Несанкционированный доступ к данным (НСД) – это нормативно-правовое понятие, нашедшее отражение в законодательстве. А также риск в области информационной безопасности, с которым приходится бороться организациям. Иногда после выявления инцидентов, связанных с НСД, дело передают правоохранительным органам, которым необходимо найти виновного, привлечь к ответственности и обязать возместить причиненный ущерб.

Понятие НСД

Необходимо различать НСД как явление, часто встречающееся в практике и составляющее большую часть инцидентов информационной безопасности, и НСД, носящий характер преступления и преследуемый по закону.

Понятие НСД и особенности защиты информационных систем от него можно найти в руководящем документе ФСТЭК, утвержденном еще в 1992 году, – Концепции защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. 

Документ определяет:

• принципы защиты от НСД, рассматриваемые в двух плоскостях – защита оборудования и защита баз данных; 
• построение модели угроз;
• способы осуществления несанкционированного доступа;
• основные методы борьбы с ним;
• действия компаний в области защиты от НСД.

Концепция является базовым методическим документом, на основе которого организации различных типов разрабатывают собственные методики обеспечения безопасности информации.

Невнимательное отношение компаний к проблемам НСД упрощает инсайдерам и внешним злоумышленникам получение доступа к защищаемым данным. 

Среди слабых мест в системе информационной безопасности организации:

• некорректная или неверная система настройки дифференцированного доступа;
• проблемы с обеспечением авторизации – легко подбираемые при помощи простых программ или передаваемые пользователями друг другу пароли, неуничтожение учетной записи после увольнения пользователя, отсутствие контроля за удаленным доступом;
• устаревшее ПО, использование нелицензионных версий, конфликты различных приложений;
• отсутствие внутренних регламентов, отказ от соблюдений рекомендаций ФСТЭК;
• уязвимые каналы связи;
• отсутствие системы контроля доступа на объект;
• неразработанная система рангов для сотрудников с доступом к охраняемой законом информации.

Для автоматизированного анализа и аудита файловой системы предприятия, поиска нарушений прав доступа и отслеживания изменений в критичных данных можно использовать «СёрчИнформ FileAuditor».   

В итоге несанкционированный доступ становится возможным, происходит уничтожение или копирование данных, совершается преступление, причиняющее материальный и репутационный вред организации.

Защита от несанкционированного доступа осуществляется в рамках законодательства. Уголовное право уточняет формулировку НСД. Если несанкционированный доступ к данным является риском в области информационной безопасности, то неправомерный становится преступлением (ст. 272 УК РФ). Наказание последует тогда, когда НСД повлек за собой изменение, уничтожение, копирование информации. В Методических рекомендациях по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации, утвержденных Генеральной прокуратурой РФ, неправомерность определяется как доступ к данным лица, не обладающего полномочиями, предоставленными ему законом, или собственником сведений. Доступ – это проникновение к источнику информации с использованием материальных или интеллектуальных средств. Использование вредоносных программ будет признано применением интеллектуальных средств, если итогом станет уничтожение или копирование данных. 

Существует два дополнительных условия признания НСД преступлением:

• информация должна относиться к категории, защищаемой законом, например, к государственной или коммерческой тайне, служебной тайне, персональным данным;
• в организации должно быть обеспечено применение специальных средств защиты информации от несанкционированного доступа.
• Обязательно должны быть зафиксированы такие признаки преступления, как копирование, модификация или уничтожение информации. При этом возможность восстановления уничтоженных данных не рассматривается. Под модификацией понимается в том числе изменение пароля к учетной записи, что чаще всего применяется для пользования чужими личными кабинетами в интернет-магазинах или аккаунтами в сетевых играх.

Расследование случаев НСД производится в рамках принятых в организации процедур, если действие не попадает под признаки преступления, или правоохранительными органами по утвержденным регламентам. В судебной практике большинство дел, связанных с НСД, относятся к категории хищения или подмены паролей, несанкционированного копирования персональных данных и передачи их третьим лицам. Иногда к ответственности привлекаются операторы, вносящие измененные данные в лицевые счета клиентов. Серьезных случаев и громких расследований крайне мало, это обусловлено спецификой преступления и сложностью его выявления и расследования без специального ПО.

Расследование НСД

Методика Генпрокуратуры предлагает следственным органам действовать по следующему алгоритму:

• установить, что преступление было совершено в действительности. Это фиксирует пострадавшая организация или выявляют правоохранительные органы в ходе оперативно-розыскных мероприятий;
• определить место и время совершения НСД. Изучаются представленные доказательства, проводится экспертиза;
• определить круг подозреваемых. По возможности используются материалы ранее проведенного служебного расследования;
• определить действительный объем причиненного ущерба, провести его стоимостную оценку. К этому привлекаются профильные специалисты.

Расследование обязано установить, были ли внедрены в компании требуемые меры защиты и другие обстоятельства:

• принятые в организации способы идентификации и авторизации пользователей, как именно они использовались в отношении лиц, относящихся к кругу подозреваемых;
• как осуществляются записи о действиях пользователя в журналах учета;
• существует ли возможность при помощи внедренных в организации средств мониторинга смоделировать действия пользователя;
• выявляется возможность внешнего доступа к данным и наличие признаков такого внешнего вмешательства.

Этот механизм позволяет понять, действительно ли имел место факт НСД и со стороны кого он мог произойти. Технически изучается:

• насколько замкнута программная среда, какие санкционированные и несанкционированные процессы в ней происходят;
• как реализовано управление доступом к информационным ресурсам для привилегированных процессов;
• как получают доступ к ресурсам виртуальные серверы;
• как разделяют идентифицируемые и скрытые процессы.

На основании анализа данных удается установить участников процесса несанкционированного доступа к информации и определить роль каждого из них, степень его ответственности. 

В процессе расследования:

• проводятся аппаратные и программные экспертизы;
• моделируются этапы совершения нарушения;
• выявляются недостающие звенья в цепочке доказательств;
• собираются улики. Проблемой может стать намеренное удаление информации, в этом случае при помощи таких средств, как R-studio, UFS Explorer, Belkasoft, AccessData, EnCase производится восстановление удаленных данных.

Чем сложнее архитектура информационной системы, тем больше доказательств она предоставит следователям. Существует специальное ПО для расследования преступлений в сфере информационной безопасности. Оно позволяет смоделировать преступление, найти и изучить доказательства. 

Основные трудности, возникающие при расследовании случаев НСД

Наибольшей проблемой при расследовании становится недостаточная квалификация специалистов правоохранительных органов, часто даже не умеющих правильно сформулировать вопросы, которые ставятся эксперту. Существующие методики не решают задачу ввиду массовости явления и привлечения к расследованию неспециализированных подразделений МВД. Не более 5 % сотрудников МВД, привлекаемых к расследованию, имеют дополнительное образование в сфере компьютерной безопасности. В 67 % случаев знакомство сотрудника правоохранительных органов с компьютером находится на уровне обычного пользователя.

Второй серьезной проблемой при проведении расследования случаев несанкционированного доступа к данным становится сложность с назначением экспертизы. Из-за роста числа компьютерных преступлений большинство государственных экспертно-криминалистических лабораторий перегружены. Постановка правильных вопросов эксперту для большинства следователей затруднена, а вызвать специалиста на место преступления часто не представляется возможным. При этом иногда допускаются такие ошибки, как изъятие для передачи эксперту пользовательского компьютера при том, что доказательства хранятся на сервере.

Третий сложный вопрос – низкое качество защиты данных со стороны пострадавшей организации. Большинство возникающих в судебной практике дел, связанных с расследованием НСД, основаны на проникновении в базы данных уволенных сотрудников, логин и пароль которых не были своевременно удалены из информационной системы.

Четвертый – несвоевременное уведомление правоохранителей о преступлении. Обычно о нем сообщается через 7-10 дней после фактического выявления, а это приводит к утрате большинства доказательств.

Общие системные проблемы при раскрытии случаев несанкционированного доступа к данным:

• отсутствие обобщения следственной и судебной практики;
• недостаточная проработанность методических рекомендаций;
• невысокий опыт и подготовка следователей.

Эксперты считают, что решением проблемы станет разработка программы повышения квалификации следователей на базе профильных вузов и специализированного программного обеспечения. Пока в базе судебных дел чаще можно найти не серьезные преступления, а привлечение к ответственности молодых людей, взломавших чужую учетку в World of Tanks для получения премиального аккаунта и танка.

02.11.2020