2015-03-27
2266
Большое значение обеспечению информационной безопасности и высокого уровня обороноспособности страны, в том числе за счет создания современных средств реагирования и предупреждения глобальных информационных угроз, уделено в утвержденном распоряжением Правительства РФ документе о Стратегии развития отрасли информационных технологий [2]. Ниже мы остановимся на актуальности обеспечения ИБ в ССОП. При этом следует отметить, что к большинству сетей связи категорий ограниченных пользователей предъявляют повышенные требования по обеспечению информационной безопасности.
Согласно ст. 7 закона «О связи» операторы ССОП связи при эксплуатации сетей и сооружений связи обязаны обеспечить их защиту от НСД (несанкционированного доступа)». Под несанкционированным доступом согласно ГОСТ Р 52448-2005 [3] понимаются определённые критерии безопасности, в частности нарушения конфиденциальности, целостности и доступности информации и услуг. Большое внимание вопросам ИБ в сетях связи вызвано созданием в конце прошлого века нового принципа криптографии — асимметричной криптографии. Это позволило использовать сети связи для защищенного обмена между пользователями и для защищенного документооборота. Приведем некоторые примеры, показывающие актуальность обеспечения информационной безопасности в ЕСЭ России.
|
|
|
В плане реализации Федеральной Целевой Программы (ФЦП) «Электронная Россия» (2002-2010 годы), итоги которой одобрены Правительственной комиссией, предусмотрены меры по повышению эффективности функционирования экономики, государственного управления и местного самоуправления. Многие проекты этой программы связаны с необходимостью реализации сетевой информационной безопасности [4-6].
Решение этих задач неразрывно связано с созданием в Российской Федерации межведомственной системы защищенного электронного документообмена (ЭД). Весьма существенной для такой системы является проблема обеспечения необходимого уровня информационной безопасности. Задача по созданию в Российской Федерации межведомственной системы защищенного ЭД является центральной в рамках создания и развития информационной телекоммуникационной системы специального назначения в интересах органов государственной власти РФ.
Важности защищенного ЭД было уделено большое внимание в ФЦП «Электронная Россия» при совершенствовании взаимодействия органов государственной власти с органами местного самоуправления и хозяйствующими субъектами. При этом предусматривается:
· предоставление налоговой отчётности, таможенной документации;
· регистрация и ликвидация юридических лиц;
|
|
|
· получение лицензий и сертификатов;
· предоставление отчётной документации, предусмотренной законодательством об акционерных обществах и о рынке ценных бумаг;
· получение охранных документов на объекты интеллектуальной собственности.
Комплекс мероприятий, позволяющих создать основу для успешного развития электронной торговли (ЭТ) в России является одним из главных направлений ФЦП «Электронная Россия». Первоочередным мероприятием является система ЭТ для государственных нужд. Внедрение ЭТ позволяет уменьшить издержки государственных заказчиков при проведении конкурсов, сократить потери и злоупотребления. Реализация ЭТ для государственных нужд служит катализатором широкомасштабного развития и использования этих методов в коммерческой деятельности. В первую очередь это касается малого бизнеса. Совершенствование платёжной системы является одним из ключевых элементов ЭТ. Важными требованиями к платёжной системе является защищённость сетей связи.
Информационная безопасность в сетях связи должна быть обеспечена также в таких направлениях ФЦП «Электронная Россия», как телемедицина (защита персональных данных), юридические и другие консультационные услуги (защита данных по расчетам).
Особое место занимает сетевая безопасность в электронной коммерции (ЭК) [7]. Под ЭК понимается разновидность коммерческой деятельности электронным способом с использованием сетей связи для электронных безналичных расчётов.
Компьютерная сеть в качестве посредника между продавцом, покупателем и их банками доступна как для правомерных акций, так и для злоумышленников. Поэтому обеспечение ИБ в сетях связи при совершении финансовых транзакций является необходимым условием реализации ЭК. Приведём описание некоторых областей ЭК, которые требуют обеспечения ИБ сетей связи. Системы ЭК, ориентированные на массового потребителя, стали широко используется в сети Интернет. В банковской сфере активно используются системы обмена платёжными документами, в которых заключение сделка или договора производится в бумажном виде с применением обычных (рукописных) подписей, а реализация услуги, т.е. банковское обслуживание в электронном виде.
В последнее десятилетие в мире произошли революционные изменения в развитии мобильной связи. Это нашло отражение в широком охвате населения услугами сотовой телефонии, а также в развитии и внедрении новых технологий, среди которых выделяется технологии мобильной связи третьего и четвертого поколений. Как следствие этих процессов по всему миру продолжается бум мобильной коммерции (m-commerce), которая явилась новым логическим этапом развития электронной коммерции. Сегодня существенную часть рынка мобильной коммерции занимают платёжно-расчётные и финансовые услуги. Эти услуги можно разделить на несколько секторов:
1. банковские операции, включая оплату счетов, предоставление и погашение ссуд и кредитов;
2. платёжные операции с кредитными картами;
3. микроплатежи за услуги и товары.
На ранних стадиях развития рынка мобильных банковских и платёжных услуг владельцам мобильных устройств предлагались главным образом информационные услуги: проверка баланса счёта и совершённых транзакций. Сейчас получили широкое распространение услуги оплаты по счетам, денежные переводы.
В настоящее время центр тяжести мобильных платежей смещается в область микроплатежей за мобильный контент, а также в область платежей торговым автоматам, за билеты, платежи в розничных торговых точках, такси и т.д. Все большую популярность приобретают мобильные платежи за парковку.
Необходимость повышения ИБ находящихся в эксплуатации на сетях операторов связи общего пользования, покажем на примере одной угрозы фрода (fraud), т.е. мошенничество с целью получить финансовую выгоду. Ассоциация по контролю за фродом (Communication Fraud Control Association, CFCA) периодически публикует отчет по сбору данных потерь довольно большого количества операторов ССОП в мире. В отчете за 2011 г. из принимавших участие в сборе данных 25,9% были операторы связи из Западной Европы, стран Африки 5,2% и 1,7% из России; в 2013 г. в опросе участвовали 31,9% западноевропейских операторов, а по России данных нет.
|
|
|
Суммарные потери операторов ССОП от угроз фрода в отчете 2011 года составляли 40,1 млд. долларов, а в отчете 2013 года – 46,3 млд. долларов (на 15% больше).
В отчетах CFCA приводятся примеры угроз информационной безопасности (ИБ), приводящие к фроду.
- Мошенничество с подпиской (Subscription fraud). Эта форма заключается в том, что злоумышленник подписывается на услугу легальным способом (как правило, не от своего имени). При этом он может поступить следующим образом: а) использует сервис в личных целях, как правило с намерением минимизировать свои затраты или вовсе избежать оплаты; б) предпринимает действия, направленные на извлечение прибыли, например, перепродает услуги. В последнем случае ассоциация CFCA выделяет фрод в отдельный вид – фрод дилера (dealer fraud).
- Перехват или кража подписки (Identity take over). Реализуя эту форму фрода, мошенник получает возможность пользоваться услугами от имени легитимного пользователя.
- Мошеннический обход (bypass fraud). Выбор неавторизованных маршрутов прохождения сигнализации и/или трафика. Например, операторы связи, стремясь сократить свои расходы по пропуску международного/междугородного трафика через сети транзитных операторов, используют технологию VoIP для незаконной организации прямых IP каналов к операторам-получателям данного трафика, в обход зоновых/междугородных/международных транзитных узлов связи.
- Фрод распределения дохода между операторами страны DRSF (Domestic Revenue Share Fraud). Этот вид фрода подлежит контролю ассоциацией CFCA и предусматривает злонамеренные действия недобросовестного оператора, направленные на получение незаконной прибыли при взаимодействии со смежными операторами той же страны. Примером таких действий может служить генерация фиктивного большого объема трафика от сети оператора-жертвы на сеть оператора-мошенника.
- Фрод распределения дохода между операторами разных стран IRSF (International Revenue Share Fraud). Этот фрод аналогичен DRSF, но предусматривает злонамеренные действия недобросовестного оператора в отношении иностранного оператора-жертвы.
|
|
|
