Несанкционированный доступ
Несанкционированный доступ — это преднамеренное или случайное получение субъектом (пользователем, программой, процессом) доступа к информационному ресурсу (данным, программам, оборудованию, сети) в нарушение установленных правил разграничения доступа. Правила разграничения доступа определяются политикой безопасности организации или владельца ресурса и включают в себя идентификацию, аутентификацию и авторизацию субъекта. Несанкционированный доступ является одним из основных видов угроз информационной безопасности, наряду с утечкой, модификацией и блокированием информации.
Классификация
Несанкционированный доступ классифицируется по различным признакам.
По способу реализации
- Прямой доступ: субъект получает доступ к ресурсу, используя легитимные (предусмотренные системой) каналы связи и протоколы, но с нарушением прав. Пример: подбор пароля к учётной записи другого пользователя.
- Косвенный доступ: доступ осуществляется через обходные пути, не предусмотренные штатным функционированием системы. Пример: использование уязвимости в программном обеспечении для выполнения произвольного кода.
По источнику угрозы
- Внешний: атака из глобальной сети (Интернет) или из другой доверенной сети, не принадлежащей организации.
- Внутренний: действия инсайдера (сотрудника, подрядчика, бывшего сотрудника), имеющего легальный доступ к части ресурсов, но превышающего свои полномочия.
По характеру воздействия
- Активный: субъект не только получает доступ, но и изменяет, удаляет, блокирует или создаёт новые данные.
- Пассивный: субъект только просматривает (считывает) информацию, не внося изменений. Такой вид доступа сложнее обнаружить.
Методы и инструменты
Для реализации несанкционированного доступа используются различные методы, которые постоянно эволюционируют.
Подбор учётных данных (аутентификационные атаки)
- Брутфорс (brute force): перебор всех возможных комбинаций паролей до нахождения верной. Эффективность снижается при использовании сложных паролей и механизмов блокировки после нескольких неудачных попыток.
- Атака по словарю: перебор наиболее вероятных паролей (слова, даты, имена) из заранее составленного списка.
- Фишинг: создание поддельных веб-страниц или писем, имитирующих легитимные сервисы, с целью выманивания у пользователя логина и пароля.
- Перехват трафика (сниффинг): захват и анализ сетевого трафика для извлечения незашифрованных учётных данных.
Эксплуатация уязвимостей
- Уязвимости программного обеспечения: ошибки в коде (переполнение буфера, внедрение SQL-кода, межсайтовый скриптинг), позволяющие выполнить произвольный код или получить доступ к данным.
- Уязвимости конфигурации: неправильные настройки прав доступа к файлам, базам данных, сетевым сервисам (например, открытый доступ к административной панели).
- Уязвимости «нулевого дня» (zero-day): уязвимости, о которых разработчик не знает и для которых ещё не выпущено исправление.
Социальная инженерия
Использование психологических манипуляций для получения конфиденциальной информации или побуждения к действиям, нарушающим безопасность. Включает в себя:
- Претекстинг (pretexting): создание вымышленной ситуации (звонок от «службы поддержки», «коллеги»), чтобы вынудить жертву сообщить пароль или установить вредоносное ПО.
- Квид про кво (quid pro quo): обещание выгоды (например, «бесплатный антивирус») в обмен на доступ к системе.
- Тейлгейтинг (tailgating): физическое проникновение в охраняемую зону вслед за легальным сотрудником.
Технические атаки
- Вредоносное ПО (вирусы, трояны, черви, программы-вымогатели): используется для удалённого управления компьютером, кражи данных, шифрования файлов или создания бэкдоров (скрытых каналов доступа).
- Атаки типа «человек посередине» (Man-in-the-Middle, MitM): злоумышленник перехватывает и модифицирует трафик между двумя легитимными сторонами (например, между пользователем и веб-сервером).
- Спуфинг (spoofing): подмена сетевых адресов (IP-адреса, MAC-адреса, DNS-сервера) для перенаправления трафика или выдачи себя за другое устройство.
- Атаки на отказ в обслуживании (DoS/DDoS): создание условий, при которых легитимные пользователи не могут получить доступ к ресурсу (например, сервер перегружен запросами). Хотя DoS не является прямым доступом, он часто используется как отвлекающий манёвр или для выведения из строя систем защиты.
Последствия
Последствия несанкционированного доступа могут быть различными по масштабу и тяжести:
- Утечка конфиденциальных данных: персональные данные клиентов, коммерческая тайна, государственная тайна, интеллектуальная собственность.
- Финансовые потери: кража денег со счетов, мошенничество, затраты на восстановление системы, выплата штрафов регуляторам.
- Нарушение целостности данных: модификация или уничтожение критически важной информации (например, медицинских записей, результатов научных исследований).
- Нарушение доступности: блокировка работы сервисов, что приводит к простою бизнеса или нарушению государственных функций.
- Репутационный ущерб: потеря доверия клиентов, партнёров и общества.
- Юридическая ответственность: административная (например, по ст. 13.11 КоАП РФ за нарушение законодательства о персональных данных) или уголовная (например, по ст. 272 УК РФ «Неправомерный доступ к компьютерной информации»).
Правовое регулирование в России
В Российской Федерации несанкционированный доступ является уголовно наказуемым деянием. Основные статьи Уголовного кодекса РФ:
- Статья 272 УК РФ «Неправомерный доступ к компьютерной информации»: устанавливает ответственность за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации.
- Статья 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ»: наказывает за создание, распространение или использование программ, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты.
- Статья 274 УК РФ «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей»: устанавливает ответственность за нарушение правил эксплуатации, повлёкшее уничтожение, блокирование или модификацию охраняемой информации.
Кроме того, вопросы защиты от несанкционированного доступа регулируются Федеральным законом № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Федеральным законом № 152-ФЗ «О персональных данных».
Методы защиты
Для предотвращения несанкционированного доступа применяется комплекс организационных и технических мер.
Организационные меры
- Разработка и внедрение политики информационной безопасности.
- Проведение инструктажей и обучения персонала.
- Регулярный аудит безопасности и тестирование на проникновение (пентест).
- Разграничение доступа на основе принципа минимальных привилегий (каждому субъекту предоставляется только тот минимум прав, который необходим для выполнения его обязанностей).
Технические меры
- Идентификация и аутентификация: использование сложных паролей, двухфакторной аутентификации (2FA), биометрических данных.
- Межсетевые экраны (фаерволы): контроль и фильтрация сетевого трафика на основе заданных правил.
- Системы обнаружения и предотвращения вторжений (IDS/IPS): мониторинг сетевого трафика и системных событий на предмет признаков атак.
- Антивирусное и антишпионское ПО: защита от вредоносных программ.
- Шифрование данных: защита информации при хранении (шифрование дисков, баз данных) и при передаче (протоколы TLS/SSL, VPN).
- Управление обновлениями (patch management): своевременная установка обновлений безопасности для операционных систем и прикладного ПО.
- Резервное копирование: создание копий данных для восстановления после атаки (например, программы-вымогателя).
- Физическая защита: контроль доступа в серверные помещения, видеонаблюдение, системы сигнализации.
Источники
- Уголовный кодекс Российской Федерации (статьи 272, 273, 274).
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
- Методические документы ФСТЭК России по защите информации.
- Учебные пособия по информационной безопасности (например, «Защита информации» Г.А. Титоренко, «Криптография и безопасность сетей» У. Столлингса).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →