Luvaton pääsy

Luvaton pääsy  - pääsy tietoihin rikkoen työntekijän virallisia oikeuksia, pääsy tietoihin, jotka ovat suljettuja sellaisilta henkilöiltä, ​​joilla ei ole lupaa päästä käsiksi näihin tietoihin. Myös luvatonta pääsyä kutsutaan joissain tapauksissa tietoihin pääsyn saamiselle sellaiselta henkilöltä, jolla on oikeus saada nämä tiedot käyttöön virkatehtävien suorittamiseen tarvittavan määrän ylittävänä.

Valtion teknisen toimikunnan ohjeasiakirja "Suojaus luvattomalta pääsyltä. Termit ja määritelmät” Wayback Machinella 10.10.2019 päivätty arkistokopio (hyväksytty Venäjän valtion teknisen toimikunnan puheenjohtajan päätöksellä 30.3.1992) tulkitsee määritelmää hieman eri tavalla:

Luvaton pääsy tietoihin (UAS)  - pääsy tietoihin, jotka rikkovat kulunvalvontasääntöjä käyttämällä tietokonetekniikan tai automatisoitujen järjestelmien tarjoamia vakiotyökaluja.

Luvaton käyttö voi johtaa tietovuotoon .

Tietojen luvattoman käytön syyt

• konfigurointivirheet ( käyttöoikeudet , palomuurit , tietokantakyselyjen massaluonteen rajoitukset ),
• valtuutustyökalujen heikko turvallisuus ( salasanojen , älykorttien varkaus , fyysinen pääsy huonosti vartioituihin laitteisiin , pääsy työntekijöiden lukitsemattomiin työpaikkoihin työntekijöiden poissa ollessa),
• ohjelmistovirheitä ,
• vallan väärinkäyttö (varmuuskopioiden varkaus, tietojen kopioiminen ulkoisille tietovälineille, joilla on oikeus saada tietoja),
• Viestintäkanavien kuuntelu käytettäessä suojaamattomia yhteyksiä lähiverkon sisällä ,
• Näppäinloggerien, virusten ja troijalaisten käyttö työntekijöiden tietokoneissa henkilökohtaistamiseen .

Tapa saada laiton pääsy tietokoneen tietoihin

Luvaton pääsyn rikoksen tekotapa  ovat tavat ja menetelmät, joita tekijät käyttävät tehdessään yhteiskunnallisesti vaarallisen teon.

Kirjallisuudessa [1] on olemassa useita tietokonerikosten tekomenetelmien luokituksia:

1. Valmistelumenetelmät (vastaa rikosoikeudellista käsitettä " rikokseen valmistautuminen "):
   • Tietojen kerääminen;
   • Sähköpostiviestien sieppaus;
   • Tutustumisen luominen;
   • Viestien sieppaus viestintäkanavissa;
   • Tietojen varastaminen;
   • Lahjonta ja kiristys.
2. Tunkeutumismenetelmät (vastaa rikosoikeudellista käsitettä " rikoksen yritys "):
   • Suora pääsy järjestelmään (lukemalla salasanat);
   • salasanojen hankkiminen;
   • Viestintäprotokollien heikkouksien hyödyntäminen.

Jotkut kirjoittajat [2] tarjoavat luokituksen rikoksentekijän tietyssä rikoksen vaiheessa tavoittelemien tavoitteiden mukaan:

1. Taktinen - suunniteltu välittömien tavoitteiden saavuttamiseen (esimerkiksi salasanojen hankkimiseen);
2. Strategiset - tähtäävät kauaskantoisten tavoitteiden toteuttamiseen ja liittyvät suuriin taloudellisiin tappioihin automatisoiduille tietojärjestelmille.

Toinen kirjoittaja [3] tunnistaa viisi tapaa saada aikaan laiton pääsy tietokonetietoihin :

1. Täsmälleen sellaisen tietokoneen suora käyttö, joka itsenäisesti tallentaa ja käsittelee rikollista kiinnostavia tietoja;
2. Rikollisen tietokoneen piilotettu yhteys tietokonejärjestelmään tai laillisten käyttäjien verkkoon verkkokanavien tai radioviestinnän kautta;
3. Haavoittuvuuksien etsiminen ja käyttö tietokonejärjestelmien ja verkkojen suojaamiseksi luvattomalta käytöltä (esimerkiksi koodinvarmistusjärjestelmän puuttuminen);
4. Järjestelmässä toimivien tietokoneohjelmien piilevä muuttaminen tai lisääminen;
5. Hätätilanteissa käytettävien universaalien ohjelmien laiton käyttö.

On olemassa vakiintunut menetelmäluokitus, jota useimmat kirjoittajat ohjaavat [1] ja joka on rakennettu ulkomaisen lainsäädännön analyysin pohjalta. Tämä luokittelu perustuu tapaan, jolla rikollinen käyttää tiettyjä toimia, joiden tarkoituksena on päästä tietokonelaitteisiin erilaisilla tarkoituksilla:

1. Tietojen sieppausmenetelmät;
2. Luvaton pääsymenetelmä;
3. manipulointimenetelmä;
4. Monimutkaiset menetelmät.

Tietojen luvattoman käytön seuraukset

Kirjallisuudessa [1] 6. huhtikuuta 2016 julkaistun arkistokopion lisäksi , joka on määritelty Venäjän federaation rikoslain 272 artiklassa Wayback Machinesta , ehdotetaan yleisempää luokittelua tämän rikoksen mahdollisista seurauksista:

1. Toimintojen rikkominen. Sisältää neljä tyyppiä:
   • Väliaikaiset rikkomukset, jotka johtavat sekaannuksiin työaikatauluissa, tiettyjen toimintojen aikatauluissa jne.;
   • Järjestelmä ei ole käyttäjien käytettävissä;
   • Vaurioituneet laitteistot (korjattavissa ja korjaamattomissa);
   • Ohjelmiston korruptio
2. merkittävien resurssien menetys;
3. yksinomaisen käytön menetys;
4. Oikeuksien loukkaus (tekijänoikeus, lähioikeus, patentti, keksinnöllinen).

Myös tietojen luvaton pääsyn seuraukset ovat:

• henkilötietojen vuotaminen (yrityksen työntekijät ja kumppaniorganisaatiot),
• liikesalaisuuksien ja taitotiedon vuotaminen ,
• toimistopostivuoto
• valtiosalaisuuksien vuotaminen ,
• yrityksen turvajärjestelmän täydellinen tai osittainen riistäminen.
• tarkka tietovuoto

Leak Prevention

Tietojen luvattoman käytön estämiseksi käytetään ohjelmistoja ja laitteistoja, esimerkiksi DLP-järjestelmiä .

Lainsäädäntö

Yhdysvaltain tietokonepetoksia ja väärinkäyttöä koskevaa lakia on kritisoitu epämääräisyydestä, joka sallii sen käytön, jotta käyttöehtojen rikkominen voidaan tulkita luvattomaksi pääsyksi (jolla on jopa kymmenien vuosien vankeusrangaistus ) .  palveluehdot ) tietojärjestelmän (esimerkiksi verkkosivuston). [4] [5] Katso myös: Malware#Legal , Schwartz, Aaron , Yhdysvallat v. Lori Drew .

Katso myös

• Suojaus langattomissa ad hoc -verkoissa
• Ohjelmistojen hakkerointi
• Käyttöoikeudet

Muistiinpanot

1. ↑ 1 2 3 Mazurov V.A. Tietoturvan rikosoikeudelliset näkökohdat. - Barnaul: [[Altain yliopiston kustantamo (kustantamo) |]], 2004. - S. 92. - 288 s. — ISBN 5-7904-0340-9 .
2. ↑ Okhrimenko S.A., Cherney G.A. Tietoturvauhat automatisoituihin tietojärjestelmiin (ohjelmistojen väärinkäyttö) // NTI. Ser.1, Org. ja metodologia tiedottaa. työ: lehti. - 1996. - Nro 5 . - S. 5-13 .
3. ↑ Skoromnikov K.S. Tutkijan opas. Lisääntyneen yleisen vaaran rikosten tutkiminen / Dvorkin A.I., Selivanov N.A. - Moskova: Liga Mind, 1998. - S. 346-347. — 444 s.
4. ↑ Ryan J. Reilly. Zoe Lofgren esittelee "Aaronin lain" Swartzin kunniaksi Redditissä . Huffington Post / AOL (15. tammikuuta 2013). Haettu 9. maaliskuuta 2013. Arkistoitu alkuperäisestä 11. maaliskuuta 2013. (määrätön)
5. ↑ Tim Wu . Tekniikan pahimman lain korjaaminen , News Desk -blogi , The New Yorker . Arkistoitu alkuperäisestä 27. maaliskuuta 2013. Haettu 28. maaliskuuta 2013.