Методи та засоби захисту інформації від загроз по каналу нав’язування
Вступ
В умовах глобалізації сучасного суспільства, в обстановці зростаючих загроз тероризму та інших викликів стабільності в міждержавних, міжетнічних, міжрелігійних і інших формах взаємовідносин суспільно-політичних груп, ідентифікація маніпуляції свідомістю людей з застосуванням інформаційно-психологічних способів, методів і прийомів, стає однією з найважливіших складових у прийнятті рішень щодо забезпечення інформаційної безпеки як індивіда, так і соціальної групи та держави в цілому. Оцінка змісту інформаційних матеріалів на достовірність здійснюється через оцінку самої інформації, оцінку проблеми, якої стосуються відомості, та оцінку інформації на повноту.
Проблема захисту інформації: надійне забезпечення її збереження і встановлення статусу використовування — є однією з найважливіших проблем сучасності.
Цілями системи захисту інформації підприємства є:
— запобігання витоку, розкраданню, втраті, спотворенню, підробці інформації;
— запобігання погрозам безпеці особи, підприємства, суспільства, держави;
— запобігання несанкціонованим діям із знищення, модифікації, спотворення, копіювання, блокування інформації;
— запобігання іншим формам незаконного втручання в інформаційні ресурси і системи, забезпечення правового режиму документованої інформації як об’єкту власності;
— захист конституційних прав громадян на збереження особистої таємниці і конфіденційності персональних даних, наявних в інформаційних системах;
— збереження, конфіденційності документованої інформації відповідно до законодавства.
1. Основні випадки нав’язування вигаданої інформації
Поширення мас-медіа вигаданої інформації є абсолютно неприпустимим. Журналістика існує задля інформування суспільства про події, явища та процеси, що дійсно відбуваються.
Рис. 1. Основні поняття інформаційної безпеки
Маніпулювання громадською думкою через поширення неправдивої інформації вже, власне, не є журналістикою. Ті, хто це роблять, втрачають право називатися журналістами. Випадки поширення вигаданої інформації, на жаль, не є поодинокими. В Україні вони взагалі вважаються одним з елементів PR-компаній і широко використовуються політтехнологами для дискредитації політичних та бізнесових опонентів [10, c. 47].
Найбільш невинні це поширення штучних рейтингів, де «свій» кандидат лідирує, а суперники набагато відстають від нього. Цей, так званий соціологічний, PR досить небезпечне явище. Справа в тому, що люди часто підсвідомо схильні голосувати так, як це роблять інші. Отже, рейтинги, які фіксують перевагу одного з кандидатів, додають йому кілька відсотків голосів при реальному волевиявленні.
Часто вигадану інформацію використовують для просування чи збільшення обсягу продажу певних товарів.
Часто для дезінформації використовують інтернет-медіа. Через це в багатьох поважних газетах та телекомпаніях взагалі заборонено користуватися інтернет-джерелами та посилатися на них. Якщо інформація явно сфабрикована, то її «вкидають» ненадовго, щоб на неї мали послатися газети та телерадіокомпанії. що беруть участь у спецоперації з дискредитації певного політика чи товару.
Новим видом порушення, що пов’язаний з Інтернетом, є запуск сфальсифікованих повідомлень нібито від інформаційних агентств. Наприклад, у розпал президентської компанії в Росії 1996 р. до західних країн надійшло повідомлення від імені агентства ІМА-ПРЕС про смерть президента Б. Єльцина. Агентство в одному з випусків мусило офіційно спростовувати це повідомлення і розцінило його як провокацію. Від імені цього ж агентства московським мас-медіа і банківським структурам було розіслано сфальсифіковане повідомлення про «наїзд» на один із банків. А за наступне втручання хакерів у мережу ІМА-ПРЕС довелося відповідати волгоградській газеті «Молодежный курьер». Справа в тому, що у сфальсифікованій інформації, яка надійшла до газети електронною поштою нібито від ІМА-ПРЕС, містилися наклепницькі відомості про тодішнього астраханського губернатора. Газета вимушена була виплатити губернатору 10 млн рублів і надрукувати спростування. Інший гучний скандал був пов’язаний із сайтом «Коготь-2». На ньому було розміщено інформацію щодо «корупційних» зв’язків «алюмінієвого» магната А. Викова. При цьому жодних доказів таких зв’язків не наводилося. Попри це, скандал широко обговорювався громадськістю Красноярського краю і мав неабиякі наслідки. А. Биков втратив значну частку довіри населення на користь свого опонента. З одного боку, це може викликати подив. Адже кількість користувачів Інтернету залишається незначною. Проте, згідно з теорією багатосходинкового потоку комунікації, саме «лідери думок» в основному формують громадські настрої. Таким чином, роль порівняно дешевих кампаній з пропаганди (часто дезінформації) в Інтернеті важко переоцінити.
Не зважаючи на численні загрози, які можуть виникнути через Інтернет, слід визнати, що Інтернет це засіб спілкування нового століття і перевага в його регулюванні має віддаватися не правовим засобам (законам, нормативним актам тощо), а зусиллям самих користувачів, тобто саморегулюванню [9, c. 102-103].
Інтернет-провайдери вже розпочали процес саморегулювання. Так, у Великій Британії працюють системи саморегулювання в роботі провайдерів Інтернет. Прийнято «Кодекс поведінки» і створено Фонд «Безпечна мережа», який допомагає провайдерам визначитися, є та чи інша інформація незаконною. Саморегулюючим органом Великої Британії є фонд Internet Watch Foundation (IWF), керівництво якого складається з трьох структур. Це політична рада, рада управління (до неї входять провайдери) та директорат.
Згідно зі статистикою міжнародної організації CERT (Computer Emergency Response Team) кількість порушень безпеки постійно зростає. Причому в більшості випадків порушники використовують певні особливості архітектури системи, її реалізації чи прорахунки адміністрування, які при певних обставинах зводять на ніт всі можливості засобів захисту або створюють механізми, що дозволяють діяти в обхід контролю з їхнього боку. Для позначення таких особливостей інформаційних систем, що тягнуть за собою нездатність системи протистояти певному впливу, використовують термін «вразливість». З кожним роком кількість вразливостей зростає, і саме в цьому зростанні полягає найбільша загроза для інформаційних технологій майбутнього.
Рис. 2 Класичні загрози безпеки інформації
Загроза конфіденційності полягає в порушенні встановлених обмежень на доступ до інформації. Загроза цілісності — несанкціонована зміна інформації. Загроза доступності інформації здійснення, коли несанкціоновано блокується доступ до інформації (блокування може бути постійним або на деякий час, достатній, щоб інформація стала некорисною). Крім перерахованих загроз виділяють ще одну загрозу, реалізація якої, як правило, передує реалізації будь-якої з класичних загроз .- подолання захисту комп’ютерної системи, виявлення параметрів, функцій і властивостей її системи безпеки [11, c. 65].
Вважається, що поширена про особу негативна інформація є недостовірною. Недостовірну інформацію повинна спростувати особа, яка поширила інформацію.
Поширювачем інформації, яку подає посадова чи службова особа при виконанні своїх посадових (службових) обов’язків, вважається юридична особа, у якої посадова чи службова особа працює.
Якщо особа, яка поширила неправдиву інформацію, невідома, фізична особа, право якої порушено, може звернутися до суду із заявою про встановлення факту неправдивості цієї інформації та її спростування.
Якщо недостовірна інформація міститься в документі, який прийняла (видала) юридична особа, цей документ має бути відкликанні!.
Законом передбачається також, що фізична особа, особисті немайнові права якої порушено у друкованих або інших засобах масової інформації, має право на відповідь, а також на спростування недостовірної інформації в тому самому засобі масової інформації в порядку, встановленому законом.
Якщо відповідь та спростування в тому ж засобі масової інформації неможливе у зв’язку з припиненням його існування, така відповідь та спростування мають бути оприлюднені в іншому засобі масової інформації за рахунок особи, яка поширила неправдиву інформацію. Особливість застосування вказаного способу захисту полягає в тому, що спростування неправдивої інформації здійснюється незалежно від вини скоби, яка її поширила, а також у тому, що спростовується неправдива інформація в такий самий спосіб, як була поширена [2, c. 47].
2. Засоби захисту від неправдивої нав’язаної інформації
Сучасне суспільство характеризується високим рівнем інформатизації, і це робить його залежним від захищеності інформаційних технологій. Комп’ютерні системи та телекомунікації забезпечують надійність функціонування величезної кількості інформаційних систем самого різного призначення.
Рис. 3 Загальна модель системи захисту інформації
Засоби захисту інформації можна розділяти на наступні категорії:
— засоби власного захисту;
— засоби захисту як частина обчислювальної системи;
— засоби захисту із запитом інформації;
— засоби активного захисту;
— засоби пасивного захисту.
Найбільш надійними являються криптографічні методи захисту інформації, що відносяться до класу засобів захисту із запитом інформації.
Криптографічний захист – це захист даних за допомогою криптографічного перетворення: кодування та шифрування. Для кодування використовуються кодувальні книги і таблиці, що вміщують набори часто використовуваних фраз, кожній з яких відповідає кодове слово. Для декодування використовується така ж книга.
Другий тип криптографічного перетворення – шифрування – представляє собою процедуру (алгоритм) перетворення символів вихідного тексту до форми, недоступної для розпізнання (зашифрований текст).
Під шифром розуміють сукупність перетворень множини відкритих даних на множину зашифрованих, заданих алгоритмом криптографічного перетворення. В шифрі завжди розрізняють два елемента: алгоритм і ключ [13, c. 159].
Для сучасних криптографічних систем захисту інформації сформульовані наступні загальноприйняті вимоги:
— зашифроване повідомлення повинно піддаватись читанню тільки при наявності ключа;
— число операцій, необхідних для визначення використаного ключа шифрування по фрагменту повідомлення і відповідного йому відкритого тексту, повинно бути не менше загального числа можливих ключів;
— число операцій, необхідних для розшифрування інформації шляхом перебору можливих ключів повинно мати строгу нижню оцінку і виходити за межі можливостей сучасних комп’ютерів ( із врахуванням можливості використання мережних обчислень);
— знання алгоритму шифрування не повинно впливати на надійність захисту;
— незначна зміна ключа повинна приводити до значної зміни виду зашифрованого повідомлення навіть при використанні одного і того ж ключа;
— структурні елементи алгоритму шифрування повинні бути незмінними;
— додаткові біти, що вводяться до повідомлення в процесі шифрування, повинні бути повністю і надійно заховані у шифрованому тексті;
— довжина зашифрованого тексту має дорівнювати довжині вихідного тексту;
— не повинно бути простих і легко установлювальних залежностей між ключами, що послідовно використовуються в процесі шифрування;
— кожний ключ із множини можливих повинен забезпечувати надійний захист інформації;
— алгоритм має допускати як програмну, так і апаратну реалізацію, при цьому зміна довжини ключа не повинна приводити до якісного погіршення алгоритму шифрування [15, c. 222-223].
Висновки
Забезпечення інформаційної безпеки традиційно розглядається як сукупність чисто оборонних заходів. Характерними прикладами оборонних заходів, використовуваних для захисту комунікаційних мереж, є міжмережеві екрани, шифрування і системи виявлення вторгнень (Intrusion Detection Systems, IDS). Стратегія будується на класичній парадигмі забезпечення безпеки «захищай, виявляй, виправляй». При такому підході виникає проблема, пов’язана з тим, що ініціатива належить атакуючому, який завжди виявляється на крок попереду. За останні декілька років стає все більш очевидним, що традиційні прийоми мережевого захисту ефективні лише в певних межах. Відповідно необхідні нові методи посилення захисту мереж. Одним з перспективних підходів є використовування приманок — комп’ютерних ресурсів, що знаходяться під постійним спостереженням, які ми дозволяємо випробовувати на міцність, атакувати і зламувати. Точніше кажучи, приманка є «елементом інформаційної системи, цінність якого полягає у тому, що він дозволяє вести моніторинг несанкціонованого або протиправного використовування даного елементу». Моніторинг даних, що поступають на приманку і покидають її, дозволяє зібрати відомості, які не можна добути за допомогою IDS. Приманки володіють двома додатковими перевагами: масштабованістю і легкістю в обслуговуванні.
Таким чином, на сьогоднішній день пропонується безліч способів забезпечення безпеки інформації, але не всі вони є ефективними. Відомо, що тільки «комплексна система може гарантувати досягнення максимальної ефективності захисту інформації, оскільки системність забезпечує необхідні складові захисту і встановлює між ними логічний і технологічний зв’язок, а комплексність, що вимагає повноти цих складових, всеосяжності захисту, забезпечує її надійність»
Список використаної літератури
- Богуш В. Інформаційна безпека держави/ Володимир Богуш, Олександр Юдін,; Гол. ред. Ю. О. Шпак. -К.: «МК-Прес», 2005. -432 с.
- Бондарь И. Проблемы информационной безопасности в условиях переходного общества // Персонал. — 2003. — № 8. — C. 47-48.
- Борсуковский Ю. Подходы и решения : Информационная безопасность // Мир денег. — 2001. — № 5. — C. 41-42
- Горбатюк О.М. Сучасний стан та проблеми інформаційної безпеки України на рубежі століть // Вісник Київського університету імені Т.Шевченка. — 1999. — Вип. 14: Міжнародні відносини. — C. 46-48
- Гуцалюк М. Інформаційна безпека України: нові загрози // Бизнес и безопасность. — 2003. — № 5. — C. 2-3
- Захаров Е. Информационная безопасность или опасность отставания?// Права людини. — 2000. — № 1 . — C. 3-5
- Інформаційна безпека України: проблеми та шляхи їх вирішення // Національна безпека і оборона. — 2001. — № 1. — C. 60-69
- Катренко А. Особливості інформаційної безпеки за міжнародними стандартами // Альманах економічної безпеки. — 1999. — № 2. — C. 15-17
- Кормич Б. Інформаційна безпека: організаційно-правові основи: Навчальний посібник/ Борис Кормич,. -К.: Кондор, 2005. -382 с.
- Литвиненко О. Інформація і безпека // Нова політика. — 1998. — № 1. — C. 47-49.
- Маракова І. Захист інформації: Підручник для вищих навчальних закладів/ Ірина Маракова, Анатолій Рибак, Юрій Ямпольский,; Мін-во освіти і науки України, Одеський держ. політехнічний ун-т, Ін-т радіоелектроніки і телекомунікацій . -Одеса, 2001. -164 с.
- Пилипенко О. Формула безопасности : Информационная безопасность// CHIP. — 2005. — № 12. — C. 72-73
- Правове забезпечення інформаційної діяльності в Україні/ Володимир Горобцов, Андрій Колодюк, Борис Кормич та ін.; Ред. І. С. Чиж; Ін-т держави і права ім. В.М.Корецького, Нац. Академія Наук України, Держ. комітет телебачення і радіомовлення України. -К.: Юридична думка , 2006. -384 с.
- Система забезпечення інформаційної безпеки України // Національна безпека і оборона. — 2001. — № 1. — C. 16-28
- Щербина В. М. Інформаційне забезпечення економічної безпеки підприємств та установ // Актуальні проблеми економіки. — 2006. — № 10. — C. 220 — 225.