По-лесно е да създава закони, отколкото да ги спазвате

Леонид Шапиро. ИТ системи архитект, MVP, MCT, MCSE, MCITP: EA, MCSE: S, MCSE: M

По-лесно е да създава закони,
не да ги последват

Наполеон Бонапарт, произнасяйки тези думи, и не знам какво те ще бъдат пророчески. Приета "Право пролет / Ozerov" за пореден път го потвърди. Какво тогава могат да бъдат последствията от гледна точка на сигурността на информацията?

Всеки експерт в областта на информационната сигурност е наясно, че подходът към защита трябва да бъде изчерпателна. Технически мерки - не е единственият начин да се намалят рисковете. Най-важната роля на институционалните споразумения, включително законодателни и ефективно.

Предпазва дали българския Наказателен кодекс за престъпления в ИТ сектора? Какво престъпления в тази област представлява най-голямата заплаха за бизнеса?

Това е една от задачите - предотвратяването на нови престъпления. Не забравяйте това, ние ще трябва тази формулировка по-късно. Предотвратяване на нови престъпления или профилактика - важен компонент, защото тя дава възможност да се повлияе смущаваща за тези, които при определени условия може да има желание за извършване на престъпление. И това е важно не толкова взискателност както неизбежността на наказанието.

Сега нека се обърнем към Наказателния кодекс на Република България в областта на информационните технологии. Глава номер 28, "Престъпления в областта на компютъра информация". [2] Тук виждаме три статии:

2. същото деяние, което е причинило големи щети или извършено за користни интереси, се наказва с глоба от сто хиляди до триста хиляди рубли или заплата или друг доход, за срок от една до две години или поправителен труд за срок от една до две години, или ограничаване на свободата за срок до четири години, или общественополезен труд за срок до четири години, или лишаване от свобода за същия период.

3. актове, предвидени в първа или втора алинея на този член, извършени от група лица, по предварително споразумение или организирана група или лице, което използва служебното си положение, се наказва с глоба в размер до петстотин хиляди рубли или заплата или друг доход за период от до три години, с дисквалификация за провеждане определени позиции или да участват в някои дейности за срок до три години, или ограничаване на свободата за срок до четири години или услуга в общността на ОК, до пет години, или лишаване от свобода за същия период.

4. Актовете, предвидени в първа, втора и трета алинея от настоящия член, ако те предизвикало някакви тежки последици, или създава опасност от възникването им, се наказва с лишаване от свобода за срок не по-дълъг от седем години.

Бележки. 1. информация компютър се отнася до информация (данни съобщение), представен под формата на електрически сигнали, независимо от начина на съхранение, обработка и предаване.

Обърнете внимание на думите на унищожаване, блокирането и копиране. Сега, обратно към ИТ сигурността. Какво означават тези понятия в правната език?

информация блокиране - осигуряване недостъпност до него, че е невъзможно да го използвате в резултат на забраната за по-нататъшното изпълнение на последователност от команди, или изключване на работата на всяко устройство, както и на разстояние от реакцията на всеки компютър, устройство, компютърна система или компютърна мрежа, като същевременно се поддържа самата информация [3].
Промяна (преработка) на информация - е всяка промяна в информацията за компютъра, а не адаптация, включително промени в софтуер, бази данни, текстова информация, съхранявани на физически носител [3].

Сега, когато сте приключили с дефинициите в сухото правния език, че е лесно да се види, че всяка атака на кибер престъпниците, като DoS / DDoS [3], атаките, свързани с OWASP Топ 10 [4], отвличане данни попадат в този закон. Отличен, нашата инфраструктура предпазва от Наказателния кодекс. Между другото, обърнете внимание на параграф 4. Санкция -. До седем години, в случай на сериозни последици или заплахата от настъпването им. DDoS-атаки, а дори и повече, така че проникването и промяна на данните, е изключително опасно.

Трябва да се отбележи, че независимо от факта, че загубата на репутация не е лесно да се изчисли щетите от тях е огромна и може да доведе до срив на бизнеса

Представете си, че на интернет страницата на голяма банка не работи една седмица поради атака, или по-лошо, беше хакнат. След получаване на всички данни за клиентите, техните сметки и транзакции, киберпрестъпниците могат да откраднат пари от сметките на банката.

Друг пример по отношение на малкия бизнес: атакували сайта онлайн магазина, спря своята дейност. Конкуренти триумфират, клиентите отиват при тях.

Тези истории се случват с изненадваща редовност. България не е изключение от световната тенденция. За съжаление, трябва да се отбележи, че през последната година и половина, можем да наблюдаваме постоянно нарастване на дейност в областта на кибер-атаки от различни видове.

Трябва да се отбележи, че независимо от факта, че загубата на репутация не е лесно да се изчисли щетите от тях е огромна и може да доведе до бизнес колапс. Така че, връщайки се към правния аспект, това е напълно възможно уличаващи "опасно за поява на сериозни последици."

По-голямата част от участниците в проучването, проведено от компании, специализирани в защита от DDoS-атаки, потвърдете, че техните клиенти оценяват репутацията загубата като най-важната.

DDoS-атаки, отвличането на лична и поверителна информация (да не забравяме за базите данни на различни агенции, които предоставят информация за гражданите и тяхната собственост, които са в публичното пространство) създаде в този смисъл много сериозна заплаха и са предмет на 272-ти член от Наказателния кодекс Руската федерация.

злонамерен мотивация може да бъде различна, тя често може да остане неизвестен, но най-вече това е нелоялна конкуренция, отмъщение и hacktivism това. Всъщност видяхме в първата статия в тази серия от DDoS-атаки. [4]

Според "Kaspersky Lab", всеки шести компания, българските подложени DDoS-атака [6]. Qrator лаборатории също води до разочароващи статистика [7], Radware публикувани доклади атаки брояч команда (ERT) на постоянна основа [8].

В резултат на което виждаме? DDoS атаки и нападения срещу уязвимите уеб приложения само увеличават щетите, причинени от тях са доста сериозни, но е трудно да се намерят препратки към разкриването на такива престъпления. Между другото, тъй като има с предотвратяването на нови престъпления и неизбежността на наказанието, посочени в 43-ти член от Наказателния кодекс, определен в началото на статията?

Оказва се, че не е останало, но да разчитат единствено на технически мерки кибер престъпления конфронтация нищо. защото те не обръщат внимание на тях за дълго време, че не работи. В съответствие с Radware доклади до този момент не е индустрия, чиято дейност не би било интересно за киберпрестъпниците. [8]

Наскоро прие промени в Закона резонансната "за борба с тероризма" [6] бяха обсъдени подробно от експерти, така и за широката общественост. Прочетете текста на измененията на сайта на Държавната Дума на България [9].

Ние няма да се справят с икономическата компонента на тези изменения, които се озадачаващи не само експерти, но и не участват в областта на ИТ и телекомуникациите хора, тъй като е очевидно, рязко покачване на корупцията компонент, свързан с необходимостта да се насипно състояние покупка на системи за съхранение на данни и друга техника, създаването на нови центрове за данни, и така нататък.

Ние ще говорим само за въпросите на сигурността, от една страна, както и несъответствието на измененията на Конституцията на България - от друга.

Това не може да не предизвика безпокойство изменение за прехвърляне на правоприлагащите органи на криптиращи ключове. Можете да поеме пряко нарушение на членове 23 [10] и 24 [10] на Конституцията на Република България.

Ето един прост пример. Bank X изпраща на трета страна до личния ключ, с който да се декриптира криптиран публичен ключ трафика на своите клиенти. Що се отнася до личния си профил, клиентите на банката да предават данни за удостоверяване, а след това да извършват някакво действие, също свързана с необходимостта от прехвърляне на поверителна информация. Въз основа на предишен опит не е въпрос на негативните перспективи за прехвърлянето на ключова информация не е надеждна трета страна.

Читателят лесно ще бъде в състояние да моделират и други подобни ситуации. Изключително неясна перспектива ще продължим да използваме популярните програми за незабавни съобщения (куриерски). Някои представители на промишлеността са отказали да прехвърли криптиране ключовете на някой друг.

Надяваме се, че не протоколи, за да се гарантира поверителността на предаваните данни (SSL трафик вече притежава около 60% от общия обем, а делът му в интернет продължава да расте) или популярната програма за съобщения, или възможността да се криптират съхраняват данни, като EFS [11] и BitLocker [12] няма да бъдат допуснати на територията на Руската федерация. Тяхната забрана няма да помогне на борбата срещу тероризма, от друга страна, ще създаде допълнителни заплахи за гражданите на страната се дължи на възможността за изтичане на поверителна информация. Освен това, не е ясно как това ще бъде направено от техническа.

Интернет представляват заплаха? Така е, но след това на самолета и колата също е потенциално опасно. Въпреки това, хората не се откаже от самолети и транспортни средства, както и да ги подобрява. А "закон пролет / Ozerov" изглежда като опит да се забрани модерна ИТ. Това е точно по същия начин може би като опит да анулира ефекта на законите на Нютон на територията на една държава.