Владимир Голубев,
кандидат юридических наук, доцент
Crime-research.org
Теоретико-правові питання захисту інформації в автоматизованих системах
Інформаційно-комунікаційні технології є одним з найважливіших факторів, котрі впливають на формування суспільства XXI століття. Їх революційний вплив стосується способу життя людей, освіти і роботи. Інформаційні технології стали життєво важливим стимулом розвитку світової економіки, вони дають можливість ефективно і творчо вирішувати економічні і соціальні проблеми. Людство вступило в нову епоху – епоху інформаційного суспільства. Підраховано, що для збільшення матеріального виробництва в два рази необхідне чотирикратне зростання обсягу інформації, що його забезпечує. Ще два десятиліття тому обсяг наукової інформації, необхідної для вирішення технологічних і соціальних проблем, подвоювався кожні сім років, а з 1995 року таке подвоєння відбувається кожні один-два роки.
У таких умовах інформація, яка забезпечує життєво й історично важливі напрямки діяльності людини, перетворюється в цінний продукт і основний товар, вартість якого поступово наближається до вартості продуктів матеріального виробництва. Під впливом найновіших наукових і технологічних знань матеріальне виробництво радикально змінює свою технологічну основу. Інформаційні технології все глибше проникають в механізми масових соціальних комунікацій: освіта, виховання, навчання, впливаючи на формування особистості, спосіб життя, систему правових відносин і т.д.
Актуальність теми статті обумовлена тим, що зараз у банківській системі України активно впроваджуються системи електронних розрахунків та пластикових карток з використанням мережі Інтернет, разом з цим зростає кількість загроз, поширюються засоби несанкціонованого доступу до такої інформації та впливу на неї, у зв’язку з чим необхідні дослідження в цій галузі та удосконалення правового та організаційно-технічного захисту інформації від несанкціонованого доступу.
У сучасному світі інформація є стратегічним національним ресурсом, одним з основних багатств держави, який відіграє дедалі більшу роль у системі державного управління [1]. Сьогодні у США, країнах Європи і в Росії у вищих органах державної влади та управління, в міністерствах та відомствах, в обласних та місцевих органах управління функціонують та розробляються інформаційні системи, створюються інформаційно-аналітичні центри. Використання інформаційно-довідкових та аналітичних систем позитивно впливає на сферу державного управління та створює можливості для вдосконалення і збагачення практики державного управління.
Можна, звичайно, заперечити, що поки що високі інформаційні технології використовуються далеко не всіма країнами і народами, що для багатьох вони просто недосяжні і мільйони людей взагалі не знають про існування супутників, персональних комп’ютерів та Інтернету. Все це так. Але факт залишається фактом - людство увійшло в нове тисячоліття, маючи в своїх руках принципово новий інструмент, одночасно і творчий, і руйнівний, а тому вимагаючий вельми делікатного поводження з собою.
Глобальна інформаційна цивілізація визначила інформацію своїм базовим параметром – видавнича справа, преса, радіо, телебачення, комп’ютерні технології, інші засоби електронного зв’язку – стали провідними факторами економіки, виробничої, наукової, освітянської, політичної та інших сфер суспільної діяльності. Звідси витікає, що різноманітні інформаційні системи й мережі телекомунікацій виступають підсилюючим фактором суспільства й держави. Інформаційне суспільство не просто змінює статус інформації (відомостей, знань, даних), як каталізатора позитивних зрушень соціального буття, але й розширює можливості застосування інформації злочинними формуваннями з антисоціальною метою [2].
Метою цієї статті стало дослідження теоретико-правових питань захисту інформації в автоматизованих системах, визначення основних напрямків державної політики у сфері захисту інформації та формулювання на їх основі заходів щодо реалізації державної політики у сфері захисту інформації.
Надзвичайну стурбованість у спеціалістів викликає загрозливий розрив між рівнем втілення інформаційних комп’ютерних технологій і рівнем засобів їх правового, організаційного і технологічного захисту. Адже за оцінками експертів ООН, збитки від комп’ютерних злочинів у світі вже перевищили 1 трлн.дол.США.
Якщо порівнювати традиційні злочини і комп’ютерні, то останніх відрізняє, перш за все, феномен розповсюдження у часі і просторі місця і суб’єкта посягання. Інакше кажучи, щоб вкрасти гроші, немає потреби проникати в сховище банку, перетинати кордони, долати системи охорони і сигналізації. Досить мати комп’ютер, вихідну інформацію стосовно доступу і захисту електронних систем банку, набір хакерських програм і досвід такої роботи.
Інший важливий аспект комп’ютерних злочинів – це феномен безликості інформації. Такі традиційні ознаки криміналістичної експертизи, як почерк, відбитки пальців і інші – в електронних імпульсах комп’ютера безликі.
Ще одна специфіка комп’ютерних злочинів – феномен інструментарію комп’ютерних посягань. На відміну від традиційних способів злочину, як то: зброя, ніж і т.д, інструментарій комп’ютерних злочинів – різноманітні програмні способи комп’ютерних втручань.
На увагу заслуговує техніко-технологічний спосіб скоєння злочину. Суть його – злочинне порушення функціонування інформаційних систем, обумовлене впливом на їх вразливі компоненти. І, хоча цей вид злочину істотно відрізняється від традиційних терористичних злочинів, наслідки за своєю трагічністю можуть бути подібними до великих техногенних катастроф.
Відома достатньо велика кількість визначень загроз інформаційній безпеці, які, не дивлячись на відмінності в деталях, єдині за своєю суттю: під загрозами розуміється небезпека (існуюча реально чи потенційно) скоєння будь-якого діяння (дії чи бездіяльності), спрямованого на порушення основних властивостей інформації: конфіденційності, цілісності, доступності.
Майже всі дослідники, розкриваючи види можливих порушень основних властивостей інформації, наводять один і той самий перелік: до загроз порушення конфіденційності інформації відносять викрадення (копіювання) і витік інформації; до загроз доступності – блокування інформації; до загроз цілісності – модифікацію (перекручення) інформації, заперечення автентичності чи нав’язування хибної інформації.
Традиція виділяти саме згадані три види загроз безпеці інформації, напевне, йде від прийнятих у 1983 році “Критеріїв оцінки комп’ютерних систем Міністерства оборони США». Такий підхід повністю зберігся і в Міжнародному стандарті ISO/IEC 15408-99 (історично склалася назва – “Загальні критерії”). Дані нормативні документи орієнтовані, в основному, на комп’ютерні системи обробки інформації.
За протиправні дії винні можуть притягатися до цивільно-правової, адміністративної, кримінальної відповідальності. При цьому ступінь покарання порушника залежить від наявності кримінальних санкцій, коли правопорушення залежно від їх суспільної значущості, масовості, типовості і стійкості прояву переводяться (криміналізуються) в розряд злочинів.
Законодавство України про кримінальну відповідальність сьогодні стало більш пристосованим до виконання покладених на нього завдань в умовах розбудови інформаційного суспільства. З прийняттям нового Кримінального кодексу кардинально змінено підхід до інформації як предмета злочину. Так, визнавши інформацію предметом викрадення, привласнення, вимагання та інших злочинних діянь, кримінальний закон підтвердив статус інформації як об’єкта права власності, що узгоджується з основними положеннями інформаційного законодавства України. До цього часу кримінально-правова доктрина необгрунтовано виключала інформацію з переліку можливих предметів розкрадань та інших злочинів проти власності.
У структурі Кодексу з’явився розділ XVI “Злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж”, який включає три статті: ст.361 КК “Незаконне втручання в роботу електронно-обчислювальних машин (комп’ютерів), систем і комп’ютерних мереж”, тобто незаконне втручання в роботу автоматизованих електронно-обчислювальних машин, їх систем або комп’ютерних мереж, яке може призвести до перекручування чи знищення комп’ютерної інформації або носіїв такої інформації, а також поширення комп’ютерних вірусів шляхом застосування програмних і технічних засобів, призначених для незаконного проникнення в ці машини, системи чи комп’ютерні мережі і здатних спричинити перекручування чи знищення комп’ютерної інформації чи носіїв такої інформації; ст.362 КК “Знищення, привласнення, вимагання комп’ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем” і ст.363 КК “Порушення правил експлуатації автоматизованих електронно-обчислювальних систем” ? порушення правил експлуатації автоматизованих електронно-обчислювальних машин, їх систем чи комп’ютерних мереж особою, яка відповідає за їх експлуатацію, якщо таке спричинило викрадення, перекручування або знищення комп’ютерної інформації, засобів її захисту, чи незаконне копіювання комп’ютерної інформації, чи істотне порушення роботи таких машин, їх систем або комп’ютерних мереж.
Безумовно, враховуючи безліч загроз в інформаційній сфері, високий рівень латентності даних видів злочинів і складність збору доказів навіть по встановлених фактах таке нормативно-правове регулювання в рамках діючого законодавства є недостатнім.
До негативних явищ, що супроводжують інформаційні процеси і викликають складність правової кваліфікації, можна віднести: незаконний продаж баз даних про абонентів мобільного зв’язку; незаконний продаж архівів SMS-повідомлень; незаконний доступ до службової інформації про місцезнаходження абонентів; розповсюдження образливих і непристойних матеріалів у мережі Інтернет; порушення прав інтелектуальної власності; продаж апаратно-програмних засобів з недекларованими можливостями. Перелік можна продовжити. Невдалість диспозицій статей 361 та 362, в яких протиправні дії прив’язані до електронно-обчислювальних машин, критикувалися ще на стадії обговорення проекту Кримінального кодексу.
За інформацією InformationWeek закінчується розробка нового проекту надшвидкісної обчислювальної системи. Принцип її базується на новому квантовому комп’ютері, який буде настільки потужним, що заставить сьогоднішню найшвидшу електронно-обчислювальну машину нагадувати кишеньковий калькулятор.
Звичайна ЕОМ думає при допомозі великої кількості операцій. Використовуючи ці крихітні операції й біти інформації, процесор може запам’ятовувати числа й робити всі сортування математичних даних, щоб виконувати обчислювальні команди. Квантовий комп’ютер буде набагато досконалішим, ніж нинішні моделі. Він використовуватиме внутріатомні частки - електрони. Оскільки ці частки можуть існувати в різних станах одночасно, вони стають полібітними, тобто можуть зберігати декілька біт інформації одночасно. Таким чином, один електрон може проводити в декілька разів більше інформації, ніж звичайна механічна система.
У зв’язку з цим можна уявити собі проблеми кваліфікації комп’ютерних злочинів, а тим паче кримінального переслідування винних, коли кіберзлочинці будуть використовувати не електронно-обчислювальні машини, а квантовий комп’ютер.
Очевидно, що існуюча класифікація загроз інформаційній безпеці вимагає розвитку й уточнення. Не випадково в Європейській конвенції про кіберзлочинність об’єктивний бік кіберзлочинів характеризується більшою деталізацією. Зокрема, Конвенція розрізняє: протизаконний доступ (ст.2) і протизаконне перехоплення даних (ст.3); втручання у дані (ст.4) і втручання в систему (ст.5); зловживання пристроями (ст.6); підробка, пов’язана з комп’ютерами (ст.7); шахрайство, пов’язане з комп’ютерами (ст.8); правопорушення, пов’язані з дитячою порнографією (ст.9); правопорушення, пов’язані з порушенням авторських та суміжних прав (ст.10) [3].
Захист інформації – це сукупність методів і засобів, що забезпечують цілісність, конфіденційність, достовірність, автентичність і доступність інформації в умовах впливу на неї загроз природного та штучного характеру. На різних етапах свого розвитку людство вирішувало цю проблему з властивою для даної епохи характерністю. Винахід комп’ютера і подальший бурхливий розвиток інформаційних технологій у другій половині XX сторіччя зробили проблему захисту інформації наскільки актуальною, гострою, настільки актуальна сьогодні інформатизація для всього суспільства.
Комп’ютеризація породила новий вид злочинів. Загальна кількість зловживань у сфері комп’ютерних технологій та розмір завданих при цьому збитків неухильно зростають. Цей факт можна пояснити декількома факторами:
- високою динамічністю і масовістю впровадження у багатьох сферах людської діяльності різноманітних інформаційних технологій та процесів, що базуються на використанні засобів обчислювальної техніки;
- розширенням кола спеціалістів у галузі комп’ютерних технологій, підвищенням їх кваліфікації;
- недосконалістю законодавчої бази у сфері інформаційних відносин та інформаційної безпеки;
- недосконалістю чи відсутністю технічних засобів забезпечення інформаційної безпеки у конкретних інформаційних технологіях;
- низьким ступенем розкриття комп’ютерних злочинів.
Це, в свою чергу, викликало потребу осмислення комп’ютерної злочинності як соціального явища і напрацювання відповідних методик боротьби з нею, в тому числі виявлення і розслідування злочинів, що вчиняються з використанням комп’ютерних технологій.
Зусилля щодо створення системи боротьби з комп’ютерними злочинами концентруються в кількох напрямках:
- створення законодавчого забезпечення боротьби з комп’ютерними злочинами;
- розробка захищених інформаційних технологій;
- розробка засобів захисту з метою модернізації існуючих інформаційних технологій.
Кошти, потрібні для вирішення цих завдань, дуже великі, і з кожним роком їх потрібно все більше. Обсяг виробництва засобів фізичного контролю та захисту ЕОМ тільки у США має такі розміри і темпи росту: від 1,8 млрд.дол. в 1990 році, до 5 млрд.дол. у 2000 році. Однак, витрати на ці цілі все одно значно менші за можливі збитки.
Комп’ютерні злочини набули в країнах з розвиненою інформаційно-телекомунікаційною інфраструктурою таке широке розповсюдження, що для боротьби з ними до кримінального законодавства введені спеціальні статті.
Перший закон про захист інформації був прийнятий у Сполучених Штатах Америки в 1906 році. На сьогодні в США близько 500 законодавчих актів щодо захисту інформації, відповідальності за її розголошення і комп’ютерні злочини. Проблеми інформаційної безпеки розглядаються американською адміністрацією як один з ключових елементів національної безпеки. Національна політика США в області захисту інформації формується Агентством національної безпеки (АНБ). При цьому найважливіші стратегічні питання, що визначають національну політику в даній сфері, як правило, вирішуються на рівні Ради національної безпеки, а рішення оформляються у вигляді директив Президента США.
Адекватне реагування на зміни в суспільних відносинах в результаті інформаційних процесів знайшло відображення в нормативних актах Ради Європи (їх більше 100), резолюціях, конвенціях, рекомендаціях і директивах Європарламенту і Євросоюзу. Конкретне відображення процесів інформатизації виражене в правовому просторі, нормативних та етичних нормах суб’єктів інформаційних відносин усіх розвинених країн світу.
Аналіз правового регулювання інформаційних відносин в Україні та міжнародної практики дозволяє доктринально визначити ряд основоположних методологічних, принципових положень інформаційного законодавства, яке виступає публічно-правовою основою такої юридичної інституції, як інформаційне право:
- основний об’єкт регулювання - суспільні інформаційні відносини;
- основний предмет суспільних відносин - інформація (відомості, дані, знання, таємниця тощо);
- метод правового регулювання - системне комплексне застосування методів конституційного, цивільного, адміністративного, трудового та кримінального права (що визначає міжгалузевий характер публічно-правового регулювання) та застосування методів приватно-правового регулювання (на рівні правочинів, угод, звичаїв, традицій, норм суспільної моралі, професійної, ділової етики);
- за правовою природою походження, як міжгалузевий комплексний інститут національного права України має приватно правову і публічно-правову природу;
- через предмет суспільних відносин інформаційне право має зв’язок з іншими міжгалузевими інститутами права: авторським правом, правом власності, правом інтелектуальної власності тощо, та утворює з ними складну, велику, агреговану гіперсистему права.
Національне (державне, публічне) право України має значний масив нормативних актів (законів та підзаконних), які прямо чи опосередковано регулюють інформаційні відносини в суспільстві. Сукупність правових норм у сфері суспільних інформаційних відносин, визначених у законах і підзаконних актах, досягли за кількістю критичної маси, що зумовлює можливість і необхідність виділення їх в окремий, автономний міжгалузевий інститут права - інформаційне право та відповідну легальну систематизацію на рівні наукової дисципліни та законодавства [4].
Стан інформаційно-телекомунікаційних систем і рівень їх захисту є одним із найважливіших факторів, впливаючих на інформаційну безпеку держави.
Економічні збитки від комп’ютерних злочинів сьогодні стоять на одному рівні з перевагами, отриманими від запровадження електронно-обчислювальних машин у практику, а соціальні та моральні втрати взагалі не підлягають оцінці.
Державна політика України у сфері захисту інформації визначається пріоритетністю національних інтересів, має на меті унеможливлення реалізації загроз для інформації та здійснюється шляхом виконання положень, зазначених у законодавстві та положень Концепції технічного захисту інформації, а також програм розвитку захисту інформації та окремих проектів.
Насамкінець, слід зазначити, що серед першочергових заходів щодо реалізації державної політики у сфері захисту інформації визначаються наступні: створення правових засад реалізації державної політики у сфері захисту інформації, визначення послідовності та порядку розробки відповідних нормативно-правових актів; визначення перспективних напрямів розробки нормативних документів з питань захисту інформації на основі аналізу стану відповідної вітчизняної та зарубіжної нормативної бази, розробки зазначених нормативних документів; визначення номенклатури вітчизняних засобів обчислювальної техніки та базового програмного забезпечення, оргтехніки, обладнання мереж зв’язку, призначених для обробки інформації з обмеженим доступом інших засобів забезпечення технічного захисту інформації в органах державної влади та органах місцевого самоврядування, Національній академії наук, Збройних Силах, інших військових формуваннях, органах внутрішніх справ; розвиток системи сертифікації вітчизняних та закордонних засобів забезпечення технічного захисту інформації; визначення реальних потреб системи технічного захисту інформації у фахівцях, розвиток та вдосконалення системи підготовки, перепідготовки та підвищення кваліфікації фахівців з питань технічного захисту інформації.
Практичне значення даної роботи полягає в тому, що матеріали статті можуть бути використані для вдосконалення захисту інформації в автоматизованих системах. Сформульовані положення та висновки можуть бути використанні у двох головних напрямках. По-перше, як теоретичні та методичні основи для вдосконалення захисту комп’ютерної інформації від несанкціонованого доступу. По-друге, для вдосконалення чинного законодавства з питань захисту інформації та кримінальної відповідальності за злочини у сфері використання електронно-обчислювальних машин.
1. Нижник Н.Р., Леліков Г.І. Інформаційні технології в структурах державної служби // Інформаційні технології та захист інформації. Збірник наукових праць. – Запоріжжя, 1998. – С.97.
2. Калюжний Р.А., Колпак Р.Л. Застосування інформаційних технологій організованою злочинністю для впливу на суспільство. – Боротьба з організованою злочинністю і корупцією (теорія і практика) // Науково-практичний журнал. - № 3. – 2001. – С.160.
3. Голубєв В.О. Інформаційна безпека: проблеми боротьби з кіберзлочинами. – Монографія. – Запоріжжя: ГУ “ЗІДМУ”, 2003. – С.258.
4. Калюжний Р., Гавловський В., Цимбалюк В., Гуцалюк М. Питання концепції реформування інформаційного законодавства України. - Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні. – К. – 2000. С. 17-21.