Neautorizovaný přístup

Neoprávněný přístup - přístup k informacím v rozporu s úředním oprávněním zaměstnance, přístup k informacím uzavřený veřejnému přístupu osobám, které nemají oprávnění k přístupu k těmto informacím. Neoprávněným přístupem se v některých případech také nazývá získání přístupu k informacím osobou, která má právo na přístup k těmto informacím v množství přesahujícím rozsah nezbytný pro plnění služebních povinností.

Řídicí dokument Státní technické komise „Ochrana před neoprávněným přístupem. Termíny a definice” Archivní kopie ze dne 10. října 2019 na Wayback Machine (schválená rozhodnutím předsedy Státní technické komise Ruska ze dne 30. března 1992) interpretuje definici trochu jinak:

Neoprávněný přístup k informacím (UAS) - přístup k informacím, které porušují pravidla řízení přístupu pomocí standardních nástrojů poskytovaných výpočetní technikou nebo automatizovanými systémy.

Neoprávněný přístup může vést k úniku informací .

Příčiny neoprávněného přístupu k informacím

chyby konfigurace ( přístupová práva , firewally , omezení hromadného charakteru dotazů do databází ),
slabé zabezpečení autorizačních nástrojů (krádež hesel , čipových karet , fyzický přístup ke špatně střeženým zařízením , přístup na neuzamčená pracoviště zaměstnanců v nepřítomnosti zaměstnanců),
softwarové chyby ,
zneužití pravomoci (krádež záložních kopií, kopírování informací na externí média s právem přístupu k informacím),
Poslouchání komunikačních kanálů při použití nezabezpečených připojení v rámci LAN ,
Použití keyloggerů, virů a trojských koní na počítačích zaměstnanců k zosobnění .

Způsoby páchání nezákonného přístupu k informacím o počítači

Způsob spáchání trestného činu neoprávněný přístup jsou způsoby a způsoby, které pachatelé používají při páchání společensky nebezpečného činu.

V literatuře [1] , existují různé klasifikace metod páchání počítačových zločinů:

Způsoby přípravy (odpovídá trestněprávnímu pojetí „ příprava na trestný čin “):
- Shromažďování informací;
- Zachycování e-mailových zpráv;
- Navázání známosti;
- Zachycování zpráv v komunikačních kanálech;
- Krádež informací;
- Úplatkářství a vydírání.
Penetrační metody (odpovídá trestněprávnímu pojetí „ pokusu trestného činu “):
- Přímý vstup do systému (výčtem hesel);
- Získávání hesel;
- Využití slabin v komunikačních protokolech.

Někteří autoři [2] nabízejí klasifikaci v závislosti na cílech, které pachatel v konkrétní fázi trestného činu sleduje:

Taktické – určené k dosažení okamžitých cílů (například k získání hesel);
Strategické - zaměřené na realizaci dalekosáhlých cílů a jsou spojeny s velkými finančními ztrátami pro automatizované informační systémy.

Jiný autor [3] identifikuje pět způsobů, jak se dopustit nezákonného přístupu k počítačovým informacím :

Přímé použití přesně toho počítače, který autonomně ukládá a zpracovává informace, které zločince zajímají;
Skryté připojení počítače zločince k počítačovému systému nebo k síti oprávněných uživatelů prostřednictvím síťových kanálů nebo rádiové komunikace;
Hledání a používání zranitelností při ochraně počítačových systémů a sítí před neoprávněným přístupem k nim (například chybějící systém ověřování kódu);
Skrytá úprava nebo přidání počítačových programů fungujících v systému;
Nelegální používání univerzálních programů používaných v nouzových situacích.

Existuje ustálenější klasifikace metod, kterou se většina autorů řídí [1] a která je postavena na základě analýzy zahraniční legislativy. Tato klasifikace je založena na způsobu použití určitých akcí zločincem zaměřeným na získání přístupu k počítačovému vybavení s různými úmysly:

Metody zachycení informací;
Způsob neoprávněného přístupu;
manipulační metoda;
Komplexní metody.

Důsledky neoprávněného přístupu k informacím

V literatuře [1] , kromě Archivní kopie ze dne 6. dubna 2016 , specifikované v článku 272 Trestního zákoníku Ruské federace na stroji Wayback , je navržena obecnější klasifikace možných následků tohoto trestného činu:

Porušení funkcí. Zahrnuje čtyři typy:
- Dočasná porušení vedoucí ke zmatkům v rozvrhu práce, rozvrhu určitých činností atd.;
- nedostupnost systému pro uživatele;
- Poškozený hardware (opravitelný a neopravitelný);
- Poškození softwaru
Ztráta významných zdrojů;
Ztráta výhradního užívání;
Porušení práv (autorských, souvisejících, patentových, vynálezeckých).

Důsledky neoprávněného přístupu k informacím jsou také:

únik osobních údajů (zaměstnanců společnosti a partnerských organizací),
únik obchodních tajemství a know-how ,
únik kancelářské pošty
únik státních tajemství ,
úplné nebo částečné zbavení bezpečnostního systému společnosti.
přesný únik informací

Prevence úniku

K zamezení neoprávněného přístupu k informacím se používá software a hardware, například systémy DLP .

Legislativa

Americký zákon o počítačovém podvodu a zneužívání byl kritizován za svou vágnost, umožňující pokusy o jeho použití za účelem interpretace jako neoprávněný přístup (s trestem až desítek let vězení) porušení podmínek použití ( angl . podmínky služby ) informačního systému (například webové stránky). [4] [5] Viz také: Malware#Legal , Schwartz, Aaron , United States v. Lori Drew .

Viz také

Poznámky

↑ 1 2 3 Mazurov V.A. Trestně právní aspekty informační bezpečnosti. - Barnaul: [[Nakladatelství Altajské univerzity (nakladatelství) |]], 2004. - S. 92. - 288 s. — ISBN 5-7904-0340-9 .
↑ Okhrimenko S.A., Cherney G.A. Bezpečnostní hrozby pro automatizované informační systémy (zneužívání softwaru) // NTI. Ser.1, Org. a metodologie informují. dílo: časopis. - 1996. - č. 5 . - S. 5-13 .
↑ Skoromnikov K.S. Průvodce vyšetřovatele. Vyšetřování trestných činů zvýšeného ohrožení veřejnosti / Dvorkin A.I., Selivanov N.A. - Moskva: Liga Mind, 1998. - S. 346-347. — 444 s.
↑ Ryan J. Reilly. Zoe Lofgren představuje „Aaronův zákon“ na počest Swartze na Redditu . The Huffington Post / AOL (15. ledna 2013). Získáno 9. března 2013. Archivováno z originálu 11. března 2013. (neurčitý)
↑ Tim Wu . Oprava nejhoršího zákona v technologii , News Desk Blog , The New Yorker . Archivováno z originálu 27. března 2013. Staženo 28. března 2013.