Тема правонарушений, так или иначе связанных с информационными технологиями, очень обширна. К сожалению, с каждым днём мы узнаем о новых видах мошенничества и преступлений в сфере высоких технологий, а законодательство, даже в наиболее развитых странах, в лучшем случае отражает ситуацию 2–3-летней давности. С другой стороны, имеющиеся законы действуют недостаточно эффективно. Так, в США, несмотря на принятый два года назад закон “CAN-SPAM”, предусматривающий суровую ответственность за распространение спама, количество нежелательной почты не уменьшилось.

В Украине законодательство в сфере информационных технологий находится в зачаточном состоянии, тем не менее и в нём есть “компьютерные статьи”, и они уже во всю применяются.

Учитывая целевую аудиторию издания, в статье затрагиваются некоторые правонарушения, свойственные корпоративному сектору, и сознательно опускаются “шалости школьников”, выходящих в интернет под чужими именами и паролями или сканирующих порты своего провайдера, хотя и за это может наступить нешуточная ответственность.

Рассмотренные ниже три типа правонарушений можно отнести к наиболее часто встречающимся и актуальным для предприятий с развитой информационной инфраструктурой. Также в каждом из случаев рассмотрены возможные меры по профилактике данного вида правонарушений.

Утечка конфиденциальной информации

У каждой компании есть свои секреты. У кого-то это ноу-хау, позволяющие оптимизировать производство, у кого-то база данных клиентов. Если такая информация попадёт в руки конкурентов, последствия могут быть весьма плачевными. Кроме собственно материальных потерь страдает имидж компании, а иногда утечка данных может привести и к банкротству. Примером может служить громкий скандал, связанный с хищением летом 2005 года около 40 млн. номеров кредитных карт VISA, MasterCard и American Express из сети американской компании CardSystems Solutions, занимавшейся обработкой платёжных данных карточных систем. Вскоре после скандала все договора с CardSystems Solutions были расторгнуты, и компания разорилась. И хотя пресса пестрит сообщениями об атаках неких неуловимых хакеров, основной канал утечки информации — это, безусловно, инсайдеры, то есть сотрудники компании, имеющие доступ к целевой информации в силу своих обязанностей. Мотивами, побуждающими сотрудников к такому шагу, скорее всего, являются денежные вознаграждения конкурентов или личные обиды на предприятие и собственное руководство.

Ответственность за хищение информации из информационной сети компании может наступить по статьям УК 232 и 362.

Основными методами предотвращения подобных действий являются разъяснение ответственности сотрудника за подобные правонарушения, чёткая классификация используемой в компании информации и, безусловно, здоровая моральная обстановка в коллективе. Однако не стоит пренебрегать и техническими методами защиты информации. Современные средства позволяют контролировать не только разрешения на использование каналов, через которые информация может покинуть границы предприятия (e-mail, web, мобильные накопители типа USB-дисков), но также контролировать содержание копируемых документов и оперативно помещать подозрительные документы в карантин, для проведения расследования. Не стоит также отказываться от средств шифрования документооборота, переносных устройств и носителей. Ущерб от похищенного ноутбука с зашифрованной информацией, скорее всего, ограничится только стоимостью самого ноутбука.

Однако если руководством было принято решение проводить перлюстрацию электронной почты и прочих сообщений сотрудника, во избежание возможных разбирательств в трудовом соглашении следует указать, что информация, каналы связи и вычислительная техника являются собственностью компании и могут сканироваться без предварительного согласия пользователя.

Саботаж или умышленное вредительство

Следующей крупной проблемой может стать умышленное вредительство со стороны обиженных по тем или иным причинам сотрудников. Особенно остро этот вопрос касается администраторов и технического персонала ИТ-отдела. Если простой работник имеет доступ только к части данных и ограниченному числу персональных компьютеров, то сетевой администратор, как правило, имеет неограниченный доступ к серверам, базам данных, каналам связи, активному оборудованию и резервным копиям и при желании способен легко парализовать работу предприятия.

Саботаж в сфере ИТ может квалифицироваться по статье УК 361.

Как избежать такой ситуации? Прежде всего, следует разъяснить возможные правовые последствия за подобные действия и закрепить ответственность за соответствующие системы в должностной инструкции. Также не стоит “класть все яйца в одну корзину” — сосредотачивать все административные права в руках одного, пусть даже очень одарённого сотрудника. Правильной практикой является наличие в организации должности “офицера безопасности”. Именно ему должен предоставляться эксклюзивный доступ к журналам, в которых зафиксирована активность администраторов и права на управление системой ограничения прав администраторов. Кроме того, для крупных организаций со сложной ИТ-инфраструктурой можно посоветовать внедрение систем, позволяющих проводить расследования инцидентов информационной безопасности. Такие продукты на основании записей в журнальных файлах, зачастую в совершенно нечитаемом формате, строят понятную картину событий, предшествовавших тому или иному инциденту.

Использование нелицензионного ПО

Не будет преувеличением сказать, что компаний, имеющих 100% лицензионно чистый пакет используемого ПО, в нашей стране единицы. Такая ситуация сложилась исторически и может иметь множество оправданий, однако для суда все они не подходят. И если во всех предыдущих примерах руководителю нужно было опасаться только за бизнес, то в данном случае ответственность может наступить в том числе и для руководителя, закрывающего глаза на “лицензионный вопрос”.

За использование нелицензионного ПО ответственность может наступить по статье УК 176.

Следует заметить, что до 2003 года нарушение авторских прав считалось преступлением небольшой тяжести и наказывалось по максимуму лишением свободы на срок до 2-х лет. Это значит, что при определённых обстоятельствах (деятельное раскаяние, помощь следствию и полная компенсация убытков, понесённых правообладателем) уголовное преследование могло быть прекращено. С принятием Закона Украины “О внесении изменений в некоторые законодательные акты Украины, касающиеся правовой охраны интеллектуальной собственности” (№ 850 — IV от 22.05.03 г.) преступление по этой статье классифицируется как преступление средней тяжести и, соответственно, не может быть прекращено.

Что же делать, чтобы избежать столь суровой ответственности? К сожалению, тут выход только один — за ПО надо платить. Есть, конечно, вариант перехода на бесплатные программы, хотя полная миграция на сегодняшний день видится маловероятной.

Но и с платным ПО всё не так плохо. У многих производителей программных средств существуют специальные тарифы для крупных корпоративных пользователей, позволяющие значительно снизить затраты при больших закупках. Некоторые производители вводят программы льготной легализации уже установленного ПО, когда покупатель платит лишь малую часть стоимости используемых программных продуктов.

Появляются и совсем уж экзотические программы. Так, в Англии компания Disclic объявила о начале продаж бывших в употреблении оптовых лицензий на продукцию Microsoft. Таким образом, обанкротившееся предприятие может продать имеющиеся у него лицензии, а компания Disclic перепродать их со значительной скидкой. Представители компании Microsoft подтвердили, что такая практика не нарушает лицензионных соглашений.

Но и после полной легализации ПО расслабляться не стоит. Сотрудники компании часто самостоятельно устанавливают программы на свою рабочую станцию. Лучшим решением этой проблемы является лишение пользователя администраторских прав и применение средств инвентаризации установленного ПО. 

Автор материала — консультант сектора информационной безопасности компании “БМС Консалтинг”

Стаття 176

Порушення авторського права і суміжних прав

1. Незаконне відтворення, розповсюдження творів науки, літератури і мистецтва, комп'ютерних програм і баз даних, а так само незаконне відтворення, розповсюдження виконань, фонограмм, відеограм і програм мовлення, їх незаконне тиражування та розповсюдження на аудіо- та відеокасетах, дискетах, інших носіях інформації, або інше умисне порушення авторського права і суміжних прав, якщо це завдало матеріальної шкоди у великому розмірі, — караються штрафом від двохсот до тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або позбавленням волі на той самий строк, з конфіскацією всіх примірників творів, матеріальних носіїв комп'ютерних програм, баз даних, виконань, фонограм, відеограм, програм мовлення та знарядь і матеріалів, які спеціально використовувались для їх виготовлення.

2. Ті самі дії, якщо вони вчинені повторно або за попередньою змовою групою осіб, або завдали матеріальної шкоди в особливо великому розмірі, — караються штрафом від тисячі до двох тисяч неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або позбавленням волі на строк від двох до п'яти років, з конфіскацією всіх примірників творів, матеріальних носіїв комп'ютерних програм, баз даних, виконань, фонограм, відеограм, програм мовлення та знарядь і матеріалів, які спеціально використовувались для їх виготовлення.

3. Дії, передбачені частинами першою або другою цієї статті, вчинені службовою особою з використанням службового становища щодо підлеглої особи, — караються штрафом від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян або арештом на строк до шести місяців або обмеженням волі на строк до двох років, з позбавленням права обіймати певні посади або займатися певною діяльністю на строк до трьох років.

Примітка. У статтях 176 та 177 цього кодексу матеріальна шкода вважається завданою у великому розмірі, якщо її розмір у двісті і більше разів перевищує неоподатковуваний мінімум доходів громадян, а завданою в особливо великому розмірі — якщо її розмір у тисячу і більше разів перевищує неоподатковуваний мінімум доходів громадян. 

Стаття 361

Незаконне втручання в роботу електронно-обчислювальних машин (комп’ютерІв), систем та комп’ютерних мереж

1. Незаконне втручання в роботу автоматизованих електронно-обчислювальних машин, їх систем чи комп’ютерних мереж, що призвело до перекручення чи знищення комп’ютерної інформації або носіїв такої інформації, а також розповсюдження комп’ютерного вірусу шляхом застосування програмних і технічних засобів, призначених для незаконного проникнення в ці машини, системи чи комп’ютерні мережі і здатних спричинити перекручення або знищення комп’ютерної інформації чи носіїв такої інформації, а так само незаконне втручання в роботу мереж електрозв’язку, що призвело до знищення, перекручення, блокування інформації або до порушення встановленого порядку її маршрутизації, — караються штрафом до сімдесяти неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або обмеженням волі на той самий строк.

2. Ті самі дії, якщо вони заподіяли істотну шкоду або вчинені повторно чи за попередньою змовою групою осіб, — караються штрафом від ста до чотирьохсот неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до п’яти років або позбавленням волі на строк від трьох до п’яти років.

Примітка. Під істотною шкодою, якщо вона полягає в завданні матеріальних збитків, слід розуміти таку шкоду, яка в триста і більше разів перевищує неоподатковуваний мінімум доходів громадян.

Стаття 232

Розголошення комерційної таємниці

Умисне розголошення комерційної або банківської таємниці без згоди її власника особою, якій ця таємниця відома у зв’язку з професійною або службовою діяльністю, якщо воно вчинене з корисливих чи інших особистих мотивів і завдало істотної шкоди суб’єкту господарської діяльності, — карається штрафом від двохсот до п’ятисот неоподатковуваних мінімумів доходів громадян з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років, або виправними роботами на строк до двох років, або позбавленням волі на той самий строк.

Стаття 362

Викрадення, привласнення, вимагання комп’ютерної Інформації або заволодіння нею шляхом шахрайства чи зловживання службовим становищем

1. Викрадення, привласнення, вимагання комп'ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовою особою своїм службовим становищем — караються штрафом від п'ятдесяти до двохсот неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років.

2. Ті самі дії, вчинені повторно або за попередньою змовою групою осіб, — караються штрафом від ста до чотирьохсот неоподатковуваних мінімумів доходів громадян або обмеженням волі на строк до трьох років, або позбавленням волі на той самий строк.

3. Дії, передбачені частинами першою або другою цієї статті, якщо вони заподіяли істотну шкоду, — караються позбавленням волі на строк від двох до п'яти років.

УГРОЗА МЕСЯЦА

Поддельные SSL-сертификаты

За последний год 57 млн. человек подверглись фишинговым атакам, в которых использовались торговые марки 122 известных компаний. На протяжении прошедшего месяца появилась новая разновидность этих угроз. Компания Netcraft сообщает, что при создании фишинга злоумышленники начали применять поддельные сертификаты для SSL-шифрования.

Атакующие используют сертификаты с именами, напоминающими названия известных банков. Вместе с тем, как правило, большинство пользователей не обращают внимания на сообщения браузера о несовпадении сертификатов.

Предупреждения не содержат в достаточной мере определённого текста, чтобы заставить пользователя обратить на него внимание. Обычно браузер предупреждает, что не может проверить подлинность сертификата либо он “не соответствует”. Многие пользователи, даже если просматривают сертификат, не проверяют область применения сертификата или его подпись.

Поскольку фишинг представляет собой одну из разновидностей спама, то и средства борьбы аналогичны. Для решения проблемы с фальсификацией сертификатов можно применять программные антиспам-решения, способные устранять фишинговые угрозы. В Clearswift MIMEsweeper for SMTP 5.0, например, реализован мощный механизм борьбы со спамом. Он соединяет три технологии для создания “ядра знаний” — программы с возможностью самообучения и адаптации под конкретные нужды бизнеса. Каждое входящее сообщение, совпадающее с шаблонами, определёнными в текущем антиспам-профиле, активирует политику защиты, блокируя неблагонадёжные письма “на лету”. MIMEsweeper for SMTP по умолчанию обнаруживает более 98% спама и обеспечивает нулевое количество ложных срабатываний благодаря компоненту Personal Message Manager, что позволяет говорить об эффективной защите от фишинга.

Комментарий эксперта

Андрей Попов, сотрудник службы информационной безопасности “Укрсиббанка”:

Данная проблема не может быть решена исключительно техническими методами, так как в любом случае самым слабым звеном в системе защиты является пользователь.

Для решения проблемы с поддельными сертификатами можно рекомендовать пользователю быть внимательнее при проверке сертификата и ни в коем случае не забывать это делать.

Вместе с тем стоит обратить внимание и на такие, теперь уже стандартные способы защиты, как использование антиспамовых и антивирусных технологий. При этом следует помнить о необходимости регулярного (не реже одного раза в сутки или чаще) обновления антивирусных баз сигнатур и баз антиспамовых продуктов.