Acces neautorizat

Acces neautorizat  - acces la informații cu încălcarea autorității oficiale a unui angajat, acces la informații închis accesului public de către persoane care nu au permisiunea de a accesa aceste informații. De asemenea, accesul neautorizat în unele cazuri se numește obținerea accesului la informații de către o persoană care are dreptul de a accesa aceste informații într-o cantitate ce depășește cea necesară îndeplinirii atribuțiilor oficiale.

Document de orientare al Comisiei Tehnice de Stat „Protecția împotriva accesului neautorizat. Termeni și definiții” Copia de arhivă din 10 octombrie 2019 pe Wayback Machine (aprobată prin decizia președintelui Comisiei Tehnice de Stat a Rusiei din 30 martie 1992) interpretează definiția puțin diferit:

Acces neautorizat la informații (UAS)  - acces la informații care încalcă regulile de control al accesului folosind instrumente standard furnizate de tehnologia informatică sau sistemele automate.

Accesul neautorizat poate duce la scurgeri de informații .

Cauzele accesului neautorizat la informații

• erori de configurare ( drepturi de acces , firewall -uri , restricții privind caracterul de masă al interogărilor către baze de date ),
• securitate slabă a instrumentelor de autorizare (furt de parole , carduri inteligente , acces fizic la echipamente prost păzite , acces la locurile de muncă deblocate ale angajaților în absența angajaților);
• erori de software ,
• abuz de autoritate (furt de copii de rezervă, copierea informațiilor pe medii externe cu drept de acces la informații),
• Ascultarea canalelor de comunicare atunci când utilizați conexiuni nesecurizate în LAN ,
• Utilizarea de keylogger, viruși și troieni pe computerele angajaților pentru impersonalizare .

Modalități de comitere a accesului ilegal la informațiile computerizate

Modalitatea de săvârșire a infracțiunii de acces neautorizat  reprezintă metodele și metodele pe care le folosesc făptuitorii la comiterea unei fapte periculoase din punct de vedere social.

În literatura de specialitate [1] , există diverse clasificări ale metodelor de comitere a infracțiunilor informatice:

1. Metode de pregătire (corespunde conceptului de drept penal de „ pregătire pentru o infracțiune ”):
   • Colectare de informatii;
   • Interceptarea mesajelor de e-mail;
   • Facerea unei cunoștințe;
   • Interceptarea mesajelor pe canalele de comunicare;
   • Furtul de informații;
   • Mită și extorcare.
2. Metode de penetrare (corespunde conceptului penal de „ tentativă de infracțiune ”):
   • Intrare directă în sistem (prin enumerarea parolelor);
   • Obținerea parolelor;
   • Exploatarea punctelor slabe ale protocoalelor de comunicare.

Unii autori [2] oferă o clasificare în funcție de scopurile urmărite de infractor într-un anumit stadiu al infracțiunii:

1. Tactic - conceput pentru a atinge obiective imediate (de exemplu, pentru a obține parole);
2. Strategic - vizează implementarea unor obiective de anvergură și sunt asociate cu pierderi financiare mari pentru sistemele informatice automatizate.

Un alt autor [3] identifică cinci moduri de comitere a accesului ilegal la informațiile computerizate :

1. Utilizarea directă a exact computerului care stochează și prelucrează în mod autonom informații de interes pentru infractor;
2. Conexiune ascunsă a computerului unui criminal la un sistem informatic sau la o rețea de utilizatori legitimi prin canale de rețea sau comunicații radio;
3. Căutarea și utilizarea vulnerabilităților în protejarea sistemelor și rețelelor informatice împotriva accesului neautorizat la acestea (de exemplu, lipsa unui sistem de verificare a codului);
4. Modificarea sau adăugarea latentă a programelor de calculator care funcționează în sistem;
5. Utilizarea ilegală a programelor universale utilizate în situații de urgență.

Există o clasificare mai stabilită a metodelor, după care se ghidează majoritatea autorilor [1] și care este construită pe baza unei analize a legislației străine. Această clasificare se bazează pe metoda utilizării anumitor acțiuni de către un infractor care vizează obținerea accesului la echipamente informatice cu diferite intenții:

1. Metode de interceptare a informațiilor;
2. Metoda de acces neautorizat;
3. metoda de manipulare;
4. Metode complexe.

Consecințele accesului neautorizat la informații

În literatura de specialitate [1] , pe lângă copia de arhivă din 6 aprilie 2016 , specificată la articolul 272 din Codul penal al Federației Ruse privind Wayback Machine , se propune o clasificare mai generală a posibilelor consecințe ale acestei infracțiuni:

1. Încălcarea funcțiilor. Include patru tipuri:
   • Încălcări temporare care conduc la confuzii în programul de lucru, programul anumitor activități etc.;
   • Indisponibilitatea sistemului pentru utilizatori;
   • Hardware deteriorat (reparabil și irecuperabil);
   • Coruperea software-ului
2. Pierderea unor resurse semnificative;
3. Pierderea utilizării exclusive;
4. Încălcarea drepturilor (drept de autor, conexe, brevet, inventiv).

De asemenea, consecințele accesului neautorizat la informații sunt:

• scurgerea datelor cu caracter personal (angajații companiei și organizațiile partenere),
• scurgerea de secrete comerciale și de know-how ,
• scurgere de corespondență de birou
• scurgerea secretelor de stat ,
• privarea totală sau parțială a sistemului de securitate al companiei.
• scurgere de informații exacte

Prevenirea scurgerilor

Pentru a preveni accesul neautorizat la informații, se utilizează software și hardware, de exemplu, sistemele DLP .

Legislație

Legea SUA privind frauda și abuzul pe computer a fost criticată pentru că este vagă, permițând încercările de a-l folosi pentru a interpreta drept acces neautorizat (cu pedepse de până la zeci de ani de închisoare) o încălcare a condițiilor de utilizare ( ing . ). .  termeni și condiții ) ai unui sistem informatic (de exemplu, site-ul web). [4] [5] A se vedea și: Malware#Legal , Schwartz, Aaron , United States v. Lori Drew .

Vezi și

• Securitate în rețele ad-hoc fără fir
• Hacking de software
• Drepturi de acces

Note

1. ↑ 1 2 3 Mazurov V.A. Aspecte juridice penale ale securității informațiilor. - Barnaul: [[Editura Universității Altai (editura) |]], 2004. - S. 92. - 288 p. — ISBN 5-7904-0340-9 .
2. ↑ Okhrimenko S.A., Cherney G.A. Amenințări de securitate la adresa sistemelor informatice automatizate (abuz de software) // NTI. Ser.1, Org. și metodologie informează. munca: revista. - 1996. - Nr 5 . - S. 5-13 .
3. ↑ Skoromnikov K.S. Ghidul anchetatorului. Investigarea crimelor de pericol public crescut / Dvorkin A.I., Selivanov N.A. - Moscova: Liga Mind, 1998. - S. 346-347. — 444 p.
4. ↑ Ryan J. Reilly. Zoe Lofgren prezintă „Legea lui Aaron” pentru a onora Swartz pe Reddit . The Huffington Post / AOL (15 ianuarie 2013). Consultat la 9 martie 2013. Arhivat din original pe 11 martie 2013. (nedefinit)
5. ↑ Tim Wu . Fixing the Worst Law in Technology , News Desk Blog , The New Yorker . Arhivat din original pe 27 martie 2013. Preluat la 28 martie 2013.