пятница, 26 ноября 2010 г.

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Часть 2

В этой части рассмотрены следующие вопросы:
  • Электронные активы
  • Эволюция атак
  • Трансграничные преступления
  • Типы права


Другой сложностью, которую принес в общество цифровой мир, является определение того, что должно быть защищено, и необходимого уровня защиты. Изменились сами активы, которые требуется защищать компаниям. Еще пятнадцать лет назад такими активами были материальные вещи (оборудование, сооружения, инструменты и т.п.). Теперь компании должны добавить в этот список данные, причем данные, как правило, находятся на самом верху этого списка: проекты новых продуктов, номера банковских карт, медицинская информация, персональные данные, коммерческая тайна, военные стратегии и т.д. Хотя военным всегда приходилось заботиться о защите своих тайн, они никогда не работали с таким большим количеством «точек входа» в свои секреты, каждую из которых необходимо контролировать. В настоящее время компании испытывают трудности не только при защите своих электронных данных, но и при определении того, что именно является конфиденциальной информацией и где она должна храниться.
ПРИМЕЧАНИЕ. В законодательстве многих странах для более эффективной борьбы с компьютерными преступлениями, определение собственности было расширено и в него были включены данные.
Многие компании с удивлением узнали, что защита нематериальных активов (таких как данные и репутация) является намного более сложной задачей, чем защита материальных активов.


Около десяти лет назад хакерами были люди, которым просто доставляло удовольствие исследовать и взламывать системы. Они смотрели на это, как на сложную игру, они не имели намерений причинить вред. Чтобы попасть в заголовки газет, хакеры взламывали и нарушали работу крупных веб-сайтов (Yahoo, MSN, Excite) и хвастались этим перед своими коллегами. Вирусописатели создавали вирусы, которые просто распространялись и выполняли на зараженных компьютерах действия, которые сложно назвать вредоносными (в основном различные шутки). В настоящее время, к сожалению, все изменилось.

Хотя и сегодня существуют хакеры-любители и люди, которые взламывают системы для забавы, появилась организованная компьютерная преступность, что значительно увеличило суммы ущерба от деятельности хакеров. В прошлом, скрипт-кидди (script kiddy) сканировали тысячи и тысячи систем в поисках определенной уязвимости, которой они могли воспользоваться. Для них не было никакой разницы, находилась ли эта система в корпоративной сети, в сети правительственной организации или являлась домашним компьютером пользователя. Такой хакер хотел воспользоваться уязвимостью просто для развлечения, «поиграть» с системой и сетью, к которой она подключена. В отличие от него, современные хакеры делают это максимально скрытно и не стараются привлекать к себе никакого внимания. Они являются членами организованных преступных групп и выполняют конкретные и целенаправленные задачи, обычно с целью получения прибыли. Например, они могут перехватывать номера банковских карт, персональные данные людей, чтобы затем использовать их для проведения мошеннических операций.
ПРИМЕЧАНИЕ. Скрипт-кидди – это хакеры, которые не имеют навыков для проведения атак без помощи специальных инструментов, существенно упрощающих их задачи. Они не всегда понимают, как в действительности происходит атака, поэтому они часто не догадываются об уровне ущерба, который они могут причинить своими действиями.
Наиболее часто применяемые схемы интернет-мошенничества
  • Мошенничество на аукционах
  • Поддельные банковские чеки
  • Ликвидация долгов
  • Рассылки по электронной почте
  • Трудоустройство / деловое сотрудничество
  • Мошенничество при выполнении посреднических услуг
  • Мошенничество с инвестициями
  • Лотереи
  • «Нигерийские письма»
  • Финансовые пирамиды (схема Понци)
  • Перепродажа
  • Получение средств третьей стороной
Чтобы подробнее узнать обо всех этих видах компьютерных преступлений, посетите сайт www.ic3.gov/crimeschemes.aspx.
В настоящее время значительно снизилось и продолжает снижаться количество компьютерных вирусов, созданных для развлечения и не наносящих существенного ущерба. Зато постоянно растет количество очень опасных вредоносных программ. Они стали более целенаправлены. Чаще всего они предназначены для установки на компьютеры жертв бэкдоров, ботов и руткитов. Продолжает увеличиваться изощренность атак и растет ущерб от них.
Инсайдеры. Злоумышленнику, как правило, нужен доступ к системам, содержащим ценные ресурсы, а инсайдерам (внутренним злоумышленникам, работающим в компании) значительно проще, чем внешним нарушителям, получить доступ к защищаемым ресурсам компании. У сотрудников компании гораздо больше возможностей для совершения компьютерных преступлений, чем у внешних нарушителей. Многие специалисты действительно отмечают, что инсайдеры виновны в большинстве компьютерных преступлений, но средства массовой информации обычно продвигают только рассказы о внешних хакерах, поскольку они интереснее читателям. Это привело к тому, что угрозы хакерства часто переоценивают, и при этом уделяют недостаточно внимания угрозам, исходящим от собственного персонала, пользующегося своим положением и наличием разрешенного доступа к компьютерным системам компании.
Итак, мы перечислили некоторые сложности, возникающие при борьбе с киберпреступностью: анонимность, которую предоставляет злоумышленнику сеть Интернет; появление организованной компьютерной преступности; повышение сложности и изощренности атак; недостатки и отставание правовой системы; отсутствовавшее до недавнего времени внимание компаний к защите своих информационных активов. Дополнительные сложности возникают при проведении хакерских атак через границы различных стран.


Если хакер, находящийся на Украине, провел атаку на банк во Франции, в чьей правовой юрисдикции будет рассматриваться это преступление? Как эти страны будут осуществлять совместную работу для поимки преступника и осуществления правосудия? В какой стране будет происходить суд над этим человеком? На многие из этих вопросов пока нет ответов.

Когда компьютерное преступление пересекает государственные границы, сложность его расследования многократно повышается, а вероятность привлечения злоумышленника к суду – уменьшается. Это может быть связано с отличиями правовых систем разных стран, отсутствием в некоторых странах законов, касающихся компьютерных преступлений, вопросами юрисдикции, а также нежеланием отдельных стран помогать друг другу. Представьте, что иранский хакер взломал систему в Израиле. Каковы шансы, что иранское правительство поможет израильским правоохранительным органам выследить злоумышленника? Может даже оказаться, что атака вообще была осуществлена по распоряжению правительства.

Были предприняты определенные усилия для унификации подхода различных стран к компьютерным преступлениям, поскольку компьютерные преступления не знают государственных границ. Злоумышленнику из Китая не составляет труда передать через Интернет сетевые пакеты в банк, расположенный в Саудовской Аравии, но крайне сложно (из-за особенностей правовых систем, различий в культуре и политике) побудить правительства этих стран к совместной работе.

Примером попытки создания международного стандарта реагирования на киберпреступления является Конвенция по киберпреступности Совета Европы. Фактически, это первое международное соглашение, направленное на гармонизацию национального законодательства различных стран, предоставляющее методики расследования преступлений и совместную работу на международном уровне.

Расположенные в различных странах офисы международных компаний постоянно взаимодействуют между собой с помощью электронной почты, телефонной и спутниковой связи, волоконно-оптических каналов и т.п. Для таких компаний очень важно проанализировать законодательство стран, в которых они работают, связанное с информационными потоками и вопросами конфиденциальности.

При передаче данных через границы различных стран, компании должны учитывать требования Руководящих принципов Организации экономического сотрудничества и развития (ОЭСР) для трансграничных потоков информации и правила трансграничной передачи данных, которые были рассмотрены в Домене 01. Каждая страна имеет собственные, отличные от других, законы, устанавливающие различные требования, использующие различные категории информации. Все это еще больше усложняет ведение международного бизнеса. ОЭСР является международной организацией, которая помогает правительствам различных стран собраться вместе и решить экономические, социальные и управленческие проблемы в условиях глобализации экономики. Для этих целей ОЭСР выпустила руководство, которому должны следовать различные страны, чтобы обеспечить надлежащую защиту информации, применяя при этом одни и те же правила.

ОЭСР определила семь ключевых принципов:
  • Сбор персональных данных должен быть ограничен, осуществляться законными и честными способами, с согласия субъекта персональных данных.
  • При хранении персональных данных должна обеспечиваться полнота и актуальность персональных данных, хранение должно соответствовать заявленным целям.
  • Субъекты персональных данных должны быть заранее уведомлены о причинах сбора их персональных данных, компании должны использовать персональные данные только в заявленных целях.
  • Раскрытие, предоставление доступа или использование персональных данных в целях, отличных от первоначально заявленных, должно осуществляться только с разрешения субъекта персональных данных, либо на основании требований законодательства.
  • Должны быть внедрены разумные защитные меры для защиты персональных данных от таких рисков, как их утрата, несанкционированный доступ к ним, их несанкционированное изменение или раскрытие.
  • Порядки использования, политики в отношении персональных данных, должны открыто сообщаться. Любая компания должна предоставлять субъекту персональных данных возможность выяснения существования в этой компании его персональных данных, состава этих данных, названия и местонахождения компаний, в которые были переданы его персональные данные для обработки.
  • Субъекты должны иметь возможность определения, какие организации обрабатывают их персональные данные и какие конкретно данные они обрабатывают, чтобы они могли исправлять ошибочные данные, запрещать определенные действия с ними.
Компании должны нести ответственность за реализацию мер, направленных на выполнение указанных выше принципов.
ПРИМЕЧАНИЕ. Информацию о руководящих принципах ОЭСР можно найти на сайте www.oecd.org/document/18/0, 2340, en_2649_34255_1815186_1_1_1_1, 00.html.
Хотя работа ОЭСР является отличным началом, предстоит еще большой объем работы по стандартизации подходов к вопросам киберпреступности на международном уровне.

Компании, которые не знают или не соблюдают указанные правила и руководящие принципы, могут быть оштрафованы и осуждены, что может разрушить их бизнес. Если ваша компания имеет планы по международной экспансии, было бы неплохо организовать в ней юридический департамент, который будет работать над этими вопросами, чтобы у компании никогда не возникли подобные проблемы.

Если компания обменивается данными с европейскими организациями, ей необходимо соблюдать требования "Безопасной гавани" (Safe Harbor). В Европе вопросы защиты конфиденциальной информации всегда контролировались более жестко, чем в США и других частях мира. Раньше при взаимодействии американских и европейских компаний возникали значительные сложности, обусловленные существенными различиями в законодательстве, что наносило серьезный ущерб бизнесу этих компаний. Чтобы устранить этот беспорядок, были разработаны документы "Безопасной гавани", в которых определены требования по защите данных, передаваемых в / из Европы. Американские компании, которые постоянно взаимодействуют с европейскими компаниями, могут получить сертификат соответствия этим правилам, чтобы быстрее и проще передавать данные.

Европейский союз (ЕС) относится к частной жизни граждан гораздо более серьезно, чем большинство других стран в мире, поэтому в ЕС разработаны строгие законы, относящиеся к персональным данным, основанные на Принципах конфиденциальности Европейского союза. Этот набор состоит из шести принципов, определяющих порядок использования и передачи конфиденциальной информации. Все государства в Европе должны соблюдать эти обязательные принципы.

Европейские принципы конфиденциальности:
  • Цели сбора данных должны быть указаны до начала их сбора.
  • Данные не могут быть использованы для других целей.
  • Ненужные данные не должны собираться.
  • Данные должны храниться столько времени, сколько необходимо для достижения указанной цели, но не дольше.
  • Доступ к данным должен предоставляться только лицам, которым он необходим для выполнения задач по достижению указанной цели.
  • Должен быть назначен ответственный за обеспечение безопасного хранения данных, в обязанности которого входит недопущение непреднамеренных утечек этих данных.
Ссылки по теме:


Как было отмечено ранее, правовые системы различных стран имеют существенные различия. В этом разделе мы рассмотрим основные компоненты этих систем и их отличия.
  • Гражданское право (Civil (code) Law)
    • Система законов, используемая в странах континентальной Европы (например, Франции и Испании).
    • Отличается от Общего права (common law), используемого в США и Великобритании.
    • Гражданское право основано на правилах, а не на прецедентах.
    • Система гражданского реализуется с помощью Кодексов (codified law) – «писанных» законов. Не все страны следуют этому подходу.
    • История гражданского права начинается в шестом веке, когда византийский император Юстиниан разработал Кодексы Рима.
    • Гражданскую правовую систему не следует путать с гражданским законодательством США (деликтное право (tort law)).
    • Гражданское право устанавливается различными странами для саморегулирования (существует, например, Французское гражданское право, Немецкое гражданское право и т.п.).
    • Это самая распространенная правовая система в мире.
    • В соответствии с гражданским правом, суды нижнего уровня не обязаны следовать решениям, принятым вышестоящими судами.
  • Общее право (Common Law)
    • Разработано в Англии.
    • Основано на следующем толковании законов:
      • В прошлом, судьи ходили по всей стране, обеспечивая соблюдение законов и урегулируя споры.
      • У них не было написанного свода законов, они основывали свои законы на обычаях, традициях и прецедентах.
      • В двенадцатом веке Королева Англии создала единую правовую систему для всей страны.
      • Она отражала моральные принципы и ожидания общества.
      • Это положило начало появлению адвокатов (lawyer), которые принимают активное участие в судебных процессах, представляя свои аргументы и доказательства.
    • В наше время в общем праве используются судьи (judge) и коллегии присяжных (jury of peers).
    • Обычно система состоит из суда высшей инстанции (higher court), нескольких апелляционных судов (appellate court) среднего уровня и множества местных судов первой инстранции (trial court). Прецеденты в этой системе идут сверху вниз. Традиционно существуют магистрационные суды (magistrate’s court), которые предназначены для принятия административных решений.
    • Общее право делится на:
      • Уголовное (Criminal)
        • Основано на общем праве, статутном (основанном на законодательных актах) праве (statutory law) или их комбинации.
        • Относится к поведению, неприемлемому для общества.
        • Наказанием обычно является лишение свободы или денежный штраф.
      • Гражданское (Civil) / деликтное (tort)
        • Ответвление уголовного права.
        • В соответствии с гражданским правом обвиняемый имеет правовые обязательства по отношению к пострадавшему. Другими словами, обвиняемый обязан придерживаться определенных норм поведения, чтобы избежать заведомого нанесения вреда потерпевшему.
        • Нарушение обвиняемым этих обязанностей ведет к нанесению ущерба потерпевшему (обычно физического или финансового).
        • Категории нарушений гражданского права:
          • Умышленные (intentional). Примером может быть нападение, умышленное причинение страданий, незаконное лишение свободы.
          • Направленные на чужую собственность (wrongs against Property). Примером может быть нарушение прав землевладельца.
          • Направленные на личность (wrongs against Person). Например, автомобильные аварии, нападения собак.
          • Халатность (negligence). Смерть в результате преступного бездействия.
          • Совершенные чиновниками и другими государственными служащими (dignitary wrongs). Например, вмешательство в личную жизнь, нарушение гражданских прав.
          • Экономические (economic wrongs). Примером могут быть нарушения, связанные с патентами, авторскими правами и торговыми марками.
          • Нарушение гражданских обязательств (strict liability). Например, неуведомление о рисках, дефектах продукции и т.п.
      • Административное (administrative (regulatory))
        • Законодательство и правовые принципы разрабатываются государственными учреждениями для множества различных областей, включая международную торговлю, производство, вопросы иммиграции.
    • Обязанности по доказыванию вины лежат на стороне обвинения, доказательства не должны оставлять никаких разумных сомнений (невиновен пока не доказано обратное).
    • Используется в Канаде, Великобритании, Австралии, США, Новой Зеландии.
  • Правовой обычай (Customary Law)
    • В основном относится к поведению людей и моделям поведения.
    • Основано на традициях и обычаях региона.
    • Появилось, когда возникла потребность в сотрудничестве отдельных людей.
    • Немногие страны работают в рамках системы правовых обычаев, чаще используются смешанные системы, в которых правовые обычаи являются одной из составляющих (кодексы гражданского права возникли из правовых обычаев).
    • Применяется в основном в тех регионах мира, где используются смешанные правовые системы (например, Китай, Индия).
    • Наказания обычно выражаются в виде денежного штрафа или общественных работ.
  • Религиозное право (Religious Law Systems)
    • Основано на религиозных убеждениях региона.
      • В исламских странах право основывается на нормах Корана.
      • Однако в каждой исламской стране закон отличается.
      • Юристы и священники обладают высоким уровнем доверия.
    • Охватывает все аспекты жизни людей.
    • Обычно делится на:
      • Ответственность и обязательства перед другими.
      • Религиозные обязанности.
    • Знания и правила исходят от Бога, который управляет человеческими делами.
    • Религиозные законы включают в себя кодексы этики и морали, соблюдать которые требует Бог. Например, индусское право (Hindu law), шариат (исламское право, Islamic law), Галаха (еврейское право, Jewish law) и т.д.
  • Смешанные правовые системы (Mixed Law Systems)
    • Две (или более) правовые системы используются совместно, дополняя друг друга.
    • Чаще всего смешанные правовые системы состоят из гражданского права и общего права.
    • Комбинация используемых систем является результатом более или менее четко определения областей применения.
    • В пределах одного региона, гражданское право может применяться к одним видам преступлений, а религиозное право – к другим.
    • Примером стран, в которых применяются смешанные правовые системы, являются Канада, Голландия, Южная Африка.
ПРИМЕЧАНИЕ. С распределением различных типов права по странам мира можно ознакомиться на сайте University of Ottawa Faculty of Law.
Гражданское право имеет дело с преступлениями, направленными на отдельных лиц или компании, в результате которых им был нанесен вред или они понесли ущерб. Это называется деликтным правом (tort law). Примером может быть злоупотребление, халатность или ответственность за некачественную продукцию и т.п. Результатом гражданского иска может быть денежный штраф или общественные работы, а не лишение свободы. Коллегия присяжных в гражданском суде решает вопрос ответственности, а не виновности или невиновности. Если коллегия решает, что ответчик несет ответственность за содеянное, коллегия определяет размер штрафа для возмещения убытков пострадавшей стороне.
ПРИМЕЧАНИЕ. Гражданское право в основном произошло от общего права (прецедентного права), судебные разбирательства инициируются частными лицами, а в суде определяется, несет ли ответственность обвиняемый за причиненный ущерб. Уголовное право обычно четко прописано в законодательстве, инициатива судебного разбирательства исходит от правительственных прокуроров, а в суде определяется, виновен ли обвиняемый или нет.
Уголовное право применяется, когда действия человека нарушают государственные законы, разработанные для защиты общества. Наказанием по уголовным делам, как правило, является лишение свободы.

Административное право использует нормативные стандарты, которые регулируют деятельность и поведение. Государственные учреждения разрабатывают эти стандарты, которые обычно применяются к компаниям и физическим лицам в рамках соответствующих отраслей. В качестве примера можно привести требования, предявляемые к любому офисному зданию, в которых указано, что каждое офисное здание должно быть оборудовано системой выявления и тушения пожара, на стены помещений и коридоров должны быть нанесены указатели на аварийные выходы, а двери в случае пожара должны разблокироваться. В качестве другого примера, можно привести требования стандартов, предъявляемых к компаниям, производящим пищевые или фармацевтические продукты. Эти стандарты направлены на защиту общества от некачественной и опасной для здоровья продукции. Если компания нарушает или игнорирует предъявляемые к ее деятельности требования, ее должностные лица могут быть привлечены к ответственности.

Люди, которые хотят успешно бороться с компьютерной преступностью, должны хорошо понимать психологию своего противника, точно так же, как сотрудники полиции, занимающиеся более традиционными преступлениями. В большинстве случаев, в самом начале расследования компьютерного преступления (как и любого другого), необходимо понять, почему и как оно было совершено. Для успешного расследования преступления, нужно знать, как думает преступник, что мотивирует его на преступную деятельность, каковы его цели и опасения, как они отражаются на преступлениях, которые он совершает. Чтобы реально остановить или хотя бы сократить киберпреступность, необходимо хорошо понимать, почему люди совершают такие преступления.

Комментариев нет: