Так какие же существуют способы нападения и как следуют защищаться от них? В силу многогранности данной проблемы остановимся лишь на некоторых из них. Заранее оговоримся, что разговор пойдет только о наиболее распространенных злоумышленных действиях, так как описание всех опасностей займет большое количество времени, к тому же некоторые из них носят гипотетический характер.
Хищение данных - один из распространенных видов компьютерных преступлений, как и преступлений вообще. Самым легким способом, к которому прибегает злоумышленник при хищении данных, является их подмена. Благодаря этому простому и безопасному способу внутренние служащие могут увеличивать размер своего жалования, делать вклады на собственные банковские счета, скрыть следы мошенничества с деньгами и материальными ценностями, помимо этого хищение данных могут совершаться для передачи их третьим лицам.
Сбор мусора - часто связан с необходимостью покопаться в отходах, чтобы найти ленты, диски, информацию о кредитных карточках, использованные копирки и другие сведения, которые можно было бы использовать в корыстных целях. Применительно к компьютерам сбор мусора может означать восстановление с помощью соответствующих утилит файлов, удаленных с жестких или гибких дисков.
Несанкционированный доступ - распространенный вид компьютерных нарушений. Он заключается в получении пользователем доступа к информации, на которую у него нет разрешения в соответствии с принятой в организации политикой безопасности.
Незаконное использование привилегий - любая защищенная система содержит средства, используемые в чрезвычайных ситуациях или средства, которые способны функционировать с нарушением существующей политики безопасности. В некоторых случаях пользователь должен иметь возможность доступа ко всем наборам системы. Такие средства необходимы, но они являются чрезвычайно опасными. Обычно эти средства используются операторами, системными программистами и другими пользователями, выполняющими специальные функции, но этими же средствами может воспользоваться и злоумышленник.
Маскарад - выполнение каких-либо действий одним пользователем АСОИ от имени другого пользователя. При этом действия, которыми воспользовался злоумышленник, могут быть разрешены пользователю, от имени которого он выступает. Цель "маскарада" - сокрытие действий за именем другого пользователя или присвоение его прав и привилегий для доступа к его массивам информации.
Потайные ходы и лазейки - это дополнительный способ проникновения в систему, часто преднамеренно создаваемый разработчиком АСОИ или программного обеспечения. Выполнив определенное действие или нажав определенную клавишу на клавиатуре компьютера, злоумышленник может обойти защиту, предусмотренную программой.
Суперзаппинг - несанкционированное использование каких-либо утилит для модификации, уничтожения или копирования информации.
«Троянский конь» - это любая программа, которая, вместо выполнения действий, для которых она якобы предназначена, на самом деле выполняет другие. Троянский конь может производить самые различные операции, как и любая программа, включая изменение баз данных, запись в платежные ведомости, отправку электронной почты и пр. Когда такая программа запускается, она может привести к различным разрушающим последствиям.
Сетевые анализаторы - большинство продуктов такого рода могут считывать любые параметры потока данных, включая любой незашифрованный текст. Возможность запуска такой программы злоумышленником может привести к утечке конфиденциальной информации, выведыванию паролей пользователей и прочим нежелательным последствиям.
К охраняемой законом компьютерной информации следует отнести информацию в отношении сведений, составляющих служебную, коммерческую или банковскую тайну. Это обстоятельство, в частности, вытекает из положений, содержащихся в нормах гражданского и уголовного законодательства, выступающих надежной гарантией защиты служебной, коммерческой или банковской тайны.
Согласно ч. 1 ст. 139 ГК РФ, информация составляет служебную или коммерческую тайну в случае, когда имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами (например. Постановлением Правительства Российской Федерации № 35 “О перечне сведений, которые не могут составлять коммерческую тайну” от 5 декабря 1991 г.[33]При этом во второй части указанной статьи прямо оговаривается, что информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.
Банковской тайной, как это вытекает из смысла ст. 857 ГК РФ, являются не подлежащие разглашению сведения о банковском счете и банковском вкладе, операциях по счету и о клиенте. Это положение конкретизировано в ст. 26 Закона РСФСР “О банках и банковской деятельности” от 2 декабря 1990 г. (в редакции Федерального закона от 3 февраля 1996 г.), в которой сказано, что кредитная организация, Банк России гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит Федеральному закону.
Наиболее опасные посягательства на общественные отношения, возникающие по поводу осуществления основанной на законе предпринимательской деятельности и обеспечивающие сохранность коммерческой или банковской тайны влекут уголовную ответственность по ст. 183 УК РФ, что еще раз свидетельствует о защите указанных сведений российским законом. Компьютерная информация, являющаяся объектом авторского права, также относится к информации, охраняемой законом, являясь, в свою очередь, составной частью гарантированной ст. 44 Конституции Российской Федерации свободы литературного, художественного, научного, технического и других видов творчества. Конституция Российской Федерации предусматривает защиту законом интеллектуальной собственности. Поэтому неправомерный доступ к такого рода информации, содержащейся на машинном носителе, ЭВМ, системе ЭВМ или их сети, влечет уголовную ответственность по ст. 272 УК РФ.
Правовая охрана указанной информации осуществляется в соответствии с Законом Российской Федерации “О правовой охране программ для электронно-вычислительных машин и баз данных” от 20 октября 1992 г.,[34] в котором к числу объектов авторского права законодатель относит программы для ЭВМ и базы данных. Это положение дополнительно закреплено введенным в действие 3 августа 1993 г. Законом Российской Федерации “Об авторском праве и смежных правах [Российская газета, 1993, 3 августа.], целый ряд норм которого касается правовой охраны программ для ЭВМ и баз данных.
При этом следует особо подчеркнуть, что особенность института авторского права состоит в распространении охраны именно на форму представления информации, а не на ее сущностное содержание. В этой связи правовая охрана информации не распространяется на идеи и принципы, лежащие в основе программы для ЭВМ или базы данных или какого-либо их элемента. В частности, она не распространяется на алгоритм, положенный в основу компьютерной программы.
В качестве объекта охраны признается не идея, заключенная в алгоритме, а лишь конкретная реализация этого алгоритма в виде совокупности данных и команд, представляющая собой символическую запись программы для ЭВМ и охраняемая в соответствии со ст. 2 Закона Российской Федерации “О правовой охране программ для электронно-вычислительных машин и баз данных” как произведение литературы. При этом под программой для ЭВМ законодатель подразумевает также подготовительные материалы, полученные в ходе ее разработки, и порождаемые ею аудиовизуальные отображения.
Под базой данных понимается объективная форма представления и организации совокупности данных, систематизированных таким образом, чтобы эти данные могли быть найдены и обработаны с помощью ЭВМ. С точки зрения правовой охраны, базы данных аналогичны сборникам литературных произведений. Поскольку охрана базы данных осуществляется в отношении формы представления и организации совокупности включенных в нее данных, правовая охрана программ для ЭВМ, управляющих базами данных, может быть осуществлена самостоятельно. При этом заметим, что авторское право на программу для ЭВМ или базу данных возникает в силу их создания. Поэтому для признания и осуществления авторского права на программу для ЭВМ или базу данных не требуется депонирования, регистрации или соблюдения иных формальностей.
В свою очередь, ст. 15 Закона Российской Федерации “О правовой охране программ для электронно-вычислительных машин и баз данных” содержит ряд положений, определяющих условия свободного (без специального разрешения правообладателя) воспроизведения и адаптации программы для ЭВМ или базы данных. Эти положения дополнены в более позднем Законе “Об авторском праве и смежных правах”. Так, согласно ст. 25 указанного закона лицо, правомерно владеющее экземпляром программы для ЭВМ или базы данных, вправе без получения разрешения автора или иного обладателя исключительных прав на использование произведения и без выплаты дополнительного вознаграждения: