Bezpieczeństwo systemów komputerowych

Transkrypt

1 Program zajęć Bezpieczeństwo systemów komputerowych 1. Wprowadzenie, podstawy i terminologia; Pojęcie informacji; Typy zagrożeń systemów informatycznych i ich klasyfikacja; Pojęcie bezpieczeństwa SI; Polityka bezpieczeństwa systemów informatycznych; Techniki zabezpieczeń; Przyczyny utraty danych; Zabezpieczenia systemów teleinformatycznych klasyfikacja, 2. Systemy informatyczne zagadnienia prawne; Odpowiedzialność karna; Ochrona danych osobowych; Prawa autorskie; Typy oprogramowania; Nielegalne wykorzystywanie technik informatycznych; Włamania do systemów informatycznych systemy firewall; Aspekty stosowania i usuwania zabezpieczeń programów komputerowych; Piractwo komputerowe. 2 Program zajęć Disaster Recovery Services Disaster Recovery Center Przechowywanie danych; Zasady zabezpieczania danych; Dyski i macierze dyskowe; Odzyskiwanie danych; Urządzenia i programy do wykonywania kopii bezpieczeństwa. Ochrona kryptograficzna, klucze prywatne i publiczne; podpis cyfrowy i certyfikaty; PKI; zabezpieczenia transakcji. Problemy zapewnienia ciągłości pracy SI; Zasilanie awaryjne i urządzenia UPS; Bezpieczne zasilanie Internetu, przepięcia i ochrona przepięciowa; Kompatybilność elektromagnetyczna i ataki elektromagnetyczne; Outsourcing. Bezpieczeństwo dostępu do danych autoryzacja, identyfikacja i weryfikacja - systemy biometryczne. Usługa zapewnia ciągłość działalności operacyjnej przedsiębiorstwa, która pozwala na uniknięcie poważnych strat finansowych związanych z nieplanowanym przestojem w działaniu systemów informatycznych, ewentualnym zniszczeniem infrastruktury informatycznej bądź biurowej 3 4 Disaster Recovery Services Czym dysponuje DRC? Centrum obliczeniowe zlokalizowane z dala od systemów produkcyjnych klienta i tym samym niewrażliwe na powstałe tam usterki i zniszczenia. Szybkie łącza telekomunikacyjne połączone z Internetem bądź siecią korporacyjną klienta. Sieć jest zabezpieczona przed wirusami, próbami ataków i dostępem osób niepowołanych. Stosownie do potrzeb przygotowane i skonfigurowane serwery, na których w razie awarii są odtwarzane i udostępniane systemy produkcyjne. Urządzenia klienta. backupowe, zapewniające ochronę danych 6 1

2 Wprowadzenie Projektowanie Systemów Zabezpieczeń Gwałtowny rozwój techniki pod koniec XX i na początku XXI wieku. Udostępnianie komputerów społeczeństwu. Pojawianie się kolejnych udogodnień technologicznych. Integracja telekomunikacji z informatyką. Polega na znalezieniu takiej optymalnej konfiguracji systemu lub sieci teleinformatycznej, która z jednej strony gwarantowałaby dużą skuteczność ochrony, a z drugiej - w minimalnym stopniu komplikowała pracę tego systemu lub sieci. 7 8 Polityka bezpieczeństwa Polityka bezpieczeństwa Polityka Bezpieczeństwa Dokument w postaci zestawu reguł regulujących wykorzystanie informacji, włącznie z jej przetwarzaniem, przechowywaniem, dystrybucją i prezentacją, których przestrzeganie zapewnia wiarygodność systemowi informatycznemu oraz w szczególności ochronę zawartych w nim danych, a także plan lub sposób działania przyjęty w celu zapewnienia założonego poziomu bezpieczeństwa systemu i ochrony danych. Design Build Operate Przecho- -wywanie danych Backup System Archive Procesy, organizacja zw. z bezp. Analiza i zarządzanie procesami biznesowymi i ryzykiem Przetwarzanie danych High Availability Load Balancing Scalability Scenariusze aplikacyjne (e.g. m-business, e-business) Autentykacja Autoryzacja Single Sign On Smart Card Directory Połączenia Architektura, usługi, reguły VPN Firewall Extranet Remote Access Intrusion Detection Transmisja Encryption PKI Virus Protection Digital Signature Urządzenia końcowe Hard Disk Encryption Personal Firewall Windows 9 10 Zmiany wymaganego poziomu bezpieczeństwa w funkcji czasu Bezpieczeństwo BEZPIECZEŃSTWEM TELEINFORMATYCZNYM NAZYWAMY WSZYSTKIE ZAGADNIENIA ZWIĄZANE Z BEZPIECZEŃSTWEM SYSTEMÓW I SIECI TELEINFORMATYCZNYCH, W KTÓRYCH WYTWARZANE, PRZETWARZANE, PRZECHOWYWANE LUB PRZESYŁANE SĄ INFORMACJE

3 Klasyfikacja zagrożeń Opis zagrożeń Stopnie Zagrożenia Internetowego (Internet Threat Level - ITL): zagrożenia lokalne, zagrożenia zdalne. Kategorie te można podzielić: dostęp do odczytu, dostęp do zapisu i wykonania poleceń użytkownika zwykłego, dostęp do zapisu i wykonania poleceń użytkownika uprzywilejowanego. 1. Odmowa usługi - użytkownicy nie mają dostępu do zasobów; 2. Lokalni użytkownicy mogą uzyskać dostęp do odczytu plików systemu lokalnego; 3. Lokalni użytkownicy mogą uzyskać dostęp do zapisu/wykonania plików użytkowników zwykłych; 4. Lokalni użytkownicy mogą uzyskać dostęp do zapisu/wykonania plików użytkownika uprzywilejowanego; 5. Użytkownicy zdalni z tej samej sieci mogą uzyskać dostęp do odczytu plików systemu lokalnego z wnętrza systemu lub poprzez sieć; 6. Użytkownicy zdalni z tej samej sieci mogą uzyskać dostęp do zapisu/wykonania plików użytkowników zwykłych z wnętrza systemu lub poprzez sieć; Opis zagrożeń Opis zagrożeń 7. Użytkownicy zdalni z tej samej sieci mogą uzyskać dostęp do zapisu/wykonania plików użytkownika uprzywilejowanego z wnętrza systemu lub poprzez sieć; 8. Użytkownicy zdalni z innej sieci mogą uzyskać dostęp do odczytu plików systemu lokalnego z wnętrza systemu lub poprzez sieć; 9. Użytkownicy zdalni z innej sieci mogą uzyskać dostęp do zapisu/wykonania plików użytkowników zwykłych z wnętrza systemu lub poprzez sieć; 10. Użytkownicy zdalni z innej sieci mogą uzyskać dostęp do zapisu/wykonania plików użytkownika uprzywilejowanego z wnętrza systemu lub poprzez sieć. Mail bombing Odcięcie usług Nieautoryzowany odczyt lokalnych użytkowników Nieautoryzowany zapis lokalnych użytkowników Dostęp na prawach roota dla użytkowników zadalnych Nieautoryzowany zapis użytkowników zdalnych Nieautoryzowany odczyt użytkowników zdalnych Nieautoryzowany dostęp użytkowników zdalnych Ocena poziomu zagrożeń Poziom zagrożenia powinien być oceniany na podstawie kilku czynników: zadań systemu, tajności danych w systemie, wagi integralności danych, wagi nieprzerwanego dostępu, rodzaju użytkowników, Przedmioty ochrony i zagrożenia 1. zasoby materialne, 2. dane; ochrona poufności i autentyczności danych, 3. zasoby komputerowe (czas obliczeniowy, pamięć), 4. reputacja. relacji pomiędzy systemem ocenianym a innymi systemami (zaufanie, eksport plików)

4 Klasyfikacja typów zagrożeń Ochrona informacji i danych cd. fizyczno-techniczne. Zagrozenia programowe znaczenie danych; skutki utraty danych; metody profilaktyczne. problemy z zasilaniem uszkodzenia sprzetu transmisja danych wirusy Kluczowe znaczenie dla bezpieczeństwa systemu informatycznego (SI) mają dwie rzeczy : losowe celowe 1. Lokalizacja i znaczenie SI (komputera), instytucje rządowe, banki, firmy, szkoły, dom;. Zagrozenia 2. Sposób jego pracy komputery samodzielne i powiązane ze światem poprzez sieć lub modem Zapobieganie atakom Bezpieczeństwo Bezpieczeństwo fizyczne określenie uprawnień do dostępu do urządzeń; klucze, kody, karty, szafki, alarmy, monitoring itd. Bezpieczeństwo elektroniczne Aktualizacja oprogramowania; Stosowanie bezpiecznych połączeń i polityki haseł; Stosowanie urządzeń / programów filtrujących połączenia z zewnątrz oraz określenie połączeń dozwolonych i nie; Monitorowanie w poszukiwaniu prób ataku (wew/zew) lub nieautoryzowanych i zabronionych działań; Logowanie zdarzeń i regularna analiza logów. Czynnik ludzki - szkolenia 22 Specjalistyczny personel Szkolenie Bezpieczeństwo sposób myślenia i priorytet Planowanie ochrony Zapobieganie Wykrywanie Reagowanie Podstawowa technologia: Standardy, Szyfrowanie, Ochrona Funkcje bezpieczeństwa produktów Narzędzia i produkty w obszarze bezpieczeństwa Social Engeneering Phishing czyli Inżynieria Socjalna to oparta głównie na psychologii, logice i aktorstwie metoda wydobywania od ludzi poufnych informacji, polegająca na przemyślnej manipulacji. Oszukańcze pozyskanie poufnej informacji osobistej, jak hasła czy szczegóły karty kredytowej, przez udawanie osoby godnej zaufania. Jest to rodzaj ataku opartego na inżynierii społecznej. Popularnym celem są banki czy aukcje internetowe. Phisher wysyła zazwyczaj spam do wielkiej liczby potencjalnych ofiar, kierując je na stronę w Sieci, która udaje rzeczywisty bank internetowy, a w rzeczywistości przechwytuje wpisywane tam przez ofiary ataku informacje. Typowym sposobem jest informacja o rzekomym zdezaktywowaniu konta i konieczności ponownego reaktywowania, z podaniem wszelkich poufnych informacji

5 Phishing pharming 25 Firmy nie powinny prosić o przesyłanie haseł, nazw użytkownika, numerów PESEL czy innych informacji osobistych pocztą . Poczta z reguły kanał niezabezpieczony. W przypadku braku odpowiedzi w ciągu 48 godzin, Pani/Pana konto zostanie zamknięte. Wiadomość e- mail związana z phishingiem może być uprzejma i stonowana, jednak często wiadomości takie mają ponaglający wydźwięk, aby na nie odpowiedzieć bez zastanowienia. Szanowny Kliencie. Wiadomości związane z phishingiem są zwykle rozsyłane masowo i nie zawierają imienia ani nazwiska. Istnieje jednak możliwość, że oszuści posiadają takie informacje. 26 Znana metoda oszustw internetowych polegająca na zmianie adresów DNS, skutkiem czego nieświadomy użytkownik wchodzi na fałszywą stronę internetową, spreparowaną w celu przechwycenia poufnych danych, a w szczególności informacji o jego koncie bankowym. Atak można przeprowadzić na pojedynczy komputer lub w skali masowej. Pierwszy sposób jest łatwiejszy, ponieważ wymaga jedynie dwóch rzeczy; modyfikacji małego pliku, jaki znajduje się na każdym komputerze z systemem operacyjnym Windows i wykorzystującym Internet Explorera oraz stworzenia fałszywej strony. W pliku tym znajdują się adresy serwerów oraz adresy IP najczęściej odwiedzane przez ofiarę. Wystarczy podmienić te adresy w pliku, zamiast na serwerze DNS, a użytkownik zamiast na stronę swojego banku wejdzie na podróbkę, wyglądającą dokładnie tak, jak oryginał. Bezpieczna informacja Bezpieczna informacja 27 Informacja bezpieczna to taka, która poprzez swoją zawartość udowadnia, że jest: autentyczna, integralna (nie została zmieniona), poufna (zaszyfrowana), posiada cechę niezaprzeczalności nadania, była i jest dostępna tylko osobom do tego upoważnionym. Jeżeli informacja nie posiada którejś z wymienionych wyżej cech, to może się okazać, że została ujawniona. 28 Poufność (ang. confidentiality) - ochrona przed ujawnieniem informacji nieuprawnionemu odbiorcy; Integralność (ang. integrity) - ochrona przed modyfikacją lub zniekształceniem aktywów informacyjnych przez osobę nieuprawnioną; Dostępność (ang. availability) - oznacza gwarancję uprawnionego dostępu do informacji przy zachowaniu określonych rygorów czasowych; Rozliczalność - określenie i weryfikowanie odpowiedzialności za działania, usługi i funkcje realizowane za pośrednictwem systemu informatycznego; Autentyczność - oznacza weryfikację tożsamości podmiotów lub prawdziwość aktywów systemu informatycznego; Niezawodność - oznacza gwarancję odpowiedniego zachowania się systemu informatycznego i otrzymanych wyników. Proces ochrony informacji obejmuje Bezpieczna informacja Stworzenie kompleksowego systemu ochrony przedsiębiorstwa. Instalacja zabezpieczeń technicznych (fizycznych, sprzętowych, programowych) i pozatechnicznych (procedury pracy, organizacja). Wykonywanie ekspertyz i określanie poziomu bezpieczeństwa przedsiębiorstwa, testy poziomu zabezpieczenia. Stworzenie polityki bezpieczeństwa informacji i jej wdrożenie. Stworzenie dokumentacji projektowej obejmującej procedury postępowania pracowników na każdym poziomie organizacji. Dostarczanie nowoczesnej wiedzy o ochronie informacji. Szkolenie personelu w zakresie realizacji polityki bezpieczeństwa. Tworzenie zabezpieczeń dotyczących wiadomości przesyłanych wewnątrz i na zewnątrz przedsiębiorstwa. Pomoc przy organizacji ochrony danych prawnie chronionych. % sek/rok sek/rok 5.26 min/rok min/ro k 8.76 godz/rok godz/rok 3.65 dnia/rok 7.30 dnia/rok dnia/rok Automatyczny Backup Ręczny Backup Replikacja asynchroniczna Klastry LAN Zautomatyzowany Backup blokowo-wzrostowy Mirror RAID 5 Replikacja synchroniczna Koszt $ Klastry WAN Klastery Zarządzanie aplikacjami i wolumenami Centrum Zapasowe 5

6 Zagrożenia dla systemów informatycznych zamierzone, czyli związane z działaniami wykonywanymi z premedytacją, wynikającymi z chęci rewanżu, świadomym wykraczaniem poza obowiązki, działaniami mediów i prasy - oraz szpiegostwem, wandalizmem, terroryzmem, losowe wewnętrzne, do których możemy zaliczyć: niezamierzone błędy ludzi, zaniedbania użytkowników, defekty sprzętu i oprogramowania, zniekształcenia lub zgubienie informacji na skutek błędów w dokumentacji, itp. losowe zewnętrzne, do których należy między innymi: temperatura, wilgotność, zanieczyszczenie powietrza, zakłócenia źródła zasilania, wyładowania atmosferyczne, klęski żywiołowe, itp. Regulacje prawne Ustawa z r. - O ochronie informacji niejawnej. Rozporządzenie Prezesa Rady Ministrów r. - w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. Ustawa z r. - O ochronie danych osobowych znowelizowana Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Ustawa z r. - O prawie autorskim i prawach pokrewnych. 31 Regulacje prawne Normy i zalecenia podstawą rozwoju zarządzania bezpieczeństwem informacji Ustawa z r. - O ochronie baz danych. Ustawa z r. - Kodeks postępowania karnego. Ustawa z r. - O podpisie elektronicznym. Ustawa z r. - Prawo telekomunikacyjne. Ustawa z r. O świadczeniu usług drogą elektroniczną. Kluczowym dla zarządzania bezpieczeństwem informacji jest: Raport Techniczny - ISO/IEC TR składa się on z pięciu części, z których dwie pierwsze obowiązują jako Polskie Normy. Pozostałe części są w różnym stadium przygotowania. Poszczególne części raportu zawierają następujące informacje: 34 Normy i zalecenia ISO/IEC/TR /PN-I : Wytyczne do zarządzania bezpieczeństwem systemów informatycznych: - terminologia, związki między pojęciami, - podstawowe modele. ISO/IEC/TR : Planowanie i zarządzanie bezpieczeństwem systemów informatycznych: - różne podejścia do prowadzenia analizy ryzyka, - plany zabezpieczeń, - rola szkoleń i działań uświadamiających, - stanowiska pracy w instytucji związane z bezpieczeństwem. Normy i zalecenia cd. ISO/IEC/TR : Techniki zarządzania bezpieczeństwem systemów informatycznych: - formułowanie trójpoziomowej polityki bezpieczeństwa, - rozwinięcie problematyki analizy ryzyka, - rozwinięcie problematyki implementacji planu zabezpieczeń, - reagowanie na incydenty. ISO/IEC/TR Wybór zabezpieczeń: - klasyfikacja i charakterystyka różnych form zabezpieczeń, - dobór zabezpieczeń ze względu na rodzaj zagrożenia i rodzaj systemu. ISO/IEC/WD : Zabezpieczenie dla połączeń z sieciami zewnętrznymi: - dobór zabezpieczeń stosowanych do ochrony styku systemu z siecią zewnętrzną

7 37 Standard BS 7799 BS 7799 definiuje 127 elementów kontroli i sterowania bezpieczeństwem informacji, podporządkowanych 10 grupom wymagań, co pozwala użytkownikom na zidentyfikowanie najwłaściwszych zabezpieczeń w kontekście specyfiki działalności, jaką prowadzą oraz otoczenia rynkowego i potrzeb w powyższym zakresie. Aktualne wydanie normy kładzie szczególny nacisk na zarządzanie ryzykiem, wskazuje także, że użytkownik nie jest zobowiązany do wdrażania wszystkich technik przywołanych w części pierwszej standardu, tylko uznanych za najistotniejsze i zapewniające realizację celów. Katalog dotyczy wszystkich form informacji, w tym także ustnych i graficznych, powstających z wykorzystaniem telefonów komórkowych i faksów. Standard uwzględnia najnowsze formy działalności gospodarczej, np. Budowa systemu zarządzania bezpieczeństwem informacji Budowa modelowego systemu zabezpieczeń powinna opierać się na normach i standardach. Począwszy od audytów bezpieczeństwa przeprowadzonych na podstawie norm PN-ISO/IEC 17799:2003 i PN-I :1999, poprzez stworzenie Polityki Bezpieczeństwa, do wdrożenia Systemu Zarządzania Bezpieczeństwem Informacji - Information Security Management Systems (ISMS) oraz przygotowanie go do certyfikacji na zgodność z polską normą PN-I (odpowiednik brytyjskiej normy BS :2002). e-commerce, Internet, outsourcing, teleworking, mobile computing. 38 Dokumenty polityki bezpieczeństwa Zarządzanie zmianami Zmiany = Określenie wpływu na bezpieczeństwo Kluczowy proces - zarządzanie ryzykiem (powinno być prowadzone podczas całego okresu eksploatacji systemu); Analiza ryzyka - główny proces zarządzania ryzykiem - identyfikuje ryzyko, które ma być kontrolowane lub akceptowane; Analiza ryzyka obejmuje: ocenę wartości zasobów, zagrożeń, podatności i następstw w aspekcie naruszenia poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Pełny cykl analizy ryzyka może być stosowany: - dla nowych systemów, - dla eksploatowanych systemów - w dowolnym momencie życia systemu, - podczas okresowych przeglądów i kontroli wdrożenia zabezpieczeń, - podczas projektowania systemu, - przy planowaniu znaczących zmian w systemie. 41 Określanie potrzebnego poziomu bezpieczeństwa Aby odpowiedź na postawione wcześniej pytanie nie trzeba wcale posługiwać się liczbami. Czy zagrożenie może pochodzić z systemu czy spoza niego? Jakie będą konsekwencje w przypadku czasowego braku dostępu do oprogramowania lub danych? Jakie mogą być konsekwencje tego, że projekt systemu opiera się na kompromisach? Czy awaria systemu może doprowadzić do utraty reputacji i zaufania dla organizacji? Czy użytkownicy będą informować o błędach w oprogramowaniu lub działaniu systemu? Jaka motywacja może kierować osobami, które chcą uzyskać dostęp do systemu (np. zysk finansowy, zdobycie informacji Zasady polityki bezpieczeństwa 1. ustalanie odpowiedzialności za poszczególne zasoby informatyczne czyli kto odpowiada za poszczególne zasoby informatyczne; 2. kontrola dostępu do zasobów w jaki sposób możemy kontrolować dostęp do zasobów informatycznych; 3. zapewnienie bezpiecznej transmisji danych podział danych; 4. zapewnienie fizycznego bezpieczeństwa zasobów; 5. zapewnienie ciągłości pracy systemów w sytuacjach awaryjnych; 6. zasady obowiązujące przy rozwoju systemów; 7. zasady podnoszenia kwalifikacji pracowników odpowiedzialnych za bezpieczeństwo systemów informatycznych. marketingowych)? 42 7

8 Zagadnienia bezpieczeństwa W języku angielskim wyróżnia się dwa terminy, którym odpowiada jedno polskie określenie - bezpieczeństwo: safety - bezpieczeństwo użytkownika (i jego danych) przed niezgodnym ze specyfikacją (awaryjnym) działaniem systemu i; security - bezpieczeństwo systemu przed destrukcyjnymi działaniami użytkownika. Są to dwie strony tego samego medalu. System nie będący bezpiecznym w jednym z powyższych znaczeń, przestaje być bezpieczny w drugim. Techniki zabezpieczeń Organizacyjne; Administracyjne; Fizyczne; Programowe Techniki organizacyjne Techniki administracyjne Przedsiębiorstwo tworząc system bezpieczeństwa, musi być przygotowane organizacyjnie. określenie kompetencji pracowników oraz ich wzajemnych zależności; zdefiniowania przeznaczenia pomieszczeń i terenów przedsiębiorstwa; zdefiniowania, kto jest odpowiedzialny za dany obszar, które osoby mogą w nim przebywać; ograniczenie wymiany dokumentów między działami; zapisanie regulaminów i procedur; szkolenia oraz restrykcje i konsekwencje grożące w przypadku nie stosowania się do regulaminów i procedur. Administracyjne techniki zabezpieczeń polegają głównie na odpowiednim kierowaniu procesami zachodzącymi w przedsiębiorstwie. Administrowanie w przedsiębiorstwie nie dotyczy wyłącznie systemu informatycznego. Techniki administracyjne obejmują min. : certyfikowanie, odpowiedzialne zarządzanie dostępem do pomieszczeń, gwarancja oraz usługi serwisowe Techniki fizyczne Techniki programowe Techniki fizyczne dotyczą min. zabezpieczania fizycznego pomieszczeń, np. serwerowni komputerowej, jednak nie należy problemu sprowadza jedynie do wstawienia mocnych krat i drzwi. Rozróżnienie włamywacza w klasycznym rozumieniu od włamywacza komputerowego. W pomieszczeniach szczególnie chronionych zaleca się rezygnację z wszelkich tabliczek identyfikacyjnych na drzwiach, wywieszek informacyjnych oraz nie umieszczanie numerów telefonów w ogólnodostępnych spisach. Ochrona poprzez wykorzystanie środków programowych może dotyczyć: kontroli dostępu do plików i baz danych, zastosowania narzędzi kryptograficznych, użycia mechanizmów separacji. Podstawowym sposobem zabezpieczenia programowego (software'owego) informacji jest min. : zastosowanie odpowiedniej gradacji dostępu do systemu informatycznego, odpowiednie administrowanie kontem użytkownika w systemie, mechanizmy grupowania użytkowników, mechanizmy kryptograficzne

9 Nowe stanowisko w firmie czy nowy zawód? Opracowanie i realizacja polityki bezpieczeństwa Administrator Bezpieczeństwa Informacji Własny personel Wady: zwiększone obciążenie, czas, niedostatek wiedzy o bezpieczeństwie, samokontrola, jakość realizacji zadania. zakres obowiązków, umiejscowienie w strukturach organizacyjnych firmy, wymagane kwalifikacje i wskazane umiejętności, formy zatrudnienia i problemy płacowe, współpraca z innymi służbami w firmie... Zalety: prawdopodobnie niższy koszt, brak uzależnienia od firmy zewnętrznej, podniesienie potencjału personelu, szybka realizacja krytycznych czasowo zadań Outsourcing Outsourcing OUTSOURCING to używanie zasobów zewnętrznych do dokonania czynności, które nie dotyczą sedna działalności danej firmy (out-source: źródło zewnętrzne). Koncepcja zarządzania jaką jest outsourcing powstała z prostej obserwacji, iż nie jest rzeczą zbyt praktyczną robić wszystko samemu. Odniesienie sukcesu wymaga skupienia się na sednie działalności swojej firmy i wykonywaniu tego jak najlepiej. Poprawa rentowności przez: redukcję inwestycji w obszarach nie przynoszące zysku, kontrolę kosztów, zmianę kategorii kosztów ze stałych do zmiennych, przesunięcie terminu powstania kosztów, Uproszczenie organizacji przez: uproszczenie procesu i zakresu zarządzania, formalizację procesów i odchudzenie organizacji, racjonalizację zatrudnienia, poufność i bezpieczeństwo danych w organizacji. Efektywne zarządzanie zmianami przez: zmniejszenie zagrożeń ze strony zmiennego otoczenia prawnego, przerzucenie odpowiedzialności na dostawcę usług outsourcingowych RFC (Request For Comments) Organizacje związane z zagadnieniami standaryzacji w dziedzinie bezpieczeństwa komputerowego ANSI - American National Standards Institute ISO - International Standards Organization NBS - National Bureau of Standards, Dep. of Commerce NCSC - National Computer Security Center, Grupa dokumentów tekstowych opisujących funkcjonowanie Internetu. Pojedynczy RFC może definiować określony standard obowiązujący w Sieci bądź być tylko propozycją lub wytycznymi dotyczącymi kierunku rozwoju nowego standardu. Dokumenty RFC oznaczane są kolejnymi numerami. Pierwsze teksty RFC powstały w 1969 roku i dotyczyły podstawowych protokołów Internetu. Dep. of Defence

10 55 Klasyfikacja zabezpieczeń systemów teleinformatycznych Cel klasyfikacji - pomoc w określeniu klasy systemu teleinformatycznego (wprowadzono ujednolicone kryteria bezpieczeństwa systemów); Pierwsze próby w tej dziedzinie pojawiły się pod koniec lat sześćdziesiątych w Ameryce. Dopiero jednak w latach osiemdziesiątych wydano dokumenty, które mogą stanowić wykładnię w tej dziedzinie. W 1983 roku Departament Obrony Stanów Zjednoczonych stworzył dokument, który stał się klasyką w dziedzinie bezpieczeństwa systemów teleinformatycznych. Jest to tak zwana pomarańczowa książka (orange book) zwana bardziej oficjalnie Trusted Computer System Evaluation Criteria (TCSEC) Kryteria Oceny Zaufania Systemów Komputerowych. 56 Klasyfikacja zabezpieczeń systemów teleinformatycznych Trusted Computer System Evaluation Criteria (TCSEC "Orange Book") USA jest to standard opracowany w USA, ale stał się pierwszym powszechnym takim standardem w skali światowej. Owiązujący w latach stał się podstawą opracowywania podobnych norm w Europie i na świecie. Bardzo często nawet współcześnie znajduje się odwołania do certyfikatów tego standardu. Information Technology Security Evaluation Criteria (ITSEC) EU obowiązywał w Powstał głównie z angielskiego CESG2/DTIEC, francuskiego SCSSI i niemieckiego ZSIEC. Common Criteria Assurance Levels (EAL) - aktualnie obowiązujący standard będący w istocie złączeniem ITSEC, TCSEC oraz CTCPEC (Kanada). Od 1996 powszechnie znany jako Common Criteria for Information Technology Security Evaluation (Kryteria Oceny Zaufania Systemów Komputerowych). Od 1999 roku zaakceptowany jako międzynarodowa norma ISO Klasyfikacja zabezpieczeń systemów teleinformatycznych Klasyfikacja zabezpieczeń systemów teleinformatycznych Wymagania związane z polityką bezpieczeństwa dotyczą czterech zagadnień: dostępu uznaniowego DAC; dostępu narzuconego MAC; etykiet poziom zaufania; mechanizmu ponownego wykorzystania obiektów. Dostęp uznaniowy DAC (discretionary access control) oznacza, że użytkownik może odebrać lub nadać komuś innemu prawa dostępu do posiadanej przez informacji, na przykład do plików. niego DAC pozwala właścicielowi danych ograniczyć dostęp pozostałym użytkownikom do używania baz danych, które sam stworzył Klasyfikacja zabezpieczeń systemów teleinformatycznych Klasyfikacja zabezpieczeń systemów teleinformatycznych Właściciel zasobu może decydować o jego atrybutach i uprawnieniach innych użytkowników systemu względem tego zasobu. Dostęp narzucony (ścisła) MAC (mandatory access control) oznacza, że nadawanie praw dostępu jest powierzone systemowi i wynika z realizowanej przez niego polityki. DAC oferuje użytkownikom dużą elastyczność i swobodę współdzielenia zasobów powszechnym zagrożeniem jest niefrasobliwość przydziału uprawnień (np. wynikająca z nieświadomości lub zaniedbań) i niewystarczająca ochrona zasobów. najczęściej uprawnienia obejmują operacje odczytu i zapisu danych oraz uruchomienia programu. Poprzedni dostęp typu DAC pozwalał użytkownikowi według swojego uznania ustalać, kto ma dostęp do plików. MAC polega na ustalaniu wielu szczebli uprawnień dostępu, z których użytkownicy o wyższym statusie uprawnień mają nieograniczoną możliwość ingerencji w dane użytkowników o niższym statusie

11 Klasyfikacja zabezpieczeń systemów teleinformatycznych Klasyfikacja zabezpieczeń systemów teleinformatycznych Precyzyjne reguły dostępu automatycznie wymuszają uprawnienia nawet właściciel zasobu nie może dysponować prawami dostępu. MAC pozwala łatwiej zrealizować (narzucić) silną politykę bezpieczeństwa i konsekwentnie zasobów. stosować ją do całości Ścisła kontrola dostępu operuje na tzw. poziomach zaufania wprowadzając etykiety poziomu zaufania (sensitivity labels) przydzielane w zależności np. od stopnia poufności. Etykieta poziomu zaufania użytkownika określa zaufanie związane z danym użytkownikiem. Często jest ona nazywana poziomem uprawnień użytkownika (clearance level). Etykieta poziomu zaufania pliku określa poziom zaufania, który musi mieć użytkownik, aby miał dostęp do pliku. Dostęp typu MAC oraz etykiety poziomu zaufania pozwalają wprowadzić zabezpieczenia wielopoziomowe. Etykiety poziomu zaufania składają się z dwóch parametrów: poziomu zaufania wynikającego z przyjętej klasyfikacji; kategorii informacji, której dany poziom dotyczy Podział danych Klasyfikacja zabezpieczeń W celu zapewnienia bezpieczeństwa przetwarzanych informacji należy wszystkie informacje odpowiednio sklasyfikować: informacje do użytku wewnętrznego; są to informacje, które nie powinny być powszechnie dostępne, ale których ujawnienie nie wiąże się z poważnym zagrożeniem dla danej instytucji; informacje o charakterze poufnym; są to zasoby, które powinny być udostępniane osobom, dla których są konieczne do wypełniania ich obowiązków np. dane osobowe; informacje o charakterze tajnym; znane tylko wąskiej grupie osób, np. wykorzystywane przy zapewnieniu rejestracji dostępu; hasła administratora, klucze kodowe. Poziomy zaufania budowane są hierarchicznie. Podstawową zasadą klasyfikowania informacji niejawnych, systemów teleinformatycznych, jest przyznawanie im klauzul tajności: ściśle tajne - top secret - dla informacji stanowiących tajemnicę państwową; tajne - secret dla informacji stanowiących tajemnicę państwową; poufne - confidential - dla tajemnicy służbowej; zastrzeżone - restricted - dla tajemnicy służbowej; jawne Klasyfikacja zabezpieczeń systemów teleinformatycznych Kategorie bezpieczeństwa Mechanizm ponowne wykorzystanie obiektu (object reuse) ten zapewnia, że zawartość nośnika pamięci zostanie wyczyszczona zanim zostanie na nowo przydzielona użytkownikowi. W ten sposób zapobiega się celowemu lub przypadkowemu dostępowi do informacji zapisanej w danym sektorze dysku lub na stronie pamięci wtedy, kiedy są one przydzielane innym użytkownikom. Opierając się o opisane wymagania, standard TCSEC definiuje trzy kategorie bezpieczeństwa: C, B i A (D). Kategoria A opisuje najwyższy poziom bezpieczeństwa. W obrębie każdej z kategorii wyróżnia się jedną lub więcej hierarchicznych klas. Kategoria D Minimalna ochrona (Minimal Protection), nie zawiera mechanizmów zabezpieczających i zapewnia minimalną ochronę

12 Kategorie bezpieczeństwa Kategorie bezpieczeństwa Klasa D jest określa jako najniższy poziom bezpieczeństwa, oznaczający całkowity brak wiarygodności systemu. Poziom ten nie wymaga certyfikacji, ponieważ cechuje go brak jakichkolwiek zabezpieczeń. Jedyne co można zrobić to ograniczyć fizyczny dostęp do systemu. Każdy użytkownik, który ma dostęp do systemu może w tym systemie zrobić wszystko. Do tej klasy należą także systemy pozornie bezpieczne, czego przykładem może być procedura autoryzacji dostępu w sieciowych komputerach zaopatrzonych w system operacyjny Microsoft Windows 98/ME. Kategoria C Ochrona uznaniowa w odniesieniu do polityki bezpieczeństwa zawiera mechanizm ochrony dostępu typu DAC oraz mechanizm ponownego wykorzystania obiektu. Kategoria ta zawiera mechanizmy identyfikacji, uwierzytelniania i śledzenia. Kategoria C obejmuje dwie klasy: Cl i C2. Klasa C2 ma wyższy poziom zabezpieczeń niż Cl Kategorie bezpieczeństwa Kategorie bezpieczeństwa Klasa C1 Dobrowolna kontrola dostępu (ang. discretionary security protection). Każdy użytkownik kontroluje dostęp do obiektów, których jest właścicielem i zezwala na dostęp według własnego uznania. Dostęp może być inny dla właściciela, grupy czy pozostałych użytkowników. To poziom ochrony uznaniowej najniższy poziom bezpieczeństwa. System kontroluje uprawnienia dostępowe użytkowników do obiektów w systemie (plików, katalogów), występuje też system autoryzacji. Użytkownik, zanim rozpocznie pracę w systemie, musi się zalogować w oparciu o nazwę użytkownika i osobiste hasło dostępowe. Nie występuje natomiast superużytkownik (root user), a jeśli występuje, to jego konto niewiele różni się od pozostałych pod względem bezpieczeństwa. System nie posiada żadnych mechanizmów rejestrowania zdarzeń Kategorie bezpieczeństwa Kategorie bezpieczeństwa Klasa C2 Dostęp kontrolowany (ang. controlled access protection). Poziom ten gwarantuje automatyczne rejestrowanie wszystkich istotnych z punktu widzenia bezpieczeństwa zdarzeń i zapewnia silniejszą ochronę kluczowych danych systemowych takich jak np. baza danych haseł użytkowych. Kategoria B Ochrona narzucona wymaga bezpieczeństwa wielopoziomowego, realizowanego za pomocą dostępu typu MAC i etykiet poziomów zaufania. Kategoria B obejmuje trzy klasy: B1, B2 i B3. Zakodowane hasła użytkowników dostępne są tylko dla systemu operacyjnego. Istnieje także możliwość zablokowania niektórych instrukcji poszczególnym użytkownikom. Klasa B1 jest to klasa C2 z dodanym dostępem typu MAC i etykietami poziomów zaufania

13 Kategorie bezpieczeństwa Kategorie bezpieczeństwa Klasa B1 To poziom, który może obsługiwać różne kategorie bezpieczeństwa typu: poufne, tajne, czy ściśle tajne. Na poziomie tej klasy zablokowana jest już możliwość zmiany praw dostępu do obiektu przez jego właściciela (uznaniowa kontrola dostępu do zasobów). Klasa B2 Zabezpieczenie strukturalne (ang. structure protection). Poziom wymaga przypisania każdemu obiektowi systemu komputerowego etykiety bezpieczeństwa określającej status tego obiektu w odniesieniu do przyjętej polityki bezpieczeństwa. Gdy obiekt użytkownik" żąda dostępu do obiektu plik" system ochrony akceptuje lub odrzuca to żądanie na podstawie porównania zawartości etykiet bezpieczeństwa tych obiektów. Etykiety te mogą zmieniać się dynamicznie w zależności od tego co jest aktualnie użytkowane Kategorie bezpieczeństwa Kategorie bezpieczeństwa Klasa B3 Obszary poufne (ang. security domains). Jest to rozszerzenie problemu bezpieczeństwa na sprzęt komputerowy. W tym przypadku bezwzględnie obowiązkowym jest chronienie zarówno przechowywanej jak i przesyłanej informacji. Przykładowo: terminale mogą być połączone z serwerem tylko za pośrednictwem wiarygodnego okablowania i specjalizowanego sprzętu gwarantującego, że nikt nie będzie w stanie przechwycić znaków wciskanych na naszej klawiaturze. Klasa A1 Zweryfikowana realizacja systemu (ang. yerified design). Jest to najwyższy poziom bezpieczeństwa. Cała konfiguracja sprzętowo-programowa programowa wymaga matematycznej weryfikacji. Zarówno sprzęt jak i oprogramowanie musi podlegać specjalnej ochronie w trakcie transportu zapewniającej jego nienaruszalność (aby nikt niczego nie podmienił). Wymaga formalnego dowodu, że system jest zgodny z wymaganiami Kategorie bezpieczeństwa KLASY WŁASNOŚCI W tym miejscu należy zwrócić uwagę na problem wzrostu obciążenia systemu operacyjnego związanego z uaktywnieniem opcji bezpieczeństwa. W szczególności może okazać się, że mało wydajne serwery nie będą w stanie obsłużyć wszystkich użytkowników po uruchomieniu wszystkich programów zabezpieczających, ze względu na duże zużycie zasobów procesora i powierzchni dyskowej Warto dodać, że w obecnej chwili na świecie działa tylko kilka systemów, których poziomy zabezpieczeń określa się jako kategorie B3 i A1. D - minimalna ochrona (właściwie jej brak). C1 - identyfikacja i uwierzytelnianie użytkowników, hasła chronione, luźna kontrola dostępu na poziomie właściciela /grupy/ pozostałych użytkowników, ochrona obszarów systemowych pamięci. C2 - kontrola dostępu na poziomie poszczególnych użytkowników, automatyczne czyszczenie przydzielanych obszarów pamięci, wymagana możliwość rejestracji dostępu do zasobów. B1 - etykietowane poziomy ochrony danych

14 KLASY WŁASNOŚCI KLASY WŁASNOŚCI B2 - ochrona strukturalna, jądro ochrony, weryfikacja autentyczności danych i procesów, informowanie użytkownika o dokonywanej przez jego proces zmianie poziomu bezpieczeństwa, wykrywanie zamaskowanych kanałów komunikacyjnych, ścisła rejestracja operacji. B3 - domeny ochronne, aktywna kontrola pracy systemu (security triggers), bezpieczne przeładowanie systemu. A1 - formalne procedury analizy i weryfikacji projektu i implementacji systemu. TCSEC D C1 C2 B1 B2 B3 A1 ITCES E0 E1, F-C1 E2, F-C2 E3, F-B1 E4, F-B2 E5, F-B3 E6, F-B3 CC / EAL EAL1 EAL2 EAL3 EAL4 EAL5 EAL6 EAL Klasyfikacja zabezpieczeń systemów teleinformatycznych W zależności od klauzuli tajności systemu teleinformatycznego, system ten powinien spełniać określone wymogi bezpieczeństwa takie jak: ochrona fizyczna; ochrona elektromagnetyczna; ochrona kryptograficzna; bezpieczeństwo transmisji; kontrola dostępu; poświadczenie bezpieczeństwa osobowego personelu; przeszkolenie personelu; certyfikat systemu lub sieci Wirtualne przestępstwa Ataki hakerów, rozprzestrzenianie się wirusów, internetowa pornografia, oszustwa finansowe i telekomunikacyjne, handel pirackim oprogramowaniem oraz wszelkimi, zakazanymi w rzeczywistym świecie, dobrami i usługami dotykają coraz szerszej grupy społeczeństwa w każdym kraju, w którym Internet przestał być drogim gadżetem dla wybrańców. Wszechświatowa pajęczyna stała się środowiskiem wymarzonym dla przestępców 84 Przestępczość komputerowa Pojawienie się Internetu i rozwój technologii IT - olbrzymie możliwości dla nauki, biznesu i kultury. Zaczęły się rozwijać nowe elektroniczne dziedziny w handlu, bankowości, edukacji. To jedna, powszechnie znana strona Internetu. Przestępczość to jego druga, ciemna strona, o której mówi się niewiele. Internet jako całość nie ma jednego właściciela, nikt w nim nie rządzi, nikt go centralnie nie nadzoruje, nie ma policji czuwającej nad bezpieczeństwem jego użytkowników. Wraz z rozwojem Internetu przybyło wiele nowych, nie znanych wcześniej form przestępczości. 14

15 Konsekwencje naruszeń bezpieczeństwa Przestępczość komputerowa utracone cykle biznesowe utrata zaufania klientów utrata dochodów skutki prawne utrata reputacji utracone lub przywłaszczone dane zakłócenie procesów biznesowych National Computer Crime Squad, specjalna komórka FBI, której celem jest wykrywanie i zapobieganie wszelkiego rodzaju cybernetycznym przestępstwom, ustaliła kilka najgroźniejszych przestępstw w Internecie i są to: włamania do sieci komputerowych bądź serwerów oraz szpiegostwo gospodarcze z wykorzystaniem Internetu (haking), piractwo komputerowe, bombings, kradzież i podszywanie się pod cudze hasła, spoofing, oszustwa z wykorzystaniem kart kredytowych - carding, phreaking oraz scanning ning i sniffing Historia Historia Pojęcie przestępstwa komputerowego jest stosunkowo mało znane mimo, że pierwszy raz zostało użyte już w latach 40-tych. Nowy rodzaj przestępczości - computer crime czyli przestępczość komputerowa lub nadużycie komputerów. Były to jedynie prognozy lata 50-te i 60-te rozwój rozwój przestępczości. Lata 90-te zmieniają ten stan rzeczy - za sprawą Internetu i rozwoju technik przekazywania informacji. Skala zagrożenia oraz gwałtowny wzrost wysokości strat problem został dostrzeżony. Uznano je za jedną z podstawowych form przestępczości i włączono do grupy przestępczości zorganizowanej. Pierwsze manipulacje, szpiegostwo i nadużycia przy użyciu komputerów. W latach 70-tych i 80-tych problem marginalizowano był traktowany jako zagrożenie o zasięgu lokalnym, nie międzynarodowym Etapy rozwoju prawa informatycznego Obszary wymagające uwagi 89 elektroniczne przetwarzanie danych zagrożeniem prywatności człowieka (Szwecja lata 70-te XXw.), nadużycia z wykorzystaniem elektronicznych systemów przetwarzania danych oraz zamachy przeciwko tym systemom (USA 1976r., lata 80-te XXw.), ochrona własności intelektualnej w zakresie oprogramowania komputerowego ochrona prawnopatentowa - ochrona prawnoautorska, przestępstwa przy pomocy systemów i sieci komputerowych, zasady odpowiedzialności za rozpowszechnianie nielegalnych i szkodliwych treści za pośrednictwem Internetu (lata 90-te), np. Komisja Europejska (1996, 1997): zakaz wykorzystania Internetu do rozpowszechniania treści o charakterze rasistowskim, pornograficznym, dotyczących handlu kobietami i dziećmi, negujących holocaust, propagujących terroryzm, przemoc i nienawiść. 90 Ślady Sprawca nie musi być obecny na miejscu przestępstwa Miejsce działania sprawcy Efekt 15

16 Obszary wymagające uwagi Przestępstwa komputerowe można podzielić na trzy grupy: Efekt Ślady Transgraniczność Sprawca 1) naruszanie praw jednostki w przedmiocie ochrony danych; 2) przestępstwa gospodarcze: a) manipulacje komputerowe; b) sabotaż, szantaż komputerowy; c) hacking; d) szpiegostwo komputerowe; e) kradzież oprogramowania i inne formy piractwa (czyli naruszanie prawa autorskiego); 3) inne rodzaje przestępstw: Różnice: w technice działania organów ścigania w odpowiedzialności za czyn a) zagrożenie bezpieczeństwa narodowego lub międzynarodowego; b) wykorzystanie techniki komputerowej w tradycyjnych rodzajach przestępstw; c) rozpowszechnianie informacji propagujących rasizm, agresję, pornografię itd Przestępstwa komputerowe Przestępstwa komputerowe cd. Wymierne straty finansowe proporcjonalne do postępu technologicznego oraz liczby osób z dostępem od Internetu straty bezpośrednie banki, sklepy internetowe, straty pośrednie utrata danych działanie wirusa lub hakera; Skutki społeczne przestępczości komputerowej - trudne do określenia; Czasem mogą grozić utratą życia wielu osób atak na komputery nadzorującego funkcje życiowe pacjentów na Oddziale Intensywnej Opieki Medycznej, lotniska, kolej itp. Komitet Ekspertów Rady Europy wskazał formy zachowań związanych z wykorzystaniem komputera i systemu komputerowego, które winny być kryminalizowane w systemach prawnych państw członkowskich. Czyny patologiczne zostały skatalogowane przez Komitet w dwóch listach. Pierwsza (tzw. lista minimalna) zawiera czyny wymagające kryminalizacji we wszystkich państwach członkowskich, a co za tym idzie ścisłej współpracy międzynarodowej Przestępstwa komputerowe cd. Przestępstwa komputerowe cd. Zaliczono tutaj: 1. oszustwa komputerowe (manipulacja programem, manipulacja danymi, manipulacja urządzeniami wejściawyjścia); 2. fałszerstwa komputerowe; 3. zniszczenie danych lub programów komputerowych; 4. sabotaż komputerowy; 5. nieuprawnione wejście do systemu; 6. podsłuch komputerowy; 7. bezprawne kopiowanie, rozpowszechnianie lub publikowanie programów prawnie chronionych; Komitet Ekspertów Rady Europy Minimalna lista przestępstw: - oszustwo komputerowe ( art. 287 k.k.) - fałszerstwo komputerowe (art k.k.) - sabotaż komputerowy (art i 2 k.k.) - piractwo komputerowe (art k.k.) - włamanie do systemu komputerowego (art k.k.) - niszczenie danych lub programów (art. 276 k.k. niszczenie lub pozbawienie mocy dowodowej dokumentu elektronicznego, art k.k. Naruszenie integralności zapisu)

17 Przestępstwa komputerowe cd. Przestępstwa komputerowe cd. Druga lista obejmuje zagadnienia o mniejszym stopniu szkodliwości - nie wymagają one ścisłej współpracy międzynarodowej w zakresie ich ścigania. Komitet Ekspertów Rady Europy Lista przestępstw: Zaliczono tutaj: 1. modyfikacje danych i programów komputerowych, 2. szpiegostwo komputerowe, - modyfikacja danych lub programów - szpiegostwo komputerowe (art k.k. oraz art k.k.) 3. używanie komputera bez zezwolenia, - używanie komputera bez zezwolenia 4. używanie prawnie chronionego programu bez upoważnienia. - używanie prawnie chronionego programu komputerowego bez upoważnienia Polskie przepisy karne Ogólny podział - paserstwo komputerowe (art k.k. ) - oszustwo telekomunikacyjne (art. 285 k.k.) - nierzetelne prowadzenie dokumentacji działalności gospodarczej (art. 303 k.k.) - fałszerstwo kart płatniczych (art. 310 k.k.) - rozpowszechnianie treści pornograficznych w Internecie (art. 202 k.k.) - zniesławienie (art. 212 k.k.) - zniewaga (art. 216 k.k.) - groźba karalna (art. 190 k.k.) 1. niemożliwą do dokonania poza środowiskiem komputerowym: manipulacje dokonywane za pomocą komputera na zbiorach danych i oprogramowaniu, zamachy na urządzenia systemu informatycznego, nieuprawnione wejście do systemu komputerowego. 2. ułatwianą przez komputery: oszustwa (fałszowanie danych wejściowych, realizację fikcyjnych inwestycji), fałszerstwa i podszywanie się pod cudze nazwisko, kradzież informacji oraz podsłuch, rozpowszechnianie w ogólnie dostępnych sieciach komputerowych (np. Internet) wiadomości rasistowskich, obraźliwych lub pornograficznych. 3. popełnianą przy biernym udziale komputerów: oszustwa przez prowadzenie np. podwójnej księgowości lub wyrządzanie szkód w interesach gospodarczych oraz prywatnych (osobistych) poprzez np. naruszanie osobistych praw autorskich. 99 Ogólny podział Wg. funkcji systemu komputerowego - komputer obiektem przestępstwa przestępstwa przeciwko komputerowi ; - komputer narzędziem przestępstwa przestępstwa przy użyciu komputera ; - komputer źródłem przestępstwa komputer jako źródło ; - komputer źródłem i środkiem dowodowym komputer jako dowód. Klasyfikacja atakujących : Ogólny podział profesjonalny złodziej danych i informacji, oszust dokonujący wyłudzeń w obrębie całego Internetu, w tym również osoba posługująca się skradzionymi danymi o kartach płatniczych, cyberterrorysta działający w obrębie przedsiębiorstw i instytucji, nieudolny i/lub złośliwy włamywacz, klasyczny przestępca dokonujący czynów takich jak: skanowanie, modyfikacja, kopiowanie, kradzież, usuwanie przedmiotów ataku, zorganizowane grupy przestępcze

18 Definicje Już w 1980 r. przestępstwa komputerowe zostały podzielone na dwie grupy: klasyczne, popełniane z wykorzystaniem systemów komputerowych, w których wyniku poszkodowani ponoszą straty materialne lub sprawcy osiągają (lub mogą osiągnąć) zyski; skierowane przeciwko informacjom zawartym w systemach komputerowych. Chociaż podejmowano wiele prób, nie stworzono legalnej definicji przestępstwa komputerowego Nadużycia (przestępstwa) popełniane z wykorzystaniem nowoczesnych technologii przetwarzania informacji zakres problemu jest związany nie tylko z czynami karalnymi, ale także z szeroko pojętym procesem operowania danymi. Definicja INTERPOLu Dwa zakresy znaczeniowe: Definicje Zakazana przez normy prawa karnego działalność w zakresie jakichkolwiek technik komputerowych 1) zamachy na systemy, dane lub programy komputerowe - system komputerowy jest środowiskiem popełniania przestępstwa oraz jego celem 2) posługiwanie się elektronicznymi systemami przetwarzania informacji do naruszania dóbr prawnych chronionych przez klasyczne prawo karne - komputer jest narzędziem do dokonywania przestępstw, których dokonywać można również bez jego użycia Definicje Historia Zjawisko kryminologiczne obejmujące wszelkie zachowania przestępne związane z funkcjonowaniem systemu informatycznego - godzące bezpośrednio w przetwarzaną informację, jej nośnik i obieg w komputerze oraz całym systemie połączeń komputerowych, a także w sam sprzęt komputerowy oraz prawa do programu komputerowego powołanie Samodzielnej Sekcji ds. przestępczości komputerowej w Biurze ds. Przestępczości Gospodarczej KGP; 1998 reorganizacja KGP, powstanie zespołu w strukturze Wydziału ds. Przestępczości Gospodarczej Biura Koordynacji Służby Kryminalnej; wyznaczeni policjanci w Komendach Wojewódzkich Policji. Nowe podejście Definicje Złamanie zabezpieczenia serwera, spenetrowanie systemu i,,kradzież'' danych to zachowania, które do tej pory określano mianem,,incydentów sieciowych'' albo,,nadużyć komputerowych''. Obecnie zachowania te są przestępstwami. Obowiązujący od 6 czerwca 1997 r. (z kolejnymi zmianami w 1998 i 2004 r.) nowy kodeks karny zabrania dokonywania zamachów na bezpieczeństwo elektronicznie przetwarzanej informacji i przewiduje kary dla tych, którzy zakazów tych nie respektują. W polskim prawodawstwie przestępstwa komputerowe sankcjonowane są głównie przez przepisy kodeksu karnego. Odpowiednie przepisy zawarte są w: Rozdziale XXXIII "Przestępstwa przeciwko ochronie informacji", Rozdziale XXXV "Przestępstwa przeciwko mieniu", Rozdziale XXXIV "Przestępstwa przeciwko wiarygodności dokumentów "

19 Definicje Systemy informatyczne zagadnienia prawne Art. 267 prawo do poufności informacji poufność (ang. confidentiality) - właściwość danych i informacji polegająca na ujawnianiu ich wyłącznie uprawnionym podmiotom i na potrzeby określonych procedur, w dozwolonych przypadkach i w dozwolony sposób. 1 Kto bez uprawnienia uzyskuje informację dla niego nie przeznaczoną, otwierając zamknięte pismo, podłączając się do przewodu służącego do przekazywania informacji lub przełamując elektroniczne, magnetyczne albo inne szczególne jej zabezpieczenie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2 Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem specjalnym Art. 267 ROK 1 i Art. 267 W myśl najprostszej interpretacji tego przepisu, hacker ponosi odpowiedzialność karną za zapoznanie się z treścią przechowywanej w systemie komputerowym informacji (np. cudzej korespondencji elektronicznej lub planów marketingowych konkurencyjnego przedsiębiorstwa), jeżeli uzyska do niej dostęp na skutek przełamania zabezpieczeń. W tym kontekście mówi się, jako o przepisie penalizującym,,kradzież informacji'' Jednak, nie wszyscy sprawcy włamań do sieci komputerowych poszukują informacji. Znane są przypadki włamań dokonywanych wyłącznie w celu wykazania nieskuteczności zabezpieczeń. Po drugie, sprawcy działającemu w celu uzyskania informacji trudno będzie udowodnić, że taką informację uzyskał. Analiza logów systemowych czy do końca skuteczna? Art. 267 Social engineering na nowy kodeks karny Kolejny problem okazuje się bowiem, że samo skopiowanie przez sprawcę plików danych zawierających informacje, z którymi nie zdążył się on jeszcze zapoznać nie wyczerpuje znamion ustawowych omawianego przestępstwa. Szczególnie groźna forma hackingu, polegająca na kradzieży informacji na cudze zlecenie, pozostawałaby praktycznie poza zakresem penalizacji art n.k.k. Inna interpretacja łamiąc zabezpieczenie w postaci hasła dostępu do zasobów, hacker często zapoznaje się z nieprzeznaczoną dla niego informacją, jaką jest treść hasła. W nowym kodeksie karnym praktycznie nie ma przepisu umożliwiającego inkryminowanie inżynierii społecznej. Oznacza to, że zgodnie z obowiązującym prawem wprowadzenie innej osoby w błąd w celu uzyskania od niej zastrzeżonej dla sprawcy informacji nie jest już czynem zabronionym. Art. 172 z Przepis ten uznawał za jedną z form naruszenia tajemnicy korespondencji podstępne uzyskanie nie przeznaczonej (dla sprawcy) wiadomości nadanej przy użyciu środków telekomunikacji nie obowiązuje. Jeżeli tak się dzieje - zachowanie się sprawcy wyczerpuje znamiona ustawowe przestępstwa z art n.k.k

20 Definicje Systemy informatyczne zagadnienia prawne Art. 268 prawo do integralności informacji integralność (ang. integrity) - cecha danych i informacji oznaczającą ich dokładność i kompletność oraz utrzymywanie ich w tym stanie. 1. Kto, nie będąc do tego uprawnionym, niszczy, uszkadza, usuwa lub zmienia zapis istotnej informacji albo w inny sposób udaremnia lub znacznie utrudnia osobie uprawnionej zapoznanie się z nią, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat Jeżeli czyn określony w 1 dotyczy zapisu na komputerowym nośniku informacji, sprawca podlega karze pozbawienia wolności do lat Kto, dopuszczając się czynu określonego w 1 lub 2, wyrządza znaczną szkodę majątkową, podlega karze pozbawienia wolności do lat Definicje Systemy informatyczne zagadnienia prawne Art. 269 prawo do dostępności informacji dostępność (ang. availability) - właściwość danych, informacji oraz systemów informatycznych, dzięki której są one osiągalne i mogą być używane w każdym czasie i w wymagany sposób. Sabotaż komputerowy. 1. Kto, na komputerowym nośniku informacji, niszczy, uszkadza, usuwa lub zmienia zapis o szczególnym znaczeniu dla obronności kraju, bezpieczeństwa w komunikacji lub funkcjonowania administracji rządowej lub samorządowej albo zakłóca lub uniemożliwia automatyczne gromadzenie lub przekazywanie takich informacji, podlega karze pozbawienia wolności od 6 miesięcy do lat Tej samej karze podlega, kto dopuszcza się czynu określonego w 1, niszcząc albo wymieniając nośnik informacji lub niszcząc albo uszkadzając urządzenie służące automatycznemu przetwarzaniu, gromadzeniu lub przesyłaniu informacji Systemy informatyczne zagadnienia prawne Systemy informatyczne zagadnienia prawne Art fałszerstwo Sankcjonuje fałszerstwo dokumentu dokonane przez osobę, która "podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa]". Zgodnie z art przepis ten dotyczy także dokumentów elektronicznych. Przewiduje karalność wszelkich form wpływania na dane stanowiące dokument elektroniczny, odnosząc się tym samym do autentyczności i integralności danych. Art sankcjonuje poświadczenie nieprawdy w dokumencie co do okoliczności mającej znaczenie prawne przez uprawnioną osobę. Art. 272 i 273 przewidują karę za wyłudzanie poświadczenia nieprawdy poprzez wprowadzenie w błąd osoby upoważnionej do wystawienia dokumentu, a także karalność używania takiego dokumentu. Zgodnie z art. 274, karalne jest zbywanie własnego lub cudzego dokumentu stwierdzającego tożsamość (np. dokument podpisany sygnaturą cyfrową). Art odnosi się do posługiwania się, kradzieży oraz przywłaszczenia takiego dokumentu