вторник, 28 декабря 2010 г.

ISSP \ Домен 08. Законодательство, требования, соответствие, расследования. Часть 8

В этой части рассмотрены следующие вопросы:
  • Что является приемлемым для суда?
  • Наблюдение, обыск и изъятие
  • Проведение опросов и допросов
  • Несколько различных видов мошенничества
  • Этика
  • Институт компьютерной этики
  • Совет по архитектуре Интернета
  • Программа корпоративной этики
  • Резюме


Компьютерные журналы регистрации событий очень важны во многих областях мира ИТ. Обычно они используются для выявления и устранения проблем, а также чтобы понять события, имевшие место в определенный момент времени. Если компьютерные журналы регистрации событий предполагается использовать в качестве доказательства в суде, они должны быть собраны в ходе обычной работы бизнеса. В большинстве случаев, компьютерные документы рассматриваются как показания с чужих слов (hearsay), т.е. являются вторичными доказательствами. Показания с чужих слов, обычно не принимаются в суде без основных доказательств, которые могут подтвердить их точность, достоверность и надежность. Основными доказательствами могут быть показания сотрудника компании, в обязанности которого входит настройка системы аудита событий и сбор журналов регистрации событий. Этот сотрудник должен выполнять эти обязанности в рамках своей повседневной работы в компании, а не делать это специально для суда. Ценность доказательства зависит от искренности и компетентности их источника.

Важно продемонстрировать, что журналы регистрации событий и все остальные доказательства не были подделаны или изменены каким-либо образом. Это может обеспечить система охраны вещественных доказательств (chain of custody). Сущетсвует ряд инструментов для расчета контрольной суммы или хэш-функции файлов журналов регистрации событий, которые позволят сразу же выявить любые изменения в этих файлах.

В процессе сбора доказательств может возникнуть проблема, вызванная ожиданиями сотрудников по сохранению неприкосновенности их частной жизни. Подозреваемый в совершении компьютерного преступления сотрудник может утверждать, что файлы на его компьютере являются его личными и они не могут быть доступны сотрудникам правоохранительных органов и суду. Поэтому очень важно, чтобы компания проводила регулярное обучение и повышение осведомленности персонала в области безопасности, требовала от сотрудников ознакамливаться под роспись с нормативными документами, устанавливающими требования по правильному использованию компьютеров и оборудования компании, использовала иные методы повышения осведомленности (например, сообщения, появляющиеся при регистрации сотрудника на компьютере, экранные заставки, баннеры на внутреннем сайте, плакаты и т.п.). Это является ключевым моментом при установлении того, что пользователь не имеет права на неприкосновенность частной жизни при использовании оборудования компании.

К примеру, CERT Advisory рекомендует при регистрации сотрудника на компьютере показывать на экране сообщение следующего содержания:
Эта система предназначена для использования только уполномоченными пользователями. Использование этой системы лицами, не имеющими соответствующих полномочий или с превышением своих полномочий, а также действия уполномоченных пользователей, выполняемые с нарушением действующих в компании требований, регистрируется системой мониторинга и подлежат последующему анализу.
Продолжение использования этой системы означает безусловное согласие пользователя с таким мониторингом, а также с тем, что при необходимости данные мониторинга могут использоваться в качестве доказательств и передаваться компанией в правоохранительные органы.
Это явное предупреждение подкрепляет обоснованность и юридическую значимость претензий, которые могут быть предъявлены сотруднику или неуполномоченному лицу, поскольку продолжение использования системы после просмотра этого предупреждения означает, что человек признает политику безопасности компании и дает ей разрешение для выполнения мониторинга и использования результатов мониторинга в качестве доказательства.

Любое доказательство имеет свой жизненный цикл. Важно, чтобы участвующие в расследовании лица хорошо понимали все этапы жизненного цикла рассматриваемого доказательства и учитывали их в процессе расследования.

Жизненный цикл доказательства включает в себя:
  • Выявление и сбор
  • Обеспечение сохранности и транспортировка
  • Предъявление в суде
  • Возврат доказательства жертве или владельцу
В суде могут использоваться различные виды доказательств, в частности письменные, устные, компьютерные, визуальные и звуковые. Устные доказательства – это показания свидетеля. Визуальные или звуковые – это, как правило, доказательства, созданные во время самого преступления или сразу после него (например, видеозапись, запись на диктофон, фотоснимки).

В глазах закона не все доказательства равны, некоторые виды доказательств более значимы или имеют больший вес, чем другие. В следующих разделах кратко описываются способы, с помощью которых доказательства могут быть классифицированы и оценены.

Наилучшее доказательство

Наилучшее доказательство (best evidence) – это основное доказательство, используемое в суде, поскольку оно обеспечивает наибольшую надежность. Примером того, что может быть квалифицировано в качестве наилучшего доказательства, является оригинал подписанного договора. Устные доказательства не могут считаться наилучшим доказательством, поскольку они недостаточно надежны и не являются юридически значимым документом. При этом устные доказательства могут использоваться для интерпретации документов.

Вторичное доказательство

Вторичное доказательство (secondary evidence) менее надежно и не имеет такой доказательной силы, как наилучшее доказательство. Вторичными доказательствами могут быть, например, устные показания свидетеля, копии документов и т.п.

Прямое доказательство

Прямое доказательство (direct evidence) само может доказать некий факт, для этого не требуются какие-либо дополнительные доказательства. При использовании прямых доказательств не нужны предположения и домыслы. Примером прямых доказательств являются показания свидетеля, который видел совершение преступления. Хотя устные доказательства будут вторичными по своей природе (т.е. решение суда не может быть основано только на них), они являются прямыми доказательствами, что означает, что адвокату не обязательно предоставлять другие дополнительные доказательства. Прямое доказательство часто основывается на информации, полученной с помощью пяти чувств свидетеля (слух, зрение, осязание, обоняние, вкус).

Неопровержимое доказательство

Неопровержимое доказательство (conclusive evidence) является бесспорным, оно не может быть подвергнуто сомнению. Неопровержимое доказательство имеет очень большую силу и не требует подтверждения.

Косвенное доказательство

Косвенное доказательство (circumstantial evidence) может доказать промежуточный факт, который затем может быть использован для вывода или предположения о существовании другого факта. На основании промежуточного факта судья или присяжные могут логично предположить наличие первичного факта. Например, если подозреваемый сказал другу, что он собирается атаковать сайт eBay, дело не может быть основано только на этом факте, поскольку такое доказательство является косвенным. Однако если через час после того, как подозреваемый сообщил об этом своему другу, сайт eBay был атакован, присяжные могут предположить на основе этого, что именно подозреваемый совершил это преступление.

Подтверждающее доказательство

Подтверждающее доказательство (corroborative evidence) – это вспомогательное, подкрепляющее доказательство, помогающее доказать идею или точку зрения. Само по себе подтверждающее доказательство использоваться не может, оно может служить дополнительным инструментом, помогающим доказать основные доказательства.

Доказательство, основанное на предположении

Когда свидетель дает показания, в соответствии с правилами (opinion rule) он должен сообщать только факты по данному вопросу, но не свое мнение об этих фактах. В данном случае речь не идет о показаниях эксперта, т.к. эксперт в основном привлекается именно для того, чтобы получить его профессиональное мнение по соответвующему вопросу. Большинство юристов вызывают экспертов для дачи показаний, позволяющих стороне защиты или обвинения лучше понять предмет, чтобы они могли, в свою очередь, помочь судье и присяжным лучше понять относящиеся к делу вопросы.

Доказательство, основанное на показаниях с чужих слов

Показания с чужих слов (hearsay evidence) – это устные или письменные доказательства, они исходят из вторых рук и непосредственно не могут обеспечить точность и надежность. Если свидетель в своих показаниях говорит, что он слышал, как кто-то говорил что-то, это не является никаким фактом, существует слишком много переменных, которые могут скрыть правду. Если документы были сформированы в рамках обычных бизнес-процедур, они могут быть приемлемыми для суда. Однако если документы были подготовлены специально для предъявления в суде, они могут быть отнесены к категории показаний с чужих слов.

При принятии решения о приемлемости доказательства для суда, рассматриваются следующие вопросы:
  • Процедуры сбора и сопровождения доказательств
  • Подтверждение того, каким образом удалось избежать ошибок
  • Определение ответственного за сохранность доказательств и определение его навыков по работе с ними
  • Разумное объяснение:
    • Почему были выполнены определенные действия
    • Почему определенные процедуры были пропущены
Важно, чтобы доказательства были достоверными, полными, достаточными, надежными и относящимися к рассматриваемому делу. Эти характеристики лежат в основе доказательств, их соблюдение обеспечивает приемлемость доказательств для суда.

Чтобы доказательство было достоверным (authentic) и относящимся к делу (relevant), оно должно разумно и здраво соотноситься с фактами. Если судья решает, что билеты человека на поезд не могут рассматриваться в качестве доказательства в суде по делу об убийстве, это означает, что судья постановил, что эти билеты не имеют отношения к делу. После этого адвокат не может упоминать о них в суде.

Чтобы доказательство было полным (complete), оно должно содержать все детали. Должны быть предъявлены все детали доказательства, даже оправдательные.

Чтобы доказательство было достаточным (sufficient) и правдоподобным (believable), оно должно быть достаточно убедительным, чтобы убедить разумного человека в справедливости доказательства. Это означает, что доказательство не может быть истолковано субъективно. Достаточным не может считаться доказательство, в котором легко усомниться.

Чтобы доказательство было надежным (reliable) и точным (accurate), оно должно соответствовать фактам. Доказательство не может быть надежным, если оно основано на мнении человека или копии документа, поскольку при этом возникает слишком много возможностей для ошибки. Надежное доказательство – это доказательство, основанное на фактах, оно не является косвенным.

Если какое-либо доказательство признано подлинным, полным, обоснованным, надежным и относящимся к делу, оно также должно быть юридически допустимо, т.е. должно быть получено законным путем. Доказательство не должно быть получено в результате незаконного обыска и изъятия, несанционированного контроля, или получено под принуждением. Иначе доказательство будет аннулировано, как только оно попадет в суд.


Существует два основных вида наблюдения, применяемого для выявления компьютерных преступлений: физическое и компьютерное наблюдение. Для физического наблюдения (physical surveillance) используются камеры безопасности, охранники, система видеонаблюдения, которые могут зафиксировать доказательства. Физическое наблюдение также может осуществляться с использованием агента под прикрытием, который может собрать информацию о деятельности подозреваемого, его семье и друзьях, личных привычках, что может дать очень важные сведения для расследуемого дела.

Компьютерное наблюдение (computer surveillance) – это аудит журналов регистрации событий, пассивный перехват информации с использованием сетевых снифферов, клавиатурных перехватчиков, систем перехвата информации, передаваемой по каналам связи и т.п. В большинстве стран активный мониторинг может проводиться только при наличии ордера на обыск, а для легального контроля за действиями сотрудника, требуется заранее предупредить его о том, что его действия могут контролироваться таким образом.

Деятельность по обыску (search) и изъятию (seizure) доказательств может быть очень сложной, это зависит от того, что нужно найти и где. Например, американские граждане находятся под защитой Четвертой поправки, запрещающей незаконный обыск и изъятие, поэтому правоохранительные органы должны иметь достаточные основания и заранее запросить соответствующий ордер на обыск от судьи или суда. При этом обыск может проводиться лишь в тех местах, которые указаны в ордере. Четвертая поправка не распространяется на деятельность частных лиц, если только они не действуют в качестве агентов полиции. Таким образом, например, если руководитель компании предупредил всех сотрудников, что по решению руководства все файлы с их рабочих компьютеров могут быть удалены в любое время, и этот руководитель не является сотрудником (или агентом) полиции, сотрудники компании не могут утверждать, что их права, предусмотренные Четвертой поправкой, были нарушены. Руководитель таким решением возможно нарушит некоторые законодательные акты по защите неприкосновенности частной жизни, но не Четвертую поправку.

В некоторых случаях, сотрудник правоохранительных органов может изъять улики вне областей, указанных в ордере, например, если подозреваемый пытается уничтожить улики. Иными словами, если существует вероятность, что потенциальные доказательства могут быть уничтожены, сотрудник правоохранительных органов имеет право изъять их, чтобы предотвратить их уничтожение. Это называется срочными обстоятельствами (exigent circumstances), по данному факту в дальнейшем судья должен будет принять решение, было ли изъятие правильным и законным, что необходимо для решения вопроса о применимости собранных таким образом доказательств для суда. Например, если у сотрудника полиции есть ордер на обыск в гостиной подозреваемого (но не в других помещениях), а он видит, что подозреваемый прячет кокаин в туалете, сотрудник полиции может изъять кокаин, хотя туалет не был указан в ордере на обыск.

После сбора доказательств, необходимо обеспечить их охрану для обеспечения гарантий их целостности.

Существует очень тонкая грань между заманиванием и провокацией, когда речь идет о фиксации действий подозреваемого. Заманивание (enticement) является законным и этичным, тогда как провокации (entrapment) не являются ни законными, ни этичными. В мире компьютерных преступлений, хост-приманка (honeypot) является хорошим примером для демонстрации разницы между заманиванием и провокацией. Компании размещают специальные системы в своих экранированных подсетях, которые либо эмулируют сервисы, которыми часто пытаются воспользоваться злоумышленники, либо эти сервисы на них включены реально. Это делается с расчетом на то, что если злоумышленник взломает сеть компании, он пойдет прямиком к приманке, а не к реальным системам, используемым для работы компании. Система-приманка имеет множество открытых портов и работающих сервисов, содержащих уязвимости, которыми может воспользоваться злоумышленник, поэтому такая система с большой вероятностью привлечет внимание злоумышленника. С помощью системы-приманки компания может зафиксировать действия атакующего, а затем использовать собранную информацию для его судебного преследования.

Действия в приведенном примере законны, пока компания не переходит грань между заманиванием и провокацией. Примером провокации может быть ссылка на веб-странице, на которой указано, что при переходе по этой ссылке пользователь сможет бесплатно загрузить тысячи файлов MP3. Однако когда пользователь переходит по ссылке, он попадает на систему-приманку, компания регистрирует все его действия и пытается затем преследовать его в суде. В результате такой провокации компания не сможет доказать в суде, что подозреваемый имел намерение совершить преступление, это лишь покажет, что он был успешно обманут.


После проведения всех мероприятий по наблюдению, обыску и изъятию, вероятно, потребуется провести опрос свидетелей и допросы подозреваемых. Проведение опроса (interviewing) – это наука и искусство, поэтому он должен проводиться профессионалом, имеющим необходимую подготовку. Кроме того, нужно учитывать, что опрос свидетеля может проводиться только после консультации с юристом. Однако это не значит, что вы, как специалист по информационной безопасности, не будете участвовать в этом процессе. Вас могут попросить предоставить вводную информацию для проведения опроса или поприсутствовать в процессе опроса для пояснения технических вопросов. При необходимости, компания может быть назначено ответственное лицо, в обязанности которого будет входить проведение опросов и допросов. Темы для обсуждения и вопросы должны быть подготовлены заранее, вопросы должны задаваться спокойно и систематично, поскольку целью опросов и допросов является получение доказательств для суда.

Сотрудник, проводящий допрос, должен занимать более высокую позицию в штатной структуре компании по сравнению с допрашиваемым. Вряд ли вице-президент компании испугается и будет откровенничать с рядовым специалистом. Допрос должен проведиться в приватной обстановке, подозреваемому должно быть достаточно комфортно и удобно. Если предполагается показывать подозреваемому улики, они должны показываться по очереди, либо храниться в папке. Нет необходимости перед допросом зачитывать подозреваемому его права, если допрос проводит не сотрудник правоохранительных органов.

Сотрудник, проводящий допрос, не должен допустить, чтобы подозреваемый обманул его, вынудил отказаться от важной информации, относящейся к расследованию, или сбежал до начала судебного процесса.


В различных категориях компьютерных преступлений используются различные методики. В следующих разделах мы рассмотрим некоторые виды компьютерного мошенничества и злоупотреблений.

"Салями"

При проведении атаки «салями» (salami attack) преступник совершает несколько мелких преступлений, рассчитывая на то, что общая картина останется незамеченной. Атака «салями» чаще всего происходит в бухгалтерии компании, наиболее распространенным примером такой атаки является незаконное списание небольших денежных сумм со множества различных счетов и их аккумулирование на отдельном счете для последующего снятия. При этом преступник надеется, что хищения очень мелких сумм останутся незамеченными. Например, сотрудник банка, имеющий возможность вносить изменения в программное обеспечение, используемое при выполнении банковских операций, может внести в программное обеспечение процедуру, которая будет ежемесячно списывать 1 рубль с расчетного счета каждого клиента банка и переводить его на счет этого сотрудника. Если в этом банке обслуживаются 50 000 банковских счетов клиентов, злоумышленник может получать доход около 600 000 рублей в год.

Подделка данных

Подделка данных (data diddling) – это внесение изменений в существующие данные. Чаще всего данные подделываются еще до того, как они загружаются в приложение, либо сразу после окончания их обработки и их вывода из приложения. Примером подделки данных может быть ввод заведомо неверной информации кредитным работником – клиент берет в банке кредит на сумму 1 000 000 рублей, а кредитный работник вводит сумму 1 500 000 рублей, а затем переводит 500 000 рублей со счета клиента на свой счет. Другим примером может быть кассир, который принимает у клиента 1 000 рублей, а чек пробивает на 800 рублей и 200 рублей забирает себе.

Заведомо ложная информация может вводиться в системы и приложения по множеству различных причин, но чаще всего это делается для того, чтобы завысить доходы и активы, либо занизить расходы и обязательства. Иногда руководители компаний делают это с целью обмана акционеров, кредиторов и партнеров, а руководители подразделений – с целью обмана руководства компании.

Этот вид преступлений достаточно распространен, хотя его несложно предотвратить с помощью правильного управления доступом, ведения учета, выполнения контрольных мероприятий, аудита, разделения обязанностей и установления лимитов на операции. Это один из примеров того, что сотрудники компании (инсайдеры) могут быть более опасны, чем внешние преступники.

Чрезмерные привилегии

Чрезмерные привилегии (excessive privileges) являются очень распространенной проблемой безопасности, поскольку их чрезвычайно сложно контролировать в большой и сложной среде. Чрезмерными являются привилегии (права, разрешения) пользователя компьютера, которые не требуются ему для выполнения своих обязанностей. Если пользователю достаточно иметь возможность чтения и печати документов с файлового сервера, ему не должен предоставляться полный доступ к этому файловому серверу. Типичным примером является следующая ситуация. Руководитель одного из подразделений бухгалтерии для выполнения своих обязанностей имел полный доступ ко всем данным на сервере, включая финансовую информацию. Но затем он перешел из бухгалтерии в научно-исследовательский отдел, но ранее предоставленные ему права доступа не были аннулированы, поскольку большинство компаний не имеют предназначенных для таких случаев процедур. Это называется «расползание прав» (authorization creep). Теперь этот руководитель имеет полный доступ данным учета и к информации об исследованиях – это и есть чрезмерные привилегии. Если он будет недоволен какими-либо действиями компании, он сможет нанести компании гораздо больше ущерба, чем если бы его права доступа были надлежащим образом ограничены.

Сниффинг паролей

Сниффинг паролей – это перехват сетевого трафика для получения паролей, передаваемых между компьютерами. В Интернете в свободном доступе есть ряд инструментов, которые выполняют такую функциональность. Перехватить пароль не легко, т.к. он передается только в процессе аутентификации пользователя в домене или при получении доступа к ресурсу. Некоторые системы и приложения отправляют пароли по сети в открытом виде, но таких систем остается все меньше. Большинство современных систем и приложений вообще никогда не передают паролей. Например, рабочая станция пользователя может выполнять одностороннюю функцию хэширования введенного пользователем пароля и отправлять по сети только полученное в результате значение хэша для аутентификации на сервере. При этом на сервере хранится файл, содержащий хэш-значения паролей всех пользователей, а не сами пароли. Когда к нему обращается система для проверки пароля пользователя, сервер сравнивает полученное значение хэша со значением, хранящимся в этом файле.

Однако многие из инструментов, позволяющих перехватывать пароли, также могут проводить их взлом. Часто именно с этого и начинается компьютерное преступление.

IP-спуфинг

В локальных сетях и Интернете используются IP-адреса, они выполняют ту же функцию, которую в реальном мире выполняют номера домов и названия улиц, позволяющие найти дорогу из одного места в другое. Каждому подключенному к сети компьютеру присваивается IP-адрес, необходимый для того, чтобы пакеты знали, откуда они пришли и куда они направляются. Однако многие злоумышленники не хотят, чтобы кто-то мог определить их реальное местоположение, поэтому они изменяют свой IP-адрес в сетевых пакетах, чтобы выдавать себя за другого. Они могут делать это вручную, либо автоматически – с помощью специализированных программных инструментов. Это называется IP-спуфингом (IP spoofing). Большинство атак выполняются с поддельных IP-адресов, что дает жертвам мало шансов найти злоумышленника и систему, которую он использовал для атаки.

Одной из причин, по которой выполнять IP-спуфинг так легко, является то, что протокол Интернета (IP) был разработан в то время, когда о безопасности редко задумывались. Тогда разработчики все внимание уделяли функциональности, они даже не могли себе представить те атаки, которые в наше время осуществляются с использованием разработанных ими протоколов.

В Домене 05 мы рассматривали протоколы IPv6 и IPSec в IPv4, которые позволяют эффективно бороться со спуфингом, но для этого необходимо перейти на использование этих протоколов. Такое изменение очень трудно провести, т.к. оно затрагивает работу миллионов людей.
ПРИМЕЧАНИЕ. Спуфинг также называют атакой маскарадинга (masquerading attack). Маскарадинг – это попытка выдать себя за кого-то другого.
Разгребание мусора

Разгребание мусора (dumpster diving) – это поиск в мусоре компании или конкретного человека, выброшенных документов, носителей информации и других ценных вещей, которые могут быть использованы для атаки на этого человека или компанию. Для этого злоумышленнику нужно получить физический доступ в помещение, однако, как правило, места, в которых хранится мусор не очень хорошо охраняются. Разгребание мусора неэтично, но оно не является противозаконным. Однако несанкционированное проникновение в помещение нарушает закон, а оно может быть необходимо для получения доступа к мусору. Законодательство, касающееся этого вопроса, может различаться в разных странах и регионах.

Люди, занимающиеся промышленным шпионажем, могут устраивать настоящие рейды на мусорные контейнеры компаний, чтобы найти служебную и конфиденциальную информацию. Также в мусорных контейнерах злоумышленники могут найти выброшенные документы с данными банковских карт, документы по организации работы внутренней компьютерной и телефонной сетей компании и многое другое.

Перехват побочных излучений

Побочные излучения и методы их перехвата злоумышленниками мы рассматривали в Домене 02 в разделе "Защита от утечки информации по техническим каналам". Обычно, каждое электрическое устройство излучает электрические волны в окружающую среду. Эти волны передают информацию, аналогично тому, как работают беспроводные технологии. Они могут передаваться на значительное расстояние, в зависимости от мощности сигнала, применяемых материалов и окружающих объектов. Злоумышленники могут использовать специальные устройства для перехвата этих волн для попытки получения доступа к информации, которая не была предназначена для них.

Для этого злоумышленникам нужны специальные инструменты, которые настраиваются на частоту, на которой передаются нужные волны. Кроме того, злоумышленник должен находиться в непосредственной близости от здания компании, в котором установлено устройство, излучающее волны. Компании, обрабатывающие настолько критичную информацию, что злоумышленники готовы будут перехватывать ее таким образом, преодолевая множество сложностей, как правило, используют в своей работе специализированное экранированное компьютерное оборудование, излучающее очень небольшое количество электрических сигналов. Также компании могут использовать специальные материалы в стенах здания, который не пропускает через себя эти типы электрических волн.

Обычно такие атаки происходят в кино и шпионских романах. Однако и в обычной жизни существует технология, которая позволяет производить подобные атаки без использования шпионской техники – это беспроводные сети. Если компания использует беспроводную сеть, она может воспользоваться специальными механизмами и настройками, предотвращающими перехват злоумышленниками трафика своих сотрудников. К сожалению, не все компании используют эти механизмы и настройки. Это позволяет любому пользователю с ноутбуком и беспроводной сетевой картой припарковаться на автостоянке компании и прослушивать ее сетевой трафик. Беспроводные технологии и их безопасность рассматривались нами в Домене 05.

Перехват информации, передаваемой по каналам связи

Большинство коммуникационных сигналов уязвимы к тому или иному виду прослушивания или перехвата. Обычно это можно делать незаметно, это называется пассивной атакой. Для перехвата передаваемой информации применяются такие инструменты, как сотовые сканеры, радиоприемники, микрофоны, магнитофоны, сетевые снифферы, а также устройства для прослушивания телефонных разговоров.
ПРИМЕЧАНИЕ. Пассивная атака не оказывает влияния на процесс передачи данных. Примером пассивной атаки может быть перехват (wiretapping) или прослушивание (eavesdropping). Активные атаки напротив, вмешиваются в процесс передачи данных. Примером может быть DoS-атака или проникновение во внутреннюю сеть.
Во многих странах существуют законы, запрещающие прослушивание переговоров других людей. Прослушивание может быть законным только с согласия самого прослушиваемого лица, либо по решению суда. Чтобы получить разрешение суда, сотрудники правоохранительных органов должны обосновать наличие у них оснований предполагать преступную деятельность и необходимость проведения прослушивания для доказательства этого. Такие ограничения устанавливаются в целях защиты прав человека на частную жизнь.

Ссылки по теме:


Этика основана на различных вопросах и принципах. Она относится к различным ситуациям, по-разному интерпретируемым разными людьми. Из-за этого вопросы этики часто становятся предметом дискуссий. Однако отдельные варианты этики являются менее спорными, по сравнению с другими, поэтому их соблюдение проще требовать от людей.

(ISC)2 требует, чтобы все сертифицированные специалисты по безопасности безоговорочно соблюдали ее Кодекс Этики. Если CISSP умышленно нарушает Кодекс, его сертификат может быть отозван.

Ниже приведен краткий перечень его основных положений. Каждый кандидат CISSP должен ознакомиться с полной версией Кодекса Этики, прежде чем пытаться сдать экзамен.
  • Действовать достойно, честно, справедливо, ответственно и законно, защищать общество
  • Усердно работать, предоставлять компетентные услуги, продвигать профессию безопасности
  • Содействовать проведению исследований, обучать, оценивать сертификацию.
  • Избегать необоснованного страха и сомнений, не соглашаться с применением плохих практик
  • Препятствовать применению небезопасных практик, сохранять и укреплять целостность общественной инфраструктуры
  • Соблюдать и выполнять все договорные обязательства, явно выраженные или подразумеваемые, давать разумные советы
  • Избегать любых конфликтов интересов, уважать доверие, которое другие возлагают на вас, и выполнять только те работы, для выполнения которых у вас есть достаточно квалификации
  • Поддерживать свои навыки в актуальном состоянии, не принимать участия в мероприятиях, которые могли бы повредить репутации других специалистов по безопасности
Между законом и этикой существует интересная связь. Чаще всего, законы основаны на этике, они внедряются для того, чтобы обеспечить соблюдение всеми соответствующих этических норм. Однако законы учитывают не все вопросы. Для того, чего нет в законодательстве, нужна этика. Некоторые действия могут не нарушать закон, однако это не обязательно означает, что они этичны.

Компании следует разработать руководство по компьютерной и деловой этике. Это руководство может быть частью справочника сотрудника компании, эта тема может затрагиваться в процессе обучения персонала.

Существуют этические заблуждения, которые многие пытаюся использовать в компьютерном мире, чтобы оправдать свои неэтичные действия. Эти заблуждения вызваны различием во взгядах людей на одни и те же вопросы, различиями в интерпретации законов и правил. Ниже приведены примеры таких заблуждений:
  • Хакеры хотят только учиться и совершенствовать свои навыки. Многие из них не получают никакой прибыли от своих действий, поэтому их деятельность не должна рассматриваться как незаконная или неэтичная.
  • Первая поправка защищает и дает гражданам США право разрабатывать компьютерные вирусы.
  • Информация должна использоваться совместно, свободно и открыто, поэтому обмен конфиденциальной информацией и коммерческой тайны должен быть законным и этичным.
  • Хакинг не причиняет никому реального вреда.

Институт компьютерной этики (Computer Ethics Institute) является некоммерческой организацией, которая помогает продвигать передовые технологии этичными способами. Институт компьютерной этики разработал Десять заповедей компьютерной этики:
  1. Не используй компьютер с целью причинения вреда другим людям
  2. Не вмешивайся в работу компьютеров других людей
  3. Не пытайся найти что-нибудь в файлах на компьютерах других людей
  4. Не используй компьютер для воровства
  5. Не используй компьютер для лжесвидетельства
  6. Не копируй и не используй коммерческое программное обеспечение до его оплаты
  7. Не используй ресурсы чужого компьютера без разрешения или компенсации
  8. Не присваивай себе результаты интеллектуальной деятельности других людей
  9. Подумай о социальных последствиях использования программы, которую ты написал, или системы, которую ты спроектировал
  10. Используй компьютер таким образом, чтобы соблюсти интересы сограждан



Совет по архитектуре Интернета (Internet Architecture Board, IAB) является координационным комитетом по проектированию, инжинирингу и управлению Интернетом. В его обязанности входит архитектурный надзор за деятельностью Специальной комиссии интернет-разработок (Internet Engineering Task Force, IETF), надзор за созданием новых стандартов Интернета, внесение изменений в RFC (Request for Comments).

IAB выпускает документы по вопросам этики использования сети Интернет. Он рассматривает Интернет в качестве ресурса, для которого очень важен вопрос доступности и который используется на пользу для широкого круга людей. В основном работа IAB связана с недопущением безответственных действий в сети Интернет, которые могут поставить под угрозу его существование или отрицательно повлиять на других. Он рассматривает Интернет как великий дар, и работает, чтобы защитить его для всех, кто зависит от него. IAB видит использование сети Интернет, как привилегию, которая должна рассматриваться именно с такой точки зрения и использоваться с уважением.

Следующие действия IAB рассматривает как неэтичные и неприемлемые:
  • Умышленно пытаться получить несанкционированный доступ к ресурсам сети Интернет
  • Препятствовать возможности использования сети Интернет
  • Тратить ресурсы (человеческие, компьютерные и другие) на бесцельные действия
  • Нарушать целостность компьютерной информации
  • Разглашать чужие персональные данные
  • Небрежно проводить эксперименты в масштабах всей сети Интернет
IAB обещает взаимодействовать с государственными учреждениями для принятия любых мер, необходимых для защиты Интернета. В частности для этих целей могут использоваться новые технологии, методы и процедуры, призванные сделать Интернет более устойчивым к нарушениям. Существует баланс между повышением защиты и сокращением функциональности. Одной из основных целей Интернета является обеспечение свободных потоков информации, которые не должны ограничиваться, в связи с этим IAB должен быть логичным и гибким в своих подходах, а также в тех ограничениях, которые он пытается реализовать. Интернет является общим инструментом, поэтому все должны работать вместе, чтобы защитить его.
ПРИМЕЧАНИЕ. RFC 1087 «Этика и Интернет» концептуально описывает поведение, которое IAB считает неэтичным и неприемлемым.


Многие законодательные акты требуют, чтобы компании разрабатывали этические правила и соответствующие программы корпоративной этики. Это вызвано множеством «скользких» ситуаций, произошедших в прошлом, о которых знало (и косвенно поощряло) руководство компаний, даже если они не признали этого. Программа корпоративной этики задает «тон сверху», руководители должны не только обеспечить соблюдение определенных в ней этических норм подчиненными сотрудниками, но и сами обязаны соблюдать их. Основной целью является недопущение явного или неявного использования лозунга «успех любой ценой» в культуре компании. Существуют ситуации, в которых возникают предпосылки для проявления неэтичного поведения. Если зарплата генерального директора компании зависит от стоимости акций компании, он может найти способы для искусственного завышения цены на акции, от чего могут пострадать инвесторы и акционеры компании. Если премии менеджеров зависят от объемов продаж и при этом они сами рассчитывают эти объемы, вполне вероятно, что их расчеты быстро перестанут отражать реальность. Если сотрудник может получить премию за экономию бюджета, он может выбрать самых дешевых (но ненадежных) производителей и/или модели, которые будут только причинять головную боль компании и ее клиентам. Хотя вопросы этики многим кажутся весьма абстактными, заставляющими нас культурно выражаться в общественных местах и т.п., в действительности эти вопросы очень важны, оно должны быть реализованы в корпоративной среде компании, в ее бизнес-процессах и стилях управления.

Руководящие принципы FSGO (Federal Sentencing Guidelines for Organizations) - это этические нормы, соблюдение которых ведет к сокращению числа правонарушений и нарушений обязательств. Они были обновлены и дополнены в 2004 году, в них были включены требования по активному участию высшего руководства и членов Совета директоров компании в реализации программы корпоративной этики. Это обеспечивает выполнение принципа должной осмотрительности (due diligence) и позволяет выявлять преступные действия, а также предотвращать их. Ряд положений SOX используют аналогичные подходы, но только в отношении бухгалтерского учета и достоверности корпоративной отчетности.

Ссылки по теме:



Вопросы законодательства, этики и проведения расследований являются очень важной частью компьютерной и информационной безопасности. К сожалению, компании редко о них задумываются, пока они не сталкиваются с компьютерными преступлениями. Эти вопросы необходимо рассматривать, если мы всерьез хотим бороться с компьютерной преступностью и добиваться адекватного наказания компьютерных преступников.

В настоящее время законодательство в этой области находится на начальном этапе развития, суды предпринимают первые попытки рассмотрения компьютерных преступлений. Пока еще очень мало прецедентов в этой области, что затрудняет интерпретацию действий преступника и выбор адекватного наказания. Однако во многих странах законодательство в этой области быстро развивается, появляются новые законы, позволяющие правильно интерпретировать преступную деятельность, помогающие работе правоохранительных органов, а также защищающие интересы граждан. Еще не так давно хакерские атаки проводились просто для развлечения, но ужесточение законодательства в этой области и появление организованной компьютерной преступности, нацеленной на извлечение реальной прибыли, достаточно быстро свело подобные «развлечения» на нет.

Специалисты по безопасности должны хорошо знать и понимать законодательство и иные требования в области компьютерной безопасности, уметь правильно реализовать эти требования в компании, в которой они работают. Они должны уметь надлежащим образом проинформировать руководство компании и клиентов об их обязанностях, хорошо понимать границы своей деятельности.

Комментариев нет: