Несанкционированный доступ — доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.
Несанкционированный доступ к информации (НСД) — доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Несанкционированный доступ может привести к утечке информации.
Причины несанкционированного доступа к информации[править | править код]
слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников),
Непосредственное вхождение в систему (путём перебора паролей);
Получение паролей;
Использование недостатков протоколов связи.
Некоторые авторы[2] предлагают классификацию в зависимости от целей, которые преследует преступник на том или ином этапе совершения преступления:
Тактические — предназначены для достижения ближайших целей (например, для получения паролей);
Стратегические — направлены на реализацию далеко идущих целей и связаны с большими финансовыми потерями для автоматизированных информационных систем.
Еще один автор[3] выделяет пять способов совершения неправомерного доступа к компьютерной информации:
Непосредственное использование именно того компьютера, который автономно хранит и обрабатывает информацию, представляющую интерес для преступника;
Скрытое подключение компьютера преступника к компьютерной системе или к сети законных пользователей по сетевым каналам или радиосвязи;
Поиск и использование уязвимых мест в защите компьютерной системы и сетей от несанкционированного доступа к ним (например, отсутствие системы проверки кода);
Скрытое изменение или дополнение компьютерных программ, функционирующих в системе;
Незаконное использование универсальных программ, применяемых в аварийных ситуациях.
Существует более устоявшаяся классификация способов, на которую ориентируются большинство авторов[1] и которая построена на основе анализа зарубежного законодательства. В основу данной классификации положен метод использования преступником тех или иных действий, направленных на получение доступа к средствам компьютерной техники с различными намерениями:
Методы перехвата информации;
Метод несанкционированного доступа;
Метод манипуляции;
Комплексные методы.
Последствия несанкционированного доступа к информации[править | править код]
В литературе[1], помимо указанной в статье 272 УК РФАрхивная копия от 6 апреля 2016 на Wayback Machine, предложена более общая классификация возможных последствий данного преступления :
Нарушение функций. Включает четыре вида:
Временные нарушения, приводящие к путанице в графиках работы, расписании тех или иных действий и т. п.;
Недоступность системы для пользователей;
Поврежденная аппаратура (устранимые и неустранимые);
Повреждения программного обеспечения
Потери значимых ресурсов;
Потеря монопольного использования;
Нарушение прав (авторских, смежных, патентных, изобретательских).
Также последствиями несанкционированного доступа к информации являются:
Летом 2024 года Ассоциация больших данных (АБД) попросила уточнить формулировки законопроекта об уголовной ответственности за работу с персональными данными. Эта инициатива была внесена на рассмотрение Госдумы в декабре и предполагает возможность лишения свободы на срок до 10 лет за незаконные сбор или использование персональных данных. В текущей версии документа формулировки состава преступления носят неопределенный характер и позволяют посадить за решетку даже сотрудника компании, отвечающего за безопасность, так как по долгу службы он работает с утечками персональных данных. По мнению экспертов, поправки в УК позволяют привлечь к уголовной ответственности владельца любого сайта или ИИ-разработчика[4].
Закон США Computer Fraud and Abuse Act[en] критиковался за расплывчатость, допускающую попытки использования его для того, чтобы трактовать как несанкционированный доступ (с наказанием до десятков лет лишения свободы) нарушение условий использования (англ.terms of service) информационной системы (например, веб-сайта).[5][6] См. также: Вредоносная программа#Юридические аспекты, Шварц, Аарон,.
↑ 123Мазуров В.А. Уголовно-правовые аспекты информационной безопасности. — Барнаул: Издательство Алтайского Университета, 2004. — С. 92. — 288 с. — ISBN 5-7904-0340-9.
↑Охрименко С.А., Черней Г.А. Угрозы безопасности автоматизированным информационным системам (программные злоупотребления) // НТИ. Сер.1, Орг. и методика информ. работы : журнал. — 1996. — № 5. — С. 5—13.
↑Скоромников К.С. Пособие для следователя. Расследование преступлений повышенной общественной опасности / Дворкин А.И., Селиванов Н.А.. — Москва: Лига Разум, 1998. — С. 346—347. — 444 с.