Este mai ușor să facă legi decât să le urmeze

Leonid Shapiro. sisteme IT arhitect, MVP, MCT, MCSE, MCITP: EA, MCSE: S, MCSE: M

Este mai ușor de a face legi,
decât să le urmeze

Napoleon Bonaparte, rostind aceste cuvinte, și nu au știut ce vor fi profetic. Adoptat „Legea de primăvară / Ozerov,“ încă o dată a confirmat. Ceea ce, atunci, ar putea fi consecințele în ceea ce privește securitatea informațiilor?

Orice expert în domeniul securității informației este conștientă de faptul că abordarea de protecție trebuie să fie cuprinzătoare. Măsuri tehnice - nu este singura modalitate de a minimiza riscurile. Rolul esențial jucat de aranjamente instituționale, inclusiv legislația și în mod eficient.

Protejează dacă Codul penal român a infracțiunilor în domeniul IT? Ce infracțiuni în acest domeniu reprezintă cea mai mare amenințare pentru afaceri?

Aceasta este una dintre sarcinile - prevenirea unor noi infracțiuni. Amintiți-vă acest lucru, vom avea nevoie de această formulare mai târziu. Prevenirea unor noi infracțiuni sau de prevenire - o componentă importantă, deoarece oferă o oportunitate de a influența intimidarea celor care, în anumite condiții pot fi dispuse să comită o crimă. Și este important rigoare, nu atât de mult ca inevitabilitatea pedepsei.

Să ne întoarcem la câmpul UKRumyniyav tehnologiei informației. Capitolul numărul 28, „Infracțiuni în sfera informațiilor de calculator“. [2] Vedem aici trei articole:

2. Același act care a cauzat pagube majore sau comise de interese mercenare, se pedepsește cu amendă de la sute de mii la trei sute de mii de ruble sau salariu sau alte venituri, pentru o perioadă de unu până la doi ani, sau muncă corecțională pentru un termen de unul până la doi ani, sau restricționare a libertății de până la patru ani, sau în folosul comunității de până la patru ani, sau închisoare pentru aceeași perioadă.

3. Actele prevăzute de primul sau al doilea paragraf al acestui articol, comise de un grup de persoane prin acord prealabil sau a unui grup organizat sau de o persoană care utilizează poziția sa oficială, se pedepsește cu amendă de cel mult cinci sute de mii de ruble sau salariu sau alte venituri, pentru o perioadă de până la trei ani, cu descalificarea de a ocupa anumite funcții sau să se angajeze în anumite activități de până la trei ani, sau restricționare a libertății de până la patru ani, sau în folosul comunității pe un OK până la cinci ani, sau închisoare pentru aceeași perioadă.

4. Actele prevăzute în primul, al doilea sau al treilea paragraf din prezentul articol, în cazul în care a cauzat consecințe grave, sau a creat o amenințare de apariție a acestora, se pedepsește cu închisoare pe un termen de cel mult șapte ani.

Note. 1. O informație de calculator se referă la informații (date de mesaje), prezentate sub formă de semnale electrice, indiferent de mijlocul de stocare, prelucrare și transmitere.

Fii atent la cuvintele de distrugere, blocarea și copiere. Acum, înapoi la securitate IT. Ce inseamna acesti termeni într-un limbaj juridic?

informații de blocare - furnizarea de inaccesibilitate la ea, este imposibil să-l folosească, ca urmare a interzicerii punerii în aplicare în continuare a secvenței de comandă sau oprirea activității oricărui dispozitiv, precum și pe reacția oricărui dispozitiv de rețea computer, sistem informatic sau de calculator, menținând în același timp informația în sine [3].
Modificarea (prelucrarea) a informațiilor - este orice modificare a informațiilor de calculator, nu o adaptare, inclusiv modificări de software, baze de date, informații text stocate pe un suport fizic [3].

Acum, că am terminat cu definițiile în limba juridică uscată, este ușor de văzut că fiecare atac al criminalilor cibernetici, cum ar fi DoS / DDoS [3], atacurile legate de OWASP Top 10 [4], răpire date se încadrează în condițiile prezentei legi. Excelent, infrastructura noastră protejează Codul penal. Apropo, să acorde o atenție la punctul 4. Sancțiune -. Până la șapte ani, în cazul unor consecințe grave sau amenințarea apariției acestora. DDoS-atacuri, și chiar și cu atât mai mult pătrunderea și modificarea datelor este extrem de periculos.

Trebuie remarcat faptul că, în ciuda faptului că pierderea reputației nu este ușor pentru a calcula daunele de la ei este foarte mare și poate duce la colaps de afaceri

Imaginați-vă că site-ul web al unei bănci mari nu funcționează o săptămână din cauza unui atac, sau mai rău, a fost spart. După ce a primit toate datele despre clienți, conturile lor și tranzacții, cyber-criminalii pot fura bani din conturile băncii.

Un alt exemplu în ceea ce privește mici afaceri: a atacat magazinul site-ul on-line, a încetat activitatea. Concurenții triumfa, clienții du-te la ei.

Aceste povești au loc cu o regularitate surprinzătoare. România nu face excepție de tendința globală. Din păcate, trebuie să se constate că în ultimul an și jumătate, putem observa o creștere constantă a activității în domeniul atacurilor cibernetice de diferite tipuri.

Trebuie remarcat faptul că, în ciuda faptului că pierderea reputației nu este ușor pentru a calcula daunele de la ei este foarte mare și poate duce la colaps de afaceri. Deci, revenind la aspectul juridic, este foarte posibil incriminatoare „apariția în pericol de consecințe grave.“

Majoritatea participanților la sondaj, realizat de către companii specializate în protecția împotriva atacurilor DDoS-, confirmă faptul că clienții lor apreciază pierderea reputațional ca fiind cel mai important.

DDoS-atacuri, răpirea de informații private și confidențiale (să nu uităm despre bazele de date ale diferitelor agenții care furnizează informații despre cetățenilor și a bunurilor acestora, care au fost în domeniul public) a crea, în acest sens, o amenințare foarte gravă și sunt supuse articolului 272-lea din Codul penal Federația rusă.

motivație malware pot fi diferite, poate de multe ori rămân necunoscute, dar mai ales este o concurență neloială, răzbunare și hacktivism asta. De fapt, am văzut în primul articol din această serie de atacuri DDoS-. [4]

Potrivit „Kaspersky Lab“, fiecare al șaselea companie din România supus DDoS-atac [6]. laboratoare Qrator, de asemenea, statisticile rezultate dezamăgitoare [7], Radware publicate comanda atacuri rapoarte contra (TSE) pe o bază permanentă [8].

Cu rezultatul că vom vedea? DDoS-atacuri și atacuri asupra aplicațiilor web vulnerabile crește doar daunele cauzate de acestea sunt destul de grave, dar este greu de a găsi referințe la dezvăluirea unor astfel de infracțiuni. Apropo, deoarece există cu prevenirea unor noi infracțiuni și inevitabilitatea pedepsei prevăzute la articolul 43 din Codul penal stabilit la începutul articolului?

Se pare că nu a mai rămas nimic, ci să se bazeze numai pe măsurile tehnice de confruntare amenintarile cibernetice. pentru că ei nu acorde atenție la ele pentru o lungă perioadă de timp nu funcționează. În conformitate cu Radware rapoarte până în prezent nu există nici o industrie, a cărei activitate nu ar fi interesant pentru infractorii cibernetici. [8]

Recent, a adoptat amendamente la Legea rezonant „privind combaterea terorismului“ [6] au fost discutate în detaliu de către ambii experți și publicul larg. Citiți textul amendamentelor pe site-ul de dumyRumyniya de stat [9].

Nu vom face cu componenta economică a acestor modificări, care este enigmatic nu numai experți, dar, de asemenea, nu sunt implicate în domeniul IT și de telecomunicații de persoane, astfel cum este evidentă o creștere accentuată a componentei corupției, asociată cu necesitatea de a achiziționa cea mai mare parte a sistemelor de stocare a datelor și a altor echipamente, crearea de noi centre de date, și așa mai departe.

Vom vorbi doar despre problemele de securitate pe de o parte, și nerespectarea modificărilor Constituției România - pe de altă parte.

Ea nu poate însă provoca îngrijorare un amendament de a transfera agențiile de aplicare a legii de chei de criptare. Puteți asuma o încălcare directă a articolelor 23 [10] și 24 [10] Constituția România.

Aici este un exemplu simplu. Banca X trimite o terță parte pentru cheia privată cu care să decripteze traficul criptat cheie publică a clienților lor. Revenind la contul personal, clienții băncii transmite date de autentificare și apoi efectuați o acțiune, de asemenea, asociate cu necesitatea de a transfera informații confidențiale. Pe baza experienței anterioare nu există nici o îndoială în perspectivele negative pentru transferul de informații cheie nu este o terță parte de încredere.

Cititorul va putea cu ușurință să modeleze și în alte situații similare. Extrem perspectivă vagă va căuta să utilizeze mai populare programe de mesagerie instant (messenger). Unii reprezentanți ai industriei au refuzat să transfere cheile de criptare pentru altcineva.

Se speră că nu protocoale pentru a asigura confidențialitatea datelor transmise (traficul SSL deține deja aproximativ 60% din volumul total și cota sa de Internet continuă să crească) sau program de mesagerie popular, sau capacitatea de a cripta datele stocate, cum ar fi EFS [11] și BitLocker [12] nu va fi permis pe teritoriul Federației Ruse. interzicerea lor nu va ajuta la lupta împotriva terorismului, pe de altă parte, va crea amenințări suplimentare pentru cetățenii țării datorită posibilității de scurgere de informații confidențiale. În plus, nu este clar modul în care acest lucru se va face punct de vedere tehnic.

Internet reprezintă o amenințare? Deci, este, dar apoi avionul si masina este, de asemenea, potențial periculos. Cu toate acestea, omenirea nu renunță la aeronava și vehiculelor, precum și îmbunătățirea acestora. O „lege de primăvară / Ozerov“ arată ca o încercare de a interzice moderne IT. Aceasta este exact în același mod, probabil, ca o încercare de a anula efectul legilor lui Newton pe teritoriul unui singur stat.