Методи захисту економічної інформації від несанкціонованого доступу

 

Зміст

 

Вступ

1. Стан інформатизації в світі

2. Стан захисту інформації в Україні

3. Методи захисту інформації

Висновки

Список використаної літератури

 


Вступ

 

В сучасних ринкових умовах господарювання інформаційна безпека в умовах глобального інформаційного суспільства відіграє провідну роль. Широка інформатизація всіх сфер життя суспільства, зокрема сфери забезпечення безпеки особи, суспільства, економіки і фінансів, державної інфраструктури, ставить питання про комплексний підхід до проблеми інформаційної безпеки.

Сьогодні всі економічно розвинуті країни широко використовують переваги нових інформаційних технологій у виробничій, комерційній та банківській сферах. Це пояснюється тим, що за допомогою традиційних методів неможливо зорієнтуватися в сучасному стрімкому інформаційному потоці й глибоко аналізувати динамічні процеси економічної діяльності підприємств. Найбільш швидко й ефективно розвиваються технології, пов’язані з глобальною комп’ютерною мережею Інтернет, що призвело до появи таких нових категорій, як е-торгівля, е-бізнес, е-уряд тощо.

 


1. Стан інформатизації в світі

 

Електронна комерція охопила весь світ, хоча кількість поширення електронних засобів у різних країнах є вкрай нерівномірними (за даними Nua Ltd.: у США та Європі по 200 млн. користувачів Інтернет, у Латинській Америці – 30 млн., Африці – 6 млн.). Обсяг електронних трансакцій на сьогодні складає сотні мільярдів доларів. Ключову роль тут відіграють "електронні гроші", виникнення яких пов'язують з появою в 1956 р. карток Bankamericard (тепер Visa), а слідом Master Charge (сьогодні MasterCard). Обсяги торгівлі в режимі “on-line” подвоюються кожні 100 днів. За прогнозами аналітиків, чисельність “електронних комерсантів” в 2005 р. сягатиме 1 млрд. осіб. Цей процес не обійшов і Україну, фінансові установи якої отримали доступ до міжнародних платіжних систем. Темпи росту кількості користувачів Інтернет у нашій державі, на відміну від західних країн продовжують залишатися високими. Сьогодні їх нараховується близько 2 млн. Однак, зі 100 осіб це тільки 4 громадянина користуються ресурсом мережі (в США відповідно 25осіб, а в Європі – 9).

Разом з тим, в інформаційному суспільстві виникли нові загрози, які стали серйозною перешкодою для електронного бізнесу. В грудні 2002 р. в Лондоні відбувся Перший міжнародний стратегічний конгрес „E-CRIME CONGRESS 2002”. В його роботі взяли участь близько 400 делегатів з усього світу, в тому числі з Австралії, Нової Зеландії, Кореї, Гонконгу, Росії, Латвії, США та ін. Вони представляли державні, комерційні, наукові та правоохоронні органи, що займаються проблемами захисту інформації і розслідуванням комп'ютерних злочинів. Зокрема, своїх представників на Конгрес делегували Міністерство внутрішніх справ Великобританії, Інтерпол, Європол, ФБР, Управління "Р" (Росія), Microsoft, Symantec, IBM, Sun Microsystems Ltd., VISA, MasterCard, eBay, Bank of New York, Swedbank та ін.

У своїй доповіді Віл’ям Барр, віце-президент групи страхових компаній, зокрема, виклав такі факти:

– 90 % організацій щорічно виявляють порушення інформаційних систем;

– 80 % з них підтверджують фінансові збитки;

– тільки один вірус NIMDA призвів до збитків, що склали понад 1,8 млрд. фунтів;

– щорічно викрадається приватної інформації на суму понад 38 мільярдів фунтів.

Перш за все слід розуміти, що промислових конкурентів цікавить інформація про ринки збуту, ділові контакти, технологічні секрети тощо.

На Всесвітньому економічному форумі в Давосі (Швейцарія), де збираються лідери політики й бізнесу з усього світу, у результаті злому комп'ютерної мережі в руках зловмисників виявилася приватна інформація про багатьох відомих людей. Зокрема, були викрадені номери кредитних карт, мобільних телефонів і адреси проживання таких людей, як лідер Палестини Ясір Арафат, президент ПАР Табо Мбеки, японський прем'єр-міністр Йосиро Морі, глава Microsoft Білл Гейтс.

У березні 2001 р. експерти з ФБР повідомили, що хакери з Росії та України протягом року зламали захист десятків онлайнових банків й одержали несанкціонований доступ до даних понад мільйона кредитних карток. Представники інституту SANS при ФБР заявили, що виявлене ними злочинне угруповання хакерів атакувало й зламало понад 40 сайтів категорії e-banking та e-commerce. Ці хакери є добре організованими, і їхні інтереси поширюються набагато далі, ніж декілька нелегальних операцій із кредитними картками. За даними ФБР, вони шантажують веб-сайти і вимагають викуп, загрожуючи опублікувати подробиці про слабкі місця в їхньому захисті, а також пустити в хід украдені кредитні картки. Крім того, хакери займалися й прямим рекетом, вимагаючи від компаній плату за ненапад на їхні системи. Прямі збитки, пов'язані з цими атаками, поділяють між собою продавці, емітенти кредитних карт і покупці, але збиток, заподіяний довірі споживачів, може виявитися набагато серйознішим.

23 квітня 2001 р. Федеральне бюро розслідувань США офіційно оголосило про арешт двох російських громадян, яких звинувачили у незаконному використанні комп'ютерної інформації приватного характеру. Росіян розшукувала поліція 10 штатів, а вони спокійно пожинали плоди своєї праці в Челябінську. Заступника прокурора міста Сієтла найбільше вразило те, що хакери використовували лише два звичайних домашніх комп'ютери .

 


2. Стан захисту інформації в Україні

 

Комп’ютерна злочинність в нашій державі ще не набула значних масштабів, але її прояви вже зафіксовано. Так 16-20 листопада 2001 р. була вражена вірусною атакою обчислювальна мережа Генеральної дирекції ВАТ "Укртелеком", яка налічує більше ніж 700 комп'ютерів і десятки серверів. Це призвело до тимчасового відключення комп'ютерів від Інтернету, а також вивело з ладу систему корпоративної електронної пошти. Збитки від атаки становили більше 1млн. грн. Нещодавно в м. Івано-Франківську було порушено кримінальну справу за фактом несанкціонованого підключення до мережі грошових переказів "Western Union". Злочинець перевів за межі держави й зняв з закордонних рахунків кошти у розмірі 20 тис. дол. США. Отже, перебуваючи в глобальному інформаційному просторі, Україна також гостро відчуває нові кіберзагрози щодо своїх інформаційних ресурсів.

Проведені восени 2002 р. дослідження Національного центру Великобританії з боротьби зі злочинами в сфері високих технологій, визначили найбільш серйозні види кіберзлочинності, які вбачають перед собою великі промислові підприємства.

В зв’язку з цим, для комерційних структур є стратегічним напрямком тісне співробітництво з правоохоронними органами для виявлення та переслідування правопорушників. Адже впровадження нових інформаційних технологій у сфері бізнесу – це закономірний історичний процес, що найближчим часом постійно розвиватиметься, а той, хто не скористається перевагами інформаційної революції, виявиться аутсайдером.

При відповідному організаційному, правовому та інженерно-технічному забезпеченні електронний бізнес дозволяє значно прискорити динаміку економічних процесів.

Вступ до "інформаційного суспільства" є однією з важливих умов економічного процвітання і духовного розвитку держав - членів міжнародного співтовариства, збереження стратегічної стабільності в світі. Реалії Інформаційного суспільства дедалі відчутніше змінюють життя нашої держави. Тож було поставлене завдання вивчення й прогнозування цього процесу та визначенням форм і способів участі України в цій діяльності. Концептуальну основу для її вирішення склав проект Концепції національної інформаційної політики України. Розробка проекту здійснювалася відповідно до Указу Президента України від 06.12.2001 року № 1193 "Про рішення Ради національної безпеки і оборони України від 31.10.2001 року "Про заходи щодо вдосконалення державної інформаційної політики та забезпечення інформаційної безпеки України"". Таким чином, розробка і прийняття даної Концепції фактично закріпила в якості державної політики рух України до інформаційного суспільства. Прийняття документа такого характеру є позитивною тенденцією, оскільки, як вказується в Окінавській хартії глобального інформаційного суспільства "інформаційне суспільство дозволяє людям ширше використовувати свій потенціал і реалізувати свої прагнення". Проте об'єктивні умови не дозволяють Концепції виступити у ролі основного документа формування системи інформаційної безпеки України. Вміст національних інтересів в інформаційній сфері, а також напрями забезпечення їх безпеки від дії зовнішніх і внутрішніх погроз відображає Доктрина інформаційної безпеки.

Сьогодні в Україні поступово створюються умови для комфортного ведення електронного бізнесу – різко зростає кількість автоматичних телефонних станцій, довжина та якість ліній зв'язку, реально починає працювати програма інформатизації, активно формується нормативно-правова база (Указ Президента України № 928/2000 від 31 липня 2000 р. "Про заходи щодо розвитку національної складової глобальної Інформаційної мережі Інтернет та забезпечення широкого доступу до цієї мережі в Україні", "Концепція реформування інформаційного законодавства" та ін.), у правоохоронних органах створені спеціальні підрозділи боротьби з комп'ютерними злочинами, восени 2002 р. зареєстровано Асоціацію захисників інформації.

Європейський Союз прийняв трирічний план з боротьби із шахрайством та з захисту кредитних карт громадян, який передбачає координацію зусиль урядів з метою забезпечення високого рівня безпеки вилучених трансакцій. Євросоюз заохочуватиме розробку й впровадження нових технічних засобів захисту кредитних карток і нових стандартів безпечних платежів через Інтернет. Крім того, проводитимуться заходи організаційного характеру, наприклад, створення загальноєвропейської телефонної лінії для прийому скарг на шахрайство й повідомлень про втрату кредитних карток.

На жаль, в Україні ще й досі не прийняті закони „Про електронні документи та електронний документообіг”, а також „Про електронний цифровий підпис”, хоча фахівці обговорюють їх ведеться вже тривалий час. Їх прийняття дозволить надати однакову юридичну силу традиційному та електронному документам. Актуальною є також ратифікація Європейської конвенції про кіберзлочинність, яка була підписала Україна 23 листопада 2001 р. у Будапешті разом з 30 іншими державами. Конвенція містить важливі положення, які направлені на боротьбу з кіберзлочинністю шляхом уніфікації законодавства й вирішення низки процедурних питань щодо співпраці правоохоронних органів.

 


3. Методи захисту інформації

 

Необхідно зазначити, що на сучасному етапі практично забезпечене конституційне право кожного вільно шукати, одержувати, передавати, проводити і поширювати інформацію будь-яким законним способом. Істотні позитивні зміни відбулися в інформаційному забезпеченні державної політики. Активно розвивається інфраструктура єдиного інформаційного простору України. Українські інформаційні і телекомунікаційні системи і мережі зв'язку реально інтегруються в світовий інформаційний простір. Вони побудовані з використанням останніх досягнень в сфері інформаційних технологій, які широко представлені на ринку, де активно діють практично всі крупні зарубіжні компанії-розробники. Інформаційні технології ефективно використовуються в діяльності практично всіх організацій і установ, державних органів і значної частини фізичних осіб. З метою здійснення державної політики в цій сфері прийняті і реалізуються національні програми "Електронна Україна" і "Електронний уряд".

Сформовані умови для забезпечення безпеки функціонування інформаційних і телекомунікаційних систем, що створюються на території України. Створені найважливіші регулюючі чинники державної дії на інформаційні процеси і інформатизацію: нормативно-правове забезпечення цієї сфери; системи ліцензування і сертифікації інформаційних продуктів і послуг, інформаційно-телекомунікаційних систем і мереж зв'язку, технологій. Так, в даний час законодавство в сфері інформаційного розвитку економіки і суспільства включає закони України: "Про державну таємницю", "Про захист інформації в АС", "Про інформацію", "Про зв'язок", "Про Національну систему конфіденційного зв'язку". Також необхідно врахувати і тенденції розвитку національної нормативної бази в даній сфері, а саме розгляд владою таких нових законів України як закони "Про електронний цифровий підпис", "Про електронний документообіг", "Про електронну комерцію" і ін.

Разом з тим на тлі цих помітних досягнень, на жаль, доводиться констатувати, що рівень розвитку інформаційної сфери України ще досить низький. Відставання від розвинених країн, за оцінкою фахівців, складає 10-15 років. Існують ряд серйозних проблем, рішення яких життєво необхідне для подальшого розвитку країни. Одночасно, оцінюючи ситуацію в сфері забезпечення інформаційної безпеки України в цілому, не дивлячись на наявні досягнення, слід зазначити, що вона тривожна.

Так, явно не відповідають порогнозам правові гарантії реалізації конституційних прав людини і громадянина на недоторканність приватного життя, на особисту і сімейну таємниці, на добре ім'я і честь, на охорону права інтелектуальної власності. Недостатніми є і гарантії свободи масової інформації. Більшість вітчизняних газет і журналів, зокрема регіональних, знаходяться в істотній фінансовій залежності від крупного капіталу, політичних партій, рухів і фондів, місцевих адміністрацій. Це приводить до віддзеркалення в їх інформаційній політиці, перш за все, інтересів фінансових спонсорів, далеко не завжди співпадаючих з інтересами держави і більшості населення. Представляється, що до найбільш серйозних проблем належить і необхідність прискорення розвитку вітчизняної індустрії конкурентноздатної продукції в сфері інформатизації, телекомунікації і зв'язку, забезпечення потреб внутрішнього ринку цією продукцією і вихід на світовий ринок.

Для вирішення даної проблеми доцільно використовувати, в першу чергу, заходи економічного і правового характеру. Серед них можна назвати розробку і реалізацію гнучкої інвестиційно-інноваційної політики в сфері розробки програмних продуктів, підтримки виходу продукції вітчизняної інформаційної індустрії на світовий ринок. Вдосконалення системи оподаткування українських підприємств, що працюють в сфері розробки сучасних інформаційних технологій. Зміцнення гарантій захисту прав суб'єктів на об'єкти інтелектуальної власності.

У міру розвитку української інформаційної інфраструктури зростає актуальність підвищення рівня безпеки всіх її складових. Тому іншою проблемою є захист інформаційних ресурсів від несанкціонованого доступу, забезпечення безпеки інформаційно - телекомунікаційних систем, активно використовуваних в різних сферах суспільного життя і діяльності держави. В умовах глобалізації інформаційна сфера стає як ареною міжнародної співпраці, так і ареною суперництва. Повномасштабне залучення України в процес формування глобального інформаційного суспільства, супроводжується забезпеченням її інформаційної безпеки, як одного з найважливіших стратегічних завдань безпеки національної. Актуальність даної проблеми багато в чому обумовлена зростанням "кіберзлочинності" і розширенням можливостей міжнародного тероризму по використанню сучасних інформаційних технологій для здійснення терористичних актів.

В умовах глобалізації інформаційних технологій об'єктом інформаційної злочинності стає весь світовий інформаційний простір в цілому і кожний його елемент зокрема. Нейтралізувати наслідки противоправних дій в інформаційній сфері, наприклад, інформаційного тероризму, надзвичайно важко, а іноді взагалі неможливо. Усвідомивши небезпеку, породжену глобалізацією інформаційних технологій, і розуміючи, що прогрес суспільства неможна зупинити, слід зосередитися на підтримці позитивних і нейтралізації негативних особливостей розвитку інформаційних технологій.

Для протидії інформаційним загрозам має бути розроблений чіткий план, який відображатиме персональну відповідальність кожного працівника, починаючи з технічного персоналу й закінчуючи вищою керівною ланкою. В плані мають визначатися також заходи щодо відновлення інформаційних ресурсів після їх ураження. Ці процедури слід постійно перевіряти. Розробці плану повинен передувати аналіз усіх інформаційних масивів та потоків інформації (як внутрішніх так і зовнішніх). Практика свідчить, що ефективний комплексний аудит є можливим лише за участі сторонньої спеціалізованої організації, яка має відповідну ліцензію на проведення такої діяльності. Останнім етапом щодо захисту інформації є страхування інформаційних ресурсів як від традиційних, так і від кіберзагроз.

На нашу думку, необхідно встановити більш тісний зв'язок між службами безпеки підприємств і правоохоронними органами. Адже латентність комп’ютерної злочинності, яка в першу чергу пов’язана з побоюванням щодо престижу організацій (особливо в банківських установах) та сумніву відносно кваліфікації спеціалістів технічного захисту тільки "заохочує" кіберзлочинців до нових атак.

Питання підвищення захищеності інформаційної інфраструктури постійно знаходяться в центрі уваги. В даний час необхідно проводити роботу за такими важливими напрямками, як:

- побудова системи забезпечення безпеки інформаційно-телекомунікаційних систем (інформаційні фонди і телекомунікаційні інфраструктури) як об'єктів дії ризиків;

- захист інформаційних систем (інформації, інформаційної інфраструктури) від протиправних посягань, досягнення незаконної мети, забезпечення антигромадських інтересів;

- вивчення і запобігання інформаційно-технологічних катастроф;

- стандартизація, сертифікація і аудит інформаційно-телекомунікаційних систем на предмет їх безпеки;

- забезпечення інформаційного і інформаційно-технічного виявлення, припинення, розкриття і розслідування протиправних посягань;

- формування інформаційного права як самостійної комплексної кодифікуючої галузі права;

- постійний моніторинг системи ризиків і погроз у сфері інформаційних відносин;

- кадрове забезпечення інформаційної безпеки.

Зростаюча концентрація даних поряд із їх доступністю завдяки комп’ютерним мережам потребує розробки і впровадження спеціаль­них методів захисту даних в автоматизованих системах.

Проблема захисту інформації виникла давно, ще в умовах централізованої обробки інформації із застосуванням великих ЕОМ, але свого критичного стану вона досягла разом з "комп’ютерним бумом".

Потреба захисту інформації зумовлена децентралізацією її обробки, полегшенням доступу до неї завдяки комп’ютерним мережам, необхідністю збереження комерційної таємниці.

Проблема захисту інформації в комп’ютерному середовищі складна і багатогранна. Можна назвати такі види зловживань, що існують сьогодні:

Знищення інформації.

Викрадення даних.

Зміна даних.

Неправильне використання технічних засобів.

Шахрайство.

Вандалізм.

Порушення умов захисту даних.

Вивчення кожного із названих видів зловживань і розроблення методів боротьби з ними може стати темою окремого дослідження.

Що являють собою названі види зловживань?

Знищення інформації – несанкціоноване знищення даних з метою приховання фактів зловживань або знищення їх через технічні причини (збій програми, поломка комп’ютера, непрофесійне корис­тування комп’ютером).

Викрадення даних може здійснюватися або безпосередньо з комп’ютера, або через комп’ютерну мережу. Парадокс полягає в тому, що разом із великими перевагами, нові комп’ютерні технології значно полегшили доступ до інформації завдяки розпов­сюд­женості ПК високій швидкості запису на дискету, легкості підключення до комп’ютерної мережі, екранним формам інформації.

Зміна даних – навмисне або випадкове викривлення даних через неправильне кодування, алгоритмізацію або суб’єктивні при­чини – неуважність, недисциплінованість.

Некоректне використання технічних засобів. Це такі види зловживань, як:

використання ПК для особистих цілей;

легкий доступ до ПК;

ненадійність програмного забезпечення;

віруси.

Досить поширеним зловживанням є використання ПК протягом робочого дня або після його закінчення для вирішення особистих задач, ігор, друкування. Для усунення таких зловживань існує спе­ціальна особа – адміністратор. Він повинен належним чином організовувати роботу і стежити за тим, щоб комп’ютерами не користувались сторонні особи.

Обмежений доступ до ПК досягається системою паролів та іншими засобами ініціалізації доступу.

Особлива проблема – ненадійність програмного забезпечення. Як правило, бухгалтерське програмне забезпечення розробляється на основі: 1) використання тільки мови програмування високого рівня (Visual Basic, C, C++, Delphi); 2) використання тільки СУБД; 3) комбінацій обох попередніх.

Такі персональні СУБД, як dBase, MS Access, Fox Pro, Paradox значною мірою відкриті для несанкціонованого доступу. На жаль, на їх основі розроблено чимало бухгалтерських програм, тому виправити це становище вже неможливо.

Системи управління базами даних, що розроблені пізніше (Oracle, Informix) вже мають високий захист від несанкціонованого доступу і в подальшому слід чекати появи СУБД тільки такого рівня.

Окремою проблемою є захист і боротьба з вірусами. Особливу шкоду наносять піратські диски. На таких дисках знаходиться неліцен­зоване програмне забезпечення, операційні системи, бух­галтерські про­грами, ігри. Нині в Україні особливо гостро стоїть питання боротьби з піратською продукцією. До цієї справи підключаються навіть міжнародні організації, шляхом запровадження економічних санкцій.

Шахрайство набуло значного розмаху і досконалих форм. Особу, яка займається комп’ютерним шахрайством, називають "хакер". Відомі випадки, коли хакери одержували великі суми грошей, знаходячи доступ до грошових рахунків або засекреченої інформації.

Вандалізм – особливий вид пошкодження програм, інформації і навіть техніки, який не піддається логічному поясненню.

На сьогодні існує чимало методів захисту інформації, їх можна поділити на автоматизовані і неавтоматизовані.

Автоматизовані методи захисту:

Контроль достовірності інформації машинними методами.

Тестування точності роботи технічних засобів.

Автоматизація доступу до необхідної інформації.

Регулярна перевірка програмного забезпечення.

Копіювання оперативної й умовно-постійної інформації.

Неавтоматизовані методи захисту:

Фізичний захист технічних засобів.

Чітке визначення службових обов’язків посадових осіб.

Чітке виконання службових інструкцій всіма особами, які працю­ють із технічними засобами.

 


Висновки

 

Отже, на сучасному етапі необхідне глибоке усвідомлення на всіх рівнях державного управління тієї істини, що формування, поширення, використання і захист інформаційних ресурсів України є основою забезпечення її національних інтересів в інформаційній сфері, становлення і розвитку інформаційного простору та його інтегрування у світовий інформаційний простір.

Таким чином надійність програмного забезпечення пов’язана не тільки із засобами його створення. Вона пов’язана із виникненням різних аварійних і позаштатних ситуацій під час експлуатації, які викликані зовнішніми обставинами: перепади напруги в мережі, збій у роботі вузлів комп’ютерної системи (наприклад, вихід із ладу центрального процесора, обривання мережевого кабелю, механічне пошкодження носіїв інформації).

Найбільш чутливі до позаштатних ситуацій такі операції, як: розрахунки зарплати, амортизаційних відрахувань; розрахунки, пов’я­зані з переоцінкою, тобто з модифікацією великих масивів даних. Захист від таких ситуацій полягає у веденні протоколів роботи й архівуванні їх в кінці робочого дня.

 


Список використаної літератури

 

Івахненков С.В. Комп'ютерний аудит: контрольні методики і технології. — К. : Знання, 2005

Романов А.Н., Одинцов Б.Е. Компьютеризация аудиторской деятельности: Учеб. пособие для студ. вузов, обуч. по спец. "Бухгалтерский учет и аудит". — М. : Аудит, 1996

Бутинець Ф.Ф., Івахненко С.В., Давидюк Т.В., Шахрайчук Т.В. Інформаційні системи бухгалтерського обліку: Підручник для студ. вузів спец. 7.050106 "Облік і аудит" / Житомирський інженерно-технологічний ін-т / Франц Францович Бутинець (ред.). — 2-е вид., перероб. і доп. — Житомир : ПП "Рута", 2002

Піхоцький В.Ф., Яцищин Ю.В. Інформаційні системи у податковому контролі й аудиті: Навч. посібник / Державна податкова адміністрація України ; Національна академія держ. податкової служби України. — Ірпінь : Національна академія ДПС України, 2004