлений следует руководствоваться также: их высокой общественной опасностью, что требует классифицировать даже те действия, которые не нанесли ущерба, но создали предпосылки для его нанесения нарушение технологии обработки, нарушение норм защищенности, непринятие должных мер по организации защиты); степенью ущерба. При этом ущерб от совершенного преступления может выражаться в форме:
• упущенной выгоды;
• прямых финансовых потерь;
• морального ущерба.
Иногда задача оценки информации в стоимостном выражении крайне проблематична и часто напрямую не может быть решена, например при возникновении угроз информационным системам, обрабатывающим секретную информацию. В этом случае ответственность устанавливается по аналогии с действующими нормами уголовного права.
Анализ показывает, что в целом можно выделить следующие критерии состава злоупотреблений в сфере обработки информации:
1. Нарушение правил регистрации информационных систем и перечней обрабатываемой информации.
2. Нарушение правил сбора информации, а именно: получение информации без разрешения и сбор ее сверх разрешенного перечня.
3. Хранение персональной информации сверх установленного срока.
4. Ненадлежащее хранение информации.
5. Передача третьим лицам сведений, составляющих коммерческую тайну, или персональных сведений-
6. Несвоевременное информирование населения о событиях, явлениях и фактах, могущих причинить вред их здоровью или нанести материальный ущерб.
7. Превышение пределов компетенции учетной деятельности, допущение неполных учетных записей ифальсификации данных.
8. Предоставление заинтересованным лицам заведомо неточной информации.
9. Нарушение установленного порядка обеспечения безопасности информации.
10. Нарушение правил и технологии безопасной обработки информации.
11. Нарушение норм защищенности информации, установленных Законом.
12. Нарушение правил доступа к информации или к техническим средствам.
13. Нарушение механизма защиты информации и проникновение в систему.
14. Обход средств защиты и проникновение в систему.
15. Хищение информации с использованием:
а) технических средств,
б) доступа к носителям данных.
16. Несанкционированное уничтожение данных в информационных системах.
17. Несанкционированная модификация данных в информационных системах.
18. Искажение (модификация) программного обеспечения.
19. Перехват электромагнитных, акустических или оптических излучений.
20. Перехват информации, передаваемой по пиниям связи путем подключения к ним дистанционного (бесконтактного) съема или любыми другими известными способами.
21. Изготовление и распространение заведомо непригодного ПО.
22. Распространение компьютерных вирусов.
23. Разглашение парольно-ключевой информации.
24. Несанкционированное ознакомление (попытка) с защищаемыми данными.
25. Несанкционированное копирование (хищение).
26. Внесение в программную среду не оговоренных изменений, в том числе и вирусного характера.
Анализ уголовных дел и иной доступной информации показал, что механизм совершения преступления в целом состоит в следующем:
• преступники имели отношение к разработке программного обеспечения и эксплуатации компьютерной техники;
• использовали указанные возможности для несанкционированного дописывания в массивы «операционного дня» необходимой им информации;
• несанкционированный доступ осуществлялся в течение короткого времени (до 1 минуты) под видом законного пользователя с неизвестного терминала, имеющего телекоммуникационную связь с единой сетью ЭВМ;
• для дальнейших операций была заранее разработана и внедрена специальная программа, которая в пользу каких-либо лиц (юридических или физических, реальных и вымышленных) открыла технологические счета, имеющие первоначально нулевой остаток, в РКЦ были дополнительно внедрены для дальнейшей обработки и рассылки по нужным адресам бумажные носители - фальшивые платежные поручения с поддельными печатями РКЦ, якобы прошедшие там обработку;
• для усложнения бухгалтерского контроля под предлогом произошедшего, якобы, сбоя программы не выдавались необходимые документы: контрольные и оборотные ведомости по балансовым счетам, а также ведомость остатков в разрезе кодов валют за день перерасчета (как это реально случилось с одним крупным российским банком);
• получение со счетов наличными осуществлялось в заранее разработанном порядке и без следов.
Возможность осуществления преступных деяний в областях автоматизации производства и бухгалтерского учета заключалась прежде всего в слабой готовности противостоять мошенничеству, неумении осуществить систему разделения доступа, обновления паролей, ключевых слов и т.д.
Наиболее опасными субъектами компьютерных мошенничеств являются так называемые хакеры, крекеры и представители групп, занимающихся промышленным шпионажем. В этой связи, как рекомендуют специалисты по безопасности, особое внимание следует обращать на вновь принимаемых сотрудников-специалистов в области компьютерной техники, программирования и защиты компьютерной информации.
Известны случаи, когда отдельные хакеры в целях личного обогащения пытались устроиться на работу в информационные службы крупных коммерческих структур. Но наибольшую опасность могут представлять такие специалисты в сговоре с руководителями подразделений и служб самой коммерческой структуры или связанных с ней систем, а также с организованными преступными группами; в этих случаях причиняемый ущерб и тяжесть последствий значительно увеличиваются.
Стали использовать компьютеры в преступных целях и сами руководители коммерческих и банковских структур для нанесения финансового ущерба государству. Так, в 1994 г. президент одного из сибирских коммерческих банков дал прямое указание оператору банка о внесении изменений в программное обеспечение системы электронных платежей через РКЦ. В результате банк незаконно получил 510 млн. руб.
Необходимо также учитывать, что по мере освоения компьютерной техники усложняется и механизм ее использования в различных правонарушениях. Увеличивается число преступлений «со взломом». В общем виде используемая компьютерными преступниками методика «взлома» или несанкционированного доступа сводится к двум разновидностям:
• «Взлом изнутри» преступник имеет физический доступ к терминалу, с которого доступна интересующая его информация, и может определенное время работать на нем без постороннего контроля.
• «Взлом извне»: преступник не имеет непосредственного доступа к компьютерной системе,но имеетвозможность проникнуть (обычно посредством удаленного доступа через сети) в защищенную систему для внедрения специальных программ, проведения манипуляций с обрабатываемой или хранящейся в системе информацией или осуществления других противозаконных действий.
Анализ подобных деяний свидетельствует, что разовые преступления по проникновению в системы со своих или соседних рабочих мест постепенно перерастают в сетевые компьютерные преступления путем «взлома» защитных систем организаций.
Оценка потерь от компьютерных преступлений, которые несет экономика в развитых странах Запада, составляет гигантские цифры - миллиарды долларов. Стоит напомнить, что Европа не имеет столь высокого уровня уголовных преступлений, как Россия, однако развитие технического прогресса прямо пропорционально бурному росту компьютерных мошенничеств.