Материал из РУВИКИ — свободной энциклопедии

Несанкционированный доступ

Несанкционированный доступ — доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

Руководящий документ Гостехкомиссии «Защита от НСД. Термины и определения» Архивная копия от 10 октября 2019 на Wayback Machine (утверждён решением председателя Гостехкомиссии России от 30 марта 1992 г.) трактует определение немного иначе:

Несанкционированный доступ к информации (НСД) — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Несанкционированный доступ может привести к утечке информации.

Причины несанкционированного доступа к информации[править | править код]

Способы совершения неправомерного доступа к компьютерной информации[править | править код]

Способ совершения преступления неправомерного доступа — это приёмы и методы, которые используют виновные, совершая общественно опасное деяние.

В литературе[1] выделяют различные классификации способов совершения компьютерных преступлений:

  1. Способы подготовки (соответствует уголовно-правовому понятию «приготовление к преступлению»):
    • Сбор сведений;
    • Перехват сообщений электронной почты;
    • Завязывание знакомства;
    • Перехват сообщений в каналах связи;
    • Кражи информации;
    • Взятки и вымогательство.
  2. Способы проникновения (соответствует уголовно-правовому понятию «покушение на преступление»):
    • Непосредственное вхождение в систему (путём перебора паролей);
    • Получение паролей;
    • Использование недостатков протоколов связи.

Некоторые авторы[2] предлагают классификацию в зависимости от целей, которые преследует преступник на том или ином этапе совершения преступления:

  1. Тактические — предназначены для достижения ближайших целей (например, для получения паролей);
  2. Стратегические — направлены на реализацию далеко идущих целей и связаны с большими финансовыми потерями для автоматизированных информационных систем.

Еще один автор[3] выделяет пять способов совершения неправомерного доступа к компьютерной информации:

  1. Непосредственное использование именно того компьютера, который автономно хранит и обрабатывает информацию, представляющую интерес для преступника;
  2. Скрытое подключение компьютера преступника к компьютерной системе или к сети законных пользователей по сетевым каналам или радиосвязи;
  3. Поиск и использование уязвимых мест в защите компьютерной системы и сетей от несанкционированного доступа к ним (например, отсутствие системы проверки кода);
  4. Скрытое изменение или дополнение компьютерных программ, функционирующих в системе;
  5. Незаконное использование универсальных программ, применяемых в аварийных ситуациях.

Существует более устоявшаяся классификация способов, на которую ориентируются большинство авторов[1] и которая построена на основе анализа зарубежного законодательства. В основу данной классификации положен метод использования преступником тех или иных действий, направленных на получение доступа к средствам компьютерной техники с различными намерениями:

  1. Методы перехвата информации;
  2. Метод несанкционированного доступа;
  3. Метод манипуляции;
  4. Комплексные методы.

Последствия несанкционированного доступа к информации[править | править код]

В литературе[1], помимо указанной в статье 272 УК РФ Архивная копия от 6 апреля 2016 на Wayback Machine, предложена более общая классификация возможных последствий данного преступления :

  1. Нарушение функций. Включает четыре вида:
    • Временные нарушения, приводящие к путанице в графиках работы, расписании тех или иных действий и т. п.;
    • Недоступность системы для пользователей;
    • Поврежденная аппаратура (устранимые и неустранимые);
    • Повреждения программного обеспечения
  2. Потери значимых ресурсов;
  3. Потеря монопольного использования;
  4. Нарушение прав (авторских, смежных, патентных, изобретательских).

Также последствиями несанкционированного доступа к информации являются:

Предотвращение утечек[править | править код]

Для предотвращения несанкционированного доступа к информации используются программные и технические средства, например, DLP-системы.

Законодательство[править | править код]

Россия[править | править код]

Летом 2024 года Ассоциация больших данных (АБД) попросила уточнить формулировки законопроекта об уголовной ответственности за работу с персональными данными. Эта инициатива была внесена на рассмотрение Госдумы в декабре и предполагает возможность лишения свободы на срок до 10 лет за незаконные сбор или использование персональных данных. В текущей версии документа формулировки состава преступления носят неопределенный характер и позволяют посадить за решетку даже сотрудника компании, отвечающего за безопасность, так как по долгу службы он работает с утечками персональных данных. По мнению экспертов, поправки в УК позволяют привлечь к уголовной ответственности владельца любого сайта или ИИ-разработчика[4].

США[править | править код]

Закон США Computer Fraud and Abuse Act[en] критиковался за расплывчатость, допускающую попытки использования его для того, чтобы трактовать как несанкционированный доступ (с наказанием до десятков лет лишения свободы) нарушение условий использования (англ. terms of service) информационной системы (например, веб-сайта).[5][6] См. также: Вредоносная программа#Юридические аспекты, Шварц, Аарон,.

См. также[править | править код]

Примечания[править | править код]

  1. 1 2 3 Мазуров В.А. Уголовно-правовые аспекты информационной безопасности. — Барнаул: Издательство Алтайского Университета, 2004. — С. 92. — 288 с. — ISBN 5-7904-0340-9.
  2. Охрименко С.А., Черней Г.А. Угрозы безопасности автоматизированным информационным системам (программные злоупотребления) // НТИ. Сер.1, Орг. и методика информ. работы : журнал. — 1996. — № 5. — С. 5—13.
  3. Скоромников К.С. Пособие для следователя. Расследование преступлений повышенной общественной опасности / Дворкин А.И., Селиванов Н.А.. — Москва: Лига Разум, 1998. — С. 346—347. — 444 с.
  4. Бизнес просит доработать законопроект об уголовной ответственности за утечки данных (рус.). Forbes.ru. Дата обращения: 18 августа 2024.
  5. Ryan J. Reilly. Zoe Lofgren Introduces 'Aaron's Law' To Honor Swartz On Reddit. The Huffington Post / AOL (15 января 2013). Дата обращения: 9 марта 2013. Архивировано 11 марта 2013 года.
  6. Tim Wu. Fixing the Worst Law in Technology, блог «News Desk», The New Yorker. Архивировано 27 марта 2013 года. Дата обращения: 28 марта 2013.