Тема: Информационная уязвимость России. Примеры.

                                                ПЛАН

1. Введение …………………………………………………………

2. Понятие информационной атаки и информационной

     уязвимости……………………………………………………

                3.Примеры информационнй уязвимости России……………..

                          Список литературы……………………………………………

     ВВЕДЕНИЕ

    Кто сегодня будет спорить с утверждением, что на пороге двадцать первого века информация является главным фактором управления современным миром и  основным

    ресурсом  и инструментом власти? Справедливы  слова: «кто владеет информацией, тот владеет миром». Государство может добиться стратегических преимуществ, лишь когда оно обладает полноценными информационными возможностями. Мы считаем, что безопасность нашей страны во многом зависит от эффективного функционирования информационной среды, то есть от эффективного использования автоматизированных информационных систем (АИС).

    Пожар в Останкино поставил остро вопрос об уязвимости системы информационной безопасности в Российской Федерации: столица и ее регион остались без телевидения и систем связи, что, во-первых, нарушает право жителей Москвы на информацию, во-вторых, ставит в максимально незащищенное положение саму федеральную власть. Эти события наглядно продемонстрировали неспособность нашей государственной власти справиться в полном объеме с задачей обеспечения безопасности всех субъектов информационных отношений. Сегодня в соответствии с законом она отвечает лишь за вопросы защиты государственной тайны, в большинстве же остальных случаев при неопределенности роли государственного участия бремя обеспечения информационной безопасности ложится на плечи граждан и общества, хотя это и отвечает конституционному принципу самозащиты своих интересов всеми способами, не запрещенными законом, однако такой подход лишает граждан и организации уверенности в завтрашнем дне, препятствует привлечению инвестиций на эти цели, что в итоге не позволяет решать проблемы.

    1.Понятие информационной атаки и информационной уязвимости.

    На  сегодняшний день автоматизированные информационные системы (АИС) играют ключевую роль в обеспечении эффективного выполнения бизнес-процессов как  коммерческих, так и государственных  предприятий. Вместе с тем повсеместное использование АИС для хранения, обработки и передачи информации приводит к тому, что более актуальными становятся проблемы, связанные с их защитой. Подтверждением этому служит тот факт, что за последние несколько лет как в России, так и в ведущих зарубежных странах имеет место тенденция к увеличению количества информационных атак, приводящих к значительным финансовым и материальным потерям. Практически любая АИС может выступать в качестве объекта информационной атаки, которую можно определить как совокупность действий злоумышленника, направленную на нарушение одного из трёх свойств информации - конфиденциальности, целостности или доступности. 
Рассмотрим эти свойства более подробно.

    Свойство  конфиденциальности позволяет не давать прав на доступ к информации или не раскрывать её неполномочным лицам, логическим объектам или процессам. Характерным примером нарушения конфиденциальности информации является кража из системы секретных данных с целью их дальнейшей перепродажи. Целостность информации подразумевает её способность не подвергаться изменению или уничтожению в результате несанкционированного доступа. В качестве примера нарушения этого свойства можно привести ситуацию, при которой злоумышленник преднамеренно искажает содержимое одного из электронных документов, хранящихся в системе. И наконец, доступность информации определяется как её свойство быть доступной и используемой по запросу со стороны любого уполномоченного пользователя. Так, скажем, злоумышленник нарушает доступность интернет-портала, если ни один из легальных пользователей не сможет получить доступ к его содержимому. Таким образом, в результате нарушения конфиденциальности, целостности или доступности информации нарушаются бизнес-процессы компании, базирующиеся на информационных ресурсах, которые являлись объектом атаки.

    Для реализации информационной атаки нарушителю необходимо активизировать, т. е. использовать определённую уязвимость АИС.

 Уязвимостью (vulnerability) называется любая характеристика информационной системы, использование которой нарушителем может привести к реализации угрозы. При этом угрозы могут быть как целенапрвленными так и неумышленными. В качестве нарушителя может выступать любой субъект корпоративной сети, который попытался осуществить попытку несанкционированного доступа к ресурсам сети по ошибке, незнанию или со злым умыслом.

       Примерами уязвимостей АИС могут являться: некорректная конфигурация сетевых служб АИС, наличие программного оборудования без установленных модулей обновления, использование нестойких к угадыванию паролей.

 Уязвимости  АИС могут быть внесены как на технологическом, так и на эксплуатационном этапе жизненного цикла АИС. На технологическом этапе нарушителями могут быть инженерно-технические работники, участвующие в процессе проектирования, разработки, установки и настройки программно-аппаратного обеспечения АИС.

       Внесение эксплуатационных уязвимостей случается при неправильной настройке и использовании программно-аппаратного обеспечения АИС. В отличие от технологических устранение эксплуатационных уязвимостей требует меньших усилий, поскольку для этого достаточно изменить конфигурацию АИС. Характерными примерами уязвимостей этого типа являются: 
· наличие слабых, не стойких к угадыванию паролей доступа к ресурсам АИС. При активизации этой уязвимости нарушитель может получить несанкционированный доступ к АИС путём взлома пароля при помощи метода полного перебора или подбора по словарю;

· наличие  в системе незаблокированных  встроенных учётных записей пользователей, при помощи которых потенциальный  нарушитель может собрать дополнительную информацию, необходимую для проведения атаки.

     ·неправильным образом установленные права доступа пользователей к информационным ресурсам АИС. В случае если в результате ошибки администратора пользователи, работающие с системой, имеют больше прав доступа, чем это необходимо для выполнения их функциональных обязанностей, то это может привести к несанкционированному использованию дополнительных полномочий для проведения атак. Например, если пользователи будут иметь права доступа на чтение содержимого исходных текстов серверных сценариев, выполняемых на стороне web-сервера, то это станет лазейкой для потенциального нарушителя, позволяющей ему изучить алгоритмы работы механизмов защиты web-приложений и найти в них уязвимые места; 
· наличие в АИС неиспользуемых, но потенциально опасных сетевых служб и программных компонентов. · неправильная конфигурация средств защиты, приводящая к возможности проведения сетевых атак. Так, например, ошибки в настройке межсетевого экрана могут привести к тому, что злоумышленник сможет передавать через него пакеты данных.

    Этапы осуществления атаки.

    Первый, подготовительный, этап заключается  в поиске предпосылок для осуществления  той или иной атаки. На этом этапе  ищутся уязвимости, использование которых  приводит к реализации атаки, то есть ко второму этапу. На третьем этапе завершается атака, «заметаются» следы и т.д. При этом первый и третий этапы сами по себе могут являться атаками. Например, поиск нарушителем уязвимостей при помощи сканеров безопасности, например SATAN, сам по себе считается атакой.

    Существующие  механизмы защиты, реализованные  в межсетевых экранах, серверах аутентификации, системах разграничения доступа  и т.д., работают только на втором этапе. Иначе говоря, они по существу являются средствами, блокирующими, а не упреждающими атаки. В абсолютном большинстве случаев они защищают от атак, которые уже находятся в процессе осуществления. И даже если они смогли предотвратить ту или иную атаку, то намного более эффективным было бы упреждение атак, то есть устранение самих предпосылок реализации вторжений. Комплексная система обеспечения информационной безопасности должна работать на всех трех этапах осуществления атаки. И обеспечение адекватной защиты на третьем, завершающем, этапе не менее важно, чем на первых двух. Ведь только в этом случае можно реально оценить ущерб от «успешной» атаки, а также разработать меры по устранению дальнейших попыток реализовать аналогичную атаку.

    В России стоимость является, пожалуй, одним из основных критериев выбора системы обнаружения атак. Зачастую такой выбор делается не в пользу более эффективного, а в пользу более дешевого решения. Можно спорить, что такая практика порочна, но она существует и с ней надо считаться.

 В среднем  стоимость анализа одного узла может  меняться в диапазоне от 100 до 3 долларов США, в зависимости от числа сканируемых устройств.

    2.Примеры информационнй уязвимости России.

Формирование  и развитие информационных систем, обеспечивающих управленческие и производственные процессы в органах государственной  власти, на предприятиях транспорта, энергетики, иных объектах критической инфраструктуры России обусловливает возможность осуществления актов кибертерроризма. Проведенные специалистами ФСБ России проверки ряда информационных систем показали наличие в них уязвимостей, которые могут быть использованы для реализации террористических устремлений.

 О реальности указанных устремлений свидетельствует  опыт зарубежных партнеров, который  показывает, что террористические организации  принимают меры по поиску сил и  средств совершения актов кибертерроризма. Так, лидеры «Аль-Каиды» и «Хезболлах» на протяжении последних лет настойчиво реализовывали программы по привлечению в своих интересах квалифицированных специалистов в области создания компьютерных систем и по оснащению групп боевиков высокотехнологичным оборудованием для ведения «священной войны» в киберпространстве.

 В настоящее  время органами федеральной службы безопасности России фиксируются многочисленные факты компьютерных атак на информационные системы объектов критической инфраструктуры с территории иностранных государств. В частности, в течение 2009 года выявлено более миллиона попыток проведения компьютерных атак на официальные информационные ресурсы органов государственной власти.

Некоторые из таких атак по совокупности признаков  могут быть классифицированы как  проявления кибертерроризма. В 2006 году органами ФСБ впервые зафиксирован факт успешной компьютерной атаки (вирусной) на объект критически важного сегмента информационной инфраструктуры страны (РАО «ЕЭС России»), которая привела к модификации (зашифровке) служебной информации, циркулировавшей в системе.

 Если  говорить о видах воздействия, или  о различных приемах кибертерроризма, то к ним можно отнести:

 - нанесение  ущерба отдельным физическим элементам информационного пространства;

 - кража  или уничтожение информационного,  программного и технического  ресурсов, имеющих общественную  значимость, путем преодоления систем  защиты, внедрения вирусов, программных  закладок и т. п.;

 - воздействие на программное обеспечение и информацию с целью их искажения или модификации в информационных системах и системах управления;

 - раскрытие  и угроза опубликования или  само опубликование закрытой  информации о функционировании  информационной инфраструктуры государства, общественно значимых и военных информационных систем, кодах шифрования, принципах работы систем шифрования, успешном опыте ведения информационного терроризма и др.;

 - захват  каналов СМИ с целью распространения  дезинформации, слухов, демонстрации мощи террористической организации и объявления своих требований;

 - уничтожение  или активное подавление линий  связи, неправильная адресация,  искусственная перегрузка узлов  коммутации;

 -  проведение информационно-психологических операций и др.».

 В глобальной сети террористы создают так называемые «странички», в качестве канала связи, которые активно используются ими  для переписки и передачи зашифрованных  сообщений между руководством и  членами низовых звеньев данной организации. Специально подобранный персонал ведет поисковую работу в мусульманских чатах и форумах, где специально подобранный персонал ведет поисковую работу в мусульманских чатах и форумах, выявляя радикально настроенных пользователей. Устанавливают с ними безличный контакт с последующей вербовкой. В ходе индивидуального диалога с помощью различных режимов общения в Интернете и электронной почте проводится их идеологическая обработка и психологическое изучение. Затем, как правило, объекту предлагают выехать в мусульманские страны для обучения в одном из религиозных учебных заведений или начать посещать проповеди определенных мусульманских священнослужителей, а также собрания радикальных мусульманских организаций по месту жительства.