Информационные системы в экономике

Не оставляй без присмотра включенные электроприборы, особенно утюги, обогреватели, телевизор, светильники и др. Уходя из дома, не забудь их выключить.

Не суши белье над плитой. Оно может загореться.

Зная эти правила, человек может избежать пожара. А значит, он будет жив и здоров.

К слову вспомнилась избитая реплика героев современных кинофильмов, когда, пережив какие-то страшные события, один, успокаивая другого, говорит: «Тебе нечего бояться, ты в безопасности». Что же такое безопасность? Если присмотреться, то можно с легкостью заметить, что это слово состоит из двух слов: «без» (отсутствие чего-то) и «опасности» (ситуация, состояние, когда чему-то или кому-то что-то угрожает). Безопасность бывает разной, например, пожарная безопасность, социальная безопасность, государственная безопасность, безопасность дорожного движения и т.д. В этот ряд входит и информационная безопасность. О ней-то мы и будем говорить в данном разделе.

Для    начала    попытаемся    сформулировать,    что    такое

77

 

информационная безопасность. Это не составит никакого труда, ведь и про «информацию» и про «безопасность» вы знаете уже достаточно много. Итак, информационная безопасность -состояние защищенности информации (данных), при котором обеспечиваются ее (их) конфиденциальность, доступность и целостность. Заметим, что перечисленные в определении конфиденциальность, доступность и целостность, являются составляющими информационной безопасности. Что же значит каждый из трех аспектов?

Конфиденциальность - обязательное требование к лицу, которое получило доступ к определенной информации, не передавать такую информацию третьим лицам без согласия ее владельца. Так, если ваш начальник знает ваш домашний адрес, номер телефона, год рождения, то он не имеет права без вашего согласия передавать никому эту информацию.

На страже конфиденциальности стоят законы, нормативные акты, технические средства и многолетний опыт различных государственных структур. Однако обеспечение конфиденциальности информации - один из самых сложных в практической реализации аспект информационной безопасности.

Доступность - это способность лиц, имеющих права доступа к информации, в любой момент беспрепятственно реализовать свои права. К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов.

Целостность - точность, достоверность и полнота информации, на основе которой принимаются решения и ее защищенность от возможных непреднамеренных и злоумышленных искажений. Примерами нарушения целостности могут служить различные совершенные при помощи вычислительных систем кражи в банках, подделка кредитных карточек, изменения информации в различных информационных системах.

78

 

До недавнего времени понятие информационной безопасности ассоциировалось с военными и государственными организациями. Однако, внедрение компьютеров в бизнес, введение понятия «коммерческая тайна» и жесткая конкуренция в сфере производства заставляют руководителей предприятий различного масштаба все больше задумываться над обеспечением безопасной эксплуатации информационных ресурсов. Люди доверяют компьютерам важнейшую информацию, попадание которой в чужие руки грозит тяжелыми последствиями. В настоящий момент для кражи важной информации достаточно двух минут работы с компьютером. Такая пропажа может принести убытки и неудобства, которые раньше мог создать только средних размеров пожар.

В последнее время участились случаи атак хакеров, эпидемий компьютерных вирусов, если вовремя не устранить угрозу, это может привести к необратимым последствиям, например краже конфиденциальной информации, паролей. В связи с этим, многие организации создают службу информационной безопасности. В двух словах поясним, что это такое.

Служба информационной безопасности - это самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной организации. Служба информационной безопасности должна быть самостоятельным подразделением и подчиняться напрямую первому лицу в организации. Кстати, в такую службу не набирают людей с улицы. Здесь должны работать профессионалы - системные администраторы, программисты или специалисты, получившие образование по специальности «Защита информации».

Хотя необходимость создания этого отдела очевидна, многие организации пренебрегают этим, некоторые возлагают ответственность по обеспечению информационной безопасности на системного программиста, другие закупают дорогостоящее

79

 

программное обеспечение. Следует отметить, что информационная безопасность - это комплекс организационно-технических мер, и одних лишь технических методов решения здесь недостаточно.

Хочется сказать, что пока будут жить и развиваться информационные технологии, людям не избежать «утечки» информации. В связи с этим встает острая необходимость научиться охранять свою информацию. А для этого, нужно, во-первых, знать от кого ее охранять, а во-вторых, каким образом ее охранять. Вот об этом и поговорим.

Глава 6.2. Кто и зачем охотится за информацией?

Последнее время сообщения об атаках на информацию, о хакерах и компьютерных взломах наполнили все средства массовой информации. Что же такое «атака на информацию»? Дать определение этому действию на самом деле очень сложно, поскольку информация, особенно в электронном виде, представлена сотнями различных видов. Информацией можно считать и отдельный файл, и базу данных, и одну запись в ней, и целиком программный комплекс. И все эти объекты могут подвергнуться и подвергаются атакам со стороны некоторой социальной группы лиц.

При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец либо уполномоченное им лицо накладывает явно либо самоочевидно набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.

С массовым внедрением компьютеров во все сферы деятельности человека объем информации, хранимой в электронном виде, вырос в тысячи раз. И теперь скопировать за полминуты и унести дискету с файлом, содержащим план выпуска продукции, намного проще, чем копировать или переписывать кипу бумаг. А с появлением компьютерных сетей

80

 

даже отсутствие физического доступа к компьютеру перестало быть гарантией сохранности информации.

Каковы возможные последствия атак на информацию? В первую очередь, конечно, нас будут интересовать экономические потери:

Раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке.

Известие о краже большого объема информации обычно серьезно влияет на репутацию фирмы, приводя косвенно к потерям в объемах торговых операций.

Фирмы-конкуренты могут воспользоваться кражей информации, если та осталась незамеченной, для того чтобы полностью разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки.

Подмена информации как на этапе передачи, так и на этапе хранения в фирме может привести к огромным убыткам.

Многократные успешные атаки на фирму, предоставляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объеме доходов.

Естественно, компьютерные атаки могут принести и огромный моральный ущерб. Понятие конфиденциального общения давно уже стало «притчей во языцех». Само собой разумеется, что никакому пользователю компьютерной сети не хочется, чтобы его письма кроме адресата получали еще 5-10 человек, или, например, весь текст, набираемый на клавиатуре ЭВМ, копировался в буфер, а затем при подключении к интернету отправлялся на определенный сервер. А именно так и происходит в тысячах и десятках тысяч случаев.

Глава 6.3. Компьютерная преступность

Совсем недавно приключилась вот такая история. Архитектор   по   образованию,   Иван   Денисович   уже   давно

81

 

заручился уважением и почетом у своих коллег. Он всегда на высшем уровне справлялся с порученными ему заказами. Будучи современным человеком, Иван Денисович приобрел ноутбук, освоил его, установил необходимые прикладные программы. И все казалось бы хорошо. Иван Денисович, как и раньше, проектирует жилые помещения по индивидуальному плану, только теперь с использованием компьютера это получается у него в два раза быстрее и качественнее. Заказчики довольны. Но тут произошла достаточно неприятная ситуация: кто-то опередил Ивана Денисовича и передал заказчику проект архитектора, выдав его за свой. Заказчик был вне себя, когда ничего не подозревавший Иван Денисович принес выполненную работу. Он даже обвинил архитектора в плагиатстве. Кто же мог похитить идею? Как это удалось? Наконец, как с этим бороться? Море вопросов бушевало в голове Ивана Денисовича, пока он не обратился к специалисту. Тот объяснил архитектору, что он стал жертвой компьютерной преступности, что кто-то «взломал» компьютер и похитил ценную информацию.

Или другая история. В 1987 году в компьютерные системы Министерства обороны США было совершено вторжение 17-летнего хакера. Он «дошел» до файлов системы управления ракетами США и базы ВВС «КоЪЫпз». Присутствие этого смельчака обнаружили после того, как он снял копии программного обеспечения, оцениваемого в 1,2 млн. долларов, включая сверхсекретные программы искусственного интеллекта.

Компьютерным преступлением называют любое противоправное действие, при котором компьютер выступает либо как объект, против которого совершается преступление, либо как инструмент, используемый для совершения преступных действий.

К компьютерным преступлениям относится широкий круг действий, которые можно разделить на четыре категории:

кража компьютерного оборудования;

компьютерное пиратство (незаконная деятельность в сфере программного обеспечения);

82

 

несанкционированный доступ к компьютерной системе в целях повреждения или разрушения информации;

использование   компьютера   для   совершения   противозаконных или мошеннических действий.

Поскольку компьютерные системы получают все более широкое распространение, а деловые круги во все большей степени полагаются на компьютеры и часто хранят на них конфиденциальную информацию, преступники находят все больше путей использования компьютеров для совершения противоправных действий.

Кража компьютерного оборудования

Наиболее очевидной формой компьютерных преступлений является кража компьютерного оборудования и компонентов из мест их производства, продажи или эксплуатации. Воры похищают компьютеры, принтеры и другое оборудование, чтобы нажиться на их перепродаже. Украденные изделия обычно продаются на «черном» рынке. Компьютерная отрасль положила начало «серому» рынку, который, строго говоря, не считается нелегальным, но действует, не используя общепринятые каналы распространения и продаж. На сером рынке неофициальные дилеры продают товары, купленные в других странах по более низким ценам или у какого-нибудь официального дилера, закупившего, в расчете на значительную скидку от изготовителя, больше аппаратуры, чем он был в состоянии продать. Компьютеры, продаваемые на сером рынке, зачастую имеют поврежденные заводские номера и не обеспечиваются гарантией. Компьютерная техника и микросхемы обладают высокой стоимостью. Один лишь микропроцессор, интегральная схема или группа микросхем, предназначенных для обработки информации, могут стоить 100 долл. и более. Микропроцессоры и другие компьютерные микросхемы не имеют заводских номеров, что затрудняет их отслеживание. Высокая ценность таких микросхем и трудность идентификации делают их мишенью   преступных   организаций,   которые   часто   продают

83

 

похищенные микросхемы на рынках в считанные часы после хищения. Чтобы ограничить воровство микропроцессоров, изготовители микросхем разрабатывают различные способы гравировки заводских номеров на микросхемах или внесения идентифицирующей информации в цепи микросхемы.

Организованные преступные группы проявляют изобретательность и расширяют масштабы грабежа компаний, выпускающих микропроцессоры, схемы памяти и другие компоненты компьютеров. Ежегодно стоимость микросхем и других компонентов, похищенных в «Кремниевой долине» (шт. Калифорния; иногда называемой также «Силиконовой долиной»), оценивается в 100 млн. долл. В 2008 году органы поддержания правопорядка в США раскрыли несколько преступных группировок, действовавших в сферах высокотехнологичных отраслей, обнаружив и изъяв у них электронные компоненты на миллионы долларов.

Пиратское использование программного обеспечения

Компьютерные программы защищены авторским правом, и, следовательно, их нельзя копировать и использовать без разрешения правообладателя. Пиратские действия в области программного обеспечения - это несанкционированное копирование компьютерных программ для собственного пользования или перепродажи.

Часто какая-либо компания или физическое лицо, которые приобрели, например, одну копию той или иной программы, полагают, что это дает им право копировать данную программу. В действительности такое копирование противозаконно до тех пор, пока оно не будет разрешено специальным соглашением (лицензией), оговаривающим условия ее использования.

Некоторые люди, стараясь не нарушать законы, все же покупают копию программного обеспечения, а не оригинальную программу у того, кто ее выпускает. Незаконное тиражирование копий программ и продажа фальшивых версий популярного программного     обеспечения     осуществляется     в     широких

84

 

масштабах. Нарушение авторских прав и пиратство в области компьютерного программного обеспечения оказались также в центре международных экономических отношений. Фальшивые программные средства можно приобрести по очень низким ценам на блошиных рынках, в розничной торговле, на восточных базарах и в других слабо контролируемых местах торговли.

Хакерство

Один из видов компьютерных преступлений называют «хакерством». Значение слова «хакер» в текущем его понимании, вероятно, возникло в стенах М1Т в 60-х задолго до того, как компьютеры стали широко распространены. Тогда оно являлость частью местного сленга и могло обозначать простое, но грубое решение какой-либо проблемы; чертовски хитрую проделку студентов. До того времени слова паск и паскег использовались по разным поводам безотносительно к компьютерной технике вообще.