Відкрити головне меню

Комп'ютерна безпека — це сукупність проблем у галузі телекомунікацій та інформатики, пов'язаних з оцінкою і контролюванням ризиків, що виникають при користуванні комп'ютерами та комп'ютерними мережами і розглядуваних з точки зору конфіденційності, цілісності і доступності[джерело?].

Закон України «Про основні засади забезпечення кібербезпеки України» дає таке визначення: «Кібербезпека — захищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі».[1]

Створення безпечних комп'ютерних систем і додатків є метою діяльності мережевих інженерів і програмістів, а також предметом теоретичного дослідження як у галузі телекомунікацій та інформатики, так і економіки. У зв'язку із складністю і трудомісткістю більшості процесів і методів захисту цифрового обладнання, інформації та комп'ютерних систем від ненавмисного чи несанкціонованого доступу вразливості комп'ютерних систем становлять значну проблему для їхніх користувачів.

Кібербезпека - це безпека ІТ систем (обладнання та програм). Кібербезпека є частиною інформаційної безпеки будь-якої організації.[2]

Зміст

Теорія і практика побудови безпечних комп'ютерних системРедагувати

Згідно із загальноприйнятим визначенням, безпечна комп'ютерна інформаційна система — це ідеальна система, яка коректно і у повному обсязі реалізує ті і лише ті цілі, що відповідають намірам її власника[3].

На практиці побудувати складну систему, що задовольняє цьому принципові, неможливо, і не лише з огляду на ймовірність виникнення несправностей і помилок, але й через складність визначення і формулювання часто-густо суперечливих очікувань проектувальника системи, програміста, законного власника системи, власника даних, що обробляються, та кінцевого користувача. Навіть після їхнього визначення у багатьох випадках важко або й неможливо з'ясувати, чи функціонує програма у відповідності із сформульованими вимогами. У зв'язку з цим забезпечення безпеки зводиться найчастіше до управління ризиком: визначення потенційних загроз, оцінка ймовірності їхнього настання та оцінка потенційної шкоди, із наступним ужиттям запобіжних заходів в обсязі, що враховує технічні можливості й економічні обставини.

Кібербезпека в УкраїніРедагувати

Під час російсько-української війни, що розпочалась з анексії Криму в 2014 році, інформаційно-обчислювальні системи України ставали об'єктами атак з боку Росії. Так, наприклад, 23 грудня 2015 року російським зловмисникам вдалось успішно атакувати комп'ютерні системи управління в диспетчерській «Прикарпаттяобленерго» та вимкнули близько 30 підстанцій, залишивши близько 230 тисяч мешканців без світла протягом однієї-шести годин. Ця атака стала першою у світі підтвердженою атакою, спрямованою на виведення з ладу енергосистеми[4].

16 березня 2016 Президент України Петро Порошенко підписав указ, яким увів в дію рішення Ради національної безпеки і оборони України від 27 січня «Про Стратегію кібербезпеки України». У концепції зазначається: «Економічна, науково-технічна, інформаційна сфера, сфера державного управління, оборонно-промисловий і транспортний комплекси, інфраструктура електронних комунікацій, сектор безпеки і оборони України стають все більш уразливими для розвідувально-підривної діяльності іноземних спецслужб у кіберпросторі. Цьому сприяє широка, подекуди домінуюча, присутність в інформаційній інфраструктурі України організацій, груп, осіб, які прямо чи опосередковано пов'язані з Російською Федерацією»[5].

Ця спеціальність є новою в Україні і на даний момент її викладають всього в декількох передових ВНЗ нашої країни[джерело?].

Систему кібербезпеки України формують:

Джерела помилок у системах безпекиРедагувати

Некоректна реалізація комп'ютерною інформаційною системою функцій, запланованих її автором чи власником, часто призводить до збитків і трагедій. Прикладами є втрата зонду NASA "Марінер-1" у 1962 році через помилку у коді[7], написаному на мові Фортран, чи смертельні випадки серед пацієнтів через вади програмного забезпечення апаратів для радіотерапії Therac-25 у 80-х роках.

Із появою модемного зв'язку, глобальних мереж й Інтернету загрозу почала становити несанкціонована взаємодія із системою третіх осіб, хоча при цьому система може функціонувати у відповідності до намірів та очікувань її авторів та власників. Сценарії, що можуть призвести до несанкціонованого використання системи, можна класифікувати за їхнім походженням.

Помилки проектуванняРедагувати

Цей термін означає, що програма будується на помилкових засадах, наприклад, на хибному розумінні засад функціонування комп'ютерних мереж і використовуваних комунікаційних протоколів. До помилок цього роду можна віднести використання нестійких шифрів, як це мало місце у випадку протоколу Нідгема — Шредера, застосованого у протоколі Kerberos, а також хибний вибір механізмів автентифікації чи повна довіра до інформації, надісланої клієнтом в архітектурі клієнт-сервер. Наслідком таких помилок можуть бути некоректні результати роботи додатку й одержання помилкових даних.

Помилки реалізаціїРедагувати

До цієї групи належать технічні помилки, яких програмісти припускаються через свою недостатню обізнаність або неуважність. Прикладом є недостатня перевірка параметрів або результатів системних викликів, що може призвести до таких уразливостей, як переповнення буфера, невміле застосування функції *printf() (англ. format string attack) чи цілочисельне переповнення. Поширеним результатом помилок реалізації є можливість одержання повного контролю над процесом особою, що не має відповідних прав, чи можливість безпосередньої взаємодії з операційною системою.

Помилки конфігураціїРедагувати

Ця категорія об'єднує помилки адміністраторів, які налаштовують програмне забезпечення для користувачів. Такі помилки можуть виникати внаслідок нерозуміння документації чи особливостей функціонування програмного засобу, або ж через недбалість. Прикладом такого роду помилок є встановлення слабких паролів для привілейованих облікових записів чи надання надмірних прав без відповідного контролю доступу.

Помилки оператораРедагувати

До цієї групи належать дії користувачів, які не мають повного розуміння роботи програмного забезпечення і принципів функціонування комп'ютерних систем. Приклади таких дій — запуск вкладень електронних листів від ненадійних відправників, ігнорування застережних повідомлень, випадкова зміна налаштувань програми, а також втрата носія із резервною копією даних.

Варто зазначити, що необережність зі сторони користувача є дуже поширеною і серйозною проблемою. Наприклад, за результатами проведених свого часу опитувань, понад 70% учасників опитування були готові повідомити свій пароль до комп'ютерної системи в обмін на плитку шоколаду[8].

Суперечливі питання класифікаціїРедагувати

Дві останні групи помилок є предметом тривалих суперечок. Частина спеціалістів вважають, що автора системи не можна звинувачувати у некоректному конфігуруванні і застосуванні програмного забезпечення, і у зв'язку з цим такі помилки не повинні розглядатися як технічні вади системи безпеки. Інші твердять, що згідно із принципом найменшого здивування, якщо програма, не будучи інтуїтивно зрозумілою, сприяє цим самим збільшенню кількості помилок через дії користувача чи адміністратора, то це є недоліком самої програми[9].

УразливостіРедагувати

Для кращого розуміння методів захисту комп'ютерної системи слід спочатку ознайомитися з типами атак, які можуть бути здійснені проти неї. Такі небезпеки зазвичай можна віднести до однієї з наступних категорій.

Чорний хід (бекдор)Редагувати

Докладніше: Бекдор

Чорний хід, або бекдор у комп'ютерній системі, криптосистемі чи алгоритмі — це метод обходу звичайного процесу аутентифікації, забезпечення віддаленого доступу до комп'ютера, одержання доступу до незашифрованої інформації тощо.

Бекдори можуть відбуватися у формі встановлення програми (наприклад, Back Orifice) або змін у роботі існуючої програми чи фізичного пристрою.

DoS-атакаРедагувати

Докладніше: DoS-атака

На відміну від інших атак, DoS-атаки застосовуються не для одержання несанкціонованого доступу чи керування системою, а для того, щоб унеможливити роботу останньої. В результаті атаки акаунт окремої жертви може виявитися заблокованим унаслідок умисного багаторазового введення невірного пароля, або ж унаслідок перевантаження мережі буде заблоковано усіх її користувачів. На практиці цьому виду атак дуже складно перешкодити, оскільки для цього необхідно проаналізувати поведінку цілих мереж, а не лише поведінку невеличкої частини коду.

Атаки безпосереднього доступуРедагувати

Користувач, який одержав несанкціонований доступ до комп'ютера (чи його частини), може встановлювати на ньому різні типи програмного (у тому числі модифікації операційних систем, віруси, програмні кілоґґери) та апаратного (апаратні кілоґґери, пристрої для прослуховування) забезпечення, внаслідок чого безпека системи опиниться під загрозою. Такий порушник може також легко скачати великі об'єми даних на зовнішні носії. Ще одним видом атак безпосереднього доступу є завантаження операційної системи з зовнішнього носія із наступним зчитуванням даних з жорсткого диску (дисків). Цей різновид атак є зазвичай єдиним методом атакування комп'ютерів, що не підключені до інтернету.

Уразливі сфери діяльностіРедагувати

Комп'ютерна безпека є вкрай важливою практично для всіх технологічних галузей, що функціонують за участю комп'ютерних систем.

АвіаціяРедагувати

Авіаційна галузь є особливо важливою з точки зору комп'ютерної безпеки, оскільки пов'язані із нею ризики стосуються життя людей, цінного обладнання й вантажів, а також авіатранспортної інфраструктури. Безпека системи може опинитися під загрозою через неправильне функціонування апаратного і програмного забезпечення, помилкові дії оператора чи неполадки, пов'язані із середовищем, в якому працює комп'ютерна система. Причиною таких загроз, що реалізуються через уразливість комп'ютерних систем, може бути саботаж, шпіонаж, промислова конкуренція, тероризм, технічні неполадки та людський фактор.

Наслідки успішних навмисних чи ненавмисних злочинних дій із комп'ютерною системою в авіації можуть бути різноманітними, від розголошення конфіденційної інформації до порушення цілісності системи, що може призвести до таких серйозних проблем, як витік інформації (крадіжка чи втрата даних), простій у роботі мережі чи системи управління повітряним рухом, а це, у свою чергу, може призвести до призупинення роботи аеропорту, втрати повітряного судна, загибелі пасажирів. Ще більшому ризикові піддаються військові системи, що керують майном та обладнанням військового призначення.

Захист комп'ютераРедагувати

Існує багато шляхів захисту комп'ютерів, серед них методи, що ґрунтуються на використанні безпечних операційних систем та апаратного забезпечення, здатного захистити комп'ютерну систему.

Безпека і проектування системРедагувати

Хоча під час проектування комп'ютерної системи необхідно взяти до уваги чимало характеристик, безпека є серед них однією з найважливіших. За даними опитування, проведеного корпорацією Symantec у 2010 році, 94% організацій, що взяли участь в опитуванні, планували вжити заходів з підвищення безпечності їхніх комп'ютерних систем, а 42% зазначили, що вважають неналежний рівень кібербезпеки за основний ризик.[10]

Незважаючи на те, що більшість організацій вдосконалюють системи інформаційного захисту, чимало кіберзлочинців знаходять шляхи їхнього обходу і продовжують свою діяльність. Нині спостерігається зростання числа майже усіх типів кібератак. В опитуванні 2009 року щодо комп'ютерних злочинів і кібербезпеки, проведеному Інститутом комп'ютерної безпеки, респонденти відзначили суттєве зростання числа атак шляхом застосування зловмисних програмних засобів, DoS-атак, викрадання паролів та дефейсу сайтів.[11]

ПриміткиРедагувати

  1. Закон України «Про основні засади забезпечення кібербезпеки України» від 5 жовтня 2017 року № 2163-VIII
  2. Кібербезпека чи Інформаційна безпека? | Блоги | Компьютерное Обозрение. ko.com.ua (ukr). Процитовано 2019-06-03. 
  3. A General Framework for Formal Notions of «Secure» Systems — B. Pfitzmann, M. Waidner, Hildesheimer Informatik-Berichte
  4. Кім Зеттер, Wired (17 березня 2016). Хакерська атака Росії на українську енергосистему: як це було. ТЕКСТИ. Процитовано 18 березня 2016. 
  5. Порошенко затвердив стратегію кібербезпеки України. Газета «День». 16 березня 2016. Процитовано 16 березня 2016. 
  6. Державна служба спеціального зв'язку та захисту інформації України. www.dsszzi.gov.ua. Процитовано 2019-06-02. 
  7. NASA Mariner 1NSSDC ID: MARIN1
  8. Passwords revealed by sweet deal – BBC News
  9. Applying the Rule of Least Surprise – The Art of Unix Programming, Eric S. Raymond
  10. Symantec. (2010). State of Enterprise Security 2010.
  11. Richardson, R. (2010). 2009 CSI Computer Crime & Security Survey. Computer Security Institute. Computer Security Institute.

Див. такожРедагувати

ПосиланняРедагувати