Василь Поливанюк
Crime-research.org
Попередження комп’ютерних злочинів у банківській діяльності
Важливим елементом попередження комп’ютерних злочинів у банківській діяльності стає застосування сучасних технічних засобів захисту інформації (під захистом розуміється обмеження доступу або використання всієї або частини комп’ютерної системи) [1]. У Положенні про технічний захист інформації в Україні зазначено: технічний захист інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки спрямовано на запобігання порушенню цілісності інформації з обмеженим доступом та її просочення шляхом:
- несанкціонованого доступу;
- приймання й аналізу побічних електромагнітних випромінювань і наводок;
- використання закладних пристроїв;
- впровадження комп'ютерних вірусів та іншого впливу.
Технічний захист інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки, призначених для формування, пересилання, приймання, перетворення, відображення та зберігання інформації, забезпечується комплексом конструкторських, організаційних, програмних і технічних заходів на всіх етапах їх створення й експлуатації.
Основними методами та засобами технічного захисту інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки є:
- використання захищеного обладнання;
- регламентування роботи користувачів, технічного персоналу, програмних засобів, елементів баз даних і носіїв інформації з обмеженим доступом (розмежування доступу);
- регламентування архітектури автоматизованих систем і засобів обчислювальної техніки;
- інженерно-технічне оснащення споруд і комунікацій, призначених для експлуатації автоматизованих систем і засобів обчислювальної техніки;
- пошук, виявлення і блокування закладних пристроїв [2].
Ці заходи можуть грати серйозну загально профілактичну роль у боротьбі з комп’ютерними злочинами при їх умілому та комплексному використанні.
Зважаючи на те, що питання боротьби та профілактики комп’ютерної злочинності в сфері банківської діяльності в нашій державі почали вивчати лише з 90-х років, а в деяких зарубіжних країнах це питання вивчається дуже давно, нам слід упровадити провідний досвід цих країн у вітчизняну практику, враховуючи діючу нормативно-правову базу України.
До основних засобів захисту інформації можна віднести такі: фізичні засоби, апаратні засоби, програмні засоби, апаратно-програмні засоби, криптографічні та організаційні методи.
Фізичні засоби захисту — це засоби, необхідні для зовнішнього захисту ЕОМ, території та об'єктів на базі обчислювальної техніки, які спеціально призначені для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів інформаційних систем та інформації, що захищаються. Найпростіший і надійний спосіб захисту інформації від загроз несанкціонованого доступу ( НСД ) – режим автономного використання ЕОМ одним користувачем у спеціально виділеному приміщенні при відсутності сторонніх осіб. У цьому випадку роль замкненого контуру захисту виконує виділене приміщення, а фізичний захист - вікна, стіни, підлога, стеля, двері. Якщо стіни, стеля, підлога і двері міцні, підлога не має люків, які з’єднуються з іншими приміщеннями, вікна і двері обладнані охоронною сигналізацією, то стійкість захисту буде визначатись технічними характеристиками охоронної сигналізації при відсутності користувача в неробочий час.
У робочий час, коли ЕОМ увімкнена, можливий витік інформації каналами побічного електромагнітного випромінювання. Для усунення такої загрози здійснюються спеціальні дослідження щодо засобів (сама ЕОМ) та об'єктів (ЕОМ у виділеному приміщенні) електронно-обчислювальної техніки (ЕОТ), основним змістом яких є атестування та категорування засобів і об'єктів ЕОТ з видачею відповідного дозволу на експлуатацію. Крім того, двері приміщення повинні бути обладнані механічним або електромеханічним замком. У деяких випадках, коли відсутня охоронна сигналізація, на період тривалої відсутності користувача ЕОМ для підвищення безпеки доцільно системний блок і машинні носії інформації зберігати в сейфі. Використання в деяких ЕОМ у системі вводу-виводу BIOS апаратного паролю, що блокує завантаження і роботу ПЕОМ, не зовсім надійно забезпечує захист від загроз НСД, оскільки при відсутності на корпусі системного блоку механічного замка та самого власника-користувача апаратна частка BIOS-носія паролю може бути замінена на іншу таку ж, оскільки вузли BIOS уніфіковані, але вже з відомим значенням паролю. Саме тому механічний замок, що блокує вмикання і завантаження ЕОМ, найбільш ефективний захід у цьому випадку.
Останнім часом для захисту від викрадення фахівці пропонують механічне закріплення ЕОМ до столу користувача. Але при цьому слід пам'ятати, що при відсутності охоронної сигналізації, яка забезпечує постійний контроль доступу до приміщення або сейфу, надійність замків і кріплень повинна бути такою, щоб час, затрачений на подолання порушником такої перешкоди, не перевищував би терміну відсутності користувача ЕОМ. Якщо подібного забезпечити не вдається, то охоронна сигналізація обов'язкова [3].
Спектр сучасних фізичних засобів захисту дуже широкий. До цієї групи засобів захисту належать також різні засоби екранування робочих приміщень та каналів передачі даних.
Апаратні засоби захисту — це різні електронні, електронно-механічні та інші пристрої, які вмонтовуються в серійні блоки електронних систем обробки і передачі даних для внутрішнього захисту засобів обчислювальної техніки: терміналів, пристроїв введення та виведення даних, процесорів, ліній зв'язку та ін.
Основні функції апаратних засобів захисту:
- заборона несанкціонованого (неавторизованого) зовнішнього доступу віддаленого користувача;
- заборона несанкціонованого (неавторизованого) внутрішнього доступу до баз даних в результаті випадкових чи умисних дій персоналу;
- захист цілісності програмного забезпечення.
Ці функції реалізуються шляхом:
- ідентифікації суб’єктів (користувачів, обслуговуючого персоналу) і об’єктів (ресурсів) системи;
- аутентифікації суб’єкта за наданим ним ідентифікатором;
- перевірки повноважень, яка полягає в перевірці дозволу на певні види робіт;
- реєстрації (протоколювання) при звертаннях до заборонених ресурсів;
- реєстрації спроб несанкціонованого доступу [4].
Реалізація цих функцій здійснюється за допомогою застосування різних технічних пристроїв спеціального призначення. До них, зокрема, належать:
- джерела безперебійного живлення апаратури, а також пристрої стабілізації, що оберігають від стрибкоподібних перепадів напруги і пікових навантажень у мережі електроживлення;
- пристрої екранування апаратури, ліній зв’язку та приміщень, в яких знаходиться комп’ютерна техніка;
- пристрої ідентифікації і фіксації терміналів і користувачів при спробах несанкціонованого доступу до комп’ютерної мережі;
- засоби захисту портів комп’ютерної техніки тощо.
Засоби захисту портів виконують декілька захисних функцій, а саме:
1) “звірка коду”. Комп’ютер захисту порту звіряє код санкціонованих користувачів з кодом у запиті;
2) “камуфляж”. Деякі засоби захисту портів камуфлюють існування портів на лінії телефонного зв’язку шляхом синтезування людського голосу, який відповідає на виклик абонента;
3) “дзвінок назустріч”. У пам’яті засобу захисту портів зберігаються не тільки коди доступу, але й ідентифікаційні номери телефонів;
4) ведення автоматичного “електронного журналу” доступу в комп’ютерну систему з фіксацією основних дій користувача [5].
Програмні засоби захисту необхідні для виконання логічних і інтелектуальних функцій захисту, які вмонтовані до складу програмного забезпечення системи.
З допомогою програмних засобів захисту реалізуються наступні задачі безпеки:
- контроль завантаження та входу в систему за допомогою системи паролів;
- розмежування і контроль прав доступу до системних ресурсів, терміналів, зовнішніх ресурсів, постійних та тимчасових наборів даних і т.п.;
- захист файлів від вірусів;
- автоматичний контроль за роботою користувачів шляхом протоколювання їх дій.
Апаратно-програмні засоби захисту — це засоби, які основані на синтезі програмних та апаратних засобів. Ці засоби широко використовуються при аутентифікації користувачів автоматизованих банківських систем. Аутентифікація — це перевірка ідентифікатора користувача перед допуском його до ресурсів системи.
Апаратно-програмні засоби захисту використовуються також при накладанні електронно-цифрових підписів відповідальних користувачів. Найпоширенішим в автоматизованих банківських системах є використання смарт-карт, які містять паролі та ключі користувачів [4].
Організаційні заходи захисту засобів комп’ютерної інформації складають сукупність заходів щодо підбору, перевірки та навчання персоналу, який бере участь у всіх стадіях інформаційного процесу.
Аналіз матеріалів кримінальних справ дозволяє зробити висновок про те, що основними причинами та умовами, які сприяють вчиненню комп’ютерних злочинів, у більшості випадків стають:
- відсутність контролю за діями обслуговуючого персоналу, що дозволяє злочинцеві вільно використовувати ЕОМ як знаряддя вчинення злочину;
- низький рівень програмного забезпечення, яке не має контрольного захисту, та не забезпечує перевірку відповідності і правильності інформації;
- недосконалість парольної системи захисту від несанкціонованого доступу до робочої станції і її програмного забезпечення, яка не забезпечує достовірну ідентифікацію користувача за індивідуальними біометричними параметрами;
- відсутність категорійності допуску співробітників до таємної інформації тощо.
Досвід зарубіжних країн свідчить про те, що найефективнішим захистом інформаційних систем є введення до штату організації посади фахівця з комп’ютерної безпеки або створення спеціальних служб, як приватних, так і централізованих, виходячи з конкретної ситуації. Наявність такого відділу (служби) в банківській структурі, за оцінками зарубіжних фахівців, удвічі знижує ймовірність вчинення злочинів у сфері використання комп’ютерних технологій [6].
Згідно законодавства України, у державних установах та організаціях можуть створюватись підрозділи, служби, які організують роботу, пов’язану із захистом інформації, підтримкою рівня захисту інформації в автоматизованих системах і несуть відповідальність за ефективність захисту інформації [7]. Зазначимо, що ця норма за характером не є імперативною (обов’язковою), а рекомендованою. З її змісту в поєднанні з іншими нормами Закону “Про захист інформації в автоматизованих системах” витікає, що захист інформації в автоматизованих системах є обов’язковою функцією, проте необов’язково під цю функцію може створюватися окрема функціональна організаційна структура. Ця функція може бути складовою іншої організаційної структури, тобто здійснюватися у поєднанні з іншими функціями.
На думку вітчизняних фахівців Біленчука П.Д. та Голубєва В.О., створення спеціальних структур є обов’язковим для кредитно-фінансових установ та організацій (комерційних банків, концернів, компаній тощо). В них мають бути створені спеціальні відділи комп’ютерної безпеки в рамках діючих служб економічної безпеки та фізичного захисту, діяльністю яких має керувати один із спеціально призначених для цих цілей заступник начальника служби безпеки, який має у своєму розпорядженні відповідні людські, фінансові і технічні ресурси для вирішення поставлених завдань.
До функціональних обов’язків таких осіб (структурних підрозділів) має входити здійснення, передусім, таких організаційних заходів:
1) забезпечення підтримки з боку керівництва конкретної організації вимог захисту засобів комп’ютерної техніки;
2) розробка комплексного плану захисту інформації;
3) визначення пріоритетних напрямів захисту інформації з урахуванням специфіки діяльності організації;
4) складання загального кошторису витрат фінансування охоронних заходів відповідно до розробленого плану (п.2) та затвердження його як додатку до плану керівництвом організації;
5) визначення відповідальності співробітників організації за безпеку інформації в межах встановленої компетенції шляхом укладення відповідних договорів між співробітником та адміністрацією;
6) розробка, впровадження і контроль за виконанням різного роду інструкцій, правил та наказів, які регламентують форми допуску, рівні секретності інформації, конкретних осіб, допущених до роботи з секретними (конфіденційними) даними тощо;
7) розробка ефективних заходів боротьби з порушниками захисту засобів комп’ютерної техніки [5].
Надійним засобом підвищення ефективності заходів безпеки засобів комп’ютерної техніки є навчання та інструктаж працюючого персоналу щодо організаційно-технічних заходів захисту, які застосовуються в конкретній організації.
Крім цього, обов’язково мають бути реалізовані такі організаційні заходи:
1) для всіх осіб, що мають право доступу до засобів комп’ютерної техніки, потрібно визначити категорії допуску, тобто коло службових інтересів кожної особи, види інформації, до яких вона має право доступу, а також вид такого дозволу, правомочність особи, яка уповноважується для здійснення тих або інших маніпуляцій з засобами комп’ютерної техніки;
2) слід визначити адміністративну відповідальність за збереження і санкціонування доступу до інформаційних ресурсів. При цьому, за кожний вид ресурсів відповідальність повинна нести одна конкретна особа;
3) налагодити періодичний системний контроль за якістю захисту інформації шляхом проведення регламентних робіт як особою, відповідальною за безпеку, так і залученням компетентних фахівців (експертів) з інших організацій;
4) провести класифікацію інформації відповідно до її важливості, диференціювати на основі цього заходи захисту; визначити порядок охорони та знищення інформації;
5) організувати фізичний захист засобів комп’ютерної техніки (фізичну охорону) [6].
Криптографічні методи захисту.
З метою захисту інформації при її передачі зазвичай використовують різні методи шифрування даних перед їх введенням до каналу зв’язку або на фізичний носій з наступною розшифровкою. Методи шифрування дозволяють досить надійно захищати комп’ютерну інформацію від злочинних посягань.
Застосування криптографічного захисту, тобто кодування тексту з допомогою складних математичних алгоритмів, завойовує все більшу популярність. Звичайно, жоден з шифрувальних алгоритмів не дає цілковитої гарантії захисту від зловмисників, але деякі методи шифрування настільки складні, що ознайомитися зі змістом зашифрованих повідомлень практично неможливо [6].
Основні криптографічні методи захисту:
- шифрування з допомогою датчика псевдовипадкових чисел, яке полягає в тому, що генерується гамма шифру за допомогою датчика псевдовипадкових чисел і накладається на відкриті дані з врахуванням зворотності процесу;
- шифрування з допомогою криптографічних стандартів шифрування даних (з симетричною схемою шифрування), в основі якого використовуються перевірені і випробувані алгоритми шифрування даних з великою криптостійкістю;
- шифрування з допомогою пари ключів (з асиметричною системою шифрування), в яких один ключ є відкритим і використовується для шифрування інформації, другий ключ — закритим і використовується для розшифрування інформації.
Криптографічні методи захисту інформації широко використовуються в автоматизованих банківських системах і реалізуються у вигляді апаратних, програмних чи програмно-апаратних методах захисту. Використовуючи шифрування повідомлень в поєднанні з правильною установкою комунікаційних засобів, належними процедурами ідентифікації користувача, можна добитися високого рівня захисту інформаційного обміну.
Криптографія є одним з найкращих засобів забезпечення конфіденційності і контролю цілісності інформації. Вона займає центральне місце серед програмно-технічних регулювальників безпеки, є основою реалізації багатьох з них і, в той же час, останнім захисним рубежем.
Підводячи підсумки, слід підкреслити, що деякі фахівці з банківської безпеки пов’язують надійність банківських інформаційних систем з засобами їх зовнішнього захисту, тобто системою паролів для входу не тільки у саму комп’ютерну мережу, а й до різних рівнів інформації системи, залежно від допуску користувачів. Коло працівників, які за технологією виконання банківських операцій мають доступ до широкого діапазону такої інформації, дуже великий. Тому система захисту, яка базується на кодуванні входів до різних видів інформації, малоефективна. Потрібно знайти принципово нові підходи для розробки та впровадження відносно надійних систем захисту банківської діяльності від комп’ютерних злочинів. Така система повинна будуватися згідно із технологією банківського документообігу та особливостями форм розрахунково-кредитних операцій.
1. Першиков В.И., Савинков В.М. Толковый словарь по информатике. - М.: Фин. и стат., 1991. – 536 с.
2. Положення про технічний захист інформації в Україні, затверджене постановою Кабінету Міністрів України від 1994 р. № 632 // Збірка нормативних документів системи технічного захисту інформації. – Державний комітет України з питань державних секретів та технічного захисту інформації, 1997. - № 4. – с.15– 41.
3. Ільніцький А.Ю., Шорошев В.В., Близнюк І.Л. Основи захисту інформації від несанкціонованого доступу: Методичні рекомендації. – К.: НАВСУ, 1999. – 160с.
4. Єрьоміна Н. В. Банківські інформаційні системи: Навч. посібник. — К: КНЕУ, 2000. — 220 с.
5. Голубєв В.О. Комп’ютерні злочини в банківській діяльності. – Запоріжжя: ВЦ “Павел”, 1997. – 118с.
6. Голубєв В.О., Гавловський В.Д., Цимбалюк В.С. Проблеми боротьби зі злочинами у сфері використання комп’ютерних технолгій: Навчальний посібник. / За заг. ред. д.ю.н., професора Р.А.Калюжного. – Запоріжжя: ГУ “ЗІДМУ”, 2002. – 292 с.
7. Закон України “Про захист інформації в автоматизованих системах” // Відомості Верховної Ради України. – 1994. - № 31. – ст.286.
Copyright © Центр исследования проблем компьютерной преступности, 2001-2002 Все права защищены.
При публикации информации взятой в нашем каталоге ссылка на http://www.crime-research.org обязательна. |