Информационная безопасность государства и государственных сегментов сети Интернет

VI. ИНТЕРНЕТ И ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Информационная безопасность государства и государственных сегментов сети Интернет

Несмотря на то, что телекоммуникационные сети, в том числе и Интернет, считаются наиболее значительными достижениями в истории цивилизации, нельзя не учитывать негативных последствий, связанных с ее функционированием. Учет как положительных сторон процесса информатизации, так и отрицательных, поможет человеку правильно определить место информационных технологий в обществе. Это особенно важно при формировании информационной политики государства.

Глобальная система Интернет постоянно развивается. Несмотря на многие ее достоинства, в ней заложены элементы функциональности, прямо или косвенно связанные с проблемами национальной и информационной безопасности общества в широком смысле этого понятия. По определению А. Урсула, информационная безопасность общества включает в себя компьютерную безопасность в качестве необходимой составляющей, распространяется на все социальные процессы, в которых функционирует информация и используется информатика. Это свойство социальной системы, цивилизации в целом, гарантировать такое развитие информационных процессов и информатизации общества, которое обеспечивало бы ему информационные условия выживания и дальнейшего прогресса1. Как отмечено выше, многие аспекты, в которых заложена возможность негативного для общества направления развития информационных процессов происходит из открытости Мира и информационной природы человека. В таблице 1 (см. п. 1.2) отражены особенности позитивного развития информационной среды общества и Интернет на основе синергетического подхода. На основе этого же подхода проведен анализ возможных негативных аспектов развития процессов информатизации и Интернет (таблица 7).

Более того, с точки зрения особенностей синергетического развития, можно предположить, что в развитии Интернет может проявиться роль хаоса как деструктивного механизма эволюции, возникнут более сложные структуры. В числе множественных путей развития могут проявиться механизмы, способные разрушить как информационную цивилизацию, так и человечество в целом.

Информационная безопасность имеет несколько аспектов: обеспечение целостности данных в самом широком понимании данного термина, обеспечение доступности информации, обеспечение конфиденциальности информации, ограничение несанкционированного доступа, возможность реализации специальных методов в среде Интернет, связанных с пассивным и активным воздействием на информационные ресурсы, в том числе с их нецелевым использованием. Задача гарантированного обеспечения целостности данных в сети Интернет в полном объеме пока не может быть решена как в силу технических и технологических причин, так и в связи с правовой неурегулированностью вопросов, связанных с достоверностью электронных версий документов, электронной подписью и другими.

К этим вопросам тесно примыкают проблемы обеспечения доступности информации. Информация, размещенная на серверах Интернет, должна быть доступна пользователям. В то же время существует огромное количество программно-технических средств, позволяющих намеренно вывести из строя ту или иную систему. Это могут быть средства перекрытия доступа путем массированной системы запросов к серверу, средства интерактивной подмены адреса сервера таким образом, что пользователь будет работать совсем не с тем сервером, с которым он соединялся. Кроме того, имеется целый арсенал программ-вирусов, способных намеренно разрушить любую информационную систему. На такие случаи в США, например, имеются специальные группы быстрого реагирования по восстановлению работоспособности государственных информационных систем.

Близким к рассмотренным аспектам информационной безопасности является проблема обеспечения конфиденциальности информации, которая обеспечивается как технологиями разграничения доступа, так и криптографическими средствами защиты информации при ее передаче по сети. Несмотря на бурное развитие программно-технических средств по разграничению доступа к информации, на сегодняшний день нет стопроцентной гарантии от несанкционированного доступа к данным, размещенным в открытой сети Интернет.
Незаконное проникновение в информационные системы может нанести значительный ущерб их владельцам. Например, бывают случаи намеренного использования невидимых операций профессионалами с преступной целью, для снятия денег со счетов в банке. Бич банковских компьютерных систем – программа "салями". В банковских системах ежедневно производятся тысячи операций, связанных с безналичными расчетами, переводами сумм, отчислениями и т.д. Во многих таких операциях возникает проблема вычисления различного рода долей от некоторой величины. Хитрость заключается в том, как запрограммировать обработку округлений. Если их накапливать на специальном счете, то в конце концов можно получить достаточно большую сумму.

В 1989 году в Амстердаме состоялся международный съезд компьютерных пиратов. В ходе съезда представители одной из групп подключились к местному банку и продемонстрировали ненадежность защиты, перечислили 270 тысяч франков на свой счет и возвратили их на следующий день. С той же целью – обратить внимание на важность проблемы – группа членов "Гамбургского компьютерного клуба" подключалась к 135 ЭВМ разных стран мира. Существуют программы, намеренно реализующие скрытые дополнительные функции. Такие программы называются "троянскими конями". После их работы, может выясниться, что конфиденциальные данные, находящиеся в системе, известны всем или скрытым конкурентам. Программа, вызывающая разрыв выполняемой задачи и осуществляющая кражу защитных кодов и паролей, получила название "люк". Известны программы под названием "асинхронная атака", путающая команды двух решаемых в данный момент программ.

Одним из известных способов мести высококвалифицированных программистов компаниям, которые их уволили или обидели, это "логические бомбы", которые "взрываясь" уничтожают в системе наиболее важные данные, приводя к значительному материальному ущербу. Так выход из строя вычислительного центра банка приводит к разрушению всей системы его работы буквально через три дня.

Этот пример доказывает, что игнорирование социальных аспектов информатизации может быть опасным. Джулия Ван Дюн2 высказывает мысль, что такие последствия удастся исключить тогда, когда сотрудники, использующие в своей работе компьютеры, будут полностью удовлетворены условиями труда и оплатой. Не менее важен, на наш взгляд, учет уровня профессиональной оценки и самооценки специалиста.

Защита от незаконного проникновения компьютерных хулиганов и организованных преступных групп в жизненно важные для общества системы управления (транспортом, войсками, хозяйством городов, банковских систем); а также несанкционированного доступа в базы данных с целью их разрушения или использования информации в преступных целях, становится особенно важной при переходе государственных структур на технологии Интернет. Это связано с общедоступностью Интернет, ее открытостью, с наличием огромного числа программных средств, разработанных всем мировым сообществом, которые в руках нечистоплотных могут нанести огромный вред государству.

Этим вопросам в США уделяется серьезнейшее внимание. Так развитие технологий обеспечения безопасности информации является одним из ключевых направлений американского проекта NGI (см. п.2.3), на развитие которого выделены значительные средства – две из трех объявленных главных задач касаются качества сквозного шифрования для обмена информацией между прикладными программами и защиты информации, гарантирующей надежность и доступность для широкого диапазона пользователей, разделяющих общую инфраструктуру. В этом же направлении активизировались коммерческие компании, работающие в области безопасности в Интернет, растет спрос на такие продукты, как виртуальные частные сети, смарт-карты и инфраструктура для использования криптографии. Компании типа DoubleClick, Internet Security Systems, Verisign и Broadcom быстро становятся наиболее преуспевающими в Интернет-бизнесе, стоимость на их акции стремительно растет. Так например, доходы от продаж продукции компании Verisign возросли с 1,4 млн $ в 1996 г. до 9,4 млн $ в 1997 г.