криттехн (Темы и ответы на них)

На подготовку и проведение таких мероприятий в США в последние несколько лет ежегодно выделяется порядка 1,7 - 2,1 млрд. долларов. Общие же расходы США на реализацию концепции информационной войны на ближайшие 5 лет составят более 18 млрд. долларов. В частности, затраты АНБ США на мероприятия в области информационного противоборства за последний год увеличены почти в 40 раз, при этом до 30% средств было направлено на подготовку и проведение информационных операций применительно к зарубежным компьютерным системам.

Наиболее реальную угрозу как для отдельно развитых стран, так и для всего мирового сообщества представляет информационный терроризм. Определены различные приемы достижения террористических целей в информационном киберпространстве:

- нанесение ущерба отдельным физическим элементам киберпространства (разрушение сетей электропитания, наведение помех, использование специальных программ, стимулирующих разрушение аппаратных средств, биологические и химические средства разрушения элементной базы и др.);

- кража или уничтожение информационного, программного или технического ресурсов, имеющих общественную значимость путем преодоления систем защиты, внедрения вирусов, программных закладок и т.п.;

- воздействие на программное обеспечение или информацию с целью их искажения или модификации в информационных системах и системах управления;

- раскрытие и угроза опубликования или опубликование информации государственного значения о функционировании информационной инфраструктуры государства, общественно значимых и военных кодов шифрования, принципов работы систем шифрования, успешного опыта ведения информационного терроризма и др.;

- ложная угроза террористического акта в информационном киберпространстве, влекущая за собой серьезные экономические последствия;

- захват каналов СМИ с целью распространения дезинформации, слухов, демонстрации мощи террористической организации и объявления своих требований, уничтожение или активное подавление линий связи, неправильное адресование, искусственная перегрузка узлов коммутации и др.;

- воздействие на операторов, разработчиков, эксплуатационников информационных и телекоммуникационных систем путем насилия или угрозы насилия, шантаж, подкуп, введение наркотических средств, использование нейролингвистического программирования, гипноза, средств создания иллюзий, мультимедийных средств для ввода информации в подсознание или ухудшения здоровья человека и др.

Организованные преступные группировки, коммерческие структуры быстро оценили широкие возможности и преимущества специальных технических средств по добыванию конфиденциальной информации о деятельности как государственных структур, так и субъектов негосударственного сектора (бирж, банков, частных фирм и т.п.)

Ежедневно ФБР расследует порядка 1000 случаев незаконного изъятия коммерческой информации из американских компьютерных сетей. В конце 1999 года был опубликован очередной, четвертый по счету, годовой отчет "Компьютерная преступность и безопасность-1999; проблемы и тенденции" ("Issue and Trends: 1999 CSI/FBI Computer Crime and Security Survey"), подготовленный Институтом компьютерной безопасности (Computer Security Institute, CSI) во взаимодействии с отделением ФБР по Сан-Франциско (см. [8]). В отчете констатируется резкий рост числа обращений в правоохранительные органы по поводу компьютерных преступлений (32% из числа опрошенных). 30% респондентов сообщили о том, что их информационные системы были взломаны внешними злоумышленниками. Атакам через Интернет подверглись 57% опрошенных. 55% отметили нарушения со стороны собственных сотрудников.

Беспрецедентная массированная хакерская атака, обрушившаяся на американский сегмент сети Интернет в период с 7 по 10 февраля 2000 г. и приведшая к взлому нескольких самых известных сайтов США (поисковая система Yahoo, наиболее посещаемые сайты Buy.com, Amazon.com, CNN.com и т.д.), вызвали большое беспокойство американских правоохранительных органов и структур безопасности. В подготовленном в апреле 2000 года сформированной министерством обороны и разведсообществом США группой консультантов докладе высказаны рекомендации о дополнительном привлечении в ближайшие 5 лет порядка 3 млрд. долларов США на проведение работ по усилению защиты национальной телекоммуникационной и компьютерной структуры. В докладе содержится предупреждение о потенциальной угрозе, охарактеризованной как "электронный Пирл-Харбор", в связи с чем рекомендуется принять дополнительные меры защиты от проникновения хакеров в наиболее значимые для Соединенных Штатов информационно-вычислительные сети как в государственном, так и в частном секторах. По поводу степени защищенности таких сетей в докладе говорится, что эффективность мер, направленных на усиление безопасности электронных систем обработки и передачи данных, нередко снижается из-за недостаточно четкого определения принципов и целей работ, некорректного разграничения сфер компетенции, полномочий и ответственности, а также из-за нескоординированности действий различных ведомств. Оценивая уровень безопасности информационных систем с позиции внутренних и внешних угроз, консультанты отмечают необходимость особого подхода к борьбе с угрозами безопасности, исходящими от персонала, который имеет доступ к узловым элементам инфраструктуры.

Сегодня с уверенностью можно сказать, что данный «бизнес» по уровню прибыльности выходит на лидирующие позиции. По официальным оценкам международных организаций общий ущерб от мошенничества в сфере телекоммуникаций в мире оценивается в 13 млрд. долларов США. Только от незаконного подключения к сетям сотовой связи в прошлом году ущерб составил в развитых Европейских странах около 150 млн. долларов США, в США - 600 млн. долларов США.

Уязвимость России в отношении применения средств информационного противоборства определяется тем, что в процессе формирования ее информационной инфраструктуры проявились угрозы информационной безопасности России, связанные со следующими факторами:

- использованием для создания информационных систем преимущественно импортных программно-аппаратных средств, что не исключает вероятности внедрения в них скрытых возможностей, реализующих методы информационной войны;

- внедрением разнотипного оборудования и неоднородной программной среды, что значительно затрудняет принятие мер по обеспечению защиты информации и приводит к неоправданным расходам;

- переходом системы управления рядом отдельных информационно-телекоммуникационных систем в ведение иностранных компаний за счет технологии их построения или получения этими компаниями контрольных пакетов акций соответствующих предприятий связи;

- использованием в ряде случаев несертифицированных отечественных и импортных средств защиты информации.

Необходимость создания системы мониторинга угроз компьютерного нападения на информационно-телекоммуникационные системы подтверждается и международным опытом. Так, в 1998 году в США был сделан вывод о необходимости скорейшего создания в стране системы раннего выявления и предупреждения об интенсивных приготовлениях к информационному нападению. Данная система, по результатам анализа собираемых данных о работоспособности и попытках деструктивного воздействия на основные информационно управляющие и коммуникационные системы США, должна по совокупности установленных признаков определять на самой ранней стадии момент начала массированного применения электронных программных средств на основные элементы информационной инфраструктуры США и подавать сигналы тревоги, по которым приводятся в действие более "жесткие" меры защиты, вплоть до отключения американских информационных систем от внешнего мира.

Американскими специалистами особо подчеркивается, что задача достоверного определения начала широкомасштабной информационной атаки является крайне сложной, для ее решения надо уметь обрабатывать большое число самых различных разнородных источников информационных угроз.

Работы по созданию системы раннего предупреждения об информационном нападении на национальную информационную инфраструктуру страны начались в США в 1998 году в соответствии с директивой Президента США PDD-63. Новую систему планируется привести в полную боевую готовность к 2003 году.

Функционирование системы мониторинга угроз компьютерного нападения на информационно-телекоммуникационные системы основывается на оснащении информационно-телекоммуникационных систем необходимыми (существующими и разрабатываемыми) программно-аппаратными средствами, которые должны решать задачи обнаружения атакующих информационных воздействий, идентификацию этих воздействий, определение источников этих воздействий. Решение указанных задач должно осуществляться с достаточной точностью и оперативностью, что в свою очередь требует разработки соответствующего алгоритмического обеспечения. Решение указанной задачи существенно затрудняется тем, что при совершении компьютерного нападения применяются все доступные способы и средства для затруднения решения задач обнаружения и идентификации атакующих информационных воздействий и их источников.

Таким образом создание системы мониторинга угроз компьютерного нападения на информационно-телекоммуникационные системы предполагает включение в состав системы обеспечения информационной безопасности информационно-телекоммуникационных систем подсистемы мониторинга угроз компьютерного нападения на информационно-телекоммуникационную систему.

По содержанию функциональных требований к системе обеспечения информационной безопасности информационно-телекоммуникационных систем проводятся интенсивные исследования и их содержание постоянно расширяется. По современным представлениям, изложенным в разработанных в 1996 году Единых критериях безопасности информационных технологий, система обеспечения информационной безопасности перспективной информационно-телекоммуникационной системы должна содержать следующие подсистемы:

- защиты информации;

-  безопасности защиты;

-  идентификации и аутентификации;

-  аудита;

-  контроля за использованием ресурсов;

-  обеспечения прямого взаимодействия;

-  контроля доступа к системе;

-  конфиденциальности доступа к системе;

-  информационного обмена;

К подсистеме "Аудита" предъявляются следующие требования:

- автоматическое реагирование на вторжение в систему;

- регистрация и учет событий;

- управление аудитом;

- выявление отклонений от штатного режима работы;

- распознавание вторжений в систему;

- предобработка протокола аудита;

- защита протокола аудита;

- постобработка протокола аудита;

- анализ протокола аудита;

- контроль доступа к протоколу аудита;

- отбор событий для регистрации и учета;

- выделение ресурсов под протокол аудита.

Таким образом анализируя состав требований к подсистеме "Аудита" можно сделать вывод о том, что система мониторинга угроз компьютерного нападения на информационно-телекоммуникационные системы должна рассматриваться как ее составляющая и в рамках подсистемы "Аудита" должна быть дополнена составляющей формирования адекватного ответа на идентифицированные атакующие информационные воздействия.

Многие современные атаки длятся секунды или даже доли секунды, поэтому включение в процесс реагирования человека часто вносит недопустимо большую задержку. Ответные меры должны быть в максимально возможной степени автоматизированы, иначе формирование адекватного ответа во многом теряет смысл. Автоматизация нужна еще и по той причине, что далеко не во всех организациях администраторы безопасности обладают достаточной квалификацией для адекватного реагирования на идентифицированные атакующие информационные воздействия. Хорошая система адекватного реагирования на идентифицированные атакующие информационные воздействия должна уметь внятно объяснить, почему была поднята тревога, насколько серьезна ситуация и каковы рекомендуемые способы действия. Если выбор должен оставаться за человеком, то в идеале он должен сводиться к нескольким элементам меню, а не к решению концептуальных проблем. Таким образом система мониторинга угроз компьютерного нападения на информационно-телекоммуникационные системы должна рассматриваться как составляющая подсистемы автоматического реагирования на вторжение в систему.

Подсистема автоматического реагирования на вторжение в систему, включающая в себя систему мониторинга угроз компьютерного нападения на информационно-телекоммуникационную систему, дополняет такие традиционные защитные механизмы, как идентификация/аутентификация и разграничение доступа. (Например, межсетевой экран бессилен против нелегальных модемных входов/выходов, а система мониторинга угроз компьютерного нападения на информационно-телекоммуникационную систему позволяет обнаруживать их.).

Подобное дополнение необходимо по следующим причинам:

- во-первых, существующие средства разграничения доступа не способны реализовать все требования политики безопасности, если последние имеют более сложный вид, чем разрешение/запрет атомарных операций с ресурсами информационной системы. Развитая политика безопасности может, например, накладывать ограничения на суммарный объем прочитанной пользователем информации, запрещать доступ к ресурсу В, если ранее имел место доступ к ресурсу А, и т.п.;