понедельник, 22 ноября 2010 г.

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Часть 1

В этой части рассмотрены следующие вопросы:
  • Многогранное киберправо
  • Проблемы киберправа
  • Сложности борьбы с киберпреступностью

Компьютерные преступления являются вполне естественным явлением, реакцией преступников на появившиеся новые возможности, а также зависимость современного общества от технологий. Преступность существовала во все времена. Компьютер просто стал еще одним инструментом, который, также как и другие инструменты, может быть использован и для добра, и для зла.

Мошенничество, кражи, хищения всегда были частью жизни общества, но компьютерный век принес новые возможности для воров и мошенников. Преступники начали использовать Интернет для шантажа и финансового мошенничества. Существенно усложнилось ведение учета, отчетности, проведение денежных переводов и т.п., что повлекло за собой появление новых уязвимостей в этих процессах, которыми стали пользоваться преступники.

Киберпреступники шантажируют компании, обнаруживая уязвимости в их сетях. Они занимаются хищением коммерческой тайны компаний через «дыры» в их системах безопасности. Растет мошенничество в системах Интернет-банкинга, проводятся атаки компьютерных сетей розничных магазинов с целью хищения баз данных с информацией банковских карт клиентов. Быстрыми темпами растет направление, связанное с кражей персональных данных.

В современном мире прочно закрепились системы электронной коммерции, интернет-магазины и т.п., что также представляет собой постоянно растущую угрозу. Стремительно растет количество взломов и атак, компании хорошо это знают. А правовые системы и правоохранительные органы пока сильно отстают, не имея возможностей эффективно и оперативно находить компьютерных злоумышленников и успешно привлекать их к ответственности. В мире постоянно разрабатываются новые технологии для борьбы с различными видами атак, но еще большая потребность существует в части разработки актуальных законов, политик и методов, позволяющих реально ловить преступников и заставлять их возмещать ущерб, который они наносят. В этом Домене рассматриваются некоторые из этих вопросов.


Правовые вопросы очень важны для компаний, т.к. нарушение компанией своих обязательств и предъявляемых к ней требований законодательства может нанести значительный ущерб бизнесу компании и ее репутации. У любой компании есть множество этических и правовых обязанностей, за которые она несет ответственность, в том числе и в отношении компьютерного мошенничества. Чем лучше компания понимает свои обязанности, тем проще ей соблюдать их и не выходить за рамки дозволенного.

Законодательство и регуляторы могут устанавливать требования по вопросам управления инцидентами, защиты конфиденциальных данных, компьютерных злоупотреблений, сохранения доказательств, этического поведения, ожидаемого от компании, ее руководства и персонала. Мы живем в очень интересное время для права и технологий. Законодатели, судьи, правоохранительные органы и юристы находятся в крайне затруднительном положении из-за неспособности идти в ногу со стремительными изменениями технологий в компьютерном мире и сложности этих вопросов. Правоохранительные органы должны знать, как им искать злоумышленника, как его ловить, собирать и контролировать доказательства, как использовать доказательства представителями обвинения и защиты. Обе эти сторны должны понять, что действительно произошло в компьютерном преступлении, как оно было осуществлено, какие законы и прецеденты можно использовать, чтобы доказать в суде свою точку зрения. Технологии и связанные с ними термины и понятия часто вызывают сложности у судей и присяжных, а новые законы разрабатываются недостаточно быстро, что не всегда позволяет доказать вину киберпреступников и надлежащим образом наказать их. Хотя в 21 веке правоохранительные органы, правовые и судебные системы также начали развиваться и приспосабливаться к новым технологиям.

Многие компании имеют офисы в различных городах и странах. Это приводит к еще большим проблемам, когда встает вопрос, каким законам нужно следовать. В разных регионах и городах может действовать местное законодательство, существенно отличающееся от других. Одни и те же действия в разных странах могут оцениваться по-разному, в одной стране некое действие может не считаться преступлением, а в другой – то же самое действие может наказываться пятилетним заключением в тюрьме. Например, если злоумышленник из другой страны украл у американских банков большое количество номеров банковских карт и был пойман, американский суд хотел бы преследовать его по американским законам. Однако на его родине это может вообще не считаться незаконным. Границы стран не ограничивают действия злоумышленников, но они часто ограничивают дейтсвие законов.

Несмотря на все эти сложности, у компаний есть определенные обязательства, относящиеся к вопросам компьютерной безопасности и определяющие, в частности, как компания будет предотвращать, обнаруживать и сообщать о преступлениях.


Законы, связанные с компьютерной преступностью (иногда называемые киберправом (cyberlaw)), во всем мире имеют дело с рядом ключевых вопросов: несанкционированная модификация или уничтожение информации, разглашение критичной информации, несанкционированный доступ, использование вредоносных программ (malware, malicious software).

Хотя обычно мы думаем только о жертвах и их системах, подвергшихся атаке, были разработаны законы для борьбы с тремя категориями преступлений. Преступления, совершенные с помощью компьютера (computer-assisted crime), при совершении которых компьютер используется просто как инструмент, помогающий преступнику осуществить свои замыслы. Преступлениями, направленными на компьютер (computer-targeted crime), являются преступления, в которых сам компьютер становится «жертвой» нападения, организованного непосредственно для нанесения ему ущерба (и, соответственно, его владельцам). В преступлениях третьего типа, компьютер не обязательно используется для совершения преступления или является «жертвой», он просто участвует в процессе совершения преступления. Это называется преступлениями с побочным использованием компьютера (computer is incidental).

Ниже приведены некоторые примеры преступлений, совершаемых с помощью компьютера:
  • Атака на финансовые системы с целью хищения денежных средств и / или конфиденциальной информации
  • Получение военных и разведывательных данных с помощью атаки на военные системы
  • Проведение промышленного шпионажа с помощью атак на компьютерные системы конкурентов и сбора конфиденциальных данных конкурентов
  • Проведение информационных войн, в рамках которых производятся атаки на важнейшие системы государственной инфраструктуры
  • Проведение акций протеста против правительства или деятельности компании, с помощью атак на их системы, выведения из строя их веб-сайтов или изменения информации на них
Теперь рассмотрим примеры преступлений, направленных на компьютеры:
Иногда возникают сложности с отнесением преступления к категории «совершенного с помощью компьютера» или «направленного на компьютер», поскольку интуитивно кажется, что любая атака одновременно попадает в обе эти категории - один компьютер используется для проведения атаки, а другой подвергается этой атаке. Отличие между этими категориями заключается в том, что «преступления, совершенные с помощью компьютера», используют компьютер исключительно в качестве инструмента для совершения традиционных видов преступлений. Даже без компьютера, люди по-прежнему могут совершать кражи, что-то ломать, устраивать акции протеста, похищать коммерческую тайну компаний и т.п. При совершении таких преступлений компьютер может использоваться, как один из инструментов злоумышленника. «Преступления, направленные на компьютер» не могут быть совершены без компьютера. Таких преступлений не существовало до того момента, когда компьютеры стали использоваться повсеместно. Иными словами, в старые добрые времена вы не могли выполнить атаку переполнения буфера на вашего соседа, или установить вредоносную программу вашему противнику. «Преступления, направленные на компьютер» требуют участия компьютера.

К категории «преступлений с побочным использованием компьютера» относятся преступления, к совершению которых причастен компьютер, но его участие в них остается незначительным и второстепенным. Например, ваш друг, которого уволили из компании, занимающейся лотереей, сообщил вам три ближайших выигрышных номера, а вы ввели их в свой компьютер, чтобы не забыть. Ваш компьютер является только местом хранения. Вы могли бы записать эти номера и на листе бумаги, без всякого компьютера. Другим примером является детская порнография – преступлением является получение и распространение детской порнографии, графических изображений. Эти изображения могут быть сохранены на компьютере, а могут быть напечатаны на бумаге. В преступлениях этой категории компьютер не используется для атак на другие компьютеры и не подвергается атакам сам, он просто используется некоторым образом.

Вы можете сказать: «Ну и что? Преступления в любом случае остаются преступлениями. Зачем делить их на какие-то категории?». Это нужно для того, чтобы применять к компьютерным преступлениям существующие законы. Скажем, кто-то просто включил ваш компьютер и заглянул в несколько папок с вашими файлами, не нанеся никакого ущерба, но вы не давали ему такого разрешения. Нужно ли разрабатывать новый закон, указывая в нем запрет на использование чужих компьютеров? Или лучше просто воспользоваться существующим законом? Что делать, если хакеры взломали систему управления светофорами в городе и получили возможность включить на всех светофорах одновременно зеленый свет? Нужно ли и для этой цели создавать новые законы или тут тоже можно воспользоваться существующими и понятными законами, по которым наработана обширная практика? Помните, что любое преступление является преступлением, а компьютер является просто новым инструментом.

Использование уже существующих законов облегчает работу судей, которые могут выносить приговоры, основываясь на хорошем знании законов, направленных на соответствующие преступления. Правительство разработало руководящие документы по вынесению приговоров, чтобы стандартизировать наказания для однотипных преступлений во всех судах. Для этого они используют систему баллов. Например, если вы похитили кого-нибудь, вы получаете 10 баллов. Если для этого вы еще и перешли через государственную границу, вы получаете дополнительные 2 балла. Если вы ударили похищенного человека, вы получаете еще 4 балла. Чем больше баллов, тем более суровым будет наказание.

Аналогично, если вы украли деньги с чужого счета, атаковав сервер банка, вы можете получить 5 баллов. Если вы использовали эти деньги для поддержки террористической группы, вы получаете еще 5 баллов. А за то, что вы не указали эти доходы в своей налоговой декларации, вам дополнительных баллов не начислят.

Конечно, это не означает, что с любым компьютерным преступлением можно бороться с помощью уже существующих законов. Многие страны были вынуждены разрабатывать новые законы, которые непосредственно касаются различных видов компьютерных преступлений. Ниже приведены для примера некоторые из законов США, которые были разработаны или доработаны для учета различных видов компьютерных преступлений:
  • Параграф 1029 Титула 18 Свода законов США: Мошенничество, связанное с устройствами доступа (предусмотрена ответственность за торговлю похищенными или поддельными устройствами доступа, которые могут быть использованы для получения денег, товаров или услуг)
  • Параграф 1030 Титула 18 Свода законов США: Мошенничество, связанное с компьютерами (предусмотрена ответственность за посягательства на «защищенный компьютер» (принадлежащий правительству или финансовой организации) и находящуюся на нем компьютерную информацию)
  • Параграф 2510 Титула 18 Свода законов США: Перехват проводных и электронных коммуникаций, голосовой информации (предусмотрена ответственность за несанкционированный доступ к передаваемой информации)
  • Параграф 2701 Титула 18 Свода законов США: Хранение данных проводных и электронных коммуникаций, журналов доступа (определен порядок хранения и использования журналов доступа и сохраняемых данных)
  • Закон об авторском праве в цифровом тысячелетии (предусмотрена ответственность за нарушение авторских прав путем копирования, производство и распространение технологий, позволяющих обходить технические средства защиты авторских прав)
  • Акт о дополнительных мерах по компьютерной безопасности (ужесточает наказания за киберпреступления)
ПРИМЕЧАНИЕ. Для сдачи экзамена CISSP не нужно знать все эти законы, это просто примеры.


Раз у нас есть столько законов, относящихся к цифровым преступникам, означает ли это, что мы держим под контролем всю киберпреступность? Увы, количество хакерских атак и взломов постоянно росло на протяжении многих лет и не будет снижаться в ближайшее время. Возникают различные сложности при попытке остановить или хотя бы сдержать злоумышленников. К ним относятся сложности при идентификации и поиске злоумышленников, обеспечение необходимого уровня защиты сети и успешное судебное преследование злоумышленников после их поимки.

Большинство злоумышленников так и не находят, поскольку они скрывают (используют ложные) адреса и идентификаторы, применяют методы скрытия своих действий. Многие атакующие взламывают сети, получают несанкционированный доступ к любым ресурсам в них, а затем очищают лог-файлы, с помощью которых можно было бы отследить их действия. Из-за этого, многие компании даже не знают, что их сети были взломаны. Даже если система выявления вторжений (IDS) смогла выявить действия злоумышленника, это все равно, как правило, не позволяет определить настоящую личность нападающего, хотя это и позволяет компании узнать о факте атаки, а также об использовании конкретной уязвимости.

Злоумышленники при доступе к системе жертвы обычно используют несколько промежуточных систем между своим компьютером и компьютером жертвы, что существенно осложняет процесс их отслеживания, для чего нужно пройти по всей цепочке промежуточных систем в обратной последовательности, начиная с системы жертвы. Преступники часто используют компьютеры обычных людей для выполнения с них своих преступных действий. Для этого злоумышленник устанавливает вредоносную программу на компьютере такого человека, используя различные методы: отправку вредоносного кода во вложении к сообщению электронной почты, размещение троянской программы на веб-сайте и т.п. В большинстве случаев процесс загрузки, запуска и дальнейшей работы вредоносной программы остается абсолютно незаметен для пользователя, вредоносная программа не производит никаких действий, пока не получит команду от злоумышленника – например, команду на проведение атаки на другую систему. Такие скомпрометированные злоумышленниками системы называются зомби (zombie), установленное на них вредоносное программное обеспечение называется ботом (bot), а если у злоумышленника есть несколько таких скомпрометированых систем, подключенных к сети Интернет, это называется бот-сетью (botnet). Бот-сеть может использоваться для проведения распределенных DoS-атак, рассылки спама – любых команд злоумышленника. Более детально эти вопросы рассмотрены в Домене 09, здесь мы говорим о них только для того, чтобы проиллюстрировать, как нападающие могут легко скрыть свою личность.

Расследованием компьютерных преступлений занимаются правоохранительные органы. Они обучают своих сотрудников для нахождения и задержания компьютерных преступников, но пока правоохранительные органы далеко позади, они не обладают теми навыками и инструментами, которые есть у хакеров. Атакующие использовуют автоматизированные инструменты, они за короткое время могут провести несколько серьезных атак. Правоохранительные органы, расследуя эти атаки, работают практически «вручную», проверка журналов регистрации событий, опрос людей, исследования носителей информации, сканирование систем на наличие уязвимостей, создание ловушек на случай, если атакующий вернется. В каждом государственном правоохранительном ведомстве есть лишь небольшое число сотрудников, способных заниматься расследованием компьютерных преступлений, но даже их опыт и знания обычно отстают от опыта и знаний хакеров. Все это приводит к тому, что большинство злоумышленников так и не находят, а из тех, кого находят, очень немногих привлекают к реальной ответственности.

Это никоим образом не означает, что все компьютерные преступники уходят от наказания. Правоохранительные органы постоянно совершенствует свою тактику, обучают своих сотрудников. С информацией о компьютерных преступлениях в США можно ознакомиться на сайте www.cybercrime.gov.

В действительности лишь немногие законы специально направлены на компьютерные преступления, что дополнительно усложняет проведение расследований в отношении пойманных злоумышленников. Многие пострадавшие от хакерских атак компании, хотят просто исправить уязвимость, которой воспользовался злоумышленник, а не тратить время и деньги на его преследование и наказание. Это является одной из главных причин ухода злоумышленников от ответственности. Большинство компаний не сообщают о компьютерных преступлениях (за исключением некоторых, в основном тех, которые обязаны сообщать об этом в соответствии с требованиями законодательства). Ни одна компания не хочет, чтобы о ее проблемах знали все, поскольку это может подорвать доверие клиентов, акционеров и инвесторов. Даже те компании, которые по закону обязаны сообщать о нарушениях безопасности и компьютерных преступлениях, не всегда делают это. Часто они просто исправляют уязвимость и делают вид, что никакого инцидента не было. Все это приводит к тому, что в мире отсутствует даже достоверная статистика компьютерных преступлений.

Законодательство, требования регуляторов, различные стандарты и лучшие практики позволяют руководителям компаний быть осведомленными в вопросах безопасности, однако они не всегда считают эти вопросы действительно важными и не предпринимают достаточных усилий для обеспечения надлежащего уровня безопасности своих компаний. Зачастую, вопросы безопасности становятся очень важны для компании только после того, как ее имя попадает в заголовки газет, описывающих, как у компании украли сто тысяч номеров банковских карт.

Комментариев нет: