Попередження злочинів у сфері комп'ютерної інформації
Комп'ютерні злочини, будь-яка протиправна дія, при якому комп'ютер виступає або як об'єкт, проти якого скоюється злочин, або як інструмент, який використовується для здійснення злочинних дій. До комп'ютерних злочинів відноситься широке коло дій, які можна розділити на чотири категорії: крадіжка комп'ютерного обладнання; комп'ютерне піратство (незаконна діяльність у сфері програмного забезпечення); несанкціонований доступ до комп'ютерної системи з метою пошкодження або руйнування інформації; використання комп'ютера для здійснення протизаконних або шахрайських дій . Оскільки комп'ютерні системи отримують все більш широке поширення, а ділові кола у все більшій мірі покладаються на комп'ютери і часто зберігають на них конфіденційну інформацію, злочинці знаходять все більше шляхів використання комп'ютерів для скоєння протиправних дій.
Крадіжка комп'ютерного обладнання
Найбільш очевидною формою комп'ютерних злочинів є крадіжка комп'ютерного обладнання та компонентів з місць їх виробництва, продажу або експлуатації. Злодії викрадають комп'ютери, принтери та інше обладнання, щоб нажитися на їх перепродажу. Вкрадені вироби зазвичай продаються на чорному ринку. Комп'ютерна галузь поклала початок «сірому» ринку, який, строго кажучи, не вважається нелегальним, але діє, не використовуючи загальноприйняті канали розповсюдження і продажів. На сірому ринку неофіційні дилери продають товари, куплені в інших країнах за більш низькими цінами чи в якого-небудь офіційного дилера, що закупив, в розрахунку на значну знижку від виробника, більше апаратури, ніж він був в змозі продати. Комп'ютери, що продаються на сірому ринку, найчастіше мають пошкоджені заводські номери і не забезпечуються гарантією.
Комп'ютерна техніка і мікросхеми мають високою вартістю. Один лише мікропроцесор, інтегральна схема або група мікросхем, призначених для обробки інформації, можуть коштувати 100 дол і більше. Мікропроцесори та інші комп'ютерні мікросхеми не мають заводських номерів, що ускладнює їх відстеження. Висока цінність таких мікросхем і труднощі ідентифікації роблять їх мішенню злочинних організацій, які часто продають викрадені мікросхеми на ринках у лічені години після викрадення. Щоб обмежити злодійство мікропроцесорів, виробники мікросхем розробляють різні способи гравірування заводських номерів на мікросхемах або внесення ідентифікуючої інформації в ланцюзі мікросхеми.
Організовані злочинні групи виявляють винахідливість і розширюють масштаби грабежу компаній, що випускають мікропроцесори, схеми пам'яті та інші компоненти комп'ютерів. Щороку вартість мікросхем і інших компонентів, викрадених у «Кремнієвої долини» (шт. Каліфорнія, іноді званої також «Силіконовою долиною») оцінюється в 100 млн. дол У 1996 органи підтримання правопорядку в США розкрили кілька злочинних угруповань, що діяли в сферах високотехнологічних галузей , виявивши і вилучивши у них електронні компоненти на мільйони доларів.
Піратське використання програмного забезпечення
Комп'ютерні програми захищені авторським правом, і, отже, їх не можна репродукувати і використовувати без дозволу правовласника. Піратські дії в галузі програмного забезпечення - це несанкціоноване копіювання комп'ютерних програм для власного користування або перепродажу. Часто яка-небудь компанія або фізична особа, які придбали, наприклад, одну копію тієї чи іншої програми, вважають, що це дає їм право копіювати дану програму. Насправді таке копіювання протизаконно до тих пір, поки воно не буде дозволено спеціальною угодою (ліцензією), обговорюються умови її використання.
Деякі люди, намагаючись не порушувати закони, все ж купують копію програмного забезпечення, а не оригінальну програму у того, хто її випускає. Незаконне тиражування копій програм і продаж фальшивих версій популярного програмного забезпечення здійснюється в широких масштабах. Порушення авторських прав і піратство в галузі комп'ютерного програмного забезпечення виявилися також у центрі міжнародних економічних відносин. Фальшиві програмні засоби можна придбати за дуже низькими цінами на блошиних ринках, у роздрібній торгівлі, на східних базарах і в інших слабо контрольованих місцях торгівлі.
Хакерство
Один з видів комп'ютерних злочинів називають «хакерством» (цей термін відноситься до несанкціонованого входу в комп'ютерну систему). Щоб отримати доступ до «захищеною» комп'ютерній системі або мережі, користувач повинен мати пароль. Хакери користуються безліччю різних способів для того, щоб розпізнавати секретні паролі або обійти парольний захист системи. Можливість вторгнення в комп'ютери по телефонних мережах і через пов'язані між собою комп'ютерні системи, не залишаючи після себе відбитків пальців або слідів, істотно ускладнює ідентифікацію і затримання хакерів.
Опинившись «всередині» комп'ютерної системи, хакер може змінити, видалити або скопіювати дані, що зберігаються в мережі. Хакер може зібрати конфіденційну особисту і фінансову інформацію про компанії та окремих осіб, а потім використовувати її за допомогою вимагання або шляхом банківського шахрайства. Він може перехопити інформацію, передану по лініях зв'язку, скопіювати дані, передані через мережу Інтернет, зафіксувати номери кредитних карток і особисті паролі. Хакер може ввести в систему програмні коди чи змінити існуючі, в результаті чого комп'ютери будуть виконувати команди цього хакера. Так, наприклад, хакер може розмістити невелику програму на одному з мережевих серверів, щоб зібрати паролі законних користувачів мережі. Маючи в своєму розпорядженні паролями, хакер потім може знову проникнути в мережу, але вже з меншими труднощами. З часу появи персонального комп'ютера хакери багато разів вторгалися в комп'ютерні системи, щоб маніпулювати даними всіма мислимими способами - від виправлення своїх шкільних оцінок і рахунків за телефонні розмови до «вторгнення зі зломом» в здаються надійно захищеними системи урядових та фінансових організацій.
Хоча такі дії протизаконні, не всі хакери діють із злочинними намірами. Багато з них при цьому намагаються вирішити ту чи іншу технічну задачу або подолати систему захисту комп'ютера з метою самоствердження. Оскільки термін «хакер» може мати і позитивне значення, що дає образ кмітливого програміста, здатного поєднати в одне ціле коди програм і змусити комп'ютери виконувати складні завдання, то тих, хто вламується в комп'ютерні системи з злочинними намірами, називають «зломщиками» (crackers). Термін «телефонні шахраї» (phone phreaks) використовується для характеристики людей, детально розбираються в телефонних системах і використовують свої знання і досвід для того, щоб робити телефонні дзвінки, які не піддаються простежування і за які телефонна компанія не в змозі виставити рахунок.
Хакери, кракери і телефонні шахраї - це звичайно молоді люди, і Інтернет служить для них віртуальною спільнотою, де вони можуть поділитися своїми секретами та іншою інформацією, а також похвалитися своїми «подвигами». Оскільки ні один уряд не має юрисдикції над кіберпростором та Інтернет взагалі важко захистити звичайними законами, глобальна мережа виявилася привабливою сферою дій для хакерів. У той же час Інтернет став одним з нових засобів боротьби зі злочинністю, так як поліція використовує збирається по мережі інформацію для відстеження та затримання осіб, які вчиняють протиправні дії.
Програмні віруси
Програмний вірус - це комп'ютерна програма, розрахована на те, щоб порушити нормальне функціонування комп'ютера. Вірус можна розглядати як прикру перешкоду, але ушкодження, яке він здатний завдати даних, що зберігаються, є злочином. Хакери, які пишуть такі програми, піддаються арештам, судових переслідувань і покарань за скоєні ними правопорушення. Зазвичай вірусна програма вбудовується в іншу зовні цілком нешкідливу програму, наприклад таку, як утиліта для обробки тексту, яку можна безкоштовно отримати з мережі Інтернет або з якої-небудь іншої комп'ютерної системи з електронною дошкою оголошень. Коли така утиліта виконується на комп'ютері, він звільняє вірус, який виконує ті неправедні справи, на які його запрограмували. Деякі віруси швидше дріб'язкові або фривольні, ніж шкідливі. Вони можуть відтворити на екрані ексцентричне повідомлення і потім стерти його з пам'яті комп'ютера, щоб не можна було простежити їх походження. Однак багато віруси ушкоджують основні характеристики комп'ютера або дані. Відомі віруси, копіюють себе в пам'ять комп'ютера, що викликає уповільнення роботи комп'ютера, аж до його граничної перевантаження вірусом і неможливості виконання своїх завдань. Вірус може також стерти важливі комп'ютерні файли або зруйнувати і навіть знищити дані на жорсткому диску. Більшість вірусних програм написано здатними програмістами в якості ефектних трюків, які демонструють високий рівень їх технічних знань. Щоб протидіяти таким вірусам, компанії розробляють програми виявлення вірусів, які розпізнають і видаляють віруси із заражених комп'ютерів, а також захищають комп'ютери від інфікування.
Комп'ютерне шахрайство
Комп'ютери можуть бути використані і в якості інструментів для здійснення різних злочинів, починаючи від поширення протизаконних матеріалів і закінчуючи сприянням бізнесу, заснованого на шахрайстві.
Інтернет і різні оперативні інформаційні служби, такі, як «Америка онлайн» і «Компьюсерв», використовувалися для поширення порнографії та інших матеріалів, які можуть розглядатися як протизаконні, аморальні або шкідливі. Так, у США вважається протизаконним поширення «дитячої порнографії». Користуючись цифровою фотокамерою або сканером, правопорушники створюють електронні порнографічні зображення і розсилають їх по електронній пошті. Така діяльність може залишатися невиявленої, якщо матеріали пересилаються від одного приватного абонента електронної пошти до іншого. І все ж поліцейські органи США виявили і припинили діяльність декількох злочинних груп, що займалися розповсюдженням матеріалів дитячої порнографії по комп'ютерних мережах.
Для обману людей використовувалася мережа Інтернет. Можливість послати електронну пошту практично будь-якому адресату або опублікувати інформацію в WWW дозволяє любителям легкої наживи випрошувати гроші на всякі різновиди шахрайського бізнесу, включаючи різні варіанти швидкого збагачення і дива з схудненням. Інший тип шахрайства зустрічається, коли шахрай приховує свою справжню особистість при отриманих повідомлень електронною поштою або розмові в реальному часі в «дискусійних кімнатах» оперативних інформаційних служб. Часто в діалозі такого роду користуються вигаданими іменами, щоб забезпечити собі анонімність, яка дозволяє людям розмовляти більш відверто. Іноді такий анонім може видати себе за особу іншої статі або віку, щоб скористатися довірою співрозмовника в злочинних цілях.
Закони в кіберпросторі
Оскільки вільний інформаційний обмін через космос за допомогою комп'ютерних мереж представляв собою одну з новинок кінця 20 ст., Закони про охорону авторських прав і недоторканності приватного життя, а також регламентації зв'язки ще недостатньо розроблені. В кінці 20 ст. компанії займалися розробкою юридичних норм і пакетів програмних засобів, які могли б захистити бази даних, а також конфіденційну фінансову інформацію. До цих пір навести правовий порядок в роботі мережі Інтернет не вдається. Мережа не має фізично виражених географічних кордонів, а передана по ній інформація важко піддається оцінці і контролю. Крім того, законодавці, судді та представники виконавчої влади часто не розбираються в нових технологіях, що ускладнює для них вирішення питань про прийняття законів і про судове переслідування за вчинення комп'ютерних злочинів.
У попередніх розділах було аргументовано показано, що в результаті створення, розповсюдження і використання шкідливої програми, а також виходу з ладу або помилки в роботі комп'ютерного забезпечення можуть призвести до тяжких наслідків. Саме тому питання комп'ютерної безпеки стають першочерговими. Серед найбільш ефективним заходів, спрямованих на попередження злочинів у сфері комп'ютерної інформації виділяють технічні, організаційні та правові.
1) До технічних заходів можна віднести захист від несанкціонованого доступу до системи, резервування особливо важливих комп'ютерних підсистем, організацію обчислювальних мереж з можливістю перерозподілу ресурсів у разі порушення працездатності окремих ланок, установку устаткування виявлення і гасіння пожежі, устаткування виявлення води, прийняття конструкційних заходів захисту від розкрадань, саботажу, диверсій, вибухів, установку резервних систем електроживлення, оснащення приміщень замками, установку сигналізації і багато чого іншого.
2) До організаційних заходів відноситься охорона обчислювального центру, ретельний підбір персоналу, виключення випадків ведення особливо важливих робіт лише однією людиною, наявність плану відновлення працездатності центру після виходу його з ладу, організацію обслуговування обчислювального центру сторонньою організацією або особами, незацікавленими в приховуванні фактів порушення роботи центру, універсальність засобів захисту від усіх користувачів (включаючи вище керівництво), покладання відповідальності на осіб, які повинні забезпечити безпеку центру, вибір місця розташування центру і т.п.
3) До правових заходів слід віднести розробку правових норм, що встановлюють кримінальну відповідальність за комп'ютерні злочини, захист авторських прав програмістів, вдосконалення кримінального і цивільного законодавства, а також судочинства. До правових заходів належать також питання державного контролю за розробниками комп'ютерних програм і прийняття міжнародних договорів про їх обмеження, якщо вони впливають або можуть вплинути на військові, економічні та соціальні аспекти країн та ін
Способи захисту комп'ютерної інформації від злочинних посягань
Концентрація інформації в машинній пам'яті комп'ютерів - аналогічно концентрації готівкових грошей в банках - змушує все більше посилювати контроль з метою захисту інформації. Юридичні питання, приватна таємниця, національна безпека - всі ці положення вимагають посилення внутрішнього контролю в комерційних та урядових організаціях. Дослідження в цьому напрямку привели до появи нової дисципліни: безпека інформації. Фахівець у галузі безпеки інформації відповідає за розробку, реалізацію та експлуатацію системи забезпечення інформаційної безпеки, спрямованої на підтримку цілісності, придатності та конфіденційності накопиченої в організації інформації. У його функції входить забезпечення фізичної (технічні засоби, лінії зв'язку і віддалені комп'ютери) і логічної (дані, прикладні програми, операційна система) захисту інформаційних ресурсів. При розгляді проблем захисту даних в мережі насамперед виникає питання про класифікацію збоїв і порушень прав доступу, які можуть призвести до знищення або небажаної модифікації даних. Серед таких потенційних "загроз" можна виділити:
1. Збої обладнання:
- Збої кабельної системи;
- Перебої електроживлення;
- Збої дискових систем;
- Збої систем архівації даних;
- Збої роботи серверів, робочих станцій, мережевих карт і т.д.
2. Втрати інформації з-за некоректної роботи обладнання:
- Втрата або зміна даних при помилках обладнання;
- Втрати при зараженні системи комп'ютерними вірусами;
3. Втрати, пов'язані з несанкціонованим доступом:
- Несанкціоноване копіювання, знищення або
підробка інформації;
- Ознайомлення з конфіденційною інформацією,
складової таємницю, сторонніх осіб;
4. Втрати інформації, пов'язані з неправильним зберіганням архівних даних.
5. Помилки обслуговуючого персоналу і користувачів:
- Випадкове знищення чи зміну даних;
-Некоректне використання програмного і апаратного забезпечення, що веде до знищення чи зміни даних;
У залежності від можливих видів порушень роботи мережі (під порушенням роботи мається на увазі і протиправний несанкціонований доступ) численні види захисту інформації об'єднуються в три основні класи:
- Засоби фізичного захисту, що включають засоби захисту кабельної системи, систем електроживлення, засоби архівації, дискові масиви і т.д.
-Засоби захисту від стихійних лих - пожеж, землетрусів, повеней і т.д. - Полягає у зберіганні архівних копій інформації або в розміщенні деяких мережних пристроїв, наприклад, серверів баз даних, в спеціальних захищених приміщеннях, розташованих, як правило, в інших будівлях або, рідше, навіть в іншому районі міста або в іншому місті.
- Програмні засоби захисту, в тому числі: антивірусні програми, системи розмежування повноважень, програмні засоби контролю доступу.
- Адміністративні заходи захисту, які включають контроль доступу в приміщення, розробку стратегії безпеки фірми, планів дій у надзвичайних ситуаціях і т.д.
Слід зазначити, що таке розподіл є досить умовним, оскільки сучасні технології розвиваються в напрямку поєднання програмних і апаратних засобів захисту. Найбільшого поширення такі програмно-апаратні засоби отримали, зокрема, в галузі контролю доступу, захисту від вірусів і т.д.
Проблема захисту інформації від протиправного несанкціонованого доступу особливо загострилася з широким розповсюдженням локальних і, особливо, глобальних комп'ютерних мереж. Необхідно також відзначити, що найчастіше збиток завдається не через "злого наміру", а з-за елементарних помилок користувачів, які випадково псують чи видаляють життєво важливі дані. У зв'язку з цим, крім контролю доступу, необхідним елементом захисту інформації в комп'ютерних мережах є розмежування повноважень користувачів.
У комп'ютерних мережах при організації контролю доступу та розмежування повноважень користувачів найчастіше використовуються вбудовані засоби мережевих операційних систем. Так, найбільший виробник мережевих ОС - корпорація Novell - у своєму останньому продукті NetWare 4.1 передбачив крім стандартних засобів обмеження доступу, таких, як система паролів та розмежування повноважень, ряд нових можливостей, які забезпечують перший клас захисту даних. Нова версія NetWare передбачає, зокрема, можливість кодування даних за принципом "відкритого ключа" (алгоритм RSA) з формуванням електронного підпису для переданих по мережі пакетів. У той же час в такій системі організації захисту все одно залишається слабке місце: рівень доступу і можливість входу в систему визначаються спеціальним відомим законним користувачем паролем. Не секрет, що пароль можна підглянути або підібрати. Для виключення можливості несанкціонованого входу в комп'ютерну мережу в останнім часом використовується комбінований підхід - пароль + ідентифікація користувача по персональному "ключу". У якості "ключа" може використовуватися пластикова карта (магнітна або з вбудованою мікросхемою - smart-card) або різні пристрої для ідентифікації особи за біометричної інформації - по райдужній оболонці ока чи відбитків пальців, розмірами кисті руки і так далі.
Оснастивши сервер або мережеві робочі станції, наприклад, пристроєм читання смарт-карток і спеціальним програмним забезпеченням, можна значно підвищити ступінь захисту від протиправного несанкціонованого доступу. У цьому випадку для доступу до комп'ютера законний користувач повинен вставити смарт-карту в пристрій читання і ввести свій персональний код. Програмне забезпечення дозволяє встановити декілька рівнів безпеки, які управляються системним адміністратором. Можливий і комбінований підхід з введенням додаткового пароля, при цьому прийняті спеціальні заходи проти "перехоплення" пароля з клавіатури. Цей підхід значно надійніше застосування паролів, оскільки, якщо правопорушник якимось чином дізнався спеціальний пароль, законний користувач про це може не знати, якщо ж зникла картка, можна вжити заходів негайно. Смарт-карти управління доступом дозволяють реалізувати, зокрема, такі функції, як контроль входу, доступ до пристроїв персонального комп'ютера, доступ до програм, файлів і команд. Крім того, можливе також здійснення контрольних функцій, зокрема, реєстрація спроб порушення доступу до ресурсів, використання заборонених утиліт, програм, команд DOS. Одним з вдалих прикладів створення комплексного рішення для контролю доступу до комп'ютерної інформації у відкритих системах, заснованого як на програмних, так і на апаратних засобах захисту, стала система Kerberos. В основі цієї схеми авторизації лежать три компоненти:
- База даних, що містить інформацію по всіх мережних ресурсів, користувачам, паролів, шифрувальним ключам і т.д.
- Авторизаційний сервер (authentication server), що обробляє всі запити користувачів на предмет отримання того чи іншого виду мережевих послуг. Авторизаційний сервер, отримуючи запит від користувача, звертається до бази даних, і визначає, чи має користувач право на здійснення даної операції. Примітно, що паролі користувачів по мережі не передаються, що також підвищує ступінь захисту інформації.
- Ticket-granting server (сервер видачі дозволів) отримує від авторизаційного сервера "пропуск", що містить ім'я користувача і його мережеву адресу, час запиту і ряд інших параметрів, а також унікальний сесійний ключ. Пакет, що містить "пропуск", передається також в зашифрованому за алгоритмом DES вигляді. Після отримання та розшифровки "пропуску" сервер видачі дозволів перевіряє запит і порівнює ключі і потім дає "добро" на використання мережевої апаратури або програм.
Серед інших подібних комплексних схем можна зазначити розроблену Європейською Асоціацією Виробників Комп'ютерів (ECMA) систему Sesame (Secure European System for Applications in Multivendor Environment), призначену для використання у великих гетерогенних мережах. У міру розширення діяльності підприємств, зростання чисельності персоналу і появи нових філій, виникає необхідність доступу віддалених користувачів (або груп користувачів) до обчислювальних та інформаційних ресурсів головного офісу компанії. Компанія Datapro свідчить, що вже в 1995 році тільки в США число працівників постійно або тимчасово використовують віддалений доступ до комп'ютерних мереж, складе 25 мільйонів чоловік. Найчастіше для організації віддаленого доступу використовуються кабельні лінії (звичайні телефонні або виділені) і радіоканали. У зв'язку з цим захист інформації, переданої по каналах віддаленого доступу, вимагає особливого підходу. Зокрема, в маршрутизаторах віддаленого доступу застосовується сегментація пакетів - їх поділ і передача паралельно по двох лініях, - що робить неможливим "перехоплення" даних при незаконному несанкціонованому підключенні правопорушника "хакера" до однієї з ліній. До того ж використовується при передачі даних процедура стиснення переданих пакетів гарантує неможливість розшифровки "перехоплених" даних. Крім того, маршрутизатори віддаленого доступу можуть бути запрограмовані таким чином, що віддалені користувачі будуть обмежені в доступі до окремих ресурсів мережі головного офісу.
Також розроблені і спеціальні пристрої контролю доступу до комп'ютерних мереж по комутованих лініях. Наприклад, фірмою AT & T пропонується модуль Remote Port Security Device (PRSD), що представляє собою два блоки розміром зі звичайний модем: RPSD Lock (замок), що встановлюється в центральному офісі, і RPSD Key (ключ), що підключається до модему віддаленого користувача. RPSD Key і Lock дозволяють встановити декілька рівнів захисту і контролю доступу, зокрема:
- Шифрування даних, переданих по лінії за допомогою генеруються цифрових ключів;
- Контроль доступу в залежності від дня тижня або часу доби (всього 14 обмежень).
Широке поширення радіомереж в останні роки поставило розробників радіосистем перед необхідністю захисту інформації від "хакерів", озброєних різноманітними сканирующими пристроями. Були застосовані різноманітні технічні рішення. Наприклад, у радіомережі компанії RAM Mobil Data інформаційні пакети передаються через різні канали і базові станції, що робить практично неможливим для сторонніх зібрати всю передану інформацію воєдино. Активно використовуються в радіомережах і технології шифрування даних за допомогою алгоритмів DES і RSA.
Шифрування комп'ютерної інформації. Складність створення системи захисту інформації визначається тим, що дані можуть бути викрадені злочинцем з комп'ютера і водночас залишатися на місці; цінність деяких даних полягає у володінні ними, а не в знищенні або зміну. Забезпечення безпеки інформації - дорога справа, і не стільки через витрати на закупівлю або встановлення засобів, скільки через те, що важко кваліфіковано визначити межі розумної безпеки і відповідного підтримки системи в працездатному стані. Якщо локальна мережа розроблялася з метою спільного використання ліцензійних програмних засобів, дорогих кольорових принтерів або великих файлів загальнодоступної інформації, то немає ніякої потреби навіть у мінімальних системах шифрування / дешифрування інформації. Засоби захисту інформації не можна проектувати, купувати чи встановлювати до тих пір, поки не зроблений відповідний аналіз. Аналіз ризику повинен дати об'єктивну оцінку багатьох факторів (схильність появи порушення роботи, ймовірність появи порушення роботи, збиток від комерційних втрат, зниження коефіцієнта готовності системи, суспільні відносини, юридичні проблеми) і надати інформацію для визначення підходящих типів і рівнів безпеки. Комерційні організації все більшою мірою переносять критичну корпоративну інформацію з великих обчислювальних систем в середу відкритих систем і зустрічаються з новими і складними проблемами при реалізації і експлуатації системи безпеки. Сьогодні все більше організацій розгортають потужні розподілені бази даних і програми, клієнт / сервер для управління комерційними даними. При збільшенні розподілу зростає також і ризик неавторизованого доступу до даних і їх спотворення. Шифрування даних традиційно використовувалося урядовими і оборонними департаментами, але у зв'язку зі зміною потреб і деякі найбільш солідні компанії починають використовувати можливості, що надаються шифруванням для забезпечення конфіденційності інформації.
Практика економічно розвинутих країн, насамперед США показує, що фінансові служби компаній представляють важливу і велику користувача базу і часто специфічні вимоги пред'являються до алгоритму, що використовується в процесі шифрування. Опубліковані алгоритми, наприклад DES (див. нижче), є обов'язковими. У той же час, ринок комерційних систем не завжди вимагає такої суворої захисту, як урядові або оборонні відомства, тому можливе застосування продуктів та іншого типу, наприклад PGP (Pretty Good Privacy). Шифрування даних може здійснюватися у режимах On-line (в темпі надходження інформації) і Off-line (автономному). Найбільший інтерес і практичне застосування має перший тип з його основними алгоритмами. Стандарт шифрування даних DES (Data Encryption Standart) був розроблений фірмою IBM на початку 70-х років і в даний час є урядовим стандартом для шифрування цифрової інформації. Він рекомендований Асоціацією Американських Банкірів. Складний алгоритм DES використовує ключ довжиною 56 біт і 8 бітів перевірки на парність і вимагає від зловмисника перебору 72 квадріліонов можливих ключових комбінацій, забезпечуючи високий ступінь захисту при невеликих витратах. При частій зміні ключів алгоритм задовільно вирішує проблему перетворення конфіденційної інформації в недоступну. Алгоритм RSA був винайдений Рівестом, Шамір і Альдеманом в 1976 році і являє собою значний крок у криптографії. Цей алгоритм також був прийнятий як стандарт Національним Бюро Стандартів DES, технічно є симетричним алгоритмом, а RSA - асиметричні, тобто він використовує різні ключі для шифрування і дешифрування. Користувачі мають два ключі і можуть широко розповсюджувати свій відкритий ключ. Відкритий ключ використовується для шифрування повідомлення користувачем, але тільки певний одержувач може дешифрувати його своїм секретним ключем; відкритий ключ марний для дешифрування. Це робить непотрібними секретні угоди про передачу ключів між кореспондентами. DES визначає довжину даних і ключа в бітах, а RSA може бути реалізований при будь-якій довжині ключа. Чим довший ключ, тим вище рівень безпеки (але стає тривалішим і процес шифрування і дешифрування). Якщо ключі DES можна згенерувати за мікросекунди, то приблизний час генерації ключа RSA - десятки секунд. Тому відкриті ключі RSA воліють розробники програмних засобів, а секретні ключі DES - розробники апаратури.
Висновки, результати дослідження
Проведене в даній роботі дослідження російського кримінального законодавства у сфері комп'ютерної інформації, розкриття поняття, складу злочинів у сфері комп'ютерної інформації, розгляд окремих видів комп'ютерних злочинів і способів захисту комп'ютерної інформації від злочинних посягань дозволяє зробити наступні висновки:
1) В даний час у нашій країні накопичена багата науково-теоретична база, яка свідчить про ситуацію, що стійкому правовому механізмі, націленим на захист комп'ютерної інформації. У 1992 році був прийнятий Закон України про правову охорону програм для електронно-обчислювальних машин і баз даних, у 1994 році - Цивільний кодекс, який містить низку норм, пов'язаних з комп'ютерною інформацією, в 1995 році - Федеральний закон про інформацію, інформатизації і захисту інформації . Логічним розвитком правової системи, що створює умови безпеки комп'ютерної інформації, стала розробка в КК РФ 1996 року групи статей, які передбачають підстави кримінальної відповідальності за так звані комп'ютерні злочини.
2) Проте, у чинному російському законодавстві поки ще немає чіткого уявлення про правовий механізм захисту комп'ютерної інформації як цілісної розробленої правової системи. Комп'ютерна злочинність не знає кордонів, вона виходить за межі російської дійсності. Це міжнародне поняття і боротися з нею треба злагоджено і спільно. З впровадженням у людське життя нових комп'ютерних технологій, коли обмін інформацією став швидким, дешевим та ефективним, злочинність в інформаційній сфері переросла за рамки тих кримінально-правових норм, спрямованих для боротьби з нею. Комп'ютерні злочини умовно можна підрозділити на дві великі категорії - злочини, пов'язані з втручанням у роботу комп'ютерів, і злочини, що використовують комп'ютери як необхідні технічні засоби.
3) Проблеми інформаційної безпеки постійно посилюється процесами незаконного несанкціонованого проникнення практично у всі сфери діяльності суспільства технічних засобів обробки і передачі даних і перш за все комп'ютерних обчислювальних систем. Не випадково тому захист комп'ютерної інформації стає однією з найгостріших проблем в сучасній інформатиці. На сьогоднішній день сформульовано три базові принципи інформаційної безпеки, яка повинна забезпечувати:
цілісність даних - захист від несанкціонованих збоїв, що ведуть до втрати інформації, а також неавторизованого, несанкціонованого, протиправного створення або знищення даних.
конфіденційність (законність) інформації
доступність для всіх авторизованих зареєстрованих користувачів
захист комп'ютерної інформації від протиправного посягання (копіювання, розкрадання, поширення, підробка);
Аналіз чинного російського кримінального законодавства у сфері комп'ютерної інформації дозволяє говорити про необхідність кількох правових проблем, які можуть бути розглянуті в якості складових частин правового механізму захисту комп'ютерної інформації:
1. Встановлення контролю над несанкціонованим, протиправним доступом до комп'ютерних інформаційних даними системи
2. Відповідальність за виконання технологічних операцій, пов'язаних з правовим захистом комп'ютерної інформації
Серед найбільш ефективних заходів, спрямованих на попередження злочинів у сфері комп'ютерної інформації виділяють технічні, організаційні та правові.
До технічних заходів можна віднести захист від несанкціонованого доступу до системи, резервування особливо важливих комп'ютерних підсистем, організацію обчислювальних мереж з можливістю перерозподілу ресурсів у разі порушення працездатності окремих ланок, установку устаткування виявлення і гасіння пожежі, устаткування виявлення води, прийняття конструкційних заходів захисту від розкрадань, саботажу, диверсій, вибухів, установку резервних систем електроживлення, оснащення приміщень замками, установку сигналізації і багато чого іншого.
До організаційних заходів відноситься охорона обчислювального центру, ретельний підбір персоналу, виключення випадків ведення особливо важливих робіт лише однією людиною, наявність плану відновлення працездатності центру після виходу його з ладу, організацію обслуговування обчислювального центру сторонньою організацією або особами, незацікавленими в приховуванні фактів порушення роботи центру, універсальність засобів захисту від усіх користувачів (включаючи вище керівництво), покладання відповідальності на осіб, які повинні забезпечити безпеку центру, вибір місця розташування центру і т.п.
До правових заходів слід віднести розробку правових норм, що встановлюють кримінальну відповідальність за комп'ютерні злочини, захист авторських прав програмістів, вдосконалення кримінального і цивільного законодавства, а також судочинства. До правових заходів належать також питання державного контролю за розробниками комп'ютерних програм і прийняття міжнародних договорів про їх обмеження, якщо вони впливають або можуть вплинути на військові, економічні та соціальні аспекти країн та ін У висновку слід підкреслити, що навіть найсучасніші апаратні, програмні та будь-які інші наукові методи, мабуть, не зможуть гарантувати абсолютну надійність і безпеку комп'ютерної безпеки. У той же час звести ризик втрат до мінімуму можливо лише при комплексному правовому підході до питань захисту комп'ютерної безпеки.