новая папка 1 / 376974

В.Е. Муценек

МГЛУ ЕАЛИ, ст. преп. кафедры информационных технологий

УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В УСЛОВИЯХ

ПРОТИВОБОРСТВА РОССИИ И ИНОСТРАННЫХ ГОСУДАРСТВ

Агрессивная санкционная политика государств Европейского Союза и блока НАТО диктует необходимость дополнительной оценки угроз безопасности информации, обрабатываемой в российских информационных системах независимо от принадлежности таких систем государственному или частному секторам.

Доктрина информационной безопасности Российской Федерации,

утверждённая задолго до ухудшения внешнеполитической обстановки,

констатирует факт нехватки конкурентоспособной электронной продукции отечественного производства, в особенности программно-аппаратных средств.[1] В условиях продолжающихся попыток экономической и политической изоляции России зависимость отечественной индустрии информационных технологий от импортной продукции становится серьёзным поводом для беспокойства. Данная статья обобщенно представляет некоторые возможные сценарии нарушения защищенности отечественных информационных систем в условиях международного противоборства.

Анализируя содержание Банка данных угроз безопасности информации ФСТЭК России, можно выделить не менее 93 угроз, прямо или косвенно связанных с намеренным вмешательством поставщика услуг (подрядчика,

инсайдера), программными закладками, «логическими бомбами» и

недекларированными возможностями. В качестве гипотезы, нуждающейся в тщательной проверке, обозначим идентификаторы УБИ этих угроз: 1, 3, 5 — 8, 10, 12, 14 — 17, 20 — 22, 24, 25, 27 — 32, 34, 35, 37, 39 — 41, 43 — 45, 48, 51, 54, 55, 57 — 60, 62, 64 — 66, 68, 70, 72 — 77, 79 — 81, 83, 84, 86 — 92, 96, 97, 100, 101, 107 — 109, 111 — 113, 115, 117, 119, 120, 134 — 138, 141 — 143, 145,

147, 149, 150, 153, 154, 164, 171. Объекты воздействия данных угроз разнородны и включают программное и аппаратное обеспечение СВТ, облачные

сервисы и виртуальные машины. Условия для реализации угроз и возможный потенциал нарушителя также различаются в соответствии со спецификой конкретной угрозы.[2] Однако в условиях преобладания иностранных программно-аппаратных средств общим становится возможное злонамеренное участие представителей иностранных государств в формировании благоприятных условий для реализации данных угроз.

Объекты воздействия данных угроз можно классифицировать по признаку собственности:

–информационные системы органов государственной власти и государственных предприятий;

–информационные системы коммерческих предприятий;

–персональные ЭВМ, принадлежащие физическим лицам.

При этом, в условиях обострения внешнеполитической обстановки, можно предполагать несколько сценариев, направленных на дестабилизацию единого информационного пространства, формируемого отечественными информационными системами.

Сценарий 1 — экономическая изоляция в области информационных технологий. Воздействие осуществляется целиком на отрасль информационных технологий. В качестве возможных мер воздействия: запрет на продажу российским юридическим лицам программного и аппаратного обеспечения,

производимого в странах-участницах ограничительной политики в отношении России; ограничения на продажу российским физическим лицам программного и аппаратного обеспечения. В качестве дополнительной меры давления можно рассматривать возможное прекращение поддержки российских пользователей.

Вданной ситуации достижимы последствия:

–невозможность поддержки доверенной вычислительной базы информационных систем за счёт отсутствия возможности обновления ключевых компонентов, содержащих уязвимости;

–при долгосрочном воздействии — разрушение информационной инфраструктуры за счёт естественного старения и выхода из строя аппаратного

обеспечения;

–сдерживание экономического развития России за счёт недоступности новых наукоёмких программных продуктов, используемых в промышленном производстве;

–рост протестных настроений в обществе, вызванный дефицитом качественного аппаратного обеспечения и региональными ограничениями на распространение программных продуктов;

–повышенное внимание таможенных органов иностранных государств к лицам, имеющим российское гражданство.

Сценарий 2 — внедрение «логических бомб» и программных закладок на уровне системного и прикладного программного обеспечения в процессе обновления. Целевыми объектами воздействия являются информационные системы государственных и коммерческих предприятий, органов власти. В

данной ситуации достижимы последствия:

–рост числа утечек информации за счёт формирования скрытых каналов;

–деструктивное воздействие на информационную инфраструктуру в случае применения информационного оружия (подача недекларированного управляющего сигнала по открытому каналу, по скрытому каналу либо в результате таргетированной атаки с внедрением вредоносного программного обеспечения; срабатывание механизмов «логических бомб» при распознавании маркера наступления условий срабатывания вне зависимости от наличия намерения дестабилизировать информационную инфраструктуру).

Сценарий 3 — целенаправленное деструктивное воздействие с привлечением работника организации-поставщика услуг облачных сервисов,

обработки и хранения больших данных, виртуального частного подрядчика.

Данный сценарий обусловлен сложностью проверки лиц, не являющихся гражданами Российской Федерации и привлекаемых к технической эксплуатации информационных систем. В качестве возможных последствий можно выделить:

– создание предпосылок для реализации угроз безопасности информации

путём некорректной настройки атакуемых сервисов и средств защиты

информации;

–преднамеренное уничтожение, блокирование защищаемой информации;

–преднамеренную модификацию защищаемой информации.

Особо стоит отметить, что инсайдерская угроза признаётся аналитиками в области информационной безопасности США одной из наиболее опасных, и

противодействие этой угрозе затруднено в силу глобализации современных экономических отношений, и в частности трансграничного характера трудовых отношений в IT-отрасли.[3] Таким образом, в силу означенной трансграничности, этот вид угроз можно рассматривать как характерный и для российской IT-инфраструктуры.

Сценарий 4 — использование персональных ЭВМ физических лиц для осуществления распределённых атак типа «отказ в обслуживании» на государственные и коммерческие информационные системы. Реализация данного сценария обусловлена отсутствием требований к безопасности информации, обрабатываемой персональными ЭВМ, принадлежащими физическим лицам. В качестве средства реализации возможно использование обновлений ПО с предварительно встроенными «логическими бомбами», что позволяет сформировать крупномасштабную сеть заражённых компьютеров и осуществить распределённую атаку типа «отказ в обслуживании». Возможные последствия:

– блокировка доступа к государственным информационным ресурсам,

средствам массовой информации в сети «Интернет»;

– существенное увеличение нагрузки на отдельные территориальные сегменты сети «Интернет», затрудняющее или делающее невозможным функционирование сегмента.

Рассмотрим подробнее угрозы, характеристика которых может нуждаться в корректировке.

УБИ.22 Угроза избыточного выделения оперативной памяти. В отношении данной угрозы сказано, что её реализация «возможна при условии нахождения

вредоносного программного обеспечения в системе в активном состоянии».

Данная формулировка не охватывает возможных ошибок в программном коде ресурсоёмких приложений, в результате которых в процессе работы программы происходит постепенное увеличение нагрузки на оперативную память ЭВМ.

УБИ.24 Угроза изменения режимов работы аппаратных элементов компьютера. Сценарии реализаици угрозы включают модификацию пороговых значений механизмов безопасности BIOS, таких как защита от перегрева. В

качестве возможного нарушителя для данной угрозы указан внутренний нарушитель с высоким потенциалом. Однако модификация пороговых значений может быть выполнена в качестве программной закладки в обновлении версии

BIOS, поэтому в перечень нарушителей целесообразно включить внешнего.

Аналогично предыдущему, изменения могут быть внесены программной закладкой в случае УБИ.25 Угроза изменения системных и глобальных переменных.

В случае с УБИ.30 Угроза использования информации идентификации/аутентификации, заданной по умолчанию, в характеристике угрозы рассматривается только документированная учётная запись «по умолчанию». Однако нельзя исключать наличие недокументированной учетной записи «по умолчанию».

УБИ.51 Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания — обладает противоречивой характеристикой, с одной стороны возлагающей ответственность за потерю несохраненных данных на пользователя (внутреннего нарушителя), с другой стороны — называющей в качестве первопричины ошибки реализации программно-аппаратных компоненто ЭВМ. В условиях информационного противоборства такие ошибки могут быть внедрены в компоненты преднамеренно в соответствии со сценарием 2, поэтому целесообразно в перечень возможных нарушителей включить внешнего.

В случае с УБИ.72 Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS, характеристика угрозы отмечает

возможность установки неподписанного обновления при отключении механизма защиты от записи в BIOS пользователем (внутренним нарушителем).

Однако нельзя исключать возможность использования программных закладок в системах (преимущественно портативных), позволяющих осуществлять обновление BIOS из операционной системы, поэтому целесообразно включить в перечень нарушителей внешнего.

УБИ.108 Угроза ошибки обновления гипервизора характеризуется в числе прочих обновлениями, вносящими новые ошибки в код гипервизора. В качестве нарушителя указан внутренний. Однако внутренний нарушитель, как правило,

не является производителем обновлений программного обеспечения, поэтому в перечень нарушителей целесообразно внести внешнего.

УБИ.112 Угроза передачи запрещённых команд на оборудование с числовым программным управлением не рассматривает возможности преднамеренного внедрения «логической бомбы» в программное обеспечение оборудования с ЧПУ иностранного производства, что является очевидной недоработкой.

УБИ.115 Угроза перехвата вводимой и выводимой на периферийные устройства информации не рассматривает потенциальную уязвимость устройств вывода информации, снабженных механизмом печати файлов через сервис, размещённый в сети «Интернет» (пример — принтеры Hewlett Packard с

возможностью печати через специальный адрес электронной почты принтера).

При этом сервис печати не является подконтрольным владельцу информационной системы.

УБИ.135 Угроза потери и утечки данных, обрабатываемых в облаке рассматривает в качестве условий реализации ошибки конфигурирования механизмов защиты информации. Однако для облачных сервисов нельзя исключать возможность утечки через инсайдера среди сотрудников поставщика облачных услуг.

Перечисленные угрозы и сценарии нарушения защищенности нуждаются в детальной оценке. В условиях ухудшения внешнеполитической обстановки выработка механизмов снижения рисков по данным угрозам и сценариям

представляется приоритетной задачей научного сообщества и органов

государственной власти Российской Федерации.

Библиографический список

1.Доктрина информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации В.В. Путиным 9 сентября 2000 г., № пр-1895) [Электронный ресурс] // http://www.scrf.gov.ru Совет безопасности Российской Федерации. URL: http://www.scrf.gov.ru/documents/ 6/5.html (дата обращения 01.05.2016).

2.Банк данных угроз безопасности информации [Электронный ресурс] //

http://www.fstec.ru Федеральная служба по техническому и экспортному контролю. URL: http://bdu.fstec.ru/ (дата обращения 01.06.2016).

3. Итоговый отчёт и рекомендации Консультативного совета по национальной инфраструктуре США по вопросу инсайдерской угрозы критических инфраструктур (на англ. яз.) The National Infrastructure Advisory

Council, Final Report And Recommendations On The Insider Threat To Critical

Infrastructures, April 8, 2008 [Электронный ресурс]. // www.dhs.gov Department of

Homeland Security. URL: https://www.dhs.gov/xlibrary/assets/niac/ niac_insider_threat_to_critical_infrastructures_study.pdf (дата обращения

25.05.2016)