Риски и угрозы для библиотеки при использовании цифровых и сетевых технологий

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В КУЛЬТУРЕ И ОБРАЗОВАНИИ. МЕНЯЕВ М.Ф. РИСКИ И УГРОЗЫ ДЛЯ БИБЛИОТЕКИ ПРИ ИСПОЛЬЗОВАНИИ ЦИФРОВЫХ И СЕТЕВЫХ ТЕХНОЛОГИЙ

Применение методов и технологий цифровых и сетевых технологий в библиотеке во многом определяет специфика среды, которую они используют. Это касается не только аппаратных, сетевых и программных средств, но и обеспечения правовых функций использования интеллектуальной собственности при организации цифрового взаимодействия читателей и библиотеки [1].

Информация в цифровой экономике представляет собой не только важнейший ресурс организации, но и актив, который может стать источником дополнительных доходов, и потому она может статью целью кибер-преступников (хакеров) [2].

Потери, связанные с хранением, обработкой и передачей информации приводят к дополнительным расходам, к которым относят: затраты на восстановление цифрового ресурса; расследование инцидентов в области защиты информации; нанесение ущерба бренду организации; потери, вызванные нарушением связи с партнёрами и читателями и др.

Однако неизмеримо большие потери связаны с дестабилизацией цифрового экономического пространства библиотеки или его уничтожением хакерами. Нарушение работы инфраструктуры библиотеки может быть реализовано вследствие получения злоумышленником полного контроля над доменом и сетевым оборудованием. Для этого внешний нарушитель использует уязвимости в цифровом пространстве организации.

Для обеспечения защищённости цифровой экономики в цифровых системах библиотеки следует применять методы и технологии информационной защиты (кибербезопасности) [3].

Понятие информационной безопасности (защиты информации) в цифровой технологии определяют как совокупность мероприятий для защиты от угроз данных, коммуникаций и транзакций между распределёнными компонентами информационной системы.

Защита информации направлена на предотвращение угрозы проникновения и воздействия вредоносного содержимого как на ресурсы, так и на технологии организации.

Угроза в цифровой системе определяет потенциальную возможность нарушить безопасность информационного ресурса организации. Попытка реализации угрозы называют атакой, а предпринимающего такую попытку, определяют как «злоумышленник». Потенциальных злоумышленников характеризуют как «Источники угрозы» [4].

Атаки могут быть предприняты в различных направлениях и иметь различные цели, однако, их нередко предпринимают с целью дестабилизации работы организации или нарушения социальной обстановки в обществе.

Возможные угрозы в цифровой технологии обычно направлены на точки доступа к информационным ресурсам, которые определяют как уязвимые места защиты.

Промежуток времени от момента, когда появляется возможность использовать уязвимое место в защите цифровой платформы, и до момента, когда это место будет ликвидировано, называют окном опасности.

Для большинства уязвимых мест в системе защиты окно опасности существует достаточно долго (от нескольких дней, иногда - недель). За это время необходимо использовать соответствующие инструменты для их устранения и установки необходимых «заплат».

Угрозы различают на временные и постоянные. Постоянные угрозы, как правило, связаны с использованием внешних ресурсов (например, информация, электричество, тепло, водоснабжение и др.), в временные ограничены временными рамками или достижением результата в определенные моменты.

Значимость цифрового ресурса в современном мире постоянно расширяет сферу различных угроз, например, похищение с помощью шпионских программ логинов и паролей, подбор паролей по словарю, похищение паролей с помощью вредоносных программ, копирование номеров банковских карт, вымогательство и др. В качестве объектов похищения может служить информация, которую можно разделить на следующие уровни:

• -    Персонал (личности) - фотографии, контакты, личные данные и т.д.;

• -    Предприятия (организации) - информация о клиентах, партнёрах, продуктах, материалах и т.п.;

• -    Региональные образования - данные о населении, предприятиях, планах, показателях и т.п.

Для кражи объектов каждого из уровней злоумышленники используют соответствующие методы и ошибки при коммуникации пользователей цифровых сетей, учитывая менталитет соответствующих организационных объектов и населения.

Классификация угроз в цифровой технологии

Источники угроз в системе информационной безопасности в цифровой технологии можно классифицировать по следующим критериям:

• -    по направленности воздействия: доступность, целостность и конфиденциальность информации;

• -    по компонентам информационного ресурса, на которые эти угрозы нацелены: данные, программы, аппаратура, и т.п.;

• -    по способу осуществления: случайные или преднамеренные действия, природного или техногенного характера;

• -    по расположению источника угроз: внутри или вне системы информационного управления;

• -    по состоянию объектов организации:  небрежность персонала, отказ

информационной системы, недостаточная организационная культура сотрудников предприятия и др.

Сотрудники организации – самое слабое звено в системе безопасности. Наиболее частыми и наиболее опасными (до 65% потерь) источниками угроз становятся ошибки персонала, пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные ресурсы организации [5].

Количество инцидентов информационной безопасности, связанных с использованием цифровой технологии во многом определяет число источников угроз, основными среди которых служат:

• -    Электронная почта и Веб-сервис – одни из основных способов доставки заражённого содержимого;

• -    Программы, находящиеся в Интернете, автоматические выполняющие какие-либо действия на компьютерах вместо людей (Боты и их перенастраиваемые формы);

• -    Рекламный траффик, в том числе спам и рекламные сообщения, демонстрируемые пользователям при просмотре веб-контента;

• -    Траффик социальных сетей и видео-сервисов;

• -    Мобильные устройства (смартфоны и планшеты);

• -    Организация резервного копирования;

• -    Превышения уровня привилегий читателями библиотеки;

• -    Уровень компетенций ответственного персонала и его численность и др.

Кибератаки на информационный ресурс библиотеки

Одним из способов проведения атак на информационный ресурс библиотеки ( кибер-атака ) служит внедрение в атакуемые системы через уязвимости вредоносного программного обеспечения (ВПО).

В мире каждый день появляется большое количество новых видов ВПО, которые имеют ограниченную длительность своего существования ВПО «нулевого дня» и более сложные ВПО, однако более 90% взломов совершают с использованием традиционных уязвимостей [6].

Массовая вредоносная активность использует также атаки без применения ВПО, пытаясь остаться на долго незамеченными во внутренних сетях компании (non-malware атака). Подобные атаки позволяют контролировать компьютеры без загрузки каких-либо файлов и использовать доверенные собственные средства операционной системы или использовать запущенные приложения (например, офисные или веб-браузеры) для компрометации сети.

Особое место в ВПО занимают программы-вымогатели, которые одновременно заражают сотни и даже тысячи компьютеров одновременно.

Выделяют следующие особенности вредоносного программного обеспечения: вредоносная функция; способ распространения; внешнее представление.

Спектр вредоносных функций неограничен, они предназначены чаще всего для получения контроля над атакуемой системой, агрессивного потребления информационных ресурсов предприятия, изменения или разрушения программного обеспечения и базы данных и др.

Способ распространения вредоносного содержимого определяет объект, на который ориентирована атака. Здесь и использование трудностей в организации различных мероприятий бизнеса, и взлом доверенного информационного ресурса, и проникновение с использованием сайтов партнёров по бизнесу и др.

Внешнее представление вредоносной программы также определяет жертва кибератаки. Это могут быть и игры, и нелицензионные программы, и интересные сайты, позволяющие копировать необычную информацию и т.п. Форму представления вируса преступник подстраивает под интересы «жертвы».

Механизмы распространения вредоносного программного обеспечения

По механизму распространения ВПО различают на «вирусы», «черви» и «боты»

Под вирусом программного обеспечения понимают программный код, обладающий способностью к распространению путём внедрения в другие программы. Разновидность программного может вызвать нестандартное поведение цифровой платформы и он долго может оставаться незамеченным.

Другая разновидность вирусов получила название «Эксплойт». Она начинает вредоносную активность, используя разрешённые приложения (например .pdf -программы и файлы), которые позволяют скачивание вредоносной программы, а затем выполняют кражу данных, шифрование дисков, уничтожение данных и др.

Понятие «червь» определяет программный код (программу), способный самостоятельно, вызывать распространение своих копий а среде программного обеспечения и их выполнение (для активизации такого кода требуется запуск заражённой программы). Программы-черви ориентированы в первую очередь на распространение по сети.

Бот представляет собой программу, автоматически выполняющую определённые действия в цифровой информационной среде, чаще всего в Интернете. Существенная часть атак связана с применение программ ботов, которые остаются в спящем состоянии до момента удалённой активации по предопределённому действию компьютера-«жертвы» или до определённого момента времени.

Программы-вирусы распространяются локально в пределах узла корпоративной сети, используя пересылку заражённого файла. Распространение ВПО может вызвать агрессивное потребление информационных и материальных ресурсов, что может привести к выходу из строя не только программы, но и аппаратное обеспечение.

Вредоносный код, который по своим характеристикам выглядит как полезная программа, называют троянским. Обычная программа, поражённая троянским вирусом, становится источником вируса. Одновременно она может стать подобием «зомби», а хакеры, используя несколько сотен, а то и десятки тысяч таких «зомби», вызывают сбой в работе цифровой платформы. Нередко троянские программы распространяют злонамеренно, используя привлекательную программную упаковку.

Для ликвидации вредоносной программы следует обновлять базы данных с помощью антивирусных программ, что определяют как «закрытие окна опасности».

Угроза целостности информационного ресурса, как правило, исходит от сотрудников организаций, знакомых с режимом работы и мерами защиты. Она связана нередко с кражами и подлогами . Для ликвидации этой угрозы системы защиты цифровой платформы регистрируют каждое обращение к информационным ресурсом со стороны персонала организации [3].

Различают статическую и динамическую целостность программного и информационного обеспечений. С целью нарушения статической целостности злоумышленник может ввести неверные оперативные исходные данные или удалить важную информацию, что особенно опасно для систем управления технологическими процессами и для Интернета вещей (IoT), которые также начнут использовать в библиотеках.

Угрозы целостности информационного ресурса

Угрозами динамической целостности служат нарушения процесса прохождения транзакций, переупорядочение, кража, дублирование данных или внесение дополнительных сообщений. Такие действия в сетевой среде называют активным прослушиванием.

Различают следующие основные способы доставки вредоносного содержимого внутрь защищённого периметра информационной системы: социальные мероприятия, использование доверенного ресурса, проникновение с использованием сайтов партнёров, фишинговые письма, посредством программного обеспечения.

При использовании планируемого социального мероприятия злоумышленник на веб-сайте организатора находит информацию о проводимом мероприятии и его участниках. Во время мероприятия злоумышленник по телефону он просит выслать ему по соответствующей ссылке от него материалы мероприятия. Организаторы мероприятия, не подозревая атаки, открывают ссылку и посылают на вымышленный адрес злоумышленника соответствующий материал. В ранее открытой ссылке содержится вредоносное ПО, которое автоматически будет загружено на сервер организатора мероприятия.

Проникновение с использованием доверенных ресурсов предполагает использование интересных для предприятия цифровых продуктов. При этом эти цифровые ресурсы предварительно были заражены злоумышленником, поэтому ссылки на эти ресурсы, отправленные другим сотрудникам компании, да и сама жертва автоматически загружает себе вредоносное содержимое при работе с ресурсом [5].

Использование веб-сайтов партнёров для заражения сайта компании предполагает поиск веб-сайтов, тех партнёров предприятия, которые недостаточно защищены. Злоумышленник заражает веб-сайт партнёра и загружает вредоносное содержимое в один из документов, направляемый партнёром по используемой технологии в компанию. После получения легитимного письма и работы с ним станция сотрудника компании заражена.

Фишинговые письма, (spear-phishing) используют следующую ситуацию: злоумышленник посылает файл, с распространённым именем и имеющий известное расширение (например, pdf) и просит сохранить его на рабочем столе, нажав кнопку «Разрешить редактирование». Это действие адресата и запускает вирус.

Проникновение вируса с помощью программного обеспечения может проходить в процессе скачивания дистрибутива ПО, как правило не с веб-сайта производителя, а с альтернативного ресурса. Такое ПО может содержать фрагмент вредоносного содержимого, который инфицирует объект.

Атаки на смартфоны связаны с уязвимостями в их операционной сети (например, OC Android), что связано с передачей во вне излишней информации, позволяя проводить с устройством различные операции без ведома пользователя.

Рис. 1. Структура действий злоумышленника при подготовке и осуществлении кибер-атаки

Такие атаки могут иметь следующую структуру: злоумышленник взламывает сеть (например WiFi), к которой подключён пользователь, затем прослушивает трафик и идентифицирует установленные на устройстве приложения. После этого он запускает целевую атаку, используя выявленную уязвимость и осуществляет перекачку необходимых данных, например логины/пароли, данные о финансах и их движении и др.

Последовательность действий злоумышленника при проникновении и эксплуатации вредоносного содержимого ПО можно представить в виде модели, представленной на рисунке. Действия злоумышленника можно показать в виде следующей последовательности действий: доставка вредоносного содержимого, хранение зашифрованного файлах, получение адреса командного сервера, передача информации о компьютере «жертвы», шифрование собранной информации, обход программ и устройств защиты, получение доступа к периметру защиты, поиск доступа в соседние доступные системы и передача собранной информации в командный центр. Каждый этап содержит следующие операции [8]:

• -    Доставка вредоносного содержимого:

• •     Вредоносные вложения в электронную почту,

• •      Вредоносное содержимое файлов (.doc, pdf),

• •      Вредоносное содержимое исполняемых файлов (.exe, .scr),

• •      Вредоносное содержимое архивных файлов (.rar),

• •      Страница с приглашением с заранее заражённым сайтом,

• •      Интеграция вредоносного кода в Java-коде.

• -    Хранение зашифрованного файла в машине «жертвы» в виде зашифрованного файла;

• -    Инициация ботом соединения во вне с целью получения адреса командного сервера (CnC server), соединение с IP-адресом доверенного ресурса, что позволяет обойти средства блокировки ботов (black list). На инфицированную станцию передают в кодированном виде адрес командного сервера. Инфицированная станция выполняет обращение на командный сервер, включаясь в инфицированную бот сеть и передавая управление злоумышленникам;

• -    Передача информации о компьютере «жертвы»: имя страницы, локальный IP-адрес, домен, дату и время, версию почтового клиента, версию ОС, регистрацию всех нажатий, снимки с экрана, данные из адресной почтовой книги;

• -    Шифрование собранной информации;

• -    Обход программ и устройств защиты (брандмауэра или песочницы). Для этого выполняется функция 999999990 раз, после завершения которой она запускается ещё раз, сравнивая текущие значения с предыдущими. В случае их совпадения функция закрывает процесс вредоносного содержимого без его выполнения;

• -    Получение доступа к периметру защиты организации с помощью общеситемных команд DOS, например, dir C:\Program File;

• -    Поиск доступа в соседние доступные системы;

• -    Собранную информацию помещают в архивный файл и передают на командный центр.

Для уменьшения информационных рисков и угроз при использовании цифровых методов и технологий необходимо в библиотеке необходимо реализовать комплекс организационных и технологических мероприятий направленных на защиту информационного ресурса, которые определяют возможные действия персонала библиотеки и читателей, препятствующие несанкционированному доступу к информации, её искажению или уничтожению, от физического или программного воздействия, вызывающего дестабилизацию технологических процессов и системы управления деятельностью организации [8].

Защита информации должна предотвращать угрозы проникновения и воздействия вредоносного содержимого, как на информационные ресурсы, так и на цифровые технологии библиотеки.