Навігація
Головна
ПОСЛУГИ
Авторизація/Реєстрація
Реклама на сайті
 
Головна arrow Політологія arrow Забезпечення інформаційної безпеки держави
< Попередня   ЗМІСТ   Наступна >

Забезпечення кібербезпеки

У червні 2009 року була опублікована Стратегія кібербезпеки Великобританії (UK Cyber Security Strategy), згідно якої при британському уряді був створений Офіс кібербезпеки і гарантування інформації (Office of Cyber Security & Information Assurance – OCSIA) і Центр дій кібербезпеки (Cyber Security Operations Centre – CSOC).

У 2010 р. були прийняті нові варіанти документів "Стратегії національної безпеки" (National Security Strategy) і "Доповіді стратегічної оборони і безпеки" (Strategic Defense and Security Review) Великобританії. Стратегія зарахувала атаки на британський кіберпростір до числа загроз першого порядку, разом з міжнародним тероризмом, широкомасштабними стихійними бідами і військовими діями між державами. А доповідь оголосила про старт "Програми національної кібербезпеки" (National Cyber Security Program), на здійснення якої в найближчі чотири роки буде виділено 630 млн. фунтів стерлінгів і, крім цього, буде створена група кібердій (Cyber Operations Group), яка для вирішення своїх задач повинна консолідувати можливості державного і приватного секторів.

Стратегія кібербезпеки Великобританії (UK Cyber Security Strategy) становить собою рамкову програму дій, направлених на зміцнення національної кібербезпеки, а також підвищення надійності і життєстійкості британського кіберпростору в найближчі 4 роки.

Запропоновані заходи покликані стимулювати подальший розвиток онлайн-бізнесу і зменшити збитки, заподіювані національній економіці кібератаками. На думку авторів Стратегії кібербезпеки, запорукою успіху в реалізації цих цілей є посилення взаємодії державного і приватного секторів. Британці планують удосконалювати роботу на таких напрямах, як стимуляція інформаційного обміну між публічними і приватними структурами, розвиток вітчизняної індустрії мережевого захисту, підготовка спеціалізованих кадрів, стандартизація безпечного ведення бізнесу в Інтернеті, профілактика кіберзлочинів і освіта населення, підвищення ефективності правової бази.

Пропаганду "кібергігієни" та оповіщення про нові Інтернет-загрози планується покласти на урядових і приватних експертів, які зможуть звертатися до аудиторії через соціальні мережі. Щоб допомогти споживачам зорієнтуватися на ринку захисних рішень, в країні пропонується ввести галузевий знак якості – британський уряд готовий до переговорів із стандартизації оцінки таких продуктів на національному, європейському та міжнародному ринку.

Стратегія забезпечення національної кібербезпеки передбачає перегляд "Закону про неправомірне використовування комп'ютерних технологій" (Computer Misuse Act). Особливу увагу планується уділити практичному вживанню діючих статутів. Згідно з британськими законами, суд має право обмежити рецидивісту доступ до Інтернету або накласти заборону на конкретний вид онлайн-діяльності, проте такі запобіжні заходи непопулярні, а нагляд за дотриманням умов звільнення неадекватний. Щоб автоматизувати моніторинг мережевої активності кіберзлочинців, відпущених на свободу з обмеженням в інтернет-правах, запропоновано використовувати спеціальні кібертеги, які спрацьовуватимуть при порушенні діючих обмежень і автоматично оповіщатимуть відповідного контролера.

За оцінкою британців, в успіху 80% сучасніших кібератак винні самі жертви, що не дотримуються елементарних правил самозахисту – таких, наприклад, як регулярне оновлення антивіруса. Пропаганду "кібергігієни" і сповіщення про нові інтенет-загрози планується покласти на урядових і приватних експертів, які зможуть звертатися до аудиторії через соціальні мережі. Щоб допомогти споживачам зорієнтуватися на ринку захисних рішень, у країні пропонується ввести галузевий знак якості; британський уряд готовий до переговорів із стандартизації оцінки таких продуктів на національному, європейському і міжнародному рівні.

Для спрощення процедури подачі скарг на правопорушення у Великобританії запущено єдиний портал, створений на базі центру допомоги жертвам шахрайства – Action Fraud. Його послугами можуть скористатися як індивідуальні, так і корпоративні користувачі, що зазнали фінансових збитків в результаті будь-кого кіберінцидента. Боротися з локальними інфекціями британці планують за участю інтернет-провайдерів – шляхом введення зводу добровільних зобов'язань, галузевих нормативів або перегляду призначених для користувача угод.

На втілення таких амбітних планів може просто не вистачити засобів і ресурсів: більше половини бюджетних засобів, виділених в рамках Стратегії кібербезпеки, буде перерахована на єдиний рахунок для забезпечення роботи розвідслужб. Мабуть, неспроста в урядовому документі обумовлено, що ключову роль в двосторонньому інформаційному обміні і наданні експертизи виконуватиме GCHQ (Government Communications HeadQuarters) – урядова служба радіо- і радіотехнічної розвідки.

Першим законом Сполученого Королівства, направленим безпосередньо проти неналежного використання комп'ютерних технологій, був "Закон про неправомірне використання комп'ютерних технологій" (Computer Misuse Act), прийнятий у 1990 р. Він став відповіддю на зростаючу тривогу, що існуюче у той час законодавство не дозволяло адекватно боротися з хакерами. Ця проблема стала очевидною, коли не вдалося добитися обвинувального висновку в суді у справі Стівена Гоулда і Роберта Шифріна, які в 1984 р. вчинили несанкціонований доступ до сервісу Prestel, що належить компанії British Telecom. Звинувачення проти них було висунуто відповідно до "Закону про фальсифікацію і підробки 1981 р.". В апеляційному суді зловмисники були виправдані, і виправдувальний вирок був згодом затверджений Палатою лордів.

У "Законі про неправомірне використовування комп'ютерних технологій", прийнятому "для забезпечення захисту комп'ютерних матеріалів від несанкціонованого доступу або зміни", було виділено три види злочинів, пов'язаних з неправомірним використовуванням комп'ютерних технологій:

  • 1) несанкціонований доступ до комп'ютерних даних;
  • 2) несанкціонований доступ до комп'ютерних даних з наміром вчинити або сприяти вчиненню подальших злочинів;
  • 3) несанкціонована зміна комп'ютерних даних.

Максимальний термін тюремного ув'язнення, передбачений законом за ці злочини, складав відповідно шість місяців, п'ять років і п'ять років.

Відповідно до норм цього Закону, юрисдикція компетентних органів і судів Великобританії розповсюджується на будь-яке з перерахованих діянь при скоєнні якого хоча б один з елементів складу злочину мав місце на території держави. Таким чином, при наявності лише діяння чи наслідків злочин вважається вчиненим на території Великобританії. Це положення є виключно важливим у випадку вчинення злочину з комп'ютера, який знаходиться на території держави, що не встановила відповідальності за такі злочини або тоді, коли кримінально-правові приписи мають матеріальний характер, визнаючи закінченим склад злочину лише за наявності шкідливих наслідків на території країни, де скоєно злочинне діяння.

Низка норм "Закону про телекомунікації 1984 р." направлені на захист і охорону мереж зв'язку, комп'ютерних систем і мереж.

Наступною проблемою, яка постала перед англійським суспільством, став спам. Проблема спама не обмежується переповненими поштовими скриньками, збільшенням трафіку і неприйнятним змістом листів. Спам також застосовується для доставки шкідливого коду; спам-повідомлення часто використовуються як відправна точка для drive-by завантажень шкідливих програм, оскільки до них можна включати посилання на веб-сайти, які злочинці заразили шкідливим кодом. Крім того, спам – основний інструмент, за допомогою якого фішери заманюють своїх жертв на фальшиві сайти, де у користувачів виманюють конфіденційні дані. У спробі справитися з проблемою спаму Міністерство торгівлі і промисловості в 2003 р. прийняло "Положення про приватну інформацію і електронний зв'язок" (Privacy and Electronic Communications Regulations – ЄС Directive 2003).

Виконання цього Положення, яке стало реалізацією в Сполученому Королівстві директиви ЄС 2002/58/ЕС (конкретна реалізація директиви залишена на розсуд кожної країни – члена ЄС), забезпечується Адміністрацією Уповноваженого за інформацією (Information Commissioner's Office) – незалежним органом Сполученого Королівства, створеним для полегшення доступу громадян до офіційної інформації і захисту особистих даних.

У відповідності з Положенням, компанії зобов'язані одержати дозвіл фізичної особи, перш ніж посилати їй повідомлення по електронній пошті або SMS (положення закону відносяться також до телефонних дзвінків і факсів). Щодо електронної пошти в законі вказано, що ніхто не повинен відправляти або спонукати будь-кого до відправки за допомогою електронної пошти незапитаних повідомлень для цілей, пов'язаних з безпосереднім збутом товарів і послуг, якщо одержувач електронного повідомлення заздалегідь не повідомив відправника про свою згоду на відправку подібних повідомлень відправником або за його дорученням.

Проте можливості застосування цього нормативно-правового акту серйозно обмежені. По-перше, Положення застосовні тільки до повідомлень, що відправляються на адреси фізичних осіб, а не на адреси компаній. Передбачені Положенням санкції також значно менш суворі, ніж покарання, передбачені "Законом про неправомірне використання комп'ютерних технологій". Порушення Положення повинні доводитися до відома Управління Уповноваженого за інформацією, яке повинне вирішити, чи подавати на організацію-порушника в суд. Порушник може бути оштрафований на суму до 5000 фунтів стерлінгів за рішенням мирового суду або на будь-яку суму за рішенням суду присяжних.

Крім того, Закон може бути застосований тільки до відправників, які знаходяться на території Великобританії. Проте велика частина спама розсилається не звідти (у даний час провідними джерелами спаму є РФ і США), тому законодавство Сполученого Королівства не поширюється на переважну більшість спамерів. Таке положення – наочна ілюстрація проблеми, що виникає у зв'язку зі всіма заходами по боротьбі з кіберзлочинцями: через геополітичні обмеження законодавчі і правоохоронні органи, на відміну від злочинців, не мають можливості діяти через межі держав і юрисдикцій.

У прийнятому в 2006 р. "Законі про поліцію й юстицію" (регулюючому ширший круг проблем, аніж комп'ютерні злочини) містилися поправки до "Закону про неправомірне використовування комп'ютерних технологій". Максимальний термін тюремного ув'язнення за правопорушення, що підпадають під дію розділу 1 первинної редакції закону, був збільшений з шести місяців до двох років. Формулювання "несанкціонована зміна комп'ютерних даних" у розділі 3 закону була змінена на "несанкціоновані дії, умисно або з необережності перешкоджаючі нормальній роботі комп'ютера і т.п.". При цьому максимальне покарання за даною статтею було збільшено до 10 років тюремного ув'язнення.

У Закон був також додано новий розділ "Виготовлення, надання або придбання товарів для використання в правопорушеннях, пов'язаних з неправомірним застосуванням комп'ютерних технологій", передбачаючий до двох років позбавлення волі. У цьому розділі вказано:

  • 1. Особа є винною у вчиненні злочину, якщо вона виготовляє, пристосовує, надає або пропонує надати товар у цілях його використання для вчинення злочину, що підпадає під положення розділу 1 або 3 дійсного закону, або для того, щоб сприяти здійсненню такого злочину.
  • 2. Особа є виною у вчиненні злочину, якщо вона надає або пропонує надати товар, усвідомлюючи, що цей товар, можливо, буде використаний для вчинення злочину, що підпадає під положення розділу 1 або 3 дійсного закону, або сприяти вчиненню такого злочину.
  • 3. Особа є винною у вчиненні злочину, якщо вона купує товар у цілях його подальшого надання для вчинення злочину, що підпадає під положення розділу 1 або 3 дійсного закону, або для того, щоб сприяти вчиненню такого злочину.
  • 4. У даному розділі під "товаром" розуміється будь-яка програма або дані в електронній формі.

Цей розділ викликав писався з метою заборонити вживання утиліт хакерів. Але під його дію також підпали призначені для законного використання програми, які можливо було застосовувати не за призначенням – для злому комп'ютерних систем, а також програми riskware, що можуть використовуватися як для законних, так і для незаконних цілей. Тому представниками громадськості, у тому числі і деякими членами Міжпартійної парламентської групи з проблем Інтернету ведеться робота по внесенню змін в цей розділ Закону.

Як згадувалося раніше, одне з найсерйозніших обмежень національного законодавства про комп'ютерні злочини полягає в тому, що воно не дозволяє ефективно боротися з глобальним явищем кіберзлочинності. "Європейська конвенція про кіберзлочинність", розроблена з метою створення міжнародної структури для боротьби з кіберзлочинністю, була прийнята Комітетом міністрів Ради Європи в листопаді 2001 року. Конвенція охоплює широкий круг питань, зокрема всі аспекти кіберзлочинності, включаючи незаконний доступ до комп'ютерних систем і перехоплення даних, вплив на дані, вплив на роботу системи, протизаконне використовування пристроїв, фальсифікацію і шахрайство з використанням комп'ютерних технологій, правопорушення, пов'язані з дитячою порнографією, і правопорушення, пов'язані з авторським правом і суміжними правами. При підготовці конвенції також переслідувалися цілі формування загальної правоохоронної системи для боротьби з кіберзлочинністю і створення умов для обміну інформацією між усіма країнами, що підписали конвенцію. На сьогоднішній день конвенцію підписали 47 країн (Convention on Cybercrime CETS), але ратифікували її лише 32. Важливо відзначити також, що в число держав, що не підписали конвенцію, ввійшли Китай, декілька латиноамериканських держав і Росія.

Всі ці країни можна віднести до найбільших у світі джерел шкідливого коду. Сполучене Королівство ратифікувало конвенцію у травні 2011 року.

У 2007 році прийнято "Закон про серйозні злочини" (Serious Crime Act), який було спрямовано на боротьбу із членами організованих злочинних угрупувань шляхом застосування цивільними судами ухвал про превентивні заходи проти організованої злочинності. Суди можуть видавати подібні ухвали у випадках, коли, на їх думку, є значна вірогідність того, що:

  • – дії суб'єкта сприяли або могли сприяти вчиненню серйозного злочину;
  • – умови ухвали відповідні діянню, проти якого вони направлені, і необхідні для запобігання подібним діянням в майбутньому.

Недотримання умов ухвали кваліфікується як кримінальний злочин.

На перший погляд, "Закон про серйозні злочини" – в усіх відношеннях прекрасне рішення, що дає поліції можливість виявляти і запобігати серйозним злочинам, у тому числі пов'язаних із використанням комп'ютерних технологій. Проте існують побоювання щодо наслідків ухвалення закону для забезпечення цивільних свобод – не в останню чергу тому, що вимоги до доказів винуватості, що пред'являються в цивільному суді, нижчі, аніж відповідні вимоги в кримінальному судочинстві, а вірогідність судових помилок, відповідно, вища.

Цікавим з точки зору ІБ є досвід регулювання Інтернет-відносин. У Великобританії прийняті нормативно-правові акти, що дають можливість притягнути до відповідальності провайдерів хостингових послуг за розміщення на їхніх сайтах інформації незаконного змісту; деякі правила обмежують доступ провайдерів до таких джерел інформації. Мережеві оператори не можуть бути притягнуті до відповідальності за зміст інформації, яка передається мережами, однак вони зобов'язані на умовах виданих ліцензій вжити необхідних заходів щодо користувачів і клієнтів, які використовують мережі для передання інформації незаконного змісту. Існує також практика саморегулювання хостингових послуг – у Великій Британії прийнято відповідний кодекс поведінки.

У сфері забезпечення інформаційної складової воєнної безпеки Великобританії необхідно згадати про офіційно не обнародувану програму "діяльності в ківер просторі", яка в майбутньому стане частиною бойових дій. У ній нова кіберзброя розглядається як інтегральна частина національного арсеналу, навіть якщо вона не перевершить в ефективності традиційні види озброєнь.

Це програма негласно має на увазі створення комп'ютерних вірусів і іншого шкідливого програмного забезпечення. Атаки за допомогою кіберзасобів регулюватимуться тими ж правилами, яким зараз керуються війська спеціального призначення. На чолі подібних розробок стоїть апарат уряду і Центр кібербезпеки при штабі урядового зв'язку, недавно до створення нових "озброєнь" підключилося Міністерство оборони.

 
Якщо Ви помітили помилку в тексті позначте слово та натисніть Shift + Enter
< Попередня   ЗМІСТ   Наступна >
 
Дисципліни
Агропромисловість
Банківська справа
БЖД
Бухоблік та Аудит
Географія
Документознавство
Екологія
Економіка
Етика та Естетика
Журналістика
Інвестування
Інформатика
Історія
Культурологія
Література
Логіка
Логістика
Маркетинг
Медицина
Менеджмент
Нерухомість
Педагогіка
Політологія
Політекономія
Право
Природознавство
Психологія
Релігієзнавство
Риторика
РПС
Соціологія
Статистика
Страхова справа
Техніка
Товарознавство
Туризм
Філософія
Фінанси
Інші