Uautoriseret adgang

Uautoriseret adgang  - adgang til oplysninger i strid med en medarbejders officielle myndighed , adgang til oplysninger lukket for offentlig adgang af personer, der ikke har tilladelse til at få adgang til disse oplysninger. Også uautoriseret adgang kaldes i nogle tilfælde at få adgang til oplysninger af en person, der har ret til at få adgang til disse oplysninger i et beløb, der overstiger det, der er nødvendigt for udførelsen af ​​officielle opgaver.

Vejledende dokument fra Statens Tekniske Kommission "Beskyttelse mod uautoriseret adgang. Vilkår og definitioner" Arkivkopi dateret den 10. oktober 2019 på Wayback Machine (godkendt af beslutningen fra formanden for Ruslands statstekniske kommission dateret den 30. marts 1992) fortolker definitionen lidt anderledes:

Uautoriseret adgang til information (UAS)  - adgang til information, der overtræder reglerne for adgangskontrol ved hjælp af standardværktøjer leveret af computerteknologi eller automatiserede systemer.

Uautoriseret adgang kan føre til informationslækage .

Årsager til uautoriseret adgang til information

• konfigurationsfejl ( adgangsrettigheder , firewalls , begrænsninger på massekarakteren af ​​forespørgsler til databaser ),
• svag sikkerhed for autorisationsværktøjer (tyveri af adgangskoder , smart cards , fysisk adgang til dårligt bevogtet udstyr , adgang til ulåste arbejdspladser for medarbejdere i fravær af ansatte),
• software fejl ,
• autoritetsmisbrug (tyveri af sikkerhedskopier, kopiering af oplysninger til eksterne medier med ret til adgang til information),
• Lytte til kommunikationskanaler, når du bruger usikrede forbindelser inden for LAN ,
• Brugen af ​​keyloggere, vira og trojanske heste på medarbejdernes computere til impersonalisering .

Måder at begå ulovlig adgang til computeroplysninger

Metoden til at begå forbrydelsen uautoriseret adgang  er de metoder og metoder, som gerningsmændene anvender, når de begår en samfundsfarlig handling.

I litteraturen [1] er der forskellige klassifikationer af metoder til at begå computerforbrydelser:

1. Forberedelsesmetoder (svarer til det strafferetlige begreb " forberedelse til en forbrydelse "):
   • Indsamling af information;
   • Aflytning af e-mail-meddelelser;
   • At stifte bekendtskab;
   • Aflytning af meddelelser i kommunikationskanaler;
   • Tyveri af information;
   • Bestikkelse og afpresning.
2. Penetrationsmetoder (svarer til det strafferetlige begreb " forsøg på kriminalitet "):
   • Direkte adgang til systemet (ved opregning af adgangskoder);
   • Få adgangskoder;
   • Udnyttelse af svagheder i kommunikationsprotokoller.

Nogle forfattere [2] tilbyder en klassificering afhængigt af de mål, gerningsmanden forfølger på et bestemt stadium af forbrydelsen:

1. Taktisk - designet til at nå umiddelbare mål (for eksempel at få adgangskoder);
2. Strategisk - rettet mod implementering af vidtrækkende mål og er forbundet med store økonomiske tab for automatiserede informationssystemer.

En anden forfatter [3] identificerer fem måder at begå ulovlig adgang til computerinformation på :

1. Direkte brug af præcis den computer, der autonomt lagrer og behandler oplysninger af interesse for den kriminelle;
2. Skjult forbindelse af en kriminel computer til et computersystem eller til et netværk af legitime brugere via netværkskanaler eller radiokommunikation;
3. Søgning og brug af sårbarheder til at beskytte computersystemer og netværk mod uautoriseret adgang til dem (f.eks. manglen på et kodebekræftelsessystem);
4. Latent ændring eller tilføjelse af computerprogrammer, der fungerer i systemet;
5. Ulovlig brug af universelle programmer brugt i nødsituationer.

Der er en mere etableret klassificering af metoder, som de fleste forfattere er styret af [1] og som er bygget på baggrund af en analyse af udenlandsk lovgivning. Denne klassifikation er baseret på metoden til at bruge visse handlinger fra en kriminel med henblik på at få adgang til computerudstyr med forskellige hensigter:

1. Metoder til at opsnappe information;
2. Metode til uautoriseret adgang;
3. manipulationsmetode;
4. Komplekse metoder.

Konsekvenser af uautoriseret adgang til information

I litteraturen [1] foreslås en mere generel klassificering af de mulige konsekvenser af denne forbrydelse i tillæg til arkiveksemplaret af 6. april 2016 , specificeret i artikel 272 i Den Russiske Føderations straffelov om Wayback Machine :

1. Krænkelse af funktioner. Indeholder fire typer:
   • Midlertidige overtrædelser, der fører til forvirring i arbejdsplaner, tidsplaner for visse aktiviteter osv.;
   • System utilgængelighed for brugere;
   • Beskadiget hardware (kan repareres og ikke genoprettes);
   • Software korruption
2. Tab af betydelige ressourcer;
3. Tab af eksklusiv brug;
4. Krænkelse af rettigheder (copyright, relateret, patent, opfinderisk).

Konsekvenserne af uautoriseret adgang til oplysninger er også:

• lækage af personoplysninger (medarbejdere i virksomheden og partnerorganisationer),
• lækage af forretningshemmeligheder og knowhow ,
• lækage af kontormail
• læk af statshemmeligheder ,
• hel eller delvis fratagelse af virksomhedens sikkerhedssystem.
• eksakt informationslækage

Forebyggelse af lækage

For at forhindre uautoriseret adgang til information anvendes software og hardware, for eksempel DLP-systemer .

Lovgivning

Den amerikanske lov om computersvindel og misbrug er blevet kritiseret for at være vag og tillader forsøg på at bruge den for at fortolke som uautoriseret adgang (med straf op til ti års fængsel) en overtrædelse af vilkårene for brug ( eng . .  servicevilkår ) for et informationssystem (f.eks. websted). [4] [5] Se også: Malware#Legal , Schwartz, Aaron , USA v. Lori Drew .

Se også

• Sikkerhed i trådløse ad hoc-netværk
• Software hacking
• Adgangsrettigheder

Noter

1. ↑ 1 2 3 Mazurov V.A. Strafferetlige aspekter af informationssikkerhed. - Barnaul: [[Forlag for Altai Universitet (forlag) |]], 2004. - S. 92. - 288 s. — ISBN 5-7904-0340-9 .
2. ↑ Okhrimenko S.A., Cherney G.A. Sikkerhedstrusler mod automatiserede informationssystemer (softwaremisbrug) // NTI. Ser. 1, Org. og metodologi informere. arbejde: magasin. - 1996. - Nr. 5 . - S. 5-13 .
3. ↑ Skoromnikov K.S. Efterforskervejledning. Efterforskning af forbrydelser med øget offentlig fare / Dvorkin A.I., Selivanov N.A. - Moscow: Liga Mind, 1998. - S. 346-347. — 444 s.
4. ↑ Ryan J. Reilly. Zoe Lofgren introducerer 'Aarons lov' for at ære Swartz på Reddit . The Huffington Post / AOL (15. januar 2013). Hentet 9. marts 2013. Arkiveret fra originalen 11. marts 2013. (ubestemt)
5. ↑ Tim Wu . Fixing the Worst Law in Technology , News Desk Blog , The New Yorker . Arkiveret fra originalen den 27. marts 2013. Hentet 28. marts 2013.