Антонова О. В.

Наук. керівник: Палагута К. О.

Донецький Національний Університет економіки і торгівлі

ім. М. І.  Туган-Барановського

ЗАГРОЗИ ТА БЕЗПЕКА ЕКОНОМІЧНИХ ІНФОРМАЦІЙНИХ СИСТЕМ

 

Автоматизовані економічні системи відкривають нові можливості в організації всієї банківської діяльності, підвищенні якості і надійності, проте стають однією з найбільш уразливих сторін безпеки сучасного банку.

Гострота й актуальність проблеми безпеки автоматизованих економічних систем, особливо банківських, зростає в зв’язку з рядом об’єктивних причин. Основна з них – високий рівень довіри до цих систем. Їм довіряють найвідповідальнішу роботу, від якості якої залежить життя і добробут багатьох людей. Збережена та опрацьована в банківських системах інформація є реальними грошима. На підставі інформації комп’ютера можуть проводитися виплати, відкриватися кредити, пересилатися значні суми. Цілком зрозуміло, що незаконне маніпулювання такою інформацією може привести до серйозних збитків. Банківська інформація торкається інтересів великої кількості людей і організацій – клієнтів банку. Як правило, вона конфіденційна і банк відповідає за забезпечення необхідної таємності перед своїми клієнтами. Тому зрозуміла необхідність унебезпечити інформаційні технології в економічних структурах, де зберігається цінна інформація.

Безпека економічної інформаційної системи досягається забезпеченням конфіденційності опрацьованої нею інформації, а також цілісності і доступності компонентів і ресурсів системи.

Метою даної статті є виявлення заходів безпеки економічної інформаційної системи та її недоліків на сучасному етапі, у зв’язку з розвитком і поширенням мереж ЕОМ.

Один із підходів до організації економічної інформаційної системи – шлях створення інтегрованих систем опрацювання даних. Вдало вибрані організація і можливості колективного ресурсу значно знижують вартість створення та експлуатації системи. Проте використання можливостей колективного ресурсу не означає, що ресурси повинні бути доступними кожному користувачу. Доступ повинний бути санкціонованим.

Використання персональних ЕОМ, ввімкнення їх у склад локальних обчислювальних мереж ускладнюють постановку і реалізацію безпеки економічної інформаційної системи. Труднощі зв’язані:

·                   із забезпеченням цілісності інформації як у пам’яті ЕОМ, так і на носіях, які зберігаються окремо від ЕОМ;

·                   із забезпеченням достовірності інформації при передаванні її каналами зв’язку;

·                   із забезпеченням ідентифікації прийнятої інформації.

При будь-якому підході до організації економічної інформаційної системи заходи безпеки викликають наступні незручності:

·                   додаткові труднощі роботи з більшістю захищених систем;

·                   збільшення вартості захищеної системи;

·                   додаткове навантаження на системні ресурси;

·                   необхідність залучення додаткового персоналу, відповідального за підтримку працездатності системи захисту.

Розглянемо загрози економічних інформаційних систем, із якими найчастіше доводиться мати справу на практиці.

Несанкціонований доступ є найпоширенішим видом комп’ютерних порушень і полягає в одержанні користувачем до об’єкта доступу, якого у нього немає відповідно до прийнятої в даній економічній інформаційній системі політики безпеки. Це стає можливо внаслідок непродуманого вибору засобів захисту, їхнього некоректного налаштування, при недбалому відношенні до захисту своїх власних даних.

Незаконне використання привілеїв. Будь-яка захищена система містить засоби, які використовуються в надзвичайних ситуаціях, або засоби, які спроможні функціонувати з порушенням існуючої політики безпеки. Так, на випадок раптової перевірки користувач повинний мати можливість доступу до всіх наборів системи. Як правило, ці засоби використовуються адміністраторами, операторами, системними програмістами та іншими користувачами, які виконують спеціальні функції. Більшість систем захисту в таких випадках використовують набори привілеїв, що охороняються системою захисту. Незаконне захоплення привілеїв призводить до можливості несанкціонованого виконання певних функцій. Отже, суворе дотримання правил управління системою захисту, дотримання принципу мінімуму привілеїв дозволяє уникнути порушень.

Атаки «салямі». Найбільш характерні для систем, які опрацьовують грошові рахунки, тому найбільшу небезпеку складають саме для банків. Принцип атак побудований на тому факті, що при опрацюванні рахунків використовуються цілі одиниці, а при нарахуванні відсотків нерідко утворюються дробові суми. Атаки небезпечні для значних банків та інших фінансових організацій. Запобігти таким атакам можна тільки забезпеченням цілісності або коректності прикладних програм, що опрацьовують рахунки, розмежуванням доступу користувачів автоматизованих систем до рахунків, постійним контролем рахунків на предмет відпливу сум.

«Маскарад». Під «маскарадом» розуміється виконання певних дій одним користувачем економічної інформаційної системи від імені іншого користувача. При цьому такі дії іншому користувачу можуть бути дозволеними. Порушення полягає в присвоєнні прав і привілеїв. Мета «маскараду» - приховування певних дій іменем іншого користувача для доступу до його наборів даних. Прикладом «маскараду» є вхід у систему під іменем або паролем іншого користувача, при цьому система захисту не зможе розпізнати порушення. Найбільш небезпечний «маскарад» у банківських системах електронних платежів, де неправильна ідентифікація клієнта може привести до величезних збитків. Особливо це стосується платежів із використанням електронних карток. Для запобігання «маскараду» необхідно використовувати надійні методи ідентифікації, блокувати спроби злому системи, контролювати входи в неї.

«Злом системи». Під «зломом системи» розуміється навмисне проникнення в систему, коли зломщик не має санкціонованих параметрів для входу. Основне навантаження на захист системи несе програма входу. Алгоритм впровадження імені і пароля, їхнє шифрування, правила збереження і зміни паролів не повинні містити помилок. Протистояти «злому» допоможе обмеження спроб неправильного впровадження пароля із наступним блокуванням термінала і повідомленням адміністратору у випадку порушення. Крім того, адміністратор безпеки повинний постійно контролювати активних користувачів системи: імена, характер роботи, час входу і виходу. Такі дії допоможуть своєчасно встановити факт «злому» і розпочати необхідні адекватні дії.

«Люки».»люк» - прихована, не документована точка входу в програмний модуль, яка вставляються в програму на етапі налагодження для полегшення роботи: даний модуль може бути викликаним у різних місцях, що дозволяє налагоджувати окремі частини програми незалежно. Наявність «люка» дозволяє викликати програму нестандартним чином, що може серйозно позначитися на стані системи захисту. Велика небезпека «люків» полягає у високій складності їх виявлення. Захист від «люків» один – не допускати появи «люків» у програмі, а при прийманні програмних продуктів, розроблених іншими виробниками, треба проводити аналіз початкових текстів програм із метою виявлення «люків».

Приведений стислий огляд найбільш небезпечних загроз безпеки автоматизованих економічних систем не охоплює всіх можливих загроз. Різноманіття класифікацій погроз відображує складність їх означення і засобів захисту від них. Порушниками цілісності інформації є насамперед користувачі і співробітники автоматизованих економічних систем, які мають до неї доступ. За даними одних досліджень 81,7% порушень скоюються службовцями банку, 17,3% - особами зі сторони. За іншими даними, 1-2% складають порушення з боку сторонніх осіб, 73-73% злочинів чинять службовці банку, а інші погрози носять стихійний природний характер. Таким чином, головне джерело порушень – усередині самої автоматизованої економічної системи. Отже, внутрішній захист повинний бути обов’язковим.

Основні причини порушень цілісності інформації: безвідповідальність, самоствердження і корисливий інтерес персоналу.

Побудова систем захисту включає ряд етапів:

·                   аналіз можливих погроз автоматизованим системам;

·                   розробка системи захисту;

·                   реалізація системи захисту;

·                   супроводження системи захисту.

На першому етапі визначаються можливі дії для кожного елемента системи захисту.

На другому етапі можливе комплексне використання правових, морально-етичних, адміністративних, фізичних, технічних видів захисту. Вартісне вираження ймовірності події, яка веде до втрат, називається ризиком. У процесі аналізу ризику будується план захисту і формується політика безпеки.

 Політика безпеки – це набір законів, правил і практичних рекомендацій, на основі яких будується управління, захист і розподіл критичної інформації в системі.

Для оцінки міри безпеки в різних країнах розроблені критерії оцінки безпеки систем, створюються відповідні стандарти. За розробку цих документів і перевірку засобів розмежування доступу відповідають різні організації. Так, у США – Національний центр комп’ютерної безпеки.

Таким чином, реалізація політики безпеки для банківських та кредитно-фінансових установ на сучасному етапі – це складний процес, що потребує налаштування засобів захисту, управління системою захисту і здійснення контролю функціонування автоматизованих систем.