Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. Особы опасны для банков так называемые компьютерные преступления. Открытый характер компьютерных систем, обслуживающих большое число пользователей с помощью средств связи в автоматическом режиме, наряду с высокой степенью концентрации и мобильности денежных средств способствовали появлению новой - компьютерной - формы преступности. По некоторым данным ежегодные потери США и Западной Европы от компьютерных преступлений в финансовой сфере достигает 100 млрд. и 35 млрд. долларов соответственно, причем сохраняется устойчивая тенденция к росту убытков, связанных с компьютерной преступностью. По оценкам экспертов нарушения безопасности банковских систем выявляются лишь в каждом десятом случае. Защита ИСБ банка — дорогостоящее и сложное мероприятие.
Средний европейский банк тратит на информационную защиту до 9% бюджета или примерно 25% средств, затрачиваемых банком на автоматизацию. Из этих средств 80% уходит на обеспечение структуры безопасности и 20% -на закупку технических средств. Японские банки до последнего времени тратили на эти цели всего 2% бюджета, а сейчас наверстывают упущенное и тратят 50% бюджета на информационную безопасность.
Потери несут и российские банки, недооценивающие вопросы информационной безопасности. По данным МВД еще в 1995 году в России было выявлено 185 хищений с использованием электронных средств, ущерб от которых составил 250 млрд. рублей. Известное "дело Левина" (г. Санкт-Петербург) относится к транснациональным сетевым компьютерным преступлениям и стало первым случаем такого типа в России. Левин с сообщниками через коммуникационные сети входил в систему управления наличными фондами Сити-банка (г.Нью-Йорк). В июне-октябре 1994 года преступники организовали около сорока переводов на общую сумму свыше 10 млн. долларов, из которых почти 400 тыс. долларов им удалось похитить.
География мошенничества помимо России и США охватывала Нидерланды, Швейцарию и Израиль.
Действия злоумышленников часто достигают цели. Это связано с тем, что в подавляющем большинстве банков эксплуатируются однотипные стандартные вычислительные средства (IBM-совместимые персональные компьютеры, локальные сети с программным обеспечением фирмы Novell, программы автоматизации банковской деятельности, написанные на стандартных языках программирования), которые хорошо документированы и в деталях известны профессионалам. Простейшие механизмы защиты таких изделий легко преодолимы. Проблемы создает и возрастающая компьютерная грамотность клиентов.
Последствия недооценки вопросов безопасности могут оказаться катастрофическими для банка. Известно, что коммерческие банки собственных денег не имеют: все имеющиеся у них деньги - это чужие деньги, которыми они пользуются только тогда, когда им доверяют. Поэтому так важно не подорвать доверия к банку. Но безопасность автоматизированной банковской системы - это не только защита от хищений.
Ведь отказ от обслуживания клиента или несвоевременное предоставление пользователю важной информации, хранящейся в системе, из-за неработоспособности этой системы по своим последствиям равноценны потери информации (несанкционированному ее уничтожению). Следовательно, при создании своих электронных систем банкам надо уделять пристальное внимание обеспечению их безопасности.
Современные технологии дают банкам преимущества в организации систем доставки товаров и услуг. Использование электронных средств связи позволяет реализовать:
• электронные платежи и расчеты в точке продажи;
• клиентские терминалы, осуществляющие прямую связь с банком;
•домашнее банковское обслуживание с помощью персонального компьютера или телефона;
• обмен электронными данными в сети с расширенным набором услуг;
• технологии электронных банковских карт, включая магнитные и интеллектуальные карты.
Реализация этих и других методов банковского обслуживания в конкретных системах требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования.
Для противодействия компьютерным преступлениям или хотя бы уменьшения ущерба от них необходимо грамотно выбирать меры и средства обеспечения защиты информации от умышленного разрушения, кражи, порчи и несанкционированного доступа. Необходимо знание основных законодательных положений в этой области, организационных, экономических и иных мер обеспечения безопасности.
Под безопасностью банковской электронной системы будем понимать ее свойство, выражающееся в способности противодействовать попыткам нанесения ущерба владельцам и пользователям системы при различных возмущающих (умышленных и неумышленных) воздействиях на нее. Природа воздействия может быть различной: попытки проникновения злоумышленника, ошибки персонала, стихийные бедствия (ураган, пожар), выход из строя отдельных ресурсов.
Обычно различают внутреннюю и внешнюю безопасность. Внешняя включает защиту от стихийных бедствий, от проникновения злоумышленника извне с целями хищения, получения доступа к носителям информации или вывода системы из строя. Предметом внутренней безопасности является обеспечение надежной и корректной работы системы, целостности ее программ и данных.
В настоящее время сложилось два приема построения защиты для банковских систем: "фрагментарный" - противодействие строго определенным угрозам при определенных условиях (например, специализированные антивирусные средства, автономные средства шифрования и т.д.) и комплексный - создание защищенной среды обработки информации, объединяющий разнородные меры противодействия угрозам (правовые, организационные, программно-технические). Комплексный прием применяют для защиты крупных систем (например SWIFT) или небольших систем, обрабатывающих дорогостоящую информацию или выполняющих ответственные задачи.
При создании защищенных компьютерных систем используют три основных подхода:
1 "Административный" - подразумевает меры, принимаемые администрацией системы по обеспечению безопасности информации в организационном порядке согласно должностной инструкции и действующему законодательству в рамках наделенных полномочий.
2."Криптографический" - специальное преобразование информации с целью ее сокрытия от посторонних лиц. 3"Программно-технический" - использование для защиты специальных аппаратных и программных средств.
За годы применения в деятельности банков компьютерных систем накоплен достаточно большой опыт защиты этих систем. Поэтому типичная западная банковская система, платформа, на которой она базируется (СУБД, операционная система), содержат строенные средства предотвращения несанкционированного доступа. Но для обеспечения безопасности банковской системы этого недостаточно. Необходимо обеспечить выполнение следующих мер:
• организационных мероприятий по контролю за персоналом, имеющим высокий уровень полномочий на действия в банковской системе (программистам, администраторами баз данных и т.п.);
• организационных и технических мероприятий по резервированию критически важной информации;
• организационных мероприятий по восстановлению работоспособности системы в случае возникновения нештатных ситуаций;
• организационных и технических мероприятий по управлению доступом в помещения, в которых находятся вычислительная техника и носители данных;
• организационных и технических мероприятий по физической защите помещений, в которых находятся вычислительная техника и носители данных от пожара, стихийных бедствий, массовых беспорядков, терроризма и т.п.
В 1985 году Национальным центром компьютерной безопасности Министерства обороны США была опубликована так называемая "Оранжевая книга" ("Критерии оценки достоверности вычислительных систем Министерства обороны"). В ней были приведены основные положения, по которым американское военное ведомство определяло степень защищенности информационно-вычислительных систем. В ней в систематизированном виде приведены основные понятие, классификация и рекомендации по видам угроз безопасности информационной системы и методам защиты от них. Впоследствии она превратилась в свод научно обоснованных норм и правил, описывающих применение системного подхода к обеспечению безопасности информационных систем и их элементов и стала настольной книгой для специалистов в области защиты информации. Предложенная в "Оранжевой книге" методология стала, по существу, общепринятой и вошла в той или иной форме в национальные стандарты различных государств.
Одно из основных понятий, введенных в Оранжевой книге - политика безопасности. Политика безопасности - это совокупность норм, правил и методик, на основе которых в дальнейшем строится деятельность информационной системы в области обращения, хранения и распределения критичной информации. При этом под "информационной системой" понимается не только аппаратно-программный комплекс, но и обслуживающий его персонал.
Политика безопасности формируется на основании анализа текущего состояния и перспективы развития информационной системы, возможных угроз и определяет:
• цели, задачи и приоритеты системы безопасности;
• области действия отдельных подсистем;
• гарантированный минимальный уровень защиты;
• обязанности персонала по обеспечению защиты;
• спектр санкций за нарушения защиты.
Для банковских электронных систем центральной в ряду проблем защиты является защита информации. Все остальные виды защиты сводятся к ней.
Информация - это специфический продукт, поэтому необходимы четкие границы, определяющие информацию как объект права, которые позволят применять к ней законодательные нормы. Федеральный Закон "Об информации, информатизации и защите информации", направленный на регулирование взаимоотношений в информационной сфере совместно с Гражданским кодексом Российской Федерации, относит информацию к объектам права и дает ее определение: "Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления".
Существуют и другие определения понятия информация. При этом в настоящее время понятие информация выходит на уровень таких мировоззренческих понятий, как материя, энергия, сознание. В частности, в информатике информация - это совокупность знаний о фактических данных и зависимостях между ними. С этим определением чаще всего приходится работать специалистам в области компьютерных информационных систем (ИС), и именно такое определение (такой подход с точки зрения ИС) приводит к однобокому решению проблемы обеспечения безопасности в виртуальном мире. Однако существует более традиционное определение, связанное с бытовым пониманием информации. В частности, "Большой энциклопедический словарь" трактует понятие информации как "нечто, передаваемое устно или письменно"; латинское понятие Information - трактует как "передавать, владеть, сообщать"; на английском языке -"что-то переданное". Т.е. в целом можно сказать, что информация - это знания, которые могут существовать в различных видах или на различных носителях, т.е. это мысли человека, записи на бумаге, аудио- и видеозапись, электронные сигналы.
Ценность информации является критерием припринятии любого решения о ее защите. Хотя было предпринято много различных попыток формализовать этот процесс с использованием методов теории информации и анализа решений, процесс оценки до сих пор остается весьма субъективным. Для оценки требуется распределить информацию на категории не только в соответствии с ее ценностью, но и важностью. Известно следующее разделение информации по уровню важности:
• жизненно важная незаменимая информация, наличие которой не-обходимо для функционирования организации;
• важная информация — информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;
• полезная информация — информация, которую трудно восстано-вить, однако организация может эффективно функционировать ибез нее;
• несущественная информация — информация, которая больше не нужна организации.
На практике отнесение информации к одной из этих категорий может представлять собой очень трудную задачу, так как одна и та же информация может быть использована многими подразделениями организации, каждое из которых может отнести эту информацию к различным категориям важности. Информация может состоять из :
• букв, символов, цифр;
• слов;
• текста;
• рисунков;
• схем;
• формул;
• алгоритмов и т. д.,
Объектом защиты должна являться информация в любом виде на любых носителях. Только определив информацию таким образом, мы можем говорить о комплексном, или интегрированном подходе к проблеме информационной безопасности.
Информационная безопасность является одним из важнейших аспектов совокупной безопасности, на каком бы уровне мы не рассматривали последнюю - национальном, отраслевом, корпоративном или персональном.
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуре.
Таким образом, более правильный подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Угрозы информационной безопасности - это оборотная сторона использования информационных технологий. Из этого положения можно сделать два вывода:
• трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов существенно различается, достаточно сопоставить режимные государственные организации и коммерческие структуры;
• информационная безопасность не сводится исключительно к защите информации, это более широкое понятие. Субъект информационных отношений может пострадать (понести материальные и/или моральные убытки) не только от несанкционированного доступа к информации, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита информации стоит по важности отнюдь не на первом месте.
Информационная безопасность - многогранная, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.
ИС должны отвечать следующим требованиям:
• доступность (возможность за приемлемое время получить требуемую информационную услугу);
• целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
• конфиденциальность (защита от несанкционированного ознакомления).
Информационные системы создаются для получения и предоставления определенных информационных услуг. Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным моментам, ее можно выделить как важнейший элемент информационной безопасности.
Целостность информационной безопасности можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий -транзакций). Практически все нормативные документы и отечественные разработки относятся к статической целостности, хотя динамический аспект не менее важен. Пример динамической целостности - контроль потока финансовых сообщений на предмет выявления кражи, переупорядочения или дублирования отдельных сообщений.
Конфиденциальность - самый проработанный у нас в стране аспект информационной безопасности. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих служб. Отечественные аппаратно-программные продукты позволяют закрыть практически все потенциальные каналы утечки информации.
Информационная безопасность должна обеспечиваться на законодательном, административном, процедурном, программно-техническом уровнях. Законодательный уровень является важнейшим.
К этому уровню относится весь комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом. К законодательному уровню необходимо отнести и приведение российских стандартов в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть много причин, по которым это должно быть сделано. Одна из них - необходимость взаимодействия с зарубежными компаниями и зарубежными филиалами российских компаний. Сейчас эта проблема решается путем получения разовых разрешений.
Основой мер административного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности. Под этим термином понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности определяет стратегию организации в области информационной безопасности, а также меру внимания к ней и количество ресурсов, которые руководство считает целесообразным выделить для ее обеспечения.
К процедурному уровню относятся меры безопасности, реализуемые людьми. В отечественных организациях накоплен богатый опыт составления и реализации процедурных (организационных) мер, однако проблема состоит в том, что они пришли из докомпьютерного прошлого, поэтому нуждаются в существенном пересмотре.
Можно выделить следующие группы процедурных мер:
• управление персоналом;
• физическая защита;
• поддержание работоспособности;
• реагирование на нарушения режима безопасности;
• планирование восстановительных работ. Для каждой группы в каждой организации
должен существовать свой набор правил, определяющих действия персонала. В свою очередь исполнение этих правил следует отработать на практике.
Согласно современным представлениям, в рамках информационных систем должны быть доступны по крайней мере следующие механизмы безопасности:
• идентификация и проверка подлинности пользователей;
• управление доступом;
• протоколирование и аудит;
• криптография;
• экранирование;
• обеспечение высокой доступности.
• Главная задача для коммерческих структур -усвоить современный подход к информационной безопасности, заполнить пробелы на административном и процедурном уровнях, осознать важность проблемы обеспечения высокой доступности информационных ресурсов.
Таким образом, информационная безопасность - понятие комплексное, и обеспечена она может быть только при комплексном подходе и конструктивном взаимодействии заинтересованных структур.
Если выполнение политики безопасности проводится не в полной мере или непоследовательно, то вероятность нарушения защиты информации резко возрастает.
Под защитой информацией понимается комплекс мероприятий, обеспечивающих:
• сохранение конфиденциальности информации - предотвращение ознакомление с информацией лиц, не уполномоченных на эти действия;
• сохранность информации - информация может пострадать от сознательных действий злоумышленника, от ошибок персонала, от пожара, аварий и др. (например, пожар в Промстройбанке в 1995 году, похищение в ноябре 1996 года из информационного центра VISA Int. компьютера, хранящего базу данных о 314 тыс. карточных счетов клиентов VISA Int., MasterCard, American; Express, Diners Club, замена карточек обошлась VISA в 6.3 млн.долларов);
• доступность, т.е. наличие системы безопасности не должно создавать помех нормальной работе системы.
Определение политики безопасности невозможно без анализа риска. Анализ риска улучшает осведомленность руководства и ответственных сотрудников банка о сильных и слабых сторонах системы защиты, создает базу для подготовки и принятия решений и оптимизирует размер затрат на защиту, поскольку большая часть ресурсов направляется на блокирование угроз, приносящих наибольший ущерб.
Основные этапы анализа риска:
1 .Описание состава системы:
• аппаратные средства;
• программное обеспечение;
• данные;
• документация;
• персонал.
2.Определение уязвимых мест: выясняется уязвимость по каждому элементу системы с оценкой возможных источников угроз.
3.Оценка вероятностей реализации угроз.
4.Оценка ожидаемых размеров потерь. Этот этап сложен, поскольку не всегда возможна количественная оценка данного показателя (например, ущерба репутации банка при нарушении конфиденциальности информации о счетах и операциях клиентов).
5.Анализ возможных методов и средств защиты.
6.Оценка выигрыша от предлагаемых мер. Если ожидаемые потери больше допустимого уровня, необходимо усилить меры защиты.
Категорирование информации по важности существует объективно и не зависит от желаний руководства, поскольку определяется механизмом деятельности банка и характеризует опасность уничтожения либо модификации информации. Можно указать много вариантов такого категорирования. Здесь приводится наиболее простой.
1. Важная информация - незаменимая и необходимая для деятельности банка информация, процесс восстановления которой после уничтожения невозможен, либо очень трудоемок и связан с большими затратами, а ее ошибочное изменение или подделка приносит большой ущерб.
2. Полезная информация – необходимая информация, которая может быть восстановлена без больших затрат, причем ее модификация или уничтожение приносит относительно небольшие материальные потери.
Категорирование информации по конфиденциальности выполняется субъективно руководством или персоналом в соответствии с выделенными ему полномочиями в зависимости от риска ее разглашения. Для деятельности коммерческого банка достаточно двух градаций.
1. Конфиденциальная информация - информация, доступ к которой для части персонала или посторонних лиц нежелателен, т.к. может вызвать материальные и моральные потери.
2. Открытая информация - информация, доступ к которой посторонних не связан ни с какими потерями.
Руководство должно принять решение о том, кто и каким образом будет определять степень важности и конфиденциальности информации. Без такого решения невозможна никакая целесообразная работа по созданию банковской электронной системы.
Основным элементом при исследовании проблем защиты информации является анализ угроз, которым подвергается система.
Под угрозой будем понимать потенциально возможные воздействия на систему, которые прямо или косвенно могут нанести урон пользователю. Непосредственную реализацию угрозы называют атакой.
Угрозы реализуются на практике в результате стечения случайных обстоятельств (ошибки, пропуски, события, не зависящие от человека, например, природные бедствия), либо из-за преднамеренных действий злоумышленников.
Преднамеренные угрозы могут реализовать как внутренние для системы участники процесса обработки данных (персонал организации, сервисное звено и т.д.), так и люди, внешние по отношению к системе, так называемые "хакеры".
Не существует общепринятой классификации угроз безопасности. Один из вариантов классификации может быть выполнен по следующим признакам:
По цели реализации:
- нарушение конфиденциальности;
- нарушение целостности данных;
- нарушение работоспособности системы.
- По принципу воздействия на систему:
- сиспользованием доступа субъекта к объектам системы (файлу данных, каналу связи);
- с использованием скрытых каналов.
По характеру воздействия на систему:
- активное воздействие - всегда связано с выполнением каких-либо действий (состояние системы изменяется);
- пассивное - осуществляется путем наблюдения пользователем побочных эффектов и их последующим анализом (состояние системы не изменяется).
По причине появления используемой ошибки защиты:
- неадекватность защиты системе (при разработке мер защиты угроза не учитывалась);
- ошибки административного управления;
- ошибки в алгоритмах программ.
По способу воздействия на систему:
- в интерактивном режиме;
- в пакетном режиме.
По используемым средствам атаки:
- стандартное программное обеспечение;
- специально разработанные программы.
Несанкционированный доступ.
Несанкционированный доступ (НСД) наиболее распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности. Обычно самая главная проблема определить, кто и к каким наборам данных должен иметь доступ, а кто нет.
Незаконное использование привилегий.
Злоумышленники, применяющие данный способ атаки, обычно используют штатное программное обеспечение, функционирующее в нештатном режиме. Незаконный захват привилегий возможен либо при наличии ошибок в самой системе защиты (что, например, оказалось возможным в одной из версий UNIX), либо в случае халатности при управлении системой и привилегиями в частности. Строгое соблюдение правил управления системой защиты, соблюдение принципа минимума привилегий позволяет избежать таких нарушений.
Атаки "салями"
Атаки "салями" (salami attack) более всего характерны для систем, обрабатывающих денежные счета и, следовательно, наибольшую опасность такие нарушения представляют для банков. При реализации расчетов вычисляются различного рода доли, которые округляются в большую или меньшую сторону. Атака "салями" состоит в накоплении на отдельном счете этих долей денежной единицы. Практика доказала, что эксплуатация такой программы обеспечивает накопление значительных сумм.
"Скрытые каналы"
Скрытые каналы — это программы, передающие информацию лицам, которые в обычных условиях эту информацию получать не должны. Злоумышленник не всегда имеет непосредственный доступ к компьютерной системе. Для скрытой передачи информации используют различные элементы, форматы "безобидных" отчетов, например, разную длину строк, пропуски между строками, наличие или отсутствие служебных заголовков, управляемый вывод незначащих цифр в выводимых величинах, количество пробелов или других символов в определенных местах отчета и т.д.;
При использовании скрытых каналов для получения относительно небольших объемов информации захватчик вынужден проделать достаточно большую работу. Поэтому скрытые каналы более приемлемы в ситуациях, когда нарушителя интересует не сама информация, а факт ее наличия.
Может возникнуть ситуация, когда скрытый канал сообщает о наличии в системе определенной информации, что в свою очередь служит признаком работы в системе определенного процесса, позволяющего провести атаку иного типа.
"Маскарад"
Под "маскарадом" понимается выполнение каких-либо действий одним пользователем банковской электронной системы от имени другого пользователя. При этом такие действия другому пользователю могут быть разрешены. Нарушение заключается в присвоении прав и привилегий. Наиболее опасен "маскарад" в банковских системах электронных платежей, где неправильная идентификация клиента может привести к огромным убыткам. Особенно это касается платежей с помощью электронных банковских карт.
Сам по себе метод идентификации с помощью персонального идентификатора (Personal Identification Number: PIN) достаточно надежен, нарушения могут происходить вследствие ошибок его использования. Это произойдет, например, в случае утери банковской карты, при использовании очевидного идентификатора (своего имени, ключевого слова и т.д.). Поэтому клиентам надо строго соблюдать все рекомендации банка по выполнению такого рода платежей.
"Сборка мусора"
После окончания работы обрабатываемая информация не всегда полностью удаляется из памяти. Данные хранятся на носителе до перезаписи или уничтожения; при выполнении этих действий на освободившемся пространстве диска находится их остатки. Хотя при искажении заголовка файла их прочитать трудно, однако, используя специальные программы и оборудование, все же возможно. Такой процесс принято называть "сборкой мусора". Он может привести к утечке важной информации. Для защиты используются специальные механизмы. Примерами таких механизмов являются стирающий образец и метка
"Взлом системы "
Под "взломом системы" понимают умышленное проникновение в систему с несанкционированными параметрами входа, то есть именем пользователя и его паролем. Основную нагрузку на защиту системы от "взлома" несет программа входа. Алгоритм ввода имени и пароля, их шифрование, правила хранения и смены паролей не должны содержать ошибок.
"Люки"
Люки или "trap door" — не описанные в документации возможности работы с программным продуктом. Сущность использования люков состоит в том, что при реализации пользователем не описанных в документации действий, он получает доступ к ресурсам и данным, которые в обычных условиях для него закрыты (в частности, вход в привилегированный режим обслуживания).
Люки могут появиться в программном продукте следующими путями:
• люки чаще всего являются результатом забывчивости разработчиков. В процессе разработки программы создаются временные механизмы, облегчающие ведение отладки за счет прямого доступа к продукту.
• Одним из примеров использования забытых люков является инцидент с вирусом Морриса. Одной из причин обусловившей распространение этого вируса, являлась ошибка разработчика программы электронной почты, входящей в состав одной из версий ОС UNIX, приведшая к появлению малозаметного люка.
• Люки могут образоваться также в результате часто практикуемой технологии разработки программных продуктов "сверху—вниз". При этом программист приступает к написанию управляющей программы, заменяя предполагаемые в будущем подпрограммы так называемыми "заглушками" — группами команд, имитирующими или обозначающими место присоединения будущих подпрограмм. В процессе работы эти заглушки заменяются реальными подпрограммами.
• На момент замены последней заглушки реальной подпрограммой, программа считается законченной. Но на практике подобная замена выполняется не всегда. Во-первых, из-за нарушения сроков разработки и сдачи в эксплуатацию и, во-вторых, из-за невостребованности данной подпрограммы.
• Таким образом, заглушка остается, представляя собой слабое место в системе информационной безопасности. Программист пишет программу, которой можно управлять с помощью определенных команд, или, например, путем ввода "Y" ("Да") или "N" ("Нет"). А что произойдет, если в ответ на запрос будет вводиться "А" или "В" и т. д.? Если программа написана правильно, то на экране должно появиться сообщение типа "Неправильный ввод" и повтор запроса. Однако может быть ситуация, когда программа не учитывает такое, предполагая, что пользователь будет действовать правильно. В таком случае реакция программы на неопределенный ввод может быть непредсказуемой. Такую ситуацию в программе можно специально создать для того, чтобы получить доступ к определенным ресурсам и данным.
В большинстве случаев обнаружение "люков" - результат случайного поиска.
Банковская информация всегда была объектом пристального интереса всякого рода злоумышленников. Прогресс в технике преступлений шел не менее быстрыми темпами, чем развитие банковских технологий. Особы опасны для банков так называемые компьютерные преступления. Открытый характер компьютерных систем, обслуживающих большое число пользователей с помощью средств связи в автоматическом режиме, наряду с высокой степенью концентрации и мобильности денежных средств способствовали появлению новой - компьютерной - формы преступности. По некоторым данным ежегодные потери США и Западной Европы от компьютерных преступлений в финансовой сфере достигает 100 млрд. и 35 млрд. долларов соответственно, причем сохраняется устойчивая тенденция к росту убытков, связанных с компьютерной преступностью. По оценкам экспертов нарушения безопасности банковских систем выявляются лишь в каждом десятом случае. Защита ИСБ банка — дорогостоящее и сложное мероприятие.
География мошенничества помимо России и США охватывала Нидерланды, Швейцарию и Израиль.
Реализация этих и других методов банковского обслуживания в конкретных системах требует разработки жестких мер защиты для предотвращения случайных и умышленных нарушений их функционирования.
Не существует общепринятой классификации угроз безопасности. Один из вариантов классификации может быть выполнен по следующим признакам:
