Текст книги "Международные основы и стандарты информационной безопасности финансово-экономических систем"

Наиболее суров в настоящее время австралийский An act about spam, and for related purposes (Spam act 2003). Он требует обязательного предоставления пользователю информации об отправителе сообщения и возможности отписки и запрещает использование программного обеспечения для сбора электронных адресов. Кроме того, требуется предварительное согласие получателя. Штрафы за рассылку спама, определенные в этом законе, весьма высоки и могут достигать 1,1 млн австрал. дол. (около 800 тыс. дол. США) за каждое нежелательное письмо, отправленное по множеству адресов. При этом в борьбу со спамом правительство Австралии активно вовлекает интернет-провайдеров, которым предписано выявлять зомби-компьютеры в сетях (зараженные компьютеры пользователей, рассылающие вредоносные программы и спам) и помогать пользователям лечить инфицированные машины. Также для пользователей создан удобный инструмент отправки жалоб на спам: достаточно нажать одну кнопку, чтобы образец нежелательного письма попал в государственные органы, в задачу которых входит борьба со спамерами.

30 марта 2006 г. Китай принимает антиспамовый закон Regulations on Internet e-mail services, в котором учитывается опыт других стран в этой области, кроме того, в нем есть несколько интересных нововведений. Этот Закон построен по принципу opt-in, при этом даже при наличии предварительного согласия получателя рекламная рассылка должна иметь пометку «AD». Также в Законе сказано, что отправитель должен предоставить пользователю возможность отписки (opt-out). Запрещены использование программного обеспечения для сбора адресов и продажа адресов. Кроме того, китайский антиспамовый закон регулирует деятельность провайдеров: перед тем как начать предоставлять услуги электронной почты, провайдер должен зарегистрироваться и получить лицензию у правительства; за различные нарушения провайдеры могут быть оштрафованы и лишены лицензии.

2.3. Проблемы уязвимости пользователей Wi-Fi-соединений

Wi-Fi – одна из самых перспективных технологий на сегодняшний день в области компьютерной связи. Технологией Wi-Fi называют один из форматов передачи цифровых данных по радиоканалам. Изначально устройства Wi-Fi были предназначены для корпоративных пользователей, чтобы заменить традиционные кабельные сети. Для проводной сети требуется тщательная разработка топологии сети и прокладка вручную многих сотен метров кабеля.

Сеть WLAN (беспроводная локальная сеть) – вид локальной вычислительной сети (LAN), использующий для связи и передачи данных между узлами высокочастотные радиоволны, а не кабельные соединения. Это гибкая система передачи данных, которая применяется как альтернатива кабельной локальной сети внутри одного офиса, здания или в пределах определенной территории. Данная технология позволяет экономить средства за счет отсутствия необходимости прокладывать метры кабеля, а простота установки не отнимает время на сложные ремонтно-технические работы. Расширение и реконфигурация сети для WLAN не является сложной задачей: пользовательские устройства можно интегрировать в сеть, установив на них беспроводные сетевые адаптеры.

Беспроводные сети используют радиочастоты, поскольку радиоволны внутри помещения проникают через стены и перекрытия. Диапазон или область охвата большинства систем WLAN достигает 160 м в зависимости от количества и вида встреченных препятствий. Скорость работы беспроводной сети сравнима со скоростью кабельной сети. Точно так же, как и в обычной сети, пропускная способность сети WLAN зависит от ее топологии, загрузки и расстояния до точки доступа. Количество пользователей практически неограниченно. Его можно увеличивать, просто устанавливая новые точки доступа. С помощью перекрывающихся точек доступа, настроенных на разные частоты, беспроводную сеть можно расширить за счет увеличения числа пользователей в одной зоне.

Однако технология Wi-Fi имеет ряд серьезных недостатков, главным из которых является сложность сохранения конфиденциальности пользователей.

Если для проникновения в обычную сеть злоумышленнику необходимо физически к ней подключиться, то в случае с Wi-Fi все намного проще – нужно всего лишь находиться в зоне приема сети. Какой вред может нанести хакер, проникший в вашу сеть? Кроме банального доступа к конфиденциальным файлам, это может быть рассылка спама от вашего имени, воровство интернет-трафика, прослушивание незащищенных разговоров и т. д. Сегодня сети Wi-Fi используют три основных алгоритма шифрования данных: WEP, WPA и WPA2.

Самый популярный стандарт шифрования WEP может быть относительно легко взломан даже при правильной конфигурации (из-за слабой стойкости алгоритма). Несмотря на то что новые устройства поддерживают более совершенный протокол шифрования данных WPA и WPA2, многие старые точки доступа не поддерживают его и требуют замены. Кроме того, даже протокол WPA не гарантирует полную безопасность. Семисимвольный пароль WPA, состоящий из одних только строчных букв, вскрывается методом грубой силы в течение 11 часов. Для более сложных паролей нужны дни. Но и это не так много, а ведь WPA считается – и по праву – очень надежной защитой.

Кроме того, очень часто пользователи сетей Wi-Fi подвергаются опасности по собственной вине или по вине компаний, предоставляющих услуги беспроводной связи. Британская страховая компания CPP провела эксперимент, проверив безопасность 40 тыс. сетей Wi-Fi в шести крупнейших городах страны. Он показал, что 20 тыс. из них вообще не имели пароля для доступа или базового шифрования. Однако даже многие сети, защищенные паролем, специалисты способны взломать в течение нескольких секунд.

В рамках эксперимента по «этическому взлому» эксперты CPP провели в каждом из городов по полчаса, используя свободно доступное всем программное обеспечение для получения доступа к как можно большему числу беспроводных сетей.

Почти четверть сетей Wi-Fi не были закрыты паролем для доступа, несмотря на то что 82 % британцев уверены в их полной безопасности. Впрочем, даже для защищенных сетей логины и пароли удавалось подбирать очень быстро. Так, в час экспериментаторы подбирали по 350 логинов и паролей, сидя в центре города в кафе или магазинах.

Эти факты свидетельствуют о том, что любая информация, которая передается через публичные сети, легко может быть доступна хакерам.

Джейсон Харт, старший вице-президент компании CryptoCard, который и выступил «хакером» в рамках эксперимента CPP, подчеркнул, что сейчас для взлома сетей злоумышленникам совсем не нужны какие-либо сложные инструменты – все необходимое можно получить в свободном доступе.

Следует отметить, что с ростом числа смартфонов и беспроводных сетей хакерам становится все легче взламывать логины и пароли, получая доступ к электронной почте, аккаунтам в социальных сетях, онлайн-банкингу пользователей и другой информации. Поэтому так важно заботиться о своей безопасности не только компаниям, но и частным лицам.

Недавно весь Интернет был взбудоражен еще одной новостью, относящейся к несовершенству безопасности сетей Wi-Fi. Было выпущено дополнение для Firefox, позволяющее получать доступ к чужим аккаунтам в Facebook и Twitter. Речь идет об использовании открытых сетей Wi-Fi, в которых не шифруются данные. Если раньше можно было стать жертвой лишь хорошо осведомленных хакеров, то теперь кибершпионаж доступен каждому.

Facebook и Twitter, а также ряд других сервисов, не использующих шифрование при передаче данных, теперь точно лучше не использовать в открытых сетях Wi-Fi. Разработчик Эрик Батлер выложил в открытый доступ расширение Firesheep для браузера Firefox, позволяющее получить доступ к чужим учетным записям в двух самых популярных социальных сетях в мире. Причем все, что требуется, – просто установить дополнение в свой браузер и вы уже видите в окошке Firesheep всех, кто заходил в одну из социальных сетей. Нажав на соответствующую пиктограмму, вы получаете доступ к компьютеру жертвы.

Если это произойдет с вами, то вы, скорее всего, даже не узнаете, как ваша переписка уже будет досконально изучена. Это дополнение по умолчанию может работать с огромным количеством популярнейших сервисов: Amazon. com, BaseСamp, bit.ly, Cisco, CNET, Dropbox, eNom, Evernote, Facebook, Flickr, GitHub, Google, Hacker News, Windows Live ID, New York Times, Pivotal Tracker, Slicehost, Tumblr, Twitter, WordPress, Yahoo! Yelp. Этим список не ограничится, так как к Firesheep можно подключить скрипты, с помощью которых можно получить доступ и к другим сервисам, так что в ближайшее время может появиться возможность взламывать и учетные записи в социальной сети «ВКонтакте».

К настоящему времени число загрузок этого расширения превысило 562 тыс., и в Сети, и в прессе развернулось бурное обсуждение юридических и этических аспектов его применения[12]12
  См.: Крылов Г. О. Международный опыт правового регулирования информационной безопасности и его применение в Российской Федерации: автореф. дис. … канд. юрид. наук. М., 2007.


[Закрыть]. Сам Эрик Батлер считает, что основная задача Firesheep – это привлечение внимания к недостаткам в системе безопасности многих популярных сайтов. В отличие от некоторых специалистов, он не сомневается в легальности использования Firesheep – хотя и не для доступа к чужим учетным записям без разрешения. Батлер высоко оценил реакцию Mozilla – разработчиков Firefox. Они не собираются бороться с его расширением, а реализуют в браузере технологии, упрощающие использование шифрования, но оно должно поддерживаться на стороне сайтов, и ответственность лежит прежде всего на них.

Эти факты говорят нам о том, что сегодня, когда сети Wi-Fi уже стали распространенным явлением и прочно вошли в наш обиход, стоит более грамотно подходить к вопросу их защиты от несанкционированного доступа. Причем об этом нужно задуматься не только разработчикам программного обеспечения и компаниям, предоставляющим услуги, но и пользователям. Иначе последствия могут быть очень серьезными, ведь сети Wi-Fi зачастую используются в офисах транснациональных корпораций и даже в государственных структурах.

2.4. Проблемы авторского права в интернете

Представители теле– и киноиндустрии, как правило, признают, что Интернет убил авторское право, и с пиратами лучше договариваться. Борцы с копирайтом добились признания. В Россию на IV Международный книжный фестиваль приехал Магнус Эрикссон, представитель известного торрент-трекера The Pirate Bay. За несколько лет существования этот торрент-трекер, способствуя беспрепятственному распространению информации в Сети, приобрел мировую известность. Судебный процесс, ставший вторым по длительности за всю историю Швеции, только укрепил ресурс в этой роли: портал здравствует и прирастает пользователями, а на недавних выборах в Швеции в парламент прошел депутат от новорожденной Пиратской партии. «Наш проект начался с девиза “Благосостояние начинается со скоростью 100 мегабит в час”», – рассказывает сам Магнус. Он подтвердил, что The Pirate Bay имеет стабильный доход от рекламы, однако весь он уходит на поддержание сайта. К разбирательству в суде участники проекта отнеслись скорее с юмором. «Это было похоже на музыкальный фестиваль. Собралось много приятных людей, которые вместо того, чтобы слушать рок-музыку, слушали выступления свидетелей, – улыбается Эрикссон. – У прокурора была большая проблема с тем, чтобы понять, что за технология имеется в виду. Также никто не мог понять, как такой огромный сайт может существовать без постоянного модерирования. Судебный процесс открыл много новых понятий: что такое ссылка, как организовать networking. И поставил главный вопрос: что такое Интернет – место, где каждый может обменяться информацией, или рыночная площадка для предприятий». Впрочем, шутками «зачинщикам» отделаться не удалось: четырех создателей проекта приговорили к году лишения свободы и штрафу в размере 3,6 млн дол. Инцидент с The Pirate Bay получил мировой резонанс: на сторону подсудимых встали практически все средства массовой информации, не говоря уже о рядовых пользователях, пустившихся в хакерские атаки на сайты противников The Pirate Bay в суде. Процесс заставил мир открыть глаза: «главная проблема – не борьба с пиратством, а борьба со временем», – считает Эрикссон. По состоянию на 2009 г., огромной интернет-аудитории невозможно доказать, что за что-то – например, за ту же музыку – необходимо платить из своего кармана. Продукт за деньги должен быть совершенно иного качества. Магнус привел в пример группу, которая выпустила альбом «три в одном»: стандартный вариант, сразу и бесплатно размещенный в Интернете, вариант с бонусами за доплату и вариант для избранных (лимитированное издание стоимостью 250 дол.).

Несколькими днями ранее на этом же книжном фестивале выступал генеральный директор Первого канала Константин Эрнст, заявления которого были созвучны со словами Эрикссона: «Музыка в Интернете уже убита с точки зрения авторских прав. То же самое произойдет и с видеоаудиопродукцией, как только скорость и качество улучшатся, а это произойдет в самые кратчайшие сроки, никакого контроля над распространением качественных аудиовизуальных произведений не будет. Эта проблема требует решения принципиально иного». Эрнст подчеркнул, что сейчас не существует адекватного закона, способного контролировать распространение аудиовизуальной продукции в Интернете. По его словам, бесполезно перед пиратами ломать копья закона. «Закон может подстроить какие-то логичные процессы, ускорить или замедлить, но базовый закон не может поменять ситуацию. Ни для кого не секрет, что, если не договорился с пиратами, то лицензионный релиз в лучшем случае потеряет 20 тысяч… а если договариваешься с пиратами, причем на взаимовыгодных условиях, тогда все и произойдет». Похоже, эту тропинку в будущее и прокладывает The Pirate Bay, со времени своего основания ставший настоящим культурным феноменом[13]13
  См.: Куусмаа А. Пираты победили в глобальной войне // Дни.ру: интернет-газета: сайт. URL: http://www.dni.ru/ culture/2009/6/17/168549.html (дата обращения: 27.02.2013).


[Закрыть].

Новая политическая партия, намеревающаяся отстаивать права граждан на бесплатное скачивание из Интернета материалов, защищенных авторским правом, готова появиться в Финляндии. Министерство юстиции этой страны заявило, что от партии для официальной регистрации требуется собрать пять тысяч подписей своих сторонников, после чего организация получит документы, подтверждающие ее политический статус, и сможет участвовать во всех проводимых в стране выборах.

Необходимо отметить, что после суда над The Pirate Bay в Швеции зародилось политическое движение сторонников компьютерного пиратства, которое быстро набирает популярность в разных европейских странах. Аналогичные финской партии уже есть во Франции, в Италии, Испании, Германии, Украине и ряде других государств.

2.5. Международный и национальный опыт уголовно-правового обеспечения информационной безопасности

Обеспечение информационной безопасности в уголовном праве европейских стран. Впервые на международном уровне попытка комплексного рассмотрения проблем компьютерной безопасности в уголовном праве была предпринята Организацией экономического сотрудничества и развития в 1986 г., когда по результатам работы правового комитета Организация рекомендовала отнести к уголовно наказуемым следующие действия:

– изменение компьютерных данных с целью незаконного обогащения;

– изменение компьютерных данных с целью подлога;

– изменение компьютерных данных с целью нарушения функционирования компьютеров;

– нарушение авторского права на компьютерные программы с целью наживы;

– доступ к компьютеру или перехват информации без разрешения ответственного лица путем нарушения охранных мер.

Рост компьютерной преступности вынудил еще одну международную организацию – Совет Европы – согласовать подход к выработке уголовно-правовых предписаний, направленных на борьбу с ней. Комитет министров Совета Европы рекомендовал в 1989 г. считать преступлениями следующее:

– компьютерное мошенничество;

– компьютерный подлог;

– компьютерный саботаж;

– несанкционированный доступ;

– неправомерное воспроизведение охраняемых авторским правом изделий и программ.

В 2001 г. Советом Европы была принята Конвенция о преступности в сфере компьютерной информации (ETS № 185), заключенная в г. Будапеште 23 ноября 2001 г.[14]14
  Документ опубликован не был. Доступ из справочной правовой системы «КонсультантПлюс».


[Закрыть], которая содержит следующие разделы:

Раздел 1. Преступления против конфиденциальности, целостности и доступности компьютерных данных и систем (противозаконный доступ, неправомерный перехват, воздействие на данные, воздействие на функционирование системы, противозаконное использование устройств).

Раздел 2. Правонарушения, связанные с использованием компьютерных средств (подлог с использованием компьютерных технологий, мошенничество с использованием компьютерных технологий).

Раздел 3. Правонарушения, связанные с содержанием данных (правонарушения, связанные с детской порнографией).

Раздел 4. Правонарушения, связанные с нарушением авторского права и смежных прав (правонарушения, связанные с нарушением авторского права и смежных прав).

Модельный уголовный кодекс стран – участниц СНГ. Выработка согласованных межгосударственных подходов к вопросам установления уголовной ответственности за совершение компьютерных преступлений проводилась при разработке Модельного Уголовного кодекса для государств – участников СНГ (принят постановлением Межпарламентской Ассамблеи государств – участников СНГ от 17 февраля 1996 г.)[15]15
  См.: Информационный бюллетень Межпарламентской Ассамблеи государств – участников СНГ. 1997. № 10.


[Закрыть]. В этом Кодексе предусмотрена уголовная ответственность:

– за несанкционированный доступ к компьютерной информации;

– модификацию компьютерной информации;

– компьютерный саботаж;

– неправомерное завладение компьютерной информацией;

– изготовление и сбыт специальных средств для получения неправомерного доступа к компьютерной системе или сети;

– разработку, использование и распространение вредоносных программ;

– нарушение правил эксплуатации компьютерной системы или сети.

Кроме того, распоряжением Правительства РФ от 28.05.2012 № 856-р подписано Соглашение о сотрудничестве государств – участников Содружества Независимых Государств в области обеспечения информационной безопасности[16]16
  См.: СЗ РФ. 2012. № 23. Ст. 3058.


[Закрыть].

В главе 28 Уголовного кодекса РФ определены следующие преступления в сфере компьютерной информации:

Статья 272. Неправомерный доступ к информации – неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации

Статья 273. Создание, использование и распространение вредоносных программ – создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации

Статья 274. Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и ИТ сетей – Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуникационных сетей и оконечного оборудования, а также правил доступа к информационно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб.

Международным сообществом признается факт неполноты норм международно-правового режима информационной безопасности в условиях стремительного повышения уровня информатизации общества.

Проблемы нормативного обеспечения международной информационной безопасности. В Окинавской хартии особо отмечено стремление укрепить нормативную базу, регулирующую информационные отношения.

В рамках ООН идет активный переговорный процесс по правовому режиму информационной безопасности. Этот процесс был инициирован Россией. С 1998 г. проблемы информационной безопасности обсуждались на всех сессиях Генеральной Ассамблеи ООН. Основными из них являются:

– определение основных понятий;

– создание международной системы мониторинга угроз информационной безопасности;

– разработка международно-правового режима информационной безопасности;

– разработка договора о борьбе с информационным терроризмом;

– предотвращение появления новой (информационной) сферы конфронтации;

– определение общих взглядов на использование информационных технологий как оружия;

– оценка разрушительных свойств вредоносных программ для критически важных элементов инфраструктуры государства;

– отказ от дезинформации с целью предотвращения разрушения духовной среды.

Разрешение данных проблем позволит обеспечить противодействие международной преступности в сфере компьютерной информации.